Рахимов Нематжон Рахимович доктор технических наук, профессор СГГА. Лекции по курсу: Теория информационной безопасности и методология защиты информации (ТИБ и МЗИ)

Содержание Тема 1. «Законодательные и нормативно-правовые акты Российской Федерации по защите информации» 1 Тема 2. «Структура, задачи и основные функции Государственной системы защиты информации» 21 Тема 3. «Лицензирование деятельности в области защиты информации, сертификация средств защиты информации и аттестация объектов информатизации» 25 Тема 4. «Исходные данные по аттестуемым объектам информатизации»43 Тема 5. «Программа проведения аттестационных испытаний объектов информатизации» 47 Тема 7. «Каналы утечки информации. Основные термины и определения»51 Тема 9. «Содержание и порядок проведения аттестационных испытаний объектов вычислительной техники» 71 Тема 24. «Технические каналы утечки речевой информации»75 Тема 25. «Основные способы блокирования каналов утечки речевой информации. Технические средства защиты» ПРИЛОЖЕНИЕ 85 97

Информационная безопасность многогранная, можно сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. Спектр интересов субъектов, связанных с использованием информационных систем, можно подразделить на следующие основные категории: доступность (возможность за приемлемое время получить требуемую информационную услугу); целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения); конфиденциальность (защита от несанкционированного ознакомления). Грани информационной безопасности

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней: законодательного (законы, нормативные акты, стандарты и т.п.); административного (действия общего характера, предпринимаемые руководством организации); процедурного (конкретные меры безопасности, имеющие дело с людьми); программно-технического (конкретные технические меры). Таковы два основных, на наш взгляд, измерения, задающие систему координат в пространстве информационной безопасности. У информационной безопасности есть и другие грани, но, чтобы чрезмерно не усложнять карту, мы оставим ее двумерной.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать непринято. Мы будем различать на законодательном уровне две группы мер: меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности; направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности. Законодательный уровень

Административный уровень белое пятно в отечественной практике информационной безопасности. Нет законов, обязывающих организации иметь политику безопасности. Ни одно из ведомств, курирующих информационную безопасность, не предлагает типовых разработок в данной области. Ни одно учебное заведение не готовит специалистов по составлению политики безопасности. Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеют. В то же время, без подобной основы прочие меры информационной безопасности повисают в воздухе, они не могут быть всеобъемлющими, систематическими и эффективными. Анализ ситуации на административном уровне информационной безопасности еще раз показывает важность созидательного, а не карательного законодательства. Можно потребовать от руководителей наличия политики безопасности (и в перспективе это правильно), но сначала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать. Административный уровень

К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они пришли из докомпьютерного прошлого, и поэтому нуждаются в существенном пересмотре. Можно выделить следующие группы процедурных мер, направленных на обеспечение информационной безопасности: управление персоналом; физическая защита; поддержание работоспособности; реагирование на нарушения режима безопасности; планирование восстановительных работ. Процедурный уровень

Львиная доля активности в области информационной безопасности приходится на программно-технический уровень. Если иметь в виду зарубежные продукты, здесь существует полный спектр решений. Если ограничиться разработками, имеющими российские сертификаты по требованиям безопасности, картина получается существенно более разреженной. Согласно современным воззрениям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности: идентификация и проверка подлинности (аутентификация) пользователей; управление доступом; протоколирование и аудит; криптография; (межсетевое) экранирование; обеспечение высокой доступности. Программно-технический уровень

«Законодательные и нормативно- правовые акты Российской Федерации по защите информации. Виды информационных ресурсов по категориям доступа»

ОСНОВНЫЕ ПОНЯТИЯ Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. (Закон РФ «О безопасности») Информационная безопасность Российской Федерации - это состояние защищенности её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. (Доктрина информационной безопасности Российской Федерации) Национальная безопасность существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать. (Доктрина информационной безопасности Российской Федерации) Безопасность информации - состояние информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования и блокирования. (РД «АС. Защита от НСД к информации. Термины и определения» Гостехкомиссия России, 1998 г.).

МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБЩЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ РФ Техническая защита информации Национальная безопасность РФ Политическая безопасность Военная безопасность Экономическая безопасность Социальная безопасность Экологическая безопасность Информационная безопасность

МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБЩЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ Безопасность предприятия (организации) Физическая безопасность Пожарная безопасность Экономическая безопасность Экологическая безопасность Информационная безопасность У г р о з ы б е з о п а с н о с т и Техническая защита конфиденциальной информации

СТРУКТУРА НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ РФ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ федеральные законы; указы президента Российской Федерации; постановления правительства Российской Федерации; государственные стандарты Российской Федерации. Нормативную правовую базу образуют документы, регулирующие правовые отношения в области защиты информации. Эту базу составляют документы федерального уровня, к которым относятся: требования и рекомендации по защите информации; нормативные и методические документы, определяющие крите- рии эффективности защиты информации и порядок их контроля. Нормативную техническую базу образуют документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты. К этим документам относятся:

НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РФ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (1) Законодательные акты Конституция Российской Федерации (1993 г.). Закон РФ «О безопасности» (от г ). ФЗ «Об информации, информационных технологиях и о защите информации» (от г. 149-ФЗ). Закон РФ «О государственной тайне» (от г ). ФЗ «О коммерческой тайне» (от 29 июля 2004 г. 98-ФЗ). ФЗ «О персональных данных» (от 27 июля 2006 г. 153-ФЗ). ФЗ «О техническом регулировании» (от г. 184-ФЗ). Закон РФ «Об обеспечении единства измерений» (от г ). ФЗ «Об электронной цифровой подписи» (от г. 1-ФЗ). ФЗ «О связи» (от г. 126-ФЗ). ФЗ «О лицензировании отдельных видов деятельности» (от г. 128-ФЗ).

НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РФ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (2) Нормативные правовые акты Президента РФ (указы, распоряжения) Об основах государственной политики в сфере информатизации (от г. 170). Вопросы межведомственной комиссии по защите государственной тайны (от г. 1286). Об утверждении перечня сведений, отнесённых к государственной тайне (от г в ред. Указа от г. 90). О перечне сведений конфиденциального характера (от 6 марта 1997 г. 188). О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена (от года 611, в ред. Указов от и от г. 175 ). Вопросы Федеральной службы по техническому и экспортному контролю (от г. 1085). Концепция национальной безопасности Российской Федерации (от г в редакции Указа от г. 24). Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ г. Пр-1895).

НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РФ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (3) Постановления Правительства РФ Положение о государственной системе защиты информации в РФ от иностран- ных технических разведок и от ее утечки по техническим каналам (Извлечения). (Постановление СМ - Правительства РФ г. 912–51). Положение о лицензировании деятельности предприятий, учреждений и органи- заций по проведению работ, связанных с использованием сведений, составляю- щих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государствен- ной тайны» (Постановление правительства РФ 333 от 15 апреля 1995 г. ). Положение о сертификации средств защиты информации (Постановление правительства РФ от г. 608). Об организации лицензирования отдельных видов деятельности (Постановление правительства РФ от г. 45). Положение о лицензировании деятельности по технической защите конфиден- циальной информации (Постановление правительства РФ от ). Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации (Постановление правительства РФ от 27 мая 2002 г. 348). Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти (Постановление правительства РФ от 3 ноября 1994 г. 1233). О порядке и условиях выплаты процентных надбавок к должностному окладу (тарифной ставке) должностных лиц и граждан, допущенных к государственной тайне (Постановление правительства РФ от ).

СТРУКТУРА ГОСУДАРСТВЕННЫХ СТАНДАРТОВ, ИСПОЛЬЗУЕМЫХ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ Стандарты, определяющие терминологию и общие положения по организации защиты информации – ГОСТ Р ; ГОСТ Р Комплекс стандартов и руководящих документов Госстандарта России на автоматизированные системы – ГОСТ Р ; ГОСТ ; ГОСТ Р ИСО ; ГОСТ ; ГОСТ ; ГОСТ ; ГОСТ и др. ГОСТ Р (3 части) «Критерии оценки безопасности информа- ционных технологий» («Общие критерии»). Стандарты, определяющие общие требования по защите информации при её обработке СВТ от утечки по каналам ПЭМИН и методы испыта- ний – ГОСТ , ГОСТ Р Стандарты по ЭМС, определяющие предельно допустимые уровни создаваемых ТС помех (ПЭМИН) и методы их испытаний – ГОСТ ; ГОСТ Р ; ГОСТ Р ; ГОСТ Р и др. Стандарты, определяющие методы измерения шума на рабочих местах – ГОСТ Стандарты ЕСКД (ГОСТ ; ГОСТ ; ГОСТ и др.) ЕСПД и ЕСТД. Нормы проектирования помещений для хранения секретных документов и работы и с ними – СНиП

ОСНОВНЫЕ ПОЛОЖЕНИЯ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (1) права и обязанности субъектов правоотношений в области информатизации и защиты информации; разделение информации на категории открытого и ограниченного доступа, при этом информация ограниченного доступа по условиям её правового режима подразделяется на отнесенную к государственной тайне и конфиденциальную; отнесение ряда сведений (служебной и коммерческой тайн, персональных данных и др.) к сведениям конфиденциального характера; введение правового режима защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу или пользователю, устанавливаемого в отношении информации с ограниченным доступом собственником информационных ресурсов или уполномоченным лицом; порядок организации работ по защите информации, структуру и основные функции государственной системы защиты информации от ее утечки по техническим каналам;

ОСНОВНЫЕ ПОЛОЖЕНИЯ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (2) порядок лицензирования деятельности предприятий в области технической защиты конфиденциальной информации, разработки и производства средств защиты конфиденциальной информации и сертификации средств защиты информации на соответствие требованиям безопасности информации; возложение ответственности за организацию деятельности систем лицензирования и сертификации на федеральные органы исполнительной власти и разграничение сфер их компетенции; необходимость создания специальных служб (подразделений), обеспечива- ющих защиту информации с ограниченным доступом, которая является собственностью государства, а также необходимость контроля защищенности информации и права запрещать или приостанавливать обработку информации в случае невыполнения требований по защите информации; введение ответственности за обеспечение требований по технической защите информации, которая возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации; порядок организации и проведения контроля эффективности меропри- ятий по защите информации ограниченного доступа и др.

ЗАЩИЩАЕМАЯ ИНФОРМАЦИЯ (В соответствии с ФЗ «Об информации, информационных технологиях и защите информации» от г. 152-ФЗ, ст. 9) Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за е ё разглашение. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

ВИДЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ПО КАТЕГОРИЯМ ДОСТУПА (ФЗ «Об информации, информационных технологиях и защите информации» от г. 152-ФЗ) Общедоступная информация Информация ограниченного доступа (доступ к информации ограничен федеральн. законами) Информация, составляющая государственную тайну Информация, соблюдение конфиденц-ти которой установлено ФЗ законодательные и другие нормативные акты… документы, содержащие информацию о чрезвычайных ситуациях… документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления… документы, накапливаемые в открытых фондах библиотек и архивов… «Перечень сведений, отнесенных к государственной тайне» (Ст. 5 Закона РФ 1993 г «О государственной тайне») ФЗ 2004 г. 98 «О коммерческой тайне»; ФЗ 2006 г. 152 «О персональных данных»; Указ президента РФ от г. 188 « Об утверждении перечня сведений конфиденциального характера »

ОСОБЕННОСТИ ВИДОВ ИНФОРМАЦИИ С ОГРАНИЧЕННЫМ ДОСТУПОМ Информация с ограниченным доступом Информация, составляющая государственную тайну Конфиденциальная информация Степень секретности сведений (гриф секретности носителя информации): Особой важности Совершенно секретно Секретно Виды конфиденциальной информации: 1.Персональные данные. 2.Тайна следствия и судопроизводства 3.Служебная тайна 4.Профессиональная тайна 5.Коммерческая тайна 6.Сведения о сущности изобретения

ВИДЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (В соответствии с указом президента РФ 1997 г. 188) Вид конфиденциальной информации Определение (содержание) Персональные данные Сведения о фактах, событиях и обстоятельствах частой жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном федеральными законами случаях. Тайна следствия и судопроизводства Сведения, составляющие тайну следствия и судопроизводства Служебная тайнаСлужебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами. Профессиональная тайна Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и так далее). Коммерческая тайнаСведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами. Сведения о сущности изобретения Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Особенности некоторых видов конфиденциальной информации (1) Информация составляет служебную или коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране её конфиденциальности. (Гражданский кодекс РФ, часть 1, ст. 139) Коммерческая тайна - конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду Информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово- экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны. (ФЗ «О коммерческой тайне» 98-ФЗ от г.)

Особенности некоторых видов конфиденциальной информации (2) Состав персональных данных (для идентификации физического лица): фамилия, имя, а также отчество (если иное не вытекает из закона или национального обычая); дата и место рождения; место жительства (регистрации); место пребывания; сведения о документе, удостоверяющем личность (наименование, серия и номер, орган выдавший документ, дата выдачи документа). (Письмо Банка России от 28 ноября 2001 г. 137-Т «О рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем»). А также: сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния. (ФЗ от 15 ноября 1997 г. 143-ФЗ)

РЕЖИМ ЗАЩИТЫ ИНФОРМАЦИИ Режим защиты информации – это система организационных, технических и иных мер, направленных на обеспечение безопасности (конфиденциальности, целостности, доступности) информации. Режим защиты информации устанавливается: в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации « О государственной тайне » и СТР ; в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании Федерального закона ( 24-ФЗ, ст. 21). Для информационных ресурсов, собственником которых является государство, – режим защиты установлен СТР-К; в отношении персональных данных - федеральным законом (ст. 21 ФЗ 24-ФЗ) и ТК РФ (Глава 14. Защита персональных данных работника). (До выхода специального ФЗ Персональные данные защищаются в режиме конфиденциальной информации – СТР-К ); в отношении коммерческой тайны – Федеральным законом «О коммерческой тайне» ( 98-ФЗ от 29 июля 2004 г.).

СОБСТВЕННИК, ВЛАДЕЛЕЦ И ПОЛЬЗОВАТЕЛЬ ИНФОРМАЦИОННЫХ РЕСУРСОВ (субъекты правоотношений) (ФЗ 1995 г. 24 ФЗ, ст.2) Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами. Пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею. Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом. Обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении её режим коммерческой тайны. (ФЗ «О коммерческой тайне» 98-ФЗ от г.)

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (1) (ФЗ 1995 г. 24-ФЗ) Порядок накопления и обработки документированной информации с ограниченным доступом, правила её защиты и порядок доступа к ней определяются органами государственной власти, ответственными за определенные вид и массивы информации, в соответствии с их компетенцией либо непосредственно её собственником в соответствии с законодательством. (Ст. 12). Владелец информационных ресурсов обязан обеспечить соблюдение режима обработки и правил предоставления информации пользователю, установленных законодательством Российской Федерации или собственником этих информационных ресурсов, в соответствии с законодательством. Владелец информационных ресурсов несет юридическую ответственность за нарушение правил работы с информацией в порядке, предусмотренном законодательством Российской Федерации. (Ст. 15).

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (2) (ФЗ 1995 г. 24-ФЗ) Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с Законодательством Российской Федерации. (Ст. 22). Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций. (Ст. 22). Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. (Ст. 21). Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки. (Ст.21)

СТРУКТУРА НОРМАТИВНО-ТЕХНИЧЕСКИХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ГТ Нормативно-технические документы по защите информации Документы, устанавливающие требования и рекомендации по защите информации Специальные требования и рекомендации по защите информации, от утечки по техническим каналам (СТР, СТР-К) Сборник норм защиты информации от утечки за счет побочных электромаг- нитных излучений и наводок (ПЭМИН) Документы, устанавливающие критерии оценки защищенности информации (нормы эффективности защиты) и методы их контроля (в том числе при проведении сертификационных испытаний) РД. Показатели защищенности информации, обрабатываемой средствами ВТ и в АС, от НСД РД. Защита от несанкционированного доступа к информации. Общие технические требования Методики оценки защищенности информации от утечки по техническим каналам

Структура основных нормативно-методических документов по защите информации от НСД Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Руководящий документ. Концепция защиты СВТ и АС от несанкционированного доступа к информации. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Угроза ( безопасности информации ) – совокупность условий и факторов, создающих потенциальн ую или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации. Наиболее опасные ИТ-угрозы Тенденции в развитии у гроз безопасности информации : - хищение БД; - рост внутренних (инсайдерских) угроз; - применение информационного воздействия на критически важные ИС; - возрастание размеров наносимого ущерба. (По результатам исследований за 2005 г., проведённых в России компанией InfoWath)

Наиболее опасные внутренние угрозы (По результатам исследований за 2005 г., проведённых в России компанией InfoWath)

Примерная структура возможных источников угроз конфиденциальной информации 82% - собственные сотрудники организаций 17% - технические средства разведки; конкурирующие фирмы, клиенты, контрагенты; криминальные структуры, террористы 1% - случайные люди

Структура основных причин утраты и модификации информации По данным исследовательского центра DataPro Research (США) 15% - пожары 52% - неумышленные действия персонала 10% - умышленные действия персонала 10% - отказ оборудования 10% - затопление водой

Структура основных целей (мотивов) умышленных действий персонала, приведших к утрате и модификации информации По данным исследовательского центра DataPro Research (США) 16% - повреждение ПО 44% - кража денег с электронных счетов 10% - заказ услуг за чужой счёт 12% - фальсификация информации 16% - хищение конфиденциальной информации 2% - другие мотивы

Некоторые виды мошенничества, совершаемые путём неправомерного проникновения в информационные базы данных ЭВМ с использованием компьютерной техники изменение программ по начислению заработной платы и зачислению её на индивидуальные счета сотрудников с автоматическим списанием части начисленных сумм на свой счёт или счета соучастников; создание файлов с вымышленными вкладчиками, зачисление и проводку по их счетам фиктивных денежных сумм, начисление на них процентов с последующим переводом на свой счёт; изъятие в хранилищах кредитно-финансовых учреждений банковских карт и PIN кодов к ним, получение таким образом доступа к счетам вкладчиков в компьютерной сети банков с последующим снятием денег с указанием счетов через банкоматы лично или с помощью соучастников; фальсификацию в базе данных фирм информации о клиентах, уничтоже- ние подлинных сведений о клиентах и заключенных с ними договорах на поставку продукции или производстве оплаты и включение вместо них подставных и вымышленных юридических лиц с последующим хищением отгруженных в их адрес товаров или перечисленных денежных сумм. Проникновение в информационные базы данных потерпевших организаций может осуществляется инсайдерским путём или путём удалённого доступа (через ГИС «Интернет»). Действия преступников направлены на:

Внешние источники угроз безопасности информации Деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере. Стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков. Обострение международной конкуренции за обладание информационными технологиями и ресурсами. Деятельность международных террористических организаций. Увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий. Деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств. Разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

Внутренние источники угроз безопасности информации Неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере. Недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации. Недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика. Недостаточный государственный контроль за развитием информационного рынка России. Недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации. Недостаточная экономическая мощь государства. Недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности. Недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан. Отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

ОБЩАЯ КЛАССИФИКАЦИЯ МЕТОДОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Организационно- технические Правовые Экономические Разработка и внедрение технических решений по защите информации Решения по защите информации от утечки по техническим каналам Решения по защите информации от НСД к ней Разработка и применение средств защиты информации Средства защиты информации от утечки по техническим каналам Средства защиты информации от НСД к ней Лицензирование Сертификация СЗИ Аттестация ОИ

Содержание методов обеспечения информационной безопасности Организационно-технические методы включают: - создание и совершенствование системы обеспечения информационной безопасности; - разработка, использование и совершенствование СЗИ и методов контроля их эффективности; - предотвращение перехвата информации по техническим каналам; - контроль за выполнением требований по защите информации; - сертификация средств защиты информации; - лицензирование деятельности организации в области защиты информации; - аттестация объектов информатизации на соответствие требованиям безопасности информации. Правовые методы – разработка нормативных правовых актов, регламенти- рующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности. Экономические методы включают: - разработку программ обеспечения информационной безопасности Россий- ской Федерации и определение порядка их финансирования; - совершенствование системы финансирования работ, связанных с реализа- цией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Методы экономического стимулирования В соответствии с постановлением Правительства РФ от «О порядке и условиях выплаты процентных надбавок к должностному окладу (тарифной ставке) должностных лиц и граждан, допущенных к государственной тайне» 2. Установление для сотрудников структурных подразделений по защите государственной тайне органов государственной власти, предприятий, учреждений и организаций дополнительно ежемесячную процентную надбавку к должностному окладу (тарифной ставке) за стаж работы в указанных подразделениях в следующих размерах: от 1 до 5 лет – 5%; от 5 до 10 лет – 10%; от 10 лет и выше – 15%. 1. Установление для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе ежемесячных процентных надбавок к должностному окладу (тарифной ставке) за работу со сведениями, составляющими государственную тайну, в зависимости от степени секретности сведений, к которым они имеют доступ, в следующих размерах: «ОВ» – 25% «СС» – 20% «С» – 10%

Комплексный подход к обеспечению защиты информации Защита информации осуществляется путем выполнения комплекса организационных и технических мероприятий по: предотвращению утечки информации по техническим каналам; предотвращению несанкционированного доступа к защищаемой информации; предупреждению программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе её обработки, передачи и хранения, а также работоспособности технических средств; выявлению специальных электронных устройств перехвата информации, возможно внедренных в технические средства и защищаемые помещения.

Меры по охране конфиденциальности информации, составляющей коммерческую тайну (ФЗ 2004 г. 98-ФЗ) определение перечня информации, составляющей коммерческую тайну; ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

ОБЪЕКТЫ ЗАЩИТЫ Защите подлежит: Речевая информация Информация, обрабатываемая техническими средствами Информация может быть представлена в виде физических полей, информативных электрических сигналов, носителей на бумажной, магнитной, магнито-оптической и иной основе Объекты защиты: Технические средства и системы, не обрабатывающие непосредственно информацию, но размещенные в помещениях, где она обрабатывается (ВТСС) Выделенные помещения Средства и системы информатизации, участвующие в обработке защищаемой информации (ОТСС)

ОТВЕТСТВЕННОСТЬ ЗА ПРАВОНАРУШЕНИЯ В СФЕРЕ ЗАЩИТЫ ИНФОРМАЦИИ 1. Нарушение требований по защите информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. 2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица. 3. В случае, если распространение определённой информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несёт лицо, оказывающее услуги: 1) либо по передаче информации, предоставленной другим лицом, при условии её передачи без изменений и исправлений; 2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

Нормативные правовые акты, устанавливающие ответственность за нарушение требований по защите информации ограниченного доступа 33 гражданскую Гражданский кодекс РФ (ст. 15, 16) ФЗ «О защите прав потребителя» (с изменениями от г. 2-ФЗ) административную КоАП (от г. 195-ФЗ) (ст ) Трудовой кодекс РФ (от г. 197-ФЗ) (ст. 57, 86, гл. 39 и др.) ФЗ «О защите прав потребителя» уголовную Уголовный кодекс РФ (от г. 63-ФЗ) (ст.138, 140, 183, 238, гл. 28 (ст ) и др.)

«Структура, задачи и основные функции Государственной системы защиты информации» ТЕМА 2: 48

ПОНЯТИЕ ГОСУДАРСТВЕННОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. Государственная система защиты информации является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере. Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет ФСТЭК России 49

ОСНОВНЫЕ ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ ГОСУДАРСТВЕННОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ Законности. Подконтрольности президенту Российской Федерации. Разграничения полномочий федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, предприятий, учреждений и организаций по защите информации. Сочетания правовых, организационно-технических и специальных методов защиты информации. Деятельность государственной системы защиты информации осуществляется на основе принципов: 50

ПРАВОВЫЕ ОСНОВЫ ДЕЯТЕЛЬНОСТИ ГОСУДАРСТВЕННОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ Конституция Российской Федерации. Законы Российской Федерации: «О безопасности», «О государственной тайне», «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене» Доктрина информационной безопасности Российской Федерации. Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим (утверждено Постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. 912–51). Указы президента Российской Федерации. Постановления правительства Российской Федерации. Другие правовые акты федеральных органов власти в области защиты информации. 51

ЦЕЛИ ГОСУДАРСТВЕННОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ Предотвращение или существенное снижение ущерба национальной безопасности Российской Федерации с использованием методов и средств защиты информации. Обеспечение условий, способствующих реализации политики Российской Федерации в сфере безопасности Государства. Содействие экономическому и научно - техническому прогрессу страны. Целями государственной системы защиты информации являются: 52

ОСНОВНЫЕ ЗАДАЧИ ГОСУДАРСТВЕННОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ Проведение единой технической политики, организация и координация работ по защите информации в военной, экономической, научно-технической и других сферах деятельности. Исключение или существенное затруднение добывания информации техническими средствами разведки. Принятие правовых актов, регулирующих отношения в области защиты информации. Организация сил, создание средств защиты информации и контроля их эффективности. Контроль состояния защиты информации в органах государственной власти и на предприятиях. Анализ состояния государственной системы, выявление ключевых проблем в области защиты информации. Определение приоритетных направления государственной системы защиты информации. Нормативно-методическое и информационное обеспечение работ по защите информации. 53

СРУКТУРА ГОСУДАРСТВЕННОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ Организационная структура Государственную систему защиты информации образуют: Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и её территориальные органы (региональные управления в субъектах Российской Федерации). Федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР). Структурные подразделения по защите информации федеральных органов исполнительной власти, других органов государственной власти и организаций Российской Федерации. Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации. Научно-исследовательские организации по проблемам защиты информации. Организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности защиты информации. Предприятия, оказывающие услуги в области защиты информации. Организации Федеральной службы по техническому регулированию и метрологии (бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты информации. Органы системы лицензирования деятельности в области защиты информации. Органы системы сертификации средств защиты информации. Органы системы аттестации объектов защиты по требованиям безопасности информации. 54

Функциональная структура (основные элементы) Система лицензирования деятельности предприятий в области защиты информации Система аттестации объектов информатизации по требованиям безопасности информации Система сертификации средств защиты информации Государственная система защиты информации 55

«Лицензирование деятельности в области защиты информации, сертификация средств защиты информации и аттестация объектов информатизации» Лекция, 1 час Тема 3

СИСТЕМА ЛИЦЕНЗИРОВАНИЯ НА ПРАВО ПРОВЕДЕНИЯ РАБОТ И ОКАЗАНИЯ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ 1 Лицензирование – мероприятия, связанные с выдачей лицензий на осуществление лицензируемых видов деятельности и надзором за соблюдением лицензиатами соответствующих лицензионных требований и условий Межведомственная комиссия по защите гос.тайны Правительство Российской Федерации ФСБ РоссииСВР России ФСТЭК России Минобороны России Федеральные органы исполнительной власти Аттестационные центры Соискатели лицензий (заявители)

2 Федеральная служба безопасности Российской Федерации и её территориальные органы: допуск предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну (на территории Российской Федерации); проведение работ, связанных с созданием средств защиты информации (в пределах её компетенции); осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в пределах её компетенции). Служба внешней разведки Российской Федерации : допуск предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну (за рубежом); проведение работ, связанных с созданием средств защиты информации (в пределах её компетенции); осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в пределах её компетенции). Федеральная служба по техническому и экспортному контролю и её территориальные органы: проведение работ, связанных с созданием средств защиты информации (в пределах её компетенции); осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в пределах её компетенции). Министерство обороны Российской Федерации: проведения работ, связанных с созданием средств защиты информации (в пределах его компетенции). Области компетенции лицензирующих органов

3 Деятельность по проведению работ, связанных с использованием сведений, составляющих государственную тайну, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Деятельность по проведению работ, связанных с использованием сведений, составляющих государственную тайну, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Деятельность по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации. Деятельность по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации. Деятельность в области разработки, производства, технического обслуживания и распространения шифровальных (криптографических) средств, а также предоставления услуг в области шифрования. Деятельность в области разработки, производства, технического обслуживания и распространения шифровальных (криптографических) средств, а также предоставления услуг в области шифрования. Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах. Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах. Сертификация шифровальных (криптографических) средств защиты информации. Виды деятельности, лицензируемые ФСБ России

4 Закон РФ «О государственной тайне». «Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (Постановление правительства Российской Федерации 333 от 15 апреля 1995 г. ). «Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (Постановление правительства Российской Федерации 333 от 15 апреля 1995 г. ). Методические рекомендации управлениям ФСТЭК России по федеральным округам по организации лицензирования деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (в части противодействия иностранным техническим разведкам и (или ) технической защиты информации) и по созданию средств защиты информации. (Приказ ФСТЭК России от 21 апреля 2006 г. Утверждены зам. директора ФСТЭК России 30 апреля 2006 г.). Методические рекомендации управлениям ФСТЭК России по федеральным округам по организации лицензирования деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (в части противодействия иностранным техническим разведкам и (или ) технической защиты информации) и по созданию средств защиты информации. (Приказ ФСТЭК России от 21 апреля 2006 г. Утверждены зам. директора ФСТЭК России 30 апреля 2006 г.). Приказ Гостехкомиссии России от 13 сентября 2002 г. 302 «О разработке бланков лицензий Государственной технической комиссии при Президенте Российской Федерации». Перечень основных нормативных документов (система лицензирования ФСТЭК России)

Проведение специальных экспертиз организаций- соискателей лицензии ФСТЭК России на оказание услуг в области защиты государственной тайны (в части технической защиты информации). Проведение специальных экспертиз организаций- соискателей лицензии ФСТЭК России на оказание услуг в области защиты государственной тайны (в части противодействия иностранным техническим разведкам). Проведение специальных экспертиз организаций- соискателей лицензии ФСТЭК России на выполнение работ, связанных с созданием средств защиты информации. Лицензия на проведение мероприятий и (или) оказание услуг в области защиты государственной тайны Перечень мероприятий (услуг): Виды лицензий ФСТЭК России (1) 5

Виды лицензий ФСТЭК России (2) Разработка, производство, реализация, установка, монтаж, наладка, испытания, ремонт или сервисное обслуживание: технических средств защиты информации; защищенных ТСОИ; технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищённости информации. Лицензия на проведение работ, связанных с созданием средств защиты информации Перечень работ: 6

Виды лицензий ФСТЭК России (3) Сертификация и сертификационные испытания (технических средств защиты информации; защищенных технических средств обработки информации; технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищённости информации. Контроль защищенности информации, составляющей государственную тайну, аттестация средств и систем на соответствие требованиям по защите информации (автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; технических средств (систем), не обрабатывающих информацию, составляющей государственную тайну, но размещенных в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащих защите; помещений, предназначенных для ведения секретных переговоров. Проведение специсследований на ПЭМИН технических средств обработки защиты информации Проектирование объектов в защищенном исполнении (автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; помещений со средствами (системами), подлежащих защите; помещений, предназначенных для ведения конфиденциальных переговоров. Лицензия на проведение мероприятий и (или) оказание услуг в области защиты государственной тайны Перечень мероприятий: 7

Виды лицензий ФСТЭК России (4) Указываются виды иностранных технических разведок по противодействию которым разрешается осуществление мероприятий и (или) оказание услуг Лицензия на проведение мероприятий и (или) оказание услуг в области защиты государственной тайны Перечень мероприятий: 8 ВИДЫ ТЕХНИЧЕСКОЙ РАЗВЕДКИ 25 видов Радиоэлектронная (6 видов) Сейсмическая ХимическаяФотографическая РадиационнаяМагнитометрическая Гидроакустическая (5 видов) Визуальная оптическая Акустическая (2 вида) Оптико-электронная (5 видов) Компьютерная систем и комплексов вооружения и военной техники военных и промышлен- ных объектов испытательных баз, площадок и полигонов объектов государст- венного и военного управления Защите от ИТР подлежит информация об охраняемых параметрах и характеристиках

Общие требования к соискателям лицензии 9 Наличие у соискателя лицензии необходимого числа специально подготовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны. Наличие помещений, производственного, испыта- тельного и контрольно-измерительного оборудования, необходимого для обеспечения деятельности по защите информации в избранных направлениях. Наличие у соискателя лицензии комплекта необходимых для осуществления лицензируемой деятельности нормативных правовых и нормативно-технических документов.

Лицензионные требования (1) (В соответствии с приказом ФСТЭК России 2006 г. 126) 1.оСоблюдение законодательных, иных нормативных правовых актов Российской Федерации и национальных стандартов. 2.оСоблюдение требований нормативных правовых актов, нормативно- методических и методических документов ФСТЭК России и регламентирующих осуществление лицензируемого вида деятельности. 3.оНаличие лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну (при необходимости). 4.оОсуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование в области технической защиты информации, либо специалистами, имеющими высшее или среднее профессиональное (техническое) образование и прошедшими переподготовку или повышение квалификации по вопросам защиты информации. 5.оНаличие нормативных правовых актов, национальных стандартов, нормативно-методических и методических документов, необходимых для обеспечения выполнения конкретных работ, мероприятий и (или) услуг по заявленному виду деятельности. 10

Лицензионные требования (2) (В соответствии с приказом ФСТЭК России 2006 г. 126) о Наличие производственного, испытательного и контрольно- измерительного оборудования, средств контроля защищённости информации, необходимых для выполнения конкретных работ, мероприятий и (или) услуг по заявленному виду деятельности. 7. о Соответствие контрольно-измерительного и испытательного оборудования, средств контроля защищённости информации и средств защиты информации требованиям законодательства Российской Федерации о государственной тайне, техническом регулировании и в области обеспечения единства измерений. 8. о Наличие аттестованных по требованиям безопасности информации объектов информатизации, предназначенных для обработки, передачи и хранения информации, содержащей сведения, составляющие государственную тайну, помещений для ведения секретных переговоров 9. о Наличие, документов, подтверждающих право собственности или иное законное основание на имущество, необходимое для ведения заявленного вида деятельности.

Перечень документов, оформляемых при проведении специальной экспертизы (1) (В соответствии с приказом ФСТЭК России 2006 г. 126) 1. Акт специальной экспертизы с приложением: 1.1. о Перечень контрольно-измерительной аппаратуры и производственного оборудования Перечень нормативных правовых актов, нормативно-методических и методических документов, необходимых для осуществления лицензируемого вида деятельности Сведения о составе и квалификации инженерного и технического персонала Копии договоров аренды контрольно-измерительной аппаратуры и документов или безвозмездного пользования ими с указанием заводских (инвентарных) номеров о Копии договоров аренды занимаемых помещений или безвозмездного пользования ими (при наличии таких помещений) Копии трудовых соглашений (контрактов) с привлекаемыми для осуществления заявленных видов деятельности сотрудниками сторонних организаций (при их наличии). 12 Копии документов заверяются организацией-соискателем

Перечень документов, оформляемых при проведении специальной экспертизы (1) (В соответствии с приказом ФСТЭК России 2006 г. 126) 2. Лицензионное дело в составе: 2.1оОпись документов. 2.2оУчётная карта. 2.3.оКопия документа, подтверждающего оплату государственной пошлины за рассмотрение лицензирующим органом заявления о предоставлении лицензии Акт специальной экспертизы с приложениями Нотариально заверенные копии учредительных документов (устава, учредительного договора и т. д.) Копия документа (свидетельства), подтверждающего факт внесения сведений о юридическом лице в ЕГРЮЛ. 2.7.оКопия свидетельства о постановке на учёт в налоговом органе. 2.8.оКопия информационного письма о включении организации в Единый государственный регистр предприятий и организаций. 2.9.оКопия документа, подтверждающего наличие лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну (при необходимости) оКопии документов, подтверждающих право собственности или иное законное основание на имущество, необходимое для осуществления заявленного вида деятельности. 13 Копии документов по п.п заверяются организацией-соискателем

Экспертная комиссия Схема лицензирования на право проведения работ и оказания услуг в области защиты государственной тайны (В соответствии с приказом ФСТЭК России 2006 г. 126) Акт СЭ, Уч. карта, Плат. док 6 Управление ФСТЭК России по федеральному округу Экспертная комиссия Лицензия (5 дн.) (отказ) Заявка Организация- соискатель лицензии 1 Контроль 7 Аттестационный центр Уведомление (5 дн.) Перечень АЦ 2 Центральный аппарат ФСТЭК России 14 Предписание 2 Уведомление о выборе АЦ 3 Материалы экспертизы Экспертиза 4 5 Экспертиза (10 дн.) 4

СИСТЕМА ЛИЦЕНЗИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий. Правительство Российской Федерации ФСТЭК России Соискатели лицензий (заявители) Лицензируемые виды деятельности Деятельность по технической защите конфиденциальной информации Разработка и (или) производство средств защиты конфиденциальной информации 15

Нормативные документы, определяющие порядок лицензирования в области защиты конфиденциальной информации Федеральный закон Российской Федерации «О лицензировании отдельных видов деятельности» ( 128-ФЗ от 8 августа 2001 г.). Федеральный закон Российской Федерации «О лицензировании отдельных видов деятельности» ( 128-ФЗ от 8 августа 2001 г.). Указ Президента Российской Федерации от г. 188 Указ Президента Российской Федерации от г. 188 «Об утверждении перечня сведений конфиденциального характера». Постановление правительства Российской Федерации «О лицензировании деятельности по технической защите конфиденциальной информации» 290 от 30 апреля 2002 г. Постановление правительства Российской Федерации «О лицензировании деятельности по технической защите конфиденциальной информации» 290 от 30 апреля 2002 г. (Утверждает «Положение о лицензировании деятельности по технической защите конфиденциальной информации»). Постановление правительства Российской Федерации «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» 348 от 27 мая 2002 г. (Утверждает «Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации». Постановление правительства Российской Федерации «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» 348 от 27 мая 2002 г. (Утверждает «Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации». Постановление правительства Российской Федерации «О лицензировании отдельных видов деятельности» ( 135 от 11 февраля 2002 г.). Постановление правительства Российской Федерации «О лицензировании отдельных видов деятельности» ( 135 от 11 февраля 2002 г.). 16

Условия лицензирования деятельности по ТЗКИ Юридические лица (организации, независимо от формы собственности) или индивидуальные предприниматели (ПБОЮЛ), предполагающие оказывать услуги по ТЗКИ. Юридические лица (организации, независимо от формы собственности) или индивидуальные предприниматели (ПБОЮЛ), осуществляющие мероприятия по защите КИ. Должны получать лицензию: Деятельность по технической защите конфиденциальной информации включает не только услуги, оказываемые сторонним организациям и индивидуальным предпринимателям, но и мероприятия по обеспечению собственных нужд юридического лица или индивидуального предпринимателя по защите КИ при её обработке техническими средствами 17

Общие принципы лицензирования в области защиты конфиденциальной информации Обеспечение единства экономического пространства на территории Российской Федерации (лицензия действует на всей территории Российской Федерации). Заявительный принцип получения лицензии (принцип «одного окна»). Гласность и открытость лицензирования. Соблюдение законности при осуществлении лицензирования. Установление лицензионных требований и условий положениями о лицензировании конкретных видов деятельности. Лицензии выдаются конкретным юридическим лицам (индивидуальным предпринимателям, образовавшим ПБОЮЛ). Лицензии выдаются только юридическим лицам (индивидуальным предпринимателям), зарегистрированным на территории Российской Федерации. Передача лицензии другим юридическим лицам (предпринимателям) запрещена. Лицензия имеет ограниченный срок действия - 5 лет. Лицензирование осуществляется на платной основе. Выданная лицензия может быть приостановлена или аннулирована. 18

Лицензионные требования для получения лицензии на деятельность в области технической защиты конфиденциальной информации (В соответствии с постановлением Правительства РФ 2002 г. 290) 19 1.оОсуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование в области технической защиты информации, либо специалистами, прошедшими переподготовку по вопросам защиты информации. 2.оСоответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно- методическими документами по технической защите информации. 3.оИспользование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации. 4.оИспользование третьими лицами программ для электронно- вычислительных машин или баз данных на основании договора с их правообладателем.

Перечень документов, представляемых для получения лицензий в области технической защиты конфиденциальной информации Заявление. Копии учредительных документов (устав, договор учредителей). Копия свидетельства о государственной регистрации соискателя лицензии – для ПБОЮЛ. Копия свидетельства о внесении записи о юридическом лице в ЕГРЮЛ. Копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием ИНН. Документ, подтверждающий уплату лицензионных сборов: (за рассмотрение заявления о выдаче лицензии руб., за предоставление лицензии руб.); Сведения о квалификации и составе специалистов: а). копии дипломов о высшем профессиональном образовании в области технической защиты информации, либо – заверенные копии свидетельств о повышении квалификации или переподготовке по вопросам защиты информации. б). документ, подтверждающий, что специалисты зачислены в штат соискателя лицензии. Пояснительная записка. 20

Перечень вопросов, отражаемых в Пояснительной записке Основной вид (виды) деятельности соискателя лицензии. Какие мероприятия и (или) услуги по технической защите конфиденциальной информации предполагает осуществлять (осуществляет) соискатель лицензии. Перечень КИ, защищаемой (подлежащей защите) в организации - соискателе лицензии (с учетом Указа Президента РФ 1997 г. 188). Сведения об объектах информатизации, на которых обрабатывается КИ с приложением копий сертификатов (аттестатов по требованиям безопасности информации) на эти объекты. С помощью каких средств осуществляется обработка и защита КИ. Какое ПО используется для обработки КИ (с приложением копий договоров пользователей с правообладателем и сертификатов соответствия). В случае оказания услуг – перечень контрольно-измерительной аппаратуры, средств контроля защищенности информации. Перечень нормативной и нормативно-методической литературы, необходимой для осуществления заявляемых видов деятельности. 21

СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ (1) Сертификация продукции (сертификация) - процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Сертификация средств защиты информации – деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации. Понятие сертификации 22

СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ (2) ФГУП ГНИИИ ПТЗИ ФГУП «Атомзащитаинформ» Аккредитованные органы по сертификации средств защиты информации Ассоциация ЕВРААС ФСТЭК России Уполномоченный федеральный орган исполнительной власти Испытательные лаборатории (более 40) (Аккредитуются ФСТЭК России) Заявители 23

ИЛ – испытательные лаборатории ОА – органы по аттестации объектов информатизации Сертифицированные средства защиты информации: Программные средства 197 Программно-технические средства 284 Технические средства 116 Другие 13 Всего Количественный состав системы сертификации ФСТЭК России 24 Федеральные округа ИЛ ОА Центральный (18 субъектов) Северо-Западный (11 субъектов) 85 Южный (13 субъектов) 25 Приволжский (15 субъектов) Уральский (16 субъектов) 125 Сибирский (16 субъектов) 113 Дальневосточный (10 субъектов) -5 И т о г о: Органы по сертиф-ии 1. ГНИИ ПТЗИ 2. НТСЦ «Атомзащитаинформ» 3. Ассоциация ЕВРААС 4. Автономная НО Секция Информаци- онная безопасность» 4

Цели системы сертификации средств защиты информации 25 Обеспечение национальной безопасности в сфере информатизации. Формирование и осуществление единой научно - технической и промышленной политики в сфере информатизации с учетом требований системы защиты информации ограниченного доступа. Содействие формированию рынка защищенных информационных технологий и средств их обеспечения. Регулирование и контроль разработки, а также последующего производства средств защиты информации. Содействие потребителям в компетентном выборе средств защиты информации. Защита потребителя от недобросовестности изготовителя (продавца, исполнителя). Подтверждение показателей качества продукции, заявленных изготовителями.

Нормативные документы определяющие порядок сертификации средств защиты информации на соответствие требованиям безопасности информации 1. Федеральный закон «О техническом регулировании» 184-ФЗ от 27 декабря 2002 г. 2. Закон Российской Федерации «О стандартизации» от 10 июня 1993 г. 3. Постановление Правительства Российской Федерации от 26 июня 1995 г. 608 «О сертификации средств защиты информации». 4. Положение о сертификации средств защиты информации по требованиям безопасности информации (приказ председателя Гостехкомиссии России от 27 октября 1995 г. 199). 26

Структура средств защиты информации, подлежащих сертификации Средства защиты информации (СЗИ) Собственно средства защиты информации: технические, программно- технические, программные Технические средства, в которых реализованы СЗИ (т. е. защищенные технические средства) Средства контроля эффективности защиты информации: технические, программно- технические, программные 27

АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА СООТВЕСТВИЕ ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Аттестация объекта – официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов по защите информации. Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно- технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации 28

29 Объекты, подлежащие аттестации Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров. Объект аттестации ОИ на базе средств и систем информатизации, участвующих в обработке защищаемой информации (ОТСС) Выделенные помещения (ВП)

30 Перечень основных нормативных документов, определяющих порядок и объём аттестационных испытаний ОИ 1.Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим каналам». (Постановление Совета Министров – Правительства Российской Федерации от г ). 2.Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР). (Решение Гостехкомиссии России от 23 мая 1997 года 55). 3.Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утверждено председателем Гостехкомиссии России г.). 4.Методические рекомендации управлениям ФСТЭК России по федеральным округам об организации работ по аттестации объектов информатизации по требованиям безопасности информации. (Утверждены приказом ФСТЭК России от 30 апреля 2006 г. 126). 5.Сборник норм защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН). (Введен в действие решением Гостехкомиссии России 32 от 14 марта 1998 года). 6.Сборник нормативно-методических документов по противодействию акустической речевой разведке (НМД АРР), Гостехкомиссия России, 2000 г.

Общие требования по аттестации объектов информатизации, предназначенных для обработки конфиденциальной информации 31 Аттестация объектов информатизации, предназначенных для обработки защищаемой информации, проводится на соответствие требованиям СТР, СТР-К и РД Гостехкомиссии (ФСТЭК) России Аттестация объектов информатизации носит обязательный характер в случае, если объект информатизации предназначен для обработки информации, отнесённой к: государственной и служебной тайне; персональным данным, В остальных случаях – рекомендательный характер. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки конфиденциальной информации на период времени, установленный в «Аттестате соответствия»

Органы, имеющие право проведения аттестации объектов информатизации, предназначенных для обработки информации 32 Органы по аттестации объектов информатизации, аккредитованные ФСТЭК России – для ОИ по требованиям защиты гостайны Организации, имеющие лицензию на право оказания услуг по технической защите конфиденциальной информации (по пост. Правительства г.) Аттестация объектов информатизации проводится при участии подразделения (специалистов) по ЗИ организации

33 Порядок проведения аттестации ОИ на соответствие требованиям защиты гостайны (в соответствии с приказом ФСТЭК России 2006 г. 126) Заявка и ИД на проведение аттестации ЗАЯВИТЕЛЬ Управление ФСТЭК России по ФО 1. Ведение реестра аттестованных ОИ ФО. 2. Контроль аттестованных ОИ. ЦА ФСТЭК России 4 Орган по аттестации объектов информатизации Заявка и ИД на проведение аттестации Перечень органов по аттестации (3 дн.) 1 2 Перечень органов по аттестации (ежемесячно) Анализ исходных данных Предварительное ознакомление Заключение договора Разработка ПиМ испытаний Аттестационные испытания Оформление и выдача аттестата 5а Выдача аттестата 6 1 Сообщение: о выбранном ОА, сроках проведения аттестации Согласование ПиМ АИ (для объектов 1 категории и ОИ ОА 1-3 кат.) 3а Согл-ние Заключения по рез. аттестации (для ОИ 1 категории и ОИ ОА 1-3 кат.) Сводный отчёт (ежеквартально) (для объектов 2 и 3 категории) 5 3

ТЕМА 4: Исходные данные по аттестуемым объектам информатизации 92

ИСХОДНЫЕ ДАННЫЕ ПО АТТЕСТУЕМЫМ ОБЪЕКТАМ ИНФОРМАТИЗАЦИИ ОБЩИЕ ДАННЫЕ ПО ОБЪЕКТУ ДАННЫЕ ПО РЕАЛИЗОВАННОЙ НА ОБЪЕКТЕ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ, СРЕДСТВАМ И СПОСОБАМ ЗАЩИТЫ ДАННЫЕ ПО ПЕРСОНАЛУ ДАННЫЕ О РЕЗУЛЬТАТАХ РАНЕЕ ПРОВЕДЕННЫХ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ 93

ОБЩИЕ ДАННЫЕ ПО ОБЪЕКТУ техническое задание на ОИ описание технологического процесса обработки информации в АС схемы и характеристики систем электропитания и заземления ОИ состав технических и программных средств АС схемы прокладки линий передачи данных приемо-сдаточная документация на ОИ планы размещения ОТСС и ВТСС 94

ДАННЫЕ ПО РЕАЛИЗОВАННОЙ НА ОБЪЕКТЕ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ, СРЕДСТВАМ И СПОСОБАМ ЗАЩИТЫ технический паспорт на ОИ акт категорирования и классификации АС по требованиям ЗИ состав и схемы размещения средств ЗИ используемые средства ЗИ, инструкции по их эксплуатации сертификаты соответствия требованиям безопасности информации на средства ЗИ данные о техническом обеспечении средствами контроля эффективности ЗИ 95

ДАННЫЕ О РЕЗУЛЬТАТАХ РАНЕЕ ПРОВЕДЕННЫХ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ протоколы специальных исследований технических средств и систем предписания на эксплуатацию технических средств и систем заключения о специальной проверке ВП и технических средств 96

ДАННЫЕ ПО ПЕРСОНАЛУ технологические инструкции пользователям АС и администратору безопасности информации данные по уровню подготовки кадров нормативная и методическая документация по ЗИ и контролю 97

планы размещения ОТСС и ВТСС состав технических и программных средств АС акт категорирования и классификации АС по требованиям ЗИ технический паспорт на ОИ приемо-сдаточную документацию на ОИ техническое задание на ОИ состав и схемы размещения средств ЗИ план контролируемой зоны предприятия схемы прокладки линий передачи данных схемы и характеристики систем электропитания и заземления ОИ технологические инструкции пользователям АС и администратору безопасности информации описание технологического процесса обработки информации в АС предписания на эксплуатацию технических средств и систем протоколы специальных исследований технических средств и систем используемые средства ЗИ, инструкции по их эксплуатации заключения о специальной проверке ВП и технических средств сертификаты соответствия требованиям безопасности информации на средства ЗИ, систем обработки и передачи информации данные по уровню подготовки кадров нормативная и методическая документация по ЗИ и контролю данные о техническом обеспечении средствами контроля эффективности ЗИ ИСХОДНЫЕ ДАННЫЕ ПО АТТЕСТУЕМЫМ ОБЪЕКТАМ ИНФОРМАТИЗАЦИИ 98

Программа проведения аттестационных испытаний объектов информатизации ТЕМА 5: 100

Порядок проведения аттестации объектов информатизации Подача заявки на аттестацию Заявитель Орган по аттестации Рассмотрение заявки Предварительное ознакомление с объектом информатизации Разработка программы аттестационных испытаний Согласование программ Заключение договора (договоров) Проведение аттестационных испытаний объекта информатизации Оформление, регистрация и выдача «Аттестата соответствия…» 101

Возможные схемы аттестации объектов информатизации Анализ исходных данных по аттестуемому объекту информатизации Предварительное ознакомление с аттестуемым объектом информатизации Экспертное обследование объекта информатизации Анализ документации по защите информации на аттестуемом объекте Проведение испытаний отдельных средств и систем защиты информации (несертифицированных) Непосредственно на аттестуемом объекте с использованием специальной контрольной аппаратуры и тестовых средств В испытательных центрах (лабораториях) по сертификации средств защиты информации Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации Анализ результатов экспертного обследования и комплексных аттестационных испытаний. Разработка заключения по результатам аттестации 102

Методы проверок и испытаний, используемые при аттестации объектов информатизации Экспертно-документальный метод Измерения и оценка степени опасности технических каналов утечки информации и эффективности ее защиты Проверка функций (комплекса функций) защиты информации от несанкционированного доступа С использованием тестирующих средств Методы пробного пуска средств защиты Попытки «взлома» систем защиты информации 103

Типовое содержание программы аттестационных испытаний Методики испытаний Используемая контрольно- измерительная аппаратура и тестовые средства Условия, порядок и продолжительность проведения аттестации Объекты испытаний Цели и задачи испытаний Перечень выполняемых проверок и испытаний Порядок подготовки и оформления отчетной документации Привлекаемые сторонние организации – испытательные центры (лаборатории) Методы проверок и испытаний 104

Порядок проведения аттестационных испытаний Анализ и оценка исходных данных и документации по защите информации на объекте информатизации Проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации объекта информатизации Изучение (проверка) технологического процесса обработки и хранения секретной информации, анализ информационных потоков и т.п. Проверка состояния организации работ и выполнения организационно- технических требований по защите информации Оценка полноты и уровня разработки организационно- распорядительной, проектной и эксплуатационной документации Оценка правильности классификации и категорирования объекта информатизации Оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации Испытания отдельных технических и программных средств, средств и систем защиты, инженерного оборудования на соответствие требованиям по безопасности информации Комплексные испытания объекта информатизации на соответствие требованиям по безопасности информации Подготовка отчетной документации 105

Перечень выполняемых проверок и испытаний п/ п Выполняемые проверки и испытания Срок прове- дения Метод проверкиМетоди- ческое обеспечение Используе- мая контрольная аппаратура Примечание 1. Анализ и оценка исходных данных по ЗИ Экпертно- документальный п.5.1 Программы - ….. 4. Аппаратурные испытания эффективности ЗИ от утечки за счет электроакустических преобразований в ТА типа «Siemens» Инструментальныйп.п. 5.6; 5.7; 5.8 Программы п.6.4; 6.5; 6.6 Программы … 8. Аппаратурные испытания эффективности ЗИ от утечки по цепям питания с использованием фильтров типа ФП-6 (в объеме сертификационных испытаний) ИнструментальныйПо отдельной программе Привлека- ется испыта- тельная лаборатория ООО «ЦБИ» … 20. Подготовка и оформление отчетной документации

Основные факторы, определяющие содержание и объем аттестационных испытаний Тип аттестуемого объекта информатизации Состав и структура объекта информатизации, условия его расположения и особенности эксплуатации Категория и класс защищенности объекта информатизации Технологический процесс обработки информации Используемые организационные, технические и программные средства ЗИ Опасные виды и средства разведки, технические каналы утечки информации и угрозы безопасности информации Степень документальной (аппаратурной) подтвержденности эффективности ЗИ Степень отработанности и полноты организационно-распорядительной и эксплуатационной документации Степень подготовленности персонала 107

ТЕМА 7: Каналы утечки информации. Основные термины и определения 108

Вопросы лекции 1.Определение канала утечки информации 2.Модель канала утечки информации за счет побочных электромагнитных излучений и наводок 3.Общая характеристика источников информативного сигнала 4.Общая характеристика случайных антенн 5.Механизмы возникновения побочных электромагнит- ных излучений и наводок 6.Классификация каналов утечки информации за счет побочных электромагнитных излучений и наводок 7.Основные характеристики технических средств разведки побочных электромагнитных излучений и наводок 109

Определение канала утечки информации Техническое определение канала утечки информации: Под техническим каналом утечки информации, обрабатываемой с помощью средств информатизации, понимают совокупность: объекта разведки, технического средства разведки (TCP), с помощью которого добывается информация об этом объекте, физической среды, в которой распространяется информационный сигнал. Оперативное определение канала утечки информации: Под техническим каналом утечки информации, обрабатываемой с помощью средств информатизации, понимают способ получения с помощью TCP разведывательной информации об объекте Под разведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки, составляющие государственную или коммерческую тайну, независимо от формы их представления. 110

Общая схема канала утечки информации за счет ПЭМИН Помехи Среда распространения Источник информации Приемник информации Объект разведкиСредство разведки Технические средства передачи информации Средства вычислительной техники Оргтехника Разведка ПЭМИН Воздушная среда Токопроводящие инженерные коммуникации, выходящие за пределы контролируемой зоны Линии связи, выходящие за пределы контролируемой зоны 111

Обобщенная модель канала утечки информации за счет побочных электромагнитных излучений 112

Возможные режимы обработки информации, характерные для типового СВТ Вывод информации на экран монитора Ввод данных с клавиатуры Запись информации на накопители на магнитных носителях Чтение информации с накопителей на магнитных носителях Передача данных в каналы связи Вывод данных на периферийные печатные устройства - принтеры, плоттеры Запись данных от сканера на магнитный носитель (ОЗУ) 113

Пример структурной схемы видеотракта с указанием источников информативного сигнала и случайных антенн 114

Краткая характеристика источников информативного сигнала Вид кодирования сигнала - импульсный, потенциальный, смешанный потенциально-импульсный Разрядность информативного сигнала - от 1 до 512 Частота повторения информативных импульсов - от единиц герц до сотен мегагерц Длительность информативного импульса – от сотен милисекунд до единиц наносекунд Амплитуда информативного сигнала - от единиц миливольт до единиц киловольт Ширина спектра, занимаемая сигналом - от сотен герц до сотен мегагерц 115

Временная развертка тестового сигнала в режиме вывода на экран монитора изображения вида "точка через точку". Разрешение 1600 х 1200, при частоте строчной развертки 70 Гц. Тест: WinVideo. Точка измерения: pin 1 видеоадаптера (сигнал R) 116

Временная развертка информативного сигнала модема в кабеле RS-232 линия RD (PIN 2 разъема DB25) 117

Спектральные характеристики информационного сигнала модема в линии связи 118

Спектральные характеристики информативного сигнала в линии связи ЛВС стандарта 100 Мбит/с 119

Краткая характеристика случайных антенн Геометрические размеры (единицы миллиметров - сотни метров) Поляризация - линейная, эллиптическая (круговая) Характеристики направленности (слабонаправленные для случайных антенн в виде проводников, средненаправленные - для случайных антенн щелевого типа) Прогнозируемый вид паразитной связи случайной антенны с источником информативного сигнала (гальваническое подключение, емкостной, индуктивный, трансформаторный, комбинированный) Прогнозируемые резонансные частоты в диапазоне частот информативного сигнала (четвертьволновые и полуволновые вибраторы) 120

Реальная характеристика направленности случайной антенны видиосистемы на первой тактовой частоте информативного сигнала f т = 12,6 МГц 121

Схема измерений поляризационной характеристики случайной антенны видиосистемы в диапазоне частот информативного сигнала (режим 640 х 480) 220 В 50 Гц Металлический лист Y X Z 1 метр Эквивалент сети Направление максимального уровня излучения 1 метр 122

Результаты измерений поляризационной характеристики случайной антенны видиосистемы в диапазоне частот информативного сигнала (режим 640 х 480) - формула для расчета коэффициента поляризации 123

Механизм возникновения побочных электромагнитных излучений при работе СВТ Случайная антенна в сферической системе координат Возможные варианты распределения тока по длине случайной антенны I L Z Z 0 0 |K|L 1 L Z Z 0 0 |K|L Ј 1 A) Б) 124

Механизм возникновения побочных электромагнитных излучений при работе СВТ Вид решений системы уравнений Максвелла для точки наблюдения p при условии |K|L Ј 1: (1) (2) (3) где k - волновое число; I 0 - комплекс распределения тока по излучателю; L- размер излучателя; W- волновое сопротивление среды; r и - текущие координаты в системе координат. 125

Анализ выражений (1) - (3) для электрической составляющей ПЭМИ Ближняя зона излучения - |K|r 1 при |К| r 1. Вывод: при |К| r 1 составляющая Е r Е 126

Зависимость амплитуды результирующей электрической составляющей ЭМП, возбужденного элементарным электрическим вибратором от координаты θ при | k | r

Зависимость амплитуды результирующей электрической составляющей ЭМП, возбужденного элементарным электрическим вибратором от координаты θ при | k | r 1 128

Зависимость амплитуды результирующей электрической составляющей ЭМП, возбужденного элементарным электрическим вибратором от координаты θ при | k | r 1 129

Зависимость амплитуды результирующей электрической составляющей ЭМП, возбужденного элементарным электрическим вибратором от координаты θ при | k | r 1 130

Механизм возникновения наведенных информативных сигналов в цепях электропитания, заземления, линиях коммуникационных устройств 131

Механизм возникновения наведенных информативных сигналов в цепях и линиях связи ВТСС, выходящих за пределы контролируемой зоны 132

Механизм возникновения наведенных информативных сигналов на внешней (экранирующей) оплетке линий связи коммуникационных устройств Распределение плотности тока во внешнем проводнике Концентрация токов на взаимообращенных к друг другу поверхностях проводников а и б 133

Эквивалентная схема замещения линии связи I 1 – амплитуда эквивалентного генератора,L 11 - погонная индуктивность центральной жилы; включенного между центральной L 21 - погонная индуктивность экрана; жилой и экраном кабеля;L 22 - погонная индуктивность земли; I 2 - амплитуда эквивалентного генератора,R 11 - погонное сопротивление центральной жилы; включенного между экраном кабеля и землей;R 21 - погонное сопротивление экрана; R 22 - погонное сопротивление земли;C 1 - погонная емкость линии 0 – 1; R Г1 - внутреннее сопротивление генератора I 1 ;С 2 - погонная емкость линии 1 – 2; Rз,Lз - эквивалентные параметры заземления;G 1 - погонная проводимость линии 0 – 1; Rн - сопротивление нагрузки кабельной линии;G 2 - погонная проводимость линии 1 – 2; Свых, Rвых - элементы выходных цепей адаптера;R Г2 : внутреннее сопротивление генератора L Z CB - сопротивление cвязи; 134

Классификация каналов утечки информации за счет побочных электромагнитных излучений и наводок 135

Электромагнитные каналы утечки информации 136

Электрические каналы утечки информации 137

Электрические каналы утечки информации 138

Электрические каналы утечки информации Воздействие на информацию путем установки в ОТСС аппаратных средств несанкционированного воздействия на информацию 139

Параметрические каналы утечки информации ОТСС 140

Основные характеристики технических средств разведки побочных электромагнитных излучений и наводок Для перехвата информации путем приема и анализа побочных электромагнитных излучений от работающих технических средств приема, передачи, обработки, хранения и отображения информации и возникающих при этом наводок на провода, кабели и другие токопроводящие коммуникации применяется: стационарная аппаратура радиоразведки и разведки ПЭМИН, реализующая модель оптимального приемника разведки и установленная в иностранных представительствах, пользующихся правом экстерриториальности портативные возимые и носимые средства радиоразведки и разведки ПЭМИН, реализующие алгоритм квазиоптимального приемника автономные автоматические средства радиоразведки и разведки ПЭМИН 141

Основные характеристики стационарной аппаратуры разведки ПЭМИН, устанавливаемой в иностранных представительствах Наименование характеристики Частота, МГц 0,0030,030, Чувствительность приемника, дБ (Вт/ Гц) Коэффициент усиления антенны, дБ Диапазон частот, регистрируемый с помощью технических средств разведки ПЭМИН - единицы Герц - 10 ГГц Максимальная дальность перехвата побочных электромагнитных излучений, образующихся путем облучения генераторами высокочастотных колебаний с территории посольств, миссий и др. иностранных представительств - до 300 м 142

Основные характеристики портативных и автономных средств разведки ПЭМИН Масса носимой аппаратуры до 0,2 кГ Масса портативной возимой аппаратуры с одним сменным высокочастотным блоком - до 1,5 кГ, канально - демодулирующих устройств - до 3-х кГ Наименование характеристики Частота, МГц 0,0030,030, Чувствительность приемника, дБ (Вт/ Гц) Коэффициент усиления антенны, дБ Портативные носимые 1. Портативные возимые и автономные автоматические 4. Дальность перехвата информации с линий связи метров 143

Дальности перехвата ПЭМИН средств вычислительной техники и технических средств обработки информации аппаратурой радиоразведки и разведки ПЭМИН 144

Содержание и порядок проведения аттестационных испытаний объектов вычислительной техники ТЕМА 9: 145

Содержание аттестационных испытаний объектов вычислительной техники Анализ исходных данных и документации по защите информации и проверка их соответствия реальным условиям размещения и эксплуатации объекта информатизации Проверка состояния организации работ и выполнения организационно-технических требований по защите информации Оценка полноты и уровня разработки организационно-распорядительной, проектной и эксплуатационной документации Оценка правильности категорирования и классификации объекта информатизации Оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации Испытания АС на соответствие требованиям по защите информации от утечки по каналам ПЭМИН Испытания АС на соответствие требованиям по защите информации от несанкционированного доступа Проверки выполнения требований на отсутствие в технических средствах специальных электронных устройств перехвата информации 146

Оценка правильности категорирования объекта информатизации ГРИФ СЕКРЕТНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ УСЛОВИЯ РАСПОЛОЖЕНИЯ ОТНОСИТЕЛЬНО ПРЕДСТАВИТЕЛЬСТВ ИНОСТРАННЫХ ГОСУДАРСТВ,ВЕДУЩИХ РАЗВЕДКУ ПЭМИН СТАЦИОНАРНОЙ АППАРАТУРОЙ (Модель ИТР-2010) ОСНОВНЫЕ КРИТЕРИИ КАТЕГОРИРОВАНИЯ НЕОБХОДИМЫЕ ИСХОДНЫЕ ДАННЫЕ ( ПОДТВЕРЖДАЮЩИЕ ДОКУМЕНТЫ ) ПРЕДПИСАНИЕ НА ЭКСТЛУАТАЦИЮ ОБЪЕКТА ПРЕДПИСАНИЯ НА ЭКСТЛУАТАЦИЮ СВТ СПРАВКА ИЗ КОМПЕТЕНТНЫХ ОРГАНОВ ПО РАССТОЯНИЯМ ОТ ОБЪЕКТА ДО ПРЕДСТАВИТЕЛЬСТВ ИНОСТРАННЫХ ГОСУДАРСТВ РАЗДЕЛЬНОЕ КАТЕГОРИРОВАНИЕ ТС АКТ КАТЕГОРИРОВАНИЯ ДОПУСКАЕТСЯ ПРИ НАЛИЧИИ СРЕДСТВ РАЗГРАНИЧЕНИЯ ДОСТУПА ПЕРЕСМОТР КАТЕГОРИИ НЕ РЕЖЕ ОДНОГО РАЗА В 5 ЛЕТ ИЛИ ПРИ ИЗМЕНЕНИИ ОДНОГО ИЗ КРИТЕРИЕВ ЗАКЛЮЧЕНИЕ О СТЕПЕНИ СЕКРЕТНОСТИ ПЛАНЫ РАЗМЕЩЕНИЯ ОБОРУДОВАНИЯ 147

заключения о специальной проверке ВП и технических средств предписания на эксплуатацию технических средств и систем планы размещения ОТСС и ВТСС состав технических и программных средств АС акт категорирования и классификации АС по требованиям ЗИ технический паспорт на ОИ приемо-сдаточную документацию на ОИ техническое задание на ОИ состав и схемы размещения средств ЗИ план контролируемой зоны предприятия схемы прокладки линий передачи данных схемы и характеристики систем электропитания и заземления ОИ технологические инструкции пользователям АС и администратору безопасности информации описание технологического процесса обработки информации в АС протоколы специальных исследований технических средств и систем инструкции по эксплуатации средств ЗИ сертификаты соответствия требованиям безопасности информации на средства ЗИ, систем обработки и передачи информации данные по уровню подготовки кадров нормативная и методическая документация по ЗИ и контролю данные о техническом обеспечении средствами контроля эффективности ЗИ ИСХОДНЫЕ ДАННЫЕ ПО АТТЕСТУЕМЫМ ОБЪЕКТАМ ИНФОРМАТИЗАЦИИ 148

Оценка полноты и уровня разработки организационно- распорядительной, проектной и эксплуатационной документации ПРОЕКТНАЯ ДОКУМЕНТАЦИЯ РУКОВОДСТВО ПО ЗАЩИТЕ ИНФОРМАЦИИ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНАЯ ДОКУМЕНТАЦИЯ ПРИКАЗЫ О ВВОДЕ В ЭКСПЛУАТАЦИЮ ЭКСПЛУАТАЦИОННАЯ ДОКУМЕНТАЦИЯ инструкции по эксплуатации средств ЗИ обеспеченность средствами контроля эффективности ЗИ обеспеченность нормативной и методической документацией по ЗИ и контролю планы размещения ОТСС и ВТСС состав и схемы размещения средств ЗИ технический паспорт на ОИ техническое задание на ОИ схемы и характеристики систем электропитания и заземления ОИ ПРИКАЗЫ О НАЗНАЧЕНИИ ОТВЕТСТВЕННЫХ ЛИЦ технологические инструкции пользователям АС и администратору безопасности информации 149

Испытания АС на соответствие требованиям по защите информации от несанкционированного доступа Испытания подсистемы управления доступом Проверка механизма идентификации Проверка механизма аутентификации Проверка механизма контроля доступа Проверка механизмов управления потоками информации Испытания подсистемы регистрации и учета Испытания криптографической подсистемы Испытания подсистемы обеспечения целостности 150

Испытания АС на соответствие требованиям по защите информации от утечки по каналам ПЭМИН Проверка выполнения требований по ЗИ от утечки за счет ПЭМИ СВТ Проверка выполнения требований по ЗИ от утечки за счет наводок Проверка выполнения требований по ЗИ от утечки по цепям заземления и электропитания Проверка выполнения требований по ЗИ от утечки по кабельным линиям передачи данных Проверка фактических размеров контролируемой зоны Проверка взаимного размещения СВТ и ВТСС на соответствие требованиям предписаний на эксплуатацию Проверка выполнения требований РД к схемам организации и монтажу систем электропитания и заземления, фильтрации опасных сигналов и величине сопротивления заземления Проверка выполнения требований РД и предписаний на эксплуатацию по условиям прокладки, взаимному пробегу и разносу линий передачи данных Проверка соответствия размеров КЗ требованиям предписаний на эксплуатацию СВТ Проверка работоспособности СЗИ и выполнения правил их эксплуатации Экспертная оценка результатов аппаратурного контроля эффективности защиты информации Аппаратурные испытания эффективности защиты информации 151

Проверка фактических размеров контролируемой зоны ПРОБЛЕМНЫЕ ВОПРОСЫ АРЕНДАТОРЫВРЕМЕННАЯ КОНТРОЛИРУЕМАЯ ЗОНА 152

ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ РЕЧЕВОЙ ИНФОРМАЦИИ Тема 24, лекция, 1 час

ОБОБЩЕННАЯ СХЕМА КАНАЛА УТЕЧКИ ИНФОРМАЦИИ Источник информации (передатчик) Среда распространения Приемник перехвата Помехи Регистрирующее устройство Технический канал утечки информации – совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация

ВИДЫ КАНАЛОВУТЕЧКИ ИНФОРМАЦИИ ИЗ ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ ВИДЫ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ ИЗ ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ ВИД ИНФОРМАТИВНОГО СИГНАЛА МЕХАНИЧЕСКИЕ КОЛЕБАНИЯЭЛЕКТРИЧЕСКИЕ СИГНАЛЫЭЛЕКТРОМАГНИТНЫЕ ПОЛЯ СРЕДА РАСПРОСТРАНЕНИЯ ВОЗДУХПРОВОДНИКИЭФИР ОГРАЖДАЮЩИЕ КОНСТРУКЦИИ ИСТОЧНИКИ (ПЕРЕДАТЧИКИ) РЕЧЕВОГО СИГНАЛА ЧЕЛОВЕК ВСПОМОГАТЕЛЬНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА ОСНОВНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Акустические и виброакустические сигналы Побочные электромагнитные излучения и наводки Электроакустические преобразования (ЭАП) Радиоизлучения и сигналы от «закладок» Паразитная генерация (ПГ) и модуляция Изменения тока потребления ВЧ - навязывание СРЕДСТВА АРРСРЕДСТВА РАЗВЕДКИ ПЭМИН

Разведка ПЭМИН Акустическая (речевая) разведка Регистрации ПЭМИН Оптико-электронная (лазерная) Направленные микрофоны Аппаратура звукозаписи До 1 км До 500 м – До 1500 м – До 200 м До 15 м Стационарная - непрерывно Возимая и носимая - эпизодически При благоприятных метеоусловиях: диффузное отражение в пределах прямой видимости Узконаправленное отражение Возимая и носимая - эпизодически при благоприятной обстановке Возимая и носимая - эпизодически при благоприятной обстановке Вид разведки Аппаратура Дальность разведки Особенности применения ОСНОВНЫЕ ХАРАКТЕРИСТИКИ СРЕДСТВ АКУСТИЧЕСКОЙ РЕЧЕВОЙ РАЗВЕДКИ И РАЗВЕДКИПЭМИН АКУСТИЧЕСКОЙ РЕЧЕВОЙ РАЗВЕДКИ И РАЗВЕДКИ ПЭМИН

ОСОБЕННОСТИ ИСТОЧНИКОВ РЕЧЕВОГО СИГНАЛА И СОЗДАВАЕМЫХ ИМИ ИНФОРМАТИВНЫХ СИГНАЛОВ ЧЕЛОВЕК ВСПОМОГАТЕЛЬНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА ОСНОВНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА ДИАПАЗОН ЧАСТОТ УРОВНИ СИГНАЛОВ СТАТИСТИЧЕСКАЯ СПЕКТРАЛЬНАЯ ХАРАКТЕРИСТИКА РУССКОЙ РЕЧИ Макс. 0,02…20 кГц Осн. 0,3…3,4 кГц УЗД = 64…74 дБ Нормир. 70 дБ ЭАП 0,02…20 кГц ВГ 20 кГц...дес.ГГц ПГ 20 кГц....1 ГГц U 0,05мкВ…дес.мВ E дес.мкВ/м.. дес.мВ/м Н до сотен мА/м Осн.ПЭМИ 0,02…20 кГц ПГ 20кГц…1 ГГц ЭАП 0,02…20 кГц U 0,05 мкВ…дес.мВ Е сотни мВ/м Н сотни мА/м ГР. РЕЧЬ 74 дБ СР. РЕЧЬ 70 дБ ТИХ. РЕЧЬ 64 дБ Интегральные уровни звукового давления 0,07 0,3 2,5 3,4 7 F, кГц S сл, %К i 0,1 0, ,01,0 Речевой диапазон 1 – среднестатистиче- ская спектральная характеристика русской речи 2 - вклад отдельных участков спектра в суммарную словес- ную разборчивость речи

СОСТАВ И ОСОБЕННОСТИ ОСНОВНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ К У УМ ФЭ ВМ МКТ ТА С К Р О С А Т С ЦАП АЦП ТА СИСТЕМЫ СЕКРЕТНОЙ СВЯЗИ СИСТЕМЫ ЗВУКОУСИЛЕНИЯСИСТЕМЫ ЗВУКОВОГО СОПРОВОЖДЕНИЯ СИСТЕМЫ ЗВУКОЗАПИСИ УМ УВ УЗ ГСП

СОСТАВ И ОСОБЕННОСТИ ВСПОМОГАТЕЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ ТЕХНИЧЕСКИХ СРЕДСТВ Вид ВТСС ЭЛЕМЕНТЫ СХЕМОТЕХНИКИ, СОЗДАЮЩИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ ГЕНЕРАТОРЫ И УСИЛИТЕЛИ ВЧ ГЕТЕРО- ДИНЫ ТРАНСФОР- МАТОРЫ, ДРОССЕЛИ, РЕЛЕ ДИНАМИКИ, МИКРОФОНЫ ГЕНЕРАТОРЫ И УСИЛИТЕЛИ ВЧ ЭЛЕКТРО- МЕХАНИЧЕСКИЕ УСТРОЙСТВА (ПРЕОБРАЗО- ВАТЕЛИ) АНАЛОГОВЫЕ ТА ЦИФРОВЫЕ ТА ТАКТОВЫЕ ГЕНЕРАТОРЫ ДАТЧИКИ ПОЖАРНОЙ И ОХРАННОЙ СИГНАЛИЗАЦИИ ЭЛЕКТРОЧАСЫ ГРОМКОГОВОРИТЕЛИ БЫТОВАЯ РАДИОЭЛЕКТРОННАЯ АППАРАТУРА – +¯+¯ +¯+¯ – +¯+¯ – – +¯+¯ + + +¯+¯ + + – ++ – –– + – + –– +++ – +¯+¯ +¯+¯ +¯+¯ +¯+¯ +¯+¯ – +¯+¯

ОСОБЕННОСТИ СРЕДЫ РАСПРОСТРАНЕНИЯ ИНФОРМАТИВНЫХ СИГНАЛОВ ЗАТУХАНИЕ ШУМЫ СКОРОСТЬ РАСПРОСТРАНЕНИЯ СИГНАЛОВ ЕСТЕСТВЕННЫЕ ИСКУССТВЕННЫЕ

ОСОБЕННОСТИ ВОЗДУХА И ОГРАЖДАЮЩИХ КОНСТРУКЦИЙ, КАК СРЕДЫ РАСПРОСТРАНЕНИЯ АКУСТИЧЕСКИХ ВОЛН СРЕДЫ РАСПРОСТРАНЕНИЯ АКУСТИЧЕСКИХ ВОЛН ЗАТУХАНИЕ( ЗВУКОИЗОЛЯЦИЯ) АКУСТИЧЕСКИХ СИГНАЛОВ ШУМЫ В СВОБОДНОМ ПРОСТРАНСТВЕ (ВОЗДУХЕ) - ОБРАТНО ПРОПОРЦИОНАЛЬНО R УЛИЦА С ИНТЕНСИВНЫМ ДВИЖЕНИЕМ 60 дБ УЛИЦА СО СРЕДНИМ ДВИЖЕНИЕМ 55 дБ УЛИЦА БЕЗ ДВИЖЕНИЯ АВТОМОБИЛЕЙ 35 дБ СЕЛЬСКАЯ МЕСТНОСТЬ 35 дБ КОРИДОРЫ дБ КОМНАТА ТИХАЯ 35-40дБ КОМНАТА ШУМНАЯ дБ ПУСТОЙ КАБИНЕТ дБ ВНЕШНЕЕ СТЕКЛО ОКНА дБ ВНУТРЕННЕЕ СТЕКЛО ОКНА дБ ВНЕШНЯЯ КОНСТРУКЦИЯ ЗДАНИЯ дБ ВНУТРЕННЯЯ КОНСТРУКЦИЯ ЗДАНИЯ 10-30дБ БЕЗ ВОДЫ 10-15дБ С ВОДОЙ дБ ТРУБОПРОВОД ОТОПЛЕНИЯ АКУСТИЧЕСКИЕ ВИБРАЦИОННЫЕ СТЕНА В 0.5 КИРПИЧА 48 дБ СТЕНА В 1 КИРПИЧ 53 дБ СТЕНА В 2 КИРПИЧА 58 дБ ОКНО ОДИНАРНОЕ 22…26 дБ ОКНО ДВОЙНОЕ 32…38 дБ ДВЕРЬ ОБЫЧНАЯ 18…20 дБ ДВЕРЬ МЕТАЛЛИЧЕСКАЯ 25…30 дБ СТЕНА ИЗ ЖЕЛЕЗОБЕТОНА (100мм) 58 дБ НА ОГРАЖДАЮЩИХ КОНСТРУКЦИЯХ ВОЗДУХОВОДЫ МЕТАЛЛИЧЕСКИЕ 0,15 дБ/м ПЛАСТИКОВЫЕ 0,2…0,3 дБ/м ЗАТУХАНИЕ ВИБРАЦИОННЫХ СИГНАЛОВ : БЕТОН - 0.1…0.15 дБ/м, КИРПИЧ – 0.2…0.4 дБ/м

ОСОБЕННОСТИ ПРОВОДНЫХ КОММУНИКАЦИЙ, КАК СРЕДЫ РАСПРОСТРАНЕНИЯ ИНФОРМАТИВНЫХ СИГНАЛОВ НОРМИРОВАННЫЕ ШУМЫ В СЕТИ ЭЛЕКТРОПИТАНИЯ ЗАТУХАНИЕ СИГНАЛОВ В СЕТИ ЭЛЕКТРОПИТАНИЯ В линии длиной 16 м Через РЩ f (кГц) U шN, Kосл, дБ МГц

ОСОБЕННОСТИ ФОРМИРОВАНИЯ ЭЛЕКТРОМАГНИТНОГО ПОЛЯ ОТ ЭЛЕКТРИЧЕСКОГО И МАГНИТНОГО ИЗЛУЧАТЕЛЕЙ а – электрический вибратор. Сопротивление источника велико, ток высокой частоты I мал. Волновое сопротивление Z 0 вблизи излучателя велико и в структуре поля преобладает электрическая составляющая Е, которая в ближней зоне по мере удаления от излучателя уменьшается по закону 1/r 3. б – магнитная рамка с низким сопротивлением. Преобладает магнитная составляющая Н. Волновое сопротивление Z 0 растет по мере удаления от излучателя. В ближней зоне магнитная составляющая уменьшается по закону 1/r 3. Виды зон формирования поля БлижняяПромежуточнаяДальняя d 1 r /2 1< d 18 /2 < r 3 d >18 r > 3 График зависимости волнового сопротивления пространства Z 0 вблизи электрического вибратора (1) и магнитной рамки (2) в зависимости от расстояния d = /2 В ближней и промежуточной зонах Z 0 и Е Н В дальней зоне Z 0 = = 377 Ом и Е = Н Промежуточная зона Дальняя зона Ближняя зона

ЗАТУХАНИЕ ЭЛЕКТРОМАГНИТНЫХ ВОЛН r ДАЛЬНЯЯ ЗОНА ПРОМ. ЗОНА БЛИЖНЯЯ ЗОНА Е Н 1/R 3 1/R 2 r ДАЛЬНЯЯ ЗОНА ПРОМ. ЗОНА БЛИЖНЯЯ ЗОНА Е Н 1/R 3 1/R 2 МАГНИТНЫЙ ИЗЛУЧАТЕЛЬЭЛЕКТРИЧЕСКИЙ ИЗЛУЧАТЕЛЬ ЭКРАНИРОВАНИЕ КОНСТРУКЦИЯМИ (дБ) 100 МГц 500 МГц 1000 МГц КИРПИЧНАЯ 13…19 15…22 16…25 СТЕНА 300мм ЖЕЛЕЗОБЕТОН 20…32 18…27 15… мм f, МГц Вид зон формирования поля БлижняяПромежуточнаяДальняя 1/r 3 1/r 2 1/r Закон убывания электромагнитного поля в зависимости от расстояния (r) от источника излучения

ФИЗИЧЕСКИЕ ОСНОВЫ ОБРАЗОВАНИЯ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ, ОБУСЛОВЛЕННЫХ ЭФФЕКТОМ ПОБОЧНЫХ ЭЛЕКТРОМАГНИТНЫХ ИЗЛУЧЕНИЙ И НАВОДОК НИЗКООМНЫЕ ЦЕПИ ( МАГНИТНОЕ ПОЛЕ, Н) ВЫСОКООМНЫЕ ЦЕПИ (ЭЛЕКТРИЧЕСКОЕ ПОЛЕ, Е ) _H_H I U _E_E I _H_H

ФИЗИЧЕСКИЕ ОСНОВЫ ОБРАЗОВАНИЯ КАНАЛА УТЕЧКИ ИНФОРМАЦИИ, ЗА СЧЕТ ЭЛЕКТРОАКУСТИЧЕСКИХ ПРЕОБРАЗОВАНИЙ ЭЛЕКТРОАКУСТИЧЕСКИЕ ПРЕОБРАЗОВАТЕЛИ ГЕНЕРАТОРНЫЕ- ПАССИВНЫЕ ПАРАМЕТРИЧЕСКИЕ –МОДУЛЯТОРНЫЕ ( АКТИВНЫЕ) 1. ПЬЕЗОЭЛЕКТРИЧЕСКИЕ 2. ЭЛЕКТРОДИНАМИЧЕСКИЕ3. ЭЛЕКТРОМАГНИТНЫЕ 1. ЕМКОСТНЫЕ 2. ИНДУКТИВНЫЕ 3. МЕХАНОСТРИКЦИОННЫЕ ~U~U SN ~F~F ~U~U ~F~F ~U~U S N ~F~F ~F~F ~F~F ~F~F L C L

НЕКОТОРЫЕ ВТСС, ОБЛАДАЮЩИЕ СВОЙСТВОМ ЭЛЕКТРОАКУСТИЧЕСКИХ ПРЕОБРАЗОВАНИЙ Телефонные аппараты и телефонные устройства Вторичные электрочасы Абонентские громкоговорители однопрограммной и трехпрограммной трансляционной сети Громкоговорители сети оповещения Некоторые датчики систем пожарной и охранной сигнализации Бытовая радиоэлектронная аппаратура

ФИЗИЧЕСКИЕ ОСНОВЫ ОБРАЗОВАНИЯ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ, ОБУСЛОВЛЕННЫХ ЭФФЕКТОМ ПАРАЗИТНОЙ ГЕНЕРАЦИИ И МОДУЛЯЦИИ ИНФОРМАЦИОННЫЙ СИГНАЛ P,U,E,H ВЦ ПОЛОЖИТЕЛЬНАЯ ОБРАТНАЯ СВЯЗЬ НЧ f г ; 2 f г...n f г НЧ усилитель ИНФОРМАЦИОННЫЙ СИГНАЛ P,U,E,H ВЧ генератор (усилитель) ВЦ f г ( f ВЧ ) ВЧ Г

ФИЗИЧЕСКИЕ ОСНОВЫ ОБРАЗОВАНИЯ КАНАЛОВ УТЕЧКИ НФОРМАЦИИ, ОБУСЛОВЛЕННЫХ ЭФФЕКТОМ ВЧ-НАВЯЗЫВАНИЯ ИНФОРМАЦИОННЫЙ СИГНАЛ P,U,E,H ТС, f г ; 2 f г … n f г Г ПРМ f г О Б Ъ Е М Н О Е ЭЛ. КОНСТР. ИНФОРМАЦИОННЫЙ СИГНАЛ P,U,E,H ТС f г ; 2 f г … n f г Г ПРМ f г Л И Н Е Й Н О Е

ОСНОВНЫЕ СПОСОБЫ БЛОКИРОВАНИЯ КАНАЛОВ УТЕЧКИ РЕЧЕВОЙ ИНФОРМАЦИИ. ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ Тема 25, лекция, 1 час

К А Н А Л Ы ОРГАНИЗАЦИОННЫЕ И РЕЖИМНЫЕ МЕРЫ ТЕХНИЧЕСКИЕ МЕРЫ Акустические и виброакустические сигналы Побочные электромагнитные излучения и наводки Электроакустические преобразования Радиоизлучения и сигналы от «закладок» Паразитная генерация и модуляция Изменения тока потребления ВЧ - навязывание 1. Выбор условий размещения ВП 2. Установление КЗ 3. Ограничение допуска в ВП 4. Спецпроверка ВП и ТС 1. Применение СЗИ 2. Звуко и виброизоляция 3. Экранирование 4. Применение защищенных (сертифицированных) ТС 5. Отключение ТС 6. Локализация соединительных линий в пределах КЗ СПОСОБЫ БЛОКИРОВАНИЯ ТЕХНИЧЕСКИХ КАНАЛОВ УТЕЧКИ РЕЧЕВОЙ ИНФОРМАЦИИ

КЛАССИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ РЕЧЕВОЙ ИНФОРМАЦИИ Активные (генераторы шума) Пассивные Генераторы виброакусти- ческого шума Генераторы электромагнитно го шума Средс- тва звуко и вибро- изоля- ции Устройства гальваниче ской развязки и размыкания цепей Линей- ного зашумле- ния Общего применения Низко- частот- ные Высоко- частот- ные Телефонных линий Систем радиотрансляции и оповещения Систем часофикации Систем охранной и пожарной сигнализации Пространс твенного зашумле- ния Экран- ирую- щие конст- рукции Фильт- ры

ФИЗИЧЕСКИЕ ОСНОВЫ ДЕЙСТВИЯ ПАССИВНЫХ И АКТИВНЫХ СРЕДСТВ И СПОСОБОВ ЗАЩИТЫ ИНФОРМАЦИИ U c /U ш >1 f U U c /U ш

СРЕДСТВА ЗАЩИТЫ ТА И ОФИСНОЙ ТЕХНИКИ ОТ УТЕЧКИ РЕЧЕВОЙ ИНФОРМАЦИИ Назначение: Предотвращение утечки информации за счет электроакустических преобразований и линейного ВЧ-навязывания ФИЛЬТРАЦИЯ (ОГРАНИЧЕНИЕ ) СИГНАЛОВ МАЛЫХ АМПЛИТУД Особенности: Защита аналоговых и цифровых ТА требует различных технических решений Реализация дополнительных функций: - индикация подключения параллельных ТА; - контроль линии на предмет работы телефонных «закладок» и др. ЗАШУМЛЕНИЕ ЛИНИЙ ОТКЛЮЧЕНИЕ (РАЗРЫВ ИЛИ ЗАКОРАЧИВАНИЕ ЦЕПИ РАСПРОСТРАНЕНИЯ ИНФОРМАТИВНОГО СИГНАЛА) Принцип действия

СПОСОБЫ ПОДАВЛЕНИЯ СИГНАЛОВ МАЛЫХ АМПЛИТУД Вольт-амперная характеристика диода Вольт-амперная характеристика динистора Цепочка из встречно-параллельно включенных диодов Цепочка из встречно-параллельно включенных диодов и динисторов

Выполняемые функции: - подавление сигналов малых амплитуд (на 75 дБ); - подавление высокочастотных сигналов. ЭЛЕКТРИЧЕСКАЯ СХЕМА УСТРОЙСТВА ЗАЩИТЫ ТЕЛЕФОННЫХ АППАРАТОВ «ГРАНИТ-8»

Выполняемые функции: - закорачивание и отключение источника информативного сигнала; - зашумление подводимой линии. ЭЛЕКТРИЧЕСКАЯ СХЕМА УСТРОЙСТВА ЗАЩИТЫ АБОНЕНТСКИХ ГРОМКОГОВОРИТЕЛЕЙ «ГРАНИТ-7»

п/п Тип устройства НазначениеМетод защитыДополнительные функции 1.«Гранит-8»Защита аналоговых ТАОграничениеЗащита от ВЧ-навязывания 2.МП-1АЗащита аналоговых ТАОграничение, зашумление Защита от ВЧ-навязывания 3.МП-1ЦЗащита цифровых ТАОграничение, зашумление Защита от ВЧ-навязывания 4.«Корунд»Защита аналоговых ТАОграничение_ 5.«Грань-300»Защита аналоговых ТАФильтрацияЗащита от ВЧ-навяз., блокир. ТА 6.6.«Сигнал-3»Защита аналоговых ТАПодавление инф. сигнала на 80 дБ Индикация несанкц. подкл. к абонентской линии 7.7.«Сигнал-5»Защита факсимильных аппаратов _ 8.8.«Сигнал-7»Защита аналоговых ТА_ Выявление подслуш. уст-в в диапазоне 40…500 МГц. ХАРАКТЕРИСТИКИ НЕКОТОРЫХ СРЕДСТВ ЗАЩИТЫ ТА ОТ ЭЛЕКТРОАКУСТИЧЕСКИХ ПРЕОБРАЗОВАНИЙ Гранит-8 Грань-300 «Корунд» МП-1А;Ц

п/п Тип устройства НазначениеМетод защитыДополнительные функции 1.МП-4Защита вторичных электрочасов ЗашумлениеЗащита от ВЧ- навязывания 2.МП-2Защита 3-х программного приемника системы радиотрансляции Зашумление, отключение Защита от ВЧ- навязывания 3.МП-5Защита громкоговорителей систем оповещения Отключение от линииЗащита от ВЧ- навязывания 4.УЗГЗащита громкоговорителей Зашумление, отключение Защита от ВЧ- навязывания 5.5.МП-3Защита ТС по цепи электропитания 220 В Отключение сетиЗащита от ВЧ- навязывания ХАРАКТЕРИСТИКИ НЕКОТОРЫХ СРЕДСТВ ЗАЩИТЫ ТС ОТ ЭЛЕКТРОАКУСТИЧЕСКИХ ПРЕОБРАЗОВАНИЙ МП-4;5 МП-2 МП-3

ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ ОТ УТЕЧКИ РЕЧЕВОЙ ИНФОРМАЦИИ ПО АКУСТИЧЕСКОМУ И ВИБРАЦИОННОМУ КАНАЛАМ Назначение: Обеспечение требуемого отношения сигнал/шум на границе контролируемой зоны (в месте возможного ведения разведки) Средства активной защиты: Системы активной виброакустической защиты. Средства пассивной защиты: 1.Применение средств, повышающих звуко и виброизоляцию ограждающих конструкций 2.Применение окон с повышенной звуко и виброизоляцией. 3.Устройство тамбуров на входных дверях в помещения. 4.Установка шумопоглощающих фильтров в воздуховодах.

СИСТЕМЫ АКТИВНОЙ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ Назначение: Предотвращение утечки информации из ВП по акустическому и вибрационному каналам Подача вибрационного шума на разведдоступные поверхности (ограждающие конструкции – окна, стены, полы, батареи и др.) Создание акустического поля шума в местах возможного перехвата акустического сигнала Особенности: Одноканальные, многоканальные Различные типы излучателей Возможность регулировки уровня в октавных полосах Адаптивные системы Принцип действия:

ОСОБЕННОСТИ СИСТЕМ ВИБРОАКУСТИЧЕСКОГО ЗАШУМЛЕНИЯ ПАРАЗИТНЫЕ ШУМЫ ВИБРОДАТЧИКОВ ФОН ANG-2000 VNG-006 ШОРОХ ВИБРОУСКОРЕНИЕ НА КИРПИЧНОЙ СТЕНЕ ВИБРОУСКОРЕНИЕ НА БЕТОННОЙ СТЕНЕ САН. НОРМА 50 дБ

«Шорох-2» «Шорох-1» КВП-2 КВП-6 КВП-7 Виброизлучатели Тип Кол-во каналов Диапазон частот, Гц Макс. кол-во виброизлуча- телей Эфф. радиус действия виброизлуча телей, м Особенности «Шорох-1»3175…5600КВП-2 – 72 и КВП-7 – ,5 Наличие эквалайзера «Шорох-2»1175…5600КВП-2 – 24 и КВП-7 – ,5 Наличие эквалайзера СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ «ШОРОХ»

СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ «СОНАТА-АВ» «Соната-АВ», модель 1А Тип Кол-во каналов Диапазон частот, Гц Макс. кол-во виброизлуча- телей Эфф. радиус действия виброизлуча- телей, м Особен- ности «Соната- АВ» модель 1А 2175…5600ВИ-45 – 12 ПИ-45 – 16 АИ-65 – 16 ВИ-45 – 20 ПИ-45 – 16 АИ-65 – «Соната- АВ» модель 1М 2175… «Соната-АВ», модель 1М

СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ «КЕДР» И ВВ301 ВВ301 Тип Кол-во каналов Диапазон частот, Гц Макс. кол-во виброизлуча- телей Эфф. радиус действия виброизлуча- телей, м Особен- ности «Кедр»1 (3 выхода) 200…15000ПКИ-1 – 10 (на выход) ЭМ-1 – 4 До 10 1,5 Адаптивное управление ВВ301680…10000S = 20 кв. м Акустомат «Кедр»

СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ ANG-2000 и VNG-006DМ АNG-2000 VNG-006DМ Тип Кол-во каналов Диапазон частот, Гц Макс. кол-во виброизлуча- телей Эфф. радиус действия виброизлуча- телей, м Особен- ности ANG …5000TRN-2000 – 185 VNG-006DM1200…5000КВП-2 – 124

СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ «ШТОРМ» (SI-3001) и «ШТОРМ-2» (SI-3002) SI-3002 «Шторм-2» SI-3001 «Шторм» Тип Кол-во каналов Диапазон частот, Гц Макс. кол-во виброизлуча- телей Выходная мощность, Вт Особенности «Шторм» SI …5000TRN-2000 – 72 КВП-2 – Адаптивное управление, рег. уровня. «Шторм-2» SI … ти полосн. эквалайзер

РЕКОМЕНДУЕМЫЕ МЕРЫ ЗАЩИТЫ ВП ОТ АРР ПАССИВНЫМИ СРЕДСТВАМИ использование многослойных конструктивных элементов (двойные двери с тамбуром, окна с пакетным остеклением, многослойные перегородки, двойные стены); применение виброизолирующих (демпфирующих) прокладок в посадочных проёмах конструктивных элементов (дверей, окон) и в вводных отверстиях (шахтах) коммуникаций инженерно-технических систем; использование навесных элементов на ограждающих конструкциях, выполненных из звукопоглощающих материалов различных конструкций (пористых, резонирующих, перфорированных и др.); применение различного рода акустических экранов, устанавливаемых на разведопасных направлениях как внутри помещений, так и на наружной территории; использование методов снижения отражающих характеристик остеклованных поверхностей, попадающих в акустической поле речевых сигналов (использование защитных штор и жалюзи, применение специальных стёкол и др.); применение звукоизолирующих и виброизолирующих «развязок» между различными ограждающими конструкциями и элементах ограждающих конструкций. Выбор конкретного пассивного метода защиты должен сопровождаться проведением необходимых расчётов и экспериментальных работ с учётом выполнения нормативных требований, задаваемых «Нормами ПД АРР».

ПРИМЕР КОНСТРУКТИВНОГО ИСПОЛНЕНИЯ ОКНА, ОБЕСПЕЧИВАЮЩЕГО АКУСТИЧЕСКУЮ И ВИБРОАКУСТИЧЕСКУЮ ЗАЩИТУ ВП (50-55 дБ) Стена 180 мм Жалюзи 6 мм 4 мм 8 мм12 мм Уплотнительные прокладки Проставка Двухкамерный стеклопакет Внутренняя рама Наружная рама

1 - стенки короба вентиляции; 2 - звукопоглощающий материал. Установка шумопоглотителей в воздуховодах Применение многослойных акустически неоднородных конструкций стен 1 l2l2 l1l – отнесённая плита; 2 – обрешётка; 3 – виброизолятор; 4 - звукопоглощающий материал; 5 – несущая конструкция. l2l2 l1l1 1 2 СПОСОБЫ ОБЕСПЕЧЕНИЯ ЗВУКО И ВИБРОИЗОЛЯЦИИ

ЗВУКОИЗОЛЯЦИЯ, ОБЕСПЕЧИВАЕМАЯ НЕКОТОРЫМИ ОГРАЖДАЮЩИМИ КОНСТРУКЦИЯМИ ПОМЕЩЕНИЙ