Согласно нормативным документам объекты СО делятся на универсальные объекты, которые в свою очередь делятся на три категории. Согласно требованиям НДТЗИ должна обеспечиваться контролируемая зона следующих размеров.
Первой категории универсального объекта, требуется 50 метров контролируемой зоны. Второй категории объекта, требуется 30 метров, а третей категории объектов требуется 15 метров контролируемой зоны.
Также требуется определенный размер контролируемой зоны для разных типов специализированных объектов таблица №1.
Таблица№1
Тип СО | КЗ (м) |
1 | 250 |
2 | 100 |
3 | 50 |
4 | 45 |
5 | 40 |
6 | 35 |
7 | 30 |
8 | 20 |
9 | 15 |
При выборе мест для размещения объектов необходимо строго
соблюдать требования по обеспечению размера КЗ.
Требования размеров КЗ по защите перехвата побочных электромагнитных излучений.
Если на объекте невозможно обеспечить размер КЗ согласно
ДНТЗИ, либо если для размещения отдельной ОТС требуется КЗ
больше чем R то необходимо разделить ОТС на две группы устройств.
a) Устройства прошедшие специальное исследование и удовлетворяющие реальным размерам КЗ объекта.
b) Устройства прошедшие специальное исследование, но не удовлетворяющие реальным размерам КЗ объекта.
Для второй группы необходимо принять дополнительные меры такие как, размещение ОТС в экранированных помещений, кожухах или применение локальных экранов, что обеспечивает защиту в диапазоне частот от 0,15-1000 Мгц.
Требования размеров КЗ по защите от перехвата наводок на вспомогательных технических средствах.
При установки ВТС имеющие выход за пределы КЗ, помещения объектов необходимо обеспечить расстоянием ни менее указанных в нормах ДНТЗИ.
Минимальные допустимые расстояния для универсальных средств.
Категория универсальногообъекта | Минимальные допустимые расстояния до ВТС | ||
От техническихсредств ВТС (м) | От не экранированныхпроводов, кабелей ВТС(м) | От экранированных проводов, кабелей ВТС(м) | |
1 | 15 | 5,5 | 1,4 |
2 | 10 | 3,7 | 0,8 |
3 | 5 | 1,8 | 0,5 |
Минимальные допустимые расстояния по специализированным объектам
Тип специализированногообъекта | Минимальные допустимые расстояния | ||
От техническихсредств ВТС (м) | От не экранированныхпроводов, кабелей ВТС(м) | От экранированныхпроводов, кабелей ВТС(м) | |
1 | 75 | 27,5 | 7,5 |
2 | 30 | 11 | 2,7 |
3 | 15 | 5,5 | 1,4 |
4 | 14 | 5,2 | 1,2 |
5 | 12,5 | 4,6 | 1,1 |
6 | 11,5 | 4,2 | 1 |
7 | 10 | 3,7 | 0,8 |
8 | 7 | 2,5 | 0,6 |
9 | 5 | 1,8 | 0,5 |
Если на объекте не возможно обеспечить требуемые минимальные расстояния для защиты или если для размещения отдельных ОТС требуется минимальные допустимые расстояниядо ОТС, то ОТС делят на две группы устройств:
1. устройства прошедшие специальное исследование и удовлетворяющие реальным, т. е. максимально возможным для данного объекта расстоянием до технических средств и коммутации ВТС имеющий выход за пределы контролируемой зоны.
2. устройства прошедшие специальное исследование и не удовлетворяющие реальным расстояниям до ВТС.
Для устройств второй группы необходимо применять дополнительные меры защиты, которые определяются при помощи ДНТЗИ и на основании категорий и вида объекта.
Поскольку мы не можем обеспечить требуемое минимальное расстояние для защиты за территорией объекта, то мы ограничиваем КЗ стенами кабинета.
3. Выявление каналов утечки и
несанкционированного доступа к ресурсам.
Сущность защитных мероприятий сводится к перекрытию возможных каналов утечки защищаемой информации, которые появляются в силу объективно складывающихся условий ее распространения и возникающей у конкурентов заинтересованности в ее получении. Каналы утечки информации достаточно многочисленны. Они могут быть как естественными, так и искусственными, т.е. созданными с помощью технических средств.
Перекрытие всех возможных каналов несанкционированногосъема информации требует значительных затрат, и, поэтому, в полном объеме сделать это удается далеко не всегда. Следовательно, в первую очередь необходимо обратить внимание на те из них, которыми с наибольшей вероятностью могут воспользоваться недобросовестные конкуренты.
наибольшую привлекательность для злоумышленников представляют акустические каналы утечки информации, в особенности такой канал, как виброакустический(за счет распространения звуковых колебаний в конструкции здания).
Возможные каналы утечки информации
Анализ представленных материалов показывает, что в настоящее время номенклатура технических средств коммерческой разведки весьма обширна, что делает задачу надежного блокирования каналов утечки и несанкционированного доступа к информации исключительно сложной.
Решение подобной задачи возможно только с использованием профессиональных технических средств и с привлечением квалифицированных специалистов.
Основные методы и средства несанкционированного получения информации и возможная защита от них.
N п/п | Действие человека (типовая ситуация) | Каналы утечки информации | Методы и средства получения информации | Методы и средства защиты информации |
1 | Разговор в помещении | | | Шумовые генераторы, поиск закладок, защитные фильтры, ограничение доступа |
2 | Разговор по проводному телефону | |
| |
3 | Разговор по радиотелефону | | | |
4 | Документ на бумажном носителе | Наличие | Кража, визуально, копирование, фотографирование | Ограничение доступа, спецтехника |
5 | Изготовление документа на бумажном носителе | | | |
6 | Почтовое отправление | Наличие | Кража, прочтение | Специальные методы защиты |
7 | Документ на небумажном носителе | Носитель | Хищение, копирование, считывание | Контроль доступа, физическая защита, криптозащита |
8 | Изготовление документа на небумажном носителе | | | Контроль доступа, криптозащита |
9 | Передача документа по каналу связи | Электрические и оптические сигналы | Несанкционированное подключение, имитация зарегистрированного пользователя | Криптозащита |
10 | Производственный процесс | Отходы, излучения и т.п. | Спецаппаратура различноного назначения, оперативные мероприятия | Оргтехмероприятия, физическая защита |
Таким образом, основным направлением противодействия утечке информации является обеспечение физической(технические средства, линии связи, персонал) и логической (операционная система, прикладные программы и данные) защиты информационных ресурсов. При этом безопасность достигается комплексным применением аппаратных, программных и криптографических методов и средств защиты, а также организационных мероприятий.
Основными причинами утечки информации являются:
• несоблюдение персоналом норм, требований, правил эксплуатации АС;
• ошибки в проектировании АС и систем защиты АС;
• ведение противостоящей стороной технической и агентурной разведок.
Несоблюдение персоналом норм, требований, правил эксплуатации АС может быть как умышленным, так и непреднамеренным. От ведения противостоящей стороной агентурной разведки этот случай отличает то, что в данном случае лицом, совершающим несанкционированные действия, двигают личные побудительные мотивы. Причины утечки информации достаточно тесно связаны с видами утечки информации.
В соответствии с ГОСТ Р 50922-96 рассматриваются три вида утечки информации:
• разглашение;
• несанкционированный доступ к информации;
• получение защищаемой информации разведками (как отечественными, так и иностранными).
Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.
Под несанкционированным доступом понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.