Оптико-электронный (лазерный) канал утечки акустической информации образуется при облучении лазерным лучом вибрирующих в акустическом поле тонких отражающих поверхностей (стекол окон, картин, зеркал и т.д.). Отраженное лазерное излучение (диффузное или зеркальное) модулируется по амплитуде и фазе (по закону вибрации поверхности) и принимается приемником оптического (лазерного) излучения, при демодуляции которого выделяется речевая информация. При этом, лазер и приемник оптического излучения могут быть установлены в одном или разных местах (помещениях). Для перехвата речевой информации по данному каналу используются сложные лазерные акустические локационные системы, иногда называемые лазерными микрофонами. Работают они в ближнем инфракрасном диапазоне волн.
Методы и средства защиты информации от утечки по техническим каналам
Защита информации от утечки по техническим каналам достигается проектно – архитектурными решениями, проведением организационных и технических мероприятий, а также выявлением портативных электронных устройств перехвата информации (закладных устройств).
Организационные мероприятия – это мероприятия по защите информации, проведение которых не требует применения специального разработанных технических средств.
К основным организационным мероприятиям относятся:
– категорирование и аттестация объектов и выделенных для проведения закрытых мероприятий помещений (выделенные помещения (ВП) – при защите секретной информации; защищаемые помещения (ЗП) – при защите конфиденциальной информации) по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени конфиденциальности;
– установление контролируемой зоны вокруг объекта;
– организация контроля и ограничение доступа на объекты и в выделенные помещения;
введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
– отключение на период закрытых мероприятий технических средств, имеющих элементы, обладающие «микрофонным эффектом», от линий связи и т.д.
– привлечение к проведению работ по защите информации, по строительству, реконструкции объектов, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам.
Технические мероприятия – это мероприятия по защите информации, предусматривающие применение специальных технических средств, а также реализацию технических решений. Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения информационный сигнал/шум в местах возможного размещения портативных средств наблюдения или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством наблюдения, и проводятся с использованием активных и пассивных средств.
Пассивные методы защиты направлены на:
ослабление побочных электромагнитных излучений (информационных сигналов) на границе контролируемой зоны до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;
ослабление наводок побочных электромагнитных излучений (информационных сигналов) в посторонних проводниках и соединительных линиях ВТСС, выходящих за пределы контролируемой зоны, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;
исключение (ослабление) просачивания информационных сигналов в цепи электропитания, выходящие за пределы контролируемой зоны, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов.
Активные методы защиты информации направлены на:
– создание маскирующих пространственных электромагнитных помех с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозможность выделения средством разведки информационного сигнала;
– создание маскирующих электромагнитных помех в посторонних проводниках и соединительных линиях ВТСС с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозможность выделения средством разведки информационного сигнала.
Рекомендации по защите речевой информации
Организационно – технические мероприятия по защите речевой информации направлены на обеспечение защиты информации, обсуждаемой в выделенных (защищаемых) помещениях, от утечки по техническим каналам (акустический, виброакустический, электроакустические преобразования, внедрение электронных устройств перехвата информации).
При проведении мероприятий с использованием защищаемой речевой информации и технических средств ее обработки возможна утечка информации за счет:
– акустического излучения информативного речевого сигнала;
– виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ВП(ЗП);
– прослушивания разговоров, ведущихся в ВП(ЗП), по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;
электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящие за пределы КЗ;
– побочных электромагнитных излучений информативного сигнала от обрабатывающих конфиденциальную информацию технических средств, в т.ч. возникающих за счет паразитной генерации, и линий передачи информации;
– электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию технических средств и линий ее передачи, на провода и линии, выходящих за пределы КЗ;
– радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в ВП)), или при наличии паразитной генерации в их узлах (элементах);
– радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации («закладочных устройств»), закладываемых в ВП(ЗП), в технические средства и системы обработки информации.
Также следует учитывать возможность хищения технических средств с хранящейся в них информацией или отдельных носителей информации.
В организации (предприятии) должен быть документально определен перечень ВП(ЗП) и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ВП(ЗП), в котором необходимо отразить:
– план размещения оборудования и схему кабельных соединений с указанием типа и емкости кабельных линий, выходящих за пределы помещения;
– перечень оборудования ВТСС и мебели, установленных в помещении, с указанием типа, учетного или инвентарного номера и даты установления и замены;
– перечень реализованных в помещении мероприятий по защите информации;
– перечень мер по акустической и вибрационной защите помещения;
– акты и результаты аттестации и периодических проверок, выводы о соответствии ВП(ЗП) предъявляемым требованиям.
Защищаемые помещения должны размещаться в пределах контролируемой территории организации (предприятия). При этом рекомендуется размещать их на максимальном удалении от границ контролируемой зоны, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий). Не рекомендуется располагать ВП(ЗП) на первых этажах зданий.
Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи). Целесообразно, чтобы окна выходили на внутреннюю, закрытую для несанкционированного доступа территорию и около окон не должно быть пожарных лестниц, водосточных труб, пристроек и т.п.
Защищаемые помещения необходимо оснащать сертифицированными по требованиям безопасности информации ВТСС, либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию. Эксплуатация ВТСС должна осуществляться в соответствии с предписаниями и эксплутационной документацией на них.
Специальная проверка ВП(ЗП) и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств съема информации («закладочных устройств») проводится, при необходимости, по решению руководителя предприятия. При этом проверке подвергаются ограждающие конструкции ВП(ЗП), системы отопления и вентиляции, мебель и другие предметы интерьера, а также линии и арматура систем связи, электропитания, освещения и сигнализации.
Эффективность защиты ВП(ЗП) должна соответствовать действующим нормам защиты в зависимости от установленной категории помещения.
К организационно – режимным мероприятиям по защите ВП(ЗП) можно отнести следующие:
– двери помещений необходимо оборудовать замками повышенной надежности;
– двери ВП(ЗП) в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
– выдача ключей от ВП(ЗП) должен производиться только лицам, работающим в этом помещении или ответственным за него;
– уборка помещений должна производится в присутствии лиц, ответственных за него, или специально выделенными уборщиками, имеющими допуск;
– в случае ухода из этих помещений в рабочее время, необходимо их закрывать на ключ или оставлять под ответственность доверенных лиц.
В случае обнаружения факта несанкционированного проникновения в ВП(ЗП) производится расследование, организуемое подразделением по защите информации, с обязательным составлением акта.