Цілі та задачі технічного контролю ефективності заходів захисту інформації

 

Атестація за вимогами безпеки інформації передує дозволу на оброблення інформації, що підлягає захисту, й офіційно підтверджує ефективність сукупності заходів і засобів захисту інформації, які застосовані у конкретній інформаційній системі [10, с. 303 - 306].

Комплекс спеціальних атестаційних заходів називається атестаційною перевіркою та включає контроль ефективності захисту – перевірку відповідності якісних і кількісних показників ефективності заходів технічного захисту встановленим вимогам або нормам ефективності захисту інформації.

Показник ефективності захисту інформації є мірою або характеристикою для її оцінки.

Норми ефективності захисту інформації відповідають показникам, встановленим нормативними документами.

Під методом контролю ефективності захисту інформації розуміють порядок і правила застосування розрахункових і вимірювальних операцій для розв’язання задач контролю ефективності захисту.

Види контролю ефективності захисту поділяються на:

– організаційний контроль – перевірка відповідності заходів щодо технічного захисту інформації вимогам керівних документів;

– технічний контроль – контроль ефективності технічного захисту інформації, що проводиться з використанням технічних засобів контролю. Метою технічного контролю є отримання об’єктивної та достовірної інформації щодо стану захисту об’єктів контролю та підтвердження того, що витікання інформації із об’єкта неможливе, тобто на об’єкті відсутні технічні канали витоку інформації.

Технічний контроль стану захисту інформації у системах управління виробництвами, транспортом, зв’язком, енергетикою, передачі фінансової й іншої інформації здійснюється відповідно до програм і методик контролю, узгоджених із Держспецзв’язком України, власника об’єкта та відомства, які спеціально розробляються, за підлеглості об’єкта контролю.

За способом проведення та змістом технічний контроль ефективності технічного захисту інформації відноситься до найскладніших видів контролю та може бути:

– комплексним, коли перевіряється можливе витікання інформації всіма небезпечними каналами контрольованої системи;

– цільовим, коли проводиться перевірка можливого витоку інформації одним з обраних каналів;

– вибірковим, коли зі всього переліку технічних засобів системи для перевірки обираються лише ті, які за наслідками попередньої оцінки з найбільшою ймовірністю мають небезпечні канали витоку інформації, що захищається.

Залежно від виду операцій, що виконуються методи технічного контролю поділяються на:

– інструментальні, коли контрольовані показники визначаються безпосередньо за наслідками вимірювання контрольно-вимірювальною апаратурою;

– інструментально-розрахункові, за яких контрольовані показники визначаються частково розрахунковим шляхом і частково вимірюванням значень деяких параметрів фізичних полів апаратними засобами;

– розрахункові, за яких контрольовані показники розраховуються за методиками, що надаються у керівній довідковій літературі.

З метою виключення витоку інформації не допускається фізичне підключення технічних засобів контролю, а також формування тестових режимів, запуск тестових програм на засобах та інформаційних системах, що знаходяться у процесі обробки інформації.

Технічний контроль стану захисту інформації в автоматизованих системах управління різного призначення здійснюється у повній відповідності зі спеціально розробленими програмами та методиками контролю, узгоджених із Держспецзв’язком України, власником об’єкта та відомством, якому підпорядковано об’єкт контролю.

Метою технічного контролю є отримання об’єктивної та достовірної інформації щодо стану захисту об’єктів контролю та підтвердження того, що на об’єкті відсутні технічні канали витоку інформації.

Контроль стану захисту інформації полягає у перевірці відповідності організації й ефективності захисту інформації встановленим вимогам та/або нормам в області захисту інформації.

Організаційний контроль ефективності захисту інформації – перевірка повноти й обґрунтованості заходів щодо захисту інформації вимогам нормативних документів із захисту інформації.

Технічний контроль ефективності захисту інформації – контроль ефективності захисту інформації, що проводиться з використанням технічних і програмних засобів контролю.

Засіб контролю ефективності захисту інформації – технічний, програмний засіб, речовина та/або матеріал, що використовується для контролю ефективності захисту інформації.

Технічний контроль визначає дієвість та надійність вжитих заходів захисту систем інформатизації від дії технічних засобів розвідки.

Технічний контроль призначено для:

– виявлення можливих каналів витоку конфіденційної інформації;

– перевірки відповідності й ефективності вжитих заходів захисту нормативним вимогам;

– розробки рекомендацій із удосконалення прийнятих захисних заходів.

Технічний контроль проводиться за окремими фізичними полями, створюваними системою інформатизації, та складається зі:

– збирання початкових даних, що характеризують уразливості системи інформатизації по відношенню до дій технічної розвідки;

– визначення можливих типів і засобів технічної розвідки;

– попереднього розрахунку зон розвіддоступності;

– визначення складу та підготовки до роботи контрольно-вимірювальної апаратури;

– вимірювання нормованих технічних параметрів захищеної системи за окремими фізичними полями на межі контрольованої зони;

– визначення ефективності вжитих заходів захисту та в окремих випадках розробки необхідних заходів посилення захисту.

Для проведення технічного контролю потрібна наявність норм ефективності захисту, методик (методів) проведення контролю та відповідної контрольно-вимірювальної апаратури.

Усі контрольовані нормативні показники поділяються на інформаційні та технічні [10, с. 303 - 338].

Інформаційні показники відносяться до ймовірності виявлення, розпізнавання та вимірювання технічних характеристик систем із заданою точністю.

Технічними показниками ефективності вжитих заходів захисту є кількісні показники, що характеризують енергетичні, часові, частотні та просторові характеристики інформаційних фізичних полів системи.

Прикладами таких характеристик можуть бути напруженість електричного та магнітного полів побічних електромагнітних випромінювань (ПЕМВ) засобів обчислювальної техніки, рівень сигналів наведення у силових і слабкострумових лініях за межами контрольованої зони, рівні акустичних сигналів за межами захисних конструкцій тощо.

Нормою ефективності вжитих заходів захисту вважається максимально допустиме значення контрольованих параметрів на межі контрольованої зони (в місцях можливого знаходження технічних засобів розвідки).

Інструментально-розрахункові методи застосовуються тоді, коли комплект контрольно-вимірювальної апаратури не дозволяє отримати відразу кінцевий результат або не володіє достатньою чутливістю.

Розрахункові методи технічного контролю застосовуються у разі відсутності необхідної контрольно-вимірювальної апаратури, а також за необхідності швидкого отримання попередніх орієнтовних результатів щодо зони розвіддоступності, наприклад, перед інструментальними атестаціями робочих місць.

При проведенні технічного контролю потрібна контрольно-вимірювальна апаратура, яка у більшості випадків забезпечує отримання об’єктивних характеристик контрольованих параметрів або початкових даних для отримання інструментально-розрахункових характеристик. Контрольно-вимірювальна апаратура по можливості повинна бути портативною, мати достатню чутливість, відповідну чутливості апаратури розвідки, бути надійною в експлуатації.

Як правило, при проведенні контролю розрахунково-інструментальним методом проводиться значне число вимірювань на дискретних інтервалах і відповідно значне число складних розрахунків, що приводить до швидкої стомлюваності випробувачів.

Тому сучасна тенденція розвитку контрольно-вимірювальної апаратури полягає у розробці для цілей контролю програмно-апаратних комплексів, що забезпечують повну автоматизацію вимірювання параметрів фізичних полів і розрахунку нормованих показників захищеності системи.

За наслідками контролю стану й ефективності захисту інформації складається висновок із додатком протоколів контролю.