2. Модель угроз (Разработка профиля защиты информации в государственной информационной системе), страница 9
Описание файла
Файл "2. Модель угроз" внутри архива находится в следующих папках: Разработка профиля защиты информации в государственной информационной системе, Приложения. Документ из архива "Разработка профиля защиты информации в государственной информационной системе", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "2. Модель угроз"
Текст 9 страницы из документа "2. Модель угроз"
Среди видов технических каналов утечки рассматривались следующие:
1. каналы побочных электромагнитных излучений и наводок (ПЭМИН):
-
электромагнитные;
-
электрические;
-
параметрические,
2. каналы утечки акустической (речевой) информации:
-
воздушные;
-
вибрационные;
-
акустоэлектрические;
-
оптико-электронные (лазерные);
-
параметрические,
3. каналы перехвата информации при ее передаче по каналам связи:
-
электромагнитные;
-
электрические;
-
индукционные,
4. каналы утечки видовой информации.
5.2.1 Установление факта наличия технических каналов утечки информации в ГИС «МИРС 49»
Для установления факта наличия канала в ГИС «МИРС 49» проводилась экспертная оценка условий её функционирования, при этом выявлялись перечень потенциальных технических каналов утечки и соответствующие им угрозы. Затем на основе экспертного предположения о возможностях нарушителей определялось, возможна ли реализация выявленных угроз в данной информационной системе.
В таблице 5.5 представлен опросный лист с ответами экспертной группы об уязвимостях применительно к угрозам утечки информации по техническим каналам в ГИС «МИРС 49».
Таблица 5.5 – Опросный лист установления факта наличия технических каналов утечки в ГИС «МИРС 49»
| Запрос эксперта | Возможные каналы утечки | ||
| Ответы экспертов | |||
| да | нет | возможно | |
| Имеются ли в помещении трубы отопления, водоснабжения, газоснабжения, кабели электропитания? | электрические каналы ПЭМИН; воздушные, вибрационные, акустоэлектрические каналы утечки акустической (речевой) информации | ||
| Имеется ли в помещении радиосеть? | + | ||
| Имеется ли в помещении охранно-пожарная сигнализация? | электрические каналы ПЭМИН; акустоэлектрические каналы утечки акустической (речевой) информации | ||
| Имеется ли в помещении бытовая техника? | электромагнитные, электрические каналы ПЭМИН; воздушные, акустоэлектрические, параметрические каналы утечки акустической (речевой) информации | ||
| Имеются ли щели у стояков системы отопления, водо- и газоснабжения, вентиляции? | воздушные, каналы утечки акустической (речевой) информации | ||
| Имеются ли в помещении окна, форточки? | воздушные, вибрационные, оптико-электронные (лазерные) каналы утечки акустической (речевой) информации | ||
| Возможно ли нахождение радиозакладок в мебели, стенах помещения? | + | ||
| Выходят ли за пределы помещения кабели электропитания? | электрические каналы ПЭМИН; воздушные, акустоэлектрические каналы утечки акустической (речевой) информации | ||
| Имеется ли в помещении сеть электрочасов? | + | ||
| Имеются ли в помещении трансляционная сеть и громкоговорящая связь? | + | ||
| Имеется ли в помещении внешняя телефонная связь? | электромагнитные, электрические каналы ПЭМИН; воздушные, акустоэлектрические, параметрические каналы утечки акустической (речевой) информации | ||
| Проходят ли через помещение линии связи? | электрические каналы ПЭМИН; воздушные, вибрационные каналы утечки акустической (речевой) информации | ||
| Имеются ли в помещении работающие технические средства обработки и передачи информации? | электромагнитные, электрические, параметрические каналы ПЭМИН; воздушные, параметрические каналы утечки акустической (речевой) информации | ||
| Имеются ли в помещении работающие ВТСС? | электромагнитные, параметрические каналы ПЭМИН; воздушные, акустоэлектрические, параметрические каналы утечки акустической (речевой) информации | ||
| Возможно ли внедрение с верхних этажей под подвесной потолок кабельных микрофонов? | + | ||
| Применяются ли в помещении для освещения люминесцентные светильники? | акустоэлектрические, каналы утечки акустической (речевой) информации | ||
| Выходят ли кабели питания компьютерной техники и цепи заземления за пределы помещения? | электрические каналы ПЭМИН; воздушные каналы утечки акустической (речевой) информации | ||
| Подведены ли коммуникации (водоснабжение, отопление, канализация, телефония, электропитание и т.д.) к зданию в одном месте? | электрические каналы ПЭМИН; воздушные, вибрационные, акустоэлектрические каналы утечки акустической (речевой) информации; электрические, индукционные каналы перехвата информации при её передачи по каналам связи | ||
| Имеется ли в пределах контролируемой территории трансформаторная подстанция? | + | ||
| Необходимо ли защищать на объекте речевую информацию? | воздушные, вибрационные, акустоэлектрические, параметрические каналы утечки акустической (речевой) информации; электрические, индукционные каналы перехвата информации при её передачи по каналам связи | ||
| Есть ли напротив окон здания объекта другие здания, откуда возможно ведется перехват информации? | оптико - электронные (лазерные) каналы утечки акустической (речевой) информации | ||
| Есть ли напротив окон здания объекта другие здания, откуда возможно наблюдение за защищаемыми объектами? | каналы утечки видовой информации | ||
| Имеется ли на объекте выход на внешние АТС? | электромагнитные каналы перехвата информации при её передачи по каналам связи | ||
Таким образом, с учётом проведенного опроса экспертов и данных таблицы 5.5 были определены следующие характерные для ГИС «МИРС 49» возможные виды каналов утечки информации:
-
электрические, электромагнитные, параметрические каналы ПЭМИН;
-
воздушные, вибрационные, акустоэлектрические, параметрические, оптико-электронные (лазерные) каналы утечки акустической (речевой) информации;
-
электрические, индукционные, электромагнитные каналы перехвата информации при её передачи по каналам связи;
-
каналы утечки видовой информации.
Выявленным каналам утечки информации соответствуют следующие угрозы, которые рассматривались на предмет актуальности относительно ГИС «МИРС 49»:
– ТП.001 Угроза утечки информации за счет ПЭМИ ТСПИ, возникающих при прохождении тока по их токоведущим элементам ТСПИ;
– ТП.002 Угроза утечки информации за счет ПЭМИ, возникающих на частотах работы высокочастотных генераторов ТСПИ;
– ТП.003 Угроза утечки информации за счет ПЭМИ на частотах самовозбуждения усилителей низкой частоты ТСПИ;
– ТП.004 Угроза утечки информации за счет наводок электромагнитных излучений (ЭМИ) ТСПИ на соединительные линии ВТСС и посторонние проводники, выходящие за пределы КЗ;
– ТП.005 Угроза утечки информативных сигналов за счет их просачивания в линии электропитания и цепи заземления ТСПИ;
– ТП.006 Угроза утечки информации за счет съема информации, обрабатываемой ТСПИ, путем использования закладных устройств;
– ТП.007 Угроза утечки информации за счет перехвата информативного сигнала путем «высокочастотного облучения» ТСПИ;
– ТА.001 Угроза утечки информации за счет распространения информативного акусти-ческого сигнала в воздушной среде;
– ТА.002 Угроза утечки информации по виброакустическому каналу за счет распро-странения информативного сигнала в инженерных коммуникациях (трубы водоснабжения, отопления, вентиляции и т.д) и ограждающих строительных конструкциях (стены, потолки, полы);
– ТА.003 Угроза утечки информации по виброакустическому каналу за счет перехвата информативного сигнала с использованием закладных устройств;
– ТА.004 Угроза утечки информации по акустоэлектрическому каналу, возникающему за счет акустоэлектрических преобразований («микрофонного эффекта») элементов ВТСС;
– ТА.005 Угроза утечки информации через ВТСС по акустоэлектрическому каналу, осуществляемому путем «высокочастотного навязывания»;
– ТА.006 Угроза утечки акустической информации по оптико-электронному каналу за счет облучения лазерным лучом отражающих поверхностей (оконные стекла, зеркала и т.д), вибрирующих под действием информативного акустического сигнала;
– ТА.007 Угроза утечки акустической информации по параметрическому каналу, обра-зованному за счет «высокочастотного облучения» помещения, где установлены закладные устройства, имеющие элементы, параметры которых изменяются под действием акустиче-ского сигнала;
– ТА.008 Угроза перехвата акустической информации по параметрическому каналу пу-тем приема модулированных информативных сигналов побочных электромагнитных излучений (ПЭМИ) ТСПИ и ВТСС;
– ТВ.001 Угроза утечки видовой информации путем наблюдения за объектами с ис-пользованием специальных технических средств (оптические приборы, телевизионные камеры, приборы ночного видения и т.д);
– ТВ.002 Угроза утечки видовой информации путем съемки документов с использова-нием портативных фотоаппаратов;
– ТС.001 Угроза утечки информации по электромагнитному каналу с использованием портативных средств радиоразведки;
– ТС.002 Угроза утечки информации, передаваемой по кабельным линиям связи путем контактного подключения к ним аппаратуры перехвата;
– ТС.003 Угроза утечки информации за счет возникновения электромагнитного поля вокруг кабеля связи, по которому проходит информативный электрический сигнал, с использованием специальных индукционных датчиков.
5.2.2 Определение возможностей нарушителя по реализации угроз утечки информации по техническим каналам в ГИС «МИРС 49»
Оценка возможностей нарушителя по реализации каждой j - ой угрозы утечки информации по техническим каналам в ГИС с заданными структурно - функциональными характеристиками необходима для обоснованного принятия решения о рассмотрении или нерассмотрении данной угрозы на предмет актуальности относительно информационной системы.
Оценка возможностей нарушителя по идентификации и использованию уязвимости для реализации угроз утечки информации по техническим каналам в ГИС проводится по результатам определения следующих показателей:
– время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время);
– техническая компетентность нарушителя;
– знание нарушителем проекта ИС;
