Организация защиты информации от утечки по техническим каналам. Проектирование

Автор работы: Пользователь скрыл имя, 20 Января 2011 в 00:27, реферат

Описание

Общие положения
Подготовительный этап создания
системы технической защиты информации
Классы защиты объектов информатизации и выделенных помещений
категории важности информации.
Потенциальные технические каналы утечки информации, обрабатываемой ПЭВМ
Категории объектов информатизации и выделенных помещений

Работа состоит из  1 файл

ooib9.doc

— 115.50 Кб (Скачать документ)

  Путем визуального  наблюдения или фотографирования из окон защищаемых помещений устанавливаются окна близлежащих зданий, а также места стоянки автомашин, находящиеся в прямой видимости. Проводится оценка возможности ведения из них разведки с использованием направленных микрофонов и лазерных акустических систем разведки, а также средств визуального наблюдения и съемки.

  Устанавливается месторасположение трансформаторной подстанции, электрощитовой, распределительных  щитов. Определяются здания и помещения, находящиеся за пределами контролируемой зоны, которые запитываются от той  же низковольтной шины трансформаторной подстанции, что и защищаемые объекты. Измеряется длина линий электропитания от защищаемых объектов до возможных мест подключения средств перехвата информации (распределительных щитов, помещений и т.п.), находящихся за пределами контролируемой зоны. Проводится оценка возможности приема информации, передаваемой сетевыми закладками (при их установке в защищаемых помещениях), за пределами контролируемой зоны.

  Определяются  помещения, смежные с защищаемыми  и находящиеся за пределами контролируемой зоны. Устанавливаются их принадлежность и режим доступа в них. Определяется возможность доступа с внешней стороны к окнам защищаемых помещений. Проводится оценка возможности утечки речевой информации из защищаемых помещений по акустовибрационным каналам.

  Определяются  соединительные линии вспомогательных  технических средств и систем (линии телефонной связи, оповещения, систем охранной и пожарной сигнализации, часофикации и т.п.), выходящие  за пределы контролируемой зоны, места  расположения их распределительных коробок. Измеряется длина линий от защищаемых объектов до мест' возможного подключения средств перехвата информации за пределами контролируемой зоны. Проводится оценка возможности утечки речевой информации из защищаемых помещений по акустоэлектрическим каналам.

  Определяются  инженерные коммуникации и посторонние  проводники, выходящие за пределы  контролируемой зоны, измеряется их длина  от защищаемых объектов до мест возможного подключения средств перехвата  информации.

  Устанавливается месторасположение заземлителя, к которому подключен контур заземления защищаемого объекта. Определяются помещения, расположенные за пределами контролируемой зоны, которые подключены к тому же заземлителю.

  Определяются  места установки на объектах информатизации ТСОИ и прокладки их соединительных линий.

  Проводится  оценка возможности перехвата информации, обрабатываемой ТСОИ, специальными техническими средствами по электромагнитным и электрическим каналам утечки информации.

  В современных  условиях целесообразно провести технический контроль по оценке реальных экранирующих свойств конструкций здания звуко- и виброизоляции помещений в целях учета их результатов при выработке мер защиты ТСОИ и выделенных помещений.

  Предпроектное обследование может быть поручено специализированной организации, имеющей соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям организации - заказчика при методической помощи специализированной организации.

  Ознакомление  специалистов этой организации с  защищаемыми сведениями осуществляется в установленном в организации - заказчике порядке.

  После про  ведения предпроектного специального обследования защищаемого объекта  группой (комиссией), назначенной руководителем предприятия (организации, фирмы), проводится аналитическое обоснование необходимости создания СТ3И, в процессе которого:

  • определяется перечень сведений, подлежащих защите (перечень сведений конфиденциального  характера утверждается руководителем организации);

  • проводится категорирование сведений конфиденциального характера, подлежащих защите;

      • определяется перечень лиц, допущенных до сведений конфиденциального характера, подлежащих защите;

      • определяется степень участия персонала в обработке (обсуждении, передаче, хранении и т.п.) информации, характер их взаимодействия между собой и со службой безопасности;

  • разрабатывается матрица допуска  персонала к сведениям конфиденциального  характера, подлежащих защите;

  • определяется (уточняется) модель вероятного противника (злоумышленника, нарушителя);

      • проводятся классификация и категорирование  объектов информатизации и выделенных помещений;

  • про водится обоснование необходимости  привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите  информации, для проектирования и внедрения СТ3И;

  • проводится оценка материальных, трудовых и финансовых затрат на разработку и внедрение СТ3И;

    • определяются ориентировочные сроки разработки и внедрения СТ3И.

  

  Основным  признаком конфиденциальной информации является ее ценность для потенциального противника (конкурентов). Поэтому, определяя  перечень сведений конфиденциального  характера, их обладатель должен определить эту ценность через меру ущерба, который может быть нанесен предприятию при их утечке (разглашении). В зависимости от величины ущерба (или негативных последствий), который может быть нанесен при утечке (разглашении) информации, вводятся следующие категории важности информации:

  

      •  1 категория - информация, утечка которой' может привести к потере экономической

или финансовой самостоятельности предприятия  или потери ее репутации (потери доверия  потребителей, смежников, поставщиков  и т.п.);

   2 категория - информация, утечка которой может привести к существенному экономическому ущербу или снижению ее репутации;

   3 категория - информация, утечка разглашение которой может нанести экономический ущерб предприятию.

С точки зрения распространения информации ее можно  разделить на две группы:

      • первая группа (1) - конфиденциальная информация, которая циркулирует только на предприятии и не предназначенная для передачи другой стороне;

      •  вторая группа (2) - конфиденциальная информация, которая предполагается к

    передаче другой стороне или получаемая от другой стороны.

  Следовательно, целесообразно установить шесть  уровней конфиденциальности информации (табл. 1).

Таблица 1. Уровни конфиденциальности информации

                Уровень конфиденциальности информации  

Величина  ущерба (негативных последствий), который может быть нанесен при разглашении конкретной информации информация, не подлежащая передаче другим предприятиям (организациям) Информация, предназначенная  для 

передачи другим предприятиям (организациям) или получения  от них

Утечка информации может

привести к  потере экономической

или финансовой самостоятельности предприятия  или потери ее репутации

1.1                   1.2
Утечка  информации может  привести к существенному экономическому ущербу или снижению репутации предприятия 2.1 2.2
Утечка информации может нанести экономический ущерб предприятию 3.1 3.2
 

  Введение  категорий конфиденциальности информации необходимо для определения объема и содержания комплекса мер по ее защите.

  При установлении режима доступа к конфиденциальной информации необходимо руководствоваться принципом - чем больше ущерб от разглашения информации, тем меньше круг лиц, которые к ней допущены.

  Режимы  доступа к конфиденциальной информации должны быть увязаны с должностными обязанностями сотрудников.

  В целях  ограничения круга лиц, допущенных к сведениям, составляющим коммерческую тайну, целесообразно введение следующих  режимов доступа к ней:

  • режим 1 - обеспечивает доступ ко всему перечню сведений конфиденциального характера. Устанавливается руководящему составу предприятия;

      • режим 2 - обеспечивает доступ к сведениям при выполнении конкретных видов деятельности (финансовая, производственная, кадры, безопасность и т.п.). Устанавливается для руководящего состава отделов и служб;

      • режим 3 - обеспечивает доступ к определенному перечню сведений при выполнении конкретных видов деятельности. Устанавливается для сотрудников - специалистов конкретного отдела (службы) в соответствии с должностными обязанностями.

  Таким образом, после составления перечня сведений конфиденциального характера необходимо установить уровень их конфиденциальности, а также режим доступа к ним сотрудников.

  Разграничение доступа сотрудников предприятия (фирмы) к сведениям конфиденциального  характера целесообразно осуществлять или по уровням (кольцам) конфиденциальности в соответствии с режимами доступа, или по так называемым матрицам полномочий, в которых в строках перечислены должности сотрудников предприятия (фирмы), а столбцах - сведения, включенные в перечень сведений, составляющих коммерческую тайну. Элементы матрицы содержат информацию об уровне полномочий соответствующих должностных лиц (например, "+" - доступ к сведениям разрешен, "-" - доступ к сведениям запрещен).

  Далее определяется (уточняется) модель вероятного противника (злоумышленника, нарушителя), которая включает определение уровня оснащения противника, заинтересованного в получении информации, и его возможностей по использованию тех или иных технических средств разведки для перехвата информации.

  В зависимости  от финансового обеспечения, а также возможностей доступа к тем или иным средствам разведки, противник имеет различные возможности по перехвату информации. Например, средства разведки побочных электромагнитных излучений и наводок, электронные устройства перехвата информации, внедряемые в технические средства, лазерные акустические системы разведки могут использовать, как правило, разведывательные и специальные службы государств.

  Для обеспечения  дифференцированного подхода к  организации защиты информации от утечки по техническим каналам защищаемые объекты должны быть отнесены к соответствующим категориям и классам.

  Классификация объектов проводится по задачам технической защиты информации и устанавливает требования к объему и характеру комплекса мероприятий, направленных на защиту конфиденциальной информации от утечки по техническим каналам в процессе эксплуатации защищаемого объекта.

Защищаемые объекты  целесообразно разделить на два  класса защиты (табл. 2).

  К классу защиты А относятся объекты, на которых осуществляется полное скрытие информационных сигналов, которые возникают при обработке информации или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте).

  К классу защиты Б  относятся объекты, на которых осуществляется скрытие параметров информационных сигналов, возникающих при обработке информации или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте).

  Таблица 2. Классы защиты объектов информатизации и выделенных помещений

Задача  технической защиты информации
    Установленный класс защиты
Полное  скрытие информационных сигналов, которые  возникают при обработке информации или ведении переговоров (скрытие  факта обработки конфиденциальной информации на объекте) А
  Скрытие параметров информационных сигналов, которые возникают при обработке  информации или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие  информации, обрабатываемой на объекте) Б

     При установлении категории защищаемого объекта учитываются класс его защиты, а также

     финансовые  возможности предприятия по закрытию потенциальных технических каналов утечки информации. Защищаемые объекты целесообразно разделить на три категории.

     Категорирование защищаемых объектов информатизации и выделенных помещений проводится комиссиями, назначенными руководителями предприятий, в ведении которых они находятся. В состав комиссий, как правило, включаются представители подразделений, ответственных за обеспечение безопасности информации, и представители подразделений, эксплуатирующих защищаемые объекты.

Информация о работе Организация защиты информации от утечки по техническим каналам. Проектирование