Зайцев А.П. и др. Технические средства и методы защиты информации (7-е издание, 2012), страница 74
Описание файла
PDF-файл из архива "Зайцев А.П. и др. Технические средства и методы защиты информации (7-е издание, 2012)", который расположен в категории "". Всё это находится в предмете "технические средства защиты информации (тсзи)" из 7 семестр, которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "книги и методические указания", в предмете "технические средства защиты информации (тсзи)" в общих файлах.
Просмотр PDF-файла онлайн
Текст 74 страницы из PDF
Основные и вспомогательные технические средства в дальнейшем для краткости будут именоваться как «технические средства».Устройство считается защищенным, если на границе КЗ отношение «информативный сигнал/помеха» не превышает предельно допустимого значенияδ как для побочных излучений, так и для наводок в цепях питания, заземления, линиях связи и т.д. Объект считается защищенным, если защищено каждое устройство объекта.Оценка защитных мероприятий электронных средств обработки информации состоит в проверке следующих возможных технических каналов утечки:• побочных электромагнитных излучений информативного сигнала от технических средств и линий передачи информации;• наводок информативного сигнала, обрабатываемого техническими средствами, на посторонние провода и линии, на цепи заземления и электропитания, выходящие за пределы контролируемой зоны;• модуляции тока потребления технических средств информативными сигналами;• радиоизлучений или электрических сигналов от возможно внедренныхзакладочных устройств в технические средства и выделенные помещения.Технический контроль выполнения норм защиты информации от утечкиза счет ПЭМИН по каждому перечисленному каналу утечки проводится длявсех электронных устройств объекта ВТ.Аттестационный контрольСостав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации взависимости от вида и условий функционирования объектов информатизациина основании анализа исходных данных по аттестуемому объекту.377В нормативной и методической документации на методы испытанийдолжны быть ссылки на условия, содержание и порядок проведения испытаний, контрольную аппаратуру и тестовые средства, приводящие к минимальной погрешности результатов испытаний и позволяющие воспроизвести этирезультаты.Аттестационный контроль состоит из организационной и инструментальнойчастей.
В организационной части аттестационного контроля необходимо [51]:• изучить план-схему местности, границы контролируемой зоны объектаи места возможного ведения разведки ПЭМИН с указанием средств (носимых,возимых, стационарных);• уточнить категорию объекта информатизации, особенности его расположения, характер циркулирующей на объекте информации, в том числе и речевой, время ее обработки техническими средствами;• зафиксировать фактический состав основных и вспомогательных технических средств и средств защиты на объекте и поэкземплярно указать в перечне технических средств;• уточнить план реального размещения технических средств на объекте иуказать на нем кратчайшие расстояния от каждого технического средства исредства защиты до мест возможного ведения РПЭМИН;• проверить визуально в доступных местах с возможным привлечением кэтой работе штатных сотрудников организации выполнение монтажа коммуникаций, устройство заземления и электропитания на объекте защиты на соответствие проекту и СТР;• проверить выполнение требований эксплуатационной документации поразмещению и установке на объекте каждого технического средства и средства защиты с учетом расстояний до мест возможного ведения РПЭМИН;• проверить обоснованность применения средств активной защиты (САЗ)и выполнение рекомендаций по их размещению;• проверить наличие приемосдаточных документов и в доступных местахпроверить правильность монтажа экранирующих средств на соответствие требованиям эксплуатационной документации и СТР.Проверке подлежат следующие исходные данные и документация [51]:• техническое задание на объект информатизации или приказ о начале работ по защите информации;• технический паспорт на объект информатизации;• приемосдаточная документация на объект информатизации;• акты категорирования технических средств и систем;• акт классификации АС по требованиям защиты информации;• состав технических и программных средств, входящих в АС;378• планы размещения основных и вспомогательных технических средств исистем;• состав и схемы размещения средств защиты информации;• план контролируемой зоны учреждения;• схемы прокладки линий передачи данных;• схемы и характеристики систем электропитания и заземления объектаинформатизации;• описание технологического процесса обработки информации в АС;• технологические инструкции пользователям АС и администратору безопасности информации;• инструкции по эксплуатации средств защиты информации;• предписания на эксплуатацию технических средств и систем;• протоколы специальных исследований технических средств и систем;• акты или заключения о специальной проверке выделенных помещенийи технических средств;• сертификаты соответствия требованиям безопасности информации насредства и системы обработки и передачи информации, используемые средства защиты информации;• данные по уровню подготовки кадров, обеспечивающих защиту информации;• данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;• нормативная и методическая документация по защите информации иконтролю ее эффективности.В инструментальной части аттестационного контроля необходимо провести следующие работы:• измерить или рассчитать для технических средств значения схемноконструктивных параметров, характеризующих их защищенность от РПЭМИН(перечень этих параметров и методики их измерения указываются в эксплуатационной документации на эти технические средства);• определить реальные размеры зоны R2 технических средств, установленных на объекте, по соответствующим методикам из сборника методик инструментального контроля в следующих случаях:− для технических средств с неизвестными размерами зоны R2,− для технических средств, эксплуатируемых на объектах, если размерызоны R2 этих технических средств соизмеримы с расстоянием до мест возможного ведения РПЭМИ;• проверить работоспособность всех средств защиты, включая САЗ, пометодикам, приведенным в эксплуатационной документации на эти средства;379• определить эффективность применения САЗ для защиты АСУ и ЭВТ всоответствии с «Дополнением к Методике контроля защищенности объектовЭВТ».В случае положительных результатов предыдущих измерений формируются исходные данные для проведения эксплуатационного контроля защищенности от РПЭМИН технических средств АСУ и ЭВТ.
С этой целью приотключенных средствах активной защиты измеряется уровень побочных электромагнитных излучений от технических средств АСУ и ЭВТ на двух-трехчастотах с максимальным значением зоны R2 (реперные точки).Частоты реперных точек, измеренные значения напряженности электрических и магнитных полей, типы и расположение антенн, а также другиеусловия проведения измерений фиксируются и используются при эксплуатационном контроле защищенности от РПЭМИН технических средств АСУи ЭВТ.По результатам аттестационного контроля для данного объекта оформляется «Аттестат соответствия».Технический контроль проводится путем запуска на ЭВМ специальнойтестовой программы, замера аппаратурой контроля излучаемых ЭВМ сигналов и последующим сравнением их с нормируемыми значениями.Порядок инструментального контроля ПЭМИН:• Измерение уровней ПЭМИ и наводок информативных сигналов:– электрической составляющей;– магнитной составляющей;– индуктивной составляющей наводок в симметричных и несимметричных линиях как гальванически связанных, так и не связанных с проверяемымустройством, но имеющих выход за границы контролируемой зоны (если невыполняются требования предписания на эксплуатацию по зоне r1);– измерение реального затухания в опасных направлениях на границеконтролируемой зоны;– измерение параметров применяемых средств защиты (фильтры в отходящих линиях, системы активного зашумления и т.д.).• Расчет выполнения норм и оценка защищенности.• Оформление протоколов по результатам проведенных проверок.Контроль проводится для устройств, обрабатывающих или передающихинформацию, представленную в последовательном коде.
Измерения проводятся выборочно для частот, которые при специсследованиях дали максимальные значения зоны R2. Аналогично проводятся измерения эффективности систем активной защиты.Если значения зоны R2 близки или превышают расстояние до границыконтролируемой зоны (охраняемой территории), проводятся измерения реального затухания в опасном направлении, после чего производится расчет380значений на границе контролируемой зоны. Измерения реального затуханияпроводятся отдельно для каждого значения частоты сигнала.Реальное затухание исследуемой линии в опасном направлении определяется по приведенной ниже схеме (рис. 7.1).На каждой j-й частоте в исследуемую линию вблизи СВТ подают сигналот вспомогательного источника и измеряют напряжение этого сигнала пробником напряжения в двух точках: вблизи СВТ в точке А1 (напряжение U1uj ) ина границе контролируемой зоны А2 (напряжение U 2uj ).
Коэффициент затуU1ujхания вычисляют по формуле K лj =.U 2ujПри помощи измерительного приемника можно получить данные длярасчета реального коэффициента затухания по ПЭМИ.Граница КЗL, мСВТИзмерительныйпробникИндукторИсследуемая линияА2А1ГенераторсигналовИзмерительныйприемникИзмерительныйприемникРис. 7.1. Схема измерения реального затухания в линииДля распределенных систем (например, локальных вычислительных сетей) проводятся исследования характеристик линий, по которым передаетсяинформация, по специальной методике расчета контролируемой зоны от экранированных кабелей связи ЭВМ.Применение неэкранированных кабелей для связи ЭВМ не допускается.Эксплуатационный контрольЭксплуатационный контроль защищенности от РПЭМИН на объектепредназначен для проверки выполнения правил эксплуатации и техническогосостояния каждого технического средства и оценки соответствия текущегосостояния защищенности объекта и зафиксированного при аттестационномконтроле.Эксплуатационный контроль состоит из двух частей: организационной иинструментальной.381При выполнении организационной части эксплуатационного контролянеобходимо [51]:• проверить наличие «Аттестата соответствия», журнала учета проведения эксплуатационного контроля, перечня и плана размещения техническихсредств на объекте;• уточнить места возможного ведения РПЭМИ и при необходимости внести изменения в план-схему контролируемой зоны;• проверить поэкземплярно соответствие реального состава техническихсредств и состава, указанного в перечне технических средств на объекте, атакже регулярность проведения их эксплуатационного контроля по журналуучета проведения эксплуатационного контроля;• сверить соответствие действительного расположения технических средстви средств защиты расположению, приведенному в плане размещения технических средств на объекте и в доступных местах выполнение требований помонтажу каждого технического средства и его коммуникаций, приведенных вэксплуатационной документации и СТР;• проверить соответствие сведений о степени секретности обрабатываемой информации и установленной категории объекта совместно с представителем режимной службы предприятия.В инструментальной части эксплуатационного контроля необходимо:• для средств защиты и технических средств произвести измерения параметров защищенности от РПЭМИ, которые были определены на этапе аттестационного контроля;• для технических средств АСУ и ЭВТ измерить напряженность электрических и магнитных полей в реперных точках и результаты измерений сравнить с результатами аттестационного контроля;• проверить работоспособность средств активной защиты согласно указаниям в эксплуатационной документации на эти средства.В случае положительных результатов эксплуатационный контроль объекта считается завершенным, о чем составляется Акт проведения эксплуатационного контроля на объекте.
При выявлении недостатков последние устраняются и контроль повторяется.При проведении эксплуатационного контроля на объекте допускаетсяпроведение работ выборочно относительно отдельных технических средств.7.3. Методы испытаний ПЭВМОбщие положения [51]Испытания ПЭВМ и периферийных устройств на соответствие нормамПЭМИН проводят в соответствии с требованиями ГОСТ 16842.382ПЭВМ испытывают в составе базового комплекта (по ГОСТ 27201) ивсех периферийных устройств, предусмотренных технической документациейна ПЭВМ.Периферийное устройство испытывают совместно с базовым комплектомПЭВМ, удовлетворяющим нормам ПЭМИН, установленным для ПЭВМ конкретного класса.Если ПЭВМ или периферийное устройство, испытываемое совместно сбазовым комплектом ПЭВМ, содержит идентичные технические средства илиидентичные модули, то допускается проводить испытания при наличии хотябы одного технического средства (модуля) каждого типа.При испытаниях периферийных устройств (кроме сертификационных)допускается применение имитатора базового комплекта ПЭВМ при условии,что имитатор имеет электрические характеристики реального базового комплекта в части высокочастотных сигналов и импедансов и не влияет на параметры электромагнитной совместимости.Значение напряжения (напряженности поля) посторонних радиопомех накаждой частоте измерений, полученное при выключенном испытуемом устройстве, должно быть не менее чем на 10 дБ ниже нормируемого значения наданной частоте.Допускается проводить измерения при более высоком уровне посторонних радиопомех, если суммарное значение полей, создаваемых испытуемымустройством, и посторонних радиопомех не превышает нормы.При испытаниях расположение и электрическое соединение техническихсредств, входящих в состав испытуемого устройства, должны соответствоватьусловиям, приведенным в технической документации на ПЭВМ.
