Статья опубликована в рамках: CXLVIII Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 07 апреля 2025 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:

Воробьев А.А., Пацюк А.Д. ЗАЩИТА ПОМЕЩЕНИЙ ДЛЯ РАБОТЫ С ИНФОРМАЦИЕЙ ОГРАНИЧЕННОГО ДОСТУПА // Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. CXLVIII междунар. студ. науч.-практ. конф. № 4(146). URL: https://sibac.info/archive/technic/4(146).pdf (дата обращения: 19.04.2025)

Проголосовать за статью

Конференция завершена

Эта статья набрала 34 голоса

Дипломы участников

У данной статьи нет
дипломов

ЗАЩИТА ПОМЕЩЕНИЙ ДЛЯ РАБОТЫ С ИНФОРМАЦИЕЙ ОГРАНИЧЕННОГО ДОСТУПА

Воробьев Артем Андреевич

студент, кафедра безопасности информационных систем, Самарский университет имени С.П. Королёва,

РФ, г. Самара

Пацюк Александр Дмитриевич

канд. техн. наук, доц., кафедра безопасности информационных систем, Самарский университет имени С.П. Королёва,

РФ, г. Самара

PROTECTION OF PREMISES FOR WORKING WITH RESTRICTED INFORMATION

Artem Vorobev

student, Faculty of Mechanics and Mathematics, Department of Information Systems Security, Samara State University,

Russia, Samara

Alexander Patsyuk

PhD in Technical Sciences, Associate Professor, Department of Information Systems Security, Samara State University,

Russia, Samara

АННОТАЦИЯ

Рассмотрены вопросы обеспечения технической и организационной защиты помещений для работы с информацией ограниченного доступа.

Показана важность закрытия технических каналов утечки информации.

Представлен перечень организационных и технических мероприятий, обеспечивающих необходимый уровень защиты информации, соответствующий требованиям нормативных документов регуляторов.

ABSTRACT

The issues of providing technical and organizational protection of premises for working with restricted access information are considered.

The importance of closing technical channels of information leakage is shown.

A list of organizational and technical measures is presented to ensure the necessary level of information protection that meets the requirements of regulatory documents.

Ключевые слова: информационная безопасность, информация ограниченного доступа, защита помещений.

Keywords: information security, restricted access information, protection of premises.

Введение

В современном обществе защита информации ограниченного доступа становится приоритетной задачей для всех организаций, как государственных, так и коммерческих.

В этой связи актуальным становится вопрос обеспечения защиты информации, которая должна функционировать с соблюдением всех требований законодательства и нормативных документов регуляторов.

Общие сведения

Работа с носителями информации ограниченного доступа должна производиться в специальных помещениях, обеспечивающих необходимый уровень защиты [4].

Если информация содержит государственную тайну, то такие помещения называются выделенные, если другие виды тайн (коммерческая, служебная, персональные данные), то помещения называют защищаемые [3].

Расположение и оборудование таких помещений должно соответствовать требованиям нормативных документов [3, 4].

Требования к расположению

Рекомендации по расположению выделенных и защищаемых помещений представлены в Специальных требованиях и рекомендациях по технической защите конфиденциальной информации [3].

На основе анализа документа можно выделить несколько ключевых аспектов, касающихся безопасности защищаемых помещений:

помещения должны размещаться в пределах контролируемой зоны организации;
защищаемые зоны должны иметь автономные ограждения, которые исключают общие границы с соседними помещениями и организациями;
не рекомендуется размещать защищаемые помещения на первых этажах здания;
на каждое защищаемое помещение должен быть составлен технический паспорт.

Защита от утечки информации по акустическому каналу

Обеспечение безопасности акустической информации в защищаемых помещениях является важным направлением в системе мероприятий по защите информации. Данный аспект является ключевым в предотвращении утечек конфиденциальных данных и обеспечении безопасности информационных потоков.

Одним из наиболее скрытных и эффективных методов перехвата информации является использование виброакустического канала. Данный метод относится к беззаходовым, поскольку оборудование для съема информации размещается за пределами контролируемой зоны. Главным преимуществом такого подхода является сложность обнаружения аппаратуры, что обеспечивает высокую степень скрытности.

Мерами предотвращения утечек информации через виброакустические каналы являются следующие.

Снижение интенсивности акустического сигнала, попадающего в твердые среды:

применение звукопоглощающих материалов для отделки стен;
установка плотных штор или жалюзи для уменьшения вибраций стекол;
использование двойных дверей с уплотнением, обитых звукопоглощающими материалами.

Создание помех в среде распространения вибрационного сигнала:

установка генераторов белого шума, подключенных к излучателям, размещенным на элементах конструкций;
усиление естественного фонового шума.

В соответствии с ГОСТ Р 50840–95, уровень слоговой разборчивости сигналов имеет прямое влияние на возможность идентификации содержания речи [2].

Защита от утечки информации по электромагнитному каналу

Электромагнитный канал утечки информации представляет собой физический путь, по которому побочные электромагнитные излучения и наводки (далее – ПЭМИН) от различных технических устройств могут распространяться в воздушном пространстве и направляющих системах, и попадать к злоумышленнику.

Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработала модель угроз, которая определяет потенциальные риски утечек информации через электромагнитные каналы [4]. В рамках данной модели выделяются несколько типов угроз, связанных с возможными утечками информации:

утечки информации через побочные электромагнитные излучения. Этот тип угрозы возникает из-за электромагнитных полей, создаваемых компонентами информационных систем и устройств обработки данных;
утечки информации через наводки по цепям питания. В процессе работы оборудования могут возникать электромагнитные помехи, которые могут нести информацию и передаваться через электрические сети;
утечки информации через радиоизлучения, модулированные информационным сигналом;
утечки информации через съем наведенных информационных сигналов с цепей электропитания и заземления.

Для защиты информации от утечки по каналам побочных электромагнитных излучений и наводок применяются пассивные, активные и комбинированные методы.

Пассивная защита ориентирована на снижение уровня излучений до значений, сопоставимых с естественным фоновым шумом. Это достигается с помощью специализированных конструктивных решений и материалов, которые применяются в оборудовании, обрабатывающем информацию ограниченного доступа. К основным методам реализации пассивной защиты можно отнести использование экранирующих конструкций, которые эффективно подавляют электромагнитные излучения. Для компактных устройств достаточно экранирования отдельных компонентов, что позволяет сохранить их функциональные характеристики и снизить затраты. В случае более крупных систем, таких как залы или целые здания, экранирование требует значительных инвестиций и должно быть предусмотрено на этапе проектирования.

Активная защита основывается на создании помеховых сигналов, которые подавляют информационные сигналы. К помехам предъявляются определенные требования: они должны быть высокого качества, чтобы предотвратить извлечение информации из защищаемого канала. Параметры создаваемого шума выбираются так, чтобы эффективно маскировать основной сигнал при минимальной мощности. Идеальный шумовой сигнал должен минимизировать вероятность распознавания информационного сигнала, стремясь к тому, чтобы апостериорная вероятность его обнаружения была близка к нулю при максимальной априорной вероятности его наличия.

Организационные мероприятия

Помимо технических мер по защите информации от утечки необходимо также создать комплекс организационных мероприятий и ограничений, направленных на исключение несанкционированного доступа в помещение, а именно:

двери в защищаемое помещение между мероприятиями и в нерабочее время должны быть закрыты на ключ;
выдача ключей в защищаемое помещение должна быть документирована и выдаваться ключи должны только лицам, работающим в защищаемом помещении или ответственным за это помещение;
установка и замена мебели, оборудования, ремонтные работы должны производиться только по согласованию и под контролем подразделения по защите информации.

Выводы

Работа с информацией ограниченного доступа допускается только в помещениях, расположение и оборудование которых обеспечивает необходимый уровень защиты.
Организационные и технические мероприятия по обеспечению безопасности выделенных и защищаемых помещений должны соответствовать требованиям нормативных документов регуляторов.
Представленная информация, основанная на методических рекомендациях регуляторов, позволяет обоснованно выбирать расположение, оборудование и организационные мероприятия для выделенных и защищаемых помещений.

Список литературы:

Базовая модель от 15 февраля 2008 г. [Электронный ресурс]. – Режим доступа: https://fstec.ru/en/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/bazovaya-model-ot-15-fevralya-2008-g (дата обращения: 22.03.25)
ГОСТ 50840-90 [Электронный ресурс]. – Режим доступа: https:// rostest.info/gost/001.033040.035/gost-r-50840-95/ (дата обращения: 22.03.25)
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) [Электронный ресурс]. – Режим доступа: http://www.rfcmd.ru/sphider/docs/InfoSec/ RD_FSTEK_requirements.htm (дата обращения: 22.03.25)
Федеральный закон от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/ cons_doc_LAW_61798/ (дата обращения: 22.03.25)