Разработка системы технической защиты информации типичного объекта
Анализ технологий обработки информации. Построение системы защиты информации, порядок контроля за ее состоянием, определение и анализ угроз. Защита информации, которая циркулирует в системах звукоусиления. Техническая защита банковских операций.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 19.10.2011 |
Размер файла | 474,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
При решении вопросов распределения ответственности за безопасность компьютерной системы необходимо учитывать следующие положения [7]:
1. никто, кроме руководства, не может принять основополагающих решений в области политики компьютерной безопасности;
2. никто, кроме специалистов, не сможет обеспечить правильное функционирование системы безопасности;
3. никакая внешняя организация или группа специалистов жизненно не заинтересованы в экономической эффективности мер безопасности.
К области стратегических решений при создании системы компьютерной безопасности должна быть отнесена разработка общих требований к классификации данных, хранимых и обрабатываемых компьютерной системой. Во многих случаях существует путаница между понятиями конфиденциальности (секретности) и важности информации.
2. Анализ угроз ТЗИ
2.1 Короткое описание возможной утечки информации каналами ПЭМВН
Чтобы справиться со стремительно нарастающим потоком информации, вызванным научно-техническим прогрессом необходимо постоянно пополнять свой арсенал разнообразными техническими средствами и системами, предназначенными для приема, передачи, обработки и хранения информации. Физические процессы, происходящие в таких устройствах при их функционировании, создают в окружающем пространстве побочные электромагнитные, акустические и другие излучения, которые в той или иной степени связаны с обработкой информации.
Подобные излучения могут обнаруживаться на довольно значительных расстояниях (до сотен метров) и, следовательно, использоваться злоумышленниками, пытающимися получить доступ к секретам. Поэтому мероприятия по ЗИ, циркулирующей в технических средствах, направлены, прежде всего, на снижение уровней таких излучений.
Чтобы принять такой объем информации, на принимающей стороне должна быть аппаратура, обладающая соответствующими характеристиками, т.е. имеющая необходимую чувствительность при определенном превышении сигнала над уровнем собственных помех, и обеспечивающая необходимую ширину полосы принимаемых сигналов при соответствующей длительности их передачи [10].
К основным информационным характеристикам канала относятся:
местоположение начала и конца канала;
форма передаваемой информации (дискретная, непрерывная) в звеньях канала;
структура канала передачи (датчик, кодер, модулятор, линия, демодулятор, декодер, устройство фиксации и др.);
вид канала (телефонный, телеграфный, телевизионный и др.);
скорость передачи и объем передаваемой информации;
способы преобразования информации в звеньях канала передачи (методы модуляции, кодирования и т.д.);
пропускная способность канала;
емкость канала.
Кроме того, классификация каналов передачи возможна по следующим признакам:
по виду сигналов и способу передачи;
по исполнению: проводные, кабельные, световодные, радио и другое;
по принципу действия: электромагнитные, оптические, акустические.
Технические каналы утечки информации принято делить на следующие типы:
радиоканалы (электромагнитные излучения радиодиапазона);
акустические каналы (распространение звуковых колебаний в любом звукопроводящем материале);
электрические каналы (опасные напряжения и токи в различных токопроводящих коммуникациях);
оптические каналы (электромагнитные излучения в инфракрасной, видимой и ультрафиолетовой части спектра);
материально-вещественные каналы (бумага, фото, магнитные носители, отходы и т.д.).
Источниками излучений в технических каналах являются разнообразные технические средства, в которых циркулирует информация с ограниченным доступом.
Такими средствами могут быть:
сети электропитания и линии заземления;
автоматические сети телефонной связи;
системы телеграфной, телекодовой и факсимильной связи;
средства громкоговорящей связи;
средства звуко- и видеозаписи;
системы звукоусиления речи;
электронно-вычислительная техника; электронные средства оргтехники.
Возможные каналы утечки информации получаются:
низкочастотными электромагнитными полями, которые возникают во время работы ТЗПИ и ДТЗС;
во время влияния на ТЗПИ и ДТЗС электрических, магнитных и акустических полей;
во время возникновения паразитной высокочастотной (ВЧ) генерации;
во время прохождения информационных (опасных) сигналов в круге электропитания;
во время взаимного влияния кругов;
во время прохождения информационных (опасных) сигналов в круге заземления;
во время паразитной модуляции высокочастотного сигнала;
вследствие ошибочных коммутаций и несанкционированных действий.
Во время пересылки информации с ограниченным доступом в элементах схем, конструкций, подводных и соединительных проводах технических средств протекают тока информационных (опасных) сигналов. Электромагнитные поля, которые возникают при этом, могут влиять на случайные антенны. Сигналы, принятые случайными антеннами, могут привести к образованию каналов утечки информации.
Источниками возникновения электромагнитных полей в ТЗПИ и ДТЗС могут быть неэкранированные провода, разомкнутые контуры, элементы контрольно-измерительных приборов, контрольные гнезда на усилительных блоках и пультах, неэкранированные конечные устройства, усилители мощности и линейные усилители, трансформаторы, дросселя, соединительные провода с большими токами, разъемы, гребенки, громкоговорители, кабельные линии.
Информативные (опасные) сигналы могут возникать на элементах технических средств, чувствительных к влиянию:
электрического поля (неэкранированные провода и элементы технических средств);
магнитного поля (микрофоны, громкоговорители, главные телефоны, трансформаторы, катушки индуктивности, дросселя, электромагнитные реле);
акустического поля (микрофоны, громкоговорители, главные телефоны, трансформаторы, катушки индуктивности, дросселя, электромагнитные реле).
При наличии в технических средствах элементов, способных превращать эти поля в электрические сигналы, возможная утечка информации незащищенными кругами абонентских линий связи, электропитания, заземления, управления, сигнализации.
Паразитная высокочастотная генерация (ПВЧГ) в ТЗПИ и ДТЗС возникает вследствие самовозбуждения усилительных устройств (активная ПВЧГ) или вследствие отражения сигналов от концов линий связи между усилителями во время переходных процессов (пассивная ПВЧГ).
Высокочастотные паразитные колебания, промодулированы информативным (опасным) сигналом за амплитудой, частотой и фазой (активная ПВЧГ) или за амплитудой и частотой (пассивная ПВЧГ), создают канал утечки информации.
ПВЧГ получается в элементах аппаратуры, которые охваченные отрицательной обратной связью и не имеют достаточного запаса стойкости, в концах линий связи между усилительными устройствами в моменты переключений через возникновение переходных процессов.
В процессе работы ТЗПИ и ДТЗС возможная утечка информации через источники электропитания:
в результате прохождения информационного (опасного) сигнала через технические средства на входном сопротивлении его источника питания может возникнуть напряжение, которое несет сигнал, который содержит информативную составную. Через выпрямительное устройство и силовой трансформатор этот сигнал распространяется сетевыми линиями за границы контролируемой территории;
во время прохождения голосового сигнала через конечное усилительное устройство может иметь место неравномерное потребление тока от источника питания. Ток, который потребляется усилителем от сети питания, может быть промодулирован информативным (опасным) сигналом, который проходит через усилитель.
Трасы кабельных кругов, которые несут ИсОД, могут прокладываться в одной кабельной канализации с незащищенными каналами ТЗПИ и ДТЗС и проходить через общие протяжные коробки и шкафы.
Во время пересылки информационного (опасного) сигнала одним витком в соседних витках - за их параллельного пробега - появляются тока, приведенные вследствие электромагнитного влияния. Переход электромагнитной энергии с одного витка в другой есть возможным каналом утечки информации.
Источниками образования информационных (опасных) сигналов есть участки, охваченные случайными емкостными и магнитными связями. Такими участками могут быть отрезки параллельного пробега линий, которые несут ИсОД, с незащищенными линиями, которые уходят за границы контролируемой территории, витки кабеля, что служат для коммутации исходных линий в пробеге, монтажные колодки, разъемы блоков, контакты переключателей и реле, используемые для коммутации исходных линий, блоки, которые испытывают влияние электромагнитного поля.
Вытек информации в цепи заземления может произойти по такой причине:
при наличии контуров в системе заземления, если существуют две или больше точки соединения цепей, который несут ИсОД, с заземлителем;
вследствие несовершенства экранов и возникновение паразитных связей. Исток может распространяться как симметричными, так и несимметричными путями.
Источником образования информационных (опасных) сигналов есть элементы кругов и схем, если эти элементы находятся под потенциалом таких сигналов и выходят из экранов.
Во время поступления высокочастотных сигналов в нелинейные (или параметрические) кольца, которые несут ИсОД, происходит модуляция высокочастотного сигнала. Таким образом, высокочастотные колебания становятся носителями информационных (опасных) сигналов и создают канал утечки информации.
Линиями, на которые подается или из которых снимается высокочастотный сигнал, могут быть незащищенные линии связи, цепи электропитания, заземления, управления и сигнализации, цепи, образованные паразитными связями, конструктивными элементами домов, сооружений, оснащения и т.п. Источниками информационных (опасных) сигналов есть нелинейные радиоэлементы, на которые происходит модуляция таких сигналов.
Во время возникновения неисправностей в аппаратуре или несанкционированных действиях обслуживающего персонала в схемах управления может возникнуть нежелательная коммутация информационного (опасного) сигнала, которая приводит к выходу ИсОД в незащищенный канал связи.
Источниками информационного (опасного) сигнала этого канала являются пульты управления, щиты распределения и коммутации, блоки контроля, реле, трансформаторы, разъемы, переключатели или запоминающие устройства, в которых может возникнуть ошибочная коммутация в результате неисправностей или несанкционированных действий.
Основными параметрами возможной утечки информации каналами ПЕМВН есть:
напряженность электрического поля информационного (опасного) сигнала;
напряженность магнитного поля информационного (опасного) сигнала;
величина звукового давления;
величина напряжения информационного (опасного) сигнала;
величина напряжения приведенного информационного (опасного) сигнала;
величина напряжения шума (помех);
величина тока информационного (опасного) сигнала;
величина чувствительности к влиянию магнитных полей для точечного источника;
величина чувствительности аппаратуры к влиянию электрических полей (собственная емкость аппаратуры);
величина чувствительности к влиянию акустических полей;
отношения "информативный сигнал/шум";
отношения напряжения опасного сигнала к напряжению шума (помех) в диапазоне частот информационного сигнала.
Указанные параметры определяются и рассчитываются по результатам измерений в заданных точках.
Предельно допустимые значения основных параметров есть нормированными величинами и определяются по соответствующим методикам.
Отношения расчетных (вымеренных) значений основных параметров к предельно допустимых (нормированных) значений определяют необходимые условия защиты информации.
2.2 Защита информации которая циркулирует в системах звукоусиления
Как оборудования систем звукоусиления, предназначенных для обслуживания проведенных в ЗП закрытых мероприятий, и систем звукового сопровождения кинофильмов, которые содержат конфиденциальные сведения, необходимо использовать оборудования, которое удовлетворяет требованиям стандартов по электромагнитной совместимости России, Европейских стран, США. В случае необходимости, для повышения уровня защищенности рекомендуется применять оборудование, сертифицированное по требованиям безопасности информации или прошлое специальные исследования и распоряжения, которые имеет, на эксплуатацию.
Системы звукоусиления должны выполняться по ведущей схеме передачи информации экранированными проводами и располагаться в границах КЗ.
С целью уменьшения побочных электромагнитных излучений целесообразно использовать систему звукоусиления с рассредоточенной системой звукоизлучателей, то есть следует отдавать предпочтение системам с большим количеством конечных устройств маленькой мощности перед системами с маленьким количеством конечных устройств большой мощности [4].
В качестве конечных устройств рекомендуется использовать звуковые столбики, которые выпускаются в защищенном выполнении.
Можно использовать громкоговорители, которые выпускаются в обычном выполнении, с экранированными магнитными цепями (например: 0,5ГДШ-5, 0,5ГД-54, 1ГДШ-2, 1ГДШ-6, 1ГДШ-28, 2ГДШ-3, 2ГДШ-4, ЗГДШ-1 или укомплектованные ними звуковые столбики (например: 2КЗ-7, 6КЗ-8, 12КЗ-18).
В этом случае звуковые столбики (громкоговорителе) следует заэкранировать по электрическому полю с помощью металлической сетки с ячейкой не более 1 гг, что заземляется из-за чего экранирует оплетку кабеля, который подводит.
В системах звукоусиления рекомендуется применять аппаратуру с симметричными входными и исходными цепями. В случае использования аппаратуры с несимметричным выходом, линии конечных устройств следует подключать к конечным усилителям через симетрирующие трансформаторы, устанавливаемые в непосредственной близости от конечных усилителей.
Как усилительное оборудование рекомендуется использовать усилители в металлических экранах с возможностью их заземления.
Коммутационное и распределительное оборудование (распределительные, входные и исходные щитки подключения) следует размещать в металлических шкафах (коробках). На корпусах шкафов (коробок) необходимо предусмотреть клеммы (винты) для их заземления и приспособление для опечатывания.
Усилительное и конечное оборудования СЗП, СЗСК следует размещать на возможно большем расстоянии относительно границы контролируемой зоны.
Система электропитания и заземления должна отвечать требованиям "Правил устройства электроустановок (ПУЭ)".
Рекомендуется электропитание и заземления аппаратуры СЗП и СЗСК осуществлять от подстанции и на заземлитель, расположенные в границах КЗ.
2.2.1 Защита информации при проведении звукозаписи
Запись и воспроизведения конфиденциальной речевой информации аппаратурой звукозаписи разрешается делать только в ЗП.
Для записи (воспроизведения) конфиденциальной информации должны применяться магнитофоны (диктофоны), которые удовлетворяют требованиям стандартов по электромагнитной совместимости России, Европейских стран, США. Для повышения уровня защищенности информации рекомендуется использовать магнитофоны (диктофоны), сертифицированные по требованиям безопасности информации или минувшие специальные исследования и имеющие распоряжения на эксплуатацию.
Носители информации (магнитные ленты, кассеты) должны учитываться и сохраняться в подразделах учреждения (предприятия) в порядке, установленному для конфиденциальной информации.
В учреждении (предприятии) должна быть предназначенное должностное лицо, ответственная за сохранение и использование аппаратуры звукозаписи конфиденциальной информации, и обеспеченное сохранение и использования этой аппаратуры, которая выключает несанкционированный доступ к ней.
2.2.3 Защита речевой информации при ее передаче по каналам связи
Передача конфиденциальной речевой информации из открытых ведущих каналов связи, которая выходит за пределы КЗ, и радиоканалам должна быть исключена.
При необходимости передачи конфиденциальной информации следует использовать защищенные линии связи (например, защищенные волоконно-оптические), устройства скремблирования или криптографической защиты.
Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
3. Построение системы защиты информации
3.1 Определения и анализ угроз
На первом этапе необходимо осуществить анализ объектов защиты, ситуационного плана, условий функционирования предприятия, учреждения, организации, оценить вероятность проявления угроз и ожидаемый вред от их реализации, подготовить засадные данные для построения отдельной модели угроз.
Источниками угроз может быть деятельность иностранных разысканий, а также намеренные или неумышленные действия юридических и физических лиц.
Угрозы могут осуществляться:
техническими каналами, которые включают каналы побочных электромагнитных излучений и наводок, акустические, оптические, радио-, радиотехнические, химические и прочие каналы;
каналами специального влияния путем формирования полей и сигналов с целью разрушения системы защиты или нарушения целостности информации;
несанкционированным доступом путем подключения к аппаратуру и линий связи, маскировка под зарегистрированного пользователя, преодоления мероприятий защиты для использования информации или навязывания ошибочной информации, применения подкладных устройств или программ и укоренение компьютерных вирусов.
Описание угроз и схематическое представление путей их осуществления составляют отдельную модель угроз.
3.2 Разработка системы защиты информации
На втором этапе следует осуществить разработку плана ТЗИ, что содержит организационные, первичные технические и основные технические мероприятия защиты ИсОД, определить зоны безопасности информации.
Организационные мероприятия регламентируют порядок информационной деятельности с учетом норм и требований ТЗИ для всех периодов жизненного цикла объекта защиты.
Первичные технические мероприятия предусматривают защиту информации блокированием угроз без использования средств ТЗИ.
Основные технические мероприятия предусматривают защиту информации с использованием средств обеспечения ТЗИ.
Для технической защиты информации следует применять способ утаивания или способ технической дезинформации.
Мероприятия защиты информации должны [5]:
быть соответствующими угрозам;
быть разработанными с учетом возможного вреда от их реализации и стоимости защитных мероприятий и ограничений, которые вносятся ними;
обеспечивать заданную эффективность мероприятия защиты информации на установленный равные на протяжении времени ограничения доступа к ней или возможности осуществления угроз.
Уровень защиты информации определяется системой количественных и качественных показателей, которые обеспечивают решение задачи защиты информации на основе норм и требований ТЗИ.
Минимально необходимый уровень защиты информации обеспечивают ограничительными и фрагментарными мероприятиями противодействия опаснейшей угрозе.
Повышение уровня защиты информации достигается наращиванием технических мероприятий противодействия большого множества угроз.
Порядок расчета и инструментального определения зон безопасности информации, реализации мероприятий ТЗИ, расчета эффективности защиты и порядок аттестации технических средств обеспечения информационной деятельности, рабочих мест (помещений) устанавливаются нормативными документами с ТЗИ.
3.3 Техническая защита банковских операций
3.3.1 Общие положения
Распространенное использование, информационных, телекоммуникационных систем в государственных ведомствах Украины и в предприятиях всех форм имущества в условиях тяжелых межгосударственных отношений требует проводить мероприятия по обеспечению защиты информации.
Одной из составляющих информационной безопасности есть техническая зашита информации. Государственные стандарты Украины определяют техническую защиту информации (ТЗИ), как деятельность направленную на предотвращение утечки информации техническими каналами, ее блокирования или нарушение целостности.
3.3.2 Возможные угрозы банковским операциям
К числу возможных угроз информации можно отнести утечку, блокирование или нарушение целостности информации во время применения технических средств или технологий, несовершенных по отношению к защите информации.
Утечка информации: не контролированное распространение информации, которое приводить к ее получению. На сегодняшнее время существует большое количество средств технической разведки, которые позволяют скрыто осуществлять данную задачу.
Технический канал утечки информации (ТКВИ): совокупность носителей информации, среды ее распространения и способов технической разведки осуществляет несанкционированный доступ к информации (НСД).
Блокирование информации: невозможность санкционированного доступа к информации.
Нарушение целостности информации: искажение информации, ее разрушение или уничтожение.
Нарушение целостности информации может осуществляться без физического контакта из ТЗПИ с помощью специальных устройств, которые осуществляет специальное воздействие [5].
В банковских учреждениях разведка информации может осуществляться:
- за счет побочных электромагнитных излучений (ПЭМИ) ТЗПИ, которые обрабатывают банковскую операцию.
- За счет наводки ПЭМИ ТЗПИ на проводники, коммуникации, которые выходят за рамки контролированной территории. (КТ)
- за счет наблюдения средствами визульно-оптической разведки или фотографирование изображений мониторов, текстовых документов, плакатов.
- Перехват словесной информации направленными микрофонами на больших расстояниях;
- С помощью применения радиомикрофонов которые устанавливаются в выделенные помещения, диктофонов, а также мобильных телефонов, со скрытой инициализацией;
- С помощью применения явлений акустоэлектрических преобразований в телефонных аппаратах городской сети и ВЧ навязывания;
- С помощью контактных и неконтактных датчиков виброакустических волн поверхностей и предметов под воздействием акустического поля разговоров людей;
Из приведенного выше следует вывод, что существует большое количество ТКУИ, которая может нести конфиденциальную информацию.
3.3.3 Типичные мероприятия и средства ТЗИ от утечки
Государственными стандартами были приняты три группы средств ТЗИ: организационные, первичные технические и основные технические.
Организационные мероприятия регламентируют порядок информационной деятельности с учетом норм и требований ТЗИ для всех периодов жизненного цикла объекта защиты.
Первичные технические мероприятия предусматривают защиту информации блокированием угроз без использования средств ТЗИ.
Основные технические мероприятия предусматривают защиту информации с использованием средств обеспечения ТЗИ.
Организационные мероприятия защиты информации - комплекс административных ограничивающих мероприятий, направленных на оперативное решение задач защиты регламентации деятельности персонала и порядка функционирования средств обеспечения ТЗИ [10].
В процессе разработки и реализации мероприятий нужно:
- определить отдельные задачи ИсОД.
- обосновать структуру и технологию функционирования систем защиты информации;
- разработать и ввести правила реализации мероприятий ТЗИ;
- определить и установить права и обязательства подразделений и лиц, которые берут участие в обработке ИсОД;
- приобрести средства обеспечения ТЗИ и нормативные документы и обеспечить ими предприятие;
- установить порядок внедрения защищенных средств обработки информации, а также средств контроля ТЗИ;
- установить порядок контроля функционирования систем защиты информации та ее качественных характеристик;
- определить зоны безопасности информации;
- установить порядок проведения аттестации системы ТЗИ, ее элементов и разработать программы аттестационного испытания.
- обеспечить управление системою защиты информации;
3.3.4 Решение задач ТЗИ
Оперативное решение задач ТЗИ достигается организацией управления системою защиты информации, для чего необходимы:
- изучить и проанализировать технологию прохождения ИсОД;
- оценить наклонность ИсОД к влиянию угроз в конкретный момент времени;
- оценивать ожидаемую эффективность применения средств обеспечения ТЗИ;
- определить дополнительную потребность в средствах обеспечения ТЗИ;
- разрабатывать и реализовывать пропозиции к корректировки плана ТЗИ в целом или отдельных его элементов.
В процессе реализации первичных технических мероприятий нужно обеспечить:
- блокировку каналов утечки информации;
- блокировку несанкционированного доступа к информации или ее носителей;
- проверку работоспособности технических средств обеспечения ИД.
3.3.5 Блокирование каналов утечки информации
Блокирование каналов утечки информации может осуществляться:
- демонтированием технических средств, линий связи, сигнализации та управления, энергетических сетей, использование которых не связано с жизнеобеспечением предприятия и обработки ИсОД;
- удаление отдельных элементов технических средств, которые являются средой распространения сигналов, с помещений где циркулирует ИсОД;
- временное отключение технических средств, которые не берут участия в обработке ИсОД, от линий связи, сигнализации, управления и энергетических сетей;
- применение средств и схемных решений защиты информации, которые не нарушают основные технические характеристики средств обеспечения ИД [5].
3.3.6 Блокирование несанкционированного доступа
Блокирование несанкционированного доступа к информации или ее носителей может осуществляться:
- созданием условий работы в пределах установленного регламента;
- невозможность использования программных, програмно-аппаратных средств, которые не прошли проверки;
Проверку исправности и работоспособности технических средств и систем обеспечения ИД необходимо проводить соответственно эксплуатационных документов.
Найденные неисправные блоки и элементы могут содействовать утечке или нарушению целостности информации и подлежат немедленной замене;
В процессе реализации основных технических мероприятий защиты нужно:
- установить средства определения и индикации угроз и проверить их работоспособность;
- установить защищенные средства обработки информации, средства ТЗИ и проверить их работоспособность;
- применить программные средства защиты в средствах вычислительной техники, автоматизированных систем, провести их функциональное тестирование и тестирование на соответствие требований защищенности;
- применить специальные инженерно технические сооружения, средства;
Выбор средств обеспечения ТЗИ обусловливается фрагментарным или комплексным способом защиты информации.
Фрагментарная защита обеспечивает противодействие некоторой угрозе.
Комплексная защита обеспечивает одновременно противодействию множеству угроз.
Средства определения и индикации угроз применяют для сигнализации и оповещения владельца ИсОД об утечке информации или нарушения ее целостности.
Средства ТЗИ применяют автономно или вместе с техническими средствами обеспечения ИД для пассивного или активного скрытия ИсОД.
Для пассивного скрытия применяют фильтры - ограничители, линейные фильтры, специальные абонентские устройства защиты и электромагнитные экраны.
Для активного скрытия применяют генераторы линейного и пространственного защемления [5].
Программные средства применяют для обеспечения:
- идентификации и аутентификации пользователей, персонала и ресурсов системы обработки информации;
- разграничение доступа пользователей к информации, средств вычислительной аппаратуры и технических средств автоматизированных систем;
- целостности информации и конфигурацию автоматизированных систем;
- регистрация и учет действий пользователей;
- скрытие обрабатываемой информации;
- реагирование на попытки несанкционированных действий;
Специальные инженерно технические сооружения, средства и системы используют для оптического, акустического, электромагнитного и другого экранирования носителей информации.
К ним относятся специально заделанные светопроникающие, технологические, и санитарно технические отверстия, а также специальные камеры, перекрытия, каналы и т.д.
Размещение, монтаж и прокладка инженерно технических средств и систем, среди них систем ущемления и электропитание средств обеспечения ИД, следует осуществлять соответственно к требованием НД ТЗИ.
Технические характеристики, порядок применения и проверки средств обеспечения ТЗИ наводят в соответственно эксплуатационной документации.
3.4 Нормативные документы с ТЗИ
Нормативные документы разрабатываются в ходе проведения комплекса работ из стандартизации и нормирование в области ТЗИ.
Нормативные документы должны обеспечивать:
- проведения единой технической политики;
- создания и развитие единой терминологической системы;
- функционирования многоуровневых систем защиты информации на основе взаимно согласованных положений, методик, правил, требований и норм;
- функционирования систем сертификации, лицензирования и аттестации в соответствии с требованиями безопасности информации;
- развитие сферы услуг в области ТЗИ;
- установления порядка разработки, производства та эксплуатации средств обеспечения ТЗИ;
- организацию проектирования строительных работ в части обеспечения ТЗИ;
- подготовку и переподготовку кадров в системе ТЗИ.
Нормативные документы с ТЗИ делятся на:
- нормативные документы из стандартизации в области ТЗИ;
- государственные стандарты и приравненные к ним нормативные документы;
- нормативные акты межведомственного значения, которые регистрируются в Министерстве юстиции Украины;
- нормативные документы межведомственного значения технического характера, которые регистрируются органом, уполномоченным Кабинетом Министров Украины;
- нормативные документы ведомственного значения органов государственной власти и органов местного самоуправления.
Порядок проведения работ по стандартизации и нормирование в области ТЗИ устанавливается ДСТУ 1.0, ДБН А.1.1 - 1, документами системы ТЗИ.
Порядок разработки, оформления утверждения, регистрации, издания, внедрения, проверки, просмотра, изменения и отмена нормативных документов устанавливается ДСТУ 1.2, ДСТУ 1.3, ДСТУ 1.4, ДСТУ 1.5, ДБН А.1.1 - 2, документами системы ТЗИ.
3.4.1 Изучение государственных строительных норм Украины
Данные нормы устанавливают требования к обеспечению технической защиты информации во время организации проектирования строительства (нового строительства, расширения, реконструкции и капитального ремонта) предприятий, зданий и сооружений.
Нормы обязательные для применения субъектами инвестиционной деятельности Украины и представительствами Украины за границей при выполнении проектных и строительных работ с учётом требований технической защиты информации, которая содержит сведения, которые составляют государственную и другую предвиденную законодательством Украины тайну, а также конфиденциальной информации, что есть государственной собственностью (далее - информация с ограниченным доступом).
Нормы могут быть использованные субъектами, инвестиционная деятельность которых связана с технической защитой конфиденциальной информации, что не является собственностью государства.
Нормы разработанные в соответствии с законами Украины "Пpо государственную тайну", "Пpо информацию" и Положением о технической защите информации в Украине.
3.4.2 Общие положения
Техническая защита информации (ТЗИ) - это деятельность, которая направленная на своевременное выявление и противодействие угрозам безопасности информации с ограниченным доступом (ИсОД).
Угрозы могут осуществляться техническими каналами утечки ИсОД и каналами специального влияния на носителе ИсОД или средства обеспечения ТЗИ.
Носителями ИсОД могут быть электромагнитные и акустические поля, электрические сигналы и химические вещества.
К средствам обеспечения ТЗИ относятся средства выявления и индикации угроз, защищенные технические средства, средства ТЗИ, аппаратура специального контролю.
ИсОД может быть получена с помощью средств космической, воздушной, морской и наземной разведкой с использованием приборов оптической, оптико-электpонной, радиотехнической, электронной, лазерной и другого действия такими техническими каналами [10]:
вибро-акустическим, лазеpно-акустическим (излучением звукового та ультразвукового диапазонов частот);
радио-, радиотехническим (элекpомагнитное излучение в диапазоне радиочастот);
побочных электромагнитных излучений и наводок (электромагнитные излучения, что происходят во время работы средств обеспечения информационной деятельности под влиянием электрических и магнитных полей на случайные антенны в процессе акусто-электpических преобразований, во время возникновения паразитной высокочастотной генерации и паразитной модуляции, путем взаимного влияния кругов технических средств, предназначенных и не предназначенных для обработки ИсОД, и кол электpопотребления, электроосвещения, заземления, сигнализации и управления, во время ошибочных коммутаций и несанкционированных действий пользователей);
оптическим (электромагнитные излучения инфракрасного, видимого и ультрафиолетового диапазонов частот);
химическим (химические вещества разной природы, что используются как вещество, происходят в новых технологических процессах, во время разработки новых материалов, проведения испытаний специальной техники и изделий и помещаются в окружающую среду);
другими (радиационным, магнитометрическим и т.п.).
Специальное влияние на носителе ИсОД и средства обеспечения ТЗИ осуществляется путем формирования полей, сигналов и программ, что используются в технических средствах обеспечения информационной деятельности, с целью снижения эффективности функционирования системы защиты информации, изготовления технических каналов утечки, нарушения целостности информации (модификации, разрушения, уничтожения).
Решения относительно мероприятий ТЗИ принимает заказчик проектной документации для строительства (далее - заказчик) на основании действующих требований и норм.
На этапе проектирования осуществляется разработка организационных и технических мероприятий защиты ИсОД, что адекватные угрозам и обеспечивают запланированные технико-экономические показатели для установленных уровней защиты информации на протяжении времени ограничения доступа к ней или осуществления угроз ее безопасности.
Техническая защита ИсОД предусматривает применения систем инженерно-технических сооружений вместе с средствами обеспечения ТЗИ.
Требования ТЗИ должны быть изложены в задаче на проектирование мероприятий ТЗИ и учитываются в процессе проектирования объекта, особенно во время разработки:
ситуационного плана размещение объекта;
технологии производства;
принципиальных схем производства технологических процессов;
схемы генерального плана производственного комплекса;
архитектурно-строительных решений относительно объекта;
принципиальных решений с организации систем связи, сигнализации, управления, автоматизированных и других систем;
основных решений с организации строительства.
Задача на проектирования мероприятий ТЗИ должно быть составной частью общей задачи на проектирования объекта.
Ведомости о лицензиях на проведение проектных работ, содержание общей задачи на проектирование объекта, стадии разработки проектной документации приведенные в государственных строительных нормах (ГСН) про порядок разработки, согласования и утверждения проектной документации для строительства.
Во время разработки проектной документации для строительства с учётом требований ТЗИ необходимо управляться действующим законодательством Украины, государственными стандартами, строительными нормами и нормативными документами системы ТЗИ.
Затраты на проектирования и строительство, которое связанные с реализацией мероприятий ТЗИ, включаются к общим затратам на проектирование и строительство объекта.
3.4.3 Задание на проектирование мероприятий ТЗИ
Необходимость разработки проектной документации для строительства объекта с учетом требований ТЗИ должна быть определена после выполнения следующих подготовительных работ [9]:
определения количества помещений, в которых циркулирует информация, что подлежит технической защите;
обусловленность необходимости разработки мероприятий защиты ИсОД с учетом вреда от его утечки или нарушения целостности;
уточнения границ контролируемой территории на основе анализа угроз безопасности информации;
определения главных задач технической защиты ИсОД;
определения путей и средств реализации мероприятий ТЗИ с учетом технической и экономической целесообразности.
К началу выполнения проектных работ заказчик, при необходимости, готовит пересчет исходных данных для решения вопросов с ТЗИ.
Итоги подготовительных работ и исходные данные являются основанием для разработки задач на проектирование мероприятий ТЗИ.
В этой задаче должны быть изложены:
цель, задачи, требования ТЗИ;
исходные данные для проектирования комплексного ТЗИ;
требования к контролю за реализацией предусмотренных мероприятий ТЗИ.
Задача на проектирование мероприятий ТЗИ разрабатывается заказчиком и согласовывается с проектной организацией и, при необходимости, c организацией, которой подчинен заказчик.
Задача на проектирование мероприятий ТЗИ для особенно важных объектов согласовываются с уполномоченным Кабинетом Министров Украины органом.
В случае выдвижения заказчиком в ходе проектирования дополнительных требований технической защиты ИсОД, которые требуют корректирования принятых решений или дополнительной стоимости строительства, задача на проектирование мероприятий ТЗИ корректируется в соответствии с установленным порядком.
3.4.4 Разработка проектной документации
разработка документации передпроектных исследований
Содержание работ с ТЗИ при выполнении передпpоектных исследований:
выявления характерных особенностей объекта, которые влияют на выбор проектных решений с ТЗИ;
оценка условий реализации мероприятий ТЗИ;
ориентировочный выбор основных проектных решений с ТЗИ и их экономическое объяснение;
объяснение выбору площадки для строительства.
Во время выбору площадки для строительства с учетом мероприятий ТЗИ берут к вниманию специфические требования к объекту и окружающей местности.
В состав комиссии (комплексной бригады) с выбором площадки для строительства включаются специалисты по ТЗИ от заказчика и от проектной организации.
Принятие решений с ТЗИ преподаются в отдельном разделе документации передпроектных исследований, которое имеет название "Мероприятия ТЗИ".
Проектные решения с ТЗИ есть составной частью технологических, планировочных, архитектурных и конструкторских решений и должны разрабатываться соответствующими подразделениями проектной организации без раскрытия их предназначения.
Разработка проектной документации для строительства
Проектная документация для строительства объекта выполняется на основании задачи на проектирование и подтвержденного эскизного проекту или технико-экономического объяснения (документация передпpоектных исследований).
У проектной документации должны быть учтены требования ТЗИ при разработке:
технологии производства;
генерального плана;
зданий и сооружений;
систем инженерного обеспечения производства и технических средств.
Проектная документация разрабатывается авторами решений с ТЗИ, которые разрабатывали эскизный проект или технико-экономическое объяснения.
В состав проектной документации на осуществление мероприятий с ТЗИ должны входить:
рабочие чертежи;
финансовая документация;
спецификация оборудования и материалов.
Объяснение решений с ТЗИ, что предусмотрены в разделах проектной документации, преподаются в отдельном разделе "Мероприятия ТЗИ" общей объяснительной записки. В остальных разделах проектной документации, при необходимости, следует делать ссылки на раздел "Мероприятия ТЗИ".
3.4.5 Разработка проекта организации строительства
Hеобходимость включения мероприятий ТЗИ к проекту организации строительству объекта определяется потребностью реализации дополнительных мер ТЗИ во время его строительства.
Обеспечения выполнения предусмотренных проектом организации строительства решений с ТЗИ на объектах полагается на их руководителей.
3.4.6 Экспертиза проектной документации
Проектная документация с ТЗИ подлежит экспертизы на общих основаниях в соответствии с определенным порядком проведения государственной экспертизы инвестиционных проектов и программ и допуска должностных лиц к материалам ТЗИ.
Во время экспертизы проектной документации на строительство проверяются:
соответствие технических решений утвержденному в задаче на
проектирование мероприятий ТЗИ;
следование требований нормативных документов системы ТЗИ;
соответствие уровня выполненных разработок современному состоянию науки и техники в области ТЗИ.
В выводе экспертизы должны быть указанные результаты выполнения требований ТЗИ в проектной документации на строительство.
Выводы экспертизы заносятся до отдельного раздела экспертной документации.
Экспертизу проектной документации на строительство в особенности важных объектов необходимо проводить в установленном порядке с участием специалистов по вопросам ТЗИ.
Выводы экспертизы должны быть представлены в орган, который согласовал задачу на проектирование мероприятий ТЗИ.
3.5 Реализация плана защиты информации
На этом этапе следует реализовать организационные, перинные технические и основные технические мероприятия защиты ИсОД, установить необходимые зоны безопасности информации, провести аттестацию технических средств обеспечения информационной деятельности, рабочих мест (помещений) на соответствие требованиям безопасности информации.
Техническая защита информации обеспечивается применением защищенных программ и технических средств обеспечения информационной деятельности, программных и технических средств защиты информации (далее - средства ТЗИ) и средств контроля, которые имеют сертификат соответствия требованиям нормативных документов из технической защиты системы Укрсепро или разрешение на их использование от органа, а также применения специальных инженерно - технических сооружений, средств и систем (далее - средства обеспечения ТЗИ) [10].
Средства ТЗИ могут функционировать автономно или совместно с техническими средствами обеспечения информационной деятельности в виде самостоятельных устройств или встроенных в них составных элементов.
Состав средств обеспечения ТЗИ, перечень их поставщиков, а также послу с их установлением, монтажа, отладка и обслуживания определяется лицами, которые владеют, пользуются и распоряжаются ИсОД самостоятельно или за рекомендациями специалистов с ТЗИ в соответствии с нормативными документами с ТЗИ.
Предоставления услуг по ТЗИ, аттестацию и сервисное обслуживание средств обеспечения ТЗИ могут осуществлять юридические и физические лица, которые имеют лицензию на право проведения этих работ, выданную органом, уполномоченным Кабинетом Министров Украины.
Контроль функционирования и управления системой защиты информации.
На четвертом этапе следует провести анализ функционирования системы защиты информации, проверку выполнения мероприятий ТЗИ, контроль эффективности защиты, подготовить и выдать установочные данные для управления системой защиты информации.
Управления системой защиты информации состоит в адаптации мероприятий ТЗИ к текущей задаче защиты информации.
За фактами изменения условий осуществления или выявления новых угроз мероприятия ТЗИ реализуются в короче срок.
В случае необходимости повышение уровня защиты информации необходимо выполнить работы, предусмотренные 1,2 и 3 этапами построения системы защиты информации.
Порядок проведения проверок и контроля эффективности защиты информации устанавливается нормативными документами с ТЗИ.
3.5.1 Общие положения
Информация с ограниченным доступом (ИсОД) в процессе информационной деятельности (ИД), основными видами которой есть получения, использования, распространения и сохранения ИсОД, может испытывать влияние угроз ее безопасности (далее - угроза), в результате чего может состояться исток или нарушения целостности информации.
Склонность ИсОД к влиянию угроз определяет ее впечатлительность.
Способность системы защиты информации противостоять влиянию угроз определяет защищенность ИсОД.
Возможные такие варианты постановки задач защите информации:
- достижения необходимого уровня защиты ИсОД при минимальных затратах и допустимого уровня ограничений видов ИД;
- достижения наиболее возможного уровня защиты ИсОД при допустимых затратах и заданного уровня ограничений видов ИД;
- достижения максимального уровня защиты ИсОД при необходимых затратах и минимального уровня ограничений видов ИД.
Защита информации, которая не является государственной тайной, обеспечивается, как правило, применением первого или второго варианту.
Защита информации, которая составляет государственную тайну, обеспечивается, как правило, применения третьего варианту.
Содержание и последовательность работ по противодействию угрозам или их нейтрализации должны отвечать указанным в ДСТУ 3396.0-96 этапам функционирование системы защиты информации и состоят в:
- проведенные обследования предприятия, учреждения, органике (далее - предприятие);
- разработанные и реализации организационных, первичных технических, основных технических мероприятий с использованием средств обеспечения ТЗИ;
- приеме работ по ТЗИ;
- аттестации средств (систем) обеспечения ИД на соответствие требованиям нормативных документов системы ТЗИ (НД ТЗИ).
Порядок проведения работ по ТЗИ или отдельным их этапам устанавливается приказом (распоряжением) руководителя предприятия.
Работы должны выполняться силами предприятия под руководством специалистов с ТЗИ.
Для участия в роботах, представления методической помощи, оценивания полноты и качества реализации мероприятий защиты могут привлекаться специалисты с ТЗИ посторонних организаций, которые имеют лицензию уполномоченного Кабинетом Министров Украины органа.
3.5.2 Организация проведения обследования
Целью обследования предприятия есть изучения его ИД, определения объектов защиты - ИсОД, выявления угроз, их анализ и построение отдельной модели угроз. Обследования должно быть проведен комиссией, состав которой определяется ответственной за ТЗИ лицом и утверждается приказом руководителя предприятия.
В ходе обследования необходимо:
- провести анализ условий функционирования предприятия, его расположения на местности (ситуационного плана) для определения возможных источников угроз;
- исследовать средства обеспечения ИД, которые имеют выход за границы контролируемой территории;
- выучить схемы средств и систем жизнеобеспечения предприятия (электропитание, ущемления, автоматизации, пожарной и охранительной сигнализации), а также инженерных коммуникаций и металлоконструкций;
- исследовать информационные потоки и технологические процессы обработки информации;
- определить наличие и техническое состояние средств обеспечения ТЗИ;
- проверить наличие на предприятии нормативных документов, которые обеспечивают функционирование системы защиты информации, организацию проектирования строительных работ с учетом требований ТЗИ, а также нормативной и эксплуатационной документации, которое обеспечивает ИД;
- обнаружить наличие транзитных, незадействованных (воздушную, настенную, внешних и заложенных в канализацию) кабели, кругов и проводов;
- определить технические средства и системы, применения которых не обоснован служебной или производственной необходимостью и которые подлежат демонтированию;
- определить технические средства, которые требуют переоборудования (перемонтирования) и установления средств ТЗИ.
По результатам обследования следует составить акт, который должен быть утвержден руководителем предприятия.
Материалы обследования необходимо использовать во время разработки отдельной модели угроз, которые должна включать: генеральный и ситуационный планы предприятия, схемы расположения средств и систем обеспечения ИД, а также инженерных коммуникаций, которые выходят за пределы контролируемой территории; схемы и описания каналов утечки информации, каналов специального влияния и путей несанкционированного доступа к ИсОД; оценку вреда, которая предполагается от реализации угроз.
3.5.3 Организация разработки системы защиты информации
На основании материалов обследования и отдельной модели угроз необходимо определить главные задачи защите информации и составить техническую задачу (ТЗ) на разработку системы защиты информации.
ТЗ должно включать основные разделы:
- требования к системе защиты информации;
- требования к составу проектной и эксплуатационной документации;
- этапы выполнения работ;
- порядок внесения изменений и дополнений в разделе ТЗ;
- требования к порядку проведения испытания системы защиты.
Основной функционирования системы защиты информации есть план ТЗИ, что должен содержать такие документы:
- перечень распорядительных, организационно - методических, НД ТЗИ, а также указания относительно их применения;
- инструкции о порядке реализации организационных, первичных технических и основных технических мероприятий защиты;
- инструкции, которые устанавливают обязанности, права и ответственность персонала;
- календарный план ТЗИ.
ТЗ и план ТЗИ разрабатывают специалисты с ТЗИ, согласовывают с заинтересованными подразделами (организациями). Утверждает их руководитель предприятия.
3.5.4 Реализация организационных мероприятий защиты
Организационные мероприятия защиты информации - комплекс административных и ограничительных мероприятий, направленных на оперативное решение задач защите регламентации деятельности персонала и порядка функционирования средств (систем) обеспечения ТЗИ [10].
В процессе разработки и реализации мероприятий нужно:
определить отдельные сдачи защиты ИсОД;
обосновать структуру и технологию функционирования системы защиты информации;
разработать и внедрить правила реализации мероприятий ТЗИ;
определить и установить права и обязанности подразделов и лиц, которые принимают участие в обработке ИсОД;
приобрести средство обеспечения ТЗИ и нормативные документы и обеспечить ними предприятие;
установить порядок внедрения защищенных средств обработка информации, программных и технических средств защиты информации, а также средств контроля ТЗИ;
установить порядок контроля функционирования системы защиты информации и ее качественных характеристик;
Подобные документы
Обработка информации, анализ каналов ее возможной утечки. Построение системы технической защиты информации: блокирование каналов несанкционированного доступа, нормативное регулирование. Защита конфиденциальной информации на АРМ на базе автономных ПЭВМ.
дипломная работа [398,5 K], добавлен 05.06.2011Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Организация системы защиты информации во всех ее сферах. Разработка, производство, реализация, эксплуатация средств защиты, подготовка соответствующих кадров. Криптографические средства защиты. Основные принципы инженерно-технической защиты информации.
курсовая работа [37,5 K], добавлен 15.02.2011- Построение многоуровневой системы защиты информации, отвечающей современным требованиям и стандартам
Политика защиты информации. Возможные угрозы, каналы утечки информации. Разграничение прав доступа и установление подлинности пользователей. Обзор принципов проектирования системы обеспечения безопасности информации. Межсетевой экран. Антивирусная защита.
дипломная работа [1,9 M], добавлен 05.11.2016 Актуальность и важность технической защиты информации, нормативные документы. Анализ деятельности ООО "Технология защиты", информационные потоки. Обоснование угроз по техническим каналам. Разработка системы управления информационной безопасности.
дипломная работа [771,4 K], добавлен 13.06.2012Исследование теоретических основ и вопросов инженерно-технической защиты информации на предприятии. Разработка информационной системы инженерно-технической защиты информации. Экономическая эффективность внедренных систем защиты информации на предприятии.
курсовая работа [2,3 M], добавлен 26.05.2021Системная концепция комплексного обеспечения системы защиты информации. Описание автоматизированной системы охраны "Орион" и ее внедрение на объекте защиты. Технические каналы утечки информации. Разработка системы видеонаблюдения объекта защиты.
дипломная работа [1,2 M], добавлен 30.08.2010Проблемы защиты информации человеком и обществом. Использование информации. Организация информации. Угроза информации. Вирусы, характеристика и классификация. Проблемы защиты информации в Интернете. Анализ и характеристики способов защиты информации.
реферат [36,5 K], добавлен 17.06.2008Методика анализа угроз безопасности информации на объектах информатизации органов внутренних дел. Выявление основных способов реализации утечки информации. Разработка модели угроз. Алгоритм выбора оптимальных средств инженерно-технической защиты данных.
курсовая работа [476,3 K], добавлен 19.05.2014Характеристики объекта информатизации ОВД, с точки защищаемой информации. Способы утечки информации. Разработка предложений по защите информации на объекте информатизации ОВД. Алгоритм выбора оптимальных средств инженерно-технической защиты информации.
курсовая работа [693,1 K], добавлен 28.08.2014