090103 Лекции Теория информационной безопасности и

Лекции по курсу: Теория информационной
безопасности и методология защиты информации
(ТИБ и МЗИ)
Рахимов
Нематжон Рахимович
доктор технических
наук, профессор СГГА.
Содержание
Тема 1. «Законодательные и нормативно-правовые акты Российской
Федерации по защите информации»
1
Тема 2. «Структура, задачи и основные функции Государственной системы
защиты информации»
21
Тема 3. «Лицензирование деятельности в области защиты информации,
сертификация средств защиты информации и аттестация объектов
информатизации»
25
Тема 4. «Исходные данные по аттестуемым объектам информатизации»
43
Тема 5. «Программа проведения аттестационных испытаний объектов
информатизации»
47
Тема 7. «Каналы утечки информации. Основные термины и определения»
51
Тема 9. «Содержание и порядок проведения аттестационных испытаний
объектов вычислительной техники»
71
Тема 24. «Технические каналы утечки речевой информации»
75
Тема 25. «Основные способы блокирования каналов утечки речевой
информации. Технические средства защиты»
85
ПРИЛОЖЕНИЕ
97
Грани информационной безопасности
Информационная безопасность — многогранная, можно сказать,
многомерная область деятельности, в которой успех может
принести только систематический, комплексный подход.
Спектр интересов субъектов, связанных с использованием
информационных систем, можно подразделить на следующие
основные категории:
• доступность (возможность за приемлемое время получить
требуемую информационную услугу);
• целостность (актуальность и непротиворечивость информации, ее
защищенность от разрушения и несанкционированного
изменения);
• конфиденциальность
(защита
от
несанкционированного
ознакомления).
Для защиты интересов субъектов информационных
отношений необходимо сочетать меры следующих
уровней:
• законодательного
(законы,
нормативные
акты,
стандарты и т.п.);
• административного (действия общего характера,
предпринимаемые руководством организации);
• процедурного (конкретные меры безопасности,
имеющие дело с людьми);
• программно-технического (конкретные технические
меры).
Таковы два основных, на наш взгляд, измерения, задающие систему
координат в пространстве информационной безопасности. У
информационной безопасности есть и другие грани, но, чтобы
чрезмерно не усложнять карту, мы оставим ее двумерной.
Законодательный уровень
Законодательный уровень является важнейшим для
обеспечения информационной безопасности. Большинство людей
не совершают противоправных действий не потому, что это
технически невозможно, а потому, что это осуждается и/или
наказывается обществом, потому, что так поступать непринято.
Мы будем различать на законодательном уровне две группы мер:
• меры, направленные на создание и поддержание в обществе
негативного (в том числе карательного) отношения к нарушениям
и нарушителям информационной безопасности;
• направляющие и координирующие меры, способствующие
повышению
образованности
общества
в
области
информационной безопасности, помогающие в разработке и
распространении
средств
обеспечения
информационной
безопасности.
Административный уровень
Административный уровень — белое пятно в отечественной
практике информационной безопасности. Нет законов, обязывающих
организации иметь политику безопасности. Ни одно из ведомств,
курирующих информационную безопасность, не предлагает типовых
разработок в данной области. Ни одно учебное заведение не готовит
специалистов по составлению политики безопасности. Мало кто из
руководителей знает, что такое политика безопасности, еще меньшее
число организаций такую политику имеют. В то же время, без подобной
основы прочие меры информационной безопасности повисают в воздухе,
они не могут быть всеобъемлющими, систематическими и эффективными.
Анализ ситуации на административном уровне информационной
безопасности еще раз показывает важность созидательного, а не
карательного законодательства. Можно потребовать от руководителей
наличия политики безопасности (и в перспективе это правильно), но
сначала нужно разъяснить, научить, показать, для чего она нужна и как ее
разрабатывать.
Процедурный уровень
К процедурному уровню относятся меры безопасности,
реализуемые людьми. В отечественных организациях накоплен
богатый опыт составления и реализации процедурных
(организационных) мер, однако проблема состоит в том, что они
пришли из докомпьютерного прошлого, и поэтому нуждаются в
существенном пересмотре. Можно выделить следующие группы
процедурных
мер,
направленных
на
обеспечение
информационной безопасности:
•
•
•
•
•
управление персоналом;
физическая защита;
поддержание работоспособности;
реагирование на нарушения режима безопасности;
планирование восстановительных работ.
Программно-технический уровень
Львиная доля активности в области информационной безопасности
приходится на программно-технический уровень. Если иметь в виду
зарубежные продукты, здесь существует полный спектр решений. Если
ограничиться разработками, имеющими российские сертификаты по
требованиям безопасности, картина получается существенно более
разреженной.
Согласно современным воззрениям, в рамках информационных систем
должны быть доступны по крайней мере следующие механизмы
безопасности:
• идентификация и проверка подлинности (аутентификация) пользователей;
• управление доступом;
• протоколирование и аудит;
• криптография;
• (межсетевое) экранирование;
• обеспечение высокой доступности.
«Законодательные и нормативноправовые акты Российской
Федерации по защите информации.
Виды информационных ресурсов
по категориям доступа»
ОСНОВНЫЕ ПОНЯТИЯ
Безопасность - состояние защищенности жизненно важных
интересов личности, общества и государства от внутренних и
внешних угроз. (Закон РФ «О безопасности»)
Национальная безопасность существенным образом зависит от
обеспечения
информационной
безопасности,
и
в
ходе
технического прогресса эта зависимость будет возрастать.
(Доктрина информационной безопасности Российской Федерации)
Информационная безопасность Российской Федерации это
состояние защищенности её национальных интересов в
информационной
сфере,
определяющихся
совокупностью
сбалансированных интересов личности, общества и государства.
(Доктрина информационной безопасности Российской Федерации)
Безопасность информации - состояние информационных ресурсов
и информационных систем, при котором с требуемой
вероятностью обеспечивается защита информации от утечки,
хищения, утраты, несанкционированного уничтожения, искажения,
модификации (подделки), копирования и блокирования. (РД «АС.
Защита от НСД к информации. Термины и определения»
Гостехкомиссия России, 1998 г.).
МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОБЩЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ РФ
Политическая
безопасность
Экономическая
безопасность
Военная
безопасность
Национальная
безопасность
РФ
Социальная
безопасность
Информационная
безопасность
Техническая защита
информации
Экологическая
безопасность
МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОБЩЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Безопасность предприятия (организации)
Физическая
безопасность
Пожарная
безопасность
Экономическая
безопасность
Экологическая
безопасность
Информационная безопасность
Техническая защита конфиденциальной информации
Угрозы безопасност
и
СТРУКТУРА НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ РФ
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
Нормативную правовую базу образуют документы, регулирующие
правовые отношения в области защиты информации.
Эту базу составляют документы федерального уровня,
к которым относятся:
 федеральные законы;
 указы президента Российской Федерации;
 постановления правительства Российской Федерации;
 государственные стандарты Российской Федерации.
Нормативную техническую базу образуют документы,
непосредственно определяющие организационные и технические
требования по защите информации, порядок их выполнения и
контроля эффективности принимаемых мер защиты.
К этим документам относятся:
 требования и рекомендации по защите информации;
 нормативные и методические документы, определяющие критерии эффективности защиты информации и порядок их контроля.
НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РФ
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (1)
Законодательные акты
 Конституция Российской Федерации (1993 г.).
 Закон РФ «О безопасности» (от 5.3.1992 г. № 2446-1).
 ФЗ «Об информации, информационных технологиях и о защите
информации» (от 27.07.2006 г. № 149-ФЗ).
 Закон РФ «О государственной тайне» (от 21.7.1993 г. № 5485-1).
 ФЗ «О коммерческой тайне» (от 29 июля 2004 г. № 98-ФЗ).
 ФЗ «О персональных данных» (от 27 июля 2006 г. № 153-ФЗ).
 ФЗ «О техническом регулировании» (от 27.12.2002 г. № 184-ФЗ).
 Закон РФ «Об обеспечении единства измерений»
(от 27.4.1993 г. № 4871-1).
 ФЗ «Об электронной цифровой подписи» (от 10.1.2002 г. № 1-ФЗ).
 ФЗ «О связи» (от 7.07.2003 г. № 126-ФЗ).
 ФЗ «О лицензировании отдельных видов деятельности»
(от 8.8.2001 г. № 128-ФЗ).
НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РФ
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (2)
Нормативные правовые акты Президента РФ
(указы, распоряжения)
 Об основах государственной политики в сфере информатизации
(от 20.01.1994 г. № 170).
 Вопросы межведомственной комиссии по защите государственной
тайны (от 6.10.2004 г. № 1286).
 Об утверждении перечня сведений, отнесённых к государственной
тайне (от 30.11.1995 г. № 1203 в ред. Указа от 11.2.2006 г. № 90).
 О перечне сведений конфиденциального характера
(от 6 марта 1997 г. № 188).
 О мерах по обеспечению информационной безопасности Российской
Федерации в сфере международного информационного обмена
(от 12.5.2004 года № 611, в ред. Указов от 22.03.2005 № 329
и от 03.03.2006 г. № 175 ).
 Вопросы Федеральной службы по техническому и экспортному
контролю (от 16.08.2004 г. № 1085).
 Концепция национальной безопасности Российской Федерации
(от 17.12.1997 г. № 1300 в редакции Указа от 10.01.2000 г. № 24).
 Доктрина информационной безопасности Российской Федерации
(утверждена Президентом РФ 9.09.2000 г. № Пр-1895).
НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РФ
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (3)
Постановления Правительства РФ
♦ Положение о государственной системе защиты информации в РФ от иностранных технических разведок и от ее утечки по техническим каналам (Извлечения).
(Постановление СМ - Правительства РФ 15.09.1993 г. № 912–51).
♦ Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с
осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (Постановление правительства РФ № 333 от 15 апреля 1995 г. ).
♦ Положение о сертификации средств защиты информации
(Постановление правительства РФ от 20.06.1995 г. № 608).
♦ Об организации лицензирования отдельных видов деятельности
(Постановление правительства РФ от 26.01.2006 г. № 45).
♦ Положение о лицензировании деятельности по технической защите конфиденциальной информации (Постановление правительства РФ от 15.08.06 № 504).
♦ Положение о лицензировании деятельности по разработке и (или)
производству средств защиты конфиденциальной информации
(Постановление правительства РФ от 27 мая 2002 г. № 348).
♦ Положение о порядке обращения со служебной информацией ограниченного
распространения в федеральных органах исполнительной власти
(Постановление правительства РФ от 3 ноября 1994 г. №1233).
♦ О порядке и условиях выплаты процентных надбавок к должностному окладу
(тарифной ставке) должностных лиц и граждан, допущенных к государственной
тайне (Постановление правительства РФ от 14.10.1994 № 1161).
СТРУКТУРА ГОСУДАРСТВЕННЫХ СТАНДАРТОВ,
ИСПОЛЬЗУЕМЫХ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
 Стандарты, определяющие терминологию и общие положения по
организации защиты информации – ГОСТ Р 50922-96; ГОСТ Р 51275-99
 Комплекс стандартов и руководящих документов Госстандарта России
на автоматизированные системы – ГОСТ Р 51583-2000; ГОСТ51241-98;
ГОСТ Р ИСО 7498-2-99; ГОСТ 34003-90; ГОСТ 34201-89; ГОСТ 34601-90;
ГОСТ 34602-89 и др.
 ГОСТ Р 15408-2002 (3 части) «Критерии оценки безопасности информационных технологий» («Общие критерии»).
 Стандарты, определяющие общие требования по защите информации
при её обработке СВТ от утечки по каналам ПЭМИН и методы испытаний – ГОСТ 29339-92, ГОСТ Р 50752-95
 Стандарты по ЭМС, определяющие предельно допустимые уровни
создаваемых ТС помех (ПЭМИН) и методы их испытаний – ГОСТ
22505-97; ГОСТ Р 51318.22-99; ГОСТ Р 51319-99; ГОСТ Р 51320-99 и др.
 Стандарты, определяющие методы измерения шума на рабочих местах
– ГОСТ 12.1.050-86.
 Стандарты ЕСКД (ГОСТ 2.114-95; ГОСТ 2.601-95; ГОСТ 2.111-68 и др.)
ЕСПД и ЕСТД.
 Нормы проектирования помещений для хранения секретных
документов и работы и с ними – СНиП 2.01.50-83.
ОСНОВНЫЕ ПОЛОЖЕНИЯ НОРМАТИВНЫХ ПРАВОВЫХ
АКТОВ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (1)
 права и обязанности субъектов правоотношений в области
информатизации и защиты информации;
 разделение информации на категории открытого и ограниченного
доступа, при этом информация ограниченного доступа по условиям её
правового режима подразделяется на отнесенную к государственной
тайне и конфиденциальную;
 отнесение ряда сведений (служебной и коммерческой тайн,
персональных данных и др.) к сведениям конфиденциального характера;
 введение правового режима защиты информации, неправомерное
обращение с которой может нанести ущерб ее собственнику, владельцу
или пользователю, устанавливаемого в отношении информации с
ограниченным доступом собственником информационных ресурсов
или уполномоченным лицом;
 порядок организации работ по защите информации, структуру и
основные функции государственной системы защиты информации от
ее утечки по техническим каналам;
ОСНОВНЫЕ ПОЛОЖЕНИЯ НОРМАТИВНЫХ ПРАВОВЫХ
АКТОВ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (2)
 порядок лицензирования деятельности предприятий в области
технической защиты конфиденциальной информации, разработки и
производства средств защиты конфиденциальной информации и
сертификации средств защиты информации на соответствие
требованиям безопасности информации;
 возложение ответственности за организацию деятельности систем
лицензирования и сертификации на федеральные органы
исполнительной власти и разграничение сфер их компетенции;
 необходимость создания специальных служб (подразделений), обеспечивающих защиту информации с ограниченным доступом, которая является
собственностью государства, а также необходимость контроля
защищенности информации и права запрещать или приостанавливать
обработку информации в случае невыполнения требований по защите
информации;
 введение ответственности за обеспечение требований по технической
защите информации, которая возлагается на руководителей учреждений
и предприятий, эксплуатирующих объекты информатизации;
 порядок организации и проведения контроля эффективности мероприятий по защите информации ограниченного доступа и др.
ЗАЩИЩАЕМАЯ ИНФОРМАЦИЯ
(В соответствии с ФЗ «Об информации, информационных технологиях и
защите информации» от 27.7.2006 г. № 152-ФЗ, ст. 9)
♦Обязательным является соблюдение конфиденциальности информации,
доступ к которой ограничен федеральными законами.
♦Ограничение доступа к информации устанавливается федеральными
законами в целях защиты основ конституционного строя, нравственности,
здоровья, прав и законных интересов других лиц, обеспечения обороны
страны и безопасности государства.
♦Защита
информации,
составляющей
государственную
тайну,
осуществляется в соответствии с законодательством Российской Федерации о
государственной тайне.
♦Федеральными законами устанавливаются условия отнесения информации
к сведениям, составляющим коммерческую тайну, служебную тайну и иную
тайну, обязательность соблюдения конфиденциальности такой информации, а
также ответственность за её разглашение.
♦Информация, полученная гражданами (физическими лицами) при
исполнении ими профессиональных обязанностей или организациями при
осуществлении ими определенных видов деятельности (профессиональная
тайна), подлежит защите в случаях, если на эти лица федеральными законами
возложены обязанности по соблюдению конфиденциальности такой
информации.
ВИДЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ
ПО КАТЕГОРИЯМ ДОСТУПА
(ФЗ «Об информации, информационных технологиях и защите
информации» от 27.7.2006 г. № 152-ФЗ)
Информация ограниченного доступа
Общедоступная
информация
(доступ к информации ограничен федеральн. законами)
Информация,
составляющая
государственную
тайну
Информация, соблюдение
конфиденц-ти которой
установлено ФЗ
• законодательные и другие
нормативные акты…
• документы, содержащие
информацию о
чрезвычайных ситуациях…
• документы, содержащие
информацию о
деятельности органов
государственной власти
и органов местного
самоуправления…
• документы,
накапливаемые в открытых
фондах библиотек и
архивов…
«Перечень сведений,
отнесенных к
государственной
тайне»
(Ст. 5 Закона РФ
1993 г. №5485
«О государственной
тайне»)
ФЗ 2004 г. № 98
«О коммерческой тайне»;
ФЗ 2006 г. № 152
«О персональных данных»;
Указ президента РФ
от 6.03.97 г. № 188
«Об утверждении перечня
сведений конфиденциального
характера»
ОСОБЕННОСТИ ВИДОВ ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
Информация с ограниченным доступом
Информация,
составляющая
государственную тайну
Степень секретности
сведений
(гриф секретности носителя
информации):
• Особой важности
• Совершенно секретно
• Секретно
Конфиденциальная
информация
Виды конфиденциальной
информации:
1. Персональные данные.
2. Тайна следствия и
судопроизводства
3. Служебная тайна
4. Профессиональная тайна
5. Коммерческая тайна
6. Сведения о сущности
изобретения
ВИДЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
(В соответствии с указом президента РФ 1997 г. № 188)
Вид
конфиденциальной
информации
Персональные
данные
Определение (содержание)
Сведения о фактах, событиях и обстоятельствах частой жизни гражданина,
позволяющие идентифицировать его личность, за исключением сведений,
подлежащих распространению в средствах массовой информации в установленном
федеральными законами случаях.
Тайна следствия и
судопроизводства
Сведения, составляющие тайну следствия и судопроизводства
Служебная тайна
Служебные сведения, доступ к которым ограничен органами государственной власти
в соответствии с Гражданским кодексом Российской Федерации и федеральными
законами.
Профессиональная
тайна
Сведения, связанные с профессиональной деятельностью, доступ к которым
ограничен в соответствии с Конституцией Российской Федерации и федеральными
законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных
переговоров, почтовых отправлений, телеграфных и иных сообщений и так далее).
Коммерческая тайна
Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в
соответствии с Гражданским кодексом Российской Федерации и федеральными
законами.
Сведения о сущности
изобретения
Сведения о сущности изобретения, полезной модели или промышленного образца до
официальной публикации информации о них.
Особенности некоторых видов
конфиденциальной информации (1)
Информация составляет служебную или коммерческую
тайну в случае, когда она имеет действительную или
потенциальную коммерческую ценность в силу неизвестности её
третьим лицам, к ней нет свободного доступа на законном
основании и обладатель информации принимает меры к охране её
конфиденциальности.
(Гражданский кодекс РФ, часть 1, ст. 139)
Коммерческая
тайна
-
Информация,
составляющая
конфиденциальность информации,
позволяющая её обладателю при существующих или возможных
обстоятельствах увеличить доходы, избежать неоправданных
расходов, сохранить положение на рынке товаров, работ, услуг или
получить иную коммерческую выгоду
коммерческую
тайну,
-
научно-техническая, технологическая, производственная, финансовоэкономическая или иная информация (в том числе составляющая
секреты производства (ноу-хау), которая имеет действительную или
потенциальную коммерческую ценность в силу неизвестности ее
третьим лицам, к которой нет свободного доступа на законном
основании и в отношении которой обладателем такой информации
введен режим коммерческой тайны .
(ФЗ «О коммерческой тайне» № 98-ФЗ от 29.07.2004 г.)
Особенности некоторых видов
конфиденциальной информации (2)
Состав персональных данных
(для идентификации физического лица):
● фамилия, имя, а также отчество (если иное не вытекает из закона
или национального обычая);
● дата и место рождения;
● место жительства (регистрации);
● место пребывания;
● сведения о документе, удостоверяющем личность (наименование,
серия и номер, орган выдавший документ, дата выдачи документа).
(Письмо Банка России от 28 ноября 2001 г. № 137-Т «О рекомендациях
по разработке кредитными организациями правил внутреннего контроля в
целях противодействия легализации (отмыванию) доходов, полученных
преступным путем»).
А также:
● сведения, ставшие известными работнику органа записи актов
гражданского состояния в связи с государственной регистрацией акта
гражданского состояния.
(ФЗ от 15 ноября 1997 г. № 143-ФЗ)
РЕЖИМ ЗАЩИТЫ ИНФОРМАЦИИ
Режим защиты информации – это система организационных,
технических и иных мер, направленных на обеспечение безопасности
(конфиденциальности, целостности, доступности) информации.
Режим защиты информации устанавливается:
 в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской
Федерации «О государственной тайне» и СТР;
 в отношении конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным
лицом на основании Федерального закона (№ 24-ФЗ, ст. 21). Для
информационных ресурсов, собственником которых является
государство, – режим защиты установлен СТР-К;
 в отношении персональных данных - федеральным законом (ст. 21
ФЗ № 24-ФЗ) и ТК РФ (Глава 14. Защита персональных данных
работника). (До выхода специального ФЗ Персональные данные
защищаются в режиме конфиденциальной информации – СТР-К );
 в отношении коммерческой тайны – Федеральным законом
«О коммерческой тайне» (№ 98-ФЗ от 29 июля 2004 г.).
СОБСТВЕННИК, ВЛАДЕЛЕЦ И ПОЛЬЗОВАТЕЛЬ
ИНФОРМАЦИОННЫХ РЕСУРСОВ
(субъекты правоотношений)
(ФЗ 1995 г. № 24 ФЗ, ст.2)
♦Собственник информационных ресурсов, информационных систем,
технологий и средств их обеспечения - субъект, в полном объеме
реализующий полномочия владения, пользования, распоряжения указанными
объектами.
♦Владелец
информационных
ресурсов,
информационных
систем,
технологий и средств их обеспечения - субъект, осуществляющий владение и
пользование
указанными
объектами
и
реализующий
полномочия
распоряжения в пределах, установленных законом.
♦Пользователь (потребитель) информации - субъект, обращающийся к
информационной системе или посреднику за получением необходимой ему
информации и пользующийся ею.
♦Обладатель информации, составляющей коммерческую тайну, - лицо,
которое владеет информацией, составляющей коммерческую тайну, на
законном основании, ограничило доступ к этой информации и установило в
отношении её режим коммерческой тайны.
(ФЗ «О коммерческой тайне» № 98-ФЗ от 29.07.2004 г.)
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ В ОБЛАСТИ
ЗАЩИТЫ ИНФОРМАЦИИ (1)
(ФЗ 1995 г. № 24-ФЗ)
♦Порядок накопления и обработки документированной информации с
ограниченным доступом, правила её защиты и порядок доступа к ней
определяются органами государственной власти, ответственными за
определенные вид и массивы информации, в соответствии с их компетенцией
либо
непосредственно
её
собственником
в
соответствии
с
законодательством. (Ст. 12).
♦Владелец информационных ресурсов обязан обеспечить соблюдение
режима обработки и правил предоставления информации пользователю,
установленных
законодательством
Российской
Федерации
или
собственником этих информационных ресурсов, в соответствии с
законодательством.
Владелец информационных ресурсов несет юридическую ответственность
за нарушение правил работы с информацией в порядке, предусмотренном
законодательством Российской Федерации. (Ст. 15).
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ В ОБЛАСТИ
ЗАЩИТЫ ИНФОРМАЦИИ (2)
(ФЗ 1995 г. № 24-ФЗ)
♦Владелец документов, массива документов, информационных систем
обеспечивает
уровень
защиты
информации
в
соответствии
с
Законодательством Российской Федерации. (Ст. 22).
♦Собственник документов, массива документов, информационных
систем может обращаться в организации, осуществляющие сертификацию
средств защиты информационных систем и информационных ресурсов, для
проведения анализа достаточности мер защиты его ресурсов и систем и
получения консультаций. (Ст. 22).
♦Собственник информационных ресурсов или уполномоченные им лица
имеют право осуществлять контроль за выполнением требований по защите
информации и запрещать или приостанавливать обработку информации в
случае невыполнения этих требований. (Ст. 21).
♦Собственник или владелец документированной информации вправе
обращаться в органы государственной власти для оценки правильности
выполнения норм и требований по защите его информации в
информационных
системах.
Соответствующие
органы
определяет
Правительство Российской Федерации. Эти органы соблюдают условия
конфиденциальности самой информации и результатов проверки. (Ст.21)
СТРУКТУРА НОРМАТИВНО-ТЕХНИЧЕСКИХ
ДОКУМЕНТОВ ПО ЗАЩИТЕ ГТ
Нормативно-технические документы по защите
информации
Документы, устанавливающие
требования и рекомендации по защите
информации
Специальные требования и
рекомендации по защите информации,
от утечки по техническим каналам
(СТР, СТР-К)
РД. Защита от несанкционированного
доступа к информации. Общие
технические требования
Документы, устанавливающие критерии
оценки защищенности информации
(нормы эффективности защиты) и
методы их контроля
(в том числе при проведении
сертификационных испытаний)
Сборник норм защиты информации от
утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)
Методики оценки защищенности
информации от утечки по техническим
каналам
РД. Показатели защищенности
информации, обрабатываемой
средствами ВТ и в АС, от НСД
Структура основных нормативно-методических
документов по защите информации от НСД
Руководящий документ. Автоматизированные системы. Защита от
несанкционированного доступа к информации. Классификация автоматизированных
систем и требования по защите информации.
Руководящий документ. Концепция защиты СВТ и АС от несанкционированного доступа
к информации.
Руководящий документ. Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Показатели защищенности от
несанкционированного доступа к информации.
Руководящий документ. Средства вычислительной техники. Межсетевые экраны.
Защита от несанкционированного доступа к информации. Показатели защищенности от
несанкционированного доступа к информации.
Руководящий документ. Защита от несанкционированного доступа к информации. Часть
1. Программное обеспечение средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей.
УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Угроза (безопасности информации) – совокупность условий и факторов,
создающих потенциальную или реально существующую опасность
нарушения конфиденциальности, доступности и (или) целостности
информации.
Наиболее опасные ИТ-угрозы
(По результатам исследований за 2005 г., проведённых в России компанией InfoWath)
Кража информации
64%
Вредоносные программы
60%
Хакерские атаки
48%
Спам
45%
Халатность сотрудников
43%
Аппаратные и программные сбои
21%
Финансовое мошенничество
5%
Кража оборудования
6%
0%
10% 20% 30% 40% 50% 60% 70%
Тенденции в развитии угроз безопасности информации:
- хищение БД;
- рост внутренних (инсайдерских) угроз;
- применение информационного воздействия на критически важные
ИС;
- возрастание размеров наносимого ущерба.
Наиболее опасные внутренние угрозы
(По результатам исследований за 2005 г., проведённых в России компанией InfoWath)
Нарушение конфиденциальности
информации
100%
54%
Искажение информации
23%
Сбои в работе ИС
Утрата информации
5%
Кража оборудования
4%
Другое
0%
23%
20%
40%
60%
80%
100%
Примерная структура возможных источников
угроз конфиденциальной информации
82% - собственные
сотрудники организаций
17% - технические
средства разведки;
конкурирующие
фирмы, клиенты,
контрагенты;
криминальные
структуры,
террористы
1% - случайные люди
Структура основных причин утраты и
модификации информации
По данным исследовательского центра DataPro Research (США)
10% затопление
водой
15% - пожары
10% - отказ оборудования
10% умышленные
действия
персонала
52% неумышленные
действия
персонала
Структура основных целей (мотивов)
умышленных действий персонала, приведших к
утрате и модификации информации
По данным исследовательского центра DataPro Research (США)
2% - другие мотивы
16% - хищение
конфиденциальной
информации
16% повреждение ПО
12% - фальсификация информации
10% - заказ
услуг за чужой
счёт
44% - кража
денег с
электронных
счетов
Некоторые виды мошенничества, совершаемые
путём неправомерного проникновения в
информационные базы данных ЭВМ с
использованием компьютерной техники
Проникновение в информационные базы данных потерпевших организаций
может осуществляется инсайдерским путём или путём удалённого доступа
(через ГИС «Интернет»).
Действия преступников направлены на:
♦ изменение программ по начислению заработной платы и зачислению её на
индивидуальные счета сотрудников с автоматическим списанием части
начисленных сумм на свой счёт или счета соучастников;
♦ создание файлов с вымышленными вкладчиками, зачисление и проводку
по их счетам фиктивных денежных сумм, начисление на них процентов с
последующим переводом на свой счёт;
♦ изъятие в хранилищах кредитно-финансовых учреждений банковских карт
и PIN кодов к ним, получение таким образом доступа к счетам вкладчиков в
компьютерной сети банков с последующим снятием денег с указанием счетов
через банкоматы лично или с помощью соучастников;
♦ фальсификацию в базе данных фирм информации о клиентах, уничтожение подлинных сведений о клиентах и заключенных с ними договорах на
поставку продукции или производстве оплаты и включение вместо них
подставных и вымышленных юридических лиц с последующим хищением
отгруженных в их адрес товаров или перечисленных денежных сумм.
Внешние источники угроз безопасности
информации
 Деятельность
иностранных
политических,
экономических,
военных,
разведывательных и информационных структур, направленная против интересов
Российской Федерации в информационной сфере.
 Стремление ряда стран к доминированию и ущемлению интересов России в
мировом информационном пространстве, вытеснению ее с внешнего и внутреннего
информационных рынков.
 Обострение международной конкуренции за обладание информационными
технологиями и ресурсами.
 Деятельность международных террористических организаций.
 Увеличение технологического отрыва ведущих держав мира и наращивание их
возможностей по противодействию созданию конкурентоспособных российских
информационных технологий.
 Деятельность космических, воздушных, морских и наземных технических и иных
средств (видов) разведки иностранных государств.
 Разработка
рядом
государств
концепций
информационных
войн,
предусматривающих создание средств опасного воздействия на информационные
сферы
других
стран
мира,
нарушение
нормального
функционирования
информационных и телекоммуникационных систем, сохранности информационных
ресурсов, получение несанкционированного доступа к ним.
Внутренние источники угроз безопасности
информации
 Неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания
государственных и криминальных структур в информационной сфере, получения криминальными
структурами доступа к конфиденциальной информации, усиления влияния организованной
преступности на жизнь общества, снижения степени защищенности законных интересов граждан,
общества и государства в информационной сфере.
 Недостаточная координация деятельности федеральных органов государственной власти, органов
государственной власти субъектов Российской Федерации по формированию и реализации единой
государственной политики в области обеспечения информационной безопасности Российской
Федерации.
 Недостаточная разработанность нормативной правовой базы, регулирующей отношения в
информационной сфере, а также недостаточная правоприменительная практика.
 Недостаточный государственный контроль за развитием информационного рынка России.
 Недостаточное финансирование мероприятий по обеспечению информационной безопасности
Российской Федерации.
 Недостаточная экономическая мощь государства.
 Недостаточное количество квалифицированных кадров в области обеспечения информационной
безопасности.
 Недостаточная активность федеральных органов государственной власти, органов
государственной власти субъектов Российской Федерации в информировании общества о своей
деятельности, в разъяснении принимаемых решений, в формировании открытых государственных
ресурсов и развитии системы доступа к ним граждан.
 Отставание России от ведущих стран мира по уровню информатизации федеральных органов
государственной власти, органов государственной власти субъектов Российской Федерации и
органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского
хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
ОБЩАЯ КЛАССИФИКАЦИЯ МЕТОДОВ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Правовые
Лицензирование
Сертификация
СЗИ
Аттестация
ОИ
Организационнотехнические
Разработка и внедрение
технических решений по
защите информации
Решения по
защите
информации
от утечки по
техническим
каналам
Решения по
защите
информации
от НСД к ней
Экономические
Разработка и применение
средств защиты информации
Средства
защиты
информации
от утечки по
техническим
каналам
Средства
защиты
информации
от НСД
к ней
Содержание методов обеспечения
информационной безопасности
Правовые методы – разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических
документов по вопросам обеспечения информационной безопасности.
Организационно-технические методы включают:
- создание и совершенствование системы обеспечения информационной
безопасности;
- разработка, использование и совершенствование СЗИ и методов контроля
их эффективности;
- предотвращение перехвата информации по техническим каналам;
- контроль за выполнением требований по защите информации;
- сертификация средств защиты информации;
- лицензирование деятельности организации в области защиты информации;
- аттестация объектов информатизации на соответствие требованиям
безопасности информации.
Экономические методы включают:
- разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
- совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации,
создание системы страхования информационных рисков физических и
юридических лиц.
Методы экономического стимулирования
В соответствии с постановлением
Правительства РФ от 14.10.1994 № 1161
«О порядке и условиях выплаты процентных надбавок к
должностному окладу (тарифной ставке) должностных лиц и
граждан, допущенных к государственной тайне»
1. Установление для должностных лиц и граждан, допущенных к
государственной тайне на постоянной основе ежемесячных процентных
надбавок к должностному окладу (тарифной ставке) за работу со сведениями,
составляющими государственную тайну, в зависимости от степени секретности
сведений, к которым они имеют доступ, в следующих размерах:
«ОВ» – 25%
«СС» – 20%
«С» – 10%
2. Установление для сотрудников структурных подразделений по защите
государственной тайне органов государственной власти, предприятий,
учреждений и организаций дополнительно ежемесячную процентную надбавку
к должностному окладу (тарифной ставке) за стаж работы в указанных
подразделениях в следующих размерах:
от 1 до 5 лет
– 5%;
от 5 до 10 лет
– 10%;
от 10 лет и выше – 15%.
Комплексный подход к обеспечению защиты
информации
Защита информации осуществляется путем выполнения
комплекса организационных и технических мероприятий по:
♦предотвращению
информации;
несанкционированного
доступа
к
защищаемой
♦ предотвращению утечки информации по техническим каналам;
♦предупреждению программно-технических воздействий с целью нарушения
целостности (модификации, уничтожения) и доступности информации в
процессе её обработки, передачи и хранения, а также работоспособности
технических средств;
♦выявлению специальных электронных устройств перехвата информации,
возможно внедренных в технические средства и защищаемые помещения.
Меры по охране конфиденциальности
информации, составляющей коммерческую тайну
(ФЗ 2004 г. № 98-ФЗ)
♦ определение перечня информации, составляющей коммерческую тайну;
♦ограничение доступа к информации, составляющей коммерческую тайну,
путем установления порядка обращения с этой информацией и контроля за
соблюдением такого порядка;
♦учёт лиц, получивших доступ к информации, составляющей коммерческую
тайну, и (или) лиц, которым такая информация была предоставлена или
передана;
♦регулирование отношений по использованию информации, составляющей
коммерческую тайну, работниками на основании трудовых договоров и
контрагентами на основании гражданско-правовых договоров;
♦нанесение
на материальные носители (документы), содержащие
информацию, составляющую коммерческую тайну, грифа "Коммерческая
тайна" с указанием обладателя этой информации (для юридических лиц полное наименование и место нахождения, для индивидуальных
предпринимателей - фамилия, имя, отчество гражданина, являющегося
индивидуальным предпринимателем, и место жительства).
ОБЪЕКТЫ ЗАЩИТЫ
Защите подлежит:
Речевая
информация
Информация,
обрабатываемая
техническими средствами
Информация может быть представлена в виде физических полей,
информативных электрических сигналов, носителей на бумажной,
магнитной, магнито-оптической и иной основе
Объекты защиты:
Средства и системы
информатизации,
участвующие в
обработке
защищаемой
информации (ОТСС)
Технические средства и
системы, не
обрабатывающие
непосредственно
информацию, но
размещенные в
помещениях, где она
обрабатывается (ВТСС)
Выделенные
помещения
ОТВЕТСТВЕННОСТЬ ЗА ПРАВОНАРУШЕНИЯ В
СФЕРЕ ЗАЩИТЫ ИНФОРМАЦИИ
1. Нарушение требований по защите информации влечет за собой дисциплинарную,
гражданско-правовую,
административную
или
уголовную
ответственность
в
соответствии с законодательством Российской Федерации.
2. Лица, права и законные интересы которых были нарушены в связи с
разглашением информации ограниченного доступа или иным неправомерным
использованием такой информации, вправе обратиться в установленном порядке за
судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации
морального вреда, защите чести, достоинства и деловой репутации. Требование о
возмещении убытков не может быть удовлетворено в случае предъявления его лицом,
не принимавшим мер по соблюдению конфиденциальности информации или
нарушившим установленные законодательством Российской Федерации требования о
защите информации, если принятие этих мер и соблюдение таких требований являлись
обязанностями данного лица.
3. В случае, если распространение определённой информации ограничивается или
запрещается федеральными законами, гражданско-правовую ответственность за
распространение такой информации не несёт лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии
её передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что
это лицо не могло знать о незаконности распространения информации.
Нормативные правовые акты,
устанавливающие ответственность за
нарушение требований по защите
информации ограниченного доступа
♦ гражданскую
Гражданский кодекс РФ (ст. 15, 16)
ФЗ «О защите прав потребителя»
(с изменениями от 17.12.1999 г. № 2-ФЗ)
♦ административную
КоАП (от 30.12.2001 г. № 195-ФЗ) (ст.13.11-13.14)
Трудовой кодекс РФ (от 30.12.2001 г. № 197-ФЗ)
(ст. 57, 86, гл. 39 и др.)
ФЗ «О защите прав потребителя»
♦ уголовную
Уголовный кодекс РФ (от 13.06.1996 г. № 63-ФЗ)
(ст.138, 140, 183, 238, гл. 28 (ст. 272-274) и др.)
33
48
ТЕМА 2:
«Структура, задачи и основные
функции Государственной системы
защиты информации»
49
ПОНЯТИЕ ГОСУДАРСТВЕННОЙ СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ
Государственная система защиты информации представляет собой
совокупность органов и исполнителей, используемой ими техники
защиты информации, а также объектов защиты, организованная и
функционирующая по правилам, установленным соответствующими
правовыми, организационно-распорядительными и нормативными
документами в области защиты информации.
Государственная система защиты информации является составной
частью системы обеспечения национальной безопасности
Российской Федерации и призвана защищать безопасность государства
от внешних и внутренних угроз в информационной сфере.
Организацию деятельности государственной системы
технической защиты информации на федеральном,
межрегиональном, региональном, отраслевом и объектовом
уровнях, а также руководство указанной
Государственной системой осуществляет ФСТЭК России
50
ОСНОВНЫЕ ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ
ГОСУДАРСТВЕННОЙ СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ
Деятельность государственной системы защиты
информации осуществляется на основе принципов:

Законности.

Подконтрольности президенту Российской Федерации.

Разграничения полномочий федеральных органов
исполнительной власти, органов исполнительной власти
субъектов Российской Федерации, органов местного
самоуправления, предприятий, учреждений и организаций
по защите информации.

Сочетания правовых, организационно-технических и
специальных методов защиты информации.
51
ПРАВОВЫЕ ОСНОВЫ ДЕЯТЕЛЬНОСТИ
ГОСУДАРСТВЕННОЙ СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ
 Конституция Российской Федерации.
 Законы Российской Федерации:
«О безопасности»,
«О государственной тайне»,
«Об информации, информатизации и защите информации»,
«Об участии в международном информационном обмене»
 Доктрина информационной безопасности Российской Федерации.
 Положение о государственной системе защиты информации
в Российской Федерации от иностранных технических разведок
и от утечки по техническим (утверждено Постановлением
Совета Министров – Правительства Российской Федерации
от 15 сентября 1993 г. № 912–51).
 Указы президента Российской Федерации.
 Постановления правительства Российской Федерации.
 Другие правовые акты федеральных органов власти в области
защиты информации.
52
ЦЕЛИ ГОСУДАРСТВЕННОЙ СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ
Целями государственной системы защиты
информации являются:
Предотвращение или существенное снижение ущерба
национальной безопасности Российской Федерации с
использованием методов и средств защиты информации.

Обеспечение условий, способствующих реализации
политики Российской Федерации в сфере безопасности
Государства.

Содействие экономическому и научно - техническому
прогрессу страны.

ОСНОВНЫЕ ЗАДАЧИ ГОСУДАРСТВЕННОЙ СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ
 Проведение единой технической политики, организация и
координация работ по защите информации в военной, экономической,
научно-технической и других сферах деятельности.
 Исключение или существенное затруднение добывания
информации техническими средствами разведки.
 Принятие правовых актов, регулирующих отношения в
области защиты информации.
 Организация сил, создание средств защиты информации и
контроля их эффективности.
 Контроль состояния защиты информации в органах
государственной власти и на предприятиях.
 Анализ состояния государственной системы, выявление
ключевых проблем в области защиты информации.
 Определение приоритетных направления государственной системы
защиты информации.
 Нормативно-методическое и информационное обеспечение работ
по защите информации.
53
СРУКТУРА ГОСУДАРСТВЕННОЙ СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ
Организационная структура
Государственную систему защиты информации образуют:
 Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и её
территориальные органы (региональные управления в субъектах Российской Федерации).
 Федеральные органы исполнительной власти, другие органы и организации Российской
Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по
должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития,
Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР).
 Структурные подразделения по защите информации федеральных органов
исполнительной власти, других органов государственной власти и организаций Российской
Федерации.
 Предприятия, проводящие работы с использованием сведений, отнесенных к информации
ограниченного доступа, и их подразделения по защите информации.
 Научно-исследовательские организации по проблемам защиты информации.
 Организации-разработчики средств защиты информации, защищенных технических
средств и средств контроля эффективности защиты информации.
 Предприятия, оказывающие услуги в области защиты информации.
 Организации Федеральной службы по техническому регулированию и метрологии
(бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты
информации.
 Органы системы лицензирования деятельности в области защиты информации.
 Органы системы сертификации средств защиты информации.
 Органы системы аттестации объектов защиты по требованиям безопасности информации.
54
55
Функциональная структура
(основные элементы)
Государственная система
защиты информации
♦ Система лицензирования деятельности
предприятий в области защиты информации
♦ Система сертификации средств защиты
информации
♦ Система аттестации объектов информатизации
по требованиям безопасности информации
Тема 3
«Лицензирование деятельности в
области защиты информации,
сертификация средств защиты
информации и аттестация объектов
информатизации»
Лекция, 1 час
СИСТЕМА ЛИЦЕНЗИРОВАНИЯ НА ПРАВО ПРОВЕДЕНИЯ
РАБОТ И ОКАЗАНИЯ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ
ГОСУДАРСТВЕННОЙ ТАЙНЫ
1
Лицензирование – мероприятия, связанные с выдачей лицензий на
осуществление лицензируемых видов деятельности и надзором за
соблюдением лицензиатами соответствующих лицензионных требований
и условий
Правительство Российской Федерации
Межведомственная комиссия
по защите гос.тайны
Федеральные органы исполнительной власти
ФСБ России
СВР России
ФСТЭК
России
Минобороны
России
Аттестационные центры
Соискатели лицензий (заявители)
Области компетенции лицензирующих органов
2
Федеральная служба безопасности Российской Федерации и её
территориальные органы:
♦ допуск предприятий к проведению работ, связанных с использованием
сведений, составляющих государственную тайну (на территории Российской
Федерации);
♦ проведение работ, связанных с созданием средств защиты информации
(в пределах её компетенции);
♦ осуществление мероприятий и (или) оказание услуг в области защиты
государственной тайны (в пределах её компетенции).
Служба внешней разведки Российской Федерации :
♦ допуск предприятий к проведению работ, связанных с использованием
сведений, составляющих государственную тайну (за рубежом);
♦ проведение работ, связанных с созданием средств защиты информации
(в пределах её компетенции);
♦ осуществление мероприятий и (или) оказание услуг в области защиты
государственной тайны (в пределах её компетенции).
Федеральная служба по техническому и экспортному контролю и её
территориальные органы:
♦ проведение работ, связанных с созданием средств защиты информации
(в пределах её компетенции);
♦ осуществление мероприятий и (или) оказание услуг в области защиты
государственной тайны (в пределах её компетенции).
Министерство обороны Российской Федерации:
♦ проведения работ, связанных с созданием средств защиты информации
(в пределах его компетенции).
Виды деятельности, лицензируемые
ФСБ России
3
 Деятельность
по
проведению
работ,
связанных
с
использованием сведений, составляющих государственную
тайну, а также с осуществлением мероприятий и (или)
оказанием услуг по защите государственной тайны.
 Деятельность по разработке, производству, реализации и
приобретению в целях продажи специальных технических
средств,
предназначенных
для
негласного
получения
информации.
 Деятельность
в
области
разработки,
производства,
технического обслуживания и распространения шифровальных
(криптографических) средств, а также предоставления услуг в
области шифрования.
 Деятельность по выявлению электронных устройств,
предназначенных для негласного получения информации, в
помещениях и технических средствах.
Сертификация шифровальных (криптографических) средств
защиты информации.
Перечень основных нормативных документов
4
(система лицензирования ФСТЭК России)
 Закон РФ «О государственной тайне».
 «Положение о лицензировании деятельности предприятий,
учреждений и организаций по проведению работ, связанных с
использованием сведений, составляющих государственную
тайну, созданием средств защиты информации, а также с
осуществлением мероприятий и (или) оказанием услуг по защите
государственной тайны» (Постановление правительства
Российской Федерации № 333 от 15 апреля 1995 г. ).
 Методические рекомендации управлениям ФСТЭК России по
федеральным округам по организации лицензирования
деятельности по осуществлению мероприятий и (или) оказанию
услуг в области защиты государственной тайны (в части
противодействия иностранным техническим разведкам и (или )
технической защиты информации) и по созданию средств
защиты информации. (Приказ ФСТЭК России от 21 апреля 2006 г.
Утверждены зам. директора ФСТЭК России 30 апреля 2006 г.).
 Приказ Гостехкомиссии России от 13 сентября 2002 г. № 302
«О разработке бланков лицензий Государственной технической
комиссии при Президенте Российской Федерации».
Виды лицензий ФСТЭК России (1)
5
Лицензия на проведение мероприятий и (или) оказание услуг
в области защиты государственной тайны
Перечень мероприятий (услуг):
 Проведение
специальных
экспертиз
организацийсоискателей лицензии ФСТЭК России на оказание услуг в
области защиты государственной тайны (в части технической
защиты информации).
 Проведение
специальных
экспертиз
организацийсоискателей лицензии ФСТЭК России на оказание услуг в
области
защиты
государственной
тайны
(в
части
противодействия иностранным техническим разведкам).
 Проведение
специальных
экспертиз
организацийсоискателей лицензии ФСТЭК России на выполнение работ,
связанных с созданием средств защиты информации.
Виды лицензий ФСТЭК России (2)
6
Лицензия на проведение работ, связанных с созданием
средств защиты информации
Перечень работ:
Разработка, производство, реализация, установка, монтаж, наладка,
испытания, ремонт или сервисное обслуживание:
♦ технических средств защиты информации;
♦ защищенных ТСОИ;
♦ технических средств контроля эффективности мер защиты
информации;
♦ программных
(программно-технических)
средств
защиты
информации;
♦ защищенных программных (программно-технических) средств
обработки информации;
♦ программных
(программно-технических)
средств
контроля
защищённости информации.
Виды лицензий ФСТЭК России (3)
7
Лицензия на проведение мероприятий и (или) оказание услуг
в области защиты государственной тайны
Перечень мероприятий:
♦
♦
♦
♦
Сертификация и сертификационные испытания (технических средств
защиты информации; защищенных технических средств обработки
информации; технических средств контроля эффективности мер защиты
информации; программных (программно-технических) средств защиты
информации; защищенных программных (программно-технических) средств
обработки информации; программных (программно-технических) средств
контроля защищённости информации.
Контроль защищенности информации, составляющей государственную
тайну, аттестация средств и систем на соответствие требованиям по защите
информации (автоматизированных систем различного уровня и назначения;
систем связи, приема, обработки и передачи данных; систем отображения и
размножения;
технических
средств
(систем),
не
обрабатывающих
информацию, составляющей государственную тайну, но размещенных в
помещениях, где она обрабатывается; помещений со средствами
(системами), подлежащих защите; помещений, предназначенных для
ведения секретных переговоров.
Проведение специсследований на ПЭМИН технических средств обработки
защиты информации
Проектирование объектов в защищенном исполнении (автоматизированных
систем различного уровня и назначения; систем связи, приема, обработки и
передачи данных; систем отображения и размножения; помещений со
средствами
(системами),
подлежащих
защите;
помещений,
предназначенных для ведения конфиденциальных переговоров.
Виды лицензий ФСТЭК России (4)
8
Лицензия на проведение мероприятий и (или) оказание услуг
в области защиты государственной тайны
Перечень мероприятий:
♦ Указываются виды иностранных технических разведок по
противодействию
которым
разрешается
мероприятий и (или) оказание услуг
осуществление
Защите от ИТР подлежит информация об охраняемых параметрах и характеристиках
систем и комплексов
военных и промышленвооружения и военной
ных объектов
техники
Радиоэлектронная
(6 видов)
Сейсмическая
Химическая
Гидроакустическая
(5 видов)
объектов государственного и военного
управления
Акустическая
(2 вида)
испытательных баз,
площадок и полигонов
Оптико-электронная
(5 видов)
ВИДЫ ТЕХНИЧЕСКОЙ РАЗВЕДКИ
25 видов
Радиационная
Компьютерная
Магнитометрическая
Визуальная
оптическая
Фотографическая
Общие требования к соискателям лицензии
9
♦ Наличие у соискателя лицензии необходимого числа
специально подготовленных сотрудников для работы по
защите информации, уровень квалификации которых
достаточен для обеспечения защиты государственной
тайны.
♦ Наличие помещений, производственного, испытательного и контрольно-измерительного оборудования,
необходимого для обеспечения деятельности по защите
информации в избранных направлениях.
♦ Наличие у соискателя лицензии комплекта необходимых
для
осуществления
лицензируемой
деятельности
нормативных
правовых
и
нормативно-технических
документов.
Лицензионные требования (1)
(В соответствии с приказом ФСТЭК России 2006 г. № 126)
10
1.оСоблюдение законодательных, иных нормативных правовых актов
Российской Федерации и национальных стандартов.
2.оСоблюдение требований нормативных правовых актов, нормативнометодических и методических документов ФСТЭК России и
регламентирующих осуществление лицензируемого вида деятельности.
3.оНаличие лицензии на проведение работ, связанных с использованием
сведений, составляющих государственную тайну (при необходимости).
4.оОсуществление
лицензируемой
деятельности
специалистами,
имеющими высшее профессиональное образование в области
технической защиты информации, либо специалистами, имеющими
высшее или среднее профессиональное (техническое) образование и
прошедшими переподготовку или повышение квалификации по
вопросам защиты информации.
5.оНаличие нормативных правовых актов, национальных стандартов,
нормативно-методических и методических документов, необходимых
для обеспечения выполнения конкретных работ, мероприятий и (или)
услуг по заявленному виду деятельности.
Лицензионные требования (2)
(В соответствии с приказом ФСТЭК России 2006 г. № 126)
11
6.оНаличие
производственного,
испытательного
и
контрольноизмерительного оборудования, средств контроля защищённости
информации, необходимых для выполнения конкретных работ,
мероприятий и (или) услуг по заявленному виду деятельности.
7.оСоответствие
контрольно-измерительного
и
испытательного
оборудования, средств контроля защищённости информации и средств
защиты информации требованиям законодательства Российской
Федерации о государственной тайне, техническом регулировании и в
области обеспечения единства измерений.
8.оНаличие аттестованных по требованиям безопасности информации
объектов информатизации, предназначенных для обработки, передачи и
хранения
информации,
содержащей
сведения,
составляющие
государственную тайну, помещений для ведения секретных переговоров
9.оНаличие, документов, подтверждающих право собственности или
иное законное основание на имущество, необходимое для ведения
заявленного вида деятельности.
Перечень документов, оформляемых при
проведении специальной экспертизы (1)
12
(В соответствии с приказом ФСТЭК России 2006 г. № 126)
1. Акт специальной экспертизы с приложением:
1.1.оПеречень
контрольно-измерительной
аппаратуры
и
производственного оборудования.
1.2. Перечень нормативных правовых актов, нормативно-методических и
методических
документов,
необходимых
для
осуществления
лицензируемого вида деятельности.
1.3. Сведения о составе и квалификации инженерного и технического
персонала.
1.4. Копии договоров аренды контрольно-измерительной аппаратуры и
документов или безвозмездного пользования ими с указанием
заводских (инвентарных) номеров.
1.5.оКопии
договоров
аренды
занимаемых
помещений
или
безвозмездного пользования ими (при наличии таких помещений).
1.6. Копии трудовых соглашений (контрактов) с привлекаемыми для
осуществления
заявленных
видов
деятельности
сотрудниками
сторонних организаций (при их наличии).
Копии документов заверяются организацией-соискателем
Перечень документов, оформляемых при
проведении специальной экспертизы (1)
13
(В соответствии с приказом ФСТЭК России 2006 г. № 126)
2. Лицензионное дело в составе:
2.1оОпись документов.
2.2оУчётная карта.
2.3.оКопия документа, подтверждающего оплату государственной
пошлины за рассмотрение лицензирующим органом заявления о
предоставлении лицензии.
2.4. Акт специальной экспертизы с приложениями.
2.5. Нотариально заверенные копии учредительных документов (устава,
учредительного договора и т. д.).
2.6. Копия документа (свидетельства), подтверждающего факт внесения
сведений о юридическом лице в ЕГРЮЛ.
2.7.оКопия свидетельства о постановке на учёт в налоговом органе.
2.8.оКопия информационного письма о включении организации в
Единый государственный регистр предприятий и организаций.
2.9.оКопия
документа, подтверждающего наличие лицензии на
проведение
работ,
связанных
с
использованием
сведений,
составляющих государственную тайну (при необходимости).
2.10.оКопии документов, подтверждающих право собственности или
иное
законное
основание
на
имущество,
необходимое
для
осуществления заявленного вида деятельности.
Копии документов по п.п. 2.6-2.10 заверяются организацией-соискателем
Схема лицензирования на право проведения работ и 14
оказания услуг в области защиты государственной тайны
(В соответствии с приказом ФСТЭК России 2006 г. № 126)
Экспертная комиссия
Центральный аппарат
ФСТЭК России
6
Предписание
2
1
3
7
Организациясоискатель
лицензии
Экспертная комиссия
Управление ФСТЭК
России по
федеральному округу
5
2
4
4
Аттестационный
центр
Экспертная комиссия
СИСТЕМА ЛИЦЕНЗИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
15
Лицензирование - мероприятия, связанные с предоставлением лицензий,
переоформлением документов, подтверждающих наличие лицензий,
приостановлением и возобновлением действия лицензий, аннулированием
лицензий и контролем лицензирующих органов за соблюдением
лицензиатами при осуществлении лицензируемых видов деятельности
соответствующих лицензионных требований и условий.
Правительство Российской Федерации
ФСТЭК России
Соискатели лицензий (заявители)
Лицензируемые виды деятельности
Деятельность по технической защите конфиденциальной информации
Разработка и (или) производство средств защиты конфиденциальной
информации
Нормативные документы, определяющие
порядок лицензирования в области защиты
конфиденциальной информации
16
 Федеральный закон Российской Федерации «О лицензировании
отдельных видов деятельности» (№ 128-ФЗ от 8 августа 2001 г.).
 Указ Президента Российской Федерации от 06.03.97 г. № 188
«Об
утверждении
перечня
сведений
конфиденциального
характера».
 Постановление правительства Российской Федерации «О
лицензировании
деятельности
по
технической
защите
конфиденциальной информации» № 290 от 30 апреля 2002 г.
(Утверждает «Положение о лицензировании деятельности по
технической защите конфиденциальной информации»).
 Постановление правительства Российской Федерации «О
лицензировании деятельности по разработке и (или) производству
средств защиты конфиденциальной информации» № 348 от 27 мая
2002 г. (Утверждает «Положение о лицензировании деятельности по
разработке
и
(или)
производству
средств
защиты
конфиденциальной информации».
 Постановление правительства Российской Федерации «О
лицензировании отдельных видов деятельности» (№ 135 от 11
февраля 2002 г.).
Условия лицензирования деятельности по ТЗКИ
17
Деятельность по технической защите конфиденциальной
информации включает не только услуги, оказываемые сторонним
организациям и индивидуальным предпринимателям, но и
мероприятия по обеспечению собственных нужд юридического лица
или индивидуального предпринимателя по защите КИ при её
обработке техническими средствами
Должны получать лицензию:
♦ Юридические лица (организации, независимо от формы
собственности) или индивидуальные предприниматели
(ПБОЮЛ), предполагающие оказывать услуги по ТЗКИ.
♦ Юридические лица (организации, независимо от формы
собственности) или индивидуальные предприниматели
(ПБОЮЛ), осуществляющие мероприятия по защите КИ.
Общие принципы лицензирования в области
защиты конфиденциальной информации
18
♦ Обеспечение единства экономического пространства на территории
Российской
Федерации (лицензия действует на всей территории
Российской Федерации).
♦ Заявительный принцип получения лицензии (принцип «одного окна»).
♦ Гласность и открытость лицензирования.
♦ Соблюдение законности при осуществлении лицензирования.
♦ Установление лицензионных требований и условий положениями о
лицензировании конкретных видов деятельности.
♦ Лицензии выдаются конкретным юридическим лицам (индивидуальным
предпринимателям, образовавшим ПБОЮЛ).
♦ Лицензии выдаются только юридическим лицам (индивидуальным
предпринимателям), зарегистрированным на территории Российской
Федерации.
♦ Передача лицензии другим юридическим лицам (предпринимателям)
запрещена.
♦ Лицензия имеет ограниченный срок действия - 5 лет.
♦ Лицензирование осуществляется на платной основе.
♦ Выданная лицензия может быть приостановлена или аннулирована.
Лицензионные требования для получения
лицензии на деятельность в области технической
защиты конфиденциальной информации
19
(В соответствии с постановлением Правительства РФ 2002 г. № 290)
1.оОсуществление
лицензируемой
деятельности
специалистами,
имеющими высшее профессиональное образование в области
технической защиты информации, либо специалистами, прошедшими
переподготовку по вопросам защиты информации.
2.оСоответствие производственных помещений, производственного,
испытательного
и
контрольно-измерительного
оборудования
техническим нормам и требованиям, установленным государственными
стандартами Российской Федерации, руководящими и нормативнометодическими документами по технической защите информации.
3.оИспользование сертифицированных (аттестованных по требованиям
безопасности
информации)
автоматизированных
систем,
обрабатывающих конфиденциальную информацию, а также средств
защиты такой информации.
4.оИспользование третьими лицами программ для электронновычислительных машин или баз данных на основании договора с их
правообладателем.
Перечень документов, представляемых для
получения лицензий в области технической
защиты конфиденциальной информации
20
 Заявление.
 Копии учредительных документов (устав, договор учредителей).
 Копия свидетельства о государственной регистрации соискателя
лицензии – для ПБОЮЛ.
 Копия свидетельства о внесении записи о юридическом лице в ЕГРЮЛ.
 Копия свидетельства о постановке соискателя лицензии на учет в
налоговом органе с указанием ИНН.
 Документ, подтверждающий уплату лицензионных сборов:
(за рассмотрение заявления о выдаче лицензии - 300 руб.,
за предоставление лицензии - 1000 руб.);
 Сведения о квалификации и составе специалистов:
а). копии дипломов о высшем профессиональном образовании в
области технической защиты информации, либо – заверенные копии
свидетельств о повышении квалификации или переподготовке по
вопросам защиты информации.
б). документ, подтверждающий, что специалисты зачислены в штат
соискателя лицензии.
 Пояснительная записка.
Перечень вопросов, отражаемых в
Пояснительной записке
21
 Основной вид (виды) деятельности соискателя лицензии.
 Какие мероприятия и (или) услуги по технической защите
конфиденциальной
информации
предполагает осуществлять
(осуществляет) соискатель лицензии.
 Перечень КИ, защищаемой (подлежащей защите) в организации соискателе лицензии (с учетом Указа Президента РФ 1997 г. № 188).
 Сведения
об
объектах
информатизации,
на
которых
обрабатывается КИ с приложением копий сертификатов (аттестатов
по требованиям безопасности информации) на эти объекты.
 С помощью каких средств осуществляется обработка и защита КИ.
 Какое ПО используется для обработки КИ (с приложением копий
договоров пользователей с правообладателем и сертификатов
соответствия).
 В случае оказания услуг – перечень контрольно-измерительной
аппаратуры, средств контроля защищенности информации.
 Перечень нормативной и нормативно-методической литературы,
необходимой для осуществления заявляемых видов деятельности.
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ (1)
Понятие сертификации
Сертификация продукции (сертификация) - процедура
подтверждения соответствия, посредством которой
независимая от изготовителя (продавца) и потребителя
(покупателя) организация удостоверяет в письменной
форме, что продукция соответствует установленным
требованиям.
Сертификация средств защиты информации – деятельность
по подтверждению их соответствия требованиям
государственных стандартов или иных нормативных
документов по защите информации.
22
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ (2)
Уполномоченный федеральный орган исполнительной власти
ФСТЭК России
Аккредитованные органы по сертификации средств защиты информации
ФГУП
ГНИИИ ПТЗИ
ФГУП
«Атомзащитаинформ»
Ассоциация
ЕВРААС
Испытательные лаборатории (более 40)
(Аккредитуются ФСТЭК России)
Заявители
23
Количественный состав системы сертификации
ФСТЭК России
Федеральные округа
Центральный (18 субъектов)
Северо-Западный (11 субъектов)
Южный (13 субъектов)
Приволжский (15 субъектов)
Уральский (16 субъектов)
Сибирский (16 субъектов)
Дальневосточный (10 субъектов)
И т о г о:
ИЛ
42
8
2
2
1
1
56
Сертифицированные средства защиты
информации:
•Программные средства
•Программно-технические средства
•Технические средства
•Другие
•Всего -
197
284
116
13
610
ОА
105
5
5
25
25
13
5
183
24
Органы по сертиф-ии
1. ГНИИ ПТЗИ
2. НТСЦ
«Атомзащитаинформ»
3. Ассоциация
ЕВРААС
4. Автономная НО
Секция Информационная безопасность»
4
ИЛ – испытательные
лаборатории
ОА – органы по аттестации
объектов информатизации
Цели системы сертификации средств защиты
информации
 Обеспечение
национальной
безопасности
в
25
сфере
информатизации.
 Формирование и осуществление единой научно - технической
и промышленной политики в сфере информатизации с учетом
требований системы защиты информации ограниченного
доступа.
 Содействие
формированию
рынка
защищенных
информационных технологий и средств их обеспечения.
 Регулирование и контроль разработки, а также последующего
производства средств защиты информации.
 Содействие потребителям в компетентном выборе средств
защиты информации.
 Защита потребителя от недобросовестности изготовителя
(продавца, исполнителя).
 Подтверждение показателей качества продукции, заявленных
изготовителями.
Нормативные документы определяющие порядок
сертификации средств защиты информации на
соответствие требованиям безопасности
информации
1. Федеральный закон «О техническом регулировании»
№ 184-ФЗ от 27 декабря 2002 г.
2. Закон Российской Федерации «О стандартизации»
№ 5156-1 от 10 июня 1993 г.
3. Постановление Правительства Российской Федерации от
26 июня 1995 г. № 608 «О сертификации средств защиты
информации».
4. Положение о сертификации средств защиты информации
по требованиям безопасности информации (приказ
председателя Гостехкомиссии России от 27 октября 1995 г. №
199).
26
Структура средств защиты информации,
подлежащих сертификации
Средства защиты информации (СЗИ)
Собственно
средства
защиты
информации:
технические,
программнотехнические,
программные
Технические
средства, в
которых
реализованы
СЗИ
(т. е.
защищенные
технические
средства)
Средства
контроля
эффективности
защиты
информации:
технические,
программнотехнические,
программные
27
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
НА СООТВЕСТВИЕ ТРЕБОВАНИЯМ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
28
Аттестация объекта – официальное подтверждение наличия на
объекте защиты необходимых и достаточных условий,
обеспечивающих выполнение установленных требований руководящих
документов по защите информации.
Под аттестацией объекта информатизации по требованиям
безопасности информации понимается комплекс организационнотехнических мероприятий, в результате которых посредством
специального документа - «Аттестата соответствия» подтверждается,
что объект соответствует требованиям стандартов или иных
нормативных документов по защите информации, утвержденных
Гостехкомиссией России
Аттестация по требованиям безопасности информации предшествует
началу обработки подлежащей защите информации и вызвана
необходимостью официального подтверждения эффективности
комплекса используемых на конкретном объекте информатизации
мер и средств защиты информации
Объекты, подлежащие аттестации
♦
29
Объект информатизации - совокупность информационных
ресурсов, средств и систем обработки информации, используемых в
соответствии с заданной информационной технологией, средств
обеспечения объекта информатизации, помещений или объектов
(зданий, сооружений, технических средств), в которых они
установлены, или помещения и объекты, предназначенные для
ведения конфиденциальных переговоров.
Объект аттестации
ОИ на базе средств и систем
информатизации, участвующих
в обработке защищаемой
информации (ОТСС)
Выделенные
помещения (ВП)
Перечень основных нормативных
документов, определяющих порядок и объём
аттестационных испытаний ОИ
1.
2.
3.
4.
5.
6.
30
Положение о государственной системе защиты информации в
Российской Федерации от иностранных технических разведок и от
утечки по техническим каналам». (Постановление Совета Министров –
Правительства Российской Федерации от 15.09.1993 г. № 912-51).
Специальные требования и рекомендации по защите информации,
составляющей государственную тайну, от утечки по техническим
каналам (СТР). (Решение Гостехкомиссии России от 23 мая 1997 года №
55).
Положение по аттестации объектов информатизации по требованиям
безопасности информации. (Утверждено председателем
Гостехкомиссии России 25.11.1994 г.).
Методические рекомендации управлениям ФСТЭК России по
федеральным округам об организации работ по аттестации объектов
информатизации по требованиям безопасности информации.
(Утверждены приказом ФСТЭК России от 30 апреля 2006 г. № 126).
Сборник норм защиты информации от утечки за счет побочных
электромагнитных излучений и наводок (ПЭМИН). (Введен в действие
решением Гостехкомиссии России № 32 от 14 марта 1998 года).
Сборник нормативно-методических документов по противодействию
акустической речевой разведке (НМД АРР), Гостехкомиссия России,
2000 г.
Общие требования по аттестации объектов
информатизации, предназначенных для
обработки конфиденциальной информации
31
Аттестация объектов информатизации, предназначенных для
обработки защищаемой информации, проводится на
соответствие требованиям СТР, СТР-К и РД Гостехкомиссии
(ФСТЭК) России
Аттестация объектов информатизации носит обязательный
характер в случае, если объект информатизации предназначен
для обработки информации, отнесённой к:
● государственной и служебной тайне;
● персональным данным,
В остальных случаях – рекомендательный характер.
Наличие на объекте информатизации действующего «Аттестата
соответствия» дает право обработки конфиденциальной
информации на период времени, установленный в
«Аттестате соответствия»
Органы, имеющие право проведения
аттестации объектов информатизации,
предназначенных для обработки информации
32
♦ Органы по аттестации объектов
информатизации, аккредитованные
ФСТЭК России – для ОИ по требованиям
защиты гостайны
♦ Организации, имеющие лицензию на
право оказания услуг по технической
защите конфиденциальной информации
(по пост. Правительства № 290-2003 г.)
♦ Аттестация объектов информатизации
проводится при участии подразделения
(специалистов) по ЗИ организации
Порядок проведения аттестации ОИ на
соответствие требованиям защиты гостайны
(в соответствии с приказом ФСТЭК России 2006 г. № 126)
Заявка и ИД на проведение аттестации
1
1
ЗАЯВИТЕЛЬ
Перечень органов
по аттестации
(ежемесячно)
2
Анализ исходных данных
Предварительное ознакомление
Заключение договора
Разработка ПиМ испытаний
Аттестационные испытания
Оформление и выдача аттестата
6
4
ЦА
ФСТЭК
России
Выдача
аттестата
Управление
ФСТЭК России
по ФО
3
5а
1. Ведение
реестра
аттестованных
ОИ ФО.
2. Контроль
аттестованных
ОИ.
3а
Орган по
аттестации
объектов
информатизации
5
33
92
ТЕМА 4:
Исходные данные
по аттестуемым
объектам информатизации
93
ИСХОДНЫЕ ДАННЫЕ ПО АТТЕСТУЕМЫМ
ОБЪЕКТАМ ИНФОРМАТИЗАЦИИ
ОБЩИЕ ДАННЫЕ ПО ОБЪЕКТУ
ДАННЫЕ ПО РЕАЛИЗОВАННОЙ НА ОБЪЕКТЕ
СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ,
СРЕДСТВАМ И СПОСОБАМ ЗАЩИТЫ
ДАННЫЕ О РЕЗУЛЬТАТАХ РАНЕЕ ПРОВЕДЕННЫХ
РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ
ДАННЫЕ ПО ПЕРСОНАЛУ
94
ОБЩИЕ ДАННЫЕ ПО ОБЪЕКТУ
техническое задание на ОИ
состав технических и программных
средств АС
схемы и характеристики систем
электропитания и заземления ОИ
схемы прокладки линий передачи данных
планы размещения ОТСС и ВТСС
описание технологического процесса
обработки информации в АС
приемо-сдаточная документация на ОИ
ДАННЫЕ ПО РЕАЛИЗОВАННОЙ НА ОБЪЕКТЕ
СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ,
СРЕДСТВАМ И СПОСОБАМ ЗАЩИТЫ
акт категорирования и классификации АС
по требованиям ЗИ
технический паспорт на ОИ
используемые средства ЗИ, инструкции
по их эксплуатации
состав и схемы размещения средств ЗИ
сертификаты соответствия требованиям
безопасности информации на средства ЗИ
данные о техническом обеспечении
средствами контроля эффективности ЗИ
95
96
ДАННЫЕ О РЕЗУЛЬТАТАХ РАНЕЕ ПРОВЕДЕННЫХ
РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ
предписания на эксплуатацию
технических средств и систем
заключения о специальной проверке ВП
и технических средств
протоколы специальных
исследований
технических средств и систем
97
ДАННЫЕ ПО ПЕРСОНАЛУ
данные по уровню подготовки
кадров
технологические инструкции
пользователям АС и
администратору безопасности
информации
нормативная и методическая
документация
по ЗИ и контролю
98
ИСХОДНЫЕ ДАННЫЕ ПО АТТЕСТУЕМЫМ ОБЪЕКТАМ ИНФОРМАТИЗАЦИИ
технический паспорт на ОИ
техническое задание на ОИ
акт категорирования и классификации АС
по требованиям ЗИ
описание технологического процесса
обработки информации в АС
состав и схемы размещения средств ЗИ
планы размещения ОТСС и ВТСС
состав технических и программных
средств АС
схемы и характеристики систем
электропитания и заземления ОИ
схемы прокладки линий передачи данных
план контролируемой зоны предприятия
технологические инструкции
пользователям АС и администратору
безопасности информации
сертификаты соответствия требованиям
безопасности информации на средства ЗИ,
систем обработки и передачи информации
данные по уровню подготовки кадров
приемо-сдаточную документацию на ОИ
используемые средства ЗИ, инструкции
по их эксплуатации
заключения о специальной проверке ВП
и технических средств
протоколы специальных исследований
технических средств и систем
нормативная и методическая документация
по ЗИ и контролю
предписания на эксплуатацию
технических средств и систем
данные о техническом обеспечении
средствами контроля эффективности ЗИ
100
ТЕМА 5:
Программа проведения
аттестационных испытаний
объектов информатизации
Порядок проведения аттестации объектов
информатизации
Орган по
аттестации
Заявитель
Подача заявки
на аттестацию
Рассмотрение
заявки
Предварительное
ознакомление с объектом
информатизации
Согласование
программ
Разработка программы
аттестационных испытаний
Заключение договора (договоров)
Проведение аттестационных испытаний
объекта информатизации
Оформление, регистрация и выдача
«Аттестата соответствия…»
101
102
Возможные схемы аттестации объектов информатизации
Анализ исходных данных по
аттестуемому объекту информатизации
Экспертное обследование объекта
информатизации
Предварительное ознакомление с
аттестуемым объектом информатизации
Анализ документации по защите
информации на аттестуемом объекте
Проведение испытаний отдельных
средств и систем защиты
информации (несертифицированных)
Непосредственно на аттестуемом
объекте с использованием
специальной контрольной
аппаратуры и тестовых средств
В испытательных центрах
(лабораториях) по сертификации
средств защиты информации
Проведение комплексных
аттестационных испытаний объекта
информатизации в реальных
условиях эксплуатации
Анализ результатов экспертного
обследования и комплексных
аттестационных испытаний.
Разработка заключения по
результатам аттестации
Методы проверок и испытаний, используемые при
аттестации объектов информатизации
Экспертно-документальный
метод
Измерения и оценка степени
опасности технических
каналов утечки информации и
эффективности ее защиты
Проверка функций (комплекса функций)
защиты информации от
несанкционированного доступа
С использованием
тестирующих средств
Методы пробного пуска
средств защиты
Попытки «взлома» систем
защиты информации
103
Типовое содержание программы аттестационных
испытаний
Объекты испытаний
Цели и задачи
испытаний
Методы проверок
и испытаний
Условия, порядок и продолжительность
проведения аттестации
Методики
испытаний
Используемая контрольноизмерительная аппаратура и
тестовые средства
Перечень выполняемых проверок и
испытаний
Порядок подготовки и
оформления отчетной
документации
Привлекаемые сторонние
организации – испытательные
центры (лаборатории)
104
Порядок проведения аттестационных испытаний
105
Анализ и оценка исходных данных и документации по защите
информации на объекте информатизации
Проверка соответствия представленных исходных данных реальным
условиям размещения и эксплуатации объекта информатизации
Изучение (проверка) технологического процесса обработки и хранения
секретной информации, анализ информационных потоков и т.п.
Проверка состояния организации работ и выполнения организационнотехнических требований по защите информации
Оценка полноты и уровня
разработки организационнораспорядительной, проектной и
эксплуатационной
документации
Оценка правильности
классификации и
категорирования объекта
информатизации
Оценка уровня подготовки
кадров и распределения
ответственности за
выполнение требований по
защите информации
Испытания отдельных технических и программных средств, средств и систем защиты,
инженерного оборудования на соответствие требованиям по безопасности информации
Комплексные испытания объекта информатизации на соответствие требованиям
по безопасности информации
Подготовка отчетной документации
Перечень выполняемых проверок и испытаний
№
п/
п
Выполняемые проверки и
испытания
1.
Анализ и оценка исходных
данных по ЗИ
Срок
проведения
Метод проверки
Методическое
обеспечение
Используемая
контрольная
аппаратура
15.01.0120.01.01
Экпертнодокументальный
п.5.1
Программы
25.01.0110.02.01
Инструментальный
п.п. 5.6; 5.7;
5.8
Программы
п.6.4; 6.5; 6.6
Программы
25.01.0120.02.01
Инструментальный
По
отдельной
программе
По
отдельной
программе
01.03.0110.03.01
-
106
Примечание
-
…..
4.
Аппаратурные испытания
эффективности ЗИ от
утечки за счет
электроакустических
преобразований в ТА типа
«Siemens»
…
8.
Аппаратурные испытания
эффективности ЗИ от
утечки по цепям питания с
использованием фильтров
типа ФП-6
(в объеме
сертификационных
испытаний)
…
20
.
Подготовка и оформление
отчетной документации
-
-
Привлекается испытательная
лаборатория
ООО «ЦБИ»
107
Основные факторы, определяющие содержание и объем
аттестационных испытаний
Тип аттестуемого
объекта
информатизации
Состав и структура объекта
информатизации, условия
его расположения и
особенности эксплуатации
Технологический процесс
обработки информации
Категория и класс
защищенности объекта
информатизации
Используемые организационные,
технические и программные
средства ЗИ
Опасные виды и средства разведки,
технические каналы утечки информации и
угрозы безопасности информации
Степень документальной
(аппаратурной) подтвержденности
эффективности ЗИ
Степень отработанности и полноты
организационно-распорядительной и
эксплуатационной документации
Степень подготовленности персонала
108
ТЕМА 7:
Каналы утечки информации.
Основные термины и определения
Вопросы лекции
1. Определение канала утечки информации
2. Модель канала утечки информации за счет побочных
электромагнитных излучений и наводок
3. Общая характеристика источников информативного
сигнала
4. Общая характеристика случайных антенн
5. Механизмы возникновения побочных электромагнитных излучений и наводок
6. Классификация каналов утечки информации за счет
побочных электромагнитных излучений и наводок
7. Основные характеристики технических средств
разведки побочных электромагнитных излучений и
наводок
109
110
Определение канала утечки информации
Техническое определение канала утечки информации:
“Под техническим каналом утечки информации, обрабатываемой с
помощью средств информатизации, понимают совокупность:
• объекта разведки,
• технического средства разведки (TCP), с помощью которого
добывается информация об этом объекте,
• физической среды, в которой распространяется информационный
сигнал”.
Оперативное определение канала утечки информации:
“Под техническим каналом утечки информации, обрабатываемой с
помощью средств информатизации, понимают способ получения с
помощью TCP разведывательной информации об объекте”
Под разведывательной информацией обычно понимаются сведения
или совокупность данных об объектах разведки, составляющие
государственную или коммерческую тайну, независимо от формы их
представления.
111
Общая схема канала утечки информации
за счет ПЭМИН
Помехи
Источник
информации
Объект разведки
• Технические средства
передачи информации
• Средства
вычислительной
техники
• Оргтехника
Приемник
информации
Среда распространения
Средство разведки
• Воздушная среда
• Токопроводящие инженерные
коммуникации, выходящие за
пределы контролируемой зоны
• Линии связи, выходящие за
пределы контролируемой зоны
• Разведка
ПЭМИН
112
Обобщенная модель канала утечки информации
за счет побочных электромагнитных излучений
Техническое средство ведения
разведки ПЭМИН
0
0
0
0
2
0
&
0
0
ПЭМИ
0
Шина заземления
Системная шина,
шлейф системной шины
ПЭМИ
Элемент технического средства обработки
информации - источник информативного сигнала
+ 12 В
+5В
ПЭМИ
Шина
питания
Граница контролируемой зоны
С
л
у
ч
а
й
н
ы
е
а
н
т
е
н
н
ы
113
Возможные режимы обработки информации,
характерные для типового СВТ
•
•
•
•
•
•
Вывод информации на экран монитора
Ввод данных с клавиатуры
Запись информации на накопители на магнитных носителях
Чтение информации с накопителей на магнитных носителях
Передача данных в каналы связи
Вывод данных на периферийные печатные устройства принтеры, плоттеры
• Запись данных от сканера на магнитный носитель (ОЗУ)
Пример структурной схемы видеотракта с
указанием источников информативного
сигнала и случайных антенн
БП
220 В
Видеомонитор
+12 В
+5 В
Видеокарта
R
Локальная
шина
R
ЦАП
G
B
Устройство
G
обработки
сигнала B
Источники
Случайные антенны
114
115
Краткая характеристика источников
информативного сигнала
• Вид кодирования сигнала - импульсный, потенциальный,
смешанный потенциально-импульсный
• Разрядность информативного сигнала - от 1 до 512
• Частота повторения информативных импульсов - от единиц
герц до сотен мегагерц
• Длительность информативного импульса – от сотен
милисекунд до единиц наносекунд
• Амплитуда информативного сигнала - от единиц миливольт
до единиц киловольт
• Ширина спектра, занимаемая сигналом - от сотен герц до
сотен мегагерц
116
Временная развертка тестового сигнала в режиме вывода
на экран монитора изображения вида "точка через
точку".
Разрешение 1600 х 1200, при частоте строчной развертки 70 Гц.
Тест: WinVideo. Точка измерения: pin 1 видеоадаптера (сигнал R)
1
10,68 нс
0.8
Напряжение, В
0.6
0.4
5,34
0.2
0
-0.2
-0.4
0
4
8
12
16
Время, нсек
20
24
28
117
Временная развертка информативного сигнала модема
в кабеле RS-232 линия RD (PIN 2 разъема DB25)
Напряжение сигнала в линии связи, В
0
13
12
11
10
9
8
7
6
5
4
3
2
1
0
-1
-2
-3
-4
-5
-6
-7
-8
-9
-10
-11
-12
-13
10
20
30
40
50
60
17.6 мксек
8.8 мксек
Время, мксек
70
80
90
100
110
118
Спектральные характеристики информационного
сигнала модема в линии связи
Уровень напряжения в линии связи, дБ(мВт)
40
30
20
10
0
-10
-20
-30
-40
0
0.4
0.8
1.2
1.6
2
2.4
2.8
3.2
3.6
4
4.4
4.8
5.2
5.6
Частота в КГц
6
6.4
6.8
7.2
7.6
8
8.4
8.8
9.2
9.6
10
Спектральные характеристики информативного
сигнала в линии связи ЛВС стандарта 100 Мбит/с
119
120
Краткая характеристика случайных антенн
• Геометрические размеры (единицы миллиметров - сотни
метров)
• Поляризация - линейная, эллиптическая (круговая)
• Характеристики направленности (слабонаправленные для
случайных антенн в виде проводников, средненаправленные
- для случайных антенн щелевого типа)
• Прогнозируемый вид паразитной связи случайной антенны с
источником информативного сигнала (гальваническое
подключение, емкостной, индуктивный, трансформаторный,
комбинированный)
• Прогнозируемые резонансные частоты в диапазоне частот
информативного сигнала (четвертьволновые и полуволновые
вибраторы)
121
Реальная характеристика направленности случайной
антенны видиосистемы на первой тактовой частоте
информативного сигнала fт = 12,6 МГц
0
340
350
10
1
20
0,9
330
30
0,8
320
40
0,7
310
50
0,6
300
60
0,5
0,4
290
70
0,3
0,2
280
80
0,1
270
0
90
260
100
250
110
240
120
230
130
220
140
210
150
200
190
170
160
180
Положение кабелей электропитания при измерении
диаграмм направленности
Схема измерений поляризационной характеристики
случайной антенны видиосистемы в диапазоне частот
информативного сигнала (режим 640 х 480)
Направление максимального
уровня излучения
1 метр
Z
X
Y
1 метр
Эквивалент сети
220 В 50 Гц
Металлический лист
122
Результаты измерений поляризационной характеристики
случайной антенны видиосистемы в диапазоне частот
информативного сигнала (режим 640 х 480)
- формула для расчета коэффициента поляризации
1 N
N
2
U
 i
i 1
3
2.8
Коэффициент поляризации, отн. ед.
Pn 
2
U max
2.6
2.4
2.2
2
1.8
1.6
1.4
1.2
1
10
20
30
40
50
60
70
80
90
100 110 120 130 140 150 160 170 180 190 200 210
Частота, МГц
123
124
Механизм возникновения побочных
электромагнитных излучений при работе СВТ
Возможные варианты распределения
тока по длине случайной антенны
Z
I
Rpq
L
A)
Ij
0
IR
p
f
0
R
Iq
j
L
q
q
0
Z
Z
|K|L  1
y
Б)
0
f
Z
L
0
X
Случайная антенна в сферической системе координат
Z
|K|L  1
125
Механизм возникновения побочных
электромагнитных излучений при работе СВТ
Вид решений системы уравнений Максвелла
для точки наблюдения p при условии |K|L  1:
Hj 
ik  I 0 L
4
1
e  i k r
 sin(q ) 
 (1 
)
r
ik r
(1)
ik r 
i  k  I0  L W
1
1 
e
E 
 sin( q ) 
 2 2  (2)
1 
4 
r
ik r
k r 

ER
ik r
I0  L W
e

 cos(q ) 
2 
r2
где k
I0
L
W
rиq
-
1


1



ik r 

волновое число;
комплекс распределения тока по излучателю;
размер излучателя;
волновое сопротивление среды;
текущие координаты в системе координат.
(3)
126
Анализ выражений (1) - (3)
для электрической составляющей ПЭМИ
•
Ближняя зона излучения - |K|r <<1
 Eq 

  0,5 при |К| r  0. Вывод: при |К| r <<1 составляющая Еr > Е
 Er 
•
Промежуточная зона излучения - |K|r 1
 Eq 

  1 при |К| r  1. Вывод: при |К| r 1 составляющая Еr Е
 Er 
•
Дальняя зона излучения - |K|r >> 1
 Eq 

  0 при |К| r >> 1. Вывод: при |К| r >>1 составляющая Еr <<Е
 Er 
127
Зависимость амплитуды результирующей электрической
составляющей ЭМП, возбужденного элементарным
электрическим вибратором от координаты θ при | k | r << 1
128
Зависимость амплитуды результирующей электрической
составляющей ЭМП, возбужденного элементарным
электрическим вибратором от координаты θ при | k | r  1
129
Зависимость амплитуды результирующей электрической
составляющей ЭМП, возбужденного элементарным
электрическим вибратором от координаты θ при | k | r > 1
130
Зависимость амплитуды результирующей электрической
составляющей ЭМП, возбужденного элементарным
электрическим вибратором от координаты θ при | k | r >> 1
Механизм возникновения наведенных информативных сигналов
в цепях электропитания, заземления,
линиях коммуникационных устройств
Спар
Спар
Спар
Спар
Мвз
Мвз
Мвз
Мпар
Спар - паразитная емкость электроннного элемента
Мпар - паразитная взаимоиндукция между проводниками,
выводами электронных элементов в области высоких часот
Мвз - взаимная индукция обмоток трансформатора в области высоких частот
131
132
Механизм возникновения наведенных информативных
сигналов в цепях и линиях связи ВТСС, выходящих за
пределы контролируемой зоны
Контролируемая
зона
ПЭВМ
Приемник
разведки
133
Механизм возникновения наведенных информативных
сигналов на внешней (экранирующей) оплетке линий
связи коммуникационных устройств
Распределение плотности тока
во внешнем проводнике
Концентрация токов на
взаимообращенных к друг другу
поверхностях проводников а и б
134
Эквивалентная схема замещения линии связи
dl линии связи
Сетевое оборудование
L11
R11
RГ1
I1
RH
Zсв
G1
R21
L21
C1
Rн
Cвых
G2
I2
~10nF
C3
Rвых
1 МОм
L22
C2
R22
LЗ
R3
I1 – амплитуда эквивалентного генератора,
включенного между центральной
жилой и экраном кабеля;
I2 - амплитуда эквивалентного генератора,
включенного между экраном кабеля и “землей”;
R22- погонное сопротивление “земли”;
RГ1 - внутреннее сопротивление генератора I1;
Rз,Lз - эквивалентные параметры заземления;
Rн - сопротивление нагрузки кабельной линии;
Свых, Rвых - элементы выходных цепей адаптера;
ZCB - сопротивление cвязи;
L11 - погонная индуктивность центральной жилы;
L21 - погонная индуктивность экрана;
L22 - погонная индуктивность “земли”;
R11 - погонное сопротивление центральной жилы;
R21 - погонное сопротивление экрана;
C1 - погонная емкость линии “0 – 1”;
С2- погонная емкость линии “1 – 2”;
G1 - погонная проводимость линии “0 – 1”;
G2 - погонная проводимость линии “1 – 2”;
RГ2: — внутреннее сопротивление генератора L
Классификация каналов утечки информации за счет
побочных электромагнитных излучений и наводок
Возможные технические каналы утечки
информации, составляющей государственную тайну
Электромагнитные
Перехват информативных
ПЭМИ от технческих средств
обработки информации
Электрические
Параметрический
Перехват наведенных информативных сигналов с
соединительных линий ВТСС и посторонних проводников,
выходящих за пределы контролируемой зоны
Перехват информативных сигналов, наведенных в линиях
электропитания с линий электропитания ОТСС
Перехват сигналов
ВЧ-генераторов ВТСС,
ОТСС , модулированных
информативным сигналом
Перехват сигналов паразитной генерации в узлах, элементах технических средств
обработки информации
Перехват информативных сигналов, наведенных в цепях
заземления ОТСС и ВТСС
Перехват информации путем установки в ОТСС электронных
устройств перехвата информации, комплексированных с
устройствами передачи информации по радиоканалу,
- (аппаратных закладок)
Перехват информации путем
"высокочастотного облучения" ОТСС
135
136
Электромагнитные каналы утечки информации
137
Электрические каналы утечки информации
138
Электрические каналы утечки информации
139
Электрические каналы утечки информации
Воздействие на информацию путем установки в ОТСС аппаратных
средств несанкционированного воздействия на информацию
Параметрические каналы утечки информации
ОТСС
140
Основные характеристики технических средств разведки
побочных электромагнитных излучений и наводок
Для перехвата информации путем приема и анализа побочных
электромагнитных излучений от работающих технических
средств приема, передачи, обработки, хранения и отображения
информации и возникающих при этом наводок на провода,
кабели и другие токопроводящие коммуникации применяется:
• стационарная аппаратура радиоразведки и разведки ПЭМИН,
реализующая модель оптимального приемника разведки и
установленная
в
иностранных
представительствах,
пользующихся правом экстерриториальности
• портативные возимые и носимые средства радиоразведки и
разведки ПЭМИН, реализующие алгоритм квазиоптимального
приемника
• автономные автоматические средства радиоразведки и
разведки ПЭМИН
141
142
Основные характеристики стационарной аппаратуры разведки
ПЭМИН, устанавливаемой в иностранных представительствах
1.
Наименование
характеристики
Частота, МГц
0,003 0,03 0,3
30
100
103
104
2104 4104 7104 94104
Чувствительность
приемника, дБ (Вт/ Гц) -40
-84 -138 -163 -179 -194
-200
-200
-197
-197
-197
-197
-197
Коэффициент усиления
антенны, дБ
-12
-10
22
42
48
48
46
40
2.
3.
-4
3
1
15
1
2
9
Диапазон частот, регистрируемый с помощью технических средств
разведки ПЭМИН - единицы Герц - 10 ГГц
Максимальная дальность перехвата побочных электромагнитных излучений,
образующихся путем облучения генераторами высокочастотных колебаний
с территории посольств, миссий и др. иностранных представительств - до 300 м
143
Основные характеристики портативных
и автономных средств разведки ПЭМИН
1.
Наименование
характеристики
Частота, МГц
0,003 0,03 0,3
Чувствительность
приемника, дБ (Вт/ Гц) -40
Коэффициент усиления
антенны, дБ
-22
3
30
100
-84 -138 -163 -193 -200
103
104
2104 4104 7104 94104 225 103
-200
-197
-197
-197
-195
-195
-195
24
30
Портативные носимые
-18
-14
-12 -10
-6
4
4
12
17
20
Портативные возимые и автономные автоматические
-8
-4
-1
3
6
7
10
12
18
23
28
34
2.
Масса портативной возимой аппаратуры с одним сменным высокочастотным
блоком - до 1,5 кГ, канально - демодулирующих устройств - до 3-х кГ
3.
Масса носимой аппаратуры до 0,2 кГ
4.
Дальность перехвата информации с линий связи - 40 -50 метров
40
Дальности перехвата ПЭМИН средств вычислительной
техники и технических средств обработки информации
аппаратурой радиоразведки и разведки ПЭМИН
Возможные носители
информации на объектах
информатизации
Диапазон
излучения,
Дальности перехвата
МГц
Стационарной
Портативной
(возимой)
0,1 - 1000
1000
600
0,3 -800
300
200
2Ч104 - 3
50
40
10-5 - 500
60
50
2Ч10-5 - 10-2
15
10
Электрическая пишущая машинка 2Ч10-5 - 10-3
Телеграфный коммутатор
10-5 - 62Ч10-3
20
15
15
10
60
50
Алфавитно-цифровой дисплей
телевизионного типа
Накопитель на магнитном диске
Алфавитно-цифровое
печатающее устройство
Аппаратура звукоусиления и
громкоговорящей связи
Аппаратура факсимильной связи
Видеомагнитофон
5Ч10-5 - 80
144
145
ТЕМА 9:
Содержание и порядок
проведения аттестационных
испытаний объектов
вычислительной техники
Содержание аттестационных испытаний
объектов вычислительной техники
Анализ исходных данных и документации по защите информации и
проверка их соответствия реальным условиям размещения и
эксплуатации объекта информатизации
Проверка состояния организации работ и выполнения
организационно-технических требований по защите информации
Оценка правильности категорирования и
классификации объекта информатизации
Оценка полноты и уровня разработки
организационно-распорядительной,
проектной и эксплуатационной
документации
Оценка уровня подготовки кадров и
распределения ответственности за
выполнение требований по защите
информации
Испытания АС на соответствие
требованиям по защите информации от
утечки по каналам ПЭМИН
Испытания АС на соответствие
требованиям по защите информации
от несанкционированного доступа
Проверки выполнения требований на отсутствие в технических средствах
специальных электронных устройств перехвата информации
146
147
Оценка правильности категорирования
объекта информатизации
ОСНОВНЫЕ КРИТЕРИИ КАТЕГОРИРОВАНИЯ
ГРИФ СЕКРЕТНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ
УСЛОВИЯ РАСПОЛОЖЕНИЯ ОТНОСИТЕЛЬНО ПРЕДСТАВИТЕЛЬСТВ
ИНОСТРАННЫХ ГОСУДАРСТВ,ВЕДУЩИХ РАЗВЕДКУ ПЭМИН
СТАЦИОНАРНОЙ АППАРАТУРОЙ (Модель ИТР-2010)
ПЕРЕСМОТР КАТЕГОРИИ НЕ РЕЖЕ ОДНОГО РАЗА В 5 ЛЕТ ИЛИ ПРИ
ИЗМЕНЕНИИ ОДНОГО ИЗ КРИТЕРИЕВ
РАЗДЕЛЬНОЕ КАТЕГОРИРОВАНИЕ ТС
ДОПУСКАЕТСЯ ПРИ НАЛИЧИИ СРЕДСТВ РАЗГРАНИЧЕНИЯ ДОСТУПА
НЕОБХОДИМЫЕ ИСХОДНЫЕ ДАННЫЕ
( ПОДТВЕРЖДАЮЩИЕ ДОКУМЕНТЫ )
АКТ КАТЕГОРИРОВАНИЯ
ЗАКЛЮЧЕНИЕ О СТЕПЕНИ СЕКРЕТНОСТИ
ПРЕДПИСАНИЕ НА ЭКСТЛУАТАЦИЮ ОБЪЕКТА
ПРЕДПИСАНИЯ НА ЭКСТЛУАТАЦИЮ СВТ
СПРАВКА ИЗ КОМПЕТЕНТНЫХ ОРГАНОВ
ПО РАССТОЯНИЯМ ОТ ОБЪЕКТА ДО
ПРЕДСТАВИТЕЛЬСТВ ИНОСТРАННЫХ
ГОСУДАРСТВ
ПЛАНЫ РАЗМЕЩЕНИЯ ОБОРУДОВАНИЯ
ИСХОДНЫЕ ДАННЫЕ ПО АТТЕСТУЕМЫМ ОБЪЕКТАМ ИНФОРМАТИЗАЦИИ
148
технический паспорт на ОИ
техническое задание на ОИ
акт категорирования и классификации АС
по требованиям ЗИ
описание технологического процесса
обработки информации в АС
состав и схемы размещения средств ЗИ
планы размещения ОТСС и ВТСС
состав технических и программных
средств АС
схемы и характеристики систем
электропитания и заземления ОИ
схемы прокладки линий передачи данных
план контролируемой зоны предприятия
технологические инструкции
пользователям АС и администратору
безопасности информации
сертификаты соответствия требованиям
безопасности информации на средства ЗИ,
систем обработки и передачи информации
данные по уровню подготовки кадров
приемо-сдаточную документацию на ОИ
инструкции по эксплуатации средств ЗИ
заключения о специальной проверке ВП
и технических средств
протоколы специальных исследований
технических средств и систем
предписания на эксплуатацию
технических средств и систем
нормативная и методическая документация
по ЗИ и контролю
данные о техническом обеспечении
средствами контроля эффективности ЗИ
149
Оценка полноты и уровня разработки организационнораспорядительной, проектной и эксплуатационной документации
ПРОЕКТНАЯ ДОКУМЕНТАЦИЯ
техническое задание на ОИ
состав и схемы размещения средств ЗИ
планы размещения ОТСС и ВТСС
схемы и характеристики систем
электропитания и заземления ОИ
ЭКСПЛУАТАЦИОННАЯ ДОКУМЕНТАЦИЯ
технический паспорт на ОИ
инструкции по эксплуатации средств ЗИ
обеспеченность нормативной и методической
документацией по ЗИ и контролю
обеспеченность средствами контроля
эффективности ЗИ
технологические инструкции пользователям АС и администратору безопасности информации
ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНАЯ
ДОКУМЕНТАЦИЯ
ПРИКАЗЫ О ВВОДЕ В ЭКСПЛУАТАЦИЮ
РУКОВОДСТВО ПО ЗАЩИТЕ ИНФОРМАЦИИ
ПРИКАЗЫ О НАЗНАЧЕНИИ
ОТВЕТСТВЕННЫХ ЛИЦ
Испытания АС на соответствие требованиям по защите
информации от несанкционированного доступа
Испытания подсистемы управления доступом
Проверка механизма идентификации
Проверка механизма аутентификации
Проверка механизма контроля доступа
Проверка механизмов управления потоками информации
Испытания подсистемы регистрации и учета
Испытания криптографической подсистемы
Испытания подсистемы обеспечения целостности
150
Испытания АС на соответствие требованиям по защите
информации от утечки по каналам ПЭМИН
Проверка
выполнения
требований по ЗИ от
утечки за счет ПЭМИ
СВТ
Проверка
выполнения
требований по ЗИ от
утечки за счет
наводок
Проверка
выполнения
требований по ЗИ от
утечки по цепям
заземления и
электропитания
Проверка
выполнения
требований по ЗИ от
утечки по
кабельным линиям
передачи данных
Проверка
фактических
размеров
контролируемой
зоны
Проверка взаимного
размещения СВТ и
ВТСС на
соответствие
требованиям
предписаний на
эксплуатацию
Проверка
выполнения
требований РД к
схемам организации
и монтажу систем
электропитания и
заземления,
фильтрации
опасных сигналов и
величине
сопротивления
заземления
Проверка
выполнения
требований РД и
предписаний на
эксплуатацию по
условиям
прокладки,
взаимному пробегу
и разносу линий
передачи данных
Проверка
соответствия
размеров КЗ
требованиям
предписаний на
эксплуатацию СВТ
Проверка работоспособности СЗИ и выполнения правил их эксплуатации
Экспертная оценка результатов аппаратурного контроля эффективности защиты информации
Аппаратурные испытания эффективности защиты информации
151
152
Проверка фактических размеров
контролируемой зоны
ПРОБЛЕМНЫЕ ВОПРОСЫ
АРЕНДАТОРЫ
ВРЕМЕННАЯ КОНТРОЛИРУЕМАЯ ЗОНА
Тема 24, лекция, 1 час
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
РЕЧЕВОЙ ИНФОРМАЦИИ
ОБОБЩЕННАЯ СХЕМА КАНАЛА УТЕЧКИ ИНФОРМАЦИИ
Технический канал утечки информации – совокупность объекта
технической разведки, физической среды распространения информативного
сигнала и средств, которыми добывается защищаемая информация
Источник
информации
(передатчик)
Среда
распространения
Помехи
Приемник
перехвата
Регистрирующее
устройство
ВИДЫ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ ИЗ ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ
ИСТОЧНИКИ (ПЕРЕДАТЧИКИ) РЕЧЕВОГО СИГНАЛА
ЧЕЛОВЕК
ОСНОВНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА
ВСПОМОГАТЕЛЬНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА
ВИД ИНФОРМАТИВНОГО СИГНАЛА
МЕХАНИЧЕСКИЕ КОЛЕБАНИЯ
ЭЛЕКТРИЧЕСКИЕ СИГНАЛЫ
ЭЛЕКТРОМАГНИТНЫЕ ПОЛЯ
СРЕДА РАСПРОСТРАНЕНИЯ
ВОЗДУХ
ОГРАЖДАЮЩИЕ
КОНСТРУКЦИИ
ПРОВОДНИКИ
ЭФИР
КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
Акустические и
виброакустические сигналы
Электроакустические
преобразования (ЭАП)
Изменения тока
потребления
Побочные электромагнитные
излучения и наводки
Паразитная генерация (ПГ) и
модуляция
Радиоизлучения и сигналы от
«закладок»
ВЧ - навязывание
СРЕДСТВА АРР
СРЕДСТВА РАЗВЕДКИ ПЭМИН
ОСНОВНЫЕ ХАРАКТЕРИСТИКИ СРЕДСТВ
АКУСТИЧЕСКОЙ РЕЧЕВОЙ РАЗВЕДКИ И РАЗВЕДКИ ПЭМИН
Вид
разведки
Разведка
ПЭМИН
Акустическая
(речевая)
разведка
Аппаратура
Регистрации ПЭМИН
Оптико-электронная
(лазерная)
Дальность
разведки
До 1 км
До 500 м –
До 1500 м –
Особенности применения
Стационарная
- непрерывно
Возимая и носимая - эпизодически
При благоприятных метеоусловиях:
диффузное отражение в пределах
прямой видимости
Узконаправленное отражение
Направленные
микрофоны
До 200 м
Возимая и носимая - эпизодически
при благоприятной обстановке
Аппаратура
звукозаписи
До 15 м
Возимая и носимая - эпизодически
при благоприятной обстановке
ОСОБЕННОСТИ ИСТОЧНИКОВ РЕЧЕВОГО СИГНАЛА И
СОЗДАВАЕМЫХ ИМИ ИНФОРМАТИВНЫХ СИГНАЛОВ
ВСПОМОГАТЕЛЬНЫЕ
ТЕХНИЧЕСКИЕ
СРЕДСТВА
ЧЕЛОВЕК
ДИАПАЗОН
Макс. 0,02…20 кГц
ЧАСТОТ
Осн. 0,3…3,4 кГц
УРОВНИ
УЗД = 64…74 дБ
СИГНАЛОВ
ЭАП 0,02…20 кГц
ВГ 20 кГц...дес.ГГц
ПГ
20 кГц....1 ГГц
U
0,05мкВ…дес.мВ
E дес.мкВ/м.. дес.мВ/м
Н
до сотен мА/м
Нормир. 70 дБ
ОСНОВНЫЕ
ТЕХНИЧЕСКИЕ
СРЕДСТВА
Осн.ПЭМИ 0,02…20 кГц
ПГ
20кГц…1 ГГц
ЭАП
0,02…20 кГц
U
0,05 мкВ…дес.мВ
Е
сотни мВ/м
Н
сотни мА/м
СТАТИСТИЧЕСКАЯ СПЕКТРАЛЬНАЯ ХАРАКТЕРИСТИКА РУССКОЙ РЕЧИ
Кi
1
Sсл, %
2
1,0
0,1
0,05
Речевой диапазон
0,07
0,3
2,5 3,4
7
F, кГц
1 – среднестатистическая спектральная
характеристика
русской речи
2 - вклад отдельных
участков спектра в
суммарную словесную разборчивость
речи
Интегральные
уровни звукового
давления
ГР. РЕЧЬ
74 дБ
СР. РЕЧЬ
70 дБ
ТИХ. РЕЧЬ 64 дБ
СОСТАВ И ОСОБЕННОСТИ ОСНОВНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ
СИСТЕМЫ ЗВУКОВОГО СОПРОВОЖДЕНИЯ
К
ФЭ
УМ
СИСТЕМЫ СЕКРЕТНОЙ СВЯЗИ
ТА
УМ
У
ВМ
МКТ
СИСТЕМЫ ЗВУКОУСИЛЕНИЯ
К
Р
СИСТЕМЫ ЗВУКОЗАПИСИ
А
УЗ
О
АЦП
ЦАП
ТА
С
Т
С
С
ГСП
УМ
УВ
СОСТАВ И ОСОБЕННОСТИ ВСПОМОГАТЕЛЬНЫХ
ТЕХНИЧЕСКИХ СРЕДСТВ
Вид
ВТСС
ЭЛЕМЕНТЫ СХЕМОТЕХНИКИ, СОЗДАЮЩИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
ГЕНЕРАТОРЫ
И
УСИЛИТЕЛИ
ВЧ
ГЕТЕРОДИНЫ
ТРАНСФОРМАТОРЫ,
ДРОССЕЛИ,
РЕЛЕ
ДИНАМИКИ,
МИКРОФОНЫ
АНАЛОГОВЫЕ
ТА
–
–
ТАКТОВЫЕ
ГЕНЕРАТОРЫ
–
+
+
+
ЦИФРОВЫЕ
ТА
+
+
+
–
–
+
+
+
¯
¯
–
–
–
+
–
–
+
–
–
+
+
+
–
+
+
+
+
+
+
¯
¯
¯
¯
¯
¯
ДАТЧИКИ
ПОЖАРНОЙ И
ОХРАННОЙ
СИГНАЛИЗАЦИИ
ЭЛЕКТРОЧАСЫ
ГРОМКОГОВОРИТЕЛИ
БЫТОВАЯ
РАДИОЭЛЕКТРОННАЯ
АППАРАТУРА
+
¯
ГЕНЕРАТОРЫ
И
УСИЛИТЕЛИ
ВЧ
¯
ЭЛЕКТРОМЕХАНИЧЕСКИЕ
УСТРОЙСТВА
(ПРЕОБРАЗОВАТЕЛИ)
+
¯
ОСОБЕННОСТИ СРЕДЫ РАСПРОСТРАНЕНИЯ ИНФОРМАТИВНЫХ
СИГНАЛОВ
СКОРОСТЬ
РАСПРОСТРАНЕНИЯ
СИГНАЛОВ
ЗАТУХАНИЕ
ШУМЫ
ЕСТЕСТВЕННЫЕ
ИСКУССТВЕННЫЕ
ОСОБЕННОСТИ ВОЗДУХА И ОГРАЖДАЮЩИХ КОНСТРУКЦИЙ, КАК
СРЕДЫ РАСПРОСТРАНЕНИЯ АКУСТИЧЕСКИХ ВОЛН
ЗАТУХАНИЕ( ЗВУКОИЗОЛЯЦИЯ) АКУСТИЧЕСКИХ СИГНАЛОВ
В СВОБОДНОМ ПРОСТРАНСТВЕ (ВОЗДУХЕ) - ОБРАТНО ПРОПОРЦИОНАЛЬНО R
СТЕНА В 0.5 КИРПИЧА
НА ОГРАЖДАЮЩИХ КОНСТРУКЦИЯХ
48 дБ
ОКНО ОДИНАРНОЕ
22…26 дБ
СТЕНА В 1 КИРПИЧ
53 дБ
ОКНО ДВОЙНОЕ
32…38 дБ
СТЕНА В 2 КИРПИЧА
58 дБ
ДВЕРЬ ОБЫЧНАЯ
18…20 дБ
25…30 дБ
СТЕНА ИЗ ЖЕЛЕЗОБЕТОНА (100мм) 58 дБ
ВОЗДУХОВОДЫ МЕТАЛЛИЧЕСКИЕ 0,15 дБ/м
ДВЕРЬ МЕТАЛЛИЧЕСКАЯ
ПЛАСТИКОВЫЕ
0,2…0,3 дБ/м
ЗАТУХАНИЕ ВИБРАЦИОННЫХ СИГНАЛОВ : БЕТОН - 0.1…0.15 дБ/м , КИРПИЧ – 0.2…0.4 дБ/м
ШУМЫ
АКУСТИЧЕСКИЕ
УЛИЦА С ИНТЕНСИВНЫМ ДВИЖЕНИЕМ 60 дБ
ВИБРАЦИОННЫЕ
ВНЕШНЯЯ КОНСТРУКЦИЯ ЗДАНИЯ
15-35 дБ
УЛИЦА СО СРЕДНИМ ДВИЖЕНИЕМ
55 дБ
ВНУТРЕННЯЯ КОНСТРУКЦИЯ ЗДАНИЯ 10-30дБ
УЛИЦА БЕЗ ДВИЖЕНИЯ АВТОМОБИЛЕЙ
35 дБ
35 дБ
ВНЕШНЕЕ СТЕКЛО ОКНА
25-30 дБ
ВНУТРЕННЕЕ СТЕКЛО ОКНА
10-15 дБ
СЕЛЬСКАЯ МЕСТНОСТЬ
КОМНАТА ШУМНАЯ
55-65 дБ
ТРУБОПРОВОД ОТОПЛЕНИЯ
КОМНАТА ТИХАЯ
ПУСТОЙ КАБИНЕТ
35-40дБ
30-35 дБ
С ВОДОЙ
15-20 дБ
БЕЗ ВОДЫ
10-15дБ
КОРИДОРЫ
45-50 дБ
ОСОБЕННОСТИ ПРОВОДНЫХ КОММУНИКАЦИЙ, КАК СРЕДЫ
РАСПРОСТРАНЕНИЯ ИНФОРМАТИВНЫХ СИГНАЛОВ
Kосл, дБ
ЗАТУХАНИЕ СИГНАЛОВ В СЕТИ ЭЛЕКТРОПИТАНИЯ
100
16
14
12
10
8
6
4
2
0
Через РЩ
80
60
40
20
В линии
длиной 16 м
0
1
UшN ,
 мкВ 


 кГц 


5
9
15
26
38
52
75
94
112 МГц
НОРМИРОВАННЫЕ ШУМЫ В СЕТИ ЭЛЕКТРОПИТАНИЯ
10
1
0,1
0,01
1,00E-02
1,00E-01 1,00E+00 1,00E+01 1,00E+02 1,00E+03
f (кГц)
ОСОБЕННОСТИ ФОРМИРОВАНИЯ ЭЛЕКТРОМАГНИТНОГО ПОЛЯ
ОТ ЭЛЕКТРИЧЕСКОГО И МАГНИТНОГО ИЗЛУЧАТЕЛЕЙ
Дальняя зона
Ближняя зона
Промежуточная зона
а – электрический вибратор. Сопротивление
источника велико, ток высокой частоты I мал.
Волновое сопротивление Z0 вблизи излучателя
велико и в структуре поля преобладает
электрическая составляющая Е, которая в
ближней зоне по мере удаления от излучателя
уменьшается по закону 1/r3.
б – магнитная рамка с низким сопротивлением.
Преобладает магнитная составляющая Н.
Волновое сопротивление Z0 растет по мере
удаления от излучателя. В ближней зоне
магнитная составляющая уменьшается по
закону 1/r3.
В ближней и промежуточной зонах Z0  
и Е  Н
График зависимости волнового сопротивления
пространства Z0 вблизи электрического
вибратора (1) и магнитной рамки (2)
в зависимости от расстояния d = /2
Виды зон формирования поля
Ближняя
Промежуточная
Дальняя
d1
r  /2
1< d  18
/2 < r  3
d >18
r > 3
В дальней зоне Z0 =  = 377 Ом
и Е = Н
ЗАТУХАНИЕ ЭЛЕКТРОМАГНИТНЫХ ВОЛН
МАГНИТНЫЙ ИЗЛУЧАТЕЛЬ
БЛИЖНЯЯ
ЗОНА
ЭЛЕКТРИЧЕСКИЙ ИЗЛУЧАТЕЛЬ
Н  1/R3
Е  1/R2
ПРОМ.
ЗОНА
r
Закон убывания электромагнитного поля
в зависимости от расстояния (r)
от источника излучения
Вид зон формирования поля
Ближняя
Промежуточная
Дальняя
1/r3
1/r2
1/r
Е  1/R3
Н 1/R2
ПРОМ.
ЗОНА ДАЛЬНЯЯ
ЗОНА
ДАЛЬНЯЯ
ЗОНА


БЛИЖНЯЯ
ЗОНА


r
ЭКРАНИРОВАНИЕ КОНСТРУКЦИЯМИ (дБ)
f, МГц
100 МГц 500 МГц 1000 МГц
КИРПИЧНАЯ
13…19 15…22
СТЕНА
300мм
ЖЕЛЕЗОБЕТОН 20…32 18…27
160 мм
16…25
15…25
ФИЗИЧЕСКИЕ ОСНОВЫ ОБРАЗОВАНИЯ КАНАЛОВ УТЕЧКИ
ИНФОРМАЦИИ, ОБУСЛОВЛЕННЫХ ЭФФЕКТОМ ПОБОЧНЫХ
ЭЛЕКТРОМАГНИТНЫХ ИЗЛУЧЕНИЙ И НАВОДОК
НИЗКООМНЫЕ ЦЕПИ
( МАГНИТНОЕ ПОЛЕ, Н)
ВЫСОКООМНЫЕ ЦЕПИ
(ЭЛЕКТРИЧЕСКОЕ ПОЛЕ, Е)
_
H
I
_
E
U
I

_
H
ФИЗИЧЕСКИЕ ОСНОВЫ ОБРАЗОВАНИЯ КАНАЛА УТЕЧКИ
ИНФОРМАЦИИ, ЗА СЧЕТ ЭЛЕКТРОАКУСТИЧЕСКИХ ПРЕОБРАЗОВАНИЙ
ЭЛЕКТРОАКУСТИЧЕСКИЕ ПРЕОБРАЗОВАТЕЛИ
ГЕНЕРАТОРНЫЕ- ПАССИВНЫЕ
1. ПЬЕЗОЭЛЕКТРИЧЕСКИЕ
2. ЭЛЕКТРОДИНАМИЧЕСКИЕ
N
3. ЭЛЕКТРОМАГНИТНЫЕ
~U S
~U
S
~U
~F
~F
~F
N
ПАРАМЕТРИЧЕСКИЕ –МОДУЛЯТОРНЫЕ ( АКТИВНЫЕ)
1. ЕМКОСТНЫЕ
C
~F
2. ИНДУКТИВНЫЕ
L
~F
3. МЕХАНОСТРИКЦИОННЫЕ
L
~F

НЕКОТОРЫЕ ВТСС, ОБЛАДАЮЩИЕ СВОЙСТВОМ
ЭЛЕКТРОАКУСТИЧЕСКИХ ПРЕОБРАЗОВАНИЙ
Телефонные аппараты и телефонные устройства
Вторичные электрочасы
Абонентские громкоговорители однопрограммной и
трехпрограммной трансляционной сети
Громкоговорители сети оповещения
Некоторые датчики систем пожарной и охранной
сигнализации
Бытовая радиоэлектронная аппаратура
ФИЗИЧЕСКИЕ ОСНОВЫ ОБРАЗОВАНИЯ КАНАЛОВ УТЕЧКИ
ИНФОРМАЦИИ, ОБУСЛОВЛЕННЫХ ЭФФЕКТОМ ПАРАЗИТНОЙ
ГЕНЕРАЦИИ И МОДУЛЯЦИИ
НЧ усилитель
ИНФОРМАЦИОННЫЙ СИГНАЛ
P,U,E,H
НЧ
ВЦ
г
f г; 2f г...nf
ПОЛОЖИТЕЛЬНАЯ ОБРАТНАЯ СВЯЗЬ
ВЧ генератор
(усилитель)
ВЧ
ИНФОРМАЦИОННЫЙ СИГНАЛ
P,U,E,H
Г
ВЦ
f
f
г ( ВЧ)
ФИЗИЧЕСКИЕ ОСНОВЫ ОБРАЗОВАНИЯ КАНАЛОВ УТЕЧКИ НФОРМАЦИИ,
ОБУСЛОВЛЕННЫХ ЭФФЕКТОМ ВЧ-НАВЯЗЫВАНИЯ
ИНФОРМАЦИОННЫЙ СИГНАЛ
ЛИНЕЙНОЕ
f
P,U,E,H
г
ТС
Г
ОБЪЕМНОЕ
ИНФОРМАЦИОННЫЙ СИГНАЛ
f
Г
г
ПРМ
f г; 2f г…nf
P,U,E,H
г
ТС,
ЭЛ. КОНСТР.
г
f г; 2f г…nf
ПРМ
Тема 25, лекция, 1 час
ОСНОВНЫЕ СПОСОБЫ БЛОКИРОВАНИЯ
КАНАЛОВ УТЕЧКИ РЕЧЕВОЙ ИНФОРМАЦИИ.
ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ
СПОСОБЫ БЛОКИРОВАНИЯ ТЕХНИЧЕСКИХ КАНАЛОВ
УТЕЧКИ РЕЧЕВОЙ ИНФОРМАЦИИ
КАНАЛЫ
Акустические и
виброакустические
сигналы
Электроакустические
преобразования
Побочные
электромагнитные
излучения и наводки
Изменения тока
потребления
Паразитная генерация
и модуляция
Радиоизлучения и
сигналы от «закладок»
ВЧ - навязывание
ОРГАНИЗАЦИОННЫЕ И
РЕЖИМНЫЕ МЕРЫ
1. Выбор условий
размещения ВП
ТЕХНИЧЕСКИЕ МЕРЫ
1. Применение СЗИ
2. Звуко и виброизоляция
2. Установление КЗ
3. Ограничение
допуска в ВП
3. Экранирование
4. Применение защищенных
(сертифицированных) ТС
5. Отключение ТС
4. Спецпроверка
ВП и ТС
6. Локализация соединительных
линий в пределах КЗ
КЛАССИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ РЕЧЕВОЙ ИНФОРМАЦИИ
Активные
(генераторы шума)
Генераторы
виброакустического шума
Пассивные
Генераторы
электромагнитно
го шума
Пространс
твенного
зашумления
Линейного
зашумления
Общего применения
Низкочастотные
Высокочастотные
Средства
звуко
и
виброизоляции
Экран- Фильт- Устройства
ируюры
гальваниче
ской
щие
развязки и
констразмыкания
рукции
цепей
Телефонных линий
Систем радиотрансляции и
оповещения
Систем часофикации
Систем охранной и
пожарной сигнализации
ФИЗИЧЕСКИЕ ОСНОВЫ ДЕЙСТВИЯ ПАССИВНЫХ И АКТИВНЫХ
СРЕДСТВ И СПОСОБОВ ЗАЩИТЫ ИНФОРМАЦИИ
Без применения средств
защиты информации
U
Uc/Uш>1
С применением пассивных
средств защиты
информации
(снижение уровня
информативного сигнала)
С применением активных
средств защиты
информации
(повышение уровня
маскирующего шума)
Uc/Uш<1
сигнал
маскирующий
шум
Uc/Uш<1
f
СРЕДСТВА ЗАЩИТЫ ТА И ОФИСНОЙ ТЕХНИКИ
ОТ УТЕЧКИ РЕЧЕВОЙ ИНФОРМАЦИИ
Назначение:
Предотвращение утечки информации за счет электроакустических
преобразований и линейного ВЧ-навязывания
Принцип действия
ФИЛЬТРАЦИЯ
(ОГРАНИЧЕНИЕ )
СИГНАЛОВ
МАЛЫХ АМПЛИТУД
ЗАШУМЛЕНИЕ
ЛИНИЙ
ОТКЛЮЧЕНИЕ
(РАЗРЫВ ИЛИ
ЗАКОРАЧИВАНИЕ ЦЕПИ
РАСПРОСТРАНЕНИЯ
ИНФОРМАТИВНОГО
СИГНАЛА)
Особенности:
Защита аналоговых и цифровых ТА требует различных технических
решений
Реализация дополнительных функций:
- индикация подключения параллельных ТА;
- контроль линии на предмет работы телефонных «закладок» и др.
СПОСОБЫ ПОДАВЛЕНИЯ СИГНАЛОВ МАЛЫХ АМПЛИТУД
Вольт-амперная
характеристика диода
Вольт-амперная
характеристика динистора
Цепочка из встречно-параллельно
включенных диодов
Цепочка из встречно-параллельно
включенных диодов и динисторов
ЭЛЕКТРИЧЕСКАЯ СХЕМА УСТРОЙСТВА ЗАЩИТЫ
ТЕЛЕФОННЫХ АППАРАТОВ «ГРАНИТ-8»
Выполняемые функции:
- подавление сигналов малых амплитуд (на 75 дБ);
- подавление высокочастотных сигналов.
ЭЛЕКТРИЧЕСКАЯ СХЕМА УСТРОЙСТВА ЗАЩИТЫ
АБОНЕНТСКИХ ГРОМКОГОВОРИТЕЛЕЙ «ГРАНИТ-7»
Выполняемые функции:
- закорачивание и отключение источника информативного сигнала;
- зашумление подводимой линии.
ХАРАКТЕРИСТИКИ НЕКОТОРЫХ СРЕДСТВ ЗАЩИТЫ
ТА ОТ ЭЛЕКТРОАКУСТИЧЕСКИХ ПРЕОБРАЗОВАНИЙ
«Корунд»
Грань-300
МП-1А;Ц
Назначение
Метод защиты
Гранит-8
№
п/п
1.
Тип
устройства
«Гранит-8»
Защита аналоговых ТА
Ограничение
Защита от ВЧ-навязывания
2.
МП-1А
Защита аналоговых ТА
Защита от ВЧ-навязывания
3.
МП-1Ц
Защита цифровых ТА
4.
«Корунд»
Ограничение,
зашумление
Ограничение,
зашумление
Ограничение
Фильтрация
Подавление инф.
сигнала на 80 дБ
_ “_
Защита от ВЧ-навяз., блокир. ТА
Индикация несанкц. подкл. к
абонентской линии
_ “_
Защита аналоговых ТА
5.
6.
«Грань-300» Защита аналоговых ТА
«Сигнал-3» Защита аналоговых ТА
7.
«Сигнал-5»
Защита факсимильных
аппаратов
8.
«Сигнал-7»
Защита аналоговых ТА
_ “_
Дополнительные функции
Защита от ВЧ-навязывания
_
Выявление подслуш. уст-в в
диапазоне 40…500 МГц.
ХАРАКТЕРИСТИКИ НЕКОТОРЫХ СРЕДСТВ ЗАЩИТЫ
ТС ОТ ЭЛЕКТРОАКУСТИЧЕСКИХ ПРЕОБРАЗОВАНИЙ
МП-3
МП-2
№
п/п
1.
Тип
устройства
МП-4
2.
МП-2
3.
МП-5
4.
УЗГ
5.
МП-3
Назначение
Метод защиты
Защита вторичных
электрочасов
Защита 3-х
программного
приемника системы
радиотрансляции
Защита
громкоговорителей
систем оповещения
Защита
громкоговорителей
Зашумление
Защита ТС по цепи
электропитания 220 В
Зашумление,
отключение
МП-4;5
Дополнительные
функции
Защита от ВЧнавязывания
Защита от ВЧнавязывания
Отключение от линии
Защита от ВЧнавязывания
Зашумление,
отключение
Защита от ВЧнавязывания
Отключение сети
Защита от ВЧнавязывания
ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ВЫДЕЛЕННЫХ
ПОМЕЩЕНИЙ ОТ УТЕЧКИ РЕЧЕВОЙ ИНФОРМАЦИИ
ПО АКУСТИЧЕСКОМУ И ВИБРАЦИОННОМУ КАНАЛАМ
Назначение:
Обеспечение требуемого отношения сигнал/шум на границе
контролируемой зоны (в месте возможного ведения разведки)
Средства активной защиты:
Системы активной виброакустической защиты.
1.
2.
3.
4.
Средства пассивной защиты:
Применение средств, повышающих звуко и виброизоляцию
ограждающих конструкций
Применение окон с повышенной звуко и виброизоляцией.
Устройство тамбуров на входных дверях в помещения.
Установка шумопоглощающих фильтров в воздуховодах.
СИСТЕМЫ АКТИВНОЙ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ
ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ
Назначение:
Предотвращение утечки информации из ВП
по акустическому и вибрационному каналам
Принцип действия:
Подача вибрационного шума на разведдоступные поверхности
(ограждающие конструкции – окна, стены, полы, батареи и др.)
Создание акустического поля шума в местах возможного
перехвата акустического сигнала
Особенности:
Одноканальные, многоканальные
Различные типы излучателей
Возможность регулировки уровня в октавных полосах
Адаптивные системы
ОСОБЕННОСТИ СИСТЕМ ВИБРОАКУСТИЧЕСКОГО ЗАШУМЛЕНИЯ
ПАРАЗИТНЫЕ ШУМЫ ВИБРОДАТЧИКОВ
САН. НОРМА 50 дБ
ВИБРОУСКОРЕНИЕ НА БЕТОННОЙ СТЕНЕ
ВИБРОУСКОРЕНИЕ НА КИРПИЧНОЙ СТЕНЕ
1.0E-02
1.0E-02
1.0E-03
ANG-2000
1.0E-03
1.0E-04
VNG-006
1.0E-04
ШОРОХ
1.0E-05
1.0E-05
ФОН
1.0E-06
250
500
1000
2000
4000
8000
250
500
1000
2000
4000
1.0E-06
8000
СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ «ШОРОХ»
Виброизлучатели
«Шорох-1»
КВП-2
КВП-6
«Шорох-2»
КВП-7
Тип
Кол-во
каналов
Диапазон
частот, Гц
«Шорох-1»
3
175…5600
КВП-2 – 72 и
КВП-7 – 48
Эфф. радиус
действия
виброизлуча
телей, м
6
1,5
«Шорох-2»
1
175…5600
КВП-2 – 24 и
КВП-7 – 16
6
1,5
Макс. кол-во
виброизлучателей
Особенности
Наличие
эквалайзера
Наличие
эквалайзера
СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ «СОНАТА-АВ»
«Соната-АВ», модель 1А
Тип
«СонатаАВ»
модель 1А
«СонатаАВ»
модель 1М
Кол-во
каналов
Диапазон
частот, Гц
2
175…5600
2
175…5600
«Соната-АВ», модель 1М
Макс. кол-во
виброизлучателей
ВИ-45 – 12
ПИ-45 – 16
АИ-65 – 16
ВИ-45 – 20
ПИ-45 – 16
АИ-65 – 16
Эфф. радиус
действия
виброизлучателей, м
3-5
3-5
Особенности
СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ «КЕДР» И ВВ301
«Кедр»
Тип
«Кедр»
ВВ301
Кол-во
каналов
Диапазон
частот, Гц
1
200…15000
(3 выхода)
ВВ301
6
80…10000
Макс. кол-во
виброизлучателей
ПКИ-1 – 10
(на выход)
ЭМ-1 – 4
До 10
Эфф. радиус
действия
виброизлучателей, м
1,5
S = 20 кв. м
Особенности
Адаптивное
управление
Акустомат
СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ
ANG-2000 и VNG-006DМ
АNG-2000
VNG-006DМ
Кол-во
каналов
Диапазон
частот, Гц
Макс. кол-во
виброизлучателей
ANG-2000
1
200…5000
TRN-2000 – 18
Эфф. радиус
действия
виброизлучателей, м
5
VNG-006DM
1
200…5000
КВП-2 – 12
4
Тип
Особенности
СИСТЕМЫ ВИБРОАКУСТИЧЕСКОЙ ЗАЩИТЫ
«ШТОРМ» (SI-3001) и «ШТОРМ-2» (SI-3002)
SI-3001 «Шторм»
Кол-во
каналов
Диапазон
частот, Гц
«Шторм»
SI-3001
2
25…5000
«Шторм-2»
SI-3002
1
250…5000
Тип
SI-3002 «Шторм-2»
Макс. кол-во
виброизлучателей
Выходная
мощность,
Вт
TRN-2000 – 72
КВП-2 – 200
70
Адаптивное
управление,
рег. уровня.
40
5-ти полосн.
эквалайзер
Особенности
РЕКОМЕНДУЕМЫЕ МЕРЫ ЗАЩИТЫ ВП ОТ АРР
ПАССИВНЫМИ СРЕДСТВАМИ
● использование многослойных конструктивных элементов (двойные двери с
тамбуром, окна с пакетным остеклением, многослойные перегородки, двойные стены);
● применение виброизолирующих (демпфирующих) прокладок в посадочных проёмах
конструктивных элементов (дверей, окон) и в вводных отверстиях (шахтах)
коммуникаций инженерно-технических систем;
● использование навесных элементов на ограждающих конструкциях, выполненных из
звукопоглощающих материалов различных конструкций (пористых, резонирующих,
перфорированных и др.);
● применение различного рода акустических экранов, устанавливаемых на
разведопасных направлениях как внутри помещений, так и на наружной территории;
● использование методов снижения отражающих характеристик остеклованных
поверхностей, попадающих в акустической поле речевых сигналов (использование
защитных штор и жалюзи, применение специальных стёкол и др.);
● применение звукоизолирующих и виброизолирующих «развязок» между различными
ограждающими конструкциями и элементах ограждающих конструкций.
Выбор конкретного пассивного метода защиты должен сопровождаться
проведением необходимых расчётов и экспериментальных работ с учётом
выполнения нормативных требований, задаваемых «Нормами ПД АРР».
ПРИМЕР КОНСТРУКТИВНОГО ИСПОЛНЕНИЯ ОКНА, ОБЕСПЕЧИВАЮЩЕГО
АКУСТИЧЕСКУЮ И ВИБРОАКУСТИЧЕСКУЮ ЗАЩИТУ ВП (50-55 дБ)
12 мм 8 мм
6 мм
 180 мм
4 мм
Двухкамерный
стеклопакет
Жалюзи
Уплотнительные
прокладки
Внутренняя
рама
Наружная
рама
Проставка
Стена
СПОСОБЫ ОБЕСПЕЧЕНИЯ ЗВУКО И ВИБРОИЗОЛЯЦИИ
Установка
шумопоглотителей
в воздуховодах
Применение многослойных
акустически неоднородных
конструкций стен
3
l1
2
l2
1
4
5
2
l2
l1
1
1 - стенки короба вентиляции;
2 - звукопоглощающий материал.
1 – отнесённая плита; 2 – обрешётка;
3 – виброизолятор;
4 - звукопоглощающий материал;
5 – несущая конструкция.
ЗВУКОИЗОЛЯЦИЯ, ОБЕСПЕЧИВАЕМАЯ НЕКОТОРЫМИ
ОГРАЖДАЮЩИМИ КОНСТРУКЦИЯМИ ПОМЕЩЕНИЙ
Конструкция
Типовая дверь
Дверь звукоизолирующая облегченная
Дверь звукоизолирующая тяжелая
Кирпичная кладка
Стена (0,5 кирпича, гипсолитовые
плиты толщиной 8 мм, обои)
Железобетонная плита
Оконный блок с двойным переплетом,
толщина стекла 3 мм, воздушный
зазор 170 мм
Оконный блок с двойным переплетом,
толщина стекла 4 мм
Стеклопакет (толщина 98 мм)
Примечание
без прокладок
с прокладками
одинарная
двойная
одинарная
двойная с тамбуром
0,5 кирпича
1,0 кирпич
2,0 кирпича
без отверстий
с незаделанными
отверстиями
100 мм
200 мм
400 мм
без прокладок
с прокладками из простой
резины
воздушный зазор 100 мм,
с герметизацией
воздушный зазор 300 мм,
с прокладками
с прокладками
Звукоизоляция (дБ) на частотах, Гц
250
500
1000
2000
4000
23
27
30
42
36
58
40
44
52
38
24
32
39
55
45
65
42
51
59
49
24
35
42
58
51
70
48
58
65
57
24
34
45
60
50
70
54
64
70
59
23
35
43
60
49
70
60
65
70
52
36
46
52
53
50
40
44
55
26
44
51
61
28
50
59
67
30
55
65
70
28
60
65
70
27
33
36
38
38
38
35
39
47
46
52
39
43
47
51
55
40
42
45
48
50