Вопрос 17. Какие существуют организационные методы противодействия техническим средствам разведки
ВТСС - Вспомогательные технические средства и системы
ТСПИ – технические средства передачи информации
Организационное мероприятие - это мероприятие по защите информации, проведение которого не требует применения специально разработанных технических средств.
К основным организационным и режимным мероприятиям относятся:
• привлечение к проведению работ по защите информации организаций, имеющих лицензию на деятельность в области защиты информации, выданную соответствующими органами;
• категорирование и аттестация объектов ТСПИ и выделенных для проведения закрытых мероприятий помещений по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;
• использование на объекте сертифицированных ТСПИ и ВТСС;
• установление контролируемой зоны вокруг объекта;
• привлечение к работам по строительству, реконструкции объектов ТСПИ, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам;
• организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;
• введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
• отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т.д.
Вопрос 18. Охарактеризуйте потенциальные каналы и методы несанкционированного доступа (НСД) к информации, циркулирующей в информационных системах. Поясните мероприятия и средства противодействия компьютерной разведке. Поясните классы защищенности от НСД объектов вычислительной техники, принятые в руководящих документах Гостехкомиссии (ФСТЭК) России. (не сокращён)
1.1.Охарактеризуйте потенциальные каналы и методы несанкционированного доступа (НСД) к информации, циркулирующей в информационных системах.
Термин "несанкционированный доступ к информации" (НСД) определен как доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств вычислительной техники или автоматизированных систем.
Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов (субъектов доступа) к единицам информации (объектам доступа).
Право доступа к ресурсам компьютерных систем определяется руководством для каждого сотрудника в соответствии с его функциональными обязанностями. Процессы инициируются в компьютерных системах в интересах определенных лиц, поэтому и на них накладываются ограничения по доступу к ресурсам.
Выполнение установленных правил разграничения доступа в компьютерных системах реализуется за счет создания системы разграничения доступа.
Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных средств в следующих случаях:
1) отсутствует система разграничения доступа;
2) сбой или отказ в компьютерных системах;
3) ошибочные действия пользователей или обслуживающего персонала компьютерных систем;
4) ошибки в системе разграничения доступа;
5) фальсификация полномочий.
Если система разграничения доступа отсутствует, то злоумышленник, имеющий навыки работы в компьютерных системах, может получить без ограничений доступ к любой информации. В результате сбоев или отказов средств компьютерных систем, а также ошибочных действий обслуживающего персонала и пользователей возможны состояния системы, при которых упрощается НСД. Злоумышленник может выявить ошибки в системе разграничения доступа и использовать их для НСД. Фальсификация полномочий является одним из наиболее вероятных путей (каналов) НСД.
1.2 Поясните мероприятия и средства противодействия компьютерной разведке.
Обеспечение компьютерной безопасности рассматривается как один из элементов ее комплексной защиты и, соответственно, элемент предупреждения компьютерных преступлений. Под инженерно-технической защитой понимают совокупность специальных органов, технических средств и мероприятий по их использованию в интересах обеспечения безопасности субъекта хозяйствования.
Технические средства обеспечения компьютерной безопасности включают в себя средства противодействия техническим средствам ведения разведки (ТСВР), физические, аппаратные, программные, аппаратно-программные средства защиты и криптографические методы защиты.
Средства противодействия ТСВР можно подразделить на две категории:
- устройства пассивного противодействия, к числу которых относятся детекторы радиоизлучения; средства защиты помещений; средства защиты телефонных аппаратов и линий связи; средства защиты информации от утечки по оптическому каналу; устройства защиты питающих цепей радиоэлектронной аппаратуры; средства защиты компьютерной техники и периферийных устройств;
- устройства активного противодействия, к числу которых относятся системы поиска и уничтожения ТСВР; устройства постановки помех, в т.ч. генераторы акустического шума.
Системы поиска и уничтожения ТСВР можно классифицировать по следующим категориям: обнаружители телевизионных камер; обнаружители радио-, видео- и иных закладок (детекторы радиоизлучения, сканеры радиодиапазона); дозиметры (нелинейные локаторы общего типа; нелинейные локаторы проводных линий; анализаторы спектра; обнаружители закладок по сетям питания); обнаружители инфракрасного, лазерного и иных излучений; обнаружители телефонных закладок.
В связи с существованием большого количества угроз речевой информации, которая может содержать, например, сведения о паролях, необходимых для входа в компьютерную систему, идентификаторах пользователя и т.д., особую значимость представляет ее защита.
Для защиты от закладных элементов в средствах компьютерной техники применяют инструментальные средства тестирования технических средств и программного обеспечения, включающих, например, традиционное тестирование технических средств персональных ЭВМ; тестирование их на наличие нештатных аппаратных средств; проверку функционирования при подключении модемов; проверку функционирования в составе локальной вычислительной сети; тестирование функционирования при возникновении заданных условий; проверку вычислительных систем на отсутствие вирусов; проверку вычислительных систем под управлением различных операционных систем; исследование радиоизлучения
Аппаратные средства защиты – это непосредственно встроенные в средства компьютерной техники, системы передачи данных или оборудованные в виде самостоятельных приспособлений устройства, которые служат для внутренней защиты структурных элементов этих средств.
Программные средства защиты представляют либо соответствующие процедуры, входящие в состав программного обеспечения систем обработки данных, либо самостоятельное программное обеспечение, входящее в состав комплексов и систем аппаратуры контроля.
Подсистема управления доступом предназначена для защиты ПЭВМ от посторонних пользователей, управления доступом к объектам доступа и организации совместного их использования зарегистрированными пользователями в соответствии с установленными правилами разграничения доступа.
Подсистема регистрации и учета предназначена для регистрации в системном журнале событий, происходящих в ПЭВМ.
Подсистема обеспечения целостности предназначена для исключения несанкционированных модификаций (злоумышленных либо случайных) программной среды, в т.ч. программных средств комплекса, а также обрабатываемой информации. Данная подсистема обеспечивает при этом защиту ПЭВМ от внедрения программных закладок и вирусов.
1.3 Поясните классы защищенности от НСД объектов вычислительной техники, принятые в руководящих документах Гостехкомиссии (ФСТЭК) России.
Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ выражены в РД Гостехкомиссии РФ “АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.
РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой содержит только первый класс.
РД “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.
При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев используется РД “"СВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности МЭ. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:
Управление доступом
Идентификация и аутентификация
Регистрация событий и оповещение
Контроль целостности
Восстановление работоспособности
На основании показателей защищенности определяется следующие пять классов защищенности МЭ:
Простейшие фильтрующие маршрутизаторы - 5 класс
Пакетные фильтры сетевого уровня - 4 класс
Простейшие МЭ прикладного уровня - 3 класс
МЭ базового уровня - 2 класс
Продвинутые МЭ - 1 класс
МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию “Особой важности”. Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки “совершенно секретной” информации и т. п.
В настоящее время описанные РД уже устарели и содержащаяся в них классификация АС, СВТ и МЭ не может признаваться состоятельной. Достаточно заметить, что классификация АС и СВТ, разрабатывалась без учета распределенной (сетевой) природы современных АС, а все современные коммерческие МЭ по своим возможностям существенно превосходят требования 1-го класса защищенности (за исключением требования по использованию сертифицированных криптографических алгоритмов).
Развитием нормативной базы в этом направлении является разработка “Профилей защиты” для различных классов СВТ, АС и МЭ на базе “Общих критериев”. В настоящее время создано уже значительное количество англоязычных профилей защиты. Значительные усилия в этом направлении предпринимаются и в России под эгидой Гостехкомиссии России.
Проект РД Гостехкомиссии России “Специальные требования и рекомендации по защите конфиденциальной информации” (СТР-К), официально еще не принятый, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования.
В документе рассматриваются в том числе следующие вопросы:
Защита информации на рабочих местах на базе автономных ПЭВМ;
Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;
Защита информации в локальных вычислительных сетях;
Защита информации при межсетевом взаимодействии;
Защита информации при работе с системами управления базами данных.
СТР-К может использоваться при проведении аудита безопасности АС для оценки полноты и правильности реализации организационных мер защиты информации в АС.
Аттестации АС и сертификация СВТ по требованиям безопасности информации, аудит и обследование безопасности, в отдельных случаях, предполагают использование помимо перечисленных, и других документов Гостехкомиссии России.