Організаційно-технічні заходи щодо забезпечення захисту інформації
Цей розділ присвячено організаційно-технічним заходам щодо ЗІ в АС, а саме організації служби безпеки, її технічному забезпеченню, охоронним системам. Розглянуто питання витоку інформації по технічних каналах, а також захисту машинних носіїв інформації.
2.1. Класифікація засобів забезпечення безпеки АС
За способами реалізації всі заходи забезпечення безпеки АС поділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні й технічні (програмні та апаратурні) [2,3].
До правових заходів захисту належать чинні в країні закони, укази і нормативні акти, які регламентують правила поводження з інформацією, закріплюють права та обов'язки учасників інформаційних відносин у процесі її обробки і використання, а також встановлюють відповідальність за порушення цих правил, перешкоджаючи таким чином неправомірному використанню інформації, тобто виступаючи фактором стримування для потенційних порушників.
До морально-етичних заходів протидії належать норми поведінки, які традиційно склалися або складаються паралельно розповсюдженню ЕОМ у країні або суспільстві. Ці норми переважно не є обов'язковими, як, наприклад, законодавчо затверджені нормативні, однак їх недотримання веде звичайно до падіння авторитету, престижу людини, групи осіб або організації. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патріотизму і т. ін.), так і писані, тобто оформлені у звід (устав) правил або розпоряджень.
Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх каналів проникнення і НСД до АС та інформації. В деяких випадках вони є єдиними, як, наприклад, при захисті відкритої інформації від незаконного тиражування або при захисті від зловживань службовим становищем при роботі з інформацією.
Організаційні (адміністративні) заходи захисту - це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів із системою таким чином, щоб наскільки можливо ускладнити або виключити можливість реалізації загроз безпеці.
Очевидно, що в організаційних структурах з низьким рівнем правопорядку, дисципліни й етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання. Як вважають закордонні фахівці, організаційні заходи становлять досить значну частину (більш як 50 %) усієї системи захисту. Вони використовуються тоді, коли КС не може безпосередньо контролювати процес обробки інформації. Крім того, в деяких важливих випадках з метою підвищення ефективності захисту дуже корисно технічні заходи та засоби продублювати організаційними. Це, однак, не означає, що систему захисту необхідно будувати виключно на їх основі, як це іноді намагається робити керівництво, далеке від технічного прогресу. До того ж цим заходам притаманні деякі вади:
низька надійність без відповідної підтримки фізичними, технічними та програмними засобами (людина є схильною до порушень обмежень і правил, якщо є можливість їх порушити);
додаткові незручності, які пов'язані з великим обсягом рутинної формальної діяльності.
Взагалі, організаційні заходи є ефективними, коли справа стосується саме людини.
Фізичні заходи базуються на застосуванні різного роду механічних, електро- або електронно-механічних пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент системи й інформації, а також технічних засобів візуального спостереження, зв'язку та охоронної сигналізації.
Технічні (апаратно-програмні) заходи захисту базуються на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.
Звичайно всі заходи використовують комплексно, причому вони іноді дуже тісно пов'язані один з одним, тобто:
організаційні заходи забезпечують виконання нормативних актів і будуються з урахуванням уже існуючих правил поведінки в організації;
виконання організаційних заходів вимагає створення нормативних документів;
ефективне використання організаційних заходів досягається обов'язковою підтримкою фізичних та технічних заходів;
використання технічних засобів захисту вимагає відповідноїорганізаційної підтримки.
Надалі для позначення цілої групи заходів буде використовуватися термін організаційно-технічні заходи.
2.2. Організаційні заходи
Застосування організаційно-технічних заходів запобігає значній частині загроз безпеці інформації і блокує їх та поєднує в єдину систему всі заходи захисту.
Організаційні заходи повинні включати:
визначення технологічних процесів обробки інформації;
обгрунтування та вибір завдань захисту;
розробку та впровадження правил реалізації заходів ЗІ;
визначення та встановлення обов'язків підрозділів і осіб, щоберуть участь в обробці інформації;
вибір засобів забезпечення ЗІ;
оснащення структурних елементів АС нормативними документами і засобами забезпечення ЗІ;
встановлення порядку впровадження засобів обробки інформації, програмних і технічних засобів захисту інформації та контролю їх ефективності;
визначення зон безпеки інформації;
обґрунтування структури та технології функціонування СЗІ;
розробку правил та порядку контролю функціонування СЗІ;
встановлення порядку проведення атестації технічних засобів та систем обробки інформації, систем зв'язку та передачі даних, технічних засобів та систем, що розташовані в приміщеннях, де вона циркулює, приміщень для засідань, а також усієїАС у цілому на відповідність вимогам безпеки інформації.
Організаційні заходи щодо ЗІ в АС полягають у розробці і реалізації адміністративних та організаційно-технічних заходів при підготовці та експлуатації системи.
Організаційні заходи щодо захисту системи в процесі її функціонування та підготовки до нього охоплюють рішення та процедури, які приймаються керівництвом організації - користувачем системи. Хоча деякі з них можуть визначатися зовнішніми факторами, наприклад законами або урядовими постановами, більшість проблем вирішується в самій організації в конкретних умовах.
Складовою будь-якого плану заходів захисту має бути чітке визначення цілей, розподіл відповідальності та перелік організаційних заходів захисту. Конкретний розподіл відповідальності та функцій щодо реалізації захисту від одної організації до іншої може змінюватися, але ретельне планування і точний розподіл відповідальності є необхідними умовами створення ефективної та життєздатної системи захисту.
Організаційні заходи щодо ЗІ в АС повинні охоплювати етапи проектування, розробки, виготовлення, випробувань, підготовки до експлуатації, експлуатації системи та виведення з експлуатації.
Відповідно до вимог технічного завдання організація-проектувальник поряд з технічними заходами та засобами розробляє організаційні заходи на етапі створення системи. Під етапом створення розуміється проектування, розробка, виготовлення та випробування системи. При цьому слід чітко розрізняти заходи щодо ЗІ, які проводяться організацією-проектувальником, розробником та виготовлювачем у процесі створення системи і розраховуються на захист від витоку в даній
організації, і заходи, що закладаються в проект та документацію на систему і торкаються принципів організації захисту в самій системі. Саме з них випливають необхідні організаційні заходи щодо ЗІ.
- До організаційних заходів щодо ЗІ в процесі створення системи слід віднести:
її • проведення на необхідних ділянках робіт з режимом секретності;
розробка посадових інструкцій щодо забезпечення режиму секретності відповідно до чинного законодавства;
виділення у разі потреби окремих приміщень з охоронною сигналізацією та пропускною системою;
• розмежування завдань між виконавцями та щодо випуску документації;
• присвоєння грифів секретності матеріалам та документації і збереження їх під охороною у виділених приміщеннях з урахуванням та контролем доступу виконавців;
• постійний контроль за дотриманням виконавцями режиму та відповідних інструкцій;
встановлення і розподіл відповідальних за витік інформації осіб;
інші заходи, що встановлюються в конкретних системах.
У процесі підготовки системи до експлуатації з метою ЗІ необхідно:
• при виділенні території, будинків та приміщень визначити контрольовану зону навколо об'єктів АС;
встановити та устаткувати охоронну сигналізацію по межах контрольованої зони;
створити контрольно-пропускну систему;
перевірити схеми розміщення та місця установки об'єктів АС;
• перевірити стан системи життєзабезпечення людей, умови функціонування системи та збереження документації;
• підібрати кадри для обслуговування об'єктів АС, її захисту і створити централізовану службу безпеки (СБ) при керівництві;
провести навчання кадрів;
організувати розподіл функціональних обов'язків і відповідальності посадових осіб;
встановити повноваження посадових осіб щодо доступу до об'єктів та інформації АС;
розробити посадові інструкції щодо виконання функціональних обов'язків персоналу всіх категорій, включаючи СБ.
З точки зору способів реалізації основні організаційно-технічні заходи щодо створення і підтримки функціонування КСЗІ включають:
разові заходи (проектування АС, створення СЗІ, розробка нормативних документів, створення служби безпеки та ін.);
заходи, що проводяться при виникненні певних змін у самій АС, яка захищається, або зовнішньому середовищі (у разі потреби) (ремонти, модифікації АС, кадрові зміни та ін.);
періодичні заходи (розподіл паролів, ключів шифрування, аналіз системних журналів і т. ін.);
постійні заходи (контроль за роботою персоналу, підтримкафункціонування СЗІ, забезпечення фізичного захисту тощо).
У процесі експлуатації системи повинен здійснюватися централізований контроль доступу до інформації за допомогою технічних та організаційних заходів. Основна частина цих заходів входить до функцій СБ.
2.3. Служба безпеки
СБ є штатним або позаштатним підрозділом, який створюється для організації кваліфікованої розробки СЗІ і забезпечення її функціонування.
Основні завдання СБ полягають в такому:
формування вимог до СЗ у процесі створення АС;
участь у проектуванні СЗ, її випробуваннях і прийманні в експлуатацію;
планування, організація і забезпечення функціонування СЗІ в процесі функціонування АС;
розподіл між користувачами необхідних реквізитів захисту;
спостереження за функціонуванням СЗ і її елементів;
організація перевірок надійності функціонування СЗ;
навчання користувачів і персоналу АС правилам безпечної обробки інформації;
контроль за дотриманням користувачами і персоналом АС встановлених правил поводження з інформацією, яка захищається, в процесі її автоматизованої обробки;
вживання заходів при спробах НСД до інформації і при порушеннях правил функціонування системи захисту.
Організаційно-правовий статус служби безпеки визначається таким чином:
чисельність СБ повинна бути достатньою для виконання всіх перерахованих вище завдань;
СБ повинна підпорядковуватися тій особі, що у даних умовах несе персональну відповідальність за дотримання правил користування інформацією, яка захищається;
штатний підрозділ СБ не повинен мати інших обов'язків, пов'язаних із функціонуванням АС;
співробітники СБ повинні мати право доступу в усі приміщення, де встановлена апаратура АС, і право припиняти автоматизовану обробку інформації за наявності безпосередньої загрози для інформації, яка захищається;
керівнику СБ повинно бути надане право забороняти включення в число діючих нових елементів АС, якщо вони не відповідають вимогам захисту інформації;
• СБ мають бути забезпечені всі умови, необхідні для виконанняїхніх функцій.
В основу створення СБ та організації її функціонування традиційно кладеться простий та наочний принцип створення замкнутих, послідовних рубежів, що починаються за межами контрольованої зони і концентрично стягаються до особливо важливих виділених об'єктів захисту, тобто так звана рубіжна система захисту.
На кожному рубежі загрози порушень безпеки мають бути по можливості виявлені і ліквідовані, а у випадку неможливості їх ліквідації be поширенню повинні перешкоджати наступні рубежі. Основу планування та устаткування контрольованих зон складають принципи рівнопотужності і комплексності.
і Використання рубіжної СЗІ зумовлене тим, що вона дозволяє забезпечити безпеку: від широкого спектра різнорідних загроз; при використанні різних технологій обробки інформації шляхом глобального контролю; за рахунок оптимального розподілу ресурсів з урахуванням Пріоритету загрози. Очевидно, що чим складнішим є захист кожного рубежу, тим більше часу буде потрібно ЗЛ для його подолання і тим імовірніше його виявлення. Звідси випливає, що захист кожного рубежу повинен взаємно доповнювати один одного й ефективність усієї системи захистів буде оцінюватися як мінімальний (безпечний) час, який ЗЛ повинен затратити на подолання всіх її рубежів. >,' Врешті-решт джерелом навмисних загроз є людина - ЗЛ. Можливе, порушення ІБ залежить від його можливостей, що аналізуються на основі:
невизначеності процесу захисту, викликаної наявністю людського фактора;
рубіжної системи захисту;
• можливостей ЗЛ вплинути на діяльність самої організації.Тому з точки зору рубіжної моделі ЗЛ можна класифікувати у такий спосіб:
• ЗЛ перебуває за межами контрольованої зони;
• ЗЛ знаходиться в межах контрольованої зони, але без доступу у виділені приміщення;
• ЗЛ має доступ у виділені приміщення і працює в них;
ЗЛ - співробітник організації, має доступ у виділені приміщення і працює в них;
ЗЛ - співробітник СБ.
Знаючи можливі загрози, можна припустити, яким чином кожен вид ЗЛ може порушити безпеку об'єктів захисту на тому чи іншому рубежі. Це дає змогу диференційовано підходити до комплексу засобів і методів захисту, визначаючи необхідні заходи і засоби захисту стосовно кожного виду ЗЛ.
Історично вже склалася світова практика забезпечення безпеки Об'єктів захисту. Вона визначає взаємозв'язок об'єктів захисту з можливою формою ЗЛ і середовищем, у якому він здійснює свої дії. З огляду на специфічні особливості середовища можна формувати основні напрямки захисту, що зумовлюють таку структуру функціональних підрозділів СБ:
група режиму;
служба охорони;
пожежна охорона;
аналітична група;
детективна група;
група протидії технічним розвідкам (ПДТР);
група захисту від НСД;
криптографічна група.
Залежно від конкретних потреб додатково можуть організовуватися допоміжні підрозділи: консультанти з різних питань діяльності СБ, юридична служба, служба навчання та ін. Зауважимо, що тут представлено всі підрозділи, які можуть входити до складу СБ в принципі. Однак ясно, що цей список може варіюватися залежно від розмірів організації, рівня конфіденційності оброблюваної інформації, можливого обсягу фінансування та інших конкретних умов діяльності організації. Крім того, в деяких випадках різні підрозділи можуть об'єднуватися залежно від конкретних завдань.
Діяльність СБ дуже різноманітна: від роботи із забезпечення безпеки персоналу до вирішення чисто технічних питань, що включають у себе перевірку та атестацію технічних і програмних засобів на відповідність спеціальним вимогам. У цілому основні найбільш загальні функції СБ можна визначити таким чином:
попередження;
контроль за поточною ситуацією;
реєстрація;
аналіз результатів реєстрації.
Існують положення про службу безпеки, що регламентують її діяльність. Не вдаючись до детального розгляду цього аспекту, коротко опишемо лише основні завдання кожного з підрозділів СБ.
Група режиму є самостійним підрозділом СБ, підпорядковується начальнику СБ і в своїй діяльності керується «Інструкцією з режиму й охорони». В основні функції групи режиму входить:
організація пропускного і внутріоб'єктового режиму;
організація і ведення конфіденційного діловодства;
розробка відповідних положень та інструкцій;
розробка нормативів з безпеки і перевірка їх виконання;
контроль за режимом доступу до документів;
забезпечення користування і збереження документації;
контроль за порядком засекречування і розсекречування документів;
періодичний контроль вхідних і вихідних документів;
регламентне знищення носіїв інформації;
участь у кадровій діяльності.
У цілому можна сказати, що основний об'єкт діяльності групи режиму - це персонал організації, а метою є створення робочої атмосфери в організації.
Діяльність служби охорони традиційна і спрямована в основному на забезпечення пропускного і внутріоб'єктового режиму.
Головним завданням групи пожежної охорони є створення протипожежної обстановки на основі роботи з персоналом, використання засобів протипожежної сигналізації, роботи з органами держтехнагляду, пожежно-технічними службами.
Недобросовісна конкуренція і можливі злочинні дії вимагають активної протидії. Вона можлива тільки в тому випадку, коли СБ має про них інформацію. Збором, аналізом і оцінкою ступеня небезпеки для організації займається аналітична група. Основна функція аналітичної служби полягає в роботі на перспективу, тобто в прогнозуванні можливих негативних та інших подій.
Детективна група займається проведенням заходів щодо спостереження за окремими співробітниками, бере участь у перевірці кадрів при прийомі на роботу, підтримує контакти з правоохоронними органами, сприяє забезпеченню повернення прострочених кредитів.
Перш ніж описати основні функції групи ПДТР, звернемо увагу на те, що в будь-якій організації існують технічні канали витоку інформації, які зумовлені властивостями технічних засобів і навколишнього середовища. Це й електромагнітні випромінювання, і акустичні коливання, і візуальні спостереження. Тому загалом цей напрямок захисту інформації представляється схемою: «Джерело інформації - Середовище - Сигнал - Приймач ЗЛ».
Виходячи з цієї схеми визначаються основні завдання групи ПДТР:
визначення джерел інформації;
визначення середовищ, де може існувати інформація;
визначення небезпечних сигналів у виявлених середовищах;
вимірювання величини небезпечного сигналу;
зменшення чи приховання величини небезпечного сигналувідповідно до існуючих нормативних документів.
Група захисту від НСД має своєю метою захист інформації, яка обробляється в самій КС і передається по лініях зв'язку. В групу можуть входити співробітники з різними функціональними обов'язками щодо КС. Звичайно виділяють чотири групи співробітників (за зростанням ієрархії):
Співробітник групи безпеки. У його обов'язки входить забезпечення належного контролю за захистом наборів даних і програм, допомога користувачам і організація загальної підтримки груп керування захистом і менеджменту у своїй зоні відповідальності.
Адміністратор безпеки системи. У його обов'язки входить щомісячне опублікування нововведень у сфері захисту, нових стандартів, а також контроль за виконанням планів безперервної роботи і відновлення (якщо в цьому виникає необхідність) і за зберіганням резервних копій.
Адміністратор безпеки даних. У його обов'язки входить реалізація і зміна засобів захисту даних, контроль за станом захисту наборів даних, жорсткість захисту в разі потреби, а також координування роботи з іншими дміністраторами.
Керівник (начальник) групи керування обробкою інформації і захистом. У його обов'язки входить розробка і підтримка ефективних заходів захисту при обробці інформації для забезпечення цілісності даних, устаткування і програмного забезпечення; контроль за виконанням плану відновлення і загальне керівництво адміністративними групами в підсистемах АС.
Група криптографічного захисту забезпечує захист інформації при передачі її по каналах зв'язку шляхом криптографічних перетворень інформації.
До інших функцій СБ належить також протидія терористичній діяльності щодо державних та комерційних організацій.
В даний час стають усе більш актуальними проблеми, які пов'язані з захистом діяльності державних і комерційних об'єктів від тероризму. В 60-70-ті роки такий захист був обов'язковим тільки для особливо важливих військових об'єктів і дипломатичних представництв у країнах з нестабільними режимами, у місцях дій екстремістських партій і рухів.
Однак вже у 80-ті роки об'єктом дій терористичних груп стають і комерційні та державні структури, що змушує їх власників приділяти підвищену увагу інженерно-технічному захисту - посилені двері, ґрати на вікнах, вхідні тамбури тощо. Звичайним явищем стає цілодобова охорона об'єктів, контроль за допуском відвідувачів і персоналу, сховані відеокамери і постійний відеозапис обстановки як навколо об'єкта, так і всередині нього.
Доцільно виділити чотири основні напрямки боротьби з тероризмом:
формування програми забезпечення безпеки персоналу і власності організації (фірми);
упровадження методів керування і кадрової політики з урахуванням ризику функціонування організації (фірми) в районах (місцях) підвищеної диверсійно-терористичної небезпеки;
вироблення рекомендацій з тактики дії адміністрації, служби безпеки і поводження персоналу при зіткненні з небезпекою терористичних акцій;
зменшення обсягів важливої інформації, розмірів власності організації (фірми) і чисельності персоналу в зонах (районах) підвищеної небезпеки.
Програма забезпечення безпеки СБ в цілому може складатися з таких розділів:
1) забезпечення охорони керівництва; забезпечення безпеки інших категорій службовців і схоронності матеріально-технічних цінностей (валюта, цінні папери, устаткування, зразки експортно-імпортних товарів і сировини і т. д.);
збір даних про можливі диверсійно-терористичні прояви;
тактика дій адміністрації і служби безпеки підприємства у випадку виникнення надзвичайного стану, критичної ситуації.
Практична діяльність сучасної СБ нерозривно пов'язана з двома основними факторами - людським і технічним. При цьому визначальним є наявність людського фактора, тому що ніякі технічні засоби без відповідної організації їх використання працівниками охорони не можуть гарантувати її надійність.
2.4. Технічне забезпечення безпеки інформації
Кожний з наведених підрозділів СБ оснащується засобами забезпечення безпеки інформації відповідно до своїх основних функцій, завдань та обов'язків. Наведемо відомості про технічне забезпечення деяких підрозділів СБ.
Виходячи з основних функцій групи режиму можна визначити основні напрямки її матеріально-технічного забезпечення:
Запобігання несанкціонованому проникненню у виділені приміщення. Воно досягається укріпленням дверей та установкою на них замків різних типів (з ключем, кодовий, з програмним пристроєм тощо).
Забезпечення збереження конфіденційної інформації. Для цього необхідно забезпечити підрозділи, де потрібно, необхідною кількістю сейфів та металевих шаф (бувають вогнестійкі, для магнітних носіїв, зломостійкі, вбудовані).
Системи забезпечення захисту носіїв інформації - документів, справ, фотографій, дискет тощо. Проблема збереження носіїв інформації є традиційною і найбільш відповідальною. Звичайно при проектуванні сховищ носіїв виділяють два етапи. На першому етапі проводиться аналіз властивостей об'єкта (сховища) і виявлення загроз для нього. Тут є багато специфічних вимог - наявність двох кімнат (перша для каталогів носіїв, друга - для стелажів, шаф тощо для носіїв), наявність ліній зв'язку, протипожежної та охоронної сигналізації, розміщення нена першому та останньому поверхах (найліпше в підвалі), спеціальна вентиляція і т. ін. Крім того, аналізуються можливі канали витоку інформації: візуальне спостереження і фотографування, крадіжка носіїв, копіювання носіїв, підслуховування, псування механізмів захисту. На другому етапі здійснюється підбір обладнання й апаратури.
Знищення конфіденційної інформації. Звичайно вона зберігається на паперових та магнітних носіях. Знищення паперових носіїв здійснюється шляхом їх спалювання (особливо дуже важливі документи) або подрібнення в спеціальних пристроях (шматочки до 0,5 мм завширшки і 10 мм завдовжки). Однак знищення інформації на магнітних носіях становить деякі труднощі. Тут виникають два завдання: знищення носія цілком і знищення окремих файлів. Хоча знищення магнітного носія не дуже складне, але воно пов'язане з помітними (порівняно з паперовими) економічними витратами. Тому частіше використовують програмні засоби. Іншим способом знищення інформації на магнітних носіях є їх розмагнічення магнітним полем не менш як 1500 ерстед. Проте таке потужне поле теж важко отримати, а, крім того, дискету не можна знімати з рахунку, оскільки невідомо, як вона розмагнітилась. Використовують також форматування носіїв. Однак при цьому слід пам'ятати, що фізично на магнітному носії можна відновити інформацію, на яку зверху переписувалася до п'яти разів інша інформація.
5. Специфічні технічні засоби. Вони необхідні для проведення вибіркового контролю телефонних розмов (КТР). Особи, які здійснюють КТР, повинні мати можливість підключатися до будь-якого телефону, причому абонент, що розмовляє, не має цього помітити. Крім того, вони повинні забезпечуватися магнітофоном, а також мати можливість переривати будь-яку розмову, якщо вона стосується конфіденційної інформації. Суттєву допомогу тут може надати поліграф -прилад, що дає можливість визначити психологічний портрет особи. Принципи дії приладу різні і можуть базуватися на реакціях людини: показниках дихання, частоті серцевих скорочень, тембрі голосу, мікро-тремтінні м'язів і т. ін.
Для забезпечення аналітичної групи достатньо потужної ЕОМ, яка має необхідний ПЗ та надійний доступ до баз даних.
З огляду на основні прийоми детективної служби (підслуховування та спостереження) неважко зрозуміти, що її слід забезпечити засобами для підслуховування розмов (мікрофони, магнітофони тощо), візуального спостереження (біноклі, підзорні та стереотруби і т. д.) та фотографування.
Пожежна й охоронна сигналізації за своєю побудовою та застосовуваною апаратурою мають багато спільного - канали зв'язку, прийом та обробка інформації, подача сигналів тривоги. Тому в сучасних системах захисту ці дві сигналізації звичайно об'єднуються в єдину систему охоронно-пожежної сигналізації (ОПС), отже, охоронна служба та пожежна охорона мають спільне технічне забезпечення. Найважливішими елементами ОПС є датчики -пристрої для виявлення змін стану середовища та формування сигналу про це. Контроль та управління ОПС здійснюється з центрального поста охорони. Критерієм ефективності апаратури ОПС є число помилок та хибних спрацьовувань. Іншим важливим елементом ОПС є тривожне оповіщення, яке залежно від конкретних умов має передавати інформацію за допомогою звукових, оптичних або речових (можливі також їх комбінації) сигналів. У багатьох випадках ОПС є елементом управління для інших засобів системи захисту, наприклад, при виникненні пожежі за сигналом приводяться в дію автоматичне пожежегасіння, система димовидалення та вентиляції. Каналами зв'язку в системі ОПС можуть бути спеціально прокладені провідні лінії, телефонні лінії, телеграфні лінії, радіоканали. Технічні засоби ОПС включають датчики, канали зв'язку, приймально-контрольні прилади, оповісники. Щодо датчиків, то їх є величезна кількість різних типів та видів. Наведемо тільки деякі з них за класифікацією за принципом дії: периметральні натяжної дії, периметральні інфраакустичні, периметральні електричного поля, периметральні вібраційні, мікрохвильові контролю простору, сейсмічні, магнітні, сейсмомагнітні, електромеханічні, дротові, ультразвукові, ємнісні, п'єзоелектричні тощо.
Одним із найбільш розповсюджених технічних засобів охорони є охоронне телебачення. Воно відрізняється простотою настройки, надійністю, можливістю не тільки фіксувати порушення режиму охорони об'єкта, а й контролювати обстановку навколо об'єкта, визначати причини порушень, приховано вести спостереження і здійснювати відеозапис ситуації. Детально не будемо розглядати ці засоби, оскільки про них є багато спеціальної літератури.
2.5. Технічні канали витоку інформації
Проблема надійного, ефективного ЗІ від витоку в сучасних умовах з використанням різних технічних засобів дуже актуальна, що зумовлено різними причинами, пов'язаними як із загальним технічним прогресом в усьому світі, так і внутрішніми політичними, економічними і соціальними факторами. Сьогодні має місце підвищена уразливість інформації, оброблюваної, переданої, прийнятої, що копіюється, відображуваної і т. ін. із застосуванням засобів і систем обчислювальної техніки, зв'язку, звуко- і відеозапису, звукопідсилення мови, телевізійної і множної техніки та інших технічних засобів і систем, якими в даний час інтенсивно оснащуються будь-які державні і комерційні структури, а також підвищена вразливість мовної інформації, яка циркулює в різних службових приміщеннях, і візуальної інформації, зафіксованої у всіляких документах, що є насамперед наслідком бурхливого розвитку як самих перерахованих засобів і систем, так і методів і засобів перехоплення цієї інформації. Сучасні засоби перехоплення інформації дають змогу на відстані в десятки і сотні, а іноді й більше метрів реєструвати різної природи побічні інформативні сигнали (випромінювання в навколишній прос-Т1Р і наведення на різні фізичні об'єкти), що виникають при роботі зазначених вище технічних засобів, і за результатами цієї реєстрації відновлювати оброблювану, передану, прийняту, копійовану інформацію. Побічні інформативні сигнали можуть бути віброакустичними (звукові коливання в будь-якому звукопровідному матеріалі, у повітрі),
електромагнітними. Але в будь-якому випадку вони жорстко пов'язані з інформаційними фізичними процесами, що відбуваються в технічних засобах при їх функціонуванні.
Інформацію можна одержувати не тільки шляхом перехоплення побічних інформаційних сигналів, а й за результатами прямої реєстрації сигналів, що циркулюють в інформаційних ланцюгах технічних систем (насамперед у лініях зв'язку). Реалізувати засоби перехоплення тут, як правило, легше, ніж для випадків побічних випромінювань і наведень.
Для несанкціонованого одержання інформації, оброблюваної, переданої і т. ін. за допомогою технічних засобів, можуть використовуватися і спеціальні технічні пристрої активного перехоплення, що на відміну від засобів пасивного перехоплення самі створюють певні робочі сигнали. На них впливають сигнали, що циркулюють в інформаційних ланцюгах технічних засобів, чи побічні інформаційні сигнали, що виникають при функціонуванні цих засобів. У результаті виникає більш складний «небезпечний» сигнал, що є також інформативним, він фіксується, і за ним відновлюється інформація, носієм якої він є (звичайно, за допомогою спеціального приймального пристрою).
Рис. 2
Оскільки канали витоку інформації, що утворюються при розглянутому перехопленні, пов'язані з тим чи іншим технічним засобом -джерелом інформації, а для їх створення використовуються технічні засоби перехоплення, вони називаються технічними каналами витоку інформації. До такого роду каналів належить також перехоплення мовної інформації, тобто інформативних акустичних чи віброакустичних сигналів, створюваних людиною, а крім того, перехоплення візуальної інформації з різних документів, але тільки у випадку використання для цих цілей технічних засобів. Тут також можливе як пасивне, так і активне перехоплення. Найбільш розповсюджені основні технічні канали витоку інформації можна класифікувати за такою схемою (рис. 2). Під терміном «канали витоку інформації за рахунок інформативних побічних електромагнітних випромінювань і наведень» розуміється кілька типів технічних каналів витоку інформації. Вони відрізняються фізичними явищами, через які інформативні сигнали надходять у середовище їх поширення і з якого вони потім перехоплюються, а за ними відновлюється інформація, оброблювана за допомогою даного технічного пристрою.
Такі канали можуть виникати за рахунок сигналів:
викликаних паразитними інформативними електричними і магнітними полями розсіювання самих технічних засобів;
викликаних паразитними інформативними сигналами, наведеними в різні струмопровідні середовища;
викликаних паразитною модуляцією інформативними сигналами високочастотних генераторів.
При роботі деяких технічних засобів поряд з електромагнітними полями розсіювання можуть виникати інформативні акустичні і вібраційні поля, що, поширюючись в навколишньому просторі чи по твердих конструкціях, можуть впливати на елементи і вузли інших технічних пристроїв. Під впливом таких полів у цих елементах створюється інформативний сигнал, що за наявності підключених до них ліній створює умови витоку інформації. Розглянемо деякі приклади.
Телефонний апарат, навіть якщо його трубка знаходиться на відведеному їй місці (розмова в даний момент не здійснюється), може служити причиною виникнення каналу витоку інформації, тому що в його складі є дзвінок виклику і телефон. В останніх пристроях під впливом акустичного поля індукується електромагнітне поле інформативного сигналу.
Аналогічні властивості можуть мати також елементи інших технічних засобів (елементи електричних годинників, електродинамічні гучномовці, деякі датчики пожежної та охоронної сигналізації).
Таким чином, перехоплення конфіденційних розмов може здійснюватися за допомогою подібних технічних пристроїв. У найпростішому варіанті створюється прихована провідна лінія (чи використовується вже існуюча лінія), до якої підключається мікрофон, часто постачений підсилювачем і фільтром. Мікрофон приховано розміщується усередині (поблизу) цього приміщення. Крім мікрофонів, що реагують на коливання повітря, існують мікрофони, що сприймають коливання будівельних конструкцій будинку, що виникають унаслідок коливань повітря при розмовах. Ці мікрофони, які називаються стетоскопами, використовуються для підслуховування крізь стіни, двері і т. п.
Нині існують дуже ефективні оптичні системи, що дозволяють з космосу (з відстані близько сотні кілометрів) розрізняти навіть номерні знаки автомобіля, тому сфотографувати документ із відстані декількох сотень метрів не є великою проблемою.
Найдорожчими засобами перехоплення мови є лазерні системи, Що забезпечують посилання зондувального сигналу на скло вікон.
Скло під дією коливань повітря, викликаних розмовою, вібрує, що легко вловлюється на відстані кількох сотень метрів лазерним променем і розшифровується.
Технічні закладки («жучки») являють собою малогабаритні прилади для збору і передачі на досить великі відстані як інформації, оброблюваної технічними пристроями (апаратурні закладки), так і мовної інформації зі службових приміщень (речові закладки). Найпростіші речові закладки мають три основні елементи: мікрофон, радіопередавач, джерело живлення. Завдяки останнім досягненням електроніки вони можуть мати зовсім мініатюрні розміри, що дозволяє досить успішно їх приховувати: апаратурні - на монтажних платах, а речові - в авторучках, посуді, елементах одягу, будівель, меблів і т. ін. Наприклад, відомий випадок, коли подібна закладка (підкупленим заздалегідь лікарем) під час лікування була вмонтована в зуб людини, яка займала досить високу посаду в фірмі. Є цілий ряд способів маскування їх роботи, суть кожного зрозуміла з їх назви:
імпульсний режим передачі інформації;
режим стрибкової зміни частоти передачі інформації;
зменшення потужності передачі інформації до допустимої межі;
розміщення частоти передачі поряд із частотою потужної радіостанції;
дистанційне управління передачею інформації.
Слід зазначити, що на сьогодні завдання виявлення технічних закладок не вирішене. Це означає, що навіть після ретельної перевірки об'єкта за спеціальними методиками та за допомогою високоякісної сучасної апаратури не можна бути впевненим, що технічних закладок немає.
2.6. Охоронні системи
Розглянемо питання застосування інженерно-технічних засобів охорони.
При ухваленні рішення про використання технічних засобів охорони і про архітектуру системи загалом необхідно поставити собі два питання: чи спрацює техніка і чи можна вивести її з ладу?
Недостатньо знати, що техніка і система в цілому буде працювати задовільно. Необхідна ще і впевненість, що її нелегко буде вивести з ладу.
Крім того, варто враховувати залежність надійності системи безпеки від її вартості. Фактор вартості системи безпеки змушує іти на певний компроміс. Так, якщо система забезпечення безпеки буде коштувати підприємству його десятирічного доходу, то навряд чи таку систему воно купить. Якщо купувати систему, що коштує менше, то ! це значить піддавати себе ризику. У цьому полягає одне з істотних обмежень при виборі методів і засобів охорони.
Для забезпечення більш низької вартості необхідно, щоб розробка системи охорони велася з урахуванням відомих і доступних методів, устаткування та елементів. У кінцевому рахунку стадія проектування повинна дати відповіді на питання: що варто робити і як варто робити?
Відповідно до розробленого проекту проводяться роботи з упровадження системи на об'єкті - придбання і монтаж устаткування, прокладка кабельних ланцюгів, організаційне забезпечення роботи системи, навчання персоналу.
Таким чином, процес створення та удосконалення системи забезпечення безпеки об'єкта складається з трьох важливих стадій: обстеження об'єкта, проектування і впровадження.
Як правило, системи безпеки комплектуються з устаткування різних підприємств і фірм, проектування і монтаж можуть проводитися також різними організаціями, тобто відповідальність за працездатність і надійність усієї системи розподіляється між проектувальниками, виробниками і монтажниками. Тому дуже важливо для користувача правильно орієнтуватися на сучасному ринку пропонованих послуг із забезпечення безпеки фізичних об'єктів.
Охоронюваний об'єкт може являти собою:
комплекс будинків, будівель, споруд, відкритих майданчиків з матеріальними цінностями, розташований на одній загальнійохоронюваній території;
окремі будинки, будівлі, споруди, відкриті майданчики зматеріальними цінностями;
одне чи кілька приміщень, розташованих у будинку, будівлі,споруді з матеріальними цінностями.
Як будь-яка система, система охорони являє собою сукупність організаційних заходів з інженерно-технічним оснащенням. Щоб піймати порушника на місці злочину, його дії слід виявити, а інформацію про нього передати людям, які здатні прибути вчасно на місце і схопити його на гарячому. Як бачимо, тут присутні два аспекти оперативної діяльності: активний, що стосується людини, та пасивний, що стосується технічних засобів. Незважаючи на безліч супутніх проблем, використання електронних технічних засобів у системах охоронної сигналізації цілком виправдовує себе. Краще одержати сигнал про напад, ніж узагалі нічого не знати. Але навіть якщо система ідеально спроектована і встановлена на об'єкті, її недоліком залишається залежність від людей. Про це не слід забувати при впровадженні систем охорони об'єктів, і, поряд з питаннями оснащеності об'єкта технічними засобами охорони, повинні розглядатися питання організації охоронної служби.
Зупинимося на загальних принципах побудови систем охорони з погляду використання технічних засобів.
Охорона об'єктів здійснюється по периметру території (зовнішня, периметрова) й усередині об'єктів (внутріоб'єктова). Крім того, система охорони об'єктів повинна передбачати використання індивідуальних засобів захисту, що забезпечують безпеку фізичних осіб, які зайняті в сфері охорони об'єкта і можуть піддаватися нападу ЗЛ.
Першою перешкодою на шляху ЗЛ, що зменшує фактор ризику, є інженерні засоби охорони. Крім функцій фізичної перешкоди, інженерні засоби охорони виконують функції психологічної перешкоди, попереджаючи можливість здійснення порушення. Крім того, фізичні бар'єри збільшують час, необхідний ЗЛ для їх подолання, що робить більш імовірною можливість його затримки.
Інженерні засоби призначаються для:
утруднення дій ЗЛ при проникненні на об'єкт чи з об'єкта;
полегшення працівникам охорони виявлення слідів і затримки ЗЛ;
створення працівникам охорони необхідних умов для виконання завдань щодо охорони об'єкта;
позначення меж постів і заборонних зон об'єктів.До периметрових інженерних засобів охорони належать:
основне огородження;
огородження заборонної зони;
контрольно-слідова смуга;
дорога охорони і стежка нарядів;
дротові загородження;
спостережні вишки, постові грибки, постові будки; вказівні,попереджувальні і роз...