Защита информации от предварительной компьютерной разведки

Каждый администратор и пользователь должен иметь уникальные идентификаторы и пароли, а в случае использования криптографических средств защиты информации - ключи шифрования для криптографических средств, используемых для защиты информации при передаче ее по каналам связи и хранения, и для систем электронной цифровой подписи.

1.9 Защита информации при межсетевом взаимодействии.

Положения данного подраздела относятся к взаимодействию локальных сетей, ни одна из которых не имеет выхода в сети общего пользования типа Internet.

Взаимодействие ЛВС с другими вычислительными сетями должно контролироваться с точки зрения защиты информации. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах КЗ.

При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) и прокладке кабельной системы ЛВС рекомендуется учитывать разделение трафика по отдельным сетевым фрагментам на производственной основе и видам деятельности предприятия.

Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".

Для защиты конфиденциальной информации при ее передаче по каналам связи из одной АС в другую необходимо использовать: в АС класса 1Г - МЭ не ниже класса 4; в АС класса 1Д и 2Б, 3Б - МЭ класса 5 или выше. Если каналы связи выходят за пределы КЗ, необходимо использовать защищенные каналы связи, защищенные волоконно-оптические линии связи либо сертифицированные криптографические средства защиты.

1.10 Защита информации при работе с системами управления базами данных

При работе с системами управления базами данных (СУБД) и базами данных (БД) необходимо учитывать следующие особенности защиты информации от НСД: в БД может накапливаться большой объем интегрированной информации по различным тематическим направлениям, предназначенной для различных пользователей; БД могут быть физически распределены по различным устройствам и узлам сети; БД могут включать информацию различного уровня конфиденциальности; разграничение доступа пользователей к БД средствами операционной системы и/или СЗИ НСД может осуществляться только на уровне файлов БД; разграничение доступа пользователей к объектам БД: таблицам, схемам, процедурам, записям, полям записей в базах данных и т.п., может осуществляться только средствами СУБД, если таковые имеются;

регистрация действий пользователей при работе с объектами БД может осуществляться также только средствами СУБД, если таковые имеются; СУБД могут обеспечивать одновременный доступ многих пользователей (клиентов) к БД с помощью сетевых протоколов, при этом запросы пользователя к БД обрабатываются на сервере и результаты обработки направляются пользователям (клиентам).

С учетом указанных особенностей при создании БД рекомендуется: при выборе СУБД ориентироваться на операционные системы и СУБД, включающие либо штатные сертифицированные средства защиты информации от НСД, либо имеющие соответствующие сертифицированные дополнения в виде СЗИ НСД; при использовании СУБД, не имеющих средств разграничения доступа, производить разбиение БД на отдельные файлы, разграничение доступа к которым можно проводить средствами ОС и/или СЗИ НСД; при использовании современных СУБД, основанных на модели клиент-сервер, использовать их штатные средства защиты информации от НСД, применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений (VIEW), процедур и т.п.

Глава 2. Компьютерная разведка

Компьютерная разведка - это деятельность, направленная на получение информации из электронных баз данных ЭВМ, включенных в компьютерные сети открытого типа, а так же информации об особенностях их построения и функционирования. Целью КР является добывание сведений о предмете, конечных результатах, формах и способах деятельности субъектов, являющихся пользователями информационно-вычислительной сети, использующих аппаратное и программное обеспечение протоколов управления информацию взаимодействия и использующихся средств и методах защиты информации. Меньшаков Ю.К. «Защита объектов и информации от технических средств разведки» М.: Российск. Гос. Гуманит. Уни-т, 2002. 399 с.

Важную роль в достижении информационного господства отводится виртуальной разведки - разведки ведущейся в информационных потоках, которые в больших количествах проводятся всеми государственными и частными организациями, а также отдельными индивидами. Она включает в себя 3 основных направления:

А. Разведку в информационно-вычислительных компьютерных сетях.

Б. Разведку в бумажных и электронных средствах массовой информации.

В. Разведку в непериодических изданиях, в том числе в открытых и так называемых, «серых», т.е. не имеющих грифа секретности, но не предназначенных для распространения отчетах о научно-исследовательской работе, аналитических справках, диссертациях и т.п.

Компьютерная разведка - новейший вид технической разведки. Ее появление связано с развитием в современной военной науке концепции информационной войны. Например, в США выпущены два полевых устава РМ-100-5 и РМ-100-6, излагающие основы информационной войны и информационной операции. Цель информационной войны - обеспечение своему государству информационного господства, которое в наш век - век информации представляется необходимым условием того, чтобы военно-экономический потенциал государства смог привести к реальной победе.

Виртуальная разведка представляет собой целый комплекс взаимосвязанных действий оперативного и технического характера. Важнейшей технической компонентой виртуальной разведки является компьютерная разведка ( см. приложение 1, рис.1) - целенаправленная деятельность по добыванию с помощью средств вычислительной техники и программного обеспечения разведывательной информации, обрабатываемой в информационно-вычислительных сетях и/или отдельных средствах вычислительной техники.

Компьютерную разведку разделяют на добывающую и обрабатывающую Меньшаков Ю.К. «Защита объектов и информации от технических средств разведки» М.: Российск. Гос. Гуманит. Уни-т, 2002. 399 с.. В полевом уставе США РМ 100-6 приводится иерархия ситуационной осведомленности (см. приложение 1, рис.2.), представляющая собой пирамиду, в основании которой лежат данные. На втором уровне находится информация, получаемая путем обработки данных. Изучение информации приводит к формированию знаний (следующий уровень осведомленности), а знания посредством суждения способствуют пониманию (верхний уровень). Задача добывающей разведки состоит в получении данных, а обрабатывающей - в преобразовании данных в информацию и приведение ее в форму, удобную для пользователя.

Добывающая разведка бывает предварительной и непосредственной. Задача предварительной разведки - получение сведений о самой автоматизированной системе обработки данных (АСОД), используемыми объектом в интересах. Цель предварительной разведки - подобрать данные, необходимые для последовательного проникновения в АСОД противника. Эти цели достигаются путём добывания открытых и закрытых сведений. К таким открытым сведениям относятся данные о характере и режиме работы АСОД объекта разведки, квалификации его персонала, составе и структуре самой АСОД, используемом программном обеспечении, протоколов управления и взаимодействия, средств и методах защиты информации, используемой в АСОД.

Для получения таких сведений, как правило, не прибегают к приёмно-оперативной работе (подкупу персонала, краже документации) Эти сведения могут быть получены при перехвате сетевого трафика интересующей АСОД, либо при попытку установить сетевое соединение непосредственно самой АСОД, когда по характеру получения отклика можно сделать соответствующие выводы.

Установление первичного контакта, а АСОД, как правило, еще не даёт доступа к интересующей информации. Для этого необходимо получить дополнительные сведения закрытого характера. К таким сведениям относятся пароли, коды доступа, информации о принятых в АСОД правилах разграничения доступа, сетевые адреса вычислительных средств.

Для получения таких сведений существует разнообразные программные средства. К ним относятся, например, программы-демоны, перехватывающие все команды, вводимые в АСОД. Другими средствами являются снифферы - программы, считывающие первые 128 бит каждого файла, в которые нередко помещается служебная информация о самом файле и об АСОД. Существуют также специальные программы подбора паролей. Успеху подобных программ способствуют многочисленные ошибки в современном программном обеспечении, что объясняется его сложностью и относительной новизной. Сведения, собираемые об АСОД открывают путь к добыванию информации, к ведению непосредственной разведки.

На стадии непосредственной разведки, как и на всех остальных, добываются не только закрытые, но и «серые» открытые сведения.

Добывание закрытых сведений всегда связано с несанкционированным доступом к интересующей АСОД. Получение подобных сведений осуществляется как в самой АСОД объекта, так и в информационно-вычислительных сетях, внешних по отношению к АСОД. Во внешних сетях перехватываются те сообщения, которые объект разведки пересылает внешним адресатам. Можно выделить следующие способы перехвата закрытых сведений во внешних сетях:

Изменение маршрутизации при пересылке сообщений, что позволяет отправлять информацию через свой сервер, на котором производится перехват данных;

чтение электронной почты, которая, как правило, является легкой добычей на сервере отправителя, и на сервере получателя.

фальсификация сервера адресата, что в случае успеха позволяет выманить ту или иную закрытую информацию.

Программное проникновение в АСОД объекта с целью ведения разведки может осуществляться несколькими способами. Отдельную группу таких способов составляет проникновение через несетевые периферийные устройства (клавиатуру, дисководы и т.п.). Набор методов проникновения достаточно широк и определяется квалификацией взломщика и степенью совершенства установленных на объекте систем защиты от несанкционированного доступа. Считается, что абсолютно надежных систем защиты на сегодняшний день не существует. Например, известны приемы нарушения нормальной работы криптографических микросхем в системах разграничения доступа, начиная от нагревания и облучения и кончая применением моделей стимуляции направленных ошибок, которые позволяют получить секретные ключи, хранящиеся в памяти этих микросхем. Принципиальное отличие проникновения через несетевые периферийные устройства от остальных методов заключается в том, что для его выполнения необходимо физическое присутствие злоумышленника на объекте вычислительной техники. Это позволяет защищающейся стороне применить хорошо отлаженный механизм организационно-технических мер защиты. Вокруг объекта создается контролируемая территория, на которой не допускается присутствие посторонних людей; к работам в АСОД допускается ограниченный круг лиц; ведется тщательный учет и анализ всех производимых в АСОД работ; учитываются используемые носители информации и т.п.

Наиболее многочисленная и динамично развивающаяся группа способов программного проникновения в АСОД противника - это проникновение из внешних сетей. Можно выделить два основных пути такого проникновения: проникновение с использованием паролей и идентификаторов, найденных в результате предварительной разведки, а также поиск ошибок (т.н. «люков», «черных ходов», «лазеек») в программном обеспечении, используемом в АСОД. Большое количество «люков» объясняется, прежде всего, ошибками и непредусмотрительностью авторов программного обеспечения. В редких случаях авторы устанавливают «люки» для облегчения процесса отладки программы, а потом забывают их ликвидировать.

Случаются ситуации, когда «люки» оставляются автором программного обеспечения преднамеренно, чтобы создать себе привилегии при дальнейшей эксплуатации программы, а многочисленные хакеры находят эти «люки» и используют их в своих целях, в том числе, для добывания сведений из системы пользователя. В этом случае речь идет о внедрении в АСОД программного обеспечения с незадекларированными возможностями. Вариантов такого внедрения множество. Некоторые фирмы-производители лицензионного программного обеспечения распространяют свою продукцию, не предупреждая, что она может выполнять какие-либо особые функции. Как правило, это связано с охраной авторского права фирмы-изготовителя и защитой от пиратского использования, однако нет гарантий, что подобные необъявленные функции не используются для съема информации. Программная продукция с незадекларированными возможностями может попадать в АСОД объекта и по сетевым каналам. Наиболее распространенным является использование электронных досок объявлений (BBS) и частных серверов, предлагающих бесплатные версии полезных программных продуктов. Многие из таких продуктов, называемых троянскими конями, содержат необъявленные функции. Возможны варианты, когда, сама программа является вполне безобидной, но внедряет в АСОД другую самостоятельную программу, выполняющую, среди прочих, и разведывательные функции. Такая внедренная программа (например, та же программа-демон) называется программной закладкой.

Однако недостаточно лишь добраться до винчестера противника и «скачать» с него несколько гигабайт данных. Необходимо восстановить удаленные файлы противника, тщательно разобраться в полученном объеме сведений. Эту функцию выполняет обрабатывающая разведка. Специальные программы позволяют определить тип фрагмента когда-то удаленного файла (текстовый, графический, исполняемый и т.п.) и восстановить содержавшуюся в нем информацию; сопоставить и логически увязать имеющиеся файлы; устранить дублирование информации; отобрать по ключевым словам и ассоциированным понятиям только ту информацию, которая в данный момент необходима заказчику. Обработке подвергаются данные, полученные как в отдельном средстве вычислительной техники, так и в информационно-вычислительных сетях, при этом сеть представляет дополнительные возможности по обработке. Посредством анализа трафика можно контролировать гигантские потоки сведений, производить отбор, накопление и обработку не всех данных подряд, а только тех, которые представляют интерес для конечного потребителя. Для ведения экспресс-анализа в сети созданы специальные программы, т.н. ноуботы - «программные продукты, перемещающиеся от компьютера к компьютеру с возможностью размножения, которые отслеживают состояние дел и передают сводную информацию по каналам обмена данными»1381. С помощью средств компьютерной разведки можно не только анализировать конкретные данные, циркулирующие во всей сети, безотносительно к их источнику, но и отслеживать деятельность конкретных организаций и отдельных лиц.

Особо следует подчеркнуть, что обработке подвергаются не только закрытые, но и открытые сведения. Соответствующий анализ открытых источников позволяет синтезировать информацию закрытого характера. По оценке специалистов изучение 10000 открытых документов позволяет при некоторых условиях получить 1 документ высшей степени секретности [40].

В связи с высокой степенью угрозы безопасности информации, обрабатываемой в информационно-вычислительных сетях, все большее количество пользователей сети применяют для защиты своей информации шифрование. По этой причине одной из задач обрабатывающей компьютерной разведки является проведение элементов криптоанализа. Криптоанализ - наука о раскрытии алгоритмов шифрования, подборе ключей и восстановлении информации из зашифрованного сообщения. Поскольку в криптоанализе широко используются компьютерные методы обработки информации, то отчасти его можно отнести к обрабатывающей технической разведке. Например, несложные шифры могут быть взломаны компьютером автоматически, без участия человека. К качественному скачку в криптоанализе приводят современные информационные технологии. Так, если подбор ключа на отдельном компьютере может занять много лет, то применение специальной программы, перемещающейся по сети и негласно использующей свободные вычислительные ресурсы простаивающих в данный момент ЭВМ, позволяет задействовать параллельно десятки тысяч компьютеров и сократить время подбора ключа до считанных недель. В то же время, криптоанализ может быть отнесен к компьютерной разведке лишь условно, поскольку в криптоанализе, как и в целом в криптологии, человеческий фактор является принципиально важной составляющей. При взломе сколько-нибудь серьезных шифров решающую роль играет подготовка, интуиция и опыт криптоаналитика.

В связи с тем что изучение вопросов защиты информации в средствах вычислительной техники началось сравнительно недавно, встречаются различные точки зрения на компьютерную разведку и ее место среди угроз безопасности информации.

Как известно, все угрозы безопасности информации можно разделить на 4 типа: уничтожение, изменение, хищение, блокирование. Компьютерная разведка, как и любая другая разведка, занимается только хищением информации Меньшаков Ю.К. «Защита объектов и информации от технических средств разведки» М.: Российск. Гос. Гуманит. Уни-т, 2002. 399 с.. Активное воздействие на информацию не предполагается (за исключением случаев, когда в целях маскировки несанкционированного доступа модифицируется некоторая служебная, второстепенная с точки зрения добывания, информация в операционной системе и средствах защиты АСОД противника). По этой причине к компьютерной разведке нельзя относить все средства активного воздействия на информационные системы противника почтовые и логические бомбы, электронные черви, SYN-наводнения, атаки типа «салями», большинство вирусов, махинации с банковскими счетами и другие средства и методы из арсенала криминальных хакеров. Не следует считать компьютерной разведкой и способы несанкционированного копирования лицензионных программных продуктов и взламывания их защиты, если целью этих действий является не получение информации, а нарушение авторского права и незаконный доступ к услугам.

Нередко к компьютерной разведке ошибочно относят визуальное и акустическое наблюдение в АСОД объекта; применение аппаратных закладочных устройств в средствах вычислительной техники; внедрение аппаратного обеспечения с незадекларированными возможностями (например, центральных процессоров с функциями съема информации, заложенными в них еще на стадии изготовления); разведку паразитных электромагнитных излучений и наводок в средствах вычислительной техники. Действительно, всё это средства из арсенала технических разведок. Но это другие виды разведки, отношении которых разработаны свои способы оценки эффективности и организации технической защиты. В этих случаях, с точки зрения защиты, средства вычислительной техники ничем не отличаются от телефона, телевизора, радиовещательного приемника. Защита информации от перечисленных видов разведки в АСОД производится точно так же, как и в других средствах, с которых возможен технический съем информации.

Нельзя относить к компьютерной разведке некоторые специфические приемы использования вычислительной техники (см. приложение 1, рис3.). Известно, например, что в информационно-вычислительных сетях общего пользования можно встретиться с приемом, известным как втягивание в телеконференции, когда ставится задача чем-либо заинтересовать человека - носителя важной информации, вовлечь его в общение и попытаться «раскрутить» на разглашение определенных сведений. Этот прием вообще не относится к технической разведке, поскольку в его основу положены методы оперативной работы с людьми. Также не является компьютерной разведкой передача агентами развединформации через информационно-вычислительные сети, т.к. сеть в данном случае выступает не более чем как канал связи, аналогичный каналам телефонной, почтовой или радиосвязи.

Такая открытая информация как данные о характере и режиме АСОД, информация о квалификации персонала, данные о составе и структуре АСОД несёт в себе информацию помогающую в дальнейшим использовать для последовательного проникновения в АСОД противника.

Так как существует множество известных схем построения автоматизированных баз данных, данные о характере и режиме, составе и структуре АСОД, могут и обычно содержат информацию дающую понять как в общих чертах, так и достаточно детально схему системы строения, состава АСОД, режиме ёё работы и эксплуатации. Информация о квалификации персонала не всегда является закрытой и может нести в себе сведения об уровне сложности АСОД. Обладание такой информацией является, безусловно, важным шагом на этапе предварительной разведки.

2.1 Аналитическая разведка средствами Интернет

Одним из перспективных направлений работы службы компьютерной разведки на этапе предварительной КР является аналитическая разведка средствами Интернет. Ее сущность заключается в поиске и передаче информации из компьютерных систем и сетей «всемирной паутины» с последующей верификацией и аналитической обработкой.

Профессионалы прекрасно понимают, что на этапе предварительной разведку, можно, а иногда и необходимо обойтись без компьютерных взломов, просто обрабатывая по специальному алгоритму огромные массивы информации, доступные каждому пользователю ИНТЕРНЕТ.

Большой интерес к методам аналитической разведки проявляют, как государственные, так и не государственные спецслужбы. Это обусловлено тем, что в ИНТЕРНЕТ содержатся большие объемы информации, которая может представлять оперативный интерес, как для первых, так и для вторых. Поэтому во многих странах, в частности в правоохранительных органах России (Управление «Р» МВД, Департамент информационной безопасности ФСБ), США (ФБР) и в Германии (ВКА), созданы специальные подразделения аналитической разведки в ИНТЕРНЕТ. Аналогичные подразделения функционируют в транснациональных корпорациях, которые все больше и больше превращаются в государства в государстве.

Помимо этого существуют самостоятельные исследовательские центры, специализирующихся на “выуживании” нужных данных в “цифровом океане”. В Западной Европе и США сбор информации средствами ИНТЕРНЕТ уже давно превратился в весьма прибыльный бизнес. По сообщениям открытой прессы только во Франции в настоящее время работает более десятка компаний, задачей которых является изучение документов, в том числе таблиц и рисунков, существующих в ИНТЕРНЕТ-пространстве. Как пример, можно привести компанию лингвистической инженерии MAAG, которая ориентирована на информационно-аналитическое обеспечение таких ключевых отраслей французской экономики, как аэрокосмическая промышленность, транспорт и энергетика.

Для глобальных исследований в ИНТЕРНЕТ используются специальные “процессоры сбора данных” (в некоторых источниках их называют еще “текстово-аналитические системы”, хотя название не совсем верно, т.к. анализируется не только текст, но и рисунки, чертежи и графики). В данном контексте термин “процессор” не имеет ничего общего с микропроцессором, это часть программы, которая определяет, каким образом сама программа управляет и манипулирует данными. Процессор сбора данных использует программное обеспечение, получившие название “робот”: “робот” извлекает нужную информацию, используя целый арсенал средств лингвистического, семантического и статистического анализа. Действуя автономно, процессоры сбора данных перехватывают любую запрашиваемую информацию, как только она появится в ИНТЕРНЕТ.

Методика ведения компьютерной разведки с помощью данного программного обеспечения следующая: обрабатывая материалы открытого доступа, имеющиеся в ИНТЕРНЕТ-пространстве, программа статистического анализа составляет, так называемые карты работы в различных отраслях науки. В свою очередь, это позволяет аналитикам устанавливать наиболее перспективные научные разработки и областях, где конкуренция пока что сравнительно невелика. Результаты количественного и качественного анализа результатов работы научных лабораторий позволяют оценить степень творческой атмосферы исследовательских коллективов. Это так же может быть весьма полезным при выявлении “перспективных летунов”, то есть исследователей, которые за сравнительно короткий срок успевают поменять ряд представляющих интерес научных центров, а тем самым знакомы с многими результатами их работы.

Технический прогресс не стоит на месте, и весьма очевидно, что если государственные спецслужбы отдают для коммерческого использования подобные разработки, то это может означать только одно - они получили в свое распоряжение что-то гораздо более мощное.

Для “фильтрования” информации указанное программное обеспечение использует ключевые слова и фразы, после чего автоматически составляются сообщения необходимого пользователям содержания. В них могут быть, например, данные о деловых операциях конкретной компании и ее партнерах, используемых ими технологиях и выпускаемой продукции, а также фамилии руководящего персонала.

В данной связи хотелось бы отметить, что появление новых сетевых информационных технологий практически уравняло возможности конкурентов в получении необходимой исходной информации. Теперь основное значение получает быстрота поиска и правильный анализ. В этом как раз и могут помочь процессоры сбора данных, позволяющие “извлекать” и анализировать необходимую информацию из крупных информационных массивов. Профессионалы прекрасно понимают, что экономическую разведку, можно вести без компьютерных взломов, просто обрабатывая по специальному алгоритму огромные массивы информации, доступные каждому пользователю ИНТЕРНЕТ.

Но следует отметить, что аналитическая разведка средствами ИНТЕРНЕТ, - это палка о двух концах. Дело в том, что если отследить и проанализировать тематику интересующих конкретный хозяйствующий субъект данных имеющихся в ИНТЕРНЕТ, то достаточно просто можно построить причинно-следственную цепочку и выявить перспективные намерения предприятия, уровень его притязаний, по которым, в свою очередь, можно будет оценить его уровень развития. Для этого разработаны специальные “роботы роботов”, которые позволяют перехватывать данные о работе системы, занимающейся целенаправленным сбором информации.

А теперь вернемся в российскую действительность и попытаемся рассмотреть национальные особенности ведения аналитической разведки, причем остановимся на тех, что не требуют значительных финансовых вложений. Я думаю, что предыдущий материал смог убедить большинство в том, что использование методик аналитической разведки открывает огромные возможности по оперативному получению необходимых данных как из профессиональных баз и банков данных, так и из неструктурированной информации имеющейся в ИНТЕРНЕТ.

Эти обстоятельства естественным образом выделяют аналитическую разведку в самостоятельное направление деятельности подразделений безопасности хозяйствующих субъектов, а в сочетании с другими технологиями аналитической обработки информации, которые будут описаны далее, позволяют говорить о целом комплексе разведывательных мероприятий, основанных на современных информационных технологиях.

Самый простой и дешевый способ информационно-поисковой работы в ИНТЕРНЕТ - воспользоваться услугами бесплатных поисковых систем.

Следуют отметить, результативность поиска в данном случае зависит от двух составляющих:

Во-первых, от степени соответствия ключевого слова или фразы поставленной информационной задаче, т.е. релевантности информационного запроса.

В качестве примера можно привести следующий случай.

Служба безопасности предприятия, собирая информацию в отношение предполагаемого партнера в одном отдаленном субъекте федерации посредством ИНТЕРНЕТ вышла на официальный сайт данного субъекта федерации. Официальная пресса представленная там, расписывала возможного партнера не жалея творческих сил и бюджетных средств. Но аналитики пошли дальше, и через ссылку на официальном сайте Администрации вышли на сайт торгово-промышленной палаты, а оттуда на сайт посвященный местным СМИ. С данного сайта вышли на материалы одной из оппозиционных Главе Администрации региона газет и этим существенно расширили свои знания об исследуемом объекте на предмет имевшегося на него “негатива”.

Еще один пример. Службе Безопасности банка поставлена задача, в течение суток подготовить справку по крупному хозяйствующему субъекту, расположенному в весьма отдаленном субъекте РФ. Как назло, человек, который мог бы “подсветить” эту организацию болеет. Выход из ситуации один - обойтись подручными средствами.

С помощью поисковой системы аналитики СБ сделали выборку разноплановых информационных документов, где упоминается данное предприятие, с различных сайтов. Отобранные документы были полностью скопированы на жесткий диск. Далее наступил черед анализа и синтеза.

Рассмотрим детально, что и как было использовано.

Фактографическая информация о предприятии была частично получена из нескольких источников - собственный сайт предприятия (история предприятия, его реквизиты, руководство, перечень необходимого сырья и производимой продукции, перспективные планы), сайт региональной Торгово-промышленной палаты, сайты областной и городской администрации - дополнили эти сведения.

Финансово-экономический блок - сайт Федеральной комиссии по ценным бумагам - ситуация с акциями (хотя и не всегда свежая), сайты информационных и консалтинговых фирм, а также средств массовой информации исследующих экономические проблемы (например журнал “Эксперт”) - так был получен баланс предприятия (который предприятие, обязано опубликовать) и другие экономические показатели, на сайте местного отделения Министерства по налогам и сборам была получена информация о задолженности предприятия в бюджет.

Инвестиционная информация - на сайте областной Администрации и на сайте консалтингового агентства была получена информация об инвестиционных программах предприятия.

Информация о перспективах развития - на сайте отраслевых журналов, можно получить весьма интересные аналитические обзоры, причем в динамике всей отрасти.

Социально-политическая информация - сайты местных СМИ, как официальных, так и оппозиционных.

Информация о фирмах работающих с ценными бумагами предприятия с сайтов объявлений о продаже акций и векселей. Что позволило в дальнейшем, уже оперативным путем проследить связи выявленных фирм.

Персональная информация о руководстве - сайты местных СМИ и официальные сайты местных органов власти.

Компрматериалы - сайты местных и центральных СМИ, специальные “жареные” сайты.

При правильном подходе даже их официальные сайты могут сообщить вам очень много интересного.

Например, если в сети появилось объявление вашего конкурента о поиске специалиста в новой для него области, то это может стать сигнальной информацией для вас о предстоящей смене приоритетов в хозяйственной политике конкурента.

Достаточно широко известна история, когда журналисты одного из крупнейших российских изданий в ходе проводимого журналистского расследования без особых проблем с помощью ИНТЕРНЕТ выяснили месторасположение интересовавшей их персоны. Найти человека или принадлежащую ему фирму в США, как оказалось особых трудов не представляет. Информационная система газеты “Baltimor Sun” весьма быстро выдала на экран компьютера не только данные по интересующим журналистов фирмам, их деятельности и учредителям, но и домашний телефонный номер самого объекта, а также список телефонов его соседей. Алгоритм тот же самый, только теперь вы используете уже зарубежные поисковики и каталоги.

Также самые большие информационные ресурсы хранятся на платные сайтах различных информационных и консалтинговых компаний.

Как и на Западе, в русском секторе ИНТЕРНЕТ тоже существуют электронные библиотеки, в которых накапливается различная тематическая информация. В качестве примера можно привести “Национальную Электронную Библиотеку” (http://www.nns.ru), информационное агентство “Интегрум-Техно” (http://www.integrum.ru) и агентство экономической “Прайм-ТАСС” (http://www.prime-tass.ru).

Так, например, “Национальная Электронная Библиотека” располагает значительным электронным полнотекстовым архивом средств массовой информации - более 5 миллионов документов, 2.5 тысячи источников из 73 регионов России, стран СНГ и Балтии, более 7000 новых документов и около 400 источников ежедневно.

В свою очередь, информационная система “Интегрум-техно” содержит свыше 40 миллионов документов и более 1.400 баз данных. Каждый месяц это количество увеличивается на 10 тысяч новых документов и на 20-30 новых баз данных.

Глава 3. Организационно-технические и технические мероприятия по защите информации от предварительной компьютерной разведки

3.1 Технические каналы утечки информации

Как уже говорилось во второй главе, цели предварительной разведки достигаются путём добывания открытых и закрытых сведений. К открытым сведениям можно отнести данные,

о характере и режиме работы АСОД объекта разведки;

о квалификации его персонала;

о составе и структуре самой АСОД,

об используемом программном обеспечении;

о протоколах управления и взаимодействия;

Для получения этих сведений нет необходимости прибегать к приемам оперативной работы (подкупу персонала, краже документации и т.п.). Эти сведения, как правило, не являются закрытыми и могут быть получены при перехвате сетевого трафика интересующей АСОД либо при попытке установить сетевое соединение непосредственно с самой АСОД, когда по характеру получаемого отклика можно сделать соответствующие выводы. К сведениям закрытого характера относятся

пароли;

коды доступа;

информация о принятых в АСОД правилах разграничения доступа;

сетевые адреса вычислительных средств противника;

информация о средствах и методах защиты информации, используемых в АСОД.

Данные, отнесённые к открытым сведениям можно разделить по отделам учреждения, где такие сведения циркулируют, хранятся и обрабатываются.

Информация о характере и режиме работы, АСОД; о составе и структуре самой АСОД; об используемом программном обеспечении; о протоколах управления и взаимодействия относится к инженерно-техническому отделу АСОД. Информация о квалификации персонала циркулирует и хранится в отделе кадров предприятия. А такая закрытая информация как пароли; коды доступа; информация о принятых в АСОД правилах разграничения доступа; сетевые адреса вычислительных средств; информация о средствах и методах защиты информации, используемых в АСОД , может находится в техническом отделе АСОД и в отделе внутренней безопасности.

Как предлагается закрыть эти сведения по методикам рассмотренным в СТР-К.

Можно сказать, что утечка информации может произойти на стадии проектирования и приобретения, установки АСОД, так как ОИ может быть получена при ведении переговоров , обсуждении и выборе АСОД и при переговорах с фирмой-представителем АСОД и использовании технических средств для обработки и передачи информации. Возможны следующие каналы утечки и источники угроз безопасности информации:

акустическое излучение информативного речевого сигнала;

электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;

виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;

воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;

побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию, и линий передачи этой информации;

наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;

радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации "закладок", модулированные информативным сигналом;

радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

прослушивание ведущихся телефонных и радиопереговоров;

просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

Перехват информации или воздействие на нее с использованием технических средств могут вестись:

из-за границы КЗ из близлежащих строений и транспортных средств;

из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты;

при посещении учреждения (предприятия) посторонними лицами;

за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования.

Данные о квалификации персонала циркулирующая и хранящаяся в отделе кадров предприятия может быть получена по каналы утечки информации при использование ЭВТ и по вещественному каналу.

3.2 Организационно-технические и технические мероприятия по защите информации на различных этапах реализации СЗИ

В соответствии с этапами создания защиты информации, защита рассмотренных сведений о функционировании АСОД и персонале должна осуществляться, начиная с этапа предпроектной стадии:

устанавливается необходимость обработки (обсуждения) ОД как конфиденциальной информации на данном объекте информатизации;

определяется степень участия персонала в обработке (обсуждении, передаче, хранении) ОИ, характер их взаимодействия между собой и со службой безопасности;

определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

На последующих этапах при разработке технического задания и на стадиях проектирования, реализации объекта информатизации организационно-технические мероприятия по защите информации строятся с учётом обеспечения конфиденциальности ОИ.

В качестве основных организационно-технических мероприятий по защите информации рекомендуются:

реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к ОИ и связанным с ее использованием работам, документам;

ограничение доступа персонала и посторонних лиц в защищаемые помещения (инженерно-технический отдел, отдел кадров) и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;

размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;

Для основных технических мероприятий по защите информации рекомендуется:

Все переговоры и совещания касающиеся ОИ должны происходить в выделенном помещении;

Передача информации по открытым проводным каналам связи, выходящим за пределы контрольной зоны, и радиоканалам должна быть исключена. При необходимости передачи конфиденциальной информации следует использовать защищенные линии связи (например, защищенные волоконно-оптические), устройства скремблирования или криптографической защиты.

Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.

использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

При разработке и эксплуатации АС, предполагающих использование информации, составляющей персональные данных (сведения о квалификации персонала) должны выполняться следующие основные требования.

Организация, состав и содержание проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны отвечать требованиям по организации защиты информации

В учреждении (на предприятии) должны быть документально оформлен перечень сведений, составляющих персональные данные, подлежащих защите. Эти перечень может носить как обобщающий характер в области деятельности учреждения (предприятия), так и иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этим перечнем в части их касающейся.

В соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:

АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

Для обработки информации, составляющей персональных данных следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.

Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.

Носители информации на магнитной (магнитно-оптической) и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях учреждений (предприятий) в порядке, установленном для служебной информации ограниченного распространения, с пометкой "Для служебного пользования".

Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в учреждении (на предприятии).

На стадии непосредственной реализации защиты информации от технических каналов утечки информации при эксплуатации электронно-вычислительной техники, информационных систем, слаботочного оборудования (системы оперативно-командной, громкоговорящей и телефонной, системы звукоусиления, озвучивания помещений и.т.д.) рекомендуется провести организационно технические и технические мероприятия по защите информации при эксплуатации слаботочного оборудования и средств вычислительной техники.

3.2.1 Защита информации при эксплуатации слаботочного оборудования

Работы по защите слаботочного оборудования от у течки речевой секретной информации предусматривают проведение организационных, организационно-технических и технических мероприятий.

На этапе организационных мероприятий проводится:

выявление наличия и состава средств слаботочной технике в контролируемых зонах (Инженерно-технический отдел, ВЦ, кадровый отдел); выявление наличия задействованных и незадействованных воздушных, наземных, подземных, настенных, а также заложенных в скрытую канализацию кабелей и проводов уходящих за пределы контролируемой зоны; уточнение перечня режимных помещений, в которых проводятся или должны проводится закрытые мероприятия постоянного или временного характера оперирующие информацией о АСОД (обмен мнениями, обсуждения, беседы, совещания и др.); выявление наличия в режимных помещениях оконечных устройств слаботочного оборудования;

Организационно-технические мероприятия включают в себя меры по:

отключению опасных цепей; демонтажа отдельных кабелей, цепей, проводов, уходящих за пределы контрольной зоны, а также перемонтажа оборудования отдельных систем с целью внесения его в пределы контролируемой зоны; изъятия из режимных помещений средств слаботочного оборудования, применение которых может привести к возникновению опасности утечки речевой информации.

Технические мероприятия включают в себя: установку специальных средств защиты речевой информации от утечки за счёт электромагнитных излучений и наводок; замену слаботочного незащищенного оборудования на защищённое; реконструкцию кабельных сетей слаботочного оборудования для передачи закрытой речевой информации.

3.2.2 Защита информации в средствах электронно-вычислительной техники

Защита электронно-вычислительной техники и АСОД направлена на предотвращение возможности извлечения информации, циркулирующей в этих средствах, путем несанкционированного доступа или перехвата их побочных электромагнитных излучений и наводок. В соответствии с этим все способы защиты можно разделить на две группы: защита от несанкционированного доступа и защита от технических средств разведки.

Защита от несанкционированного доступа достигается проведением организационных мероприятий и применением аппаратных, программных и криптографических методов.

Организационные мероприятия заключаются: в четком установлении обязанностей должностных лиц и обслуживающего персонала по защите информации; организации пропускного режима; установлении грифов секретности циркулирующей информации и данным, непосредственно касающимся эксплуатации АСОД; осуществлении постоянного контроля за эффективностью действующей системы защиты и ее совершенствовании.

Важное место в системе организационных мероприятий занимают меры защиты, принимаемые на этапах строительства и оборудования вычислительных центров ВЦ оперирующих информацией об АСОД и персонале. Они должны предусматривать правильное размещение отделов организации хранящих и обрабатывающих информацию непосредственно касающуюся АСОД, а также размещение технических средств электронно-вычислительной техники, вспомогательного оборудования, установление необходимых размеров контролируемых зон, решение вопросов охраны и сигнализации. Наилучшим вариантом размещения ВЦ считается такое, когда он располагается в отдельных специально построенных зданиях. Если для ВЦ нельзя выделить отдельное здание, то та часть здания, где предполагается его разместить, должна быть полностью изолирована от других подразделений.

Необходимо принимать и специальные меры, к числу которых относятся: введение системы специальных пропусков, паролей, установление шифро-замков и т. д.

С точки зрения разграничения доступа персонала только к той аппаратуре и документам, которые ему необходимы для выполнения своих функциональных обязанностей, целесообразно разделять ВЦ на три части: помещение приема и распределения данных и заданий; библиотека магнитных лент, дисков, перфокарт с программами и массивами данных; рабочая область вокруг ЭВМ. Доступ в указанные помещения должен быть разграничен. Для организации доступа обслуживающего персонала в отдельные помещения ВЦ могут использоваться перфокарты и пароли.

Носители информации должны храниться в специальных хранилищах, предотвращающих их хищение или разрушение накапливаемой информации. Если носители информации предназначены для непосредственного использования при работе ЭВМ, то они должны храниться в машинном зале в специальных шкафах. Хранилище магнитных носителей информации должны иметь защиту от несанкционированных действий, например, по их размагничиванию.

Документация должна храниться в специальных сейфах Наличие ее необходимо регулярно проверять. Помещения, в которых размещаются и функционируют ЭВМ, их внешние устройства, аппаратура сопряжения с каналами связи и другие средства ВЦ и АСОД должны соответствовать требованиям, предъявляемым к помещениям для ведения секретных работ и хранения секретных документов. Они должны постоянно находиться под охраной или наблюдением.

Аппаратные способы, являющиеся важной составной частью общей системы защиты секретной информации от несанкционированного доступа, подразделяются на общие и специальные. Общие аппаратные методы реализуются путем использования замков, ключей, комплекс электромеханических блокировок и сигнализации вскрытия стоек, шкафов, пультов и т. д. Специальные методы защиты предполагают использование различных структурных схем защиты в центральном процессоре, процессоре управления вводом-выводом данных, оперативном запоминающем устройстве (ОЗУ), устройстве управления внешним запоминающем устройством (ВЗУ), терминалах пользователей. Применяемые в различных узлах и блоках ЭВМ структурные схемы защиты обеспечивают контроль доступа к информации со стороны пользователей, выявление ошибок в программах работы ЭВМ.

Программные методы защиты информации включают в себя функциональные программы опознания пользователей и определения их прав, опознания терминалов пользователей, защиты массивов информации (файлов).

В ряде случаев в автоматизированных системах применяют криптографические способы защиты информации. Необходимость засекречивания (шифрования) информации связана с возможностью хищения носителей информации (магнитных лент, дисков, барабанов, перфокарт) и несанкционированного съема информации, передаваемой по каналам связи.

Для засекречивания информации могут использоваться такие методы шифрования, как замена, перестановка, гаммирование, алгебра матриц.

Защита от технических средств разведки секретной информации, накапливаемой и циркулирующей в автоматизированных системах, достигается проведением организационных мероприятий и применением технических способов защиты.