Аналіз захищеності контрольованого приміщення від витоку інформації по акустичному каналу

Як типовий приклад оснащення об’єкта засобами захисту мовної інформації розглянемо оснащення кабінету керівника.

Припустимо, що в результаті інженерного аналізу  й інструментальної перевірки в  приміщенні були виявлені можливі функціональні канали витоку інформації, склад і опис яких приведені в таблиці 1.

Таблиця 1

Канал витоку інформації	Опис
Акустичний	Мембранний  перенос енергії мовних сигналів через перегородки за рахунок  малої маси і слабкого загасання сигналів
Акустичний	Витік інформації за рахунок слабкої акустичної ізоляції (щілини в стояків системи опалення, вентиляція)
Вібраційний	Витік інформації за рахунок подовжніх коливань конструкцій, що обгороджують, і арматури системи  центрального опалення
Електронні  пристрої перехоплення мовної інформації із телефонних ліній зв’язку	Знімання інформації з телефонної лінії
ПЕМВН	Витік інформації за рахунок модуляції корисним сигналом ЕМ - полів, що утворяться при роботі побутової техніки

На основі результатів, представлених у таблиці 1, розробляється "часткова" модель порушника. Технічні можливості порушника по перехопленню мовної інформації представлені в таблиці 2, як фрагмент його "часткової" моделі.

     Сформульовано наступні вимоги  до системи захисту інформації, яка повинна забезпечити:

• оперативне і непомітне для навколишніх виявлення активних радіомікрофонів, занесених у приміщення, що мають традиційні канали передачі інформації.
• протидію виявленим радіомікрофонам із традиційним каналом передачі інформації.
• протидію перехопленню інформації, переданої по телефонній лінії (на ділянці до АТС).
• протидію занесеним у приміщення диктофонам і схованим відеокамерам.
• протидію апаратурі, що використовує для передачі сигналів мережу 220В.
• протидію кабельним і радіостетоскопам,
• протидію ведення фотовізуальної й  оптико-електронної розвідки,
• протидію спробам несанкціонованого доступу до інформації, що зберігається на твердому диску ПЕОМ,
• реєстрацію телефонних переговорів по двох телефонних лініях

Таблиця 2

Вид апаратури	Варіант використання	Імовірність застосування
Радіомікрофони	Заносні, заставні	Імовірно
Апаратура перехоплення телефонних переговорів	Різні передавальні пристрої, що використовують як канали передачі через радиоэфир або  телефонну лінію	Імовірно
Мережні системи	Передача по мережі 220В	Імовірно
Портативна  звукозаписна апаратура	Запис інформації учасниками переговорів	Імовірно
Апаратура оптичної розвідки	Фото-, відеозйомка  обстановки в приміщенні	Імовірно
Кабельні (дротові) мікрофони	Упровадження  з верхніх помешкань в підвісну стелю	Малоймовірно
Стетоскопічні датчики	Дротові і радіостетоскопи	Імовірно
Спрямовані  мікрофони	Тільки при  відкритих вікнах, кватирках	Малоймовірно
Лазерні мікрофони	Знімання інформації із шибки	Малоймовірно
Системи для  перехоплення устаткування, промодульованих мовним сигналом	Селективні  нановольтметри, спеціалізовані комплекси	Малоймовірно

 

2.4. Внутрішні канали витоку інформації

Розглянуті вище методи отримання  інформації засновані на використанні зовнішніх каналів витоку. Внутрішні канали витоку  зв'язані, як правило, з адміністрацією і обслуговуючим персоналом, з якістю організації режиму роботи. З них, в першу чергу, слід зазначити такі канали, як розкрадання носіїв інформації , знімання інформації із стрічки принтера і погано стертих дискет , використання виробничих і технологічних відходів , візуальне знімання інформації з дисплея і принтера , несанкціоноване копіювання  і тому подібне .

3. Постановка задачі . Модель  приміщення .

Необхідно провести дослідження приміщення  офісу  кабінету бухгалтерії, в якому проводиться робота з документами в твердому і електронному вигляді, дати оцінку захищеності об'єкту від витоку інформації по технічних каналах і сформувати рекомендації по захисту інформації на об'єкті.

Оскільки при роботі обробляється інформація, що носить конфіденційний характер (відомості про осіб, факти, події і інше), то можна зробити висновок про незаперечну необхідність побудови системи захисту даного приміщення.

Рис. 2. План  розташування  меблів в  офісі , що  захищається

На рисунку арабськими цифрами  позначені:

1. Стіл овальний; 
2. Факс;
3. Телефонний апарат-1;
4. Стіл з ПК і клавіатурою-1;
5. Крісло для персоналу;
6. Шафа з документами;
7. Сканер;
8. Принтер;
9. Система опалення;
10. Вазон;
11. Сейф;
12. Годинник;
13. Палац.

Рис.3. Схема розташування охоронної системи в контрольованому приміщенні

Клас захищеності автоматизованої  системи від несанкціонованого  доступу до інформації згідно керівному  документу Державної технічної  комісії при Президенті України  «Класифікація автоматизованих систем і вимог по захисту інформації»: 3Б.

3.1. Просторова і структурна моделі приміщення

Виділене приміщення знаходиться  на першому поверсі будівлі. З права знаходиться кімната відпочинку, а з ліва офіс іншого підприємства. План приміщення представлений на рис.2,3. Розміри приміщення: висота 2,5 метра, ширина 4 метра, довжина 6 метрів. Приміщення знаходиться в межах контрольованої зони, відстань до межі якої не менше 40 метрів. Приміщення має одне вікна, яке виходять на подвір’я території. Двері виходять в коридор, в якому можуть знаходитися як  працівники самої організації, так і сторонні люди (клієнти і партнери).

Меблі  офісу складаються  з  одного  стільця  для персоналу ,одного  овального стола , одного кутового  стола, одного  великого  вазона , одного настінного  годинника, однієї шафи з  документами, на підлозі палац. Також в офісі знаходяться один  ПК з клавіатурою , одного  телефонного  апарата, принтер, сканер, факс, сейф.

Перелік устаткування, встановленого в приміщенні

                                                                                                            Таблиця 3. 

Вид устаткування	Тип	Обліковий номер	Дата  установки	Клас  ТЗ (ОТЗС або ДТЗС	Відомості по сертифікації,            спецдослідженнях і спецперевірках
SONY   Brain T900	ПК з клавіатурою	01	18.10.2011	ОТЗС	Досліджений на предмет наявності ЗП  20.06.12
Panasonic KX-TC 1001	Телефонний  апарат	02	20.10.2011	ОТЗС	Досліджений на предмет наявності ЗП  20.06.12
EPSON 230	Принтер	03	20.10.2011	ДТЗС
EPSON 230	Сканер	04	21.10.2011	ДТЗС
Royal	Факс	05	10.12.2011	ДТЗС
Genius Geo	Маніпулятор миші	06	24.01.2011	ОТЗС

 

Перелік меблів і побутових приладів, встановлених в кабінеті

Таблиця 4.

Найменування	Кількість, штук	Обліковий номер
Крісло для персоналу	1	07
Кутовий робочий  стіл	1	08
Настінний годинник	1	09
Вхідні  двері	1	10
Сейф	1	11
Стіл овальний	1	12
Шафа з документами	1	13
Вазон маленький	1	14

 

Всі стіни  виконані з червоної цеглини загальною товщиною 200мм  лівої  і правої стін і 400мм стіна, що виходить в коридор і на вулицю. Стіни   обштукатурені і пофарбовані  з обох боків. Приміщення обладнане  батареєю опалення радіаторного типу. Вікно має подвійне скління, при цьому відстань між шибками дорівнює 60 мм, товщина скла 5мм. Розмір отвору: 2100×1500 мм. Візуальному огляду виділеного приміщення ззовні (через вікно) перешкоджають жалюзі.

Перекриття - стеля і підлога виконані з бетонних плит з круглими порожнечами, 230мм. На підлозі паркет. Вентиляційні отвори зображені на рисунку 4. Отвір припливної вентиляції знаходиться за вхідними дверима і вікном в цій  стіні . Діаметр отвору складає 25 сантиметрів. Отвір витяжної вентиляції знаходиться над центральною частиною головного приміщення .

У мережу електроживлення подається  напруга 220 В з постійною промисловою  частотою 50 Герц . Офіс, що захищається, обладнаний п'ятьма розетками (рис.4.) і двома вхідними кабелями.

Проаналізувавши приведені вище початкові  дані, вивчивши теоретичні, аналітичні матеріали, а так само нормативні і керівні документи в даній  області захисту інформації, потрібно скласти план проведення робіт на об'єкті, визначити склад заходів  і їх послідовність, виробити вимоги до спеціальних технічних засобів, які використовуватимуться для дослідження об'єкту. Далі потрібно привести результати обстеження об'єкту, на їх підставі зробити висновки про захищеність досліджуваного приміщення і сформувати рекомендації по захисту.

 

Рис.4. План  приміщення  з  позначенням  ліній  комунікацій

В ході обстеження приміщення потрібно перевірити всю радіоелектронну  апаратуру, предмети меблів і інтер'єру, що несуть конструкції, системи комунікації  на наявність закладних пристроїв (ЗП). Провести дану перевірку потрібно в два етапи:

• візуальний огляд;
• пошук ЗП з використанням спеціального устаткування.

Схема приміщення з зазначенням  систем комунікації (система електрифікації, телефонна мережа загального користування (ТФЗК), локальна мережа, кабелі і датчики пожежної сигналізації) наведена на рис.4.

Для захисту від несанкціонованого  доступу співробітників фірми і  сторонніх осіб в неробочий час, приміщення обладнане дверима із замком і охоронною сигналізацією. Так само пожежна і охоронна сигналізації виведені на пульт чергового. Черговий знаходитися при вході в будівлю. Пульт чергового обладнаний світловою і звуковою індикацією, і у разі спрацьовування сигналізації спалахує відповідна лампа і подається звуковий сигнал високих частот.

4. Інформація ,  що  циркулює  в приміщенні.

Відповідно до термінології закону «Про інформацію, інформатизацію і  захист інформації» інформація –  це відомості про осіб, предмети, факти, події, явища і процеси  незалежно від форми їх уявлення.

Захисту підлягає секретна і конфіденційна  інформація. До секретної відноситься  інформація, що містить державну таємницю, її несанкціоноване розповсюдження може завдати збитків інтересам  держави, організаціям, суб'єктам і  Україні в цілому. Визначення поняття «Державна таємниця» дане в Законі України «Про державну таємницю»: «Державна таємниця – відомості, що захищаються державою, у області його військової, зовнішньополітичної, економічної, розвідувальної, контр розвідувальної і оперативно-розшукової діяльності, розповсюдження яких може завдати збитків безпеці Україні».

Необхідно відзначити, що в обстежуваному  приміщенні передбачена обробка  тільки конфіденційної інформації.

 Дамо  наступне визначення : інформація конфіденційна – службова, професійна, промислова, комерційна або інша інформація, правовий режим якої встановлюється її власником на основі законів про комерційну, професійну таємницю, державній службі і інших законодавчих актів.

При цьому загальний об'єм збитків  від розповсюдження оброблюваної  інформації начальником інформаційного відділу оцінюється у розмірі 45.000 € (євро) у рік. Таким чином, необхідно побудувати адекватну систему захисту, тобто сумарна ринкова вартість устаткування, яке в результаті перевірки буде куплене разом з вартістю експлуатації, не повинне перевищувати річних збитків від розповсюдження даних, що захищаються.

5. Джерела інформації

Сьогодні в світі активно  розвивається промислове шпигунство, що використовує найдовершеніші засоби збору інформації. Через витік  інформації багато фірм терплять банкрутство, або вимушені залишати свій сектор ринку конкурентам.