 |
Человеческий фактор в обеспечении информационной безопасности
|
|
|
|
Преступления, в том числе в информационной сфере, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, - ее необходимый элемент, а с другой - он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения. Особенно это актуально в сфере информационной безопасности, т.к. утечка информации в подавляющем большинстве случаев происходит по вине сотрудников банков.
Рис. 1 - Анализ угроз
Анализ сообщений средств массовой информации и оперативных сводок правоохранительных органов о криминальных и диверсионно-террористических актах против коммерческих структур в Москве и других городах России позволяет сделать однозначный вывод о высокой степени осведомленности преступников относительно режима дня и динамики деятельности предпринимателей: жертв, как правило, неизменно встречали в районе проживания или места работы, либо с предельной точностью по времени и месту перехватывали на трассе [1].
Заблаговременно были изучены основные и запасные маршруты перемещения коммерсантов. Преступники располагали подробными сведениями о составе семьи и родственниках будущих жертв, марках и номерных знаках личных и служебных автомашин, соседях и т.п.
Неотъемлемым составляющим элементом любой планируемой преступной акции является сбор информации. Представляется возможным выделить следующие основные методы, которые используются злоумышленниками в настоящее время для добывания сведений о коммерческих структурах:
|
|
|
наблюдение, в том числе с помощью мобильных и стационарных оптико-технических средств, скрытое фотографирование, видеозапись; выведывание информации;
проведение опросов, интервьюирования, анкетирования, «направленных» бесед и т.п.;
хищение, скрытое копирование, подделка каких-либо внутренних документов лицами, внедренными или приобретенными в коммерческих структурах, которые согласились или оказались вынужденными осуществлять указанные действия по корыстным побуждениям, в результате угроз, по физическому принуждению либо иным причинам;
перехват информации на различных частотных каналах внутренней и внешней радио- и телевизионной связи коммерческих структур;
получение информации техническими средствами путем использования различных источников сигналов в помещениях коммерческих структур как связанных с функционирующей аппаратурой (персональные компьютеры), так и через специально внедренную технику негласного съема информации (спецзакладки, в том числе дистанционного управления);
добывание информации о коммерческих структурах посредством применения системы аналитических методов (структурный анализ, финансовый анализ, анализ себестоимости продукции, анализ научно-технических образцов, оценка квалификационных особенностей рабочих и служащих, изучение основных материальных фондов и т.п.).
При всем многообразии и несомненных достоинствах вышеперечисленных методов в настоящее время все же использование сотрудников коммерческих структур в качестве источников внутренней информации рассматривается как наиболее надежный, быстрый и эффективных способ получения конфиденциальных данных.
Отметим также, что кроме добывания собственно конфиденциальной информации по различным вопросам такой внутренний источник из числа сотрудников коммерческих организаций может быть одновременно использован для получения уточняющих сведений, которые бы дополняли данные, добытые техническими средствами и иными методами.
|
|
|
Помимо этого агентурные информационные источники сегодня все более активно и настойчиво используются для оказания выгодного криминальным структурам, а также конкурентам влияния на стратегию и тактику поведения руководителей соответствующих коммерческих предприятий, а также для воздействия на позицию лиц, принимающих ответственные решения в сфере налогообложения, таможенной политики, экспортно-импортных квот, землеотвода и т.д. [1].
При анализе нарушений защиты большое внимание следует уделять не только самому факту как таковому (то есть объекту нарушения), но и личности нарушителя, то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивах и, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций. Ценность такого анализа обуславливается еще и тем, что совершаемые без причины преступления (если речь не идет о халатности) очень и очень редки. Исследовав причину преступлений или нарушений можно либо повлиять на саму причину (если это возможно), либо ориентировать систему защиты именно на такие виды преступлений или нарушений.
Прежде всего, кто бы ни был источником нарушения, какое бы оно не было, все нарушители имеют одну общую черту -доступ к системе. Доступ может быть разным, с разными правами, к разным частям системы, через сеть, но он должен быть.
По данным Datapro Information Services Group 81.7% нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 17.3% нарушений совершаются лицами со стороны (1% приходится на случайных лиц). По другим данным, физическое разрушение составляет около 25% нарушений (пожар, наводнение, порча) и только 1-2% составляют нарушения со стороны посторонних лиц. На долю служащих, таким образом, остается 73-74% всех преступлений. Различаясь в цифрах, результаты обоих исследований говорят об одном: главный источник нарушений - внутри самой АСОИБ. И вывод отсюда также однозначен: неважно, есть ли у АСОИБ (автоматизированные системы обработки информации) связи с внешним миром и есть ли внешняя защита, но внутренняя защита должна быть обязательно [1].
|
|
|
Можно выделять четыре основные причины нарушений: безответственность, самоутверждение, месть и корыстный интерес пользователей (персонала) АСОИБ.
При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений.
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов АСОИБ считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Такой вид нарушения называется зондированием системы. Большинство систем имеет ряд средств противодействия подобным «шалостям». В случае необходимости администратор защиты использует их временно или постоянно.
Нарушение безопасности АСОИБ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИБ информации. Даже если АСОИБ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение - очень квалифицирован и опасен. Проникновение - опаснейший вид нарушений, правда, он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.
|
|
|
Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.
Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь в конце концов вводит АСОИБ в состояние зависания, после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.
Проникновение - наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновении обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновения может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.
Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы - более жесткая и самая жесткая вместе с постоянным контролем - от проникновении. Целью таких действий должно служить одно - обеспечение работоспособности АСОИБ в целом и ее системы защиты в частности.
Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Как уже отмечалось, около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т.д. Но не это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой [1].
|
|
|
Способы предотвращения нарушений вытекают из природы побудительных мотивов - это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая - психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.
При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.
Риски персонала
Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [11].
. Наибольший риск:
системный контролер;
администратор безопасности.
. Повышенный риск:
оператор системы;
оператор ввода и подготовки данных;
менеджер обработки;
системный программист.
. Средний риск:
инженер системы;
менеджер программного обеспечения.
. Ограниченный риск:
прикладной программист;
инженер или оператор по связи;
администратор баз данных;
инженер по оборудованию;
оператор периферийного оборудования;
библиотекарь системных магнитных носителей;
пользователь-программист;
пользователь-операционист.
. Низкий риск:
инженер по периферийному оборудованию;
библиотекарь магнитных носителей пользователей;
пользователь сети.
Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.
1.2.3 Анализ рисков
Анализ риска состоит из следующих основных этапов.
Этап 1. Описание состава системы:
- аппаратные средства;
- программное обеспечение;
- данные;
- документация;
- персонал.
Этап 2. Определение уязвимых мест: выясняется уязвимость по каждому элементу системы с оценкой возможных источников угроз.
Этап 3. Оценка вероятностей реализации угроз.
Этап 4. Оценка ожидаемых размеров потерь.
Этот этап сложен, поскольку не всегда возможна количественная оценка данного показателя (например, ущерба репутации банка при нарушении конфиденциальности информации о счетах и операциях клиентов).
Этап 5. Анализ возможных методов и средств защиты.
Этап 6. Оценка выигрыша от предлагаемых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры защиты.
Категорирование информации по важности
Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности банка и характеризует опасность уничтожения либо модификации информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой [10]:
. Важная информация - незаменимая и необходимая для деятельности банка информация, процесс восстановления которой после уничтожения невозможен либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.
. Полезная информация - необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.
Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого банка достаточно двух степеней градации.
. Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, так как может вызвать материальные и моральные потери.
. Открытая информация - информация, доступ к которой посторонних не связан ни с какими потерями.
Руководство должно принять решение о том, кто и каким образом будет определять степень важности и конфиденциальности информации. Без такого решения невозможна никакая целесообразная работа по созданию банковской электронной системы.
План защиты
Анализ риска завершается принятием политики безопасности и составлением плана защиты со следующими разделами:
. Текущее состояние. Описание статуса системы защиты в момент подготовки плана.
. Рекомендации. Выбор основных средств защиты, реализующих политику безопасности.
. Ответственность. Список ответственных сотрудников и зон ответственности.
. Расписание. Определение порядка работы механизмов защиты, в том числе и средств контроля.
. Пересмотр положений плана, которые должны периодически пересматриваться.
Ключевым вопросом начального этапа создания системы безопасности является назначение ответственных за безопасность системы и разграничение сфер их деятельности. Как правило, при начальной постановке таких вопросов выясняется, что за этот аспект безопасности организации никто отвечать не хочет. Системные программисты и администраторы систем склонны относить эту задачу к компетенции общей службы безопасности, тогда как последняя, в свою очередь, считает, что подобная проблема должна находиться в компетенции специалистов по компьютерам.
Положения о безопасности
При решении вопросов распределения ответственности за безопасность компьютерной системы необходимо учитывать следующие положения [7]:
. никто, кроме руководства, не может принять основополагающих решений в области политики компьютерной безопасности;
. никто, кроме специалистов, не сможет обеспечить правильное функционирование системы безопасности;
. никакая внешняя организация или группа специалистов жизненно не заинтересованы в экономической эффективности мер безопасности.
К области стратегических решений при создании системы компьютерной безопасности должна быть отнесена разработка общих требований к классификации данных, хранимых и обрабатываемых компьютерной системой. Во многих случаях существует путаница между понятиями конфиденциальности (секретности) и важности информации.
Анализ угроз ТЗИ
Короткое описание возможной утечки информации каналами ПЭМВН
Чтобы справиться со стремительно нарастающим потоком информации, вызванным научно-техническим прогрессом необходимо постоянно пополнять свой арсенал разнообразными техническими средствами и системами, предназначенными для приема, передачи, обработки и хранения информации. Физические процессы, происходящие в таких устройствах при их функционировании, создают в окружающем пространстве побочные электромагнитные, акустические и другие излучения, которые в той или иной степени связаны с обработкой информации.
Подобные излучения могут обнаруживаться на довольно значительных расстояниях (до сотен метров) и, следовательно, использоваться злоумышленниками, пытающимися получить доступ к секретам. Поэтому мероприятия по ЗИ, циркулирующей в технических средствах, направлены, прежде всего, на снижение уровней таких излучений.
Чтобы принять такой объем информации, на принимающей стороне должна быть аппаратура, обладающая соответствующими характеристиками, т.е. имеющая необходимую чувствительность при определенном превышении сигнала над уровнем собственных помех, и обеспечивающая необходимую ширину полосы принимаемых сигналов при соответствующей длительности их передачи [10].
К основным информационным характеристикам канала относятся:
1 местоположение начала и конца канала;
2 форма передаваемой информации (дискретная, непрерывная) в звеньях канала;
3 структура канала передачи (датчик, кодер, модулятор, линия, демодулятор, декодер, устройство фиксации и др.);
4 вид канала (телефонный, телеграфный, телевизионный и др.);
5 скорость передачи и объем передаваемой информации;
6 способы преобразования информации в звеньях канала передачи (методы модуляции, кодирования и т.д.);
7 пропускная способность канала;
8 емкость канала.
Кроме того, классификация каналов передачи возможна по следующим признакам:
9 по виду сигналов и способу передачи;
10по исполнению: проводные, кабельные, световодные, радио и другое;
11по принципу действия: электромагнитные, оптические, акустические.
Технические каналы утечки информации принято делить на следующие типы:
12 радиоканалы (электромагнитные излучения радиодиапазона);
13 акустические каналы (распространение звуковых колебаний в любом звукопроводящем материале);
14 электрические каналы (опасные напряжения и токи в различных токопроводящих коммуникациях);
15 оптические каналы (электромагнитные излучения в инфракрасной, видимой иультрафиолетовой части спектра);
материально-вещественные каналы (бумага, фото, магнитные носители, отходы и т.д.).
Источниками излучений в технических каналах являются разнообразные технические средства, в которых циркулирует информация с ограниченным доступом.
Такими средствами могут быть:
16сети электропитания и линии заземления;
17автоматические сети телефонной связи;
18системы телеграфной, телекодовой и факсимильной связи;
19средства громкоговорящей связи;
20средства звуко- и видеозаписи;
21системы звукоусиления речи;
22электронно-вычислительная техника; электронные средства оргтехники.
Возможные каналы утечки информации получаются:
низкочастотными электромагнитными полями, которые возникают во время работы ТЗПИ и ДТЗС;
во время влияния на ТЗПИ и ДТЗС электрических, магнитных и акустических полей;
во время возникновения паразитной высокочастотной (ВЧ) генерации;
во время прохождения информационных (опасных) сигналов в круге электропитания;
во время взаимного влияния кругов;
во время прохождения информационных (опасных) сигналов в круге заземления;
во время паразитной модуляции высокочастотного сигнала;
вследствие ошибочных коммутаций и несанкционированных действий.
Во время пересылки информации с ограниченным доступом в элементах схем, конструкций, подводных и соединительных проводах технических средств протекают тока информационных (опасных) сигналов. Электромагнитные поля, которые возникают при этом, могут влиять на случайные антенны. Сигналы, принятые случайными антеннами, могут привести к образованию каналов утечки информации.
Источниками возникновения электромагнитных полей в ТЗПИ и ДТЗС могут быть неэкранированные провода, разомкнутые контуры, элементы контрольно-измерительных приборов, контрольные гнезда на усилительных блоках и пультах, неэкранированные конечные устройства, усилители мощности и линейные усилители, трансформаторы, дросселя, соединительные провода с большими токами, разъемы, гребенки, громкоговорители, кабельные линии.
Информативные (опасные) сигналы могут возникать на элементах технических средств, чувствительных к влиянию:
электрического поля (неэкранированные провода и элементы технических средств);
магнитного поля (микрофоны, громкоговорители, главные телефоны, трансформаторы, катушки индуктивности, дросселя, электромагнитные реле);
акустического поля (микрофоны, громкоговорители, главные телефоны, трансформаторы, катушки индуктивности, дросселя, электромагнитные реле).
При наличии в технических средствах элементов, способных превращать эти поля в электрические сигналы, возможная утечка информации незащищенными кругами абонентских линий связи, электропитания, заземления, управления, сигнализации.
Паразитная высокочастотная генерация (ПВЧГ) в ТЗПИ и ДТЗС возникает вследствие самовозбуждения усилительных устройств (активная ПВЧГ) или вследствие отражения сигналов от концов линий связи между усилителями во время переходных процессов (пассивная ПВЧГ).
Высокочастотные паразитные колебания, промодулированы информативным (опасным) сигналом за амплитудой, частотой и фазой (активная ПВЧГ) или за амплитудой и частотой (пассивная ПВЧГ), создают канал утечки информации.
ПВЧГ получается в элементах аппаратуры, которые охваченные отрицательной обратной связью и не имеют достаточного запаса стойкости, в концах линий связи между усилительными устройствами в моменты переключений через возникновение переходных процессов.
В процессе работы ТЗПИ и ДТЗС возможная утечка информации через источники электропитания:
в результате прохождения информационного (опасного) сигнала через технические средства на входном сопротивлении его источника питания может возникнуть напряжение, которое несет сигнал, который содержит информативную составную. Через выпрямительное устройство и силовой трансформатор этот сигнал распространяется сетевыми линиями за границы контролируемой территории;
во время прохождения голосового сигнала через конечное усилительное устройство может иметь место неравномерное потребление тока от источника питания. Ток, который потребляется усилителем от сети питания, может быть промодулирован информативным (опасным) сигналом, который проходит через усилитель.
Трасы кабельных кругов, которые несут ИсОД, могут прокладываться в одной кабельной канализации с незащищенными каналами ТЗПИ и ДТЗС и проходить через общие протяжные коробки и шкафы.
Во время пересылки информационного (опасного) сигнала одним витком в соседних витках - за их параллельного пробега - появляются тока, приведенные вследствие электромагнитного влияния. Переход электромагнитной энергии с одного витка в другой есть возможным каналом утечки информации.
Источниками образования информационных (опасных) сигналов есть участки, охваченные случайными емкостными и магнитными связями. Такими участками могут быть отрезки параллельного пробега линий, которые несут ИсОД, с незащищенными линиями, которые уходят за границы контролируемой территории, витки кабеля, что служат для коммутации исходных линий в пробеге, монтажные колодки, разъемы блоков, контакты переключателей и реле, используемые для коммутации исходных линий, блоки, которые испытывают влияние электромагнитного поля.
Вытек информации в цепи заземления может произойти по такой причине:
при наличии контуров в системе заземления, если существуют две или больше точки соединения цепей, который несут ИсОД, с заземлителем;
вследствие несовершенства экранов и возникновение паразитных связей. Исток может распространяться как симметричными, так и несимметричными путями.
Источником образования информационных (опасных) сигналов есть элементы кругов и схем, если эти элементы находятся под потенциалом таких сигналов и выходят из экранов.
Во время поступления высокочастотных сигналов в нелинейные (или параметрические) кольца, которые несут ИсОД, происходит модуляция высокочастотного сигнала. Таким образом, высокочастотные колебания становятся носителями информационных (опасных) сигналов и создают канал утечки информации.
Линиями, на которые подается или из которых снимается высокочастотный сигнал, могут быть незащищенные линии связи, цепи электропитания, заземления, управления и сигнализации, цепи, образованные паразитными связями, конструктивными элементами домов, сооружений, оснащения и т.п.. Источниками информационных (опасных) сигналов есть нелинейные радиоэлементы, на которые происходит модуляция таких сигналов.
Во время возникновения неисправностей в аппаратуре или несанкционированных действиях обслуживающего персонала в схемах управления может возникнуть нежелательная коммутация информационного (опасного) сигнала, которая приводит к выходу ИсОД в незащищенный канал связи.
Источниками информационного (опасного) сигнала этого канала являются пульты управления, щиты распределения и коммутации, блоки контроля, реле, трансформаторы, разъемы, переключатели или запоминающие устройства, в которых может возникнуть ошибочная коммутация в результате неисправностей или несанкционированных действий.
Основными параметрами возможной утечки информации каналами ПЕМВН есть:
напряженность электрического поля информационного (опасного) сигнала;
напряженность магнитного поля информационного (опасного) сигнала;
величина звукового давления;
величина напряжения информационного (опасного) сигнала;
величина напряжения приведенного информационного (опасного) сигнала;
величина напряжения шума (помех);
величина тока информационного (опасного) сигнала;
величина чувствительности к влиянию магнитных полей для точечного источника;
величина чувствительности аппаратуры к влиянию электрических полей (собственная емкость аппаратуры);
величина чувствительности к влиянию акустических полей;
отношения "информативный сигнал/шум";
отношения напряжения опасного сигнала к напряжению шума (помех) в диапазоне частот информационного сигнала.
Указанные параметры определяются и рассчитываются по результатам измерений в заданных точках.
Предельно допустимые значения основных параметров есть нормированными величинами и определяются по соответствующим методикам.
Отношения расчетных (вымеренных) значений основных параметров к предельно допустимых (нормированных) значений определяют необходимые условия защиты информации.
Защита информации которая циркулирует в системах звукоусиления
Как оборудования систем звукоусиления, предназначенных для обслуживания проведенных в ЗП закрытых мероприятий, и систем звукового сопровождения кинофильмов, которые содержат конфиденциальные сведения, необходимо использовать оборудования, которое удовлетворяет требованиям стандартов по электромагнитной совместимости России, Европейских стран, США. В случае необходимости, для повышения уровня защищенности рекомендуется применять оборудование, сертифицированное по требованиям безопасности информации или прошлое специальные исследования и распоряжения, которые имеет, на эксплуатацию.
Системы звукоусиления должны выполняться по ведущей схеме передачи информации экранированными проводами и располагаться в границах КЗ.
С целью уменьшения побочных электромагнитных излучений целесообразно использовать систему звукоусиления с рассредоточенной системой звукоизлучателей, то есть следует отдавать предпочтение системам с большим количеством конечных устройств маленькой мощности перед системами с маленьким количеством конечных устройств большой мощности [4].
В качестве конечных устройств рекомендуется использовать звуковые столбики, которые выпускаются в защищенном выполнении.
Можно использовать громкоговорители, которые выпускаются в обычном выполнении, с экранированными магнитными цепями (например: 0,5ГДШ-5, 0,5ГД-54, 1ГДШ-2, 1ГДШ-6, 1ГДШ-28, 2ГДШ-3, 2ГДШ-4, ЗГДШ-1 или укомплектованные ними звуковые столбики (например: 2КЗ-7, 6КЗ-8, 12КЗ-18).
В этом случае звуковые столбики (громкоговорителе) следует заэкранировать по электрическому полю с помощью металлической сетки с ячейкой не более 1 гг, что заземляется из-за чего экранирует оплетку кабеля, который подводит.
В системах звукоусиления рекомендуется применять аппаратуру с симметричными входными и исходными цепями. В случае использования аппаратуры с несимметричным выходом, линии конечных устройств следует подключать к конечным усилителям через симетрирующие трансформаторы, устанавливаемые в непосредственной близости от конечных усилителей.
Как усилительное оборудование рекомендуется использовать усилители в металлических экранах с возможностью их заземления.
Коммутационное и распределительное оборудование (распределительные, входные и исходные щитки подключения) следует размещать в металлических шкафах (коробках). На корпусах шкафов (коробок) необходимо предусмотреть клеммы (винты) для их заземления и приспособление для опечатывания.
Усилительное и конечное оборудования СЗП, СЗСК следует размещать на возможно большем расстоянии относительно границы контролируемой зоны.
Система электропитания и заземления должна отвечать требованиям "Правил устройства электроустановок (ПУЭ)".
Рекомендуется электропитание и заземления аппаратуры СЗП и СЗСК осуществлять от подстанции и на заземлитель, расположенные в границах КЗ.
Защита информации при проведении звукозаписи
Запись и воспроизведения конфиденциальной речевой информации аппаратурой звукозаписи разрешается делать только в ЗП.
Для записи (воспроизведения) конфиденциальной информации должны применяться магнитофоны (диктофоны), которые удовлетворяют требованиям стандартов по электромагнитной совместимости России, Европейских стран, США. Для повышения уровня защищенности информации рекомендуется использовать магнитофоны (диктофоны), сертифицированные по требованиям безопасности информации или минувшие специальные исследования и имеющие распоряжения на эксплуатацию.
Носители информации (магнитные ленты, кассеты) должны учитываться и сохраняться в подразделах учреждения (предприятия) в порядке, установленному для конфиденциальной информации.
В учреждении (предприятии) должна быть предназначенное должностное лицо, ответственная за сохранение и использование аппаратуры звукозаписи конфиденциальной информации, и обеспеченное сохранение и использования этой аппаратуры, которая выключает несанкционированный доступ к ней.
Защита речевой информации при ее передаче по каналам связи
Передача конфиденциальной речевой информации из открытых ведущих каналов связи, которая выходит за пределы КЗ, и радиоканалам должна быть исключена.
При необходимости передачи конфиденциальной информации следует использовать защищенные линии связи (например, защищенные волоконно-оптические), устройства скремблирования или криптографической защиты.
Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
|
|
|
