Защита информационной системы предприятия от утечек по ТКУИ

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ

1) ТКУИ – технические каналы утечки информации.
2) СИБ – система информационной безопасности.
3) ФЗ – федеральный закон.
4) ГОСТ – государственный стандарт.
5) ФСТЭК – Федеральная служба по техническому и экспортному контролю.
6) ФСБ – Федеральная служба безопасности Российской Федерации.
7) DLP – Data Loss Prevention (система предотвращения утечек данных).
8) AES – Advanced Encryption Standard (алгоритм симметричного шифрования).
9) VDI – Virtual Desktop Infrastructure (виртуальная инфраструктура рабочих столов).
10) ИИ – искусственный интеллект.
11) ISO/IEC – Международная организация по стандартизации/Международная электротехническая комиссия.
 
ВВЕДЕНИЕ

В условиях стремительного развития цифровых технологий информационные системы становятся ключевым инструментом функционирования современных предприятий. Они обеспечивают управление, хранение и обработку данных, что делает их важным звеном в достижении стратегических и операционных целей организации. Однако использование информационных систем сопровождается ростом угроз безопасности, включая утечки данных через технические каналы. Технические каналы утечки информации (ТКУИ) представляют собой сложный и многогранный объект исследования, поскольку они включают в себя различные способы несанкционированного доступа к данным через акустические, электромагнитные, оптические и вибрационные пути. Например, злоумышленники могут использовать побочные электромагнитные излучения оборудования, акустические колебания речи или вибрации, распространяющиеся через конструкции зданий, для несанкционированного доступа к информации.
Актуальность выбранной темы обусловлена значительными финансовыми и репутационными потерями, которые несут предприятия в результате утечек информации. В условиях жесткой конкуренции и строгих требований законодательства, таких как Федеральный закон №152-ФЗ «О персональных данных», обеспечение информационной безопасности становится первоочередной задачей. Кроме того, непрерывное развитие технологий усложняет процесс защиты данных, что требует новых подходов к предотвращению утечек и нейтрализации технических угроз.
Целью данного курсового проекта является исследование угроз утечки информации через технические каналы, анализ существующих методов защиты и разработка рекомендаций по их совершенствованию.
Для достижения поставленной цели необходимо решить несколько задач:
1) изучить нормативно-правовую базу и литературу, описывающую аспекты защиты информации;
2) классифицировать основные технические каналы утечки;
3) провести анализ существующих угроз и методов защиты;
4) предложить рекомендации по усилению защиты информационных систем предприятий.
Объектом исследования является информационная система предприятия, обеспечивающая автоматизацию бизнес-процессов и управление данными.
Предмет исследования – методы и технологии, направленные на предотвращение утечек информации через технические каналы.
Работа охватывает широкий круг вопросов, связанных с классификацией и характеристикой технических каналов утечки информации, анализом их влияния на безопасность предприятий, а также определением современных подходов и технологий защиты. Важным аспектом является не только выявление проблем, но и разработка решений, которые позволят минимизировать риски, связанные с утечкой данных, и обеспечат устойчивость предприятия в условиях высокотехнологичных угроз.
 
1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1 Нормативно-правовая база защиты информации

Нормативно-правовая база защиты информации включает законы, подзаконные акты, государственные и международные стандарты, которые регулируют вопросы обеспечения безопасности данных. Основные положения в Российской Федерации регулируются следующими документами:
1) Федеральный закон №152-ФЗ «О персональных данных»
Закон определяет порядок обработки, хранения и передачи персональных данных. Он вводит принципы обеспечения безопасности таких данных, включая минимизацию доступа, использование современных технологий защиты, а также ответственность за нарушение норм обработки.
Пример: для защиты персональных данных предприятий рекомендуется внедрение систем управления доступом и шифрования данных, соответствующих требованиям закона [1]
2) Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»
Этот закон охватывает широкий спектр вопросов, касающихся информационной безопасности, в том числе регулирование оборота информации, ответственность за несанкционированный доступ и меры по защите государственной тайны. [2]
3) Федеральный закон №98-ФЗ «О коммерческой тайне»
Закон регулирует защиту информации, относящейся к коммерческой тайне, и устанавливает права владельцев такой информации. Он требует от организаций принимать меры, предотвращающие утечку данных через технические каналы. [3]
4) Постановления и приказы ФСТЭК и ФСБ России
Приказ ФСТЭК России №21 от 18.02.2013 «Об утверждении требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Устанавливает требования к защите информации, не составляющей государственную тайну, но содержащейся в государственных информационных системах. Документ определяет необходимость использования программных и аппаратных средств защиты, контроля доступа и шифрования данных.
Приказ ФСБ России №378 от 10.07.2014 «Об утверждении требований к шифровальным средствам и порядку их сертификации». Эти документы регулируют использование криптографических методов защиты и описывают порядок их применения для предотвращения утечек.
Регулирует использование шифровальных средств защиты информации. Он устанавливает требования к сертификации криптографических систем, обеспечивающих защиту данных от перехвата через технические каналы. [4]
5) Национальные стандарты ГОСТ и СТО
ГОСТы являются важным элементом нормативно-правовой базы, поскольку они определяют технические требования к защите информации:
ГОСТ Р 57580-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций».
Регулирует защиту данных в финансовых учреждениях, включая меры по предотвращению утечек через технические каналы. Рекомендует использование комплексных систем защиты.
ГОСТ Р ИСО/МЭК 27001-2012 «Информационная технология. Методы и средства обеспечения безопасности».
Международный стандарт управления информационной безопасностью, применяемый как в государственных, так и в коммерческих организациях. Включает рекомендации по оценке рисков и внедрению мер защиты.
Эти стандарты регулируют внедрение систем управления информационной безопасностью и технические аспекты защиты информации. [5, 6]
6) Международные стандарты
ISO/IEC 27001 и связанные с ним стандарты ISO/IEC 27002 и ISO/IEC 27005 регламентируют подходы к управлению информационной безопасностью, оценке рисков и внедрению технических средств защиты. Их использование особенно актуально для компаний, работающих на международном рынке. [7]
7) Регулирование в сфере обработки данных в интернете
Особое место занимают законодательные акты, направленные на регулирование интернета, такие как Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Этот закон вводит обязательные меры защиты для предприятий, чьи информационные системы относятся к категории критической инфраструктуры. [8]
Примеры интеграции нормативно-правовой базы в практику
1) Финансовый сектор
Банки и финансовые организации обязаны соответствовать требованиям ГОСТ Р 57580-2017 и ISO/IEC 27001, что предполагает внедрение DLP-систем, экранирования помещений и регулярных аудитов информационной безопасности.
2) Государственные структуры
В соответствии с приказом ФСТЭК №21, информационные системы государственных органов оснащаются шифровальными средствами и системами мониторинга угроз.
3) Предприятия КИИ
Объекты критической инфраструктуры разрабатывают и внедряют системы защиты, соответствующие требованиям ФЗ №187-ФЗ, включая сертифицированные средства защиты информации и средства обнаружения атак.
Таким образом, нормативно-правовая база охватывает широкий круг вопросов, начиная от установления принципов обработки персональных данных до регламентации использования шифровальных средств и стандартов. Соблюдение этих норм обеспечивает создание комплексной системы защиты информации, минимизирующей угрозы утечек через технические каналы.

1.2 Классификация технических каналов утечки информации (ТКУИ)

Технические каналы утечки информации (ТКУИ) представляют собой пути, через которые информация может быть передана или получена злоумышленниками без санкции владельца. Эти каналы классифицируются по типу физических явлений, используемых для передачи данных, и особенностям их эксплуатации. Рассмотрим основные категории ТКУИ.
1) Электромагнитные каналы
Электромагнитные каналы утечки основаны на излучении электромагнитных волн оборудованием или кабельными линиями. Это один из наиболее распространенных и сложных для предотвращения видов утечек.
Побочные электромагнитные излучения: возникают в результате работы электронного оборудования, такого как мониторы, компьютеры, серверы. [9]
Наводки в кабельных системах: возникают, если информационные сигналы, передаваемые по проводным линиям, перекрываются наводками из соседних кабелей. [2]
Излучения радиочастотных устройств: беспроводные технологии, такие как Wi-Fi и Bluetooth, также могут быть использованы для перехвата данных. [10]
2) Акустические каналы
Акустические каналы утечки информации связаны с передачей данных через звуковые волны. Эти каналы часто используются для перехвата речевой информации.
Прослушивание через микрофоны: встроенные микрофоны в устройствах могут быть активированы злоумышленниками. [11]
Утечки через акустические вибрации: вибрации, создаваемые оборудованием или голосом, могут быть переданы через стены, мебель или воздух. [12]
3) Оптические каналы
Оптические каналы включают утечки, связанные с передачей информации через световые сигналы или оптические устройства.
Видимое излучение экранов: перехват данных с экранов через оптические устройства, такие как телекамеры с высоким разрешением. [7]
Лазерные устройства: могут использоваться для перехвата акустических колебаний через окна, анализируя отражения лазерного луча. [13]
4) Виброакустические каналы
Эти каналы связаны с передачей данных через механические вибрации.
Передача через структурные элементы: вибрации могут распространяться по стенам, трубам или другим строительным конструкциям. [14]
Утечки через механические устройства: принтеры, жесткие диски и другое оборудование могут излучать специфические вибрации, содержащие данные.
5) Тепловые каналы
Тепловые каналы основаны на утечке данных через тепловое излучение.
Инфракрасные сигналы: оборудование, например, камеры с инфракрасным излучением, может использоваться для сбора данных.
Тепловые изменения в кабелях: резкие изменения температуры кабелей могут быть индикаторами передаваемой информации.
6. Комбинированные каналы
Некоторые виды утечек происходят через сочетание нескольких физических явлений. Например, комбинирование акустических и вибрационных сигналов или использование оптических методов совместно с электромагнитными. Такие каналы требуют комплексного подхода к их обнаружению и предотвращению.
Особенности ТКУИ
Скрытность: большинство технических каналов утечки трудно обнаружить без специализированного оборудования.
Высокая сложность защиты: для предотвращения утечек требуется применение разнообразных методов, таких как экранирование, шифрование, виброизоляция и контроль доступа.
Универсальность: технические каналы могут быть использованы в любой инфраструктуре, что делает их особо опасными.
Классификация ТКУИ позволяет лучше понять природу угроз и разработать соответствующие меры для их предотвращения.
Роль классификации в защите информации
Классификация технических каналов утечки информации (ТКУИ) играет важную роль в создании эффективных систем защиты. Правильное понимание природы и механизмов утечек позволяет не только выявлять существующие угрозы, но и прогнозировать появление новых каналов, что способствует повышению устойчивости информационной системы предприятия.
Подробности классификации
1) Электромагнитные каналы утечки
Электромагнитные излучения формируются работой электронных устройств, таких как мониторы, процессоры и кабельные линии. Эти сигналы могут быть перехвачены с помощью антенн и усилителей, даже находясь за пределами защищенной зоны.
Пример: побочные излучения монитора, фиксируемые с помощью направленной антенны, позволяют восстанавливать изображение экрана. [9]
2) Акустические каналы утечки
Акустические сигналы, производимые речью или оборудованием, могут распространяться через воздух, стены и другие физические преграды.
Пример: запись разговора в помещении с помощью направленного микрофона, расположенного за окном.
3) Оптические каналы утечки
Эти каналы основаны на передаче данных через оптические устройства.
Пример: использование оптических телекамер для считывания данных с экранов мониторов или анализа вибраций стекол.
4) Виброакустические каналы утечки
Вибрации, передаваемые через конструктивные элементы (стены, полы, мебель), могут использоваться для перехвата данных.
Пример: анализ вибраций, вызванных нажатиями клавиш на клавиатуре.