Зайцев А.П. и др. Технические средства и методы защиты информации (7-е издание, 2012) (1095365), страница 65
Текст из файла (страница 65)
Например, для аттестации автоматизированной системы заказчик разрабатывает и перед аттестацией объекта представляет исполнителю следующиедокументы:1) приказ об организации автоматизированного рабочего места (АРМ);2) приказ об организации работ по защите информации;3) акт ввода в эксплуатацию АРМ;4) акт классификации автоматизированной системы;5) акт категорирования автоматизированной системы;6) перечень режимных помещений;3277) схему расположения ОТСС на объекте информатизации с привязкойк границе контролируемой зоны и средствам технической разведки;8) описание технологического процесса обработки информации в АС;9) перечень лиц, имеющих право доступа к объекту информатизации;10) перечень программного обеспечения АС;11) инструкцию по организации антивирусной защиты в АС;12) матрицу доступа;13) инструкцию по организации парольной защиты в АС;14) технический паспорт на объект информатизации;15) данные по уровню подготовки кадров в области защиты информации;16) инструкцию администратора безопасности АС;17) инструкцию по эксплуатации средств защиты АС;18) перечень защищаемых ресурсов в АС;19) инструкцию пользователя по обеспечению защиты конфиденциальной информации, обрабатываемой на объекте информатизации.Исполнитель (лицензиат) в результате проведенных работ разрабатываетследующие документы:1) согласованную с заказчиком программу аттестационных испытанийобъекта информатизации на соответствие требованиям по безопасности информации;2) протокол оценки защищенности ОТСС АРМ от утечки конфиденциальной информации по каналу ПЭМИ и контроля защищенности информации, обрабатываемой ОТСС, от ее утечки за счет наводок информативногосигнала на линии и коммуникации;3) протокол контроля эффективности принятых мер защиты информации ОТСС от утечки конфиденциальной информации по каналу ПЭМИН;4) протокол проведения аттестационных испытаний объекта информатизации на соответствие требованиям по защите информации от несанкционированного доступа;5) предписание на эксплуатацию объекта информатизации;6) заключение по результатам аттестационных испытаний на соответствие требованиям по безопасности информации объекта вычислительнойтехники;7) акты установки и настройки технических средств защиты информации;8) аттестат соответствия АС требованиям по безопасности информации.При аттестации проводятся мероприятия по выявлению и оценке свойствканалов утечки информации.
Безопасный уровень сигналов каналов утечкиопределяется возможностями средств технической разведки. Так как средстватехнической разведки постоянно совершенствуются, то безопасный уровеньсигналов в каналах утечки постоянно снижается.328В нормативных документах приведен перечень работ по выявлению каналов утечки информации, который предусматривает:• специальные проверки (СП);• специальные обследования (СО);• специальные исследования (СИ).В свою очередь специальные исследования объединяют в себе в общемслучае следующие исследования:• специальные исследования акустических, виброакустических и акустоэлектрических каналов;• специальные исследования побочных электромагнитных излучений инаводок устройств обработки информации;• специальные исследования линий электропитания устройств обработкиинформации.Специальные проверки представляют собой проверки технических средстви систем (ТСС) объекта защиты с целью выявления закладных устройств итехнических доработок по изменению свойств ТСС.
При проведении специальных проверок применяются специализированные технические средства.Специальные обследования (поисковые мероприятия) на объекте в наиболее распространенном случае состоят из:• радиообнаружения;• осмотра помещения;• обследования электрических и электронных приборов;• проверки проводных коммуникаций.Специальные исследования объединяют в себе в общем случае следующие исследования:• специальные исследования акустических, виброакустических и акустоэлектрических каналов утечки информации;• специальные исследования побочных электромагнитных излучений инаводок устройств обработки информации;• специальные исследования линий электропитания устройств обработкиинформации.6.2.
Мероприятия по выявлению и оценкесвойств каналов утечки информацииПодробно и конкретно комплекс вопросов по выявлению каналов утечкиинформации рассмотрен в [38]. Краткое изложение и основные положенияприведенного ниже материала соответствуют этому источнику.Наличие каналов утечки информации определяется физическими свойствами среды распространения сигналов и характеристиками источников ин329формации.
Каналы утечки информации на объектах существуют всегда, ноопасность они представляют только тогда, когда их информационные сигналымогут быть зафиксированы за пределами контролируемой зоны и расшифрованы. Для безопасности информации необходимо, чтобы уровень сигналов вканалах утечки был ниже воспринимаемого средствами технической разведкиили же позволял маскирование сигналов. Сказанное не относится к информационным каналам с шифрованием сигналов.Безопасный уровень сигналов каналов утечки определяется возможностями средств технической разведки.
Так как средства технической разведки постоянно совершенствуются, то безопасный уровень сигналов в каналах утечкипостоянно снижается.Для обоснованного выбора действий по нейтрализации каналов утечкиинформации необходимо их выявить, произвести оценку реальной угрозыутечки информации и выработать необходимый комплекс защитных мер.Важное значение для оценки реальной угрозы утечки информации имеет определение уровня сигналов в каналах утечки.6.2.1. Специальные проверкиСпециальная проверка состоит из нескольких последовательно выполняемых действий:• прием-передача проверяемого технического средства представителямисследовательских лабораторий сертификационных центров;• составление программы проведения специальной проверки технического средства;• проведение проверки;• анализ результатов проверки, составление отчетных протоколов.Кроме технического средства, представители организации обязаны предоставить для разработки программы проверки:• данные о техническом средстве;• сведения о его планируемом применении;• данные о месте размещения технического средства.Данные о техническом средстве должны содержать сведения о его назначении и полной комплектации, способ приобретения с указанием сведений оборганизации-поставщике.Данные о планируемом применении должны содержать сведения:• планируется ли техническое средство для обработки закрытой информации;• есть ли высший гриф секретности у обрабатываемой или обсуждаемойинформации;• в составе какой информационной системы планируется работа технического средства;330• к каким коммуникационным системам планируется подключение технического средства.Сведения о планируемом размещении технического средства должны содержать:• описание объекта информатизации, на котором планируется использовать техническое средство;• перечень охраняемых сведений объекта информатизации;• минимальное расстояние до границы контролируемой зоны;• наличие посольств, представительств и мест пребывания иностранныхграждан с указанием расстояния до контролируемой зоны;• возможность и периодичность пребывания иностранных делегаций наобъекте.Типовой перечень операций проведения специальных технических проверок состоит из:• дозиметрического контроля изделия в упаковке для обнаружения радиоактивных меток и радиоизотопных источников питания;• токовихревого контроля узлов технических средств обработки информации, не содержащих металлических включений;• контроля упаковки, которая по назначению не должна иметь полупроводниковых приборов, нелинейным локатором для выявления специальногоэлектронного устройства, выполняющего роль маяка для определения местоположения технического средства;• проведения радиоконтроля для выявления активных закладных устройств передачи информации по радиоканалу;• проверки возможности съема информации методом высокочастотногонавязывания;• разборки технического средства с последующим осмотром его узловдля выявления отклонения от схемотехнических и конструкторских решений;• измерений импедансов некоторых узлов технических средств для выявления отклонений от нормы из-за возможно внедренных аппаратных закладок;• рентгенотелевизионного и визуально-оптического контроля внешнеговида и внутренней структуры узлов и элементов технических средств (сложные виды контроля проводятся по специальным методикам);• рентгенографии или рентгеноскопии неразборных узлов и элементовтехнических средств с целью выявления схемных изменений.Итогом анализа исходных данных, схемотехнических особенностей ииных необходимых сведений с учетом классификации электронного устройства должен явиться перечень каналов утечки информации и возможно внедренных аппаратных закладных устройств.По результатам проведения специальной проверки руководитель проверяющей группы делает вывод о наличии или отсутствии закладных электрон331ных устройств и оформляет акт с перечислением проверенных элементов,видов технических проверок и фамилий и инициалов проводивших отдельныевиды проверок лиц.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
