По МДК 02.02 «Инженерно-техническая защита информации»

КУРСОВАЯ РАБОТА

По МДК 02.02 «Инженерно-техническая защита информации»

Студента Шестопалова Евгения Андреевича

(фамилия, имя, отчество)

Группы ИТС11-4

Тема: «Специальная проверка технических средств обработки информации»

Руководитель: преподаватель спецдисциплин Шаманин В.П.

(должность ФИО)

Оценка ___________ ( ) _______________

(Подпись преподавателя)

Дата «_____» ноября 2015 г.

Содержание:

Введение:

Раздел 1 : Правовая часть.

Раздел 2: Организационная часть.

Раздел 3: Практическая часть.

Использованные материалы.

Заключение.

Введение:

Специальная проверка (СП) - это комплекс мероприятий направленный на поиск и выявление устройств перехвата информации, внедренных в технику.

Специальное исследование (СИ) – это исследование электромагнитных излучений от оборудования на соответствие нормам при работе с информацией содержащей государственную тайну.

Зачем нужна специальная проверка техники?

В любой ноутбук или монитор, клавиатуру или мышь, возможно внедрить устройство перехватывающее и пересылающее информацию. Часто такие устройства называют «жучками». Таким образом специальная проверка является единственным способом точно определить прослушивают Вас или нет.

Провести СП офисной техники можно «для себя», убедившись наверняка, что никто из конкурентов не пытается украсть ваши секреты. Но есть ситуации в которых специальная проверка является обязательной! Если компьютеры или любая другая электроника будет располагаться в выделенном помещении (ВП), или использоваться для обработки государственной тайны, то специальная проверка проводится на обязательной основе. В таких случаях специальной проверке подлежат технические средства иностранного производства, а также технические средства отечественного производства, изготовленные с использованием иностранных комплектующих, предназначенные для:

· обработки информации содержащей сведения составляющие государственную тайну;

· размещения в выделенных помещениях (ВП);

· обработки конфиденциальной информации (по желанию).

Специальная проверка является комплексом инженерно-технических мероприятий, проводимых с использованием специализированных технических средств, цель которых направлена на исключение перехвата информации, содержащей сведения, составляющие государственную, служебную или коммерческую тайну, с помощью внедренных в защищаемые технические средства и изделия специальных электронных закладочных устройств.

Cпециальные обследования помещений

Одними из приоритетных источников угроз информационной безопасности являются деятельность преступных сообществ и отдельных лиц, направленная на сбор или хищение ценной информации, закрытой для доступа посторонних лиц. Достижения электронной техники делают возможным скрытно внедрять специальные электронных устройства как при проведении ремонтов, так и при разовом посещении помещений.

Для выявления возможно внедренных электронных устройств съема информации (закладочных устройств, «жучков») необходимо проведение специального обследования помещений и предметов интерьера. Специальное обследование является сложным организационно-техническим мероприятием, требующим не только применения дорогостоящей поисковой аппаратуры, но и значительного опыта персонала, выполняющего проверку.

Так как возникновение технических каналов утечки информации возможно при проведении ремонтов, смене интерьера, после посещения посторонних лиц, то необходимо проводить регламентные (периодические) проверки помещения, «старых» и вновь появляющиеся предметов интерьера и экстерьера.

Специальное обследование помещения можно разделить на три этапа:

1. Подготовительный этап - создание модели возможных действий злоумышленников по отношению к конкретному помещению и оценка наиболее вероятного уровня используемых закладочных устройств.

2. Инструментальный контроль - обследование помещения с использованием специального оборудования, направленного на выявление всех возможных естественных и технических каналов утечки информации, а также определение границ зоны, в пределах которой возможно использование этих каналов.

3. Анализ полученной информации – выявление демаскирующих признаков, определение их принадлежности к тому или иному средству или каналу утечки информации, выявление технических средств, имеющих возможность передавать информацию за счет своих конструктивных особенностей. Составление минимального комплекса мероприятий по защите технических каналов. Выводы по итогам проведенного обследования и рекомендации по повышению защищенности обследованного помещения по естественным каналам.

Раздел 1

Правовая часть

Раздел 2.

Организационная часть.

Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации

Типовое положение
об органе по аттестации объектов информатизации по требованиям безопасности информации

Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации
от 5 января 1996 г. № 3

1. Общие положения
2. Задачи и функции органа по аттестации
3. Деятельность аттестационных комиссий
4. Права, обязанности и ответственность органа по аттестации

1. Общие положения

1.1. Настоящее Типовое положение устанавливает общие требования к органу по аттестации объектов информатики по требованиям безопасности информации (далее - орган по аттестации), его функции, права, обязанности и ответственность.

1.2. Типовое положение разработано в соответствии с законом Российской Федерации "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Системой сертификации ГОСТ Р", на основании "Положения об обязательной сертификации продукции по требованиям безопасности информации", "Положения по аттестации объектов информатики по требованиям безопасности информации" , а также "Положения о государственном лицензировании деятельности в области защиты информации" и предназначено для использования при разработке Положений о конкретных органах по аттестации.

1.3. Орган по аттестации является составной частью организационной структуры единой системы обязательной сертификации продукции и аттестации объектов информатики по требованиям безопасности информации.

1.4. Орган по аттестации может формироваться из состава специальных центров Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссия России), отраслевых и региональных учреждений, предприятий и организаций по защите информации.

1.5. Орган по аттестации аккредитуется государственным органом по сертификации продукции и аттестации объектов информатики по требованиям безопасности информации (далее - государственный орган по сертификации и аттестации), которым является Гостехкомиссия России в пределах ее компетенции, определенной законодательными актами Российской Федерации. Государственные органы по сертификации и аттестации могут передавать права на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти. Правила аккредитации определяются действующим в системе сертификации и аттестации "Положением об аккредитации органов по аттестации объектов информатики, испытательных центров и органов по сертификации продукции по требованиям безопасности информации".

1.6. Орган по аттестации в своей деятельности руководствуется законодательством Российской Федерации, государственными стандартами России, нормативной и методической документацией государственных органов по сертификации и аттестации по требованиям безопасности информации в пределах их компетенции.

1.7. Положение о конкретном органе по аттестации разрабатывается на основании настоящего Типового положения с учетом юридического статуса и заявленной области аккредитации. В Положении указываются виды объектов информатики, по которым орган по аттестации претендует на аккредитацию государственным органом по сертификации и аттестации. Положение подписывается руководителем органа по аттестации, согласовывается с руководителем органа, осуществляющего аккредитацию, и утверждается руководством государственного органа по сертификации и аттестации.

1.8. Расходы по проведению всех видов работ и услуг по аттестованию объектов информатики по требованиям безопасности информации, как при обязательном, так и добровольном аттестовании, оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатики.

1.9. Деятельность органа по аттестации, аккредитованного соответствующим государственным органом по сертификации и аттестации осуществляется на основе лицензии на определенные виды деятельности (см. "Положение о лицензирова-нии...") и Аттестата аккредитации (см. "Положение об аккредитации..."), выданных ему на право проведения аттестации объектов информатики.

2. Задачи и функции органа по аттестации

2.1. Основными задачами органа по аттестации являются организация и проведение аттестации объектов информатики по требованиям безопасности информации, а также контроль за состоянием и эксплуатацией аттестованных этим органом объектов информатики.

2.2. Орган по аттестации осуществляет следующие функции:
- формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации, используемой при аттестации конкретных типов объектов информатики;
- рассматривает заявки на аттестацию объектов информатики, планирует работы по аттестации объектов информатики и доводит сроки проведения аттестации до заявителей;
- проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы о необходимости проведения испытаний несертифицированной продукции, используемой на аттестуемом объекте, в испытательных центрах (лабораториях);
- организует работы по аттестации объектов информатики как на основе заключенных договоров, так и иных взаимоотношений, определяемых на предприятии и закрепляемых в Положении о конкретном органе;
- разрабатывает программу, а при необходимости и методики аттестационных испытаний;
- формирует и командирует (при проведении работ по аттестации по заказам сторонних заявителей) аттестационные комиссии из компетентных специалистов в необходимых для конкретного объекта информатики направлениях защиты информации, привлекает к работе в этих комиссиях специалистов испытательных центров (лабораторий) по сертификации продукции в случае испытаний продукции непосредственно на аттестуемом объекте информатики;
- рассматривает результаты аттестационных испытаний объекта информатики, утверждает заключение по результатам аттестации и выдает заявителю "Аттестат соответствия";
- при осуществлении контроля за состоянием и эксплуатацией аттестованных объектов информатики проверяет соответствие реальных условий эксплуатации объекта и технологии обработки защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия";
- отменяет и приостанавливает действие выданных этим органом "Аттестатов соответствия";
ведет информационную базу аттестованных этим органом объектов информатики;
- осуществляет взаимодействие с государственными органами по сертификации и аттестации и информирует их о своей деятельности в области аттестации.

3. Деятельность аттестационных комиссий

3.1. Аттестационные комиссии формируются органом по аттестации объектов информатики из числа как штатных сотрудников органа по аттестации, так и специалистов в различных направлениях защиты информации других предприятий и организаций таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатики с целью оценки его соответствия требуемому уровню безопасности информации.

3.2. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатики, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции.

3.3. В состав аттестационных комиссий включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей.

3.4. Постоянный штат сотрудников (персонал) органа по аттестации осуществляет свою деятельность в соответствии с должностными инструкциями и должен обладать необходимой квалификацией и компетентностью.

4. Права, обязанности и ответственность органа по аттестации

4.1. Орган по аттестации имеет право:
- привлекать в порядке, определяемом в Положении о конкретном органе, для работы в аттестационных комиссиях наиболее компетентных специалистов;
- устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые в Положении о конкретном органе;
- отказывать заявителю в аттестации объекта информатики, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации;
- участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатики;
- лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования объекта информатики, технологии обработки защищаемой информации и требований по безопасности информации.

4.2. Орган по аттестации обязан:
- соблюдать в полном объеме все правила и порядок сертификации, установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, организационно-методическими документами данной Системы и другими документами, предъявляемыми при аккредитации;
- выдавать или признавать сертификаты соответствия на ту продукцию, для которой доказано ее соответствие конкретным нормативным документам по правилам данной Системы;
- при введении в нормативные документы на продукцию новой нормы на ранее сертифицированное требование информировать изготовителя продукции в течение месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации продукции в соответствии с новыми нормами;
- информировать Гостехкомиссию России о всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии;
- вести учет всех предъявляемых рекламаций к сертифицированной продукции и информировать об этом Гостехкомиссию России;
- в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатики;
- обеспечивать полноту и объективность проведения аттестации объекта информатики;
- обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации объекта информатики, соблюдение авторского права;
- вести информационную базу аттестованных этим органом объектов информатики;
- представлять в государственные органы по сертификации и аттестации информацию о результатах аттестации, а также "Аттестаты соответствия" для их регистрации;
- допускать в установленном порядке представителей контрольных органов для осуществления надзора за аттестацией объектов информатики.

4.3. Орган по аттестации несет ответственность за:
- соответствие проведенных им аттестационных испытаний объекта информатики требованиям стандартов и иных нормативных и методических документов по безопасности информации, а также достоверность и объективность их результатов;
- полноту и качество выполнения функций и обязанностей, возложенных на него;
- формирование и квалификацию аттестационных комиссий;
- соблюдение требований нормативных и методических документов, предъявляемых к порядку проведения аттестования;
- соблюдение установленных сроков и условий проведения аттестации, зафиксированных в договоре с заявителем;
- обеспечение сохранности государственной тайны и коммерческой тайны заявителя;
- соблюдение действующего законодательства.

ПОЛОЖЕНИЕ

«О ГОСУДАРСТВЕННОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ

Государственные стандарты

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России

ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России

ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России

ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России

ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России

ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России

Раздел 3.

Практическая часть.

К нам обратился Ген.Директор компании ООО "Хельги Лаб" занимающаяся разработками в области построения трехмерных фотореалистичных моделей городов и городских объектов с просьбой провести специальную проверку технических средств обработки информации принадлежащих этой организации.

Специальные проверки представляют собой проверки технических средств и систем (ТСС) объекта защиты с целью выявления и изъятия специально установленных закладных устройств съема информации непосредственно с ТСС, выявление технических доработок по изменению свойств ТСС, облегчающих умышленный или неумышленный съем информации, выявление различного рода программных закладок съема информации.

При проведении специальных проверок применяются специализированные технические средства.

Данный вид работ лицензируется, контролируется и проводится на основании нормативно-методических документов Службы специальной связи и информации при Федеральной службе охраны Российской Федерации.

Специальная проверка предшествует специальным исследованиям и состоит из нескольких последовательно выполняемых действий:

⦁ прием-передача проверяемого технического средства представителям исследовательских лабораторий или сертификационных центров, формирование исходных данных для программы проверки;

⦁ составление программы проведения специальной проверки технического средства;

⦁ проведение проверки;

⦁ анализ результатов проверки, составление отчетных протоколов.

На специальную проверку технические средства должны предъявляться в исправном состоянии, в штатной упаковке и в полной комплектации по акту приема-передачи. Акт приема-передачи подписывается только после проверки работоспособности технического средства. В случае неисправности технического средства специальная проверка не производится.

Кроме технического средства, представители организации, которой оно принадлежит, обязаны предоставить для разработки программы проверки информацию следующего вида:

⦁ данные Рѕ техническом средстве;

⦁ сведения Рѕ его планируемом применении;

⦁ данные Рѕ месте размещения технического средства.

Данные о техническом средстве должны содержать сведения о его назначении и полной комплектации, комплект документов на техническое средство, способ приобретения с указанием сведений об организации-поставщике.

Данные о планируемом применении должны содержать сведения:

⦁ планируется ли техническое средство для обработки закрытой информации;

⦁ есть ли высший РіСЂРёС„ секретности Сѓ обрабатываемой или обсуждаемой информации;

⦁ РІ составе какой информационной системы планируется работа технического средства;

⦁ Рє каким коммуникационным системам планируется подключение технического средства.

Сведения о планируемом размещении технического средства должны содержать:

⦁ описание объекта информатизации, РЅР° котором планируется использовать техническое средство;

⦁ перечень охраняемых сведений объекта информатизации;

⦁ минимальное расстояние РґРѕ границы контролируемой Р·РѕРЅС‹;

⦁ наличие посольств, представительств Рё мест пребывания иностранных граждан СЃ указанием расстояния РґРѕ контролируемой Р·РѕРЅС‹;

⦁ возможность Рё периодичность пребывания иностранных делегаций РЅР° объекте.

Программа проведения специальной проверки должна учитывать, что возможно установленные электронные закладные устройства или программные закладки ориентированы на получение вполне конкретной информации или на выведение из строя технических средств обработки информации.

По имеющимся документам проводится анализ схемотехнических особенностей электронного технического средства и источника его питания с целью выявления мест циркуляции обрабатываемой информации.

Итогом анализа исходных данных, схемотехнических особенностей и иных необходимых сведений с учетом классификации электронного устройства должен явиться перечень каналов утечки информации и возможно внедренных аппаратных закладных устройств.

Далее на основании перечня естественных каналов утечки информации и возможно внедренных закладных устройств составляется программа проведения специальной проверки технического средства, определяющая порядок выявления демаскирующих признаков закладного устройства и самого устройства. Результаты оформляются в журнале проведения специальных проверок и заверяются подписью руководителя рабочей группы.

Типовой перечень операций проведения специальных технических проверок состоит из:

⦁ дозиметрического контроля изделия РІ упаковке для обнаружения радиоактивных меток Рё радиоизотопных источников питания;

⦁ вихретокового контроля узлов технических средств обработки информации, РЅРµ содержащих металлических включений;

⦁ контроля упаковки, которая РїРѕ назначению РЅРµ должна иметь полупроводниковых РїСЂРёР±РѕСЂРѕРІ, нелинейным локатором для выявления специального электронного устройства, выполняющего роль маяка для определения местоположения технического средства;

⦁ проведения радиоконтроля для выявления активных закладных устройств передачи информации РїРѕ радиоканалу;

⦁ проверки возможности съема информации методом высокочастотного навязывания;

⦁ разборки технического средства СЃ последующим осмотром его узлов для выявления отклонения РѕС‚ схемотехнических Рё конструкторских решений;

⦁ измерений импедансов некоторых узлов технических средств для выявления РёС… отклонений РѕС‚ РЅРѕСЂРјС‹ РёР·-Р·Р° возможно внедренных аппаратных закладок;

⦁ рентгенографии или рентгеноскопии неразборных узлов Рё элементов технических средств СЃ целью выявления схемных изменений;

⦁ рентгенотелевизионного Рё визуально-оптического контроля внешнего РІРёРґР° Рё внутренней структуры узлов Рё элементов технических средств.

Сложные виды контроля (визуально-оптический контроль, рентгеновский контроль, контроль методами нелинейной локации, электротехнических измерений и высокочастотного «навязывания») проводятся по специальным методикам.

Проверенные технические средства и оборудование маркируются по специальной методике.

По результатам проведения специальной проверки руководитель проверяющей группы делает вывод о наличии или отсутствии закладных электронных устройств и оформляет акт с перечислением проверенных элементов, видов технических проверок и фамилий и инициалов проводивших отдельные виды проверок лиц.

Акт оформляется в единственном экземпляре и хранится у исполнителя. Заключение составляется в двух экземплярах - (для исполнителя и заказчика). Акт и заключение утверждаются руководителем организации-исполнителя.

Проведение специальных проверок охватывает выделенные помещения, технические средства, используемые в процессе обработки информации с ограниченным доступом, вспомогательные технические средства, используемые на объектах информационной деятельности и в выделенных помещениях.

Использованные материалы:

1. Багриновский К. А., Хрусталев Е. Ю. Новые информационные технологии. М.: “ЭКО”. 1996.

2. Гончаров Р.В., Любимов М.Ф., Савельева Н.Г. Информатика. Компьютерные системы и сети: учебное пособие/ РГЭА, - Ростов н\Д, 1998, - 255с.

3. Майоров С. И. Информационный бизнес: коммерческое распостронение и маркетинг. М.: «Финансы и статистика» 1993г.

4. Макарова Н. В., Матвеева Л. А., Бройдо В. Л. Информатика. Учебное пособие. М.: «Финансы и статистика» 1997.

5. Хольденберг В.А. Введение в программирование. Учебное пособие. Мн.: ООО «Харвест», 1997. – 528с.

6. ТЕХНИЧЕСКИЕ СРЕДСТВА И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ: УЧЕБНИК ДЛЯ ВУЗОВ

Автор/создатель: Зайцев А.П., Шелупанов А.А., Мещеряков Р.В., Скрыль С.В., Голубятников И.В.

Заключение.

Специальные проверки проводится в лабораторных условиях перед установкой технических средств на объектах Заказчика. По результатам специальных проверок составляется акт и заключение, в котором указывается возможность применения технических средств по назначению, а также ограничения по его применению.

Установка технических средств обработки конфиденциальной информации, а также средств защиты информации должна выполняться в соответствии с техническим проектом или техническим решением. Разработка технических решений и технических проектов на установку и монтаж ТСОИ, а также средств защиты информации производится подразделениями по защите информации (службами безопасности предприятий) или проектными организациями, имеющими лицензию ФСТЭК, на основании технических заданий на проектирование, выдаваемых заказчиками.

КУРСОВАЯ РАБОТА

по МДК 02.02 «Инженерно-техническая защита информации»

Студента Шестопалова Евгения Андреевича

(фамилия, имя, отчество)

Группы ИТС11-4

Тема: «Специальная проверка технических средств обработки информации»

Руководитель: преподаватель спецдисциплин Шаманин В.П.

(должность ФИО)

Оценка ___________ ( ) _______________

(Подпись преподавателя)

Дата «_____» ноября 2015 г.

Содержание:

Введение:

Раздел 1 : Правовая часть.

Раздел 2: Организационная часть.

Раздел 3: Практическая часть.

Использованные материалы.

Заключение.

Введение:

Специальная проверка (СП) - это комплекс мероприятий направленный на поиск и выявление устройств перехвата информации, внедренных в технику.

Специальное исследование (СИ) – это исследование электромагнитных излучений от оборудования на соответствие нормам при работе с информацией содержащей государственную тайну.