Информационная
защита объекта
В настоящее время вопрос о защите информации на коммерческом предприятии, даже среднего достатка, становится всё более актуальным. Причина актуальности кроется в том, что при рыночных отношениях покупка спец.техники становится вопросом наличия достаточной суммы денежных средств. Конечно, государственные органы ограничивают возможность покупки спец.техники частными лицами, но на практике за приличную сумму данное оборудование приобретается.
Насыщение рынка радиокомплектующих современными электронными компонентами связной и охранной техники позволяет в домашних условиях изготовить приличное в техническом отношении оборудование для ведения радиоэлектронной разведки, что делает процесс покупки спец. техники ещё более доступным.
Особо надо отметить рынок техники двойного назначения. Бурное развитие электронных технологий стран юго-восточной Азии приводит к тому, что в наших магазинах всё чаще появляются такие устройства, как малогабаритные радиомикрофоны студийные и для систем «караоке», радиопередающие видеокомплексы и т.д. На иллюстрации приведён радиопередающий видеокомплекс, предназначенный (согласно технического паспорта) для присмотра за больными и детьми.
Система видеонаблюдения, автономная со
встроенным телепередатчиком скрытого наблюдения. Беспроводные микровидеокамеры
ZT-803A 50mW Wireless AV Color Camera [ China ] 1) Размеры: 33 x 36 x 25mm 2)
Вес: 49.6g
Добавлю, что в модельном ряде камер серии ZT-7XX, ZT-8XX варьируются выходные мощности от 50мВт до 1 Вт. В состав
комплекса входит как видеокамера с передатчиком, так и специальный приёмник.
Комплекс работает на частотах 1.2 гГц - 2.4гГц с частотной модуляцией сигнала.
Помимо передачи видеоизображения происходит акустический контроль с помощью
миниатюрного микрофона, встроенного в корпус камеры. Стоимость таких изделий от
70$ до 200$. Теперь сравните технические характеристики, размеры и стоимость
этого изделия с приборами аналогичного назначения, отнесёнными к СТС.
Появление таких изделий в свободной продаже
еще больше усугубляет проблему радиоэлектронного шпионажа в коммерческих
предприятиях, причём финансовые затраты при применении данных изделий на
порядок меньше затрат, связанных с покупкой «настоящей» спец.техники.
В принципе подход к защите государственных и коммерческих предприятий должен быть одинаковым, но на практике разница есть. Прежде всего, защита государственных структур жёстко регламентируется документами Гостехкомиссии. Проект защиты помещения представляет толстую пачку документов с перечислением ГОСТов, ссылок и т. д. Не хочу сказать, что это всё лишнее, такой подход к защите правильный, у клиента формируется уверенность, что защита действительно эффективна, организация, установившая защиту, прикрыта документами от возможного заявления, что защита неэффективна. С другой стороны, сейчас коммерческие фирмы, занимающиеся безопасностью, как правило, не располагают квалифицированным персоналом, который бы разрабатывал документацию по защите объекта согласно ГОСТам, кроме того, такие фирмы, как правило, не готовы платить за такой труд специалистам, а труд этот тяжёлый. В большинстве своём коммерческие предприятия, желающие защититься, не ставят исполнителю обязательного условия использования сертифицированных средств защиты и соответствия проекта защиты ГОСТам, в результате можно говорить, что сформировался особый подход в области защиты информации коммерческих структур, т.е. защита информации, не содержащей государственной тайны. О размахе такого подхода к защите говорит то, что если вы загляните в прайс-листы фирм производителей и продавцов техники для защиты информации, то обнаружите большой перечень не сертифицированных приборов, мало того, на многие приборы, ранее сертифицированные, сертификат не продлевается. Говорит это о том, что спрос на прибор есть и без сертификата, а фирма, устанавливающая данный прибор, не руководствуется ГОСТами. При таком подходе вам остается полагаться на опыт фирмы, её добросовестность или на свои знания.
Есть и положительные стороны у такого подхода – быстрое реагирование на новые источники утечки информации. В этом случае на рынок, как правило, очень быстро попадает прибор блокирования данного источника, а менеджер сразу предлагает клиенту новый вид защиты. Примером может служить появление закладок, выполненных с применением GSM технологий и незамедлительное появления на рынке блокираторов сотовых терминалов в большом ассортименте и разной степенью сложности.
Целью создания сайта является обзор видов каналов утечки информации и алгоритмов работы приборов для их блокирования.
ПРАВОВАЯ ОСНОВА
Прежде всего, отметим, что согласно Конституции Российской Федерации
статье 23:
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Согласно статье 24:
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Согласно статье 1 закона РФ №2446-1 от 5.03.92 с изменениями от
25.12.92г. «О безопасности»:
Безопасность – состояние защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Жизненно важные интересы – совокупность потребностей, удовлетворение которых надёжно обеспечивает существование и возможности прогрессивного развития личности, общества, государства.
К основным объектам безопасности относятся: личность – ее права и свободы; общество – его материальные и духовные ценности; государство - его конституционный строй, суверенитет и территориальная целостность.
В федеральном законе №24-Ф3 от 20.01.95 «Об информации, информатизации и защите информации» в статье 20 определяются цели защиты:
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
В «Положении о государственном лицензировании деятельности в области защиты информации» (Совместное решение Гостехкомиссии России и ФАПСИ) в пункте 1.3 предусматривается обязательное лицензирование деятельности по защите информации предприятий независимо от их ведомственной принадлежности и форм собственности.
Согласно «Положению о Государственной технической комиссии при
Президенте Российской Федерации» (Указ Президента РФ №212 от 19.02.99г.):
1. Государственная техническая комиссия при Президенте Российской Федерации (далее именуется Гостехкомиссия России) является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптаграфическими методами) информации, содержащей сведения, составляющие государственную или служебную тайну, от её утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях её уничтожения, искажения и блокирования и по противодействию техническим средствам разведки на территории Российской Федерации (далее именуется техническая защита информации), а также единую государственную научно-техническую политику в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств.
Гостехкомиссия России организует деятельность государственной системы защиты информации в Российской Федерации от технических разведок и от её утечки по техническим каналам.
Гостехкомиссия России и региональные центры входят в состав государственных органов обеспечения безопасности Российской Федерации.
13. Основными задачами Гостехкомиссии России являются:
- проведение единой государственной политики в области технической защиты информации;
- осуществление единой государственной научно-технической политики в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
- осуществление межотраслевой координации и функционального регулирования деятельности по обеспечению технической защиты информации в аппаратах органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, федеральных органах местного самоуправления, на предприятиях, в учреждениях и организациях;
- прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации;
- противодействие добыванию информации техническими средствами разведки, предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию в целях её уничтожения, искажения блокирования;
- контроль в пределах своих полномочий деятельности по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях;
- осуществление организационно-технического обеспечения деятельности Межведомственной комиссии по защите государственной тайны центральным аппаратом Гостехкомиссии России.
Если вы собираетесь приобрести и эксплуатировать приборы для защиты информации, работающие в радиочастотном диапазоне, вам необходимо ознакомиться со следующей информацией.
Радиоэлектронные
средства, не требующие разрешения на приобретение.
Выдержки из "Перечня
радиоэлектронных средств, для которых не требуется разрешения на
приобретение", введенного приказом Минсвязи России от 10.05.2001 N 136.
|
Радиоэлектронное
средство |
Частота |
Допустимая
мощность |
|
Абонентские
портативные (носимые) радиостанции сотовых сетей радиосвязи федеральных и
региональных стандартов |
- |
- |
|
Абонентские
радиостанции CDMA протокола IS-95 при работе в отведенных диапазонах частот |
828...837 МГц |
- |
|
Абонентские
(использующие не более одного абонентского номера) стационарные радиотелефоны
стандарта СТ-2 |
864...868,2 МГц |
10 мВт |
|
Абонентские
(использующие не более одного абонентского номера) стационарные радиотелефоны
стандарта DECT |
1880...1900 МГц |
10 мВт |
|
Абонентские терминалы подвижной спутниковой связи системы
"ИН-МАРСАТ" стандартов А, В, С, М, М4, Mini-М, D01+, D02+ |
1530...1544 МГц, 1555...1559 МГц —
космос—Земля |
- |
|
Концертные радиомикрофоны |
165,70; 166,10; 166,50; 167,15 МГц |
20 мВт |
|
Концертные радиомикрофоны |
151...216 МГц, 175...230 МГц, 470...638
МГц, 710...726 МГц |
5 мВт |
|
Радиомикрофоны типа "Караоке" |
66...74 МГц, 87,5...92 МГц, 100...108
МГц |
10 мВт |
|
Устройства охранной радиосигнализации автомашин |
26,945 МГц |
2 Вт |
|
Устройства охранной радиосигнализации помещений |
26,960 МГц |
2 Вт |
|
Устройства охранной радиосигнализации автомашин |
433,075...434,79 433,92 МГц ±0,2% МГц |
5 мВт |
|
Устройства дистанционного управления, охранной
сигнализации и оповещения |
433,075...434,79 МГц 433,92 МГц ±0,2% |
10 мВт |
|
Аппаратура радиоуправления моделями (самолетов, катеров и
т. п.) |
28 МГц (28...28,2 МГц) |
1 Вт |
|
Аппаратура радиоуправления моделями (самолетов, катеров и
т. п.) |
40 МГц (40,66...40,7 МГц) |
1 Вт |
|
Радиоэлектронные средства для обработки штрихкодовых
этикеток и передачи информации, полученной с этих этикеток |
433,075...434,79 МГц |
10 мВт |
|
Слухоречевые радиотренажеры для людей с дефектами слуха |
33,2...57,5 МГц |
10 мВт |
Кроме
того, постановлением Правительства Российской Федерации от 17.07.96 N 832
"Особые условия приобретения радиоэлектронных средств и высокочастотных
устройств" (в редакции постановлений Правительства Российской Федерации от
07.08.98 N 909 и от 25.02.2000 N 157) определено, что не требуется разрешения
органов государственной радиочастотной службы при Министерстве Российской Федерации
по связи и информатизации на приобретение:
-абонентских терминалов глобальных систем подвижной персональной
спутниковой связи, абонентских терминалов сети подвижной персональной
спутниковой связи системы "Евтелтракс",
-бесшнуровых телефонных аппаратов (радиотелефонов) с мощностью
излучения передатчиков не более 10 мВт, работающих в полосах частот, выделенных
Государственной комиссией по радиочастотам (ГКРЧ);
-детских радиопереговорных устройств и радиоуправляемых игрушек,
работающих в полосе радиочастот 26957...27283 кГц с мощностью излучения
передатчиков не более 10 мВт.
Вопросы
административной ответственности за нарушение правил изготовления,
приобретения, проектирования, строительства, установки и эксплуатации
радиоэлектронных средств, а также за указанную деятельность без получения
специальных разрешений регламентируются статьями 13.3 и 13.4 "Кодекса
Российской Федерации об административных правонарушениях" от
30.12.2001 N 195-ФЗ, вступившего в силу с 01.07.2002.
Интернет-сайт ФГУП "Главный радиочастотный центр"
www.grfc.ru.
Интернет-сайт Минсвязи России www.minsvyaz.ru
МЕРОПРИЯТИЯ ПО
ЗАЩИТЕ ИНФОРМАЦИИ
Перейдём к непосредственной теме статьи – защита объекта.
Допустим, к вам обратился клиент со следующей проблемой: есть подозрение, что конфиденциальная информация становится доступной для конкурентов.
Клиент – владелец небольшого предприятия, имеющего офис, состоящий из нескольких комнат. На предприятии есть бухгалтерия, производственные площади, кабинет директора, приёмная, комната отдыха. В составе предприятия есть собственная служба безопасности. Площади офиса расположены внутри многоэтажного здания, соседние помещения также заняты под офисы.
С чего начать защитные мероприятия? На первый взгляд необходимо защитить помещения предприятия с закрытием всех типовых каналов утечки информации. Но это очень большие деньги.
На первом этапе необходимо поинтересоваться, кого из конкурентов подозревает клиент в хищении информации. Если есть однозначные подозрения, желательно узнать, насколько дорога уходящая информация, каковы финансовые и технические возможности злоумышленников, т.е. какую сумму они могут себе позволить на съём информации.
Необходимо выяснить, какая группа персонала имеет доступ к уходящей информации. Имея эти сведения, двигаемся дальше.
Мероприятия по защите информации можно разделить на две основные группы: организационные мероприятия и технические мероприятия.
Не будем останавливаться подробно на организационных мероприятиях, для этого есть служба безопасности предприятия. Но несколько советов дать можно.
Необходимо разграничить доступ в помещения и к информации среди персонала предприятия, согласно их деятельности и иерархии. Этим мы существенно сужаем круг лиц, которым доступна конфиденциальная информация.
Необходимо контролировать установленный распорядок дня предприятия.
Необходима разъяснительная работа с персоналом о нежелательном обсуждении некоторых аспектов их работы за стенами предприятия.
Если информация доступна широкому кругу лиц, например, в бухгалтерии пять сотрудников, то защитные технические мероприятия помогут мало. В таком случае, например вместо установки систем защиты телефонных переговоров в бухгалтерии лучше установить систему документирования телефонных переговоров, например «Спрут». В таком случае служба безопасности сможет легко установить лицо, ответственное за разглашение конфиденциальной информации. Постоянное использование других систем защиты в таком помещении также невозможно, так как оно или создаёт некомфортную обстановку для работы, или изначально медицинский сертификат на прибор защиты ограничивает продолжительность его работы, и наконец, работа приборов может отрицательно влиять на работу офисной оргтехники.
Таким образом, мероприятия по защите информации на основных площадях предприятия лучше обеспечить с помощью организационных мероприятий и разрешённых к использованию технических средств контроля – регистраторы и тарификаторы телефонных переговоров, системы видео-аудионаблюдения, системы контроля доступа и т. д.
Что же защищать на предприятии с помощью техники? Лучше всего выделить специальную комнату для
ведения переговоров (как правило - комната отдыха), обеспечить ограниченный
доступ в неё, если есть необходимость в ведении конфиденциальных переговоров по
телефону, выделить отдельную телефонную городскую линию (не коммутируя её с
офисной мини-АТС) и завести в защищённое помещение. Если есть необходимость в
использовании персонального компьютера, лучше его вывести из локальной сети
предприятия. Если необходимо вести конфиденциальные переговоры в кабинете
директора, то он тоже подлежит технической защите.
Теперь, когда определились с конкретным помещением, перейдём к техническим мероприятиям по защите.
Прежде всего, определим ТТХ помещения. Помещение имеет одно окно, одну батарею центрального отопления, две электрические розетки и освещение, присоединённые на две различные электрические фазы, в помещение заведена одна городская телефонная линия, в помещении постоянно находится персональный компьютер, не входящий в локальную сеть предприятия.
Стены помещения железобетонные. Габариты помещения: 4м х 5м х 2.7м.
План помещения представлен на рис.1.
окно
РС
батарея
отопления
ТЕЛ
телефонная линия
ТЕЛ
фаза сети 220
В
РС
персональный
компьютер
Чтобы определить, по каким каналам защищать помещение, необходимо определить возможные каналы утечки информации.
1. Так как помещение специально выделено для ведения конфиденциальных переговоров и доступ в него строго ограничен, то случайной, непреднамеренной утечки информации из него быть не может.
2.
Утечка информации возможна по следующим основным
каналам:
а) по каналам связи;
б) по акустическим каналам;
в) по сетям 220В;
г) с помощью высокочастотного навязывания в радиодиапазоне;
д) с помощью внесенных радиозакладных средств;
е) с помощью использования побочных электромагнитных излучений от
оргтехники;
ж) с помощью внесенных устройств аудиозаписи.
Подробно каждый канал утечки информации и методы его блокирования будет рассмотрен в сдующих статьях..
