1. Регистрационные данные.
Наименование предприятия, вид деятельности, ИНН, дата регистрации предприятия, отраслевая принадлежность, ОГРН (основной государственный регистрационный номер) и дата его присвоения, юридический и фактический адреса, телефоны и факсы, электронный адрес и т.п.
Источники наполнения: данные официальных регистрирующих органов, специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет.
Уровень потенциальной доступности: высокий.
2. Информация о руководстве предприятия.
Персонифицированная информация о высшем менеджменте предприятия, членах их семей, биографические справки, личностные характеристики и межличностные взаимоотношения, наличие собственности, недвижимости, пакетов акций, компрометирующая и криминальная информация.
Источники наполнения: данные официальных регистрирующих органов, специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет, информация с «компроматных» сайтов, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников.
Уровень потенциальной доступности: высокий.
3. Кадровый раздел.
Количественный и качественный состав сотрудников предприятия, текучесть кадров, сотрудники, желающие сменить место работы, а также бывшие сотрудники предприятия, ищущие в настоящее время работу.
Источники наполнения: информация специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников, информация со специализированных сайтов по подбору персонала.
Уровень потенциальной доступности: высокий.
4. Структура предприятия.
Информация о специализации и функциях конкретных подразделений предприятия, руководителях этих подразделений. Общее представление о функционировании предприятия, сильные и слабые стороны организационной структуры предприятия.
Источники наполнения: информация специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников, информация с сайтов по родственной специализации предприятия.
Уровень потенциальной доступности: высокий.
5. Информация о владельцах и акционерах.
Реестр акционеров, аффилированные лица, персонифицированная информация о владельцах и акционерах предприятия, членах их семей, биографические справки, личностные характеристики и межличностные взаимоотношения, наличие собственности, недвижимости, пакетов акций, компрометирующая и криминальная информация.
Источники наполнения: данные официальных регистрирующих органов, специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет, информация с «компроматных» сайтов, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников.
Уровень потенциальной доступности: высокий.
6. Финансово-хозяйственная деятельность.
Основные финансовые показатели, актив, пассив, прибыль, убытки, кредиторская, дебиторская задолженность, бухгалтерские балансы, банковские счета, проводимые операции по ним. Активы, основные средства, недвижимость, информация по крупным сделкам, обременениям, исполненные, исполняемые и ожидаемые договора по профилю (и нет).
Источники наполнения: аналогично пункту 5.
Уровень потенциальной доступности: высокий.
7. Виды деятельности, производимая продукция, рынки сбыта, конкуренты.
Источники наполнения: аналогично пункту 5.
Уровень потенциальной доступности: высокий.
8. Поставщики, партнеры, заказчики.
Источники наполнения: аналогично пункту 5.
Уровень потенциальной доступности: высокий.
9. Арбитражные и хозяйственные споры, наложенные санкции и взыскания. Спорные вопросы собственности.
Источники наполнения: данные арбитражных судов, контролирующих инстанций, специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, открытая информация в СМИ и сети Интернет, информация с «компроматных» сайтов, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников.
Уровень потенциальной доступности: высокий.
10. Конфликтные ситуации на предприятии, среди акционеров.
Источники наполнения: основные – информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников, информация с «компроматных» сайтов, иная открытая информация в СМИ и сети Интернет.
Уровень потенциальной доступности: высокий.
11. Компрометирующая информация в отношении предприятия, кадрового состава, владельцев и акционеров. Информация криминального толка.
Источники наполнения: аналогично пункту 10.
Уровень потенциальной доступности: высокий.
12. Подборка прессы.
Источники наполнения: собственная информация предприятия, подлежащая обязательному раскрытию, открытая информация в СМИ и сети Интернет.
Уровень потенциальной доступности: высокий.
Как мы видим, даже если не давать о себе никакой информации, кроме сугубо официальной, узнать о предприятии можно все равно много.
После определения сведений, составляющих конфиденциальную информацию, предстоит разработать и осуществить мероприятия по обеспечению их сохранности. Сущность защитных мероприятий сводится к перекрытию возможных каналов утечки защищаемой информации, которые появляются с учетом условий ее распространения и возникающей у конкурентов заинтересованности в ее получении. Для построения системы защиты конфиденциальной информации на предприятии очень важно определить источник и соответствующие им возможные каналы утечки защищаемой информации. На каждом конкретном предприятии перечень таких каналов носит индивидуальный характер, что определяется спецификой его производственной, научно-технической, коммерческой и иной деятельности и степенью развития связей с деловыми партнерами как внутри страны, так и за рубежом.
Организация эффективной защиты коммерческой тайны предприятия во многом зависит от правильного установления носителей информации. Анализ в этой области позволяет выделить четыре вида носителя информации в зависимости от их функционального назначения, в частности: документ, человек, изделие (предмет, материал) и процесс.
Информация может быть представлена в различной форме и на различных физических носителях. Основными формами информации, представляющими интерес с точки зрения защиты, являются:
– документальная;
– акустическая (речевая);
– телекоммуникационная.
Документальная информация содержится в графическом или буквенно-цифровом виде на бумаге, а также в электронном виде на магнитных и других носителях. Особенность документальной информации в том, что она в сжатом виде содержит сведения, подлежащие защите.
Речевая информация возникает в ходе ведения в помещениях разговоров, а также при работе систем звукоусиления и звуковоспроизведения. Носителем речевой информации являются акустические колебания (механические колебания частиц упругой среды, распространяющиеся от источника колебаний в окружающее пространство в виде волн различной длины).
Речевой сигнал является сложным акустическим сигналом в диапазоне частот от 200… 300 Гц до 4… 8 кГц.
Телекоммуникационная информация циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче. Носителем информации при ее обработке техническими средствами и передаче по проводным каналам связи является электрический ток, а при передаче по радио– и оптическому каналам – электромагнитные волны.
Основными объектами защиты информации являются:
– информационные ресурсы, содержащие сведения, отнесенные к конфиденциальной информации – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
– технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации: средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации ограниченного доступа (звукозапись, звукоусиление, звукосопровождение, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), их информативные физические поля. Эти средства и системы называют основными техническими средствами и системами (ОТСС);
– технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в защищаемом помещении. Такие технические средства и системы называют вспомогательными техническими средствами и системами (ВТСС). К ним относятся: различного рода телефонные средства и системы; средства и системы передачи данных в системе радиосвязи; средства и системы охранной и пожарной сигнализации; средства и системы оповещения и сигнализации; контрольно-измерительная аппаратура; средства и системы кондиционирования; средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.); средства электронной оргтехники; средства и системы электрочасофикации; иные технические средства и системы.
помещения, предназначенные для проведения конфиденциальных мероприятий (совещаний, конференций, переговоров и т.п.) – защищаемые помещения (ЗП).
Характеристика каналов утечки документальной информации
Документ представляет собой средство закрепления различным способом на специальном материале информации о фактах, событиях, явлениях объективной действительности и мыслительной деятельности человека. Документ отличает то, что его функциональное назначение целиком и полностью исчерпывается свойством носителя информации. В период своего существования документ проходит определенные этапы: составление и оформление, размножение, пересылка, использование, хранение, уничтожение. Конкретное наполнение этих этапов зависит от типа документа. В настоящее время известны документы на бумажных носителях, на магнитных носителях и т.п. В целом система документов имеет довольно разветвленную структуру.
Необходимым условием сохранения документальной информации является разработка специальной инструкции по обеспечению сохранности конфиденциальной информацию в организации или на предприятии. В ней следует детализировать порядок действия исполнителей, предусмотреть четкую систему документооборота, изготовление изделий, организации работ в режимных помещениях, регламентировать условия применения средств связи, использования средств вычислительной техники, приема представителей других предприятий и т.п. В такой инструкции следует определить:
– правила и процедуру присвоения и снятия грифа документам, работам, изделиям, содержащим коммерческую тайну предприятия;
– процедуру допуска работников предприятия к сведениям, составляющим коммерческую тайну предприятия;
– обязанности и ограничения, налагаемые на исполнителей, допущенных к сведениям, составляющим коммерческую тайну предприятия;
– правила обращения (делопроизводство, учет, хранение, размножение и т.д.) с документами и изделиями, содержащими коммерческую тайну предприятия;
– правила приема представителей других предприятий;
– принципы организации и проведения контроля за обеспечением сохранности сведений, составляющих коммерческую тайну предприятия;
ответственность за разглашение сведений, составляющих коммерческую тайну, и другие нарушения установленного порядка их защиты.
Очень важным нормативным началом в деле обеспечения названного режима является специальная памятка. Она составляется для работников, которые допущены к сведениям, составляющим коммерческую тайну предприятия, и должна содержать основные положения по обеспечению сохранности этих сведений. При небольших объемах работы с документацией и изделиями, содержащими коммерческую тайну, и малом числе работников, допущенных к ним, она может заменять собой инструкцию предприятия по данному вопросу. В памятку следует включить обязанности работников по сохранению коммерческой тайны, за нарушение которых может последовать установленная ответственность. Кроме того, необходимо указать, что работник обязан:
– работать только с теми сведениями и документами, содержащими коммерческую тайну предприятия, к которым он получил доступ в силу своих служебных обязанностей;
– знать, какие конкретно сведения подлежат защите;
– знать, кому из сотрудников предприятия разрешено работать со сведениями, составляющими коммерческую тайну предприятия, к которым он сам допущен, и в каком объеме эти сведения могут быть доведены до этих сотрудников.
В памятке также устанавливается, что при участии в работе сторонних организаций работник может знакомить их представителей со сведениями, составляющими коммерческую тайну предприятия, только с письменного разрешения руководителя структурного подразделения. При этом руководитель должен определить конкретные вопросы, подлежащие рассмотрению, и указать, кому и в каком объеме может быть доведена информация, подлежащая защите. При этом руководитель должен определить конкретные вопросы, подлежащие рассмотрению, и указать, кому и в каком объеме может быть доведена информация, подлежащая защите.
Следует включить в памятку и положение о том, что запрещается помещать без необходимости сведения, составляющие коммерческую тайну предприятия, в документы, содержащие государственные секреты и имеющие в связи с этим соответствующий гриф секретности. Такое нарушение порядка обращения со сведениями, составляющими коммерческую тайну предприятию, может рассматриваться как их разглашение и влечет ответственность в соответствии с установленным законом порядком. В зависимости от особенностей предприятия в памятке могут содержаться другие положения.
На предприятии принимается целый ряд других документов. Следует быть очень внимательным к установлению системы контроля за документами, регулярно ее проверять и совершенствовать. В целях установления надлежащего контроля за хранением и использованием секретных документов, необходимо выделить их общей массы документов, находящихся в обороте на предприятии. Для этого следует ясно обозначить на лицевой обложке всех документов степень их секретности.
Существует объективная необходимость в организации специального делопроизводства с документальными носителями конфиденциальной информации, устанавливающего порядок их подготовки, присвоения соответствующего грифа, размножения, рассылки, приема и учета, группировки в дела, использования, хранения, уничтожения и проверки наличия, а также создания подразделения специального делопроизводства или назначения уполномоченного по данному вопросу.
Успех осуществления мероприятий по защите конфиденциальной информации во многом зависит от создания и соблюдения специального режима пользования ЭВТ. Использование в современных условиях компьютеров, с одной стороны, значительно облегчило сбор и хранение необходимой информации, а с другой – весьма усложнило решение проблемы защиты коммерческой тайны предприятия. Это связано с тем, что:
– необходимо иметь дело с обширным объемом информации, среди которой есть и конфиденциальная;
– в процессе производства и хранения информации она становится доступной большому количеству людей;
– обеспечение закрытости такой информации требует новых и более сложных процедур.
В случае если видны свидетельства физического вторжения в помещение, где хранятся секретные документы, то можно утверждать, что совершено хищение. Но такой вывод порой невозможно сделать, когда похищается информация, хранящаяся в электронной памяти. Не существует какой-то единственной системы, которая бы способна была обеспечить сохранность информации, заложенной в ЭВМ. Решение комплекса вопросов, связанных с защитой конфиденциальной информации, зависит от типа используемого компьютера и степени конфиденциальности информации, которую он обрабатывает. Необходимо предпринимать особые меры для обеспечения контроля за доступом к информации через персональные компьютеры. Следует учитывать и тип информации, которая хранится в памяти ЭВМ.
Принимая во внимание необходимость обеспечения закрытости информации, следует установить контроль за доступом ко всем терминалам. Целесообразно регулярно изменять имена пользователей и ключевые слова, особенно если на предприятии происходит частая смена операторского состава. Весьма эффективен порядок, когда при работе с ЭВМ каждый из допущенных работников имеет свой личный код, позволяющий ему пользоваться лишь теми программами и данными, которые его непосредственно касаются. Наличие указанных кодов предохраняет также от доступа посторонних к хранящейся информации.
Как бы ни была надежна система защиты конфиденциальной информации, периодически необходима ее проверка. Процесс проверки должен включать мероприятия как по защите информации, так и по уничтожению документации. Чтобы избежать ненужного накопления старой информации, необходимо обеспечить своевременное рассекречиванию и удалению ненужной информации из системы. Однако, хотя некоторые документы больше не представляют никакой пользы и подлежат рассекречиванию, содержащаяся в них информация может быть полезной для вашего конкурента, который может узнать о порядке решения ряда задач организации или предприятия. В ходе проверки необходимо проанализировать, насколько эффективно уничтожаются записи с целью исключить возможность использования рассекреченной информации в ущерб интересам организации. Конечным итогом системы проверки служит оценка эффективности проводимых мероприятий по защите документальной информации.
Характеристика технических каналов утечки информации
Под техническим каналом утечки информации (ТКУИ) понимают совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. По сути ТКУИ – способ получения с помощью портативных средств разведки (ПСР) конфиденциальной информации об объекте.
Сигналы являются материальными носителями информации. По своей физической природе сигналы могут быть электрическими, электромагнитными, акустическими и т.д. То есть сигналами, как правило, являются электромагнитные, механические и другие виды колебаний (волн), причем информация содержится в их изменяющихся параметрах. В зависимости от природы сигналы распространяются в определенных физических средах. В общем случае средой распространения могут быть газовые (воздушные), жидкостные (водные) и твердые среды. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт (земля) и т.п.
В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата ПСР технические каналы утечки информации можно разделить на:
электромагнитные, электрические и параметрические – для телекоммуникационной информации;
воздушные (прямые акустические), вибрационные (виброакустические), электроакустические, оптико-электронные и параметрические – для речевой информации.
Электронные устройства перехвата информации часто называют аппаратными закладками. Они представляют собой мини-передатчики, излучение которых модулируется информационным сигналом. Перехваченная с помощью закладных устройств информация или непосредственно передается по радиоканалу, или сначала записывается на специальное запоминающее устройство, а уже затем по команде передается на запросивший ее объект.
В воздушных (прямых акустических) технических каналах утечки информации средой распространения акустических сигналов является воздух. Для перехвата акустических сигналов в качестве датчиков используются микрофоны. Сигналы, поступающие с микрофонов непосредственно записываются на специальные портативные устройства звукозаписи или передаются с использованием специальных передатчиков в пункт приема, где осуществляется их запись. Автономные устройства, конструктивно объединяющие миниатюрные микрофоны и передатчики, называют закладными устройствами перехвата речевой информации, или просто акустическими закладками. Перехваченная закладными устройствами речевая информация может передаваться по радиоканалу, оптическому каналу (в инфракрасном диапазоне длин волн), по сети переменного тока, соединительным линиям вспомогательных технических средств и систем (ВТСС), посторонним проводникам (трубам водоснабжения и канализации, металлоконструкциям и т.п.). Однако встречаются закладные устройства, прием информации с которых можно осуществлять с обычного телефонного аппарата. Такие устройства устанавливаются или непосредственно в корпусе телефонного аппарата, находящегося в контролируемом помещении и называемом «телефоном-наблюдателем», или подключаются к телефонной линии, чаще всего в телефонной розетке. Подобное устройство конструктивно объединяет миниатюрный микрофон и специальный блок коммутации и часто называется «телефонным ухом». Блок коммутации подключает микрофон к телефонной линии при дозвоне по определенной схеме до «телефона-наблюдателя» или подаче в линию специального кодированного сигнала. Использование портативных диктофонов и акустических закладок требует проникновения на контролируемый объект (в помещение). В том случае, когда это не удается, для перехвата речевой информации используются направленные микрофоны.
Следовательно, для перехвата акустической (речевой) информации используются:
– портативные диктофоны и проводные системы скрытой звукозаписи;
– направленные микрофоны;
– акустические радиозакладки (передача информации по радиоканалу);
– акустические сетевые закладки (передача информации по сети электропитания 220 В);
– акустические ИК-закладки (передача информации по оптическому каналу в ИК-диапазоне длин волн);
– акустические телефонные закладки (передача информации по телефонной линии на высокой частоте);
– акустические телефонные закладки типа «телефонное ухо» (передача информации по телефонной линии «телефону-наблюдателю» на низкой частоте).
В вибрационных (виброакустических) технических каналах утечки информации средой распространения акустических сигналов являются ограждения конструкций зданий, сооружений (стены, потолки, полы), трубы водоснабжения, канализации и другие твердые тела. Для перехвата акустических колебаний в этом случае используются средства разведки с контактными микрофонами – стетоскопы. Контактные микрофоны, соединенные с электронным усилителем, называют электронными стетоскопами. По вибрационному каналу также возможен перехват информации с использованием закладных устройств. В основном для передачи информации используется радиоканал, поэтому такие устройства часто называют радиостетоскопами. Возможно использование закладных устройств с передачей информации по оптическому каналу в ближнем инфракрасном диапазоне длин волн, а также по ультразвуковому каналу (по металлоконструкциям здания).
Электроакустические технические каналы утечки информации возникают за счет преобразований акустических сигналов в электрические и включает перехват акустических колебаний через ВТСС, обладающие «микрофонным эффектом», а также путем «высокочастотного навязывания». Перехват акустических колебаний в данном канале утечки информации осуществляется путем непосредственного подключения к соединительным линиям ВТСС, обладающих «микрофонным эффектом», специальных высокочувствительных низкочастотных усилителей. Например, подключая такие средства к соединительным линиям телефонных аппаратов с электромеханическими вызывными звонками, можно прослушивать разговоры, ведущиеся в помещениях, где установлены эти аппараты. Технический канал утечки информации путем «высокочастотного навязывания» может быть осуществлен путем несанкционированного контактного введения токов высокой частоты от генератора, подключенного в линию (цепь), имеющую функциональную связь с нелинейными или параметрическими элементами ВТСС, на которых происходит модуляция высокочастотного сигнала информационным. Информационный сигнал в данных элементах ВТСС появляется вследствие электроакустического преобразования акустических сигналов в электрические. В силу того, что нелинейные или параметрические элементы ВТСС для высокочастотного сигнала, как правило, представляют собой несогласованную нагрузку, промодулированный высокочастотный сигнал будет отражаться от нее и распространятся в обратном направлении по линии и излучаться. Для приема излученных или отраженных высокочастотных сигналов используются специальные приемники с достаточно высокой чувствительностью.
Оптико-электронный (лазерный) канал утечки акустической информации образуется при облучении лазерным лучом вибрирующих в акустическом поле тонких отражающих поверхностей (стекол окон, картин, зеркал и т.д.). Отраженное лазерное излучение (диффузное или зеркальное) модулируется по амплитуде и фазе (по закону вибрации поверхности) и принимается приемником оптического (лазерного) излучения, при демодуляции которого выделяется речевая информация. При этом, лазер и приемник оптического излучения могут быть установлены в одном или разных местах (помещениях). Для перехвата речевой информации по данному каналу используются сложные лазерные акустические локационные системы, иногда называемые лазерными микрофонами. Работают они в ближнем инфракрасном диапазоне волн.
Методы и средства защиты информации от утечки по техническим каналам
Защита информации от утечки по техническим каналам достигается проектно – архитектурными решениями, проведением организационных и технических мероприятий, а также выявлением портативных электронных устройств перехвата информации (закладных устройств).
Организационные мероприятия – это мероприятия по защите информации, проведение которых не требует применения специального разработанных технических средств.
К основным организационным мероприятиям относятся:
– категорирование и аттестация объектов и выделенных для проведения закрытых мероприятий помещений (выделенные помещения (ВП) – при защите секретной информации; защищаемые помещения (ЗП) – при защите конфиденциальной информации) по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени конфиденциальности;
– установление контролируемой зоны вокруг объекта;
– организация контроля и ограничение доступа на объекты и в выделенные помещения;
введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
– отключение на период закрытых мероприятий технических средств, имеющих элементы, обладающие «микрофонным эффектом», от линий связи и т.д.
– привлечение к проведению работ по защите информации, по строительству, реконструкции объектов, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам.
Технические мероприятия – это мероприятия по защите информации, предусматривающие применение специальных технических средств, а также реализацию технических решений. Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения информационный сигнал/шум в местах возможного размещения портативных средств наблюдения или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством наблюдения, и проводятся с использованием активных и пассивных средств.
Пассивные методы защиты направлены на:
ослабление побочных электромагнитных излучений (информационных сигналов) на границе контролируемой зоны до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;
ослабление наводок побочных электромагнитных излучений (информационных сигналов) в посторонних проводниках и соединительных линиях ВТСС, выходящих за пределы контролируемой зоны, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;
исключение (ослабление) просачивания информационных сигналов в цепи электропитания, выходящие за пределы контролируемой зоны, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов.
Активные методы защиты информации направлены на:
– создание маскирующих пространственных электромагнитных помех с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозможность выделения средством разведки информационного сигнала;
– создание маскирующих электромагнитных помех в посторонних проводниках и соединительных линиях ВТСС с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозможность выделения средством разведки информационного сигнала.
Рекомендации по защите речевой информации
Организационно – технические мероприятия по защите речевой информации направлены на обеспечение защиты информации, обсуждаемой в выделенных (защищаемых) помещениях, от утечки по техническим каналам (акустический, виброакустический, электроакустические преобразования, внедрение электронных устройств перехвата информации).
При проведении мероприятий с использованием защищаемой речевой информации и технических средств ее обработки возможна утечка информации за счет:
– акустического излучения информативного речевого сигнала;
– виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ВП(ЗП);
– прослушивания разговоров, ведущихся в ВП(ЗП), по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;
электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящие за пределы КЗ;
– побочных электромагнитных излучений информативного сигнала от обрабатывающих конфиденциальную информацию технических средств, в т.ч. возникающих за счет паразитной генерации, и линий передачи информации;
– электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию технических средств и линий ее передачи, на провода и линии, выходящих за пределы КЗ;
– радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в ВП)), или при наличии паразитной генерации в их узлах (элементах);
– радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации («закладочных устройств»), закладываемых в ВП(ЗП), в технические средства и системы обработки информации.
Также следует учитывать возможность хищения технических средств с хранящейся в них информацией или отдельных носителей информации.
В организации (предприятии) должен быть документально определен перечень ВП(ЗП) и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ВП(ЗП), в котором необходимо отразить:
– план размещения оборудования и схему кабельных соединений с указанием типа и емкости кабельных линий, выходящих за пределы помещения;
– перечень оборудования ВТСС и мебели, установленных в помещении, с указанием типа, учетного или инвентарного номера и даты установления и замены;
– перечень реализованных в помещении мероприятий по защите информации;
– перечень мер по акустической и вибрационной защите помещения;
– акты и результаты аттестации и периодических проверок, выводы о соответствии ВП(ЗП) предъявляемым требованиям.
Защищаемые помещения должны размещаться в пределах контролируемой территории организации (предприятия). При этом рекомендуется размещать их на максимальном удалении от границ контролируемой зоны, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий). Не рекомендуется располагать ВП(ЗП) на первых этажах зданий.
Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи). Целесообразно, чтобы окна выходили на внутреннюю, закрытую для несанкционированного доступа территорию и около окон не должно быть пожарных лестниц, водосточных труб, пристроек и т.п.
Защищаемые помещения необходимо оснащать сертифицированными по требованиям безопасности информации ВТСС, либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию. Эксплуатация ВТСС должна осуществляться в соответствии с предписаниями и эксплутационной документацией на них.
Специальная проверка ВП(ЗП) и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств съема информации («закладочных устройств») проводится, при необходимости, по решению руководителя предприятия. При этом проверке подвергаются ограждающие конструкции ВП(ЗП), системы отопления и вентиляции, мебель и другие предметы интерьера, а также линии и арматура систем связи, электропитания, освещения и сигнализации.
Эффективность защиты ВП(ЗП) должна соответствовать действующим нормам защиты в зависимости от установленной категории помещения.
К организационно – режимным мероприятиям по защите ВП(ЗП) можно отнести следующие:
– двери помещений необходимо оборудовать замками повышенной надежности;
– двери ВП(ЗП) в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
– выдача ключей от ВП(ЗП) должен производиться только лицам, работающим в этом помещении или ответственным за него;
– уборка помещений должна производится в присутствии лиц, ответственных за него, или специально выделенными уборщиками, имеющими допуск;
– в случае ухода из этих помещений в рабочее время, необходимо их закрывать на ключ или оставлять под ответственность доверенных лиц.
В случае обнаружения факта несанкционированного проникновения в ВП(ЗП) производится расследование, организуемое подразделением по защите информации, с обязательным составлением акта.
Во время проведения конфиденциальных мероприятий запрещается использование в защищаемом помещении радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ВП(ЗП) телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.
Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ВП(ЗП) в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
Системы пожарной и охранной сигнализации ВП(ЗП) должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ВП(ЗП) контролируемой зоне.
В качестве оконечных устройств пожарной и охранной сигнализации в защищаемом помещении рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.
Звукоизоляция ограждающих конструкций ВП(ЗП), их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ВП(ЗП). Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне защищаемых помещений разговоров, ведущихся в нем. Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.
Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ВП(ЗП).
Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (внештатных) предметов на внешней стороне ограждающих конструкций ВП(ЗП) и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). С целью снижения уровня виброакустического сигнала рекомендуется расположенные в ВП(ЗП) элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами. В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления. Для этой цели должны применяться сертифицированные средства активной защиты.
Информация как объект правового регулирования
Информационная сфера – сфера деятельности, связанная с созданием, распространением, преобразованием и потреблением информации. Как сфера правового регулирования информационная сфера представляет собой совокупность субъектов права, осуществляющих такую деятельность, объектов права, по отношению к которым или в связи с которыми эта деятельность осуществляется, и социальных отношении, регулируемых правом или подлежащих правовому регулированию.
Основным объектом правоотношений в информационной сфере является информация. Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (Федеральный закон «Об информации, информатизации и защите информации»). Закон вводит также термин документированная информация – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Понятие «документированная информация» основано на двуединстве информации – сведений и материального носителя, на котором она отражена в виде символов, знаков, букв, волн или других способов отображения. В результате документирования происходит как бы материализация и овеществление сведений. Информация «закрепляется» на материальном носителе, «привязывается» к нему и тем самым обособляется от своего создателя. В итоге в качестве документированной информации мы получаем банк данных, фонд документов, книгу, сборник статей или иной массив документов (данных) на бумажном, машиночитаемом или иных носителях. Согласно приведенному определению, документированная информация (документ) есть по сути дела объект материальный, что дает основание относить ее также и к категории вещей. На нее распространяется право вещной собственности. Однако документированная информация относится к вещам особого рода, главное отличие которой заключается в единстве документированной информации и материального носителя, что предопределяет специфику требований, касающихся ее правового режима.
С правовой точки зрения двуединство информации и материального носителя дает возможность защищать документированную информацию с использованием одновременно двух институтов: института интеллектуальной собственности и института вещной собственности.
Обеспечение безопасности информации, в том числе и в компьютерных системах, требует сохранения следующих ее свойств:
1) целостности;
2) доступности;
3) конфиденциальности.
Целостность информации заключается в ее существовании в неискаженном виде, неизменном по отношению к некоторому ее исходному состоянию.
Доступность информации – это свойство, характеризующее ее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.
Конфиденциальность информации – это свойство, указывающее на необходимость введения ограничений на доступ к ней определенного круга пользователей.
Все известные на настоящий момент меры защиты информации можно разделить на следующие виды:
правовые;
организационные;
технические.
Рассмотрим, какое место занимают правовые меры в системе комплексной защиты информации.
Правовые меры защиты информации принято рассматривать в рамках организационно-правового обеспечения защиты информации. Объединение организационных и правовых мер вызвано отчасти объективно сложившимися обстоятельствами:
проблемы законодательного регулирования защиты информации регламентировались ограниченным и явно недостаточным количеством нормативно-правовых актов;
в отсутствие законодательства по вопросам защиты информации разрабатывалось большое количество ведомственных нормативных документов, основное назначение которых заключалось в определении организационных требований по обеспечению защиты информации;
внедрение автоматизированных информационных систем требует соответствующего правового обеспечения их защиты, однако на практике в развитии правовой базы не произошло существенных изменений и приоритет остается за организационными мерами.
Организационно-правовое обеспечение защиты информации представляет совокупность законов и других нормативно-правовых актов, а также организационных решений, которые регламентируют как общие вопросы обеспечения защиты информации, так и организацию и функционирование защиты конкретных объектов и систем. Правовые аспекты организационно-правового обеспечения защиты информации направлены на достижение следующих целей:
1) формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации;
2) определение мер ответственности за нарушение правил защиты информации;
3) придание юридической силы технико-математическим решениям вопросов организационно-правового обеспечения защиты информации;
4) придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты.
К правовым мерам следует отнести нормы законодательства, касающиеся вопросов обеспечения безопасности информации. Информационные отношения достигли такой ступени развития, на которой оказалось возможным сформировать самостоятельную отрасль законодательства, регулирующую информационные отношения. В эту отрасль, которая целиком посвящена вопросам информационного законодательства, включаются:
законодательство об интеллектуальной собственности;
законодательство о средствах массовой информации;
законодательство о формировании информационных ресурсов и предоставлении информации из них;
законодательство о реализации права на поиск, получение и использование информации;
законодательство о создании и применении информационных технологий и средств их обеспечения.
В отрасли права, акты которых включают информационно-правовые нормы, входят конституционное право, административное право, гражданское право, уголовное право, предпринимательское право.
В соответствии с действующим законодательством информационные правоотношения – это отношения, возникающие при:
– формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, по иска, распространения и предоставления потребителю документированной информации;
– создании и использовании информационных технологий и средств их обеспечения;
– защите информации, прав субъектов, участвующих в информационных процессах и информатизации.