Основы

информационной
безопасности
Лекция 3
 Утечка информации

Утечка - бесконтрольный выход конфиденциальной

информации за пределы организации или круга лиц, которым
она была доверена.
Канал утечки информации – совокупность источника
информации, материального носителя или среды
распространения несущего указанную информацию сигнала и
средства выделения информации из сигнала или носителя.
Фактор, воздействующий на защищаемую информацию -
явление, действие или процесс, результатом которых могут
быть утечка, искажение, уничтожение защищаемой
информации, блокирование доступа к ней.

ГОСТ Р 51275-2006 Защита информации. Объект

информатизации. Факторы, воздействующие на
информацию
 Побочное электромагнитное излучение и наводки
(ПЭМИН)

Побочное электромагнитное излучение - электромагнитное

излучение, возникающее при работе технических средств
обработки информации;

Паразитное электромагнитное излучение - электромагнитное

излучение, вызванное паразитной генерацией в электрических
цепях технических средств обработки информации;

Наводки - токи и напряжения в токопроводящих элементах,

вызванные электромагнитным излучением, емкостными и
индуктивными связями;
 Закладочные устройства и программная закладка
Закладочное устройство - элемент средства съема
информации, скрытно внедряемый в места возможного съема
информации (в том числе в ограждение, конструкцию,
оборудование, предметы интерьера, транспортные средства, а
также в технические средства и системы обработки
информации);

Программная закладка - внесенные в программное

обеспечение функциональные объекты, которые при
определенных условиях (входных данных) инициируют
выполнение не описанных в документации функций
программного обеспечения, позволяющих осуществлять
несанкционированные воздействия на информацию.
 Классификация факторов, воздействующих на
защищаемую информацию

По признаку отношения к природе возникновения:

объективные;
субъективные.

По отношению к объекту информатизации:

внутренние;
внешние.
 Объективные внутренние факторы
1. Передача сигналов по проводным линиям связи.
2. Передача сигналов по оптико-волоконным линиям связи.
3. Излучения сигналов, функционально присущих ОИ.
4. Излучения акустических сигналов.
• Излучения неречевых сигналов.
• Излучения речевых сигналов.
5. Электромагнитные излучения и поля.
• Излучения в радиодиапазоне.
• Излучения в оптическом диапазоне.
6. Побочное электромагнитное излучение (ПЭМИ).
• ПЭМИ сигналов (видеоимпульсов) от информационных цепей.
• ПЭМИ сигналов (радиоимпульсов) от всех электрических цепей ТС ОИ
(Модуляция электромагнитными сигналами от информационных цепей;
Модуляция акустическими сигналами).
7. Паразитное электромагнитное излучение (Модуляция информационными
сигналами; Модуляция акустическими сигналами)
8. Наводки.
• Наводки в электрических цепях ТС, имеющих выход за пределы ОИ.
• Наводки на ТС, вызванные побочными и (или) паразитными электромагнитными
излучениями, несущими информацию.
9. Акустоэлектрические преобразования в элементах ТС ОИ.
10. Дефекты, сбои, отказы, аварии ТС и систем ОИ.
11. Дефекты, сбои и отказы программного обеспечения ОИ.
 Объективные внешние факторы

1. Явления техногенного характера:

• Непреднамеренные электромагнитные облучения
• Радиационные облучения
• Сбои, отказы и аварии систем обеспечения.

2. Природные явления, стихийные бедствия:

• Термические факторы (пожары и т.д.).
• Климатические факторы (наводнения и т.д.).
• Механические факторы (землетрясения и т.д.).
• Электромагнитные факторы (грозовые разряды и т.д.).
• Биологические факторы (микробы, грызуны и т.д.).
• Химические факторы (химически агрессивные среды и т.д.).
 Субъективные внутренние факторы
1. Разглашение защищаемой информации лицами, имеющими к
ней право доступа.
• Разглашение информации лицам, не имеющим права доступа
к защищаемой информации.
• Передача информации по открытым линиям связи.
• Обработка информации на незащищенных ТС обработки
информации.
• Опубликование информации в открытой печати и других СМИ.
• Копирование информации на незарегистрированный
носитель информации.
• Передача носителя информации лицу, не имеющему права
доступа к ней.
• Утрата носителя с информацией.
2. Неправомерные действия со стороны лиц, имеющих право
доступа к защищаемой информации.
• Несанкционированное изменение информации.
• Несанкционированное копирование информации.
 Субъективные внутренние факторы
3. Несанкционированный доступ к защищаемой информации.
• Подключение к техническим средствам и системам ОИ.
• Использование закладочных устройств.
• Использование программного обеспечения технических
средств ОИ.
• Хищение носителя защищаемой информации.
• Нарушение функционирования ТС обработки информации.
4. Неправильное организационное обеспечение защиты
информации.
• Неправильное задание требований по защите информации.
• Несоблюдение требований по защите информации.
• Неправильная организация контроля эффективности защиты
информации.
5.Ошибки обслуживающего персонала ОИ:
• Ошибки при эксплуатации ТС.
• Ошибки при эксплуатации программных средств.
• Ошибки при эксплуатации средств и систем защиты
информации.
 Субъективные внешние факторы
1. Доступ к защищаемой информации с применением технических
средств.
• Доступ к защищаемой информации с применением технических
средств разведки.
• Доступ к защищаемой информации с использованием эффекта
“высокочастотного навязывания“.

2. Несанкционированный доступ к защищаемой информации.

• Подключение к техническим средствам и системам ОИ.
• Использование закладочных устройств.
• Использование программного обеспечения технических средств ОИ.
• Несанкционированный физический доступ на ОИ.
• Хищение носителя с защищаемой информацией.

3. Блокирование доступа к защищаемой информации путем перегрузки

технических средств обработки информации ложными заявками на ее
обработку.

4. Действия криминальных групп и отдельных преступных субъектов.

(диверсия в отношении ОИ)
 Каналы утечки
Каналы утечки информации по физическим принципам можно разделить
на следующие группы:
• акустические (включая виброакустические, акустоэлектрические).
Связаны с распространением звуковых волн в воздухе или упругих
колебаний в других средах;
• электромагнитные;
• визуально-оптические (наблюдение, фотографирование). В качестве
средства выделения информации в данном случае могут
рассматриваться фото-, видеокамеры и т. п.;
• материально-вещественные (бумага, фото, магнитные носители, мусор
и т. п.);
• информационные - связаны с доступом к элементам
телекоммуникационных сетей, носителям информации, самой
вводимой и выводимой информации, к программному обеспечению, а
также с подключением к линиям связи.

Применяется также деление каналов утечки на технические (к ним

относятся акустические, визуально-оптические и электромагнитные) и
информационные.
Информативные, малоинформативные и неинформативные.
Постоянные, периодические и эпизодические.
 Технические каналы утечки

В качестве источника сигнала могут быть:

• объект наблюдения, отражающий электромагнитные и
акустические волны;
• объект наблюдения, излучающий собственные
электромагнитные волны в оптическом и
радиодиапазонах;
• передатчик функционального канала связи;
• закладное устройство;
• источник опасного сигнала;
• источник акустических волн, модулированных
информацией.
Классификация технических каналов утечки
 Анализ технических каналов утечки

1. Утечка информации с возможностью ее дальнейшего

анализа возможна по всем техническим каналам.

2. Чем большую пропускную способность и длину имеет

ТКУИ, тем он опаснее для владельца информации.

3. Пропускная способность, длина и относительная

информативность ТКУИ зависит от характеристик его
элементов: источника, среды и приемника.
 Информационные каналы утечки

Информационный канал может быть разделен на

следующие каналы:

• канал коммутируемых линий связи;

• канал выделенных линий связи;
• канал локальной сети;
• канал машинных носителей информации;
• канал терминальных и периферийных устройств.
Методы защиты информации
 Методы защиты информации (2)
Защиту информации можно разделить на несколько уровней (№ 149-ФЗ ):

Правовой уровень обеспечивает соответствие государственным стандартам

в сфере защиты информации (включает авторское право, указы, патенты и
должностные инструкции).

Организационный уровень позволяет создать регламент работы

пользователей с конфиденциальной информацией, подобрать кадры,
организовать работу с документацией и носителями данных.
Правила устанавливаются руководством компании совместно со службой
безопасности и поставщиком, который внедряет систему безопасности.
Правила разграничения доступа разрабатываются на организационном
уровне и внедряются на этапе работ с технической составляющей системы.

Технический уровень условно разделяют на физический, аппаратный,

программный и математический (криптографический).
 Методы защиты информации (3)

Правовая защита информации: Защита информации правовыми методами,

включающая в себя разработку законодательных и нормативных правовых
документов (актов), регулирующих отношения субъектов по защите информации,
применение этих документов (актов), а также надзор и контроль за их исполнением.

Техническая защита информации (ТЗИ): Защита информации, заключающаяся в

обеспечении некриптографическими методами безопасности информации,
подлежащей защите в соответствии с действующим законодательством, с
применением технических, программных и программно-технических средств.

Криптографическая защита информации: Защита информации с помощью ее

криптографического преобразования.

Физическая защита информации: Защита информации путем применения

организационных мероприятий и совокупности средств, создающих препятствия для
проникновения или доступа неуполномоченных физических лиц к объекту защиты.

ГОСТ Р 50922-2006 Защита информации. Основные термины и определения

 Методы защиты информации

Система защиты

Организационные Технические средства

меры

Защита от НСД и Криптографические

Защита от утечки по
неправомерных средства защиты
техническим каналам
действий к ПДн информации

- Управление доступом - ПЭМИН

- Регистрация и учет - Акустический канал
- Обеспечение целостности
- Анализ защищенности
(сканеры безопасности)
- Обеспечение безопасного
ФСБ России
межсетевого взаимодействия
- Обнаружение вторжений
- Антивирусные средства ФСТЭК России
 Сертифицированные средства защиты информации

https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-
sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-
informatsii-n-ross-ru-0001-01bi00
Сертифицированные средства защиты информации

http://clsz.fsb.ru/files/download/svedeniya_po_sertifikatam_01.09.2021.doc
 Выбор уровня криптографической защиты
H1 H2 H3 H4 H5 H6
Используют штатные средства, расположенные за пределами +
КЗ
Используют имеющиеся в продаже аппаратные компоненты +
Возможности по использованию штатных средств зависят от + + + + +
организационных мер 
Дополнительные возможности по получению аппаратных + + +
компонентов зависят от организационных мер
 Известны все сети связи, работающие на едином ключе + + + +
Возможен сговор нарушителей  + + +
Могут проводить лабораторные исследования + + +
Располагают документацией и исходными текстами + +
Могут проводить работы в научно-исследовательских центрах + +
Располагают всей документацией на СКЗИ и любыми +
аппаратными компонентами

Нарушитель относится к типу Нi, если есть предположение, относящееся к

нарушителям типа Нi и нет ни одного предположения, относящегося только к
нарушителям типа Нj (j > i).
 Выбор уровня криптографической защиты

Уровни специальной защиты от утечки по КС КВ КА

каналам ПЭМИН
Уровни криптографической защиты КС1 КС2 КС3 КВ1 КВ2 КА1

Встраивание криптосредств осуществляется без контроля только под контролем со стороны

ФСБ России
Встраивание криптосредства класса не обязательно (самим обязательно
осуществляется организацией, имеющей пользователем при наличии
лицензии ФСБ)
соответствующую лицензию ФСБ России
Уровни защиты от несанкционированного АК1 АК2 АК3 АК4 АК5 АК6
доступа к ПДн
(классы автоматизированных систем)
Тип нарушителя (Hi) Н1 Н2 Н3 Н4 Н5 Н6
H1            
H2            
H3            
H4            
H5            
H6            
 Контакты
Маро Екатерина Александровна
E-mail: eamaro@sfedu.ru