Специальные проверки технических средств и систем

Специальная проверка технических средств и систем представляет собой комплекс инженерно-технических мероприятий, проводимых с использованием необходимых технических средств. Цель проверки – исключение перехвата информации, содержащей государственную тайну, с помощью внедренных в защищаемое помещение закладок и других технических средств разведки. Приведем определение из ГОСТ Р 51583-2000 "Порядок создания автоматизированных систем в защищенном исполнении":

Специальная проверка (СП) — проверка компонентов автоматизированной системы, осуществляемая с целью поиска и изъятия закладочного устройства.

Специальная проверка технических средств и систем состоит из следующих этапов:

· прием-передача технического средства, формирование исходных данных для составления программы проведения специальной проверки;

· разработка программы проведения специальной проверки технического средства;

· проведение технической проверки;

· анализ результатов и оформление отчетных документов.

Для проведения проверки технические средства (ТС) предоставляются в полной комплектации и исправном состоянии по акту приема-передачи. Акт подписывается только после проверки работоспособности технического средства.

Заказчик также предоставляет сведения, необходимые для разработки программы СП. Условно эти сведения можно разделить на три группы:

· данные о техническом средстве;

· данные о планируемом применении технического средства;

· данные о месте размещения.

Данные о техническом средстве включают в себя: сведения о назначении, комплектации, документацию, сведения о поставщике и способе приобретения.

Данные о планируемом применении должны освещать следующее:

· будет ли ТС обрабатывать защищаемую информацию или располагаться в помещении, где она обрабатывается;

· есть ли высший гриф секретности у обрабатываемой информации;

· как будет применяться ТС: в составе системы или самостоятельно;

· к каким коммуникациям будет подключено ТС.

Данные о планируемом месте размещения технических средств включают в себя: описание объекта, на котором планируется размещение, перечень защищаемых на нем сведений, минимальное расстояние до границы КЗ, размещение посольств, правительств и иных мест пребывания иностранных граждан, возможность и периодичность пребывания иностранных граждан на объекте.

По полученным данным проводится проверка, в ходе которой изучаются схема и конструкция построения ТС, а также принципы обработки в нем информации (как и по каким элементам она циркулирует). На основе данного анализа делаются выводы о естественных каналах утечки информации в силу конструктивных и функциональных особенностей ТС и возможно внедренных в него специальных электронных устройствах (СЭУ).

Следующим этапом является составление программы проведения специальной проверки, которая определяет порядок выявления демаскирующих признаков СЭУ (например, радиоизлучения) и их непосредственное выявление. Результаты оформляются в специальном журнале проведения СП и заверяются подписью руководителя рабочей группы.

Согласно разработанной программе проводится техническая проверка. Типовая техническая проверка состоит из:

· дозиметрический контроль изделия в таре для обнаружения радиоактивных меток и радиоизотопных источников питания;

· вихретоковый контроль объектов (узлов) технических средств обработки и передачи информации, не содержащих металлических элементов;

· контроль тары, не имеющей полупроводниковых элементов, прибором нелинейной локации (при необходимости рентгеноскопический контроль) с целью выявления СЭУ, выполняющих роль "маяка";

· проведение радиоконтроля с целью выявления демаскирующих признаков активных СЭУ;

· проверка возможности осуществления ВЧ-навязывания элементам ТС;

· разборка технического средства, осмотр его элементов и узлов с целью выявления демаскирующих признаков СЭУ, проявляющихся в отклонении импеданса;

· контроль элементов и узлов технических средств, не содержащих полупроводниковых элементов, прибором нелинейной локации (при необходимости рентгеноскопический или рентгенографический контроль);

· электротехнические измерения параметров элементов и узлов с целью выявления отклонений в схемотехнических и конструктивных решениях;

· рентгенография или рентгеноскопия элементов и узлов технического средства с целью выявления схемных изменений в элементах и неразборных узлах ТС;

· дешифрация рентгеновских снимков и проведение визуально-оптического контроля внешнего вида и внутренней структуры узлов и элементов ТС;

· сборка ТС и контроль работоспособности [18.2].

При этом проведение сложных видов контроля (рентгеновского, нелинейной локации и т.п.) проводится по специально разработанным методикам.

После анализа результатов технической проверки руководитель группы выносит заключение о наличии или отсутствии в ТС СЭУ. Оформляется акт проведения специальной проверки, в котором приводится перечень проверенных элементов и вид технических проверок, ФИО лиц, проводивших эти проверки и общее заключение по результатам проверки. Акт оформляется в единственном экземпляре и оставляется у исполнителя.

Специальные обследования

Специальные обследования (СО) выделенных помещений – комплекс инженерно-технических мероприятий, проводимых с использованием необходимых, в том числе и специализированных, технических средств. Цель СО – выявление возможно внедренных специальных электронных средств перехвата информации, содержащей государственную тайну, в ограждающих конструкциях, предметах мебели и интерьера выделенных помещений.

На этапе подготовки к проведению СО производится:

· оценка вероятного злоумышленника: его профессионализм, финансовые возможности и потенциальные цели;

· оценка условий проведения СО.

Оценка условий предполагает:

· анализ расположения объекта на местности с учетом окружающей его территории;

· оценка размера контролируемой зоны и возможности по снятию информации из-за ее границ;

· обследование самого объекта защиты (выделенного помещения).

На основе анализа потенциального злоумышленника и объекта защиты определяются:

· виды и объем поисковых действий;

· состав измерительной техники и вспомогательного имущества;

· необходимое количество специалистов;

· время проведения СО.

При подготовке работ особое внимание следует уделять линиям коммуникаций, выходящим за пределы КЗ. Помимо того, что по ним может передаваться информация от закладок, на телефонных линиях на всем протяжении присутствует речевая или цифровая информация.

Проведение поисковых мероприятий включает в себя:

· радиообнаружение;

· осмотр помещения;

· обследование электрических и электронных приборов;

· проверка проводных коммуникаций.

Для радиообнаружения используются технические средства, рассмотренные нами ранее: радиочастотометры, идентификаторы поля, сканирующие приемники и т.д. Для эффективного радиообнаружения желательно наличие карты загрузки радиодиапазона, полученной на расстоянии от 300 до 1000 м от исследуемого объекта. Это упростит обнаружение путем сравнения этой карты с картой радиодиапазона исследуемого помещения. Следует отметить, что эффективность радиоконтроля во многом зависит от квалификации операторов, проводящих проверку.

Осмотр включает в себя визуальный осмотр помещения и находящихся в нем предметов. При этом, чтобы не пропустить место установки закладного устройства, контроль проводят по определенной схеме, например, по часовой стрелке. Все электронные приборы временно удаляют из помещения или смещают в одно место. Фактически производится настоящий обыск с отодвиганием мебели и выдвижением всех ящиков. Осматривают стены и потолки на выявление наличия изменения тона окраски. Люстры, бра и электророзетки отключают, снимают и разбирают. Для осмотра труднодоступных мест применяют эндоскопы и зеркала. Предметы, размещаемые на стенах, осматривают снаружи и внутри на изменение тона покрытия или характерные "пылевые" следы.

Проверяют окна в открытом и закрытом состояниях, обращая внимания на полости, шторы, карнизы и подоконники. Обследуется вся мебель и предметы в помещении.

Всё, что вызвало сомнения при осмотре, подвергается технической проверке. Аппаратурную проверку предметов мебели и интерьера проводят с применением нелинейного локатора и переносного рентгеновского аппарата на подготовленной площадке, предварительно проверенной на наличие помех.

Следующим шагом является проверка электрических и электронных приборов. Электрические приборы (настольные лампы, нагревательные приборы и т.п) перед проверкой включают в сеть и индикатором поля определяют наличие в них источника радиоизлучения. Если устанавливается наличие нелегитимных радиоизлучений, прибор проверяют с помощью комплекса радиообнаружения. Затем обесточивают, разбирают и осматривают.

Наиболее трудно обнаружить закладки в электронных приборах (ПЭВМ, оргтехнике, магнитофонах и т.п.). Облегчает поиск наличие снимков типовых блоков аналогичных приборов, которые сравниваются с исследуемыми. При этом особое внимание уделяют наличию в приборе небольших элементов неизвестного назначения, изменениям в топологии печатных плат, присутствию конденсаторов и резисторов, не соответствующих стандартным по обозначению, расположению и внешнему виду. После проверки электроприборы опечатывают специальными пломбами или маркируют ультрафиолетовыми метками.

Далее происходит проверка проводных коммуникаций. Осмотр каждой линии начинают с установления трассы ее прохождения в помещение. Обычно сначала проверяют электросеть, затем телефонные линии и кабели сигнализации. Особое внимание, естественно, уделяется линиям, назначение которых неизвестно.

Сначала проверяют наличие ВЧ-сигналов в линии, модулированных информационным сигналом. Слаботочные линии дополнительно проверяют на присутствие в них информационных низкочастотных сигналов.

Если закладок в линии не выявлено, целесообразно запротоколировать напряжение в линии при опущенной и поднятой телефонной трубке. Полученные значения в дальнейшем используют при контроле.

После проведения обследования полученные результаты оформляют в виде пакета документов, состоящего из:

· протоколов с указанием мест срабатывания технических средств контроля, участком вскрытий ограждающих поверхностей, описанием подозрительных предметов мебели и интерьера;

· протоколов изъятия обнаруженных средств съема информации;

· заключения о степени защищенности объекта от несанкционированного съема информации;

· рекомендаций по устранению и нейтрализации технических каналов утечки информации.

Специальные исследования

Специальные исследования (СИ) — выявление с использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем и оценка соответствия защиты информации требованиям нормативных документов по защите информации[18.1].

Нормы, по которым оценивается защищенность информации, - значения показателей эффективности защиты информации, установленные нормативными документами. В общем случае это некоторое численное значение, установленное соответствующим регламентирующим документом, при превышении которого опасным сигналом данный канал утечки считается существующим. При этом эти пороговые значения отличаются в зависимости от категории защищаемой информации, ее вида и формы представления.

Из всего вышеизложенного можно сделать вывод, что задачей СИ является выявление и измерение информационных сигналов в потенциальных каналах утечки информации – опасных сигналов. Учитывая, что величины опасных сигналов, как правило, малы, задача их идентификации является достаточно сложной. Дело в том, что ошибка в определении опасного сигнала может привести к "пропуску" ТКУИ и неправильным результатам оценки защищенности. Задача защиты информации от утечки по ТКУИ может быть решена тремя способами: уменьшение сигнала передатчика, увеличение затухания опасного сигнала, увеличение шума в канале.

Задача специального исследования сводится к измерению сигнала передатчика защищаемой информации и пересчету измеренных значений к величине, которая может поступить на вход приемника потенциального злоумышленника. Иногда затухание в канале также необходимо измерить и "наложить" на сигнал с целью расчета значения опасного сигнала на дальнем конце канала. В конце происходит вычисление отношения сигнал/шум и сравнение его с нормированными величинами.

Предполагается, что до проведения СИ проведен полный анализ ОТСС и ВТСС, исследуемых помещений и линий (силовых, телефонных, пожарной сигнализации и т.п.). Без проведения предварительного анализа СИ невозможна и, главное, бессмысленна.

Для идентификации опасного сигнала чаще всего используется тестовый режим исследуемого объекта. В ходе тестового режима создается либо имитационный сигнал такого уровня, чтобы он явно выделялся на фоне любых помех в канале, либо информационному сигналу придаются такие свойства, чтобы он уверенно выделялся измерительными средствами и комплексами. Применяемые тест-режимы вместе с параметрами тест-сигналов описываются в протоколах и методиках специальных исследований.

После выявления опасных сигналов необходимо измерить их величины с помощью средств измерений. Перечень использованных при специальных исследованиях средств измерений должен быть приведен в протоколе СИ.

Измеренные величины сигналов должны быть также приведены в протоколе СИ, как правило в форме таблиц. При этом помимо таблиц должна быть указана полная информация о проведении измерений: условия измерений, схемы, отображающие взаимное расположение средств измерений и исследуемых объектов.

После измерений полученные значения должны быть приведены в ту форму и величины, которые могут быть сравнены с установленными нормами. Весь процесс приведения, включая промежуточные расчеты, также должен быть отображен в протоколе специальных исследований. Последним этапом СИ является сравнение полученных в результате измерений и расчетов опасных сигналов с соответствующими нормами и формулировка выводов. Выводы носят краткий и однозначный характер. Например:

Значения опасных сигналов в линии локальной сети не удовлетворяют действующим нормам.

Значения опасных сигналов в линии электропитания удовлетворяют действующим нормам как при штатно функционирующей электросети, так и в случаях ее отключения.

Протоколы заключения могут также содержать рекомендации по устранению выявленных ТКУИ.

Атт

45. Определение понятия и краткая характеристика аттестация объектов информатизации.

Аттестация объекта – официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов по защите информации.

Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК (Гостехкомиссией) России.

Перед началом обработки подлежащей защите информации необходимо официально подтвердить эффективность комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

Аттестация объектов информатизации носит обязательный характер в случае, если объект информатизации предназначен для обработки информации, отнесённой к служебной тайне или персональным данным, в остальных случаях – рекомендательный характер. Аттестация объектов проводится на соответствие требованиям СТР-К и РД ФСТЭК России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки конфиденциальной информации на период времени, установленный в этом «Аттестате соответствия».

Объектами аттестации являются защищаемые помещения и объекты информатизации в состав которых входят средства и системы непосредственно обрабатывающие защищаемую информацию. В целом, объект аттестации представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Аттестацию объектов информатизации могут проводить организации имеющие лицензию на право оказания услуг по технической защите конфиденциальной информации, органы по аттестации объектов информатизации, аккредитованные ФСТЭК России.

46. Основной перечень работ по аттестации объектов информатизации.

Аттестация объектов информатизации проводится в соответствии со следующими нормативными документами:

· Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим каналам». (Постановление Совета Министров – Правительства Российской Федерации от 15.09.1993 г. № 912-51)

· Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282

· Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено председателем Гостехкомиссии России 25.11.1994 г.

· Сборник руководящих документов по защите информации от несанкционированного доступа. Гостехкомиссия России, 1998 г.

· Сборник временных методик оценки защищённости конфиденциальной информации от утечки по техническим каналам. Утвержден первым заместителем Председателя Гостехкомиссии России 8.11.2001 г.

Порядок проведения аттестации объектов информатизации:

· Подача и рассмотрение заявки на аттестацию

· Предварительное ознакомление с аттестуемым объектом (при необходимости)

· Разработка программы и методики аттестационных испытаний

· Заключение договора на проведение аттестации

· Анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и её соответствия требованиям нормативной документации по защите информации

· Оценка правильности классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации

· Проверка уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по безопасности информации

· Комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации

· Оформление протоколов испытаний и заключения по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации

· Оформление, регистрация и выдача "Аттестата соответствия"

При проведении аттестационных испытаний может применяться метод измерения и оценки уровней защищенности для отдельных технических средств и каналов утечки или проверка функций или комплекса функций защиты информации от НСД, а также пробный запуск средств защиты информации от НСД. Так же может применяться экспертно-документальный метод.

При проведении аттестации, исполнитель получает отчетные документы в виде протоколов испытаний (протокол от утечки информации за счет НСД и по техническим каналам), заключение по итогам аттестационных испытаний и, если все необходимые требования соблюдены, аттестат соответствия объекта информатизации по требованиям безопасности информации.

При выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», с оформлением этого решения в «Аттестате соответствия». Владелец аттестованного объекта информатизации несёт ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.

Сл.рассл.

47. Цель и задачи проведения служебных расследований инцидентов нарушений информационной безопасности.

Основные целя расследования инцидентов служат:

1) Определение обстоятельств инцидентов;

2) Выявление причин произошедших инцидентов;

3) Установление виновных лиц и их мотивации, обеспечение возможности привлечения их к ответственности;

Иногда в список целей включается локализация и ликвидация последствий инцидентов ИБ, а также принятие мер по предотвращению подобных в будущем.

 

Основные задачи проведения служебного расследования:

· Сбор свидетельств инцидента;

· Установление обстоятельств совершения служебного проступка служащим;

· Установление причин (уязвимостей), давших возможность инциденту произойти;

· Определение степени виновности конкретного служащего и лиц, причастных к проступку;

· Оценка причиненного ущерба;

· Составление материалов расследования, документирование и хранение документации.

48. Организация проведения служебного расследование инцидента при реализации угрозы информационной безопасности.