Выявление актуальных угроз безопасности информации, составляющей коммерческую тайну

Выявление актуальных угроз безопасности информации, составляющей коммерческую тайну

 

Порядок организации работ по созданию и эксплуатации объектов информатизации и систем защиты информации, составляющей коммерческую тайну, определяется в разрабатываемом в организации Положении о порядке организации и проведении работ по защите информации, составляющей коммерческую тайну.

В Положении должны быть предусмотрены:

-   порядок организации работ по определению перечня сведений, составляющих коммерческую тайну;

-   порядок определения защищаемой информации, составляющей коммерческую тайну, и ее разделение на группы коммерческой ценности;

-   анализ угроз безопасности информации, составляющей коммерческую тайну;

-   оценка существующих мер защиты информации;

-   порядок принятия решения о необходимости дополнительных мер защиты;

-   обоснование требований по защите информации, формулирование задач защиты информации, составляющей коммерческую тайну;

-   выбор способов (мер и средств) защиты информации в соответствии с задачами защиты;

-   планирование мероприятий по защите информации на объекте информатизации;

-   привлечение подразделений организации, специализированных сторонних организаций (при необходимости) к разработке и развертыванию системы защиты информации и ее элементов на объекте информатизации;

-   разработка эксплуатационной документации по вопросам защиты информации, составляющей коммерческую тайну;

-   ввод в эксплуатацию разработанной системы защиты информации, составляющей коммерческую тайну на объекте информатизации;

-   доработка (принятие дополнительных мер) по результатам опытной эксплуатации системы защиты информации, составляющей коммерческую тайну на объекте информатизации;

-   права и обязанности должностных лиц организации по защите информации, составляющей коммерческую тайну.

Определение состава и содержания защищаемой информации (информационных ресурсов), составляющих коммерческую тайну, анализ угроз безопасности информации, составляющей коммерческую тайну, и анализ существующих мер защиты информации проводится в ходе оценки обстановки на основе комплексного обследования объекта информатизации. При этом, после формирования Перечня сведений, составляющих коммерческую тайну, проводится разделение по группам коммерческой ценности, определяется необходимость защиты информации, составляющей коммерческую тайну, от угроз:

-   утечки по канал побочных электромагнитных излучений и наводок (ПЭМИН);

-   перехвата при передаче по проводным (кабельным) линиям связи;

-   несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств;

-   программно-математических воздействий;

-   непреднамеренных несанкционированных действий пользователей;

-   преднамеренного или непреднамеренного электромагнитного воздействия;

-   нарушений безопасности из за сбоев в программном обеспечении функционирования автоматизированных систем (далее по тексту – АС) и средств защиты информации, составляющей коммерческую тайну (далее – СЗИКТ), а также от угроз неантропогенного характера (сбоев аппаратуры из за ненадежности элементов, сбоев электропитания, угроз стихийного характера (ударов молний, пожаров, наводнений и т.п.);

-   хищения носителей из за физического доступа к элементам АС в составе ОИ.

Обоснование требований по защите информации, составляющей коммерческую тайну, включает в себя категорирование объекта информатизации, установление требуемого класса защищенности АС, формулирование задач защиты, выполнение которых обеспечит заданный уровень защищенности информации на объекте информатизации.

Выбор способов (мер и средств) защиты информации является определяющим этапом организации защиты информации, составляющей коммерческую тайну.

Для информации, составляющей коммерческую тайну, опасность могут представлять угрозы ее утечки по техническим каналам, угрозы, связанные с несанкционированным доступом и угрозы «заражения» компьютерными вирусами.

 

Основные технические каналы утечки информации

 

1. Акустический (через щели, окна, двери, технологические проемы, вентиляционные каналы и т.п.)

Средства перехвата информации:

- направленные микрофоны, установленные в близлежащих строениях и транспортных средствах, находящихся за границами контролируемой зоны;

- специальные высокочувствительные микрофоны, установленные в воздуховодах или в смежных помещениях, принадлежащих другим организациям;

- электронные устройства перехвата речевой информации с датчиками микрофонного типа, установленные в воздуховодах, при условии неконтролируемого доступа к ним посторонних лиц;

- прослушивание разговоров, ведущихся в защищаемых помещениях, без применения технических средств посторонними лицами (посетителями и техническим персоналом), при их нахождении в коридорах и в смежных к защищаемым помещениям (непреднамеренное прослушивание).

2.  Акустовибрационный (через ограждающие конструкции, трубы инженерных коммуникаций и т.д.)

Средства перехвата информации:

- электронные стетоскопы, установленные в смежных помещениях, принадлежащих другим организациям;

- электронные устройства перехвата речевой информации с датчиками контактного типа, установленные на инженерных коммуникациях (трубах водоснабжения, отопления, канализации, воздуховодах и т.п.) и внешних ограждающих конструкциях (стенах, потолках, полах, дверях, оконных рамах и т.п.) защищаемого помещения, при условии неконтролируемого доступа к ним посторонних лиц.

3.  Акустооптический (через оконные стекла и т.п.)

Средства перехвата информации:

- лазерные акустические локационные системы, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны.

4.  Акустоэлектрический (через соединительные линии вспомогательных технических средств и систем)

Средства перехвата информации:

- специальные низкочастотные усилители, подключаемые за пределами контролируемой зоны к соединительным линиям вспомогательным техническим средствам и системам (далее по тексту - ВТСС) обладающим «микрофонным эффектом»;

- аппаратура «высокочастотного навязывания», подключаемая за пределами контролируемой зоны к соединительным линиям ВТСС, обладающих «микрофонным эффектом».

5.  Акустоэлектромагнитный (через высокочастотные генераторы, конденсаторы, катушки индуктивности и т.п.)

Средства перехвата информации:

- специальные радиоприемные устройства, установленные в близлежащих строениях и транспортных средствах, находящимися за границами контролируемой зоны, перехватывающие ПЭМИ на частотах работы высокочастотных генераторов, входящих в состав ВТСС, обладающих «микрофонным эффектом»;

- аппаратура «высокочастотного облучения», установленная в близлежащих строениях или смежных помещениях, находящихся за пределами контролируемой зоны.

6.  Радиоканал (перехват побочных электромагнитных излучений основных технических средств и систем (далее по тексту – ОТСС)).

Средства перехвата информации:

- средства съема ПЭМИН, установленных в ближайших строениях и транспортных средствах, находящихся за пределами контролируемой зоны;

7.  Электронными устройствами перехвата информации (закладные устройства), скрытно внедряемые в технические средства и системы. Перехваченная с помощью закладных устройств информация или непосредственно предается по радиоканалу, или сначала записывается в специальное запоминающее устройство, а уже потом по команде управления передается по радиоканалу.

8.  Электрический (перехват наведенных электрических сигналов).

Средства перехвата информации:

- средства съема ПЭМИН, подключаемые к линиям электропитания технических средств, соединительным линиям, посторонним проводникам, цепям заземления за пределами контролируемой зоны.

9.  Оптический (мониторы, бумажные носители).

Средства перехвата информации:

- скрытые видеокамеры, установленные на объекте защиты и близлежащих строениях и транспортных средствах, находящихся за пределами контролируемой зоны;

- фотоаппараты, пронесенные на объект защиты.

В состав возможных потенциально уязвимых звеньев объекта информатизации включаются:

- уязвимые звенья аппаратного обеспечения, в том числе отчуждаемые носители информации (гибкие магнитные диски, жесткие магнитные диски, компакт-диски, магнитные ленты, магнитные карты и т.п.), средства ввода информации (клавиатура, привод компакт-дисков, привод гибких магнитных дисков, стример, порты ввода-вывода и т.п.), средства вывода информации (принтер, плоттер, графопостроитель, привод компакт –диска, привод гибких магнитных дисков, стример, порты ввода-вывода и т.п.), средства отображения информации  (монитор, проектор и т д.), средства обработки информации (постоянное запоминающее устройство, оперативное запоминающее устройство, центральный процессор, «материнская плата» ПЭВМ, контроллеры внешних устройств и т.п.), средства коммутации и передачи информации (сетевая плата, модем, маршрутизатор, концентратор, кабель, радиоканал, оптический канал и т.п.), система электропитания;

- уязвимые звенья систем звукоусиления и воспроизведения видео- и кинофильмов;

- уязвимые звенья программного обеспечения, в том числе базовые системы ввода/вывода (BIOS), операционной системы (недокументированная точка входа в операционную среду, нештатное дополнительное программное обеспечение (драйверы, утилиты), доступные файлы со служебной информацией, системный журнал, журнал учетных записей пользователей и т.д.), открытые общие сетевые ресурсы, доступный системный реестр), сетевые протоколы и службы, прикладное программное обеспечение, незащищенная информация пользователя;

- уязвимые звенья в организации защиты, в том числе наличие процедуры обхода администратором сети установленных правил и режимов безопасности, наличие процедур обхода (невыполнения) пользователями сети установленных правил и режимов безопасности, нерегламентированные правили и режимы эксплуатации технических средств.

По данным обследования объекта информатизации и защищаемых помещений определяется наличие на объекте информатизации угроз безопасности и составляется полный перечень актуальных угроз.