- акустического излучения информативного речевого сигнала;
- виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ЗП;
- прослушивания разговоров, ведущихся в ЗП, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи или наличия в коммутирующей аппаратуре (АТС) недекларированных возможностей;
- электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящих за пределы контролируемой территории;
- радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации ("закладочных устройств"), закладываемых в ЗП или в технические средства, установленные в ЗП.
Для обеспечения требуемого уровня защиты информации, циркулирующей в защищаемых помещениях, и закрытия (устранения) существующих каналов утечки речевой акустической информации, необходимо руководствоваться "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации" (СТР-К), Гостехкомиссия России, 2002 г. и Сборником временных методик оценки защищенности информации конфиденциальной информации от утечек по техническим каналам, Гостехкомиссия России, 2002 г.
Мероприятия по защите информации, циркулирующей в основных технических средствах и системах обработки конфиденциальной информации, от утечки по техническим каналам
Под основными техническими средствами и системами (ОТСС) понимаются технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.
К ним относятся:
- автоматизированные системы (АС) различного уровня и назначения на базе средств вычислительной техники, в том числе и локальные вычислительные сети;
- средства и системы связи и передачи данных, включая коммуникационное оборудование, используемые для обработки и передачи конфиденциальной информации.
- средства и системы звукоусиления и звукового сопровождения кинофильмов;
- средства и системы передачи речевой информации по каналам связи.
При эксплуатации основных технических средств и систем, обрабатывающих конфиденциальную информацию в центральном аппарате и территориальных органах ФНС России, возможны следующие основные технические каналы утечки:
- побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
- наводки информативного сигнала, обрабатываемого техническими средствами, на провода и линии, выходящие за пределы контролируемой зоны, в т.ч. на цепи заземления и электропитания;
- радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;
- электрические сигналы или радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, "навязывание");
- радиоизлучения или электрические сигналы от внедренных в технические средства специальных электронных устройств перехвата информации ("закладок"), модулированные информативным сигналом;
- просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств.
Для обеспечения требуемого уровня защиты информации, циркулирующей в основных технических средствах и системах обработки конфиденциальной информации, и закрытия (устранения) существующих технических каналов утечки обрабатываемой информации, необходимо руководствоваться "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации" (СТР-К), Гостехкомиссия России, 2002 г. и Сборником временных методик оценки защищенности информации конфиденциальной информации от утечек по техническим каналам, Гостехкомиссия России, 2002 г.
5.5. Мероприятия по решению задач защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах ФНС России
Основные мероприятия по защите информации от несанкционированного доступа в ИТКС должны предусматривать следующее:
- Применение сертифицированных аппаратно-программных средств защиты информации от НСД.
- Механизмы защиты от НСД должны осуществлять защиту системы от возможности посторонних лиц осуществлять работу в системе (механизмы идентификации и аутентификации), а также получать НСД к информационным ресурсам системы (механизмы разграничения доступа в соответствии с полномочиями субъекта). При реализации этих механизмов защиты должна использоваться совокупность организационных, программных (пароли, матрицы доступа и др.), аппаратно-программных и технических методов защиты.
- Защита системы от НСД должна обеспечиваться на всех технологических этапах передачи, обработки и хранения информации и при всех режимах работы системы, в том числе при проведении ремонтных и регламентных работ. При этом реализованные в системе средства защиты от НСД не должны ухудшать основные функциональные характеристики системы.
- Защита системы от НСД с помощью программных, программно-аппаратных и технических методов должна обеспечивать:
- защиту технических средств обработки информации;
- защиту баз данных;
- защиту системы управления.
- Защита от НСД должна строиться на основе системы разграничения доступа (СРД) пользователей к системе и ее информационным ресурсам. Основными функциями СРД должны являться:
- реализация правил разграничения доступа (ПРД) пользователей и их процессов к информационным ресурсам;
- реализация ПРД пользователей к устройствам создания твердых копий;
- изоляция программ процесса, выполняемого в интересах пользователя, от других пользователей системы;
- реализация правил обмена данных между пользователями системы, построенных по сетевым принципам.
- Обеспечивающие средства СРД должны выполнять следующие основные функции:
- идентификацию и аутентификацию пользователей системы и поддержание привязки к их процессам, выполняемым в их интересах;
- регистрацию действий пользователей и выполняемых в их интересах процессов, предоставление возможности исключения и включения новых пользователей и объектов доступа, а также изменение полномочий пользователей;
- реакцию на попытки несанкционированного доступа (сигнализацию, блокировку и т.д.), восстановление механизмов защиты после НСД;
- тестирование;
- очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищенными данными;
- учет выходных печатных и графических форм, а также твердых копий в системе;
- контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.
- Практическая реализация СРД должна определяться с учетом конкретных особенностей системы и может включать в себя следующие способы и их сочетания:
- распределенная система разграничения доступа и СРД, локализованная в аппаратно-программном комплексе системы;
- СРД в рамках операционной системы, системы управления базами данных или прикладных программ;
- СРД в средствах реализации сетевых протоколов взаимодействия или на уровне приложений;
- Программная и (или) техническая реализация СРД;
- Программная и (или) аппаратная реализация криптографических функций.
В рамках системы защиты от НСД необходимо внедрить комплексную систему защиты баз данных, содержащих критичную к нарушению безопасности информацию. Данная система должна выполнять следующие функции: