Шпаргалка по "Информатике"

К основным организационным мероприятиям относятся:

• привлечение к проведению работ по защите информации организаций, имеющих лицензию на деятельность в области защиты информации, выданную соответствующими органами;

• категорирование и аттестация объектов ТСПИ и выделенных для проведения закрытых мероприятий помещений (далее выделенных помещений) по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени конфиденциальности; • использование на объекте сертифицированных ТСПИ и ВТСС; • установление контролируемой зоны вокруг объекта;

• привлечение к работам по строительству, реконструкции объектов ТСПИ, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам;

• организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;

• введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

• отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т.д.

20 Паразитные связи и наводки.

Паразитные связи и наводки  характерны для любых радиоэлектронных средств и проводов соединяющих  их кабелей. Различают три вида паразитных связей:

- гальваническая;

- индуктивная;

- емкостная.

Гальваническая связь или связь  через сопротивление возникает, когда по одним и тем же цепям  протекают токи разных сигналов. В  этом случае наблюда¬ется проникновение сигналов в не предназначенные для них элементы схемы. Сигналы, несущие конфиденциальную информацию, за счет гальванической связи могут проникать в цепи, имеющие внешний выход. Это создает предпо¬сылки для утечки информации.

К таким цепям относятся, прежде всего, цепи пита¬ния и заземления. Цепи электропитания обеспечивают передачу электрической энергии от внешних источников (подстанций) подавляющему большинству уста¬навливаемых в помещениях радио и электрических приборов в виде перемен¬ного электрического тока напряжением 220 В и частотой 50 Гц.

В любом радио¬техническом изделии имеется собственный блок (узел) питания, который преоб¬разует напряжение 220 В переменного тока в требуемые для нормальной работы прибора значения напряжения постоянного и переменного тока. Например, для питания всех устройств ПЭВМ его блок питания формирует напряжения +5, -5, -12, +12 В постоянного тока.

Функциональный или опасный  сигнал может при определенных условиях проникать через цепи питания  прибора в сеть электро¬питания помещения и здания и проникать через силовой щит в силовой кабель, по которому подается электроэнергия с подстанции. Кроме того, потребление энергии любым радиоэлектронным средством в текущий момент времени зависит от амплитуды токов, циркулирующих в нем, в том числе токов, несущих полезную информацию. Следовательно, ток, потребляемый средством, может содержать переменную составляющую, соответствующую информационному сигналу. Различие в часто¬тах питающего напряжения 50 Гц и сигнала в диапазоне частот речи позволяет в принципе выделить с помощью частотных фильтров опасный сигнал чрезвычай¬но малой амплитуды на фоне напряжения 220 В.

Цепи заземления предназначены  для обеспечения защиты электрических  сигналов с информацией от помех  и наводок путем экранирования  проводов или устройств. При воздействии на экраны побочных электрических и электро¬магнитных полей на последних возникают заряды, которые для эффективного экранирования необходимо удалять или нейтрализовать. С этой целью экраны «заземляют», т.е. соединяют проводом с малым сопротивлением с поверхностью Земли. В качестве «земли» применяют металлические листы или трубы, зарытые в землю на глубину 1-2 м для обеспечения хорошего контакта с нею. Земля, представляя из себя гигантский шар с токопроводящей поверхностью, наружная сторона которой имеет нулевой потенциал независимо от зарядов, «стекающих» на нее с многочисленных естественных и искусственных источников зарядов. Протекающие по цепи заземления опасные сигналы могут быть перехвачены при благоприятных условиях приемной аппаратурой злоумышленника.

Паразитные индуктивные и емкостные  связи представляют собой физические факторы, характеризующие влияние  электрических и магнитных полей, возникающих в цепях любого функционирующего РЭС, на другие цепи в этом или других средствах.

Паразитная индуктивная связь  характеризуется следующими физическими  процессами. В пространстве, окружающем любую цепь, по которой протекает  электрический ток I, возникает магнитное  поле, постоянное или переменное c частотой ώ, в соответствии с характером тока. В соседних проводниках, находящихся  в пере-менном магнитном поле, возбуждаются переменные эдс E = IώM, которые растут с повышением частоты. М–взаимная индукция, величина которой пропорциональна индуктивности влияющих друг на друга элементов цепей и обратно пропорциональна расстоянию между ними. Если такой проводник является частью какой-то замкнутой электрической цепи, то под влиянием возникших в нем эдс в цепи протекает электрический ток. Он создает, во-первых, помеху полезному сигналу в этой цепи, а, во-вторых, может модулировать другой электрический сигнал или распространяться за пределы контролируемой зоны по проводам или в виде поля.

Емкостная паразитная связь возникает  между любыми элементами схемы, прежде всего между, параллельно расположенными проводами, а также точками схемы  и корпусом или шасси. Емкостная  связь зависит от геометрических размеров элементов цепей и расстояния между ними. Степень влияния емкостной  связи определяется величиной паразитной емкости и частотой сигнала. Чем  больше величина пара¬зитной связи и частота сигнала, тем больше паразитная емкостная связь.

Навод¬ки представляют собой сигналы, проникающие через паразитные связи, с одной цепи на другую. Наводки создают угрозу безопасности информации в случае на-водок на цепи, имеющие выход сигналов с подлежащей защите информацией за пределы защищаемой территории. В этом отношении наибольшую угрозу созда¬ют наводки в проводах кабелей городской телефонной сети, радиотрансляции, электропитания от сигналов рядом расположенных кабелей внутренней АТС, звуковоспроизведения и звукоусиления залов или помещений для совещаний, оперативной и диспетчер¬ской связи. Кроме того, наводки даже очень малого уровня могут модулировать  в/ч сигнал, распространяющийся за пределы объекта защиты в виде ЭМВ.

В цепях электропитания опасные  сигналы возникают не только из-за наводок, но и в результате проникновения  опасных сигналов в цепи электро¬питания через блоки питания радиоэлектронных средств.

 

29Сертификация в области защиты информации

Постоянное усложнение средств  и систем обработки информации, программных  продуктов увеличивает вероятность  возникновения непреднамеренных дефектов, которые могут исказить информацию или повлиять на процесс ее обработки. Также нельзя исключить возможность  преднамеренного воздействия на информацию.

Для того, чтобы защита информации была максимально эффективна, средства ее обработки и защиты должны соответствовать определенным требованиям, подтвержденным объективной и независимой оценкой. Одной из форм такой оценки соответствия требованиям нормативных документов по защите информации, является сертификация.

Согласно ст. 1 Федерального закона Российской Федерации "О сертификации продукции и услуг" № 5151-1 от 10 июня 1993 г. (в ред. Федерального закона от 27.12.95 N 211-ФЗ) сертификация продукции (сертификация) - это деятельность по подтверждению соответствия продукции  установленным требованиям.

Сертификация осуществляется в  целях:

• создания условий для деятельности предприятий, учреждений, организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;

• содействия потребителям в компетентном выборе продукции;

• защиты потребителя от недобросовестности изготовителя (продавца, исполнителя); контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества;

• подтверждения показателей качества продукции, заявленных изготовителем.

В Законе «О государственной тайне» установлено, что средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени  секретности.

Под средствами защиты информации понимаются технические, криптографические, программные  и другие средства, предназначенные  для защиты сведений, составляющих государственную тайну, средства, в  которых они реализованы, а также  средства контроля эффективности защиты информации.

Федеральный закон «Об информации, информационных технологиях и о  защите информации» определяет, что  технические средства, предназначенные  для обработки информации, содержащейся в государственных информационных системах, в том числе программно – технические средства и средства защиты информации, должны соответствовать требованиям Федерального закона от 27 декабря 2002 г. «О техническом регулировании». Посредством сертификации подтверждается соответствие продукции, процессов производства, эксплуатации, работ, услуг или иных объектов установленным требованиям (стандартам, техническим регламентам).

Положение о сертификации средств  защиты информации, введенное Постановлением Правительства РФ от 26 июня 1995 г. № 608 «О сертификации средств защиты информации», устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе отечественных криптографических алгоритмов.

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, которыми являются:

федеральный орган по сертификации;

центральный орган системы сертификации (создаваемый при необходимости) - орган, возглавляющий систему сертификации однородной продукции;

органы по сертификации средств  защиты информации - органы, проводящие сертификацию определенной продукции;

испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;

изготовители - продавцы, исполнители  продукции.

Системы сертификации создаются федеральными органами по сертификации: Федеральной  службой по техническому и экспортному  контролю, Федеральной службой безопасности Российской Федерации, Министерством  обороны Российской Федерации, Службой  внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными  нормативными актами Российской Федерации.

Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных  документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.

Координацию работ по организации  сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны.

В каждой системе сертификации разрабатываются  и согласовываются с Межведомственной комиссией положение об этой системе  сертификации, а также перечень средств  защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

Рассмотрим правомочия и обязанности  каждого из участников системы сертификации.

Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории  проходят аккредитацию на право проведения работ по сертификации, в ходе которой  федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями  работ по сертификации средств защиты информации и оформляют официальное  разрешение на право проведения указанных  работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

Федеральный орган по сертификации в пределах своей компетенции:

создает системы сертификации;

осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;

устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств  защиты информации и испытательных  лабораторий;

определяет центральный орган  для каждой системы сертификации;

выдает сертификаты и лицензии на применение знака соответствия;

ведет государственный реестр участников сертификации и сертифицированных  средств защиты информации;