Основная терминология

Введем несколько базовых терминов.

Безопасность данных – защита данных от случайного или преднамеренного разрушения, раскрытия или модификации.

Секретность – это право лица решать, какую информацию он желает разделить с другими, а какую хочет скрыть от других.

Конфиденциальность – это статус, присваиваемый данным согласованный между лицом и организацией, предоставляющей данные, и лицом или организацией, получающей их. Конфиденциальность определяет требуемую степень защиты.

Целостность данных – имеет место когда данные в системе не отличаются от данных в исходных документах, т.е. не произошло их случайной или преднамеренной замены или разрушения.

Доступность компонента (ресурса) системы – свойство компнента (ресурса) быть готовым для использования санкционированными субъектами системы в любое время.

Государственная политика России в области информационной безопасности

Национальная политика России в сфере информационных отношений строится исходя из провозглашенных принципов открытости общества, реализации свобод и прав граждан на информацию, защиты жизненно важных интересов личности, общества и государства в информационной сфере. Она имеет свои особенности, связанные с недостаточным уровнем информационных технологий и взрывным характером накопления информации в последние годы со сжатыми временными рамками на нормотворческую деятельность.

Государственная политика России в этой сфере является открытой и предусматривает информированность общества о деятельности государственных органов и общественных институтов в области информационной безопасности с учетом ограничений, предусмотренных действующим законодательством.

Государственная политика исходит из принципа безусловного равенства всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса. Она основывается на обязательном обеспечении прав граждан и организаций на свободное создание, поиск, получение и распространение информации любым законным путем.

Право на информацию – одно из фундаментальных неотъемлемых прав человека, призванное обеспечить как его личные интересы, так и участие в делах общества и государства. Оно отражено в ряде основополагающих актов и законов РФ.

2 Аппаратная реализация современных методов несанкционированного доступа к информации Технические каналы утечки информации. Классификация технических средств несанкционированного доступа к информации

При организации защиты информации на нужном объекте необходимо проводить контроль, обнаружение и нейтрализацию естественных и искусственно созданных каналов утечки информации.

Любая фирма, любое предприятие имеет разнообразные технические средства, предназначенные для приема, передачи, обработки и хранения информации. Физические процессы, происходящие в таких устройствах при их функционировании, создают в окружающем пространстве побочные излучения, которые можно обнаруживать на довольно значительных расстояниях (до нескольких сотен метров) и, следовательно, перехватывать.

Физические явления, лежащие в основе излучений, имеют различный характер, тем не менее, утечка информации за счет побочных излучений происходит по своего рода “системе связи”, состоящей из передатчика (источника излучений), передающей среды и приемника. Такая “система связи” называется каналом утечки информации.

Технические каналы утечки информации подразделяются на:

- акустические (распространение звуковых колебаний в любом звукопроводящем материале);

- оптические (электромагнитные излучения в видимой, инфракрасной и ультрафиолетовой частях спектра);

- электрические (напряжения и токи в различных токопроводящих коммуникациях);

- радиочастотные (электромагнитные излучения радиодиапазона).

Источниками нежелательных информационных излучений в технических каналах являются разнообразные технические средства, особенно те, в которых циркулирует конфиденциальная информация. К их числу относятся:

- сети электропитания и линий заземления;

- сети телефонной связи;

- системы факсимильной, телекодовой и телеграфной связи;

- средства громкоговорящей связи и звукоусиления речи;

- электронно-вычислительная техника;

- оргтехника.

Кроме того источником излучений в технических каналах утечки информации может быть голос человека. Средой распространения акустических излучений в этом случае является воздух и различные звукопроводящие коммуникации.

Важно отметить, что технические средства не только сами излучают в пространство сигналы, содержащие обрабатываемую ими информацию, но и улавливают другие излучения (акустические, электромагнитные, вибрационные и т.п.), существующие в непосредственной близости от них. Они преобразуют эти принятые излучения в электрические сигналы и бесконтрольно передают их по своим линиям связи на значительные расстояния. К числу технических устройств, способных образовывать электрические каналы утечки относятся телефоны, датчики пожарной и охранной сигнализации и их линии, а также сети электропроводки (см. рис.1).

Имеются следующие основные группы технических средств несанкционированного доступа (НСД) к информации.

1. Радиомикрофоны (радиопередатчики с микрофонами – радиозакладки):

- с автономным питанием;

- с питанием от телефонной сети;

- с питанием от электросети;

- управляемые дистанционно;

- использующие функцию включения по голосу;

- полуактивные;

- с накоплением информации;

- комбинированные.

2. Электронные уши:

- микрофоны с проводами;

- электронные стетоскопы;

- микрофоны узконаправленные;

- лазерные микрофоны;

- прослушивание через микрофон телефонной трубки;

- гидроакустические микрофоны.

3. Устройства перехвата телефонных сообщений с использованием:

- непосредственного подключения к телефонной линии;

- индукционных датчиков;

- датчиков, расположенных внутри телефонного аппарата;

- телефонного радиоретранслятора;

- перехвата сообщений сотовой связи;

- перехвата пейджинговых сообщений;

- специальных многоканальных устройств перехвата телефонных сообщений.

4. Устройства приема, записи, управления:

- приемник для радиомикрофонов;

- устройства записи;

- ретрансляторы;

- устройства записи и передачи в ускоренном режиме;

- устройства дистанционного управления.

5. Видеосистемы наблюдения, записи и охраны.

6. Системы определения местоположения контролируемого объекта.

7. Системы контроля компьютеров и компьютерных сетей.

На рис. 1 представлена типичная схема одноэтажного офиса.

Рис. 1.

Схема возможных каналов утечки и несанкционированного доступа к ин­формации:

1 - утечка за счет структурного звука в стенах и перекрытиях;

2- съем информации с ленты принтера, плохо стертых дискет и дисков;

3— съем информации с использованием видеозакладок; 4 - программно-аппаратные закладки в ПЭВМ; 5 - радиозакладки в стенах и мебели; 6 - съем информации по системе вентиляции; 7 — Лазерный съем акустической информа­ции с окон; 8 — производственные и технологические отходы; 9 - компьютерные вирусы, "логические бомбы" и т. п.; 10 - съем информации за счет наводок "навязывания"; 11 - дистанционный съем видеоинформации (оптика); 12 - съем акустической информации с использованием диктофонов; 13 - хищение носителей информации; 14 — высокочастотный канал утечки в бытовой технике 15 — съем информации направленным микрофоном; 16 - внутренние каналы утечки информации (через обслуживающий персонал); 17 - несанкционированное копирование; 18 — утечка за счет побочного излучения терминала; 19 - съем информации за счет использования "телефонного уха";

20 - съем с клавиатуры по акустическому каналу; 21 – съем с дисплея по электромагнитному каналу; 22- визуальный съем с дисплея, принтера, сканера; 23 – наводки на линии коммуникаций и сторонние проводники; 24 – утечка через линии связи; 25 – утечка по цепям заземления; 26 – утечка по сети электрочасов; 27 – утечка по трансляционной сети и громкоговорящей связи; 28 – утечка по пожарно-охранной сигнализации; 29 – утечка по сети электропитания; 30 – утечка по сети отопления, газо- и водоснабжения.