Глава 2. Разработка проекта инженерно-технической системы безопасности объекта защиты
2.1 Постановка задачи
В этой главе необходимо провести оценку уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки, определить требования к системе защиты, а также разработать рекомендации по обеспечению технической защиты объекта информатизации и осуществить выбор технических средств защиты информации и их характеристик.
2.2 Характеристика системы защиты объекта информатизации
При специальных исследованиях технических средств обработки информации необходимо измерять уровень побочных электромагнитных излучений (ПЭМИ) и рассчитывать радиус минимально необходимой контролируемой зоны, характеризующий минимальное расстояние от технического средства на границе и за пределами которого отношение сигнал/шум не превышает нормированного значения.
Радиус зоны 2 для современных мониторов может составлять 5 – 100 м.
Целью инструментального контроля является определение размера контролируемой зоны вокруг объекта контроля. Расчет зоны 2 (R2) осуществляется на основании рекомендаций, изложенных в «Сборнике методических материалов по проведению специальных исследований технических средств АСУ и ЭВМ, предназначенных для работы с секретной информацией» в соответствии с требованиями «Норм эффективности защиты АСУ и ЭВМ от утечки информации за счет побочных излучений и наводок». Проведем инструментальный контроль монитора, как наиболее информативного средства обработки информации с точки зрения утечки по каналам ПЭМИН (таблица 2.1).
Таблица 2.1 – Перечень аппаратуры контроля
Представим данные обследования монитора:
Дата контроля: 18.03.2019г.
Тип монитора: Siemens Nixdorf MCM 1506 NTD
Серийный номер: BJ408478
Покрытие пола: паркет
Параметры тест-сигнала: Ти = 0,032 мкс, τи = 0,026 мкс, ΔFпр = 100 кГц
Использование средств активной защиты (САЗ): САЗ не использовались.
Получились следующие результаты контроля (Таблица 2.2).
Таблица 2.2 – Результаты инструментального контроля
Результаты инструментального контроля позволяют сделать вывод о том, что уровень побочных электромагнитных излучений от монитора Siemens Nixdorf MCM 1506 NTD позволяет использовать его для обработки секретной информации при условии обеспечения вокруг него контролируемой зоны размером не менее 15 метров.
Согласно ГОСТ Р 50922-96 «Защита информации. Основные требования и определения» категорирование – это установление важности защищаемой информации. Категория устанавливается руководителем предприятия-заказчика по представлению подразделения по защите информации.
Категорирование проводится для действующих, но ранее не категорированных объектах, предназначенных для обработки секретной информации. В зависимости от:
- степени секретности, обрабатываемой информации, (определяется «Развернутым перечнем сведений, подлежащих засекречиванию Российским агентством по системам управления», «Перечень сведений, подлежащих засекречиванию по ведомству»),
- условий расположения объекта относительно постоянных представительств иностранных государств, обладающих правом экстерриториальности, объекту присваивается одна из трех категорий (таблица 2.3).
Таблица 2.3 – Категорирование объекта
R2 для 1 категории – зона, в пределах которой возможен перехват и последующая расшифровка ПЭМИ от технических средств обработки информации, рассчитанная для данного объекта, как если бы он был объектом первой категории.
Результат категорирования оформляется актом, который утверждается руководителем объекта информатизации (руководителем организации-заказчики или главным конструктором). Акт категорирования должен обязательно содержать информацию о степени секретности обрабатываемой информации, о размерах зоны R2 для 1 категории, о наличии в пределах этой зоны представительств иностранных государств, обладающих правом экстерриториальности, и, наконец, о присвоенной категории. Акт подписывается всеми членами комиссии, производившей категорирование (это может быть та же группа обследования), и назначенной приказом руководителя организации-заказчика.
В нашем случае, на объекте информатизации ООО «ПК Венткомплекс» высший гриф секретности обрабатываемой информации – «секретно». Размер зоны 2, рассчитанной по нормам для 1 категории – 15 метров. Постоянных представительств иностранных государств, обладающих правом экстерриториальности в данном радиусе вокруг предприятия, нет.
Таким образом, установленная категория объекта информатизации – «третья».
2.3 Организация технической защиты ООО «ПК Венткомплекс»
Для построения эффективной системы защиты информации отделу безопасности необходимо иметь некоторые виды поисковой аппаратуры. Устройства поиска технических каналов утечки информации и средства контроля приведены в обзоре средств защиты объекта информатизации.
В качестве средства поисковой аппаратуры был выбран портативный поисковый прибор D-008 Данный прибор нужен отделу безопасности для оперативного обнаружения подслушивающих устройств. Изделие имеет два канала обнаружения и функционально представляет собой комбинацию двух поисковых приборов: детектора поля для поиска радиоизлучающих подслушивающих устройств; анализатора проводных линий для поиска подслушивающих устройств, использующих для передачи информации проводные линии (телефонные, сигнализации, электропитания 380/220 В). Работы по внедрению мер и средств защиты объекта информатизации представляют собой установку средств защиты информации.
Для скрытного обнаружения радиопередающих устройств (радиомикрофонов, телефонных радиоретрансляторов, радиостетоскопов, скрытых видеокамер с передачей информации по радиоканалу, технических средств систем пространственного высокочастотного облучения, радиомаяков систем слежения за перемещением объектов, несанкционированно включенных радиостанций, радио и мобильных телефонов) в отделе безопасности будет установлен стационарный индикатор поля «ДИ-Ч». Данный прибор представляет собой стационарный индикатор поля, работающий в дежурном режиме, встроенный в АМ/FM радиоприемник с цифровыми часами.
Из рассмотренных средств защиты акустической информации была выбрана система акустического и виброакустического зашумления «Заслон-2М». Данная система предназначена для защиты речевой информации, циркулирующей в помещениях, от прямого прослушивания, а также от прослушивания с использованием различных микрофонов, стетоскопов и лазерных систем съема информации. С помощью виброакустических датчиков (входящих в комплект), укрепленных на элементах ограждающих конструкций (стенах), трубах водо-, теплоснабжения, уходящих из помещения, создается шумовой вибросигнал, блокирующий функциональные и специально созданные виброакустические каналы утечки информации. Встроенный микроконтроллер обеспечивает аддаптивную самонастройку и акустопуск в зависимости от уровня акустичесих сигналов в защищаемом помещении.
Предполагается, что «Заслон-2М» будет установлен в помещениях, где утечка информации по акустическому каналу наиболее опасна. Таким образом, в отделе безопасности будет использоваться система «Заслон-2М».
Для других помещений, где необходима защита акустической информации, будет использоваться генератор радиошума «БРИЗ».[ http://dammlab.com] По принципу действия изделие является широкополосным генератором, создающим маскирующий сигнал в диапазоне до 1,0 ГГц, мощностью не менее 5 Вт, что обеспечивает: маскировку побочных электромагнитных излучений от средств обработки, передачи и хранения информации (в первую очередь от персональных компьютеров); блокирование радиоканалов, используемых устройствами дистанционного снятия информации мощностью до 5 мВт; блокирование приёмников различных систем дистанционного управления (СДУ) по радиоканалу (СДУ средствами снятия информации и др.). Таким образом, «БРИЗ» используется также для защиты от утечки информации по каналам ПЭМИН.
Данный генератор будет установлен в отделе ИТ, в бухгалтерии, юридическом отделе, в переговорной.
Для защиты телефонных переговоров от прослушивания и утечки информации по электросети был выбран многофункциональный генератор шума ГРОМ-ЗИ-4. Данный прибор предназначен для защиты информации от утечки за счет побочных электромагнитных излучений средств оргтехники, а также для создания помех устройствам несанкционированного съема информации с телефонных линий и электрических сетей.
ГРОМ-ЗИ-4 будет установлен в отделе ИТ, в бухгалтерии, юридическом отделе, в переговорной.
Для защиты телефонных переговоров от перехвата и прослушивания в отделе безопасности будет использоваться устройство «Референт basic», которое выполнено в виде телефонного аппарата. Передача информации при телефонных переговорах с использованием данного устройства осуществляется в цифровом виде с использованием специальных алгоритмов сжатия и защиты.
Для защиты от утечки информации по электросети в отделе безопасности будет устанавливаться устройство защиты электросети SEL SP – 41/С. Данное средство предназначено для защиты речевой информации, обрабатываемой техническими средствами и системами на объектах информатизации 2 и 3 категории, и обеспечивает конфиденциальность переговоров в условиях применения устройств с передачей информации по электросети 220 В. Устройство обеспечивает защиту от: подслушивающих устройств, использующих электросеть 200 В / 50 Гц, как канал для передачи информации; утечки информации по электрическому каналу утечки информация за счет наведения информационных электросигналов на линии сети электропитания 200 В / 50 Гц. Защита информации обеспечивается цифровым генератором широкополосного шума.
Из рассмотренных средств защиты от утечки информации по каналам ПЭМИН был выбран стационарный генератор шума ГШ-1000М [https://pro-spec.ru] для маскирования побочных электромагнитных излучений и наводок работающих СВТ в кабинетах Управляющего, Зам. управляющего, Пом. по безопасности.
Таким образом, получаем следующие комплекты технических средств защиты (Таблицы 2.4, 2.5).
Таблица 2.4 — Средства технической защиты отдела безопасности
Таблица 2.5 — Средства технической защиты ООО «ПК Венткомплекс» отдела ИТ, бухгалтерии, юридического отдела, переговорной
С целью блокирования утечки речевой информации по акустическому и виброакустическому каналам в помещениях ООО «ПК Венткомплекс» необходимо произвести доработку защищаемых помещений на предмет улучшения звукоизоляционных и виброизоляционных свойств (установка двойных дверей с тамбурами, выполнение дополнительного остекления окон, установка в инженерно-технические коммуникации шумопоглотителей, установка в воздухопроводы глушителей, устранение щелей и трещин).
В целях блокирования каналов утечки информации за счет возникающих при работе ОТСС информативных наводок на оконечные устройства и линии связи ВТСС, последние удаляются на безопасное расстояние от ОТСС, а линии связи ОТСС — экранируются. Кроме того, устраняются выходы линий ВТСС за пределы контролируемой зоны, параллельные пробеги линий ВТСС с линиями ОТСС. Источники ПЭМИН размещаются на максимально возможном удалении от границы КЗ. Отходящие цепи, в частности ввод телефонной линии, должны быть максимально удалены от аппаратуры обработки информации.
ОТС должны размещаться, по возможности, ближе к центру здания или в сторону наибольшей части контролируемой территории. Составные элементы ОТС должны размещаться в одном помещении либо в смежных.
Предотвращение утечки информации через системы пожарной и охранной сигнализаций осуществляется отключением датчиков пожарной и охранной сигнализации на период проведения важных мероприятий или применением датчиков, не требующих специальных мер защиты.
Для защиты от наблюдения и фотографирования необходимо произвести выбор оптимального расположения средств документирования, размножения и отображения информации (рабочие места, экраны компьютеров, экраны общего пользования) с целью исключения прямого или дистанционного наблюдения; использовать занавески, шторы, жалюзи; использовать средства гашения экрана после определенного времени работы.
Следует отметить, что при использовании исключительно пассивной защиты приходится проводить круглосуточный мониторинг, так как неизвестно, когда включаются средства съема, или теряется возможность использовать оборудование обнаружения при проведении деловой встречи. Поэтому комбинированная защита (пассивная и активная с помощью средств защиты) позволяет устранить эти недостатки.