Технический контроль эффективности защиты информации

 

Технический контроль эффективности защиты информации осуществляется с помощью специальных технических средств, что и определяет его название. Технический контроль выполнения требований ЗИ от утечки информации по техническим каналам является обязательным условием обеспечения надежной ЗИ /1,24,25/ и заключается в определении соответствия характеристик объекта информатизации заданным требованиям (нормам и допущениям, приведенным в нормативных методических документах). При техническом контроле характеристики ОИ определяются путем проверок и исследований, проводимых на основе:

- анализа его параметров и данных о нем, приведенных в эксплуатационных документах и технических паспортах ОИ и ТСОИ, а также средств защиты информации, применяемых на данном ОИ.

- анализа его параметров и данных о нем, полученных в результате оценки реальных условий размещения и эксплуатации ОИ, используемых ТСОИ и средств защиты, входящих в состав ОИ.
Причинами, обуславливающими возможность утечки информации по техническим каналам, наряду с использованием неисправных средств ЗИ могут быть физические явления возникновения этих каналов /9,25/. Для контроля выполнения этих требований необходимо периодическое последовательное решение ряда задач. К задачам контроля обеспечения защиты информации относятся:

- проведение документальной проверки с целью выявления предпосылок к нарушению и самих фактов нарушения ОТТ при защите информации;

- проведение специальных проверок, включающих в себя поиск преднамеренно внедренных закладных устройств;

- проведение технического контроля (исследований), предназначенных для оценки возможностей утечки информации по техническим каналам.

Последовательность решения этих задач включает в себя алгоритм контроля обеспечения защиты информации, который является алгоритмом комплексного контроля. Данный алгоритм представлен на рис. 4.2.

Контроль ЗИ на ОИ осуществляется периодически согласно требованиям руководящих документов по безопасности информации /26/. Документальная проверка в соответствующем объеме проводится на каждом конкретном ОИ. При этом проверяются следующие исходные данные и документация:

- техническое задание на ОИ;

- технический паспорт на ОИ;

- акты категорирования и классификации;

- состав технических средств ОИ;

- планы размещения ОТСС и ВТСС;

- состав и схемы размещения СЗИ;

- план контролируемой зоны;

- схемы прокладки линий передачи данных;

- схемы и характеристики систем электропитания и заземления;

- инструкции по эксплуатации;

- предписания на эксплуатацию технических средств и систем;

- протоколы специальных исследований средств и систем;

- акты (заключения) специальных проверок;

-

 
 

                       
 
 
   
 
   
     
 
 
   
     
 


нет да

           
 
   
     
 
 

 


нет да

               
 
   
     
     
 
 
 


нет да

       
   
 
 

 


да

               
   
     
 
 
   
 

 

 


да нет

 
 

 


Рис. 4.2. Алгоритм комплексного контроля

 
 

сертификаты соответствия требований безопасности информации на средства и системы передачи данных, используемых СЗИ;

- документация по уровню подготовки кадров, обеспечивающих ЗИ;

- документация о техническом обеспечении средствами контроля эффективности ЗИ и их проверке;

- нормативная и методическая документация по ЗИ и контролю ее эффективности;

- прочая документация на ОИ.

Перечисленные задачи, решаемые при контроле ЗИ, включают ряд подзадач.

Задачи контроля, предмет проверки, а также необходимое обеспечение и аппаратура для проведения контроля систематизированы и представлены в табл. 4.1.

 

 

Таблица 4.1

Задачи контроля Предмет проверки и исследования Необходимое обеспечение и аппаратура
Подзадачи документальной проверки: - определение наличия/отсутствия регламентной документации; - определение правильности использования документации и правильности ведения документации - документация на ОИ     - документация на ОИ   - документация на ОИ

-нормативно-расчетная документация по ЗИ на ОИ; -документация на ОИ;   - правильность отображения измерений и технических проверок в документации на ОИ

 


Продолжение табл. 4.1

Задачи контроля Предмет проверки и исследования Необходимое обеспечение и аппаратура
Подзадачи специальных проверок: - обследование ОИ в целях поиска закладных устройств, возможно размещенных конструкциях, оборудовании, предметах обихода, радиоэлектронной аппаратуре; - ведение радиоконтроля;   - проверка проводных линий в целях поиска закладных устройств, размещенных на них   Подзадачи специальных исследований: - измерение характеристик информативных акустических сигналов;   - виброакустические,частотно-энергетические, видовые и прочие характеристики закладных устройств;     - частотно-энергетические характеристики, электромагнитные излучения активных и активизированных закладных устройств; - частотно-энергетические, акустические, видовые и прочие характеристики закладных устройств - измерение характеристик информативных акустических сигналов; - нормативно-методическое обеспечение по проведению специальных проверок радиоэлектронной и спец. аппаратуры;     - нормативно-методическое обеспечение по проведению радиоконтроля, спец. аппаратура радиоконтроля;     - нормативно-методическое обеспечение по проведению контроля проводных линий, спец. аппаратура контроля проводных линий   -нормативно-методическое обеспечение по проведению измерений характеристик информативных акустических сигналов, генератор акустических колебаний, шумомер с набором микрофонов;  

 

   
 
 
 

Продолжение табл. 4.1

Задачи контроля Предмет проверки и исследования Необходимое обеспечение и аппаратура
  - измерение характеристик информативных виброакустических сигналов;   - обнаружение и измерение частот и энергетических характеристик побочных излучений и наводок ТСОИ;     -частотно-энергетические характеристики информативных виброакустических сигналов;     -частотно-энергетические характеристики информативных сигналов полей рассеивания ТСОИ, токов и напряжений информативных сигналов в цепях питания и заземления ТСОИ, характеристики модуляции электромагнитных излучений на частотах паразитной модуляции;   -нормативно-методическое обеспечение по проведению измерений характеристик информативных виброакустических сигналов;     -нормативно-методическое обеспечение по проведению измерений частотно-энергетических характеристик ПЭМИН ТСОИ, измерительные приемники с набором антенн и устройств и устройств сопряжения с токопроводными линиями, средства обработки измерений;

 

 
 

Продолжение табл. 4.1

Задачи контроля Предмет проверки и исследования Необходимое обеспечение и аппаратура
- измерение характеристик акустоэлектрических преобразований;   - измерение характеристик ТСОИ при определении восприимчивости к воздействию ВЧ-навязывания;     - измерение характеристик восприимчивости ТСОИ к воздействию электрических и магнитных полей -частотно-энергетические характеристики информативных сигналов и характеристики модуляции электромагнитных излучений, токов и напряжений, возникающих в цепях ТСОИ под воздействием акустических сигналов;   -частотно-энергетические характеристики информативных сигналов под воздействием наведенного ВЧ-сигнала;     - частотно-энергетические характеристики информативных сигналов под воздействием наведенных электрических и магнитных полей - нормативно-методическое обеспечение по проведению измерений характеристик акустоэлектрических преобразований, измерительные приемники с набором антенн и устройствами сопряжения с токопроводными линиями, датчик акустического сигнала, средства обработки результатов измерения;   - нормативно-методическое обеспечение по проведению измерений определения восприимчивости к ВЧ-навязыванию, измерительные приемники с набором антенн и устройств сопряжения с токопроводными линиями, источники ВЧ-сигнала;   - нормативно-методическое обеспечение по проведению измерений характеристик восприимчивости ТСОИ к воздействию электрических и магнитных полей, измерительные приемники с набором антенн и устройств сопряжения с токопроводными линиями, устройства обработки результатов измерения


Технический контроль может осуществляться тремя методами:

- инструментальным, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы средств разведки;

- инструментально-расчетным, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты пересчитываются к условиям предполагаемого средства разведки;

- расчетным, когда эффективность защиты оценивается путем расчета, исходя из реальных условий размещения и возможностей средств разведки и известных характеристик объекта контроля.