Оценивание защищенности конфиденциальной информации от утечки по техническим каналам Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.415.2 ёш: 10.17238^п2227-6572.2015.4.119

БЕДЕРДИНОВА Оксана Ивановна

Северный (Арктический) федеральный университет имени М.В. Ломоносова адрес: 164520, Архангельская обл., г. Северодвинск, ул. Капитана Воронина, д. 6; е-mail: O.Bederdinova@narfu.ru

ЖУКОВА Ирина Владимировна

Северный (Арктический) федеральный университет имени М.В. Ломоносова

адрес: 164520, Архангельская обл., г. Северодвинск, ул. Лебедева, д. 2; е-mail: irzuk17@rambler.ru

ОЦЕНИВАНИЕ ЗАЩИЩЕННОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ

Приведено описание разработанной автоматизированной системы оценивания защиты конфиденциальной информации от утечки по техническим каналам по временным методикам проведения специальных исследований при осуществлении технического контроля эффективности защищенности помещений, разработанным ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, в объектно-ориентированной среде разработки «Borland Delphi 7.0» на языке программирования «Object Pascal». Представлено описание интерфейса системы для проведения оценивания защищенности помещений по 4 методикам: от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам; защищенности конфиденциальной информации, обрабатываемой основными техническими средствами и системами (ОТСС), от утечки за счет наводок на вспомогательные технические средства и системы (ВТСС) и их коммуникации; защищенности ОТСС, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации; защищенности помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований. В системе обеспечено централизованное хранение данных результатов проведения специальных исследований по объектам информатизации (защищаемым помещениям); по используемой контрольно-измерительной аппаратуре; измеренным, вычисленным и нормативным значениям показателей защищенности конфиденциальной информации, а также соответствующих сформированных протоколов расчетно-инструментальных проверок выполнения требований по технической защите информации. Использование автоматизированной системы позволит снизить трудоемкость проведения технического контроля защищенности помещений за счет автоматизированного формирования протоколов инструментально-расчетной оценки защищенности помещения от утечки конфиденциальной информации по техническим каналам с использованием CAD-системы и централизованного хранения данных и результатов проведения специальных исследований.

Ключевые слова: технический контроль эффективности защищенности помещений, защищаемые помещения, конфиденциальная информация, специальные исследования, технические каналы утечки.

© Бедердинова О.И., Жукова И.В., 2015

Целью проведения технического контроля защищенности конфиденциальной информации в защищаемых помещениях является своевременное выявление и предотвращение утечки информации по техническим каналам. Технический контроль состояния защиты конфиденциальной информации осуществляется в соответствии с программами и методикам, согласованными с ФСТЭК России и Федеральным агентством по техническому регулированию и метрологии1.

В настоящее время наиболее распространенными программно-техническими комплексами, предназначенными для автоматизации инструментальных специальных исследований помещений с целью оценки их защищенности от утечки конфиденциальной информации в соответствии с требованиями нормативно-методических документов ФСТЭК России, являются комплексы серий «Спрут», «Шепот», «Гриф», «Легенда», «Сигурд», «Навигатор». Комплексы серий «Спрут» и «Шепот» ориентированы на проведение измерений и оценки защищенности помещения от утечки информации по акустическому и виброакустическому каналам [1]. В комплексах серии «Спрут» дополнительно реализована возможность определения параметров канала утечки информации за счет акустоэлектрических преобразований. Программно-аппаратный комплекс «Гриф-АЭ-1001» также предназначен для проведения проверок выполнения норм эффективности защиты речевой информации от утечки по каналу низкочастотных наводок на линиях коммуникаций, по каналу акустоэлектрических преобразований в линиях технических средств и за счет побочных электромагнитных излучений технических средств передачи и обработки информации (ТСПИ) в звуковом диапазоне. Программно-аппаратные комплексы серий «Легенда», «Навигатор» и «Сигурд» предназначены только для проведения специальных

исследований на побочные электромагнитные излучения и наводки (ПЭМИН) технических средств обработки информации.

Наиболее известным программным обеспечением являются «СМО ПРИЗ» и «Гроза-К». Программное обеспечение «СМО ПРИЗ» предназначено для выполнения специальных исследований технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН), «Гроза-К» - для автоматизированного расчета показателей защищенности ОТСС (основной функцией которых является обработка, хранение и передача по линиям связи конфиденциальной информации), а также помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований.

На основании вышеизложенного, задача разработки автоматизированной системы контроля выполнения норм эффективности защиты конфиденциальной информации от утечки по техническим каналам, реализующей оценку защищенности по 4 временным методикам, рекомендованными ФСТЭК России является актуальной.

Как результат анализа временных методик проведения специальных исследований при осуществлении контроля эффективности технической защиты конфиденциальной информации в защищаемых помещениях и разработанной функциональной модели (AS-IS) процесса оценивания защищенности конфиденциальной информации от утечки по техническим каналам в соответствии с требованиями нотации IDEF0 [2] был разработан проект автоматизированной системы, включающий диаграммы вариантов использования на уровне стереотипа «актер» и физическое представление модели (рис. 1-2) в соответствии с языком моделирования UML.

Для отображения верхнего уровня группировки компонентов разработанной системы

1Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам. М., 2002. 72 с.; Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К): утв. приказом № 282 Гостехкомиссии России от 30.08.2002 г. М., 2001. 38 с.

Рис. 1. Диаграмма компонентов системы оценивания защиты конфиденциальной информации от утечки по техническим каналам

с учетом технической реализации подсистем определены 4 пакета компонентов: «Автоматизированная система контроля технической

защищенности конфиденциальной информации», «Информационное обеспечение автоматизированной системы», «Формирование

Рис. 2. Диаграмма топологии системы оценивания защиты конфиденциальной информации от утечки по техническим каналам

чертежа плана-схемы защищаемого помещения», «Формирование протокола».

Описание компонентов диаграммы логического размещения автоматизированной системы представлено в таблице.

Для отображения размещения компонентов автоматизированной системы на технических устройствах разработана диаграмма физического развертывания системы по нотации UML, представленная на рис. 2 (см. с. 121).

ОПИСАНИЕ ПАКЕТОВ И КОМПОНЕНТОВ СИСТЕМы ОЦЕНИВАНИЯ ЗАщИТы

конфиденциальной информации от утечки по техническим каналам

Название компонента Назначение

Пакет «Автоматизированная система контроля технической защищенности акустической информации» Обеспечивает взаимодействие между компонентами, производит вычисления, устанавливает связь с базой данных и CAD-системой, передает данные в параметрический фрагмент чертежа защищаемого помещения и текстовый документ протокола

Состав компонента

Имя элемента Назначение

«Metodik.exe» Модуль программного обеспечения - исполняемый файл, реализованный в среде «Borland Delphi 7.0»

Название компонента Назначение

Пакет «Информационное обеспечение автоматизированной системы» Обеспечивает возможность просмотра, выбора, редактирования и хранения данных по объектам информатизации, измеренных параметров и результатов вычислений в базе данных

Состав компонента

Имя элемента Назначение

БД «Metodik.mdf» База данных, обеспечивающая хранение исходных данных по объектам информатизации, измеренных параметров и результатов вычислений по временным методикам оценки защищенности конфиденциальной информации от утечки по техническим каналам

СУБД «Microsoft SQL Server» Система управления базами данных для обеспечения функционирования базы данных

Название компонента Назначение

Пакет «Формирование чертежа план-схемы защищаемого помещения» Обеспечивает хранение данных планов-схем с контрольными точками защищаемых помещений в виде чертежей

Состав компонента

Имя элемента Назначение

CAD-система КОМПАС-3Б «Viewer V15.1» Инструментальное средство автоматизированного проектирования для формирования чертежей защищаемых помещений для последующего вывода их на просмотр и печать

Окончание таблицы

Название компонента Назначение

«Фрагмент*.:й1:» Библиотека графических файлов, содержащих параметрические фрагменты чертежей защищаемых помещений для создания чертежей планов-схем защищаемых помещений

«Чертеж*.cdw» Графические файлы, содержащие чертежи планов-схем защищаемых помещений с контрольными точками

Название компонента Назначение

Пакет «Формирование протокола» Обеспечивает хранение информации о полученных результатах проведения оценки защищенности конфиденциальной информации в виде текстовых документов

Состав компонента

Имя элемента Назначение

Текстовый редактор «MS Office Word 2007» Инструментальное средство формирования текстовых документов для последующего вывода их на просмотр и печать

Протокол*^осх Текстовые файлы, содержащие описательную часть протоколов с результатами проведения оценивания защищенности конфиденциальной информации по техническим каналам утечки

На компоненте «процессор-рабочая станция» развернуты файлы: система управления базами данных «MS SQL Server», база данных «Metodik.mdf», исполняемый файл «Metodik. exe», система автоматизированного проектирования «KOMnAC-3D Viewer V15.1», библиотека параметрических фрагментов чертежей защищаемых помещений «Фрагмент*.й1», чертежи планов-схем защищаемых помещений с контрольными точками «Чертеж*.cdw», текстовый редактор «MS Office Word 2007» и документы с результатами проведения оценивания защищенности акустической информации по техническим каналам утечки «Протокол*. docx».

На основе алгоритма разработан интерфейс автоматизированной системы на объектно-ориентированном языке программи-

рования «Object Pascal». Диалоговые окна интерфейса системы приведены на рис. 3-6. Защита информации от несанкционированного доступа в системе производится с помощью процесса авторизации пользователя. В системе реализована возможность добавления, изменения, удаления и сохранения соответствующих данных в справочниках базы данных «Исполнители», «Контрольно-измерительная аппаратура», «Заявка», «Тип технического средства», «Объект информатизации», «Методика», «Нормативные значения» и «Калибровка антенны». Поиск проведенного специального исследования возможен по соответствующему номеру специального исследования, наименованию объекта информатизации (защищаемого помещения) или названию методики, по которой были прове-

дены специальные исследования с помощью созданных элементов управления - полей со списком. По результатам всех проведенных специальных исследований формируются протоколы инстументально-расчетной оценки защищенности помещения от утечки конфиденциальной информации, с возможностью сохранения в форматах *.docs или *.pdf и последующим выводом на печать.

В форме «Данные специального исследования» для проведения оценивания технической защищенности объекта информатизации (помещения) по методике 1 (рис. 3, см. с. 125) предоставлена возможность выбора, добавления, изменения, удаления и сохранения исходных данных специального исследования, списка используемой контрольно-измерительной аппаратуры, измеренных и вычисленных показателей в базе данных. Для удобства работы пользователя добавление, изменение, удаление и сохранение измеренных показателей, вычисление и просмотр результатов оценивания защищенности акустической информации производится в отдельной форме «Результаты определения октавных коэффициентов звукоизоляции (виброизоляции)». После заполнения раздела «Измеренные параметры» и выполнения команды «Вычислить» производится автоматическое вычисление и определение степени соответствия нормам эффективности параметров защищенности объекта информатизации, которые отображаются в разделе формы «Вычисляемые параметры». По результатам проведенной оценки создается протокол ин-стументально-расчетной оценки защищенности помещения от утечки речевой конфиденциальной информации.

В формах «Данные специального исследования» для проведения оценивания технической защищенности объекта информатизации (помещения) по методикам 2 и 3 (рис. 4-5, см. с. 126-127) реализован выбор, добавление, изменение, удаление и сохранение исходных данных исследования, списка основ-

ных технических средств и систем, списка используемых средств измерений и просмотр измеренных и определенных показателей в базе данных.

Добавление и сохранение измеренных показателей, вычисление и просмотр результатов определенных значений допустимого пробега до границы контролируемой зоны (КЗ) и определенного радиуса требуемой КЗ по методикам 2 и 3 соответственно производится в отдельных формах «Результаты измерений и вычисление значения допустимого пробега до границы контролируемой зоны» и «Результаты измерений и расчет радиуса требуемой контролируемой зоны».

На основании проведенных исследований создаются протоколы контроля защищенности информации, обрабатываемой ОТСС, от утечки за счет наводок информативного сигнала и результатов измерения побочных электромагнитных излучений по методикам 2 и 3 соответственно.

Ввод исходных данных по объекту информатизации, списка потенциально опасных вспомогательных технических средств и систем (ВТСС) и используемой контрольно-измерительной аппаратуры по методике 4 реализован с помощью формы, приведенной на рис. 6, см. с. 128. Добавление, изменение, удаление измеренных параметров, вычисление и просмотр результатов определения и сопоставления октавных отношений «сигнал/шум» с нормативными значениями производится в отдельной форме. По результатам проведения исследования формируется протокол оценки защищенности помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований.

Применение разработанной автоматизированной системы позволит повысить эффективность процесса оценки технической защищенности объектов информатизации в помещениях за счет централизованного хранения исходных данных и результатов

1Ш

Протокол -Введите данные:

Данные специального исследования

Протокол № 1 Дата проведения: ]01.04,2015 Выполнил: ¡Специалист по ТЗИ Иванов Петр Сергеевич

___Должность Фамилия Имя Отчество

Объект оценки: Служебный кабинет отдела снабжения №152 Назначение ЗП: Совещания ~'

Вид оценки: ¡Аттестация Вид оценки канала перехвата речевой информации: ¡Акустический

Оцениваемые ограждающие конструкции и элементы технических систем : ¡Окна, двери Описание применяемых мер и средств защиты: ¡Двойные окна

Перечень нормативных и методических документов, |стрк, Сборник временных методик используемых при оценке защищенности:

-Перечень контрольно-измерительной аппаратуры:

Наименование

Измеритель шума и вибрации

Комплекс контроля эффективности защиты речевой информации

Генератор белого акустического шума

Акустическая колонка

Дата проверки

"Результаты определения октавных коэффициентов звукоизоляции (виброизоляции):

№ 1_ил (УшО, дБ 1_(с+ш)1 (У(с+ш)0, дБ 1-и 0/10, дБ 1.21 (У21), дБ 01, дБ Соответствие норма

► 1 1 20 30 50 30 20 Не соответствует

2 2 20 31 50 31 19 Не соответствует

3 3 20 25 50 23 27 Соответствует

4 4 20 28 50 27 23 Не соответствует

5 5 20 22 50 18 32 Соответствует

Вывод: требования по защите не выполняются

Результаты определения октавных коэффициентов звукоизоляции (виброизоляции)

Измеренный Уровень измеренного

уровень суммарного акустического

акустического (вибрационного)сигнала и

(вибрационного) акустического (вибрационного) шума в контрольной шума в контрольной точке

точке Ш (Уш), дБ: 1.(с-ни> С(с-ни)0, дБ:

20

:о

Расчетный уровень акустического (вибрационного)

Октавные уровни звукоизоляции (виброизоляции)в контрольной точке 01, дБ:

1е соответствует

Не соответствует

1е соответствует

¡Улида с транспортом для помещений, не оборудованных

| Сохранить

1Р

Данные специального исследования

Протокол введите д<

Протокол № 2 Дата проведения: 101.04.2015 ' Выполнил: ¡Специалист по ТЗИ Иванов Петр Сергеевич Наименование ОТСС: |АРМ специалиста по защите информации "▼"]

Перечень нормативных и методических документов, П^ТТё-

используемых при оценке защищенности: 1™' с6о^ик »Р«"™» "етодик

3

комплектация ОТСС:

№ ¡Наименование составной части ¡Тип (модель) Заводской номер С видеомонитором

► 1 Монитор Sumsung TFT 27 43243 W

2 Клавиатура Genius КВ-06ХЕ 44463256

3 Мышь Genius NX-6510 85847

Добавить

-Перечень средств измерени

Наименование

Тип

Прибор для измерения радиопомех Комплект измерительных антенн Генератор сигналов

Измерительный пробник

FSM-11 АИРЗ-2 Г4-158

ТК-4

73737 4735663

9 кГц-030 МГц 01.04.2015

0.008-40 МГц 0.01-100 МГц

Добавить

J

-Результаты измерений и расчёт значения допустимого пробега до границы КЗ:

|F, МГц [Uc-Hu, дБ |цш, дБ |l)c, дБ |ш, мкВ |u2, мкВ |ку, дБ/м ||

Добавить

Вывод: защищённость информации обеспечивается. Не требуются дополнительные меры защиты

01.04.2015 01.04.2015

Результаты измерений и расчет значения допустимого пробега до границы КЗ

Протяжённость Л1 Г, МГц:

1ии BTCC между Uc+uj дБ: Um, дБ:

i и Б, м : рЁ

W |100 Г

17 Г

г

Перевести 1)1 и 1)2 из дБ в мкВ:

Вычисляемые параметры -

Обеспечивается

Обеспечивается

Данные специального исследования

Протокол "Введите данн

Протокол № 3 Дата проведения: 101.04.2015 ^ Выполнил: ¡Специалист по ТЗИ Иванов Петр Сергеевич Наименование ОТСС: |АРМ специалиста по защите информации ^г]

ТЗ

Перечень нормативных и методических документов, используемых при оценке защищенности:

СТРК, Сборник временных методик

"Комплектация ОТСС:

¡Наименование составной части |Тип (модель)

¡Заводской номер ¡С видеомонитором |

-Перечень средств измерени

Наименование средств измерений

Прибор для измерения радиопомех

¡Номер ¡Д!

,иапазон частот | Дата проверь

73737 9 кГц - 030 М Гц 01.04.2015

Комплект измерительных антенн

4735663 0.008 - 40 М Гц 01.04.2015

Результаты измерений и расчёт радиуса требуемой контролируемой зоны

Расстояние от исследуемого ОТСС (источника излучения) до антенны измерителя напряженности поля (ИНП), м :

Вычисляемые параметры

-Результаты измерений и расчёт радиуса требуемой контролируемой зоны г

№ МГц Е0, дБ НО, дБ Еш, дБ Нш, дБ Ее, дБ Не, дБ и,-

► 1 30 30 8 31,52 5,13

2 22 32 6 39,76 5,53

Добавить Изменить Удалить Сохранить

Вывод: радиус требуемой контролируемой зоны без принятия дополнительных мер спецзащиты должен составлять 5,53 м

Данные специального исследования

Протокол гВведите данн

Протокол №4 Дата проведения: |01.04.2015 Выполнил: ¡Специалист по ТЗИ Иванов Петр Сергеевич

Название оцениваемого ЗП : ¡Служебный кабинет отдела снабжения №152 | Перечень нормативных и методических документов,

используемых пои оценке защищенности: 1С1РК' »етодик

используемых при оценке защищенности: "Перечень потенциально опасных ВТСС:

Наименование ВТСС

¡Тип (модель)

¡Заводской номер ¡Место установки ВТСС в РП |

4 Телефон

Panasonic KX-TS2350

243 узел 1

Добавить

"Перечень контрольно-измерительной аппаратуры:

Наименование КИА Тип Номер Диапазон частот Дата проверки

Акустическая колонка 15АС-109 24235 100 - 10000 Гц 01.04.2015

Низкочастотные генераторы сигналов ГЗ-ЗбА 277 100 - 10000 Гц 01.04,2015

Усилители мощности LV-102 733 100 - 10000 Гц 01.04.2015

Селективные микро-вольтметры Вб-9 152 100 - 10000 Гц 01.04.2015

Добавить

Результаты измерений и сравнение октавных отношений "сигнал/шум" с нормами

смеренные параметры-

Режим работы: ¡Включено -г

Выходной разъем цепи: |220 и(с

Р, Гц 1)ш пр, мкВ:

и(с-Ни)окт, исокт MKß: Отношение мкВ: ' ' сУш:

"Результаты измерений и сравнение октавных отношений "сигнал/шум" с нормативными значее

Выходной разъем цепи Р,Гц иш пр, мкВ u(c-hu) пр, мкВ 11ш окт, мкВ U(c-Hu)okt, мкВ Uc окт, мкВ Отношение с/ш Соответствие л

► 220 250 25 35 24,6 29,8 24,5 1 Нет

220 500 27 31 25 30,1 15,2 0,6 Нет

220 1000 22 36 18,6 24,2 28,5 1,5 Нет

220 2000 24 39 22,2 29,5 30,7 1,4 Нет

< >

Добавить Изменить Удалить Сохранить

проведения специальных исследований и автоматически формируемых протоколов инструментально-расчетной оценки защищенности помещения от утечки конфиденциальной ин-

формации с учетом особенностей конкретного объекта информатизации, объемов проведенных работ, вариантов используемых средств измерений и вспомогательного оборудования.

Список литературы

1. Иванов А.В. Сравнительный анализ программно-аппаратных комплексов для проведения акустических и виброакустических измерений // Сб. науч. тр. НГТУ 2010. № 4(62). C. 87-96.

2. Бедердинова О.И., Жукова И.В. Концептуальная модель оценивания защищенности акустической информации от утечки по техническим каналам // Вестн. Сев. (Арктич.) федер. ун-та. Сер.: Естеств. науки. 2015. № 2. С. 90-102.

References

1. Ivanov A.V. Sravnitel'nyy analiz programmno-apparatnykh kompleksov dlya provedeniya akusticheskikh i vibroakusticheskikh izmereniy [Comparative Analysis of Software and Hardware Systems for Acoustic and Vibro-Acoustic Measurements]. Sborniknauchnykh trudov NGTU, 2010, no. 4(62), pp. 87-96.

2. Bederdinova O.I., Zhukova I.V Kontseptual'naya model' otsenivaniya zaschishchen-nosti akusticheskoy informatsii ot utechki po tekhnicheskim kanalam [A Conceptual Evaluation Model of Acoustic Information Protection Against Leakage via Technical Channels]. Vestnik Severnogo (Arkticheskogo) federal'nogo universiteta. Ser.: Estestvennye nauki, 2015, no. 2, pp. 90-102.

doi: 10.17238/issn2227-6572.2015.4.119

Bederdinova Oksana Ivanovna

Institute of Shipbuilding and Arctic Marine Engineering, Northern (Arctic) Federal University named after M.V. Lomonosov Captain Voronin str., 6, Severodvinsk, Arkhangelsk Region, 164520, Russian Federation;

e-mail: O.Bederdinova@narfu.ru

Zhukova Irina Vladimirovna

Northern (Arctic) Federal University named after M.V. Lomonosov Lebedev str., 2, Severodvinsk, Arkhangelsk Region, 164520, Russian Federation;

e-mail: ir-zuk17@rambler.ru

SECURITY ASSESSMENT OF CONFIDENTIAL INFORMATION AGAINST LEAKAGE VIA TECHNICAL CHANNELS

The paper presents a description of the developed automated assessment system to protect confidential information against leakage via technical channels by the temporary methods of specific researches under the technical control of premises security effectiveness. It is developed by the Federal Service for Technical and Export Control of Russia in the object-oriented development environment "Borland Delphi 7.0" in the programming language "Object Pascal". The description of the system interface for premises security assessment by 4 methods is given: against leakage of confidential information via acoustic and vibro-acoustic channels; protection of confidential information processed by the major hardware and systems; against leakage due to the directing on the support technology and

systems and their communications; security of major hardware and systems for processing, storage and (or) transmission by communication links of confidential information; premises security against voice confidential data leakage via the channels of electro-acoustical conversion. The system provides centralized storage of the results of specific researches of the information objects (protected premises); test equipment; measured, calculated and normative values of indicators of protection of confidential information as well as the relevant generated protocols of the accounting and instrument inspections for fulfilling a requirement for technical protection of information. The use of the automated system reduces the complexity of technical security control of premises by the Automated protocols of the instrument and accounting estimate of the protected premises against leakage of confidential information via technical channels using the CAD-system and centralized storage of data and the results of the specific researches.

Keywords: technical control of premises security effectiveness, protected premises, confidential information, specific research, technical leakage channels.