Разработка системы технической защиты информации типичного объекта

 

Министерство образования и науки Украины

Харковский национальный университет радиоэлектроники

ДИПЛОМНАЯ РАБОТА

Разработка системы технической защиты информации типового объекта

Содержание

Введение

1. Анализ технологий обработки информации

1.1 Электронные платежи

1.2 Аналитическое обеспечение мероприятий безопасности

1.2.1 Человеческий фактор в обеспечении информационной безопасности

1.2.2 Риски персонала

1.2.3 Анализ рисков

1.3 Категорирование информации по важности

1.4 План защиты

1.5 Положения о безопасности

2. Анализ угроз ТЗИ

2.1 Короткое описание возможной утечки информации каналами ПЭМВН

2.2 Защита информации которая циркулирует в системах звукоусиления

2.2.1 Защита информации при проведении звукозаписи

2.2.3 Защита речевой информации при ее передаче по каналам связи

3. Построение системы защиты информации

3.1 Определения и анализ угроз

3.2 Разработка системы защиты информации

3.3 Техническая защита банковских операций

3.3.1 Общие положения

3.3.2 Возможные угрозы банковским операциям

3.3.3 Типичные мероприятия и средства ТЗИ от утечки

3.3.4 Решение задач ТЗИ

3.3.5 Блокирование каналов утечки информации

3.3.6 Блокирование несанкционированного доступа

3.4 Нормативные документы с ТЗИ

3.4.1 Изучение государственных строительных норм Украины

3.4.2 Общие положения

3.4.3 Задание на проектирование мероприятий ТЗИ

3.4.4 Разработка проектной документации

3.4.5 Разработка проекта организации строительства

3.4.6 Экспертиза проектной документации

3.5 Реализация плана защиты информации

3.5.1 Общие положения

3.5.2 Организация проведения обследования

3.5.3 Организация разработки системы защиты информации

3.5.4 Реализация организационных мероприятий защиты

3.5.5 Реализация первичных технических мероприятий защиты

3.5.6 Реализация основных технических мероприятий защиты

3.6 Требования из защиты информации, обрабатываемой ЭВМ

3.6.1 Общие требования и рекомендации

3.6.2 Основные требования и рекомендации из защиты служебной тайны и персональных данных

3.6.3 Основные рекомендации из защиты информации

3.6.4 Порядок обеспечения защиты конфиденциальной информации при эксплуатации АСС

3.6.5 Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

3.6.6 Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

3.6.7 Защита информации в локальных вычислительных сетях

3.6.8 Защита информации при межсетевом взаимодействии

3.6.9 Защита информации при работе с системами управления базами данных

3.7 Требования из защиты информации помещаемой в негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования

3.7.1 Общие положения

3.7.2 Условия подключения абонентов к сети

3.7.3 Порядок подключения и взаимодействия абонентских пунктов с сетью, требования и рекомендации из обеспечение безопасности информации

4. Порядок контроля за состоянием технической защиты информации

4.1Таблица исходных данных для осуществления ТЗИ

4.2 Методы и содержание контроля за подготовительными техническими мероприятиями

5. Безопасность жизни и деятельности человека

Введение

5.1 Анализ условий труда

5.2 Техника безопасности

5.3 Производственная санитария

5.4 Пожарная профилактика в лаборатории

6. Экономическая часть

6.1 Общая характеристика программного продукта

6.2 Планирование выполнения работ и построение линейного графика выполнения НИР

6.3 Расчёт сметной стоимости научно-технической продукции

6.4 Оценка научно-технического и экономического уровня НИР

6.5 Выводы по оценке научно-технического и экономического уровня НИР

Выводы

Заключение

Перечень ссылок

Приложения

Список условных сокращений

FB - Flash-Bios

АКП - автоматизированные клиринговые палаты

АП - абонентский пункт

АРМ - автоматизированное рабочее место

АС - автоматизированные системы

АСС - автоматизированные системы связи

АСОИБ - автоматизированные системы обработки информации

БД - базы данных

ВОЛС - волоконно-оптических линий связи

ВТСС - вспомогательные технические средства и системы

ВЧ - высокочастотный

ГСН - государственные строительные нормы

ГМД - гибкие магнитные диски

ЗП - закрытые помещения

ИД - информационная деятельность

ИсОД - информация с ограниченным доступом

КД - конструкторская документация

КЗ - контролируемая зона

КТ - контролированная территория

ЛОС - локальная однородная сеть

МЭ - межсетевой экран

НД - нормативные документы

НСД - несанкционированный доступ

ОС - операционная система

ОТС - основные технические средства

ОЭД - основные элементы данных

ПВЧГ - паразитная высокочастотная генерация

ПЭВМ - персональная электронно-вычислительная машина

ПЭМИН - побочные электромагнитные излучения и наводки

ПЭУ - правила эксплуатации установок

СВТ - средства вычислительной техники

СУБД - системами управления базами данных

ТЗ - техническое задание

ТЗИ - техническая защита информации

ТКУИ - технический канал утечки информации

ТСПИ - технические системы передачи информации

ТУ - технические условия

ЭВМ - электронно-вычислительная машина

ЭВТ - электронная вычислительная техника

ЭД - элементы данных

Введение

Защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом обстоятельств, основными из которых являются: массовое распространение средств электронной вычислительной техники (ЭВТ); усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанкционированных действий над информацией.

Кроме того, в настоящее время получили широкое распространение средства и методы несанкционированного и негласного добывания информации. Они находят все большее применение не только в деятельности государственных правоохранительных органов, но и в деятельности разного рода преступных группировок.

Необходимо помнить, что естественные каналы утечки информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты.

Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, высокочастотное навязывание и облучение, установка в технических средствах и помещениях микрофонов и телефонных закладных устройств, а также несанкционированный доступ к информации, обрабатываемой в автоматизированных системах (АС) и т.д. [10]

Поэтому особую роль и место в деятельности по защите информации занимают мероприятия по созданию комплексной защиты, учитывающие угрозы национальной и международной безопасности и стабильности.

Казалось бы, на первый взгляд, ничего нового в этом нет. Требуются лишь известные усилия соответствующих органов, сил и средств, а также их соответствующее обеспечение всем необходимым.

Вместе с тем, проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицит возможностей.

Таким образом, проблема зашиты информации и обеспечения конфиденциальности приобретает актуальность.

техническая защита информация

1. Анализ технологий обработки информации

За последнее десятилетие развитие технологий, средств обработки и передачи информации помогли увеличить производительность и уменьшить стоимость банковских операций. Современные технологии позволяют практически моментально получать и использовать информацию о клиентах, продуктах и рисках, что, несомненно, оказывает влияние на конкурентоспособность банков. Однако пока очень немногие банки в полной мере используют эти возможности. Средства телекоммуникаций вместе с новыми информационными технологиями становятся инструментом при разработке новых продуктов и механизмов их распространения, что расширяет сферу деятельности банков. Электронные платежи и средства расчета в точке продажи - примеры использования новых технологий, коренным образом меняющих банковскую индустрию. Тем не менее, информационные технологии и поддерживающие их организационные структуры могут стать барьером на пути развития. Вложив большие средства в определенную технологию, очень сложно переориентироваться на какую-либо другую. Этого недостатка лишены новые конкуренты, которые будут сразу приобретать перспективные технологии.

Выход из этого тупика - разработка эффективных способов обработки данных. В идеале следует заставить клиентов расплачиваться за улучшение параметров обслуживания (например, скорости). Так, скажем, операции передачи денег традиционно имеют большой объем и все больше зависят от применяемых технологий для сокращения расходов. Выполнение этих операций для большого числа клиентов может дать банкам существенную прибыль. Объемы же операций, связанных с обработкой чеков и других бумажных документов будут уменьшатся пропорционально распространению электронных банковских карт.

Современные технологии предлагают альтернативы традиционным банковским продуктам и услугам. Изменения, которые привели к уменьшению объема локальных операций, оказываются в центре внимания.

Так, Deutsche Bank в 1992 г. объявил об убытках, связанных с обслуживанием частных лиц, в сумме DM 200 млн. Тем не менее он продолжал выполнять программу расширения сети самообслуживания путем эмитирования 3-х миллионов электронных карт [1].

Использование современных технологий создало новый рынок, где технологии становятся товаром в таких областях как обмен электронными данными, системы электронных платежей в точке продажи и т.д. Прежде всего это касается улучшения обслуживания клиентов и оказания более специфических услуг.

Идя навстречу требованиям клиентов, и в соответствии с другими факторами конкурентной борьбы, банки должны будут выбрать один из следующих путей развития:

. Оказывать все виды услуг в большинстве своих отделений, включая, возможно, и небанковские услуги - универсальный банк;

. Предоставлять узкому кругу клиентов небольшой, но специфичный перечень услуг в определенном регионе - специализированный банк.

Существующий круг клиентов - это ключевой ресурс банка, который необходимо сохранить и попытаться увеличить. С этой целью многие банки приспосабливают свои технологии для продажи новой продукции. Более того, они переопределяют назначение традиционных механизмов распределения (единые филиальные и корпоративные банковские сети) и вводят в эксплуатацию новые (телекоммуникационные средства связи с другими банками и корпоративными клиентами).

Растет необходимость жесткого контроля за расходами, особенно в условиях увеличения затрат на регулирование деятельности и появления на рынке новых дешевых товаров и услуг, производимых и оказываемых небанковскими организациями. Такой контроль может быть осуществлен с помощью централизованной обработки информации и совершенствования управлением. Эти меры, безусловно, оказывают воздействие на штат банка.

Возрастает необходимость обработки постоянно растущего потока информации о состоянии рынка для более точного определения места специфической продукции на расширяющемся рынке.

Возможность доступа клиента к банку с помощью существующих филиальных сетей теперь уже не является ключевым фактором успеха. Изменение требований клиентов, новые технологии и фиксировано высокая стоимость содержания таких сетей заставляют искать альтернативные стратегии. Предлагаются следующие подходы:

мобильные пункты продажи товаров и услуг;

механизмы прямой продажи товаров и услуг;

технологии расчета в точке продажи;

электронное и телефонное банковское обслуживание и др.

Применение новых технологий оказывает влияние на стратегические направления и направления бизнеса в деятельности банка.

Банки издавна внедряют и используют самые современные достижения науки и техники для облегчения ручного труда и ускорения выполняемых операций. Однако сейчас этого уже недостаточно и победителями будут те, кто полностью перестроит свою деятельность в соответствии с современными технологиями.

Развитие современных информационных технологий может осуществляться под воздействием бизнеса и для бизнеса. Особенно важным в этом процессе является то, что информационные технологии развиваются в тесном взаимодействии с экономикой. Информационные технологии влияют на размер получаемых доходов и на то, как они складываются и распределяются.

Информационные технологии пронизывают каждый элемент цепи приоритетов банка, наполняя их новым содержанием и воздействуя на связь элементов между собой. Кроме того, технологии влияют на конкурентоспособность банков, изменяя жизненный цикл продукции, предлагаемой клиентам.

Стратегии применения информационных технологий определяют методы, с помощью которых они изменяют современный бизнес, и пути управления этими переменами.

Важным моментом является разработка архитектуры компьютерной системы банка. Под архитектурой системы понимается совокупность ее функциональных компонентов и их взаимодействие друг с другом. Целью разработки архитектуры компьютерной системы банка является создание внутренне логичной и гибкой системы, которая будет следовать за изменениями стратегии деятельности банка с минимальным разрушающим воздействием на нее. Любая архитектура должна сочетаться с стратегией банка и упрощать проведение ее в жизнь.

Появление каждой новой технологии обязательно влечет за собой отказ от существующих систем обработки данных. Естественно, это является барьером на пути внедрения новых разработок. Неуклонно возрастает в связи с этим интерес к стандартизованным и открытым системам, в которых программы и представления данные совместимы и их работа не зависит от поставщика оборудования и программ.

Это направление особенно важно при выработке взаимных соглашений и между организациями и их слиянии. Например, слияния Dutch Postbank и Naturale Nederlanden, английских Lloyds и Abbey Life, германских - Deutsche Bank и Deutsch Lebensversicherung - привели к возникновению проблем, связанных с информационными технологиями. Задача заключается в том, чтобы разработать такую архитектуру, которая свяжет вместе критичную деятельность клиентов и каналы распределения товаров и услуг банка, не нарушая при этом порядка работы организации [1].

Во многом прибыльность банка зависит от обеспечения высшего руководства нужной, своевременной и точной информацией. Системы управления информацией должны быть действительными помощниками в деятельности банка, обеспечивая, например, информацию о положении на рынке, прибыльности банковской продукции, состоянии клиентов и т.д. Получаемая с их помощью информация может использоваться банком для улучшения обслуживания клиентов или для представления им с целью использования в собственных интересах.

Банкам необходима постоянная информация о степени риска их деятельности. Оценка риска - это процесс, который коренным образом может быть изменен с помощью современных технологий. В него могут быть вовлечены более "интеллектуальные" системы, которые способны оценивать процентные ставки, курсы валют, кредитоспособность клиента и т.п., выдавая при этом рекомендации относительно возможных действий и их результатов.

Современные технологии дают банкам огромные преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:

электронные платежи и расчеты в точке продажи;

клиентские терминалы, осуществляющие прямую связь с банком;

домашнее банковское обслуживание с помощью персонального компьютера или телефона;

обмен электронными данными в сети с расширенным набором услуг;

технологии электронных банковских карт, включая магнитные пластиковые и интеллектуальные карты.

Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.

Одна из важных проблем банков сегодня - это управление инвестициями в электронные банковские системы с тем, чтобы последние полностью отражали перемены в банковской индустрии. Успех на новых стратегических направлениях бизнеса во многом зависит от реализации информационных систем.

1.1 Электронные платежи

Суть концепции электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности [1].

Электронные платежи применяются при межбанковских, торговых и персональных расчетах.

Межбанковские и торговые расчеты производятся между организациями (юридическими лицами), поэтому их иногда называют корпоративными. Расчеты с участием физических лиц-клиентов получили название персональных.

Большинство крупных хищений в банковских системах прямо или косвенно связано именно с системами электронных платежей.

На пути создания систем электронных платежей, особенно глобальных, охватывающих большое число финансовых институтов и их клиентов в различных странах, встречается множество препятствий. Основными из них являются:

. Отсутствие единых стандартов на операции и услуги, что существенно затрудняет создание объединенных банковских систем. Каждый крупный банк стремится создать свою сеть ОЭД, что увеличивает расходы на ее эксплуатацию и содержание. Дублирующие друг друга системы затрудняют пользование ими, создавая взаимные помехи и ограничивая возможности клиентов.

. Возрастание мобильности денежных масс, что ведет к увеличению возможности финансовых спекуляций, расширяет потоки "блуждающих капиталов". Эти деньги способны за короткое время менять ситуацию на рынке, дестабилизировать ее.

. Сбои и отказы технических и ошибки программных средств при осуществлении финансовых расчетов, что может привести к серьезным осложнениям для дальнейших расчетов и потере доверия к банку со стороны клиентов, особенно в силу тесного переплетения банковских связей (своего рода "размножение ошибки"). При этом существенно возрастает роль и ответственность операторов и администрации системы, которые непосредственно управляют обработкой информации.

Любая организация, которая хочет стать клиентом какой-либо системы электронных платежей, либо организовать собственную систему, должна отдавать себе в этом отчет.

Для надежной работы система электронных платежей должна быть хорошо защищена.

Торговые расчеты производятся между различными торговыми организациями. Банки в этих расчетах участвуют как посредники при перечислении денег со счета организации-плательщика на счет организации-получателя.

Торговые расчеты чрезвычайно важны для общего успеха программы электронных платежей. Объем финансовых операций различных компаний обычно составляет значительную часть общего объема операций банка.

Виды торговых расчетов сильно различаются для разных организаций, но всегда при их осуществлении обрабатывается два типа информации: платежных сообщений и вспомогательная (статистика, сводки, уведомления). Для финансовых организаций наибольший интерес представляет, конечно, информация платежных сообщений - номера счетов, суммы, баланс и т.д. Для торговых организаций оба вида сведений одинаково важны - первый дает ключ к финансовому состоянию, второй - помогает при принятии решений и выработке политики.

Чаще всего распространены торговые расчеты следующих двух видов: [16]

Прямой депозит (direct deposit).

Смысл этого вида расчетов заключается в том, что организация поручает банку осуществлять некоторые виды платежей своих служащих или клиентов автоматически, с помощью заранее подготовленных магнитных носителей или специальных сообщений. Условия осуществления таких расчетов оговариваются заранее (источник финансирования, сумма и т.д.). Они используются в основном для регулярных платежей (выплаты различного рода страховок, погашение кредитов, зарплата и т.д.). В организационном плане прямой депозит более удобен, чем, например, платежи с помощью чеков.

С 1989 г. число служащих, использующих прямой депозит, удвоилось и составило 25% от общего количества. Более 7 млн. американцев получают сегодня заработную плату в виде прямого депозита. Банкам прямой депозит сулит следующие выгоды:

уменьшение объема задач, связанных с обработкой бумажных документов и, как следствие, экономия значительных сумм;

увеличение числа депозитов, так как 100% объема платежей должны быть внесены на депозит.

Кроме банков в выигрыше остаются и хозяева, и работники; повышаются удобства и уменьшаются затраты.

Расчеты при помощи ОЭД.

В качестве данных здесь выступают накладные, фактуры, комплектующие ведомости и т.д.

Для осуществления ОЭД необходима реализация следующего набора основных услуг:

электронная почта по стандарту Х.400;

передача файлов;

связь "точка-точка";

доступ к базам данных в режиме on-line;

почтовый ящик;

преобразование стандартов представления информации.

Примерами существующих в настоящее время систем торговых расчетов с использованием ОЭД могут служить:

National Bank и Royal Bank (Канада) связаны со своими клиентами и партнерами с помощью IBM Information Network;

Bank of Scotland Transcontinental Automated Payment Service (TAPS), основанная в 1986 г., связывает Bank of Scotland с клиентами и партнерами в 15 странах с помощью корреспондентских банков и автоматизированных клиринговых палат [1].

Электронные межбанковские расчеты бывают в основном двух видов:

Клиринговые расчеты с использованием мощной вычислительной системы банка-посредника (клирингового банка) и корреспондентских счетов банков-участников расчетов в этом банке. Система основана на зачете взаимных денежных требований и обязательств юридических лиц с последующим переводом сальдо. Клиринг также широко используется на фондовых и товарных биржах, где зачет взаимных требований участников сделок проводится через клиринговую палату или особую электронную клиринговую систему.

Межбанковские клиринговые расчеты осуществляются через специальные клиринговые палаты, коммерческие банки, между отделениями и филиалами одного банка - через головную контору. В ряде стран функции клиринговых палат выполняют центральные банки. Автоматизированные клиринговые палаты (АКП) предоставляют услуги по обмену средствами между финансовыми учреждениями. Платежные операции в основном сводятся либо к дебютированию, либо к кредитованию. Членами системы АКП являются финансовые учреждения, которые состоят в ассоциации АКП. Ассоциация образуется для того, чтобы разрабатывать правила, процедуры и стандарты выполнения электронных платежей в пределах географического региона. Необходимо отметить, что АКП не что иное, как механизм для перемещения денежных средств и сопроводительной информации. Сами по себе они не выполняют платежных услуг. АКП были созданы в дополнение к системам обработки бумажных финансовых документов. Первая АКП появилась в Калифорнии в 1972 г., в настоящее время в США функционируют 48 АКП. В 1978 г. была создана Национальная Ассоциация АКП (National Automated Clearing House Association; NACHA), объединяющая все 48 сети АКП на кооперативных началах [1].

Объем и характер операций постоянно расширяются. АКП начинают выполнять деловые расчеты и операции обмена электронными данными. После трехлетних усилий различных банков и компаний была создана система СТР (Corporate Trade Payment), предназначенная для автоматизированной обработки кредитов и дебетов. По мнению специалистов в ближайшее время тенденция расширения функций АКП будет сохраняться.

Прямые расчеты, при которых два банка осуществляют связь непосредственно между собой с помощью счетов "лоро-ностро", возможно, при участии третьего лица, играющего организационную или вспомогательную роль. Естественно, объем взаимных операций должен быть достаточно велик для оправдания затрат на организацию такой системы расчетов. Обычно такая система объединяет несколько банков, при этом каждая пара может связываться непосредственно между собой, минуя посредников. Однако в этом случае возникает необходимость управляющего центра, занимающегося защитой взаимодействующих банков (рассылкой ключей, управлением, контролем функционирования и регистрацией событий).

В мире существует достаточно много таких систем - от небольших, связывающих несколько банков или филиалов, до гигантских международных, связывающих тысячи участников. Наиболее известной системой этого класса является SWIFT.

В последнее время появился третий вид электронных платежей - обработка электронных чеков (electronic check truncation), суть которого состоит в прекращении пути пересылки бумажного чека в финансовой организации, в которой он был предъявлен. В случае необходимости дальше "путешествует" его электронный аналог в виде специального сообщения. Пересылка и погашение электронного чека осуществляются с помощью АКП [1].

В 1990 г. NACHA анонсировала первый этап тестирования национальной экспериментальной программы "Electronic Check Truncation". Ее целью является сокращение расходов на обработку огромного количества бумажных чеков.

Пересылка денег с помощью системы электронных платежей включает следующие этапы (в зависимости от конкретных условий и самой системы порядок может меняться):

. Определенный счет в системе первого банка уменьшается на требуемую сумму.

. Корреспондентский счет второго банка в первом увеличивается на ту же сумму.

. От первого банка второму посылается сообщение, содержащее информацию о выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); при этом пересылаемое сообщение должно быть соответствующим образом защищено от подделки: зашифровано, снабжено цифровой подписью и контрольными полями и т.д.

. С корреспондентского счета первого банка во втором списывается требуемая сумма.

. Определенный счет во втором банке увеличивается на требуемую сумму.

. Второй банк посылает первому уведомление о произведенных корректировках счета; это сообщение также должно быть защищено от подделки способом, аналогичным защите платежного сообщения.

. Протокол обмена фиксируется у обоих абонентов и, возможно, у третьего лица (в центре управления сетью) для предотвращения конфликтов.

На пути передачи сообщений могут быть посредники - клиринговые центры, банки-посредники в передаче информации и т.п. Основная сложность таких расчетов - уверенность в своем партнере, то есть каждый из абонентов должен быть уверен, что его корреспондент выполнит все необходимые действия.

Для расширения применения электронных платежей проводится стандартизация электронного представления финансовых документов. Она была начата в 70-х годах в рамках двух организаций [1]:

) ANSI (American National Standart Institute) опубликовал документ ANSI X9.2-1080, (Interchange Message Specification for Debit and Credit Card Message Exchange Among Financial Institute, Спецификация обменных сообщений для дебетных и кредитных карточек обмена между финансовыми организациями). В 1988 аналогичный стандарт был принят ISO и получил название ISO 8583 (Bank Card Originated Messages Interchange Message Specifications - Content for Financial Transactions);

) SWIFT (Society for Worldwide Interbank Financial Telecommunications) разработало серию стандартов межбанковских сообщений.

В соответствии со стандартом ISO 8583 финансовый документ содержит ряд элементов данных (реквизитов), расположенных в определенных полях сообщения или электронного документа (электронной кредитной карточки, сообщения в формате Х.400 или документа в синтаксисе EDIFACT). Каждому элементу данных (ЭД) назначается свой уникальный номер. Элемент данных может быть как обязательным (то есть входить в каждое сообщение данного вида), так и необязательным (в некоторых сообщениях может отсутствовать).

Битовая шкала определяет состав сообщения (те ЭД, которые в нем присутствуют). Если некоторый разряд битовой шкалы установлен в единицу, это означает, что соответствующий ЭД присутствует в сообщении. Благодаря такому методу кодирования сообщений уменьшается общая длина сообщения, достигается гибкость в представлении сообщений со многими ЭД, обеспечивается возможность включения новых ЭД и типов сообщений в электронный документ стандартной структуры [5].

Существует несколько способов электронных межбанковских платежей. Рассмотрим два из них: оплата чеком (оплата после услуги) и оплата аккредитивом (оплата ожидаемой услуги). Другие способы, как например оплата с помощью платежных требований или платежных поручений, имеют сходную организацию.

Оплата чеком основана на бумажном или другом документе, содержащим идентификацию подателя. Этот документ является основанием для перевода определенной в чеке суммы со счета владельца на счет подателя. Платеж чеком включает следующие этапы:

получение чека;

представление чека в банк;

запрос о переводе со счета владельца чека на счет подателя;

перевод денег;

уведомление о платеже.

Основными недостатками таких платежей являются необходимость существования вспомогательного документа (чека), который легко подделать, а также значительные затраты времени на выполнение платежа (до нескольких дней).

Поэтому в последнее время более распространен такой вид платежей как оплата аккредитивом. Он включает следующие этапы:

уведомление банка клиентом о предоставлении кредита;

уведомление банка получателя о предоставлении кредита и перевод денег;

уведомление получателя о получении кредита.

Такая система позволяет осуществлять платежи в очень короткие сроки. Уведомление о предоставлении кредита можно направлять по (электронной) почте, на дискетах, магнитных лентах.

Каждый из рассмотренных выше видов платежей имеет свои преимущества и свои недостатки. Чеки наиболее удобны при оплате незначительных сумм, а также при нерегулярных платежах. В этих случаях задержка платежа не очень существенна, а использование кредита нецелесообразно. Расчеты с помощью аккредитива обычно используются при регулярной оплате и для значительных сумм. В этих случаях отсутствие клиринговой задержки позволяет экономить много времени и средств за счет уменьшения периода оборота денег. Общим недостатком этих двух способов является необходимость затрат на организацию надежной системы электронных платежей [1].

1.2 Аналитическое обеспечение мероприятий безопасности

Среднее украинское коммерческое предприятие рассматривается как некоторый объект.

В общем случае объект, как некоторое образование, имеет свои структуру, функции и источники существования.

В применении к среднему предприятию, структуру фирмы в общем случае можно представить как совокупность помещений, персонала, оборудования, транспорта, коммуникаций, сырья, готовой продукции, информации, имиджа; функции фирмы могут быть самыми разными.

Обеспечение безопасности фирмы в этих условиях можно рассматривать как реализацию комплекса защитных мероприятий в отношении объекта, если принять условие, что объекту что-либо угрожает. Для формализации этих процессов целесообразно ввести такие понятия: источники угроз объекту (потенциальные противники), угрозы объекту (цели угроз, угрозы, как таковые, результаты (реакции) воздействия угроз). Учитывая состав объекта, угрозы возможно разделить на виды: угрозы физического воздействия, угрозы психологического воздействия, угрозы информационного воздействия. Источники этих угроз можно представить как угрозу структуре, функциям и источниками существования объекта [5].

Изображение в табличной (матричной) форме приведенных выше положений и понятий можно назвать матрицей анализа безопасности фирмы.

Построение этой матрицы стало возможно только на основе предложенного "объектового" подхода к вопросам безопасности фирмы. Дело в том, что на сегодняшний день в большинстве случаев коммерческое применение понятия безопасности несколько обезличено. Фирме предлагаются услуги в области охраны (личная охрана, охрана периметра помещений), ТЗИ. Ядром всего этого процесса является анализ выбранного нами объекта. Анализ конкретного объекта обычно осуществляется руководством фирмы или службой безопасности фирмы. Другими словами, первой конкретной задачей ответственного за безопасность фирмы лица должен быть анализ защищаемого объекта, только после этого можно говорить о выделении разнообразных источников угроз этому объекту.

Рис.1 - Анализ угроз

1.2.1 Человеческий фактор в обеспечении информационной безопасности

Преступления, в том числе в информационной сфере, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, - ее необходимый элемент, а с другой - он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения. Особенно это актуально в сфере информационной безопасности, т.к. утечка информации в подавляющем большинстве случаев происходит по вине сотрудников банков.

Анализ сообщений средств массовой информации и оперативных сводок правоохранительных органов о криминальных и диверсионно-террористических актах против коммерческих структур в Москве и других городах России позволяет сделать однозначный вывод о высокой степени осведомленности преступников относительно режима дня и динамики деятельности предпринимателей: жертв, как правило, неизменно встречали в районе проживания или места работы, либо с предельной точностью по времени и месту перехватывали на трассе [1].

Заблаговременно были изучены основные и запасные маршруты перемещения коммерсантов. Преступники располагали подробными сведениями о составе семьи и родственниках будущих жертв, марках и номерных знаках личных и служебных автомашин, соседях и т.п.

Неотъемлемым составляющим элементом любой планируемой преступной акции является сбор информации. Представляется возможным выделить следующие основные методы, которые используются злоумышленниками в настоящее время для добывания сведений о коммерческих структурах:

наблюдение, в том числе с помощью мобильных и стационарных оптико-технических средств, скрытое фотографирование, видеозапись; выведывание информации;

проведение опросов, интервьюирования, анкетирования, "направленных" бесед и т.п.;

хищение, скрытое копирование, подделка каких-либо внутренних документов лицами, внедренными или приобретенными в коммерческих структурах, которые согласились или оказались вынужденными осуществлять указанные действия по корыстным побуждениям, в результате угроз, по физическому принуждению либо иным причинам;

перехват информации на различных частотных каналах внутренней и внешней радио - и телевизионной связи коммерческих структур;

получение информации техническими средствами путем использования различных источников сигналов в помещениях коммерческих структур как связанных с функционирующей аппаратурой (персональные компьютеры), так и через специально внедренную технику негласного съема информации (спецзакладки, в том числе дистанционного управления);

добывание информации о коммерческих структурах посредством применения системы аналитических методов (структурный анализ, финансовый анализ, анализ себестоимости продукции, анализ научно-технических образцов, оценка квалификационных особенностей рабочих и служащих, изучение основных материальных фондов и т.п.).

При всем многообразии и несомненных достоинствах вышеперечисленных методов в настоящее время все же использование сотрудников коммерческих структур в качестве источников внутренней информации рассматривается как наиболее надежный, быстрый и эффективных способ получения конфиденциальных данных.

Отметим также, что кроме добывания собственно конфиденциальной информации по различным вопросам такой внутренний источник из числа сотрудников коммерческих организаций может быть одновременно использован для получения уточняющих сведений, которые бы дополняли данные, добытые техническими средствами и иными методами.

Помимо этого агентурные информационные источники сегодня все более активно и настойчиво используются для оказания выгодного криминальным структурам, а также конкурентам влияния на стратегию и тактику поведения руководителей соответствующих коммерческих предприятий, а также для воздействия на позицию лиц, принимающих ответственные решения в сфере налогообложения, таможенной политики, экспортно-импортных квот, землеотвода и т.д. [1].

При анализе нарушений защиты большое внимание следует уделять не только самому факту как таковому (то есть объекту нарушения), но и личности нарушителя, то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивах и, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций. Ценность такого анализа обуславливается еще и тем, что совершаемые без причины преступления (если речь не идет о халатности) очень и очень редки. Исследовав причину преступлений или нарушений можно либо повлиять на саму причину (если это возможно), либо ориентировать систему защиты именно на такие виды преступлений или нарушений.

Прежде всего, кто бы ни был источником нарушения, какое бы оно не было, все нарушители имеют одну общую черту - доступ к системе. Доступ может быть разным, с разными правами, к разным частям системы, через сеть, но он должен быть.

По данным Datapro Information Services Group 81.7% нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 17.3% нарушений совершаются лицами со стороны (1% приходится на случайных лиц). По другим данным, физическое разрушение составляет около 25% нарушений (пожар, наводнение, порча) и только 1-2% составляют нарушения со стороны посторонних лиц. На долю служащих, таким образом, остается 73-74% всех преступлений. Различаясь в цифрах, результаты обоих исследований говорят об одном: главный источник нарушений - внутри самой АСОИБ. И вывод отсюда также однозначен: неважно, есть ли у АСОИБ (автоматизированные системы обработки информации) связи с внешним миром и есть ли внешняя защита, но внутренняя защита должна быть обязательно [1].

Можно выделять четыре основные причины нарушений: безответственность, самоутверждение, месть и корыстный интерес пользователей (персонала) АСОИБ.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру "пользователь против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов АСОИБ считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Такой вид нарушения называется зондированием системы. Большинство систем имеет ряд средств противодействия подобным "шалостям". В случае необходимости администратор защиты использует их временно или постоянно.

Нарушение безопасности АСОИБ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИБ информации. Даже если АСОИБ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение - очень квалифицирован и опасен. Проникновение - опаснейший вид нарушений, правда, он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь в конце концов вводит АСОИБ в состояние зависания, после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.

Проникновение - наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновении обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновения может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.

Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы - более жесткая и самая жесткая вместе с постоянным контролем - от проникновении. Целью таких действий должно служить одно - обеспечение работоспособности АСОИБ в целом и ее системы защиты в частности.

Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Как уже отмечалось, около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т.д. Но не это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой [1].

Способы предотвращения нарушений вытекают из природы побудительных мотивов - это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая - психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.

1.2.2 Риски персонала

Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [11].

. Наибольший риск:

системный контролер;

администратор безопасности.

. Повышенный риск:

оператор системы;

оператор ввода и подготовки данных;

менеджер обработки;

системный программист.

. Средний риск:

инженер системы;

менеджер программного обеспечения.

. Ограниченный риск:

прикладной программист;

инженер или оператор по связи;

администратор баз данных;

инженер по оборудованию;

оператор периферийного оборудования;

библиотекарь системных магнитных носителей;

пользователь-программист;

пользователь-операционист.

. Низкий риск:

инженер по периферийному оборудованию;

библиотекарь магнитных носителей пользователей;

пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.

1.2.3 Анализ рисков

Анализ риска состоит из следующих основных этапов.

Этап 1. Описание состава системы:

аппаратные средства;

программное обеспечение;

данные;

документация;

персонал.

Этап 2. Определение уязвимых мест: выясняется уязвимость по каждому элементу системы с оценкой возможных источников угроз.

Этап 3. Оценка вероятностей реализации угроз.

Этап 4. Оценка ожидаемых размеров потерь.

Этот этап сложен, поскольку не всегда возможна количественная оценка данного показателя (например, ущерба репутации банка при нарушении конфиденциальности информации о счетах и операциях клиентов).

Этап 5. Анализ возможных методов и средств защиты.

Этап 6. Оценка выигрыша от предлагаемых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры защиты.

1.3 Категорирование информации по важности

Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности банка и характеризует опасность уничтожения либо модификации информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой [10]:

. Важная информация - незаменимая и необходимая для деятельности банка информация, процесс восстановления которой после уничтожения невозможен либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.

. Полезная информация - необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.

Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого банка достаточно двух степеней градации.

. Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, так как может вызвать материальные и моральные потери.

. Открытая информация - информация, доступ к которой посторонних не связан ни с какими потерями.

Руководство должно принять решение о том, кто и каким образом будет определять степень важности и конфиденциальности информации. Без такого решения невозможна никакая целесообразная работа по созданию банковской электронной системы.

1.4 План защиты

Анализ риска завершается принятием политики безопасности и составлением плана защиты со следующими разделами:

. Текущее состояние. Описание статуса системы защиты в момент подготовки плана.

. Рекомендации. Выбор основных средств защиты, реализующих политику безопасности.

. Ответственность. Список ответственных сотрудников и зон ответственности.

. Расписание. Определение порядка работы механизмов защиты, в том числе и средств контроля.

. Пересмотр положений плана, которые должны периодически пересматриваться.

Ключевым вопросом начального этапа создания системы безопасности является назначение ответственных за безопасность системы и разграничение сфер их деятельности. Как правило, при начальной постановке таких вопросов выясняется, что за этот аспект безопасности организации никто отвечать не хочет. Системные программисты и администраторы систем склонны относить эту задачу к компетенции общей службы безопасности, тогда как последняя, в свою очередь, считает, что подобная проблема должна находиться в компетенции специалистов по компьютерам.

1.5 Положения о безопасности

При решении вопросов распределения ответственности за безопасность компьютерной системы необходимо учитывать следующие положения [7]:

. никто, кроме руководства, не может принять основополагающих решений в области политики компьютерной безопасности;

. никто, кроме специалистов, не сможет обеспечить правильное функционирование системы безопасности;

. никакая внешняя организация или группа специалистов жизненно не заинтересованы в экономической эффективности мер безопасности.

К области стратегических решений при создании системы компьютерной безопасности должна быть отнесена разработка общих требований к классификации данных, хранимых и обрабатываемых компьютерной системой. Во многих случаях существует путаница между понятиями конфиденциальности (секретности) и важности информации.

2. Анализ угроз ТЗИ

2.1 Короткое описание возможной утечки информации каналами ПЭМВН

Чтобы справиться со стремительно нарастающим потоком информации, вызванным научно-техническим прогрессом необходимо постоянно пополнять свой арсенал разнообразными техническими средствами и системами, предназначенными для приема, передачи, обработки и хранения информации. Физические процессы, происходящие в таких устройствах при их функционировании, создают в окружающем пространстве побочные электромагнитные, акустические и другие излучения, которые в той или иной степени связаны с обработкой информации.

Подобные излучения могут обнаруживаться на довольно значительных расстояниях (до сотен метров) и, следовательно, использоваться злоумышленниками, пытающимися получить доступ к секретам. Поэтому мероприятия по ЗИ, циркулирующей в технических средствах, направлены, прежде всего, на снижение уровней таких излучений.

Чтобы принять такой объем информации, на принимающей стороне должна быть аппаратура, обладающая соответствующими характеристиками, т.е. имеющая необходимую чувствительность при определенном превышении сигнала над уровнем собственных помех, и обеспечивающая необходимую ширину полосы принимаемых сигналов при соответствующей длительности их передачи [10].

К основным информационным характеристикам канала относятся:

1. местоположение начала и конца канала;
2. форма передаваемой информации (дискретная, непрерывная) в звеньях канала;
3. структура канала передачи (датчик, кодер, модулятор, линия, демодулятор, декодер, устройство фиксации и др.);
4. вид канала (телефонный, телеграфный, телевизионный и др.);
5. скорость передачи и объем передаваемой информации;
6. способы преобразования информации в звеньях канала передачи (методы модуляции, кодирования и т.д.);
7. пропускная способность канала;
8. емкость канала.

Кроме того, классификация каналов передачи возможна по следующим признакам:

1. по виду сигналов и способу передачи;
2. по исполнению: проводные, кабельные, световодные, радио и другое;
3. по принципу действия: электромагнитные, оптические, акустические.

Технические каналы утечки информации принято делить на следующие типы:

1. радиоканалы (электромагнитные излучения радиодиапазона);
2. акустические каналы (распространение звуковых колебаний в любом звукопроводящем материале);
3. электрические каналы (опасные напряжения и токи в различных токопроводящих коммуникациях);
4. оптические каналы (электромагнитные излучения в инфракрасной, видимой и ультрафиолетовой части спектра);

материально-вещественные каналы (бумага, фото, магнитные носители, отходы и т.д.).

Источниками излучений в технических каналах являются разнообразные технические средства, в которых циркулирует информация с ограниченным доступом.

Такими средствами могут быть:

1. сети электропитания и линии заземления;
2. автоматические сети телефонной связи;
3. системы телеграфной, телекодовой и факсимильной связи;
4. средства громкоговорящей связи;
5. средства звуко- и видеозаписи;
6. системы звукоусиления речи;
7. электронно-вычислительная техника; электронные средства оргтехники.

Возможные каналы утечки информации получаются:

низкочастотными электромагнитными полями, которые возникают во время работы ТЗПИ и ДТЗС;

во время влияния на ТЗПИ и ДТЗС электрических, магнитных и акустических полей;

во время возникновения паразитной высокочастотной (ВЧ) генерации;

во время прохождения информационных (опасных) сигналов в круге электропитания;

во время взаимного влияния кругов;

во время прохождения информационных (опасных) сигналов в круге заземления;

во время паразитной модуляции высокочастотного сигнала;

вследствие ошибочных коммутаций и несанкционированных действий.

Во время пересылки информации с ограниченным доступом в элементах схем, конструкций, подводных и соединительных проводах технических средств протекают тока информационных (опасных) сигналов. Электромагнитные поля, которые возникают при этом, могут влиять на случайные антенны. Сигналы, принятые случайными антеннами, могут привести к образованию каналов утечки информации.

Источниками возникновения электромагнитных полей в ТЗПИ и ДТЗС могут быть неэкранированные провода, разомкнутые контуры, элементы контрольно-измерительных приборов, контрольные гнезда на усилительных блоках и пультах, неэкранированные конечные устройства, усилители мощности и линейные усилители, трансформаторы, дросселя, соединительные провода с большими токами, разъемы, гребенки, громкоговорители, кабельные линии.

Информативные (опасные) сигналы могут возникать на элементах технических средств, чувствительных к влиянию:

электрического поля (неэкранированные провода и элементы технических средств);

магнитного поля (микрофоны, громкоговорители, главные телефоны, трансформаторы, катушки индуктивности, дросселя, электромагнитные реле);

акустического поля (микрофоны, громкоговорители, главные телефоны, трансформаторы, катушки индуктивности, дросселя, электромагнитные реле).

При наличии в технических средствах элементов, способных превращать эти поля в электрические сигналы, возможная утечка информации незащищенными кругами абонентских линий связи, электропитания, заземления, управления, сигнализации.

Паразитная высокочастотная генерация (ПВЧГ) в ТЗПИ и ДТЗС возникает вследствие самовозбуждения усилительных устройств (активная ПВЧГ) или вследствие отражения сигналов от концов линий связи между усилителями во время переходных процессов (пассивная ПВЧГ).

Высокочастотные паразитные колебания, промодулированы информативным (опасным) сигналом за амплитудой, частотой и фазой (активная ПВЧГ) или за амплитудой и частотой (пассивная ПВЧГ), создают канал утечки информации.

ПВЧГ получается в элементах аппаратуры, которые охваченные отрицательной обратной связью и не имеют достаточного запаса стойкости, в концах линий связи между усилительными устройствами в моменты переключений через возникновение переходных процессов.

В процессе работы ТЗПИ и ДТЗС возможная утечка информации через источники электропитания:

в результате прохождения информационного (опасного) сигнала через технические средства на входном сопротивлении его источника питания может возникнуть напряжение, которое несет сигнал, который содержит информативную составную. Через выпрямительное устройство и силовой трансформатор этот сигнал распространяется сетевыми линиями за границы контролируемой территории;

во время прохождения голосового сигнала через конечное усилительное устройство может иметь место неравномерное потребление тока от источника питания. Ток, который потребляется усилителем от сети питания, может быть промодулирован информативным (опасным) сигналом, который проходит через усилитель.

Трасы кабельных кругов, которые несут ИсОД, могут прокладываться в одной кабельной канализации с незащищенными каналами ТЗПИ и ДТЗС и проходить через общие протяжные коробки и шкафы.

Во время пересылки информационного (опасного) сигнала одним витком в соседних витках - за их параллельного пробега - появляются тока, приведенные вследствие электромагнитного влияния. Переход электромагнитной энергии с одного витка в другой есть возможным каналом утечки информации.

Источниками образования информационных (опасных) сигналов есть участки, охваченные случайными емкостными и магнитными связями. Такими участками могут быть отрезки параллельного пробега линий, которые несут ИсОД, с незащищенными линиями, которые уходят за границы контролируемой территории, витки кабеля, что служат для коммутации исходных линий в пробеге, монтажные колодки, разъемы блоков, контакты переключателей и реле, используемые для коммутации исходных линий, блоки, которые испытывают влияние электромагнитного поля.

Вытек информации в цепи заземления может произойти по такой причине:

при наличии контуров в системе заземления, если существуют две или больше точки соединения цепей, который несут ИсОД, с заземлителем;

вследствие несовершенства экранов и возникновение паразитных связей. Исток может распространяться как симметричными, так и несимметричными путями.

Источником образования информационных (опасных) сигналов есть элементы кругов и схем, если эти элементы находятся под потенциалом таких сигналов и выходят из экранов.

Во время поступления высокочастотных сигналов в нелинейные (или параметрические) кольца, которые несут ИсОД, происходит модуляция высокочастотного сигнала. Таким образом, высокочастотные колебания становятся носителями информационных (опасных) сигналов и создают канал утечки информации.

Линиями, на которые подается или из которых снимается высокочастотный сигнал, могут быть незащищенные линии связи, цепи электропитания, заземления, управления и сигнализации, цепи, образованные паразитными связями, конструктивными элементами домов, сооружений, оснащения и т.п. Источниками информационных (опасных) сигналов есть нелинейные радиоэлементы, на которые происходит модуляция таких сигналов.

Во время возникновения неисправностей в аппаратуре или несанкционированных действиях обслуживающего персонала в схемах управления может возникнуть нежелательная коммутация информационного (опасного) сигнала, которая приводит к выходу ИсОД в незащищенный канал связи.

Источниками информационного (опасного) сигнала этого канала являются пульты управления, щиты распределения и коммутации, блоки контроля, реле, трансформаторы, разъемы, переключатели или запоминающие устройства, в которых может возникнуть ошибочная коммутация в результате неисправностей или несанкционированных действий.

Основными параметрами возможной утечки информации каналами ПЕМВН есть:

напряженность электрического поля информационного (опасного) сигнала;

напряженность магнитного поля информационного (опасного) сигнала;

величина звукового давления;

величина напряжения информационного (опасного) сигнала;

величина напряжения приведенного информационного (опасного) сигнала;

величина напряжения шума (помех);

величина тока информационного (опасного) сигнала;

величина чувствительности к влиянию магнитных полей для точечного источника;

величина чувствительности аппаратуры к влиянию электрических полей (собственная емкость аппаратуры);

величина чувствительности к влиянию акустических полей;

отношения "информативный сигнал/шум";

отношения напряжения опасного сигнала к напряжению шума (помех) в диапазоне частот информационного сигнала.

Указанные параметры определяются и рассчитываются по результатам измерений в заданных точках.

Предельно допустимые значения основных параметров есть нормированными величинами и определяются по соответствующим методикам.

Отношения расчетных (вымеренных) значений основных параметров к предельно допустимых (нормированных) значений определяют необходимые условия защиты информации.

2.2 Защита информации которая циркулирует в системах звукоусиления

Как оборудования систем звукоусиления, предназначенных для обслуживания проведенных в ЗП закрытых мероприятий, и систем звукового сопровождения кинофильмов, которые содержат конфиденциальные сведения, необходимо использовать оборудования, которое удовлетворяет требованиям стандартов по электромагнитной совместимости России, Европейских стран, США. В случае необходимости, для повышения уровня защищенности рекомендуется применять оборудование, сертифицированное по требованиям безопасности информации или прошлое специальные исследования и распоряжения, которые имеет, на эксплуатацию.

Системы звукоусиления должны выполняться по ведущей схеме передачи информации экранированными проводами и располагаться в границах КЗ.

С целью уменьшения побочных электромагнитных излучений целесообразно использовать систему звукоусиления с рассредоточенной системой звукоизлучателей, то есть следует отдавать предпочтение системам с большим количеством конечных устройств маленькой мощности перед системами с маленьким количеством конечных устройств большой мощности [4].

В качестве конечных устройств рекомендуется использовать звуковые столбики, которые выпускаются в защищенном выполнении.

Можно использовать громкоговорители, которые выпускаются в обычном выполнении, с экранированными магнитными цепями (например: 0,5ГДШ-5, 0,5ГД-54, 1ГДШ-2, 1ГДШ-6, 1ГДШ-28, 2ГДШ-3, 2ГДШ-4, ЗГДШ-1 или укомплектованные ними звуковые столбики (например: 2КЗ-7, 6КЗ-8, 12КЗ-18).

В этом случае звуковые столбики (громкоговорителе) следует заэкранировать по электрическому полю с помощью металлической сетки с ячейкой не более 1 гг, что заземляется из-за чего экранирует оплетку кабеля, который подводит.

В системах звукоусиления рекомендуется применять аппаратуру с симметричными входными и исходными цепями. В случае использования аппаратуры с несимметричным выходом, линии конечных устройств следует подключать к конечным усилителям через симетрирующие трансформаторы, устанавливаемые в непосредственной близости от конечных усилителей.

Как усилительное оборудование рекомендуется использовать усилители в металлических экранах с возможностью их заземления.

Коммутационное и распределительное оборудование (распределительные, входные и исходные щитки подключения) следует размещать в металлических шкафах (коробках). На корпусах шкафов (коробок) необходимо предусмотреть клеммы (винты) для их заземления и приспособление для опечатывания.

Усилительное и конечное оборудования СЗП, СЗСК следует размещать на возможно большем расстоянии относительно границы контролируемой зоны.

Система электропитания и заземления должна отвечать требованиям "Правил устройства электроустановок (ПУЭ)".

Рекомендуется электропитание и заземления аппаратуры СЗП и СЗСК осуществлять от подстанции и на заземлитель, расположенные в границах КЗ.

2.2.1 Защита информации при проведении звукозаписи

Запись и воспроизведения конфиденциальной речевой информации аппаратурой звукозаписи разрешается делать только в ЗП.

Для записи (воспроизведения) конфиденциальной информации должны применяться магнитофоны (диктофоны), которые удовлетворяют требованиям стандартов по электромагнитной совместимости России, Европейских стран, США. Для повышения уровня защищенности информации рекомендуется использовать магнитофоны (диктофоны), сертифицированные по требованиям безопасности информации или минувшие специальные исследования и имеющие распоряжения на эксплуатацию.

Носители информации (магнитные ленты, кассеты) должны учитываться и сохраняться в подразделах учреждения (предприятия) в порядке, установленному для конфиденциальной информации.

В учреждении (предприятии) должна быть предназначенное должностное лицо, ответственная за сохранение и использование аппаратуры звукозаписи конфиденциальной информации, и обеспеченное сохранение и использования этой аппаратуры, которая выключает несанкционированный доступ к ней.

.2.3 Защита речевой информации при ее передаче по каналам связи

Передача конфиденциальной речевой информации из открытых ведущих каналов связи, которая выходит за пределы КЗ, и радиоканалам должна быть исключена.

При необходимости передачи конфиденциальной информации следует использовать защищенные линии связи (например, защищенные волоконно-оптические), устройства скремблирования или криптографической защиты.

Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.

3. Построение системы защиты информации

3.1 Определения и анализ угроз

На первом этапе необходимо осуществить анализ объектов защиты, ситуационного плана, условий функционирования предприятия, учреждения, организации, оценить вероятность проявления угроз и ожидаемый вред от их реализации, подготовить засадные данные для построения отдельной модели угроз.

Источниками угроз может быть деятельность иностранных разысканий, а также намеренные или неумышленные действия юридических и физических лиц.

Угрозы могут осуществляться:

техническими каналами, которые включают каналы побочных электромагнитных излучений и наводок, акустические, оптические, радио-, радиотехнические, химические и прочие каналы;

каналами специального влияния путем формирования полей и сигналов с целью разрушения системы защиты или нарушения целостности информации;

несанкционированным доступом путем подключения к аппаратуру и линий связи, маскировка под зарегистрированного пользователя, преодоления мероприятий защиты для использования информации или навязывания ошибочной информации, применения подкладных устройств или программ и укоренение компьютерных вирусов.

Описание угроз и схематическое представление путей их осуществления составляют отдельную модель угроз.

3.2 Разработка системы защиты информации

На втором этапе следует осуществить разработку плана ТЗИ, что содержит организационные, первичные технические и основные технические мероприятия защиты ИсОД, определить зоны безопасности информации.

Организационные мероприятия регламентируют порядок информационной деятельности с учетом норм и требований ТЗИ для всех периодов жизненного цикла объекта защиты.

Первичные технические мероприятия предусматривают защиту информации блокированием угроз без использования средств ТЗИ.

Основные технические мероприятия предусматривают защиту информации с использованием средств обеспечения ТЗИ.

Для технической защиты информации следует применять способ утаивания или способ технической дезинформации.

Мероприятия защиты информации должны [5]:

быть соответствующими угрозам;

быть разработанными с учетом возможного вреда от их реализации и стоимости защитных мероприятий и ограничений, которые вносятся ними;

обеспечивать заданную эффективность мероприятия защиты информации на установленный равные на протяжении времени ограничения доступа к ней или возможности осуществления угроз.

Уровень защиты информации определяется системой количественных и качественных показателей, которые обеспечивают решение задачи защиты информации на основе норм и требований ТЗИ.

Минимально необходимый уровень защиты информации обеспечивают ограничительными и фрагментарными мероприятиями противодействия опаснейшей угрозе.

Повышение уровня защиты информации достигается наращиванием технических мероприятий противодействия большого множества угроз.

Порядок расчета и инструментального определения зон безопасности информации, реализации мероприятий ТЗИ, расчета эффективности защиты и порядок аттестации технических средств обеспечения информационной деятельности, рабочих мест (помещений) устанавливаются нормативными документами с ТЗИ.

3.3 Техническая защита банковских операций

3.3.1 Общие положения

Распространенное использование, информационных, телекоммуникационных систем в государственных ведомствах Украины и в предприятиях всех форм имущества в условиях тяжелых межгосударственных отношений требует проводить мероприятия по обеспечению защиты информации.

Одной из составляющих информационной безопасности есть техническая зашита информации. Государственные стандарты Украины определяют техническую защиту информации (ТЗИ), как деятельность направленную на предотвращение утечки информации техническими каналами, ее блокирования или нарушение целостности.

3.3.2 Возможные угрозы банковским операциям

К числу возможных угроз информации можно отнести утечку, блокирование или нарушение целостности информации во время применения технических средств или технологий, несовершенных по отношению к защите информации.

Утечка информации: не контролированное распространение информации, которое приводить к ее получению. На сегодняшнее время существует большое количество средств технической разведки, которые позволяют скрыто осуществлять данную задачу.

Технический канал утечки информации (ТКВИ): совокупность носителей информации, среды ее распространения и способов технической разведки осуществляет несанкционированный доступ к информации (НСД).

Блокирование информации: невозможность санкционированного доступа к информации.

Нарушение целостности информации: искажение информации, ее разрушение или уничтожение.

Нарушение целостности информации может осуществляться без физического контакта из ТЗПИ с помощью специальных устройств, которые осуществляет специальное воздействие [5].

В банковских учреждениях разведка информации может осуществляться:

за счет побочных электромагнитных излучений (ПЭМИ) ТЗПИ, которые обрабатывают банковскую операцию.

-За счет наводки ПЭМИ ТЗПИ на проводники, коммуникации, которые выходят за рамки контролированной территории. (КТ)

-за счет наблюдения средствами визульно-оптической разведки или фотографирование изображений мониторов, текстовых документов, плакатов.

Перехват словесной информации направленными микрофонами на больших расстояниях;

С помощью применения радиомикрофонов которые устанавливаются в выделенные помещения, диктофонов, а также мобильных телефонов, со скрытой инициализацией;

С помощью применения явлений акустоэлектрических преобразований в телефонных аппаратах городской сети и ВЧ навязывания;

С помощью контактных и неконтактных датчиков виброакустических волн поверхностей и предметов под воздействием акустического поля разговоров людей;

Из приведенного выше следует вывод, что существует большое количество ТКУИ, которая может нести конфиденциальную информацию.

3.3.3 Типичные мероприятия и средства ТЗИ от утечки

Государственными стандартами были приняты три группы средств ТЗИ: организационные, первичные технические и основные технические.

Организационные мероприятия регламентируют порядок информационной деятельности с учетом норм и требований ТЗИ для всех периодов жизненного цикла объекта защиты.

Первичные технические мероприятия предусматривают защиту информации блокированием угроз без использования средств ТЗИ.

Основные технические мероприятия предусматривают защиту информации с использованием средств обеспечения ТЗИ.

Организационные мероприятия защиты информации - комплекс административных ограничивающих мероприятий, направленных на оперативное решение задач защиты регламентации деятельности персонала и порядка функционирования средств обеспечения ТЗИ [10].

В процессе разработки и реализации мероприятий нужно:

-определить отдельные задачи ИсОД.

-обосновать структуру и технологию функционирования систем защиты информации;

разработать и ввести правила реализации мероприятий ТЗИ;

определить и установить права и обязательства подразделений и лиц, которые берут участие в обработке ИсОД;

приобрести средства обеспечения ТЗИ и нормативные документы и обеспечить ими предприятие;

установить порядок внедрения защищенных средств обработки информации, а также средств контроля ТЗИ;

установить порядок контроля функционирования систем защиты информации та ее качественных характеристик;

-определить зоны безопасности информации;

-установить порядок проведения аттестации системы ТЗИ, ее элементов и разработать программы аттестационного испытания.

обеспечить управление системою защиты информации;

3.3.4 Решение задач ТЗИ

Оперативное решение задач ТЗИ достигается организацией управления системою защиты информации, для чего необходимы:

изучить и проанализировать технологию прохождения ИсОД;

-оценить наклонность ИсОД к влиянию угроз в конкретный момент времени;

оценивать ожидаемую эффективность применения средств обеспечения ТЗИ;

определить дополнительную потребность в средствах обеспечения ТЗИ;

разрабатывать и реализовывать пропозиции к корректировки плана ТЗИ в целом или отдельных его элементов.

В процессе реализации первичных технических мероприятий нужно обеспечить:

-блокировку каналов утечки информации;

-блокировку несанкционированного доступа к информации или ее носителей;

проверку работоспособности технических средств обеспечения ИД.

3.3.5 Блокирование каналов утечки информации

Блокирование каналов утечки информации может осуществляться:

демонтированием технических средств, линий связи, сигнализации та управления, энергетических сетей, использование которых не связано с жизнеобеспечением предприятия и обработки ИсОД;

-удаление отдельных элементов технических средств, которые являются средой распространения сигналов, с помещений где циркулирует ИсОД;

временное отключение технических средств, которые не берут участия в обработке ИсОД, от линий связи, сигнализации, управления и энергетических сетей;

применение средств и схемных решений защиты информации, которые не нарушают основные технические характеристики средств обеспечения ИД [5].

3.3.6 Блокирование несанкционированного доступа

Блокирование несанкционированного доступа к информации или ее носителей может осуществляться:

созданием условий работы в пределах установленного регламента;

-невозможность использования программных, програмно-аппаратных средств, которые не прошли проверки;

Проверку исправности и работоспособности технических средств и систем обеспечения ИД необходимо проводить соответственно эксплуатационных документов.

Найденные неисправные блоки и элементы могут содействовать утечке или нарушению целостности информации и подлежат немедленной замене;

В процессе реализации основных технических мероприятий защиты нужно:

установить средства определения и индикации угроз и проверить их работоспособность;

-установить защищенные средства обработки информации, средства ТЗИ и проверить их работоспособность;

применить программные средства защиты в средствах вычислительной техники, автоматизированных систем, провести их функциональное тестирование и тестирование на соответствие требований защищенности;

применить специальные инженерно технические сооружения, средства;

Выбор средств обеспечения ТЗИ обусловливается фрагментарным или комплексным способом защиты информации.

Фрагментарная защита обеспечивает противодействие некоторой угрозе.

Комплексная защита обеспечивает одновременно противодействию множеству угроз.

Средства определения и индикации угроз применяют для сигнализации и оповещения владельца ИсОД об утечке информации или нарушения ее целостности.

Средства ТЗИ применяют автономно или вместе с техническими средствами обеспечения ИД для пассивного или активного скрытия ИсОД.

Для пассивного скрытия применяют фильтры - ограничители, линейные фильтры, специальные абонентские устройства защиты и электромагнитные экраны.

Для активного скрытия применяют генераторы линейного и пространственного защемления [5].

Программные средства применяют для обеспечения:

идентификации и аутентификации пользователей, персонала и ресурсов системы обработки информации;

-разграничение доступа пользователей к информации, средств вычислительной аппаратуры и технических средств автоматизированных систем;

целостности информации и конфигурацию автоматизированных систем;

регистрация и учет действий пользователей;

-скрытие обрабатываемой информации;

-реагирование на попытки несанкционированных действий;

Специальные инженерно технические сооружения, средства и системы используют для оптического, акустического, электромагнитного и другого экранирования носителей информации.

К ним относятся специально заделанные светопроникающие, технологические, и санитарно технические отверстия, а также специальные камеры, перекрытия, каналы и т.д.

Министерство образования и науки Украины Харковский национальный университет радиоэлектроники ДИПЛОМНАЯ РАБОТА

Больше работ по теме: