Комп’ютери в захищеному виконанні

Приведене вище дозволяє розглядати проблему захисту ПК та ЛОМ на їх основі як відкриту, і чим далі, тим більш актуальну. До цього моменту ми розглядали проблему захищеності ПК з точки зору методів і засобів, котрі забезпечуються, в основному, зовнішніми для ПК системами, пристроями, організаційними заходами або криптографічними методами.

Розглянемо деякі питання захисту інформації ПК за рахунок мінімізації ПЕМВН самих окремих ПК та ПК у складі ЛОМ. Такий підхід потребує використання мір ТЗ, котрі невідворотно мають суттєві особливості.

На Заході активно впроваджується та розвивається програма створення ТЗ в захищеному виконанні TEMPEST (Telecommunications Electronics Material Protected from Emanating Spurious Transmissions). В поняття TEMPEST входять стандарти на обладнання, засоби вимірів і контролю. Розширення поняття TEMPEST підвищує кількість його неофіційних назв [13]. Стандарти та вимоги до вимірювальних приладів і методик визначені в секретному документі NACSIM-5100A (National Communication Security Instruction).

У США введена така класифікація пристроїв та систем з захистом інформації:

TEMPEST Level 1 – обладнання даного класу відноситься до категорії вищого ступеня секретності. Обладнання повинне бути затвердженим АНБ США та призначене для використання тільки урядовими установами США (аналог стандарту NATO AMSG-720B);

TEMPEST Level 2 - обладнання даного классу призначене для захисту менш секретної, але “критичної” інформації, однак також потребує узгодження АНБ США (аналог стандарту NATO AMSG-788А);

TEMPEST Level 3 - обладнання даного классу призначене для захисту несекретної, „критичної” та комерційної інформації, реєструється NIST (National Institute of Standards and Technology).

Особливістю TEMPEST як державної політики є те, що в ній передбачена класифікація ZONE, котра встановлює вимоги для пристроїв, прихначених для приватного бізнесу. Класифікація ZONE дозволяє використовувати менш коштовні пристрої, але вона обов’язкова для виробників апаратури даного призначення. Тому недержавні організації також мають можливість захищати свою інформацію з визначеною державними стандартами надійністю.

Очевидно, що разом з розробкою нових нормативних вимог з ЗІ необхідна розробка концепції створення ПК з захистом інформації, в основі котрої повинен використовуватись системний підхід. В рамках такого підходу ПК, як об’єкт ЗІ розглядається як складна система, котра складається з генератора, модуляторів, нелінійних елементів та антен. В такій системі небезпечними являються як випромінювання елементів ПК (клавіатура, монітор, миша...), так і випромінювання на комбінаційних частотах, котрі виникають в результаті впливу двох будь-яких елементів ПК на нелінійні елементи. Іншим небезпечним каналом є витік інформації за рахунок ВЧ нав’язування. Використання в ПК елементів з мікрофонним ефектом призводить до того, що зловмиснику досяжні не тільки дані, котрі оброблюються в ПК, але і зміст розмов, котрі проходять у приміщенні де розташований ПК. Більш того, вплив сторонніх ВЧ коливань на нелінійні елементи, надісланих по мережі електроживлення або по ефіру, також призводить до появи випромінювань в ефір сигналів з комбінаційними частотами.

Вибір методу захисту такої системи базується на таких критеріях:

- забезпечення потрібного рівня захисту інформації;

- біологічний захист оператора ПК;

- технологічна придатність до серійного виробництва;

- захист від електромагнітного тероризму;

- збереження дизайну та ергономічних показників.

Найбільш повно задовольняє цим критеріям пасивний метод, - поєднання екранування корпусу та окремих елементів та вузлів з фільтрацією. При цьому вирішується як задача зменшення ПЕМВ, так і задача захисту від ВЧ нав’язування. При використанні пасивного метода (на думку автора [13]) можна отримати достовірні результати ефективності захисту в умовах спеціальної лабораторії, а не тільки на ОІД. Тому саме пасивний метод покладений в основу виробництва мультимедійних ПК “Expert” з захистом інформації. Зазначені ПК відповідають сучасним вимогам захисту по обробці текстової, графічної, аудіо та відеоінформації.

Однак, спеціалістами ТОВ „ЕПОС” проведені дослідження, котрі виявили потенційну небезпеку перехоплення інформації навіть у ПК, котрі повністю відповідають дійсним нормативним вимогам. Це свідчить про необхідність узгодження діючої нормативної бази з вимогами до експлуатації ПК та можливостями сучасної техніки перехоплення.

Відправною крапкою на шляху до визначення концепції створення ПК у захищеному виконанні на думку фахівців ТОВ „ЕПОС” повинен бути розподіл рівня захищеності ПК від витоку інформації у залежності від стану інформації, котрому відповідає визначена конфігурація обчислювального засобу. Так в автономному ПК здійснюється циркуляція інформації у двох станах, - обробки та зберігання. При віддаленому підключенні або підключенні до мережі Internet, - у стані обміну. У ЛОМ стан інформації найбільш широкий, - обробка, зберігання, обмін. Тому найбільш жорсткі вимоги повинні накладатися на ПК, котрі працюють у складі ЛОМ, а питання ТЗІ ПК потрібно розглядати при умові, що ПК працює у складі ЛОМ. У такій конфігурації усі елементи ЛОМ поєднані між собою кабельно-провідниковою системою (частіш екранована пара вита, або без виття). Кабельна система у сукупності з ПЕМВ інформації, котра передається по мережі, представляє собою передавальну антену для кожного окремого ПК та сервера. Крім того, активне обладнання ЛОМ також є джерелом випромінювань. Навіть якщо активне обладнання ЛОМ самостійно і не є небезпечним з точки зору ЗІ, але його випромінювання по дротах кабельної мережі проникає в ПК і може викликати додаткові випромінювання на комбінаційних частотах.

Оскільки мережа заземлення також являє собою антеноподібну систему дротів, фільтрування НС у мережі заземлення є необхідною складовою ЗІ ПК.

Додатоки

Додаток 1

Захист інформації на об'єктах інформаційної діяльності.

Створення комплексу технічного захисту інформації

 

НДТЗІ 1.1-005-07

Галузь використання

Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає основи організації та етапи виконання робіт щодо створення комплексу на об'єкті інформаційної діяльності (ОЩ) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі - установа), який має забезпечувати захист від витоку інформації з обмеженим доступом (ІзОД) можливими технічними каналами (далі - комплекс ТЗІ).

Вимоги цього НД можуть використовуватися під час обґрунтування, організації розроблення, впровадження заходів захисту ІзОД від загроз, що можуть бути здійснені каналами спеціально­го впливу на технічні засоби інформаційних (ав­томатизованих), телекомунікаційних, інформаційно-телекомунікаційних систем (далі - ІТС) та на інші технічні засоби.

Захищеність об'єктів, комплексів та засобів спеціального зв'язку від витоку інформації технічними каналами визначається іншими НД.

Нормативні посилання

У цьому НД є посилання на такі нормативні документи:

ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення.

ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт.

ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.

ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до органі­зації проектування і проектної документації для будівництва.

ДБН А.2.2-3-2004 Проектування. Склад, порядок розроблення, погодження та затвердження проектної документації для будівництва.

НД ТЗІ 3.1 -001-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи.

НД ТЗІ 3.3-001-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації.

НД ТЗІ 2.1 -002-07 Захист інформації на об'єктах інформаційної діяльності. Випробування комплексу технічного захисту інформації. Основні положення.

3 Визначення

У цьому НД використано терміни відповідно до ЦСТУ 3396.2.

Визначення інших термінів:

Атестація - визначення відповідності виконаних робіт зі створення комплексу ТЗІ на об'єкті інформаційної діяльності вимогам нормативних документів з питань ТЗІ.

Випробування (комплексу ТЗІ) - сукупність аналітичних, експериментальних та вимірювальних робіт, які проводяться з метою визначення повноти виконання вимог щодо захисту від витоку інформації з обмеженим доступом технічними каналами, а також перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на об'єктах інформаційної діяльності.

Інформація з обмеженим доступом - інформація, що становить державну або іншу передбачену законом таємницю, а також конфіденційна інформація, що є власністю держави або вимога щодо захисту якої встановлена законом.

Комплекс ТЗІ - сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку інформації з обмеженим доступом технічними каналами на об'єктах інформаційної діяльності.

Об'єкт інформаційної діяльності - будівлі, приміщення, транспортні засоби чи інші інженерно-технічні споруди, функціональне призначення яких передбачає обіг інформації з обмеженим доступом.

Позначення

У цьому НД використовують такі позначення: ІТС – інформаційно-телекомунікаційна система;

ІзОД - інформація з обмеженим доступом; ОІД - об'єкт інформаційної діяльності; ТЗІ - технічний захист інформації.

Загальні положення

5.1 Створення комплексу ТЗІ містить у собі проведення організаційних, інженерних і технічних заходів на ОІД, де передбачається:

- озвучення ІзОД (при проведенні нарад, показів зі звуковим супроводженням кіно- і відеофільмів тощо);

- здійснення обробки ІзОД технічними засобами (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання ІзОД тощо);

- обіг іншої ІзОД при проектуванні, будівництві, експлуатації об'єктів, виробництві технічних засобів тощо.

5.2 У створенні комплексу ТЗІ беруть участь:

- установа, яка є замовником створення комплексу ТЗІ (далі - замовник або установа-замовник);

- виконавець робіт зі створення комплексу ТЗІ (далі - виконавець робіт з ТЗІ);

- виконавець проведення випробувань щодо створення комплексу ТЗІ (далі - виконавець випробувань);

- виконавець проведення атестації комплексу ТЗІ (далі - виконавець атестації).

5.3 Установа-замовник може бути виконавцем робіт з ТЗІ і виконавцем випробувань або може залучати до виконання таких робіт і випробувань суб'єктів господарської діяльності, що мають ліцензії на провадження діяльності у сфері ТЗІ.

5.4 Атестацію комплексу ТЗІ здійснює виконавець, що має відповідну ліцензію або дозвіл на провадження діяльності у сфері ТЗІ.

Чинний від 2007-12-12

5.5 У створенні комплексу ТЗІ (залежно від характеру, складності та обсягу робіт) можуть брати участь один або декілька виконавців. У цьому разі замовник визначає головного виконавця.

5.6 Установа-замовник для створення комплексу ТЗІтакож залучає:

- свої структурні підрозділи, діяльність яких пов'язана з ІзОД та які обґрунтовують необхідність і заявляють про створення комплексу ТЗІ (підрозділи-заявники створення комплексу ТЗІ);

- призначену за необхідністю посадову особу з відповідною фаховою підготовкою для організації та координації робіт на всіх етапах створення комплексу ТЗІ, а також для організації експлуатації цього комплексу;

- підрозділ або посадові особи з відповідною фаховою підготовкою, яким доручено супроводження робіт з ТЗІ в установі (далі - підрозділ ТЗІ), службу захисту інформації в ІТС;

- інші підрозділи установи, які залучаються для формування положень щодо використання в інформаційній діяльності ІзОД, проведення обстеження, категорування об'єктів тощо.

5.7 Рішення щодо необхідності створення (модернізації) комплексу ТЗІ готує замовник на стадіях проектування, нового будівництва, розширення, реконструкції (далі - будівництво) ОІД, а також у разі змін умов функціонування ОІД.

5.8 Будівництво ОІД може виконуватися за відповідною проектно-кошторисною документацією. При цьому повинні бути враховані вимоги ДБНА.2.2-2ІДБН А.2.2-3.

5.9 Комплекс ТЗІ повинен створюватися виходячи із перспектив модернізації і розвитку інших комплексів ТЗІ установи, охоронних, протипожежних чи загальних систем безпеки установи, спеціальних систем енергоживлення, життєзабезпечення тощо, а також забезпечувати виконання норм ефективності захищеності інформації, відповідати експлуатаційним вимогам щодо необхідності та періодичності перевірок цієї захищеності.

5.10 Засоби забезпечення захисту інформації застосовують у складі комплексу ТЗІ за наявності сертифіката відповідності Системи УкрСЕПРО вимогам НД з питань ТЗІ або пози­тивного висновку державної експертизи у сфері ТЗІ.

5.11 Застосування імпортних засобів забезпечення захисту інформації можливе лише за умови відсутності вітчизняних аналогів при наявності відповідних техніко-економічних обґрунтувань і проведення їх сертифікації або одержання позитивного експертного висновку.

5.12 Джерела фінансування робіт зі створення комплексу ТЗІ визначає замовник.

Витрати на проектування, будівельно-монтажні роботи, проведення випробувань щодо ТЗІ, атес­тації комплексу ТЗІ вносяться до кошторису на бу­дівництво та експлуатацію (утримання) ОІД.