close

Вход

Забыли?

вход по аккаунту

?

1.Анал тична частина

код для вставкиСкачать
1 АНАЛІТИЧНИЙ ОГЛЯД
1.1 Призначення системи технічного захисту інформації Швидкий розвиток інформаційних систем, комп'ютеризація та впровадження новітніх технологій в усі сфери діяльності суспільства і держави в цілому, значно прискорює та вдосконалює роботу організацій, підприємств та установ усіх форм власності [1]. Однак, такий розвиток несе в собі цілий ряд загроз пов'язаних з порушеннями конфіденційності, цілісності та доступності інформації, які, в свою чергу, приводять до різних втрат (в тому числі фінансових) і інколи значних. Система захисту інформації має безпосередній вплив на діяльність підприємств зв'язку й об'єктів інформаційної діяльності (ОІД) та дозволяє підвищити доходи за рахунок зменшення ризиків. Головна проблема забезпечення захисту інформації полягає в тому, що існує безліч каналів витоку інформації та каналів для несанкціонованого доступу, тому задача забезпечення інформаційної безпеки потребує комплексного підходу. Отже, проблема створення комплексної системи технічного захисту інформації (ТЗІ) на об'єкті інформаційної діяльності та живучості мереж в умовах розвитку та впровадження нових інформаційних технологій є актуальною та своєчасною темою дослідження.
Для планування та розробки комплексної системи технічного захисту інформації на об'єкті інформаційної діяльності необхідно побудувати моделі загроз, детально розглянути існуючі канали витоку інформації та несанкціонованого доступу, розробити систему захисту, яка буде забезпечувати блокування технічних каналів витоку. Головними технічними каналами витоку є акустичний, віброакустичний, канал електромагнітного випромінювання направленого і наведенням, канал несанкціонованого доступу до інформації.
Основна задача системи захисту полягає у попередженні та блокуванні максимальної кількості каналів витоку, які існують для інформації, що підлягає захисту. Існує доволі багато каналів витоку інформації, але слід захищати тільки найбільш вірогідні. Не слід забувати просте правило: під ефективним захистом розуміється блокування всіх реально існуючих на об'єкті джерел витоку інформації, про наявність яких можна дізнатися лише шляхом аналізу об'єкту, чи то зробивши висновки на підставі вимірювань, проведених за допомогою спеціальної контрольно-вимірювальної апаратури. Сукупність завдань із захисту інформації для різних об'єктів інформаційної діяльності дозволяє виокремити ряд типових кроків, які слід зробити в першу чергу:
організувати захист приміщень, в яких циркулює мовна інформація з обмеженим доступом (ІзОД) (де проводяться конфіденційні переговори, службових кабінетів керівників, їхніх заступників та інших відповідальних співробітників);
заблокувати можливість витоку інформації, яка циркулює на абонентській дільниці телефонної лінії й на всьому її протязі;
забезпечувати систематичний пошук пошуковими технічними засобами (створення оптимального пошукового комплекту відповідно до завдань, які постають перед організацією, та її фінансових можливостей) закладних пристроїв;
забезпечувати контроль стосовно перебування сторонніх осіб на ОІД, де циркулює інформація з обмеженим доступом [2].
Комплексна система інформаційної безпеки на об'єкті інформаційної діяльності спрямована на виявлення та блокування різноманітних каналів витоку мовної інформації. Для захисту інформації використовують: технічні фізичні, організаційні та правові заходи. До технічних засобів належать апаратні, програмні та криптографічні засоби захисту. Серед апаратних засобів найбільш поширено такі засоби, як:
- засоби електромагнітного та акустичного зашумлення;
- кодовані замки для ввімкнення технічних засобів у системи й мережі;
- пристрої вимірювання індивідуальних характеристик людини з метою її ідентифікації;
- схеми переривання передавання інформації у лінії зв'язку з метою періодичної перевірки адреси видавання даних;
- спеціальні регістри для зберігання реквізитів захисту - паролей, ідентифікуючих кодів, рівнів секретності тощо.
Програмні засоби захисту мають властивості універсальності, гнучкості, зручності реалізації, можливості модернізації. Недолік полягає у значних витратах системних ресурсів: продуктивності та пам'яті. За функціональним призначенням програмні засоби захисту поділяють на такі групи:
- ідентифікації апаратних засобів, задач, користувачів та файлів;
- визначення прав об'єктів та суб'єктів (доступні задачі, файли, часові обмеження тощо);
- контролю роботи апаратних засобів та користувачів;
- аудиту, тобто реєстрації роботи апаратних засобів та користувачів при обробці інформації;
- знищення інформації в пам'яті після використання;
- сигналізації щодо несанкціонованих дій;
- контролю роботи механізмів захисту тощо.
Криптографічні методи захисту інформації застосовуються при передаванні даних каналами зв'язку. Криптографічне закриття інформації полягає у такому перетворенні захищених даних , за якого за їхнім зовнішнім виглядом без застосування спеціальних засобів не можна визначити зміст. Криптографічне закриття - це єдиний засіб захисту від викрадання інформації, переданої каналами зв'язку. Системи шифрування можуть бути реалізовані апаратними, програмними засобами та їхньою комбінацією. До фізичних заходів відносять створення пристроїв та споруд, а також проведення заходів, які утруднюють або унеможливлюють проникнення потенційних порушників у місця, де можна мати доступ до захищеної інформації. Застосовують: фізичну ізоляцію споруд, де встановлено апаратуру зв'язку та електронно-обчислювальної техніки (ЕОТ), від інших будівель; огороджування й систематичний контроль території, де розташовано апаратуру зв'язку та ЕОТ, на таку відстань, яка є достатня для виключення ефективної реєстрації електромагнітних випромінювань; організацію контрольно-пропускних пунктів на входах у приміщення зв'язку та ЕОТ або обладнання вхідних дверей спеціальними замками, котрі дозволяють регулювати доступ у приміщення; організацію системи охоронної сигналізації. Організаційні заходи - це сукупність організаційно-технічних і організаційно-правових заходів, які регламентують процес функціонування систем та мереж зв'язку й ЕОТ, а також забезпечують заборону або утруднення несанкціонованого доступу (НСД) до інформації. Організаційні заходи здійснюються на всіх етапах життєвого циклу систем: проектування, будівництва, експлуатації й утилізації. Ці заходи включають: унеможливлення впливів стихійних лих; унеможливлення таємного проникнення тощо; заходи стосовно підбору та підготовки персоналу (у тому числі перевірка кадрів, прийнятих на роботу, навчання правилам роботи з конфіденційною інформацією, ознайомлення з відповідальністю за порушення правил захисту, виключення плинності кадрів тощо); організацію надійного пропускного режиму; організацію зберігання й використання документів та носіїв; організацію підготовки та контролю роботи користувачів. До правових заходів відносять діючі в державі закони, накази та положення, систему нормативно-розпорядчих документів підприємства, які регламентують правила поводження з інформацією обмеженого поширення та відповідальність за їхні порушення, запобігаючи у такий засіб несанкціонованому використанню інформації. Комплексна система інформаційної безпеки може бути забезпечена завдяки комплексу організаційних, технічних, економічних та правових заходів, спрямованих на виявлення та блокування різноманітних каналів витоку мовної інформації. Побудувати комплексну систему захисту інформації - зробити пів справи. Для того, щоби ця система функціонувала, її необхідно невпинно підтримувати в робочому стані. Слід регулярно перевіряти ефективність роботи технічних засобів захисту інформації, здійснювати моніторинг радіо ефіру на підприємстві й у периметровій зоні, а в приміщеннях вживати пошукових заходів тощо.
1.2 Характеристика та види інформації, що підлягають захисту
Інформація - будь-які відомості або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді [3].
Захисту в системі підлягає: - відкрита інформація, яка належить до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами (далі - відкрита інформація);
- конфіденційна інформація, яка перебуває у володінні розпорядників інформації; - службова інформація; - інформація, яка становить державну або іншу передбачену законом таємницю (далі - таємна інформація); - інформація, вимога щодо захисту якої встановлена законом [4].
За порядком доступу інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом. Будь-яка інформація є відкритою, крім тієї, що віднесена законом до інформації з обмеженим доступом. До відкритої інформації відноситься:
* інформація довідково-енциклопедичного характеру; * інформація про стан довкілля (екологічна інформація); * інформація про товар (роботу, послугу); * науково-технічна інформація; * податкова інформація; * правова інформація; * статистична інформація; * соціологічна інформація; * інші види інформації [3]. Інформація з обмеженим доступом поділяється на конфіденційну, таємну та службову [5]. Конфіденційна інформація - інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов.
Розпорядники інформації, які володіють конфіденційною інформацією, можуть поширювати її лише за згодою осіб, які обмежили доступ до інформації, а за відсутності такої згоди - лише в інтересах національної безпеки, економічного добробуту та прав людини.
Таємна інформація - інформація, доступ до якої обмежується відповідно до закону, розголошення якої може завдати шкоди особі, суспільству і державі. Таємною визнається інформація, яка містить державну, професійну, банківську таємницю, таємницю слідства та іншу передбачену законом таємницю. Обмеження доступу до інформації, що становить державну таємницю здійснюється відповідно до зводу відомостей, що становлять державну таємницю, який затверджується службою безпеки України.
До службової може належати інформація, що міститься в документах суб'єктів владних повноважень, які становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов'язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню або прийняттю рішень; зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці.
Документам, що містять інформацію, яка становить службову інформацію, присвоюється гриф "для службового користування". Обмеження доступу до інформації здійснюється відповідно до переліку відомостей, що становлять службову інформацію, який складається органами державної влади, органами місцевого самоврядування, іншими суб'єктами владних повноважень та постанові №1893 від 27 листопада 1998 року. 1.3 Технічні канали витоку інформації
Залежно від способу перехоплення, від фізичної природи виникнення сигналів, а також середовища їх розповсюдження технічні канали витоку інформації можна розділити на електромагнітні, електричні та параметричні [6]. 1.3.1 Електромагнітні канали Для електромагнітних каналів характерними є побічні випромінювання:
* електромагнітні випромінювання технічних засобів обробки інформації. Носієм інформації є електричний струм. Сила струму, напруга, частота чи фаза якого змінюється за законом інформаційного сигналу; * електромагнітні випромінювання на частотах роботи високочастотних генераторів технічних засобів обробки інформації, допоміжних засобів обробки інформації. У результаті зовнішніх впливів інформаційного сигналу на елементах генераторів наводяться електричні сигнали, які можуть викликати ненавмисну модуляцію власних високочастотних коливань генераторів і випромінювання в навколишній простір; * електромагнітні випромінювання на частотах самозбудження підсилювачів низької частоти телекомунікаційних систем передачі інформації. Самозбудження можливо за рахунок випадкових перетворень негативних зворотних зв'язків у паразитні позитивні, що призводить до перекладу підсилювача з режиму посилення в режим створення сигналів, причому сигнал на частотах самозбудження, як правило, виявляється промодельованих інформаційним сигналом. 1.3.2 Електричні канали Можливими причинами виникнення електричних каналів витоку можуть бути: * наведення електромагнітних технічних засобів обробки інформації. Виникають при випромінюванні елемента технічних засобів обробки інформації інформаційних сигналів, а також за наявності гальванічної зв'язку, де є сполучні лінії технічних засобів обробки інформації і сторонніх провідників або лінії допоміжних засобів обробки інформації; * просочування електромагнітних сигналів у колі електроживлення. Можливо при наявності магнітної зв'язку між вихідними трансформатором підсилювача і трансформатором електроживлення, а також за рахунок нерівномірного навантаження на випрямляч, що призводить до зміни споживаного струму за законом зміни інформаційного сигналу;
* просочування інформаційних сигналів у колі заземлення. Утворюється за рахунок гальванічної зв'язку із землею різних провідників, що виходять за межі контрольованої зони, у тому числі нульового проводу мережі електроживлення, екранів, металевих труб систем опалення та водопостачання, металевої арматури тощо;
* знімання інформації з використанням закладних пристроїв. Представляють собою міні передавачі, що встановлюються в технічних засобах обробки інформації, випромінювання яких модулюється інформаційним сигналів і приймаються за межами контрольованої зони.
1.3.3 Параметричні канали Параметричні канали витоку інформації формуються шляхом "високочастотного опромінення" технічних засобів обробки інформації, при взаємодії електромагнітного поля з елементами технічних засобів обробки інформації відбувається пере випромінювання електромагнітного поля, промодельованої інформаційним сигналом.
Аналіз можливих каналів витоку і несанкціонованого доступу, показує, що істотну їх частину складають технічні канали витоку акустичної інформації, носієм якої є акустичні сигнали. Залежно від середовища розповсюдження акустичних коливань, способів їх перехоплення і фізичної природи виникнення інформаційних сигналів технічні канали витоку акустичної інформації можна розділити на повітряні, вібраційні, електроакустичні, оптико-електронні та параметричні.
1.3.3.1 Повітряні технічні канали. У повітряних технічних каналах витоку інформації середовищем поширення акустичних сигналів є повітря, і для їх перехоплення використовуються мініатюрні високочутливі і спрямовані мікрофони, які з'єднуються з диктофонами або спеціальними міні передавачами. Подібні автономні пристрої, що поєднують мікрофони і передавачі, зазвичай називають закладними пристроями або акустичними закладками. Перехоплена цими пристроями акустична інформація може передаватися по радіоканалу, по мережі змінного струму, сполучних лініях, стороннім провідникам, труб і т.п.
Особливої уваги заслуговують закладні пристрої, прийом інформації з яких можна здійснювати з звичайного телефонного апарату. Для цього їх встановлюють або безпосередньо в корпусі телефонного апарата, або підключають до телефонної лінії в розетку. Подібні пристрої, конструктивно об'єднують мікрофон і спеціальний блок комутації, часто називають "телефонним вухом". При подачі в лінію кодованого сигналу або при додзвоні до контрольованого телефону за спеціальною схемою блок комутації підключає мікрофон до телефонної лінії і здійснює передачу акустичної (зазвичай мовної) інформації по лінії практично на необмежену відстань.
1.3.3.2 Вібраційні канали. На відміну від розглянутих вище каналів у вібраційних, або структурних, каналах витоку інформації середовищем поширення акустичних сигналів є не повітря, конструкції будівель (стіни, стелі, підлоги), труби водо і теплопостачання, каналізації та інші тверді тіла. У цьому випадку частка перехоплення акустичних сигналів використовуються контактні, електронні (з підсилювачем) і радіо стетоскопами (при передачі по радіоканалу).
1.3.3.3 Електроакустичні канали. Електроакустичні канали витоку інформації зазвичай утворюються за рахунок електроакустичних перетворень акустичних сигналів в електричні за двома основними напрямками: шляхом "високочастотного нав'язування" і шляхом перехоплення через додаткові технічні засоби і системи. Технічний канал витоку інформації шляхом високочастотного нав'язування утворюється шляхом несанкціонованого контактного введення струмів високої частоти від ВЧ генераторів в лінії, що мають функціональні зв'язки з елементами допоміжних технічних засобів і систем, на яких відбувається модуляція ВЧ сигналу інформаційним. Найбільш часто подібний канал витоку інформації використовують для перехоплення розмов, що ведуться в приміщенні, через телефонний апарат, що має вихід за межі контрольованої зони. З іншого боку, допоміжні технічні засоби і системи можуть самі містити електроакустичні перетворення. До таких допоміжним технічних засобів і систем відносяться деякі датчики пожежної сигналізації, гучномовці ретрансляції мережі і т.д. Використовуваний в них ефект звичайно називають мікрофонним ефектом.
Перехоплення акустичних коливань у цьому випадку здійснюється виключно просто. Наприклад, підключаючи розглянуті кошти до сполучних ліній телефонних апаратів з електромеханічними дзвінками, можна, коли слухавку прослуховувати розмови, що ведуться в приміщеннях, де встановлені ці телефони.
1.3.3.4 Оптико-електронний канал. При опроміненні лазерним променем вібруючих в акустичному полі тонких відображають поверхонь, таких, як скло вікон, дзеркал, картин тощо, створюється оптико-електронний, або лазерний, канал витоку акустичної інформації. Відбите лазерне випромінювання модулюється по амплітуді і фазі, і приймаються приймачем оптичного випромінювання, при демодуляції якого виділяється мовна інформація. Для перехоплення мовної інформації по даному каналу використовуються радіолокаційні системи, що працюють, як правило, в ближньому інфрачервоному діапазоні хвиль і відомих як "лазерні мікрофони". Дальність перехоплення складає кілька сотень метрів.
1.3.3.5 Параметричний канал. Параметричний канал витоку інформації утворюється в результаті впливу акустичного поля на елементи високочастотних генераторів і зміни взаємного розташування елементів схем, проводів, дроселів і т.п., що призводить до змін параметрів сигналу, наприклад модуляції його інформаційним сигналом. Промодельовані високочастотні коливання випромінюються в навколишній простір і можуть бути перехоплені і детектувати відповідними засобами. Параметричний канал витоку інформації може бути створений і шляхом "високочастотного опромінення" приміщення, де встановлені на пів активні заставні пристрої, що мають елементи, параметри яких (добротність, частота тощо) змінюються за законом зміни акустичного (мовного) сигналу.
Необхідно відзначити, що акустичний канал може бути джерелом витоку не тільки мовної інформації. У літературі описані випадки, коли за допомогою статистичної обробки акустичної інформації з принтера або клавіатури вдавалося перехоплювати комп'ютерну текстову інформацію, в тому числі здійснювати знімання інформації за системою централізованої вентиляції.
Особливий інтерес представляє перехоплення інформації при її передачі по каналах зв'язку, Це викликано тим, що в цьому випадку забезпечується вільний несанкціонований доступ до переданих сигналів. Єдиним гарантованим методом захисту інформації в цьому випадку є криптографічний захист. Залежно від виду каналів зв'язку технічні канали перехоплення інформації можна розділити на електромагнітні, електричні та індукційні.
Електромагнітні випромінювання передавачів засобів зв'язку, модульовані інформаційним сигналом, можуть перехоплюватися природним чином з використанням стандартних технічних засобів. Цей електромагнітний канал перехоплення інформації широко використовуються для прослуховування телефонних розмов, що ведуться по радіотелефону, стільниковим телефонам або радіорелейним і супутникових лініях зв'язку.
Електричний канал перехоплення інформації, переданої по кабельних лініях зв'язку, припускає контактна підключення до цих ліній. Цей канал найбільш часто використовується для перехоплення телефонних розмов, при цьому перехоплюється інформація може бути записана на диктофон або передана по радіоканалу. Подібні пристрої, що підключаються до телефонних лініях зв'язку та містять радіопередавачі для ретрансляції перехопленої інформації, звичайно називаються телефонними закладками.
Однак безпосереднє електричне підключення апаратури перехоплення є компрометуючому ознакою. Тому частіше використовується індукційний канал перехоплення, не вимагає контактного підключення до каналів зв'язку. Сучасні індукційні датчики здатні знімати інформацію з кабелів, захищених не тільки ізоляцією, але і подвійний бронею зі сталевої стрічки і сталевого дроту, щільно обвиваючи кабель.
Останнім часом стало приділятися велика увага витоку видової інформації, одержуваної технічними засобами у вигляді зображень об'єктів або копій документів шляхом спостереження за об'єктом, зйомки об'єкта і зйомки (копіювання) документів. Залежно від умов спостереження зазвичай використовуються відповідні технічні засоби, наприклад оптика.
Для документування результатів спостереження проводиться зйомка об'єктів, для чого використовуються фотографічні і телевізійні засоби, що відповідають умовам зйомки. Для зняття копій документів використовуються електронні і спеціальні (закамуфльовані) фотоапарати, Для дистанційного знімання видової інформації використовують відео закладки.
Найбільш динамічно розвиваються останнім часом методи знімання комп'ютерної інформації. Основні можливості несанкціонованого доступу забезпечуються спеціальним математичним забезпечення, що включає в себе такі складові, як комп'ютерні віруси, "логічні бомби", "троянські коні", програмні закладки.
Розглянуті вище методи отримання інформації засновані на використанні зовнішніх каналів витоку. Однак необхідно зупинитися і на внутрішніх каналах витоку інформації. Внутрішні канали витоку пов'язані, як правило, з адміністрацією і обслуговуючим персоналом, з якістю організації режиму роботи. З них в першу чергу можна відзначити такі канали витоку, як розкрадання носіїв інформації, знімання інформації з стрічки принтера і погано стертих дискет, використання виробничих і технологічних відходів, візуальний з'їм інформації з дисплея і принтера, несанкціонованого копіювання і т.п.
1.4 Напрямки захисту інформації в інформаційно-телекомунікаційній системі
Комплексна система захисту інформації (КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.
Одним з напрямків захисту інформації в комп'ютерних системах є технічний захист інформації (ТЗІ). В свою чергу, питання ТЗІ розбиваються на два великих класи задач:
* захист інформації від несанкціонованого доступу (НСД); * захист інформації від витоку технічними каналами.
Для забезпечення ТЗІ створюється комплекс технічного захисту інформації, що є складовою КСЗІ.
Під НСД звичайно розуміється доступ до інформації, що порушує встановлену в інформаційній системі політику розмежування доступу. Під технічними каналами розглядаються канали побічних електромагнітних випромінювань і наводок (ПЕМВН), акустичні канали, оптичні канали та інші.
Захист від НСД може здійснюватися в різних складових інформаційної системи:
* прикладне та системне ПЗ;
* апаратна частина серверів та робочих станцій;
* комунікаційне обладнання та канали зв'язку;
* периметр інформаційної системи.
Для захисту інформації на рівні прикладного та системного ПЗ використовуються:
* системи розмежування доступу до інформації;
* системи ідентифікації та автентифікації;
* системи аудиту та моніторингу;
* системи антивірусного захисту.
Для захисту інформації на рівні апаратного забезпечення використовуються:
* апаратні ключі.
* системи сигналізації.
* засоби блокування пристроїв та інтерфейс вводу-виводу інформації.
Для ТЗІ в комунікаційних системах використовуються такі засоби мережевого захисту інформації:
* міжмережеві екрани (англ. Firewall) - для блокування атак з зовнішнього середовища (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway та Alteon Switched Firewall від компанії Nortel Networks). Вони керують проходженням мережевого трафіку відповідно до правил (англ. policies) захисту. Як правило, міжмережеві екрани встановлюються на вході мережі і розділяють внутрішні (приватні) та зовнішні (загального доступу) мережі;
* системи виявлення втручаннь (англ. Intrusion Detection System) - для виявлення спроб несанкціонованого доступу як ззовні, так і всередині мережі, захисту від атак типу "відмова в обслуговуванні" (Cisco Secure IDS, Intruder Alert та NetProwler від компанії Symantec). Використовуючи спеціальні механізми, системи виявлення вторгнень здатні попереджувати шкідливі дії, що дозволяє значно знизити час простою внаслідок атаки і витрати на підтримку працездатності мережі;
* засоби створення віртуальних приватних мереж (англ. Virtual Private Network) - для організації захищених каналів передачі даних через незахищене середовище (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator). Віртуальні приватні мережі забезпечують прозоре для користувача сполучення локальних мереж, зберігаючи при цьомуконфіденційність та цілісність інформації шляхом її динамічного шифрування;
* засоби аналізу захищеності - для аналізу захищеності корпоративної мережі та виявлення можливих каналів реалізації загроз інформації (Symantec Enterprise Security Manager,Symantec NetRecon). Їх застосування дозволяє попередити можливі атаки на корпоративну мережу, оптимізувати витрати на захист інформації та контролювати поточний стан захищеності мережі.
Захист інформації від її витоку технічними каналами зв'язку забезпечується такими засобами та заходами:
* використанням екранованого кабелю та прокладка проводів та кабелів в екранованих конструкціях;
* встановленням на лініях зв'язку високочастотних фільтрів;
* побудовою екранованих приміщень ("капсул");
* використанням екранованого обладнання;
* встановленням активних систем зашумлення;
* створенням контрольованої зони.
1.5 Загальний опис процесу побудови комплексу технічного захисту інформації на об'єкті інформаційної діяльності
Створення комплексу ТЗІ поділяється на декілька етапів. Першим етапом є виконання перед проектних робіт на ОІД, де передбачається:
* проведення обстеження на діючому ОІД;
* розроблення моделі загроз для ІзОД або доповнення до діючої моделі загроз відповідно до положень НД системи ТЗІ;
* розроблення технічних завдань на створення комплексу ТЗІ (технічних вимог з питань ТЗІ) [7].
1.5.1 Порядок проведення обстеження на ОІД
Метою обстеження є підготовка вихідних даних для формування вимог щодо створення комплексу ТЗІ.
Обстеження на ОІД проводить комісія, склад якої затверджується керівником установи-замовника згідно із затвердженою програмою (за необхідності). До складу комісії включають: фахівців структурних підрозділів установи, підрозділи-зявники, інформаційна діяльність яких пов'язана з ІзОД і які заявляють створення комплексу ТЗІ, підрозділ, якому доручено супроводження робіт з ТЗІ в установі, інші підрозділи щодо будівництва, енергопостачання тощо.
Програма проведення обстеження на ОІД може містити:
- назву установи, що замовляє створення комплексу ТЗІ;
- назву ОІД;
- підстави для проведення обстеження (рішення керівника установи щодо створення комплексу ТЗІ);
- перелік, обсяги робіт з обстеження, терміни їх виконання;
- виконавці, співвиконавці обстеження [8-10].
Під час обстеження проводять аналіз:
* умов функціонування ОІД, особливостей розташування його на місцевості, відносно меж контрольованої зони (КЗ), архітектурно-будівельних особливостей тощо;
* технічних засобів, що оброблятимуть ІзОД, та технічних засобів, які не використовують безпосередньо для її оброблення, визначають місця їх розташування на ОІД;
* розташування інженерних комунікацій та металоконструкцій, виявляють транзитні, незадіяні (повітряні, зовнішні, підземні) комунікації (для опрацювання пропозицій щодо їх вилучення чи доопрацювання), а також такі, що виходять за межі КЗ;
* необхідності впровадження інженерних і технічних заходів захисту від витоку ІзОД технічними каналами. Результати обстеження на ОІД викладають в акті. Зміни до затвердженого керівником установи-замовника Акта обстеження на ОІД оформляють доповненням, де пояснюється причина його складання та наводяться номери і зміст пунктів акта, які доповнюються, змінюються або замінюються.
Після затвердження доповнення на першому аркуші Акта обстеження на ОІД роблять позначення "Діє з доповненням від ... № ...".
1.6 Нормативні документи, що використовуються для побудови КТЗІ
Закон України Про інформацію.
Закон України Про доступ до публічної інформації.
ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення.
ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт.
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.
ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва.
ДБН А.2.2-3-2004 Проектування. Склад, порядок розроблення, погодження та затвердження проектної документації для будівництва.
ТПКО 95 Тимчасове положення про категоріювання об'єктів.
ТР ЕОТ Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок. НД ТЗІ 3.1-001-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи. НД ТЗІ 3.3-001-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації.
НД ТЗІ 2.1-002-07 Захист інформації на об'єктах інформаційної діяльності. Випробування комплексу технічного захисту інформації. Основні положення.
НД ТЗІ 1.1-005-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення.
НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.
1.7 Опис структури та змісту технічного завдання на створення КТЗІ
Розроблення технічного завдання (ТЗ) є обов'язковим для комплексів ТЗІ, які будуть створюватися під час нового будівництва споруди, а також для створення комплексів ТЗІ на особливо важливих об'єктах. Підрозділ-заявник створення комплексу ТЗІ організовує розроблення ТЗ (технічних вимог), узгодження його з виконавцями робіт та подає на затвердження керівнику установи-замовника.
Підписи виконавців ТЗ розміщують на останньому аркуші.
Зміни до затвердженого ТЗ оформляють доповненням, де пояснюється причина його складання та наводяться номери і зміст пунктів ТЗ, які доповнюються, змінюються, або замінюються.
Після затвердження доповнення на титульному аркуші ТЗ роблять позначення "Діє з доповненням від ... № ...". У загальному випадку до складу ТЗ входять такі розділи і підрозділи:
а) загальні відомості.
б) вихідні дані для виконання робіт.
в) технічні вимоги до комплексу ТЗІ:
1) загальні вимоги;
2) вимоги щодо стійкості до зовнішніх впливів;
3) вимоги з безпеки експлуатації;
4) вимоги до метрологічного забезпечення;
5) вимоги щодо забезпечення охорони державної таємниці;
6) вимоги щодо технічного забезпечення виконання робіт;
7) вимоги щодо забезпечення безпеки при виконанні робіт;
г) вимоги до документації. д) етапи виконання робіт та порядок їх приймання.
При оформленні ТЗ залежно від складності, призначення та особливостей комплексу ТЗІ дозволено уточнювати зміст розділів, підрозділів, оформляти їх у вигляді додатків, вводити нові, виключати чи об'єднувати їх.
Розділ "Загальні відомості" містить:
- короткий опис, дислокацію ОІД; - підстави для виконання робіт;
- мету проведення робіт та головні завдання;
- дані про замовника і виконавців робіт;
- терміни виконання робіт.
У розділі "Вихідні дані для виконання робіт" наводять:
- відомості про результати проведення обстеження на ОІД, визначення загроз безпеці ІзОД, проведення категоріювання об'єктів, ступінь обмеження доступу до ІзОД, що озвучуватиметься та/або оброблятиметься технічними засобами тощо;
- основні технологічні, будівельні та архітектурно-планувальні рішення щодо ОІД;
- схеми (опис) систем опалення, вентиляції, електроживлення, інших систем життєзабезпечення, комунікацій, що виходять за межі контрольованої зони (КЗ), тощо.
У розділі "Технічні вимоги до комплексу ТЗІ" наводять основні вимоги до захисту ІзОД на ОІД, вимоги до проведення випробувань і атестації комплексу ТЗІ.
Вимоги до комплексу ТЗІ мають відповідати сучасному рівню розвитку науки й техніки, зокрема сфери ТЗІ, та не повинні обмежувати розробника в реалізації найбільш ефективних техніко-економічних рішень. У підрозділі "Загальні вимоги" наводять: - перелік основних нормативно-правових актів і НД з питань ТЗІ, за вимогами яких розроблятиметься комплекс ТЗІ;
- вимоги до вибору засобів забезпечення ТЗІ, в тому числі забезпечення їх безперебійного електроживлення та заземлення;
- перелік інформаційно-телекомунікаційних систем (автоматизованих систем, систем міського та внутрішнього телефонного зв'язку, радіотрансляції, телебачення тощо), засобів та систем життєзабезпечення (систем електроживлення обладнання, освітлення приміщень, заземлення, охоронної і пожежної сигналізації, опалення, вентиляції, кондиціювання) тощо, що функціонуватимуть на ОІД;
* встановлені межі КЗ, межі зон безпеки ІзОД на ОІД для кожного можливого технічного каналу витоку інформації;
* вимоги щодо взаємодії з іншими комплексами (системами) інформаційної безпеки установи.
У підрозділах "Вимоги щодо стійкості до зовнішніх впливів", "Вимоги з безпеки експлуатації", "Вимоги до метрологічного забезпечення" вказують відповідні вимоги чинних в Україні нормативних документів (ГОСТ, ДСТУ тощо).
Засоби вимірювальної техніки, що використовуються при проведенні робіт з ТЗІ, мають пройти повірку згідно з вимогами законодавства України.
У підрозділі "Вимоги щодо забезпечення охорони державної таємниці" вказують вимоги відповідних нормативно-правових документів.
У підрозділі "Вимоги щодо технічного забезпечення виконання робіт" вказується, що роботи проводяться виконавцем із застосуванням власної матеріально-технічної бази, необхідної для виконання робіт, або інше.
У підрозділі "Вимоги щодо забезпечення безпеки при виконанні робіт" вказують про обов'язковість дотримання вимог техніки безпеки, охорони праці та пожежної безпеки при виконанні робіт.
У розділі "Вимоги до документації" наводять перелік документів, які необхідно розробити для створення комплексу ТЗІ, наприклад:
* пояснювальна записка з ТЗІ; * завдання на розроблення (коригування) архітектурно-будівельної частини та інженерно-технічного забезпечення споруди з урахуванням вимог з ТЗІ;
* проектна документація щодо заходів ТЗІ, а також на будівельні закладні конструкції для монтажу засобів ТЗІ, засобів зв'язку, комп'ютерних мереж, телекомунікаційних систем, мереж електроживлення технічних засобів, електроосвітлення приміщень тощо, а також розділ "Заходи ТЗІ" загальної пояснювальної записки (ДБН А.2.2-2);
* план розміщення засобів захисту;
* кошторис на опрацювання, впровадження заходів з ТЗІ, а також проведення випробувань і атестації комплексу ТЗІ; * проект технічного паспорта на комплекс ТЗІ, форми паспортів на приміщення, де ІзОД озвучується та/або обробляється технічними засобами, інструкції з експлуатації комплексу ТЗІ (за необхідності).
Проектна та експлуатаційна документація мають бути розроблені відповідно до положень чинних в Україні нормативних документів.
Виконавець забезпечує проведення експертизи проектної документації в частині ТЗІ згідно з ДБН А2.2-2 та іншими НД. Вимоги до розроблення документації можуть уточнюватися і доповнюватися за погодженням між замовником і виконавцями робіт.
У розділі "Етапи виконання робіт та порядок їх приймання" наводять етапи виконання робіт (у т.ч. проведення випробувань і атестації комплексу ТЗІ), терміни виконання робіт, порядок їх приймання та здійснення будівельно-монтажних та налагоджувальних робіт (можливе посилання на календарні графіки щодо виконання робіт). 1.8 Висновки
В розділі 1 демонструються законодавчі вимоги щодо необхідності впровадження комплексної системи захисту інформації та комплексу технічного захисту інформації на об'єктах інформаційної діяльності від її витоку технічними каналами. Найчастіше виток інформації здійснюється наступними основними технічними каналами витоку інформації: електромагнітний, електричний та параметричний. Розкривається структура та зміст технічного завдання, яке є основним документом на підставі якого виконуються роботи з побудови комплексу технічного захисту інформації, а також зазначається техніко-економічне обґрунтування необхідності проведення даного роду робіт на певному об'єкті.
Документ
Категория
Рефераты
Просмотров
460
Размер файла
198 Кб
Теги
частина, анал, тична
1/--страниц
Пожаловаться на содержимое документа