Київський національний університет імені Тараса Шевченка

Факультет інформаційних технологій

Кафедра кібербезпеки та захисту інформації

Практична робота № 5
ФІЗИЧНІ І ТЕХНІЧНІ ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЇ
З ОБМЕЖЕНИМ ДОСТУПОМ

Виконала:
Федорищева Варвара Олександрівна
Група КБ-21

Викладач:
к.т.н. Яніна ШЕСТАК

Київ 2024
 ПРАКТИЧНЕ ЗАНЯТТЯ № 5

Тема: Фізичні і технічні засоби захисту інформації з обмеженим доступом.

Мета: Засоби захисту інформації з обмеженим доступом.

Хід роботи

Запитання для самоконтролю

1. Що таке інформація з обмеженим доступом?

Інформація з обмеженим доступом – це відомості конфіденційного або

таємного характеру, правовий статус яких передбачений законодавством
України і доступ до яких правомірно обмежений власником таких відомостей. За
своїм правовим режимом вона поділяється на конфіденційну і таємну.
Згідно закону України “Про інформацію” конфіденційна інформація – це
відомості, які знаходяться у володінні, користуванні або розпорядженні окремих
фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до
передбачених ними умов. Таємна інформація – це інформація, що містить
відомості, які становлять державну та іншу передбачену законом таємницю
(банківську, комерційну, службову, професійну, адвокатську тощо),
розголошення якої завдає шкоди особі, суспільству і державі.

2. На які види поділяється конфіденційна інформація?

Конфіденційна інформація поділяється на таку, яка є власністю держави, і

конфіденційна інформацію, яка не належить державі. Таємна інформація має
бути передбачена законом. До видів таємної інформації відносимо: державну,
комерційну, банківську, службову, професійну, адвокатську та інші види
таємниць. Саме інформація з обмеженим доступом, а точніше право власника на
її захист є однією із меж реалізації права на інформацію.

При цьому засоби, призначені для захисту інформації можуть бути

поділені:
 Пасивні – фізичні (інженерні), технічні та програмні засоби тощо;
 Активні – джерела безперебійного живлення, шумогенератори, скремблери,
програмно-апаратні засоби маскування інформації тощо.
 3. Які недоліки організаційних заходів дозволяють усувати фізичні і
технічні засоби захисту інформації.

Фізичні і технічні засоби захисту покликані усунути недоліки

організаційних заходів, основними з яких є:
 Залучення до робіт для захисту інформації організацій, що мають ліцензії
відповідних органів на діяльність в області технічного захисту інформації
(ТЗІ);
 Категорування й атестацію об'єктів ТЗПІ та приміщень, виділених для
проведення секретних заходів (виділених приміщень) щодо відповідності
вимогам забезпечення захисту інформації під час проведення робіт з
відомостями відповідного ступеня секретності;
 Використання на об'єкті сертифікованих ТЗПІ та ДТЗС;
 Встановлення контрольованої зони навколо об'єкта;
 Залучення до робіт із монтування апаратури, будування чи реконструкції
об'єктів ТЗПІ організацій з відповідними ліцензіями;
 Організацію контролю та обмеження доступу на об'єкти ТЗПІ та у виділені
приміщення;
 Введення територіальних, частотних, енергетичних, просторових і часових
обмежень у режимах використання технічних засобів, що підлягають захисту;
 Відключення технічних засобів, що мають елементи властивостей
електроакустичних перетворювачів, від ліній зв'язку на період проведення
секретних заходів.
У свою чергу це дозволить поставити бар’єр на шляху зловмисників та
максимально виключити можливість ненавмисних порушень персоналу,
викликаних їх помилками або недбалістю користувачів ІС.

4. Що таке фізичний захист інформації з обмеженим доступом?

Фізичний захист ІзОД забезпечує фізичну безпеку ІС – споруд та приміщень де

розташована ІС (температура в приміщенні 10...26оС, вологість повітря
35...50%), самої інформаційної системи, допоміжного обладнання (принтери,
сканери тощо), носіїв інформації (роздруківок, дисків тощо) і каналів передачі
(отримання) інформації. Він ґрунтується на визначених периметрах безпеки й
забезпечується шляхом установки ряду бар’єрів, розташованих у стратегічних
місцях.
Головними заходами фізичного захисту є захист від вогню, води, пилу,
корозійних газів, електромагнітного випромінювання, вандалізму тощо, а також
захист від несанкціонованого доступу до приміщень. При цьому вимоги до
кожного захисного бар’єра і його місця розташування повинні визначатися
цінністю інформації, ризиком порушення безпеки, а також необхідністю
дотримання існуючих захисних мір .
Діапазон засобів фізичного захисту, який можливо застосувати для
попередження катастроф або зведення їх до мінімуму, дуже великий, починаючи
від самого нижнього рівня до найскладнішого. При цьому кожен рівень
фізичного захисту має визначені режимні території, зони або приміщення у
межах яких необхідно забезпечити належний рівень захисту. Так, наприклад, для
захисту периметра можуть створюватись системи охоронної й пожежної
сигналізації, системи цифрового відео спостереження, системи контролю й
управління доступом (СКУД) тощо.
За для цього пропонуються наступні рекомендації:
Режимні території, зони або приміщення повинні відповідати цінності
інформації, що захищається;
Периметр безпеки повинний бути чітко визначений;
Допоміжне устаткування (ксерокс, факс тощо) повинні бути розміщені так,
щоб зменшити ризик НСД до інформації з обмеженим доступом;
Фізичні бар’єри повинні при необхідності простиратися від підлоги до
стелі, щоб запобігти несанкціонованому доступу у режимні приміщення;
не слід надавати стороннім особам інформацію про те, що робиться в ре-
жимних територіях, зонах або приміщеннях без потреби;
Доцільно розглянути можливість установлення заборони на роботу
поодинці без належного контролю (це необхідно як для безпеки, так і для
запобігання шкідливих дій);
Інформаційну систему варто розміщати у спеціально призначених для
цього місцях, окремо від обладнання контрольованого сторонніми
підрозділами;
У неробочий час режимні території, зони або приміщення повинні бути
фізично недоступні (закриті на замок) і періодично перевірятися охороною.
Персоналові, що здійснює ТО, повинен бути наданий доступ до режимних
територій, зон або приміщень тільки в разі потреби і після одержання
письмового дозволу. Доступ такого персоналу варто обмежити, а їх дію
відслідковувати;
У межах режимних територій, зон або приміщень використання
фотографічної, звукозаписної і відео апаратури повинно бути заборонено
(за винятком санкціонованих випадків);
На режимних територіях, у режимних зонах та приміщеннях варто
установити належний контроль доступу тощо.
 З метою реалізації заходів контролю необхідно:
 Вести облік дати і часу входу й виходу відвідувачів (відвідувачам повинний
бути наданий доступ до конкретної, дозволеної інформації);
 Вилучати права доступу в режимні території, зони або приміщення в
співробітників, що звільняються з даного місця роботи;
 Дотримуватись пропускного та внутрішньооб’єктового режимів.

5. Що таке внутрішньо об’ектовий режим?

Внутрішньо об’єктовий режим – організаційні та технічні заходи і правила

щодо забезпечення режиму, встановлені в організації. Його основними
завданнями є обмеження кола осіб, що допускаються до ІзОД, проведення робіт
з виконавцями щодо роз’яснення вимог роботи з документами, які мають гриф
обмеження доступу та ступеня відповідальності за їх збереження, забезпечення
встановленого порядку користування ІзОД тощо.
Внутрішньооб'єктовий режим - це комплекс правил та заходів,
спрямованих на забезпечення безпеки та порядку на території об'єкта
(підприємства, установи, організації) та унеможливлення несанкціонованого
доступу до матеріальних цінностей, інформації та інших ресурсів.

Він включає в себе:

 Пропускний режим: контроль входу та виходу людей, транспорту, вантажів
на територію об'єкта.
 Охоронний режим: контроль за станом приміщень, території, обладнання,
запобігання крадіжкам, псування майна, пожежам, аваріям.
 Інформаційний режим: захист конфіденційної інформації, запобігання
витоку та несанкціонованого доступу.
 Технічний режим: експлуатація та обслуговування технічних засобів
охорони, систем контролю доступу, відеонагляду, пожежної сигналізації.

6. Що таке технічний захист інформації?

Технічний захист інформації (ТЗІ) є одним з напрямків захисту інформації

в інформаційних системах. Завдання, що ним вирішуються розбиваються на два
великих класи: захист інформації від несанкціонованого доступу (НСД) і захист
інформації від витоку технічними каналами. Під НСД звичайно мається на увазі
доступ до інформації, що порушує встановлену в ІС політику розмежування
доступу. Основні методи і засоби НСД одержання інформації й можливий захист
від них наведені у табл. 1.
 Під технічними каналами розуміються канали сторонніх електромагнітних
випромінювань і наведень, акустичні канали, оптичні канали й ін. Узагальнююча
схема можливих каналів витоку і НСД до інформації, оброблюваної в типовому
одноповерховому офісі наведено на рис.1.

Рис. 1. Узагальнююча схема можливих каналів витоку і НСД до

інформації, оброблюваної в типовому одноповерховому офісі

7. Назвіть основні методи і засоби несанкціонованого отримання

інформації та її захисту.

Несанкціоноване одержання інформації (НСД) - це діяльність, спрямована на

отримання інформації без відома та згоди її власника. НСД може здійснюватися
різними методами, кожен з яких має свої особливості та може бути протидіяний
за допомогою певних заходів захисту.
Один з найпоширеніших методів НСД - візуальне спостереження.
Зловмисник може спостерігати за об'єктом, щоб отримати інформацію про його
діяльність, персонал, транспортні засоби тощо. Захиститися від візуального
спостереження можна за допомогою заходів маскування, систем
відеоспостереження та обмеження доступу до об'єкта.
 Інший поширений метод НСД - використання технічних каналів витоку
інформації. До них належать телефонні лінії, комп'ютерні мережі, канали
радіозв'язку тощо. Зловмисники можуть використовувати спеціальні технічні
засоби для перехоплення інформації, яка передається цими каналами.
Захиститися від НСД з використанням технічних каналів витоку інформації
можна за допомогою засобів технічного захисту інформації, контролю за ефіром
та шифрування інформації. Таблиця 3.1
Основні методи і засоби несанкціонованого отримання інформації та її захисту
Типова Канали витоку Методи і засоби
ситуація інформації отримання інформації захист інформації
Підслуховування (диктофон, мік-
Акустичний Шумові генератори, пошук
Розмова в рофон тощо)
закладних пристроїв, захис-
приміщенні та Віброакустичний Стетоскоп, вібродатчик
ні фільтри, обмеження дос-
на вулиці Акустоелектрон-
Спеціальні радіоприймачі тупу
ний
Шумові генератори, пошук
Розмова по те- Підслуховування (диктофон, мік- закладних пристроїв, захис-
Акустичний
лефону: рофон тощо) ні фільтри, обмеження дос-
тупу
Паралельний телефон, пряме підк- Маскування, скремблюван-
Сигнал в лінії лючення, електромагнітний датчик, ня, шифрування, спецтехні-
Провідному
диктофон, телефонна закладка ка
Наводки Спеціальні радіотехнічні пристрої Спецтехніка
Маскування, скремблювання,
Радіотелефону ВЧ-сигнал Радіоприймачі
шифрування, спецтехніка
Документ на
Безпосередньо Крадіжка, прочитування, копіюван- Обмеження доступу, спец-
паперовому
документ ня, фотографування техніка
носії:
Продавлення
стрічки або Крадіжка, причитування Оргтехзаходи
паперу
Виготовлення Акустичний шум Пристрої
Апаратура акустичного контролю
принтера шумозаглушування
Паразитні сигна-
Спеціальні радіотехнічні засоби Екранування
ли, наводки
Почтові відп- Безпосередньо
Крадіжка, причитування Спеціальні методи
равлення документ
Документ на
Крадіжка, копіювання, причитуван- Контроль доступу, фізичний
машинному Носій
ня захист, криптозахист
носії
Відображення на Візуальний, копіювання, фотогра- Контроль доступу, фізичний
дисплеї фування захист, криптозахист
Паразитні сигна-
Спеціальні радіотехнічні пристрої
ли, наводки
Виготовлення Контроль доступу, крипто-
Електричні
Апаратні закладки захист, пошук закладок, ек-
сигнали
ранування
Програмний
Програмні закладки
продукт
Передача до-
Електричні та Несанкціоноване підключення, імі-
кумента по ка- Криптозахист
оптичні сигнали тація зареєстрованого користувача
налах зв’язку
Виробничий Відходи, випромі- Оргтехзаходи,
Спецапаратура різного призначення
процес нювання тощо фізичний захист

Табл. 1. Основні методи і засоби НСД одержання інформації й можливий

захист від них
 8. Назвіть технічні канали витоку інформації і несанкціонованого
доступу, які можуть виникати під час обробки інформації в типовому
одноповерховій офісній споруді.

Під час обробки інформації в типовому одноповерховій офісній споруді

виникають ризики витоку та несанкціонованого доступу. Для їхнього
нівелювання важливо вжити комплексних заходів.

До основних каналів витоку інформації належать:

Акустичні канали: несанкціоноване прослуховування телефонних розмов,
перехоплення мовлення через відкриті вікна, використання пристроїв стеження
за звуком.
Електромагнітні канали: витік інформації через електромагнітне
випромінювання від комп'ютерів, принтерів, модемів, перехоплення інформації
через ефір Wi-Fi.
Оптичні канали: спостереження за екранами комп'ютерів ззовні, використання
оптичних приладів для зчитування конфіденційної інформації з документів.
Фізичні канали: несанкціонований доступ до комп'ютерів, принтерів, серверів,
викрадення або крадіжка носіїв інформації (флешок, дисків, документів).

Канали несанкціонованого доступу включають:

Локальна мережа: несанкціоноване підключення до локальної мережі через Wi-
Fi або кабельні роз'єми, використання вразливостей програмного забезпечення
для отримання доступу до мережевих ресурсів.
Інтернет: атаки на веб-сайти та веб-додатки, фішинг та інші методи соціальної
інженерії для отримання паролів та логінів.
Зовнішні носії інформації: використання заражених флешок або дисків для
зараження комп'ютерів вірусами, внесення змін до файлів на комп'ютерах з
використанням зовнішніх носіїв.
Віддалений доступ: несанкціонований доступ до комп'ютерів через VPN або
інші методи віддаленого підключення, використання вразливостей програмного
забезпечення для отримання віддаленого доступу.

Для захисту інформації рекомендується:

Впровадити політику інформаційної безпеки: ознайомити персонал з

правилами роботи з конфіденційною інформацією.
Використовувати технічні засоби захисту: антивірусне програмне
забезпечення, брандмауери, шифрування даних.
Регулярно оновлювати програмне забезпечення: встановлювати оновлення
безпеки для операційних систем та програмного забезпечення.
Контролювати доступ до інформації: використовувати надійні паролі,
обмежувати доступ до комп'ютерів та серверів, шифрувати носії інформації.
Навчати персонал: проводити тренінги з кібербезпеки, підвищувати
обізнаність персоналу про методи та ризики НСД.

Рис. 2. Узагальнююча схема можливих каналів витоку і НСД до

інформації, оброблюваної в типовому одноповерховому офісі

9. Опишіть порядок розробки технічного завдання на створення

комплексної системи захисту інформації.

Технічне завдання (ТЗ) на створення комплексної системи захисту

інформації (КСЗІ) в ІС є засадчим організаційно-технічним документом для
виконання робіт щодо забезпечення захисту інформації в системі. Воно повинно
розроблятись з урахуванням комплексного підходу до побудови КСЗІ, який
передбачає об’єднання в єдину систему усіх необхідних заходів і засобів захисту
від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу ІС.
У ТЗ викладаються вимоги до функціонального складу і порядку розробки і
впровадження технічних засобів, що забезпечують безпеку інформації в процесі
її оброблення, а також вимоги до організаційних, фізичних та інших заходів
захисту, що реалізуються поза інформаційною системою у доповнення до
комплексу програмно-технічних засобів захисту інформації. Вимоги повинні
передбачати розроблення та використання сучасних ефективних засобів і
методів захисту, які дають можливість забезпечити виконання цих вимог з
найменшими матеріальними затратами.
ТЗ на КСЗІ є одним із обов’язкових засадних документів під час проведення
експертизи ІС на відповідність вимогам захищеності інформації. Вихідними
даними для його розроблення є функціональний профіль захищеності ІС від НСД
і вимогам до захищеності інформації від витоку технічними каналами.
Функціональний профіль захищеності інформації в конкретній інформаційній
системі може бути визначений в результаті проведення аналізу загроз та оцінки
ризиків або обраний на підставі класу інформаційної системи відповідно до НД
ТЗІ 2.5-005-99 „Класифікація автоматизованих систем і стандартні
функціональні класи захищеності оброблюваної інформації від
несанкціонованого доступу”.

10.Назвіть основні етапи робіт етапу формування технічного

завдання на комплексну систему захисту інформації.

До основних робіт етапу формування ТЗ на КСЗІ відносяться:

 Класифікація та опис ресурсів інформаційної системи (обчислювальної
системи засобів зв’язку і комунікацій, її категорії, виду подання, місця
зберігання, технології обробки тощо, обслуговуючого персоналу і
користувачів, території і приміщень і т. ін.);
 Розробка інформаційної моделі для існуючої ІС, тобто опис (формальний або
неформальний) інформаційних потоків інформаційної системи, інтерфейсів
між користувачами і інформаційною системою тощо;
 Визначення переліку загроз і можливих каналів витоку інформації;
 Експертна оцінка очікуваних втрат у разі здійснення загроз;
 Визначення послуг безпеки, які треба реалізувати;
 Обґрунтування необхідності проведення спецперевірки і спеціальних
досліджень інформаційно-телекомунікаційної системи та інших технічних
засобів, а також спеціального обладнання приміщень;
 Визначення вимог до організаційних, фізичних та інших заходів захисту, що
реалізуються у доповненні до комплексу програмно-технічних засобів
захисту;
 Визначення вимог до метрологічного забезпечення робіт;
 Визначення переліку макетів, що розробляються і технологічних стендів;
 Оцінка вартості і ефективності обраних засобів;
 Прийняття остаточного рішення про склад КСЗІ.

11. Які розділи повинно включати технічне завдання на створення

комплексну систему захисту формації?

Технічне завдання повинно включати такі розділи:

 Вимоги до системи захисту інформації;
 Вимоги до складу проектної та експлуатаційної документації;
 Етапи виконання робіт;
 Порядок внесення змін і доповнень до розділів технічного завдання;
 Вимоги до порядку проведення випробування системи захисту.

Вимоги до захищеності інформації від витоку технічними каналами

визначається на підставі НД ТЗІ ТР ЕОТ-95 „Тимчасові рекомендації з
технічного захисту інформації у засобах обчислювальної техніки,
автоматизованих системах і мережах від витоку каналами побічних
електромагнітних випромінювань і наводок” і ТР ПЕМВН-95 „Тимчасові
рекомендації з технічного захисту інформації від витоку каналами побічних
електромагнітних випромінювань і наводок”. Вимоги до забезпечення
технічного захисту інформації під час організації проектування будівництва
(нового будівництва, розширення, реконструкції та капітального ремонту)
встановлюється ДБН А.2.2.-2-96.

Вимоги технічного захисту інформації повинні бути викладені в завданні

на проектування заходів ТЗІ і враховуватися в процесі проектування
об’єкта, зокрема під час розробки:
Ситуаційного плану розміщення об’єкта;
Технології виробництва;
Принципових схем виробничих технологічних процесів;
Схеми генерального плану виробничого комплексу;
Архітектурно-будівельних рішень щодо об’єкта;
Принципових рішень з організації системи зв’язку, сигналізації,
управління, автоматизування та інших систем;
Основних рішень з організації будівництва.
Завдання на проектування заходів технічного захисту інформації повинно бути
складовою частиною загального завдання на проектування об’єкта.
 Необхідність розробки проектної документації для будівництва об’єкта з
урахуванням вимог технічного захисту інформації повинна бути
визначена після виконання наступних підготовчих робіт:
 Визначення переліку приміщень, в яких циркулює інформація, що підлягає
технічному захисту;
 Обґрунтування необхідності розроблення заходів захисту ІзОД з
урахуванням шкоди від її витоку або порушення цілісності;
 Уточнення меж контрольованої території на основі аналізу загроз безпеці
інформації;
 Визначення головних задач ТЗІ з обмеженим доступом;
 Визначення шляхів і засобів реалізації заходів технічного захисту інформації
з урахуванням технічної та економічної доцільності.

Основою функціонування системи захисту інформації є план технічного

захисту інформації, що повинен містити такі документи:
 Перелік розпорядчих, організаційно-методичних нормативних документів
ТЗІ, а також вказівки: щодо їхнього застосування;
 Інструкції про порядок реалізації організаційних, первинних технічних та
основних технічних заходів захисту;
 Інструкції, що встановлюють обов’язки, права та відповідальність
персоналу;
 Календарний план технічного захисту інформації.

Технічне завдання і план технічного захисту інформації розробляють

спеціалісти з технічного захисту інформації, узгоджують з зацікавленими
підрозділами (організаціями). Затверджує їх керівник організації.
Вимоги з захисту інформації визначаються замовником, погоджуються з
розробником інформаційної системи і виконавцем робіт по створенню
комплексної системи захисту інформації в інформаційній системі. Виконавець
повинен мати відповідну ліцензію Департаменту спеціальних
телекомунікаційних систем та захисту інформації Служби безпеки України. У
випадках, передбачених Положенням про технічний захист інформації в Україні,
технічне завдання на комплексну систему захисту інформації погоджується з
Департаментом.

Оформляється воно відповідно до того ж самого стандарту, що і основне

технічне завдання на інформаційну систему, і в загальному випадку
повинно містити такі основні підрозділи:
 Загальні відомості;
 Мета і призначення комплексної системи захисту інформації;
 Загальна характеристика інформаційної системи та умови її функціонування;
 Вимоги до комплексної системи захисту інформації;
 Вимоги до складу проектної та експлуатаційної документації;
 Етапи виконання робіт;
 Порядок внесення змін і доповнень до технічного завдання;
 Порядок проведення випробувань комплексної системи захисту інформації.

Висновок

Фізичні та технічні засоби відіграють ключову роль у захисті інформації з

обмеженим доступом. Комплексне використання охорони, систем контролю
доступу, відеоспостереження, сигналізації, захисних дверей, сейфів,
шифрування даних, антивірусів, брандмауерів, систем IDS/IPS, DLP,
криптографічного захисту, моніторингу та аудиту дозволяє мінімізувати ризики
витоку та несанкціонованого доступу.

Жоден із засобів захисту не є абсолютно надійним. Для ефективного

захисту необхідний комплексний підхід, що включає організаційні, технічні та
програмні заходи, а також регулярну перевірку та оновлення системи захисту.
Важливо пам'ятати, що безпека інформації з обмеженим доступом залежить від
сукупного впливу всіх застосованих заходів.

Список використаної літератури

1. ЗАКОН УКРАЇНИ Про доступ до публічної інформації -

https://zakon.rada.gov.ua/laws/show/2939-17#Text
2. Організаційно-правові основи захисту інформації з обмеженим доступом
// Навчальний посібник за заг. ред. Сідака В. С. - К. – Вид. Європ. Унів-ту,
2006. – 232 с. 6. П