В статье с критических позиций анализируются существующие подходы к трактовке и классификации технических каналов утечки информации. Уточняются понятия «канал утечки информации», «технический канал утечки информации» и их содержание, приводятся примеры классификации каналов утечки информации по наиболее существенным основаниям.
Если названия вещей не точны, их словесное выражение не отражает сути. Если слова не отражают сути, дела не могут быть завершены. Незавершение дел выхолащивает ритуал и музыку. Умаление значения музыки и обычаев приводит к тому, что наказание не достигает цели. Если наказание не действенно, общество ожидает хаос. Поэтому если благородный человек о чем-то говорит, его слова должны нести четкую смысловую нагрузку, ибо слова не должны расходиться с делом. В своих высказываниях благородный человек должен проявлять определенность, но не небрежность.
Конфуций
Вряд ли найдется хоть один человек, который скажет, что приведенные в эпиграфе слова древнего китайского мыслителя потеряли смысл в современных условиях и что дела все-таки «могут быть завершены», даже если «названия вещей не точны»! Вследствие этого возникает законный вопрос, а может ли быть «завершено дело» защиты информации от утечки по техническим каналам, если не определено значение термина «технический канал утечки информации» (ТКУИ)? Думается, что нет! Следовательно, для организации эффективной защиты информации от утечки по техническим каналам, необходимо определиться, что следует понимать под этим термином. Для тех, кому кажется, что это столь очевидно, что не требует каких-либо уточнений, напомним: очевидность не является критерием истинности.
Здесь будет уместно вспомнить высказывание еще одного мыслителя – Августина Блаженного, который, задаваясь вопросом: «Что же такое время?», отвечал: «Пока никто меня о том не спрашивает, я понимаю, нисколько не затрудняясь; как скоро хочу дать ответ об этом, я становлюсь совершенно в тупик».
Нечто подобное произошло с автором данной статьи: более двадцати пяти лет работы в сфере защиты информации (из них около 10 – заняла инспекционная деятельность по контролю состояния работ по защите информации, составляющей государственную тайну, от утечки именно по техническим каналам) и никаких сомнений в том, что следует понимать под ТКУИ. Но когда поступило предложение написать статью о защите информации от утечки по техническим каналам, вдруг сам собой возник вопрос: «А что это, собственно, такое – «технический канал утечки информации»?
Для прояснения этого вопроса сначала уточним, что понимают под этим термином наши с вами современники – специалисты в области защиты информации и ученые, исследующие проблему обеспечения ИБ.
Так, в статье «Современные технологии защиты от утечки конфиденциальной информации» неизвестные авторы к каналам утечки информации относят, например, «несанкционированное копирование», «вывод на печать», «несанкционированную передачу» и «хищение носителей». Методологическая несостоятельность такой «классификации» видна, что называется, «невооруженным глазом»: канал, каким бы он ни был, – это объект, а все перечисленное – способы. Некоторые деятели от науки вместо термина технические каналы утечки информации используют даже термин «технические средства потери информации»5 (выделено мной. – Г. А.).
Однако подавляющее большинство специалистов подразумевает под таковым:
- совокупность объекта разведки, технического средства разведки (ТСР), с помощью которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал;
- способ получения с помощью ТСР разведывательной информации об объекте.
Трактовать «канал» как «способ» – это очень современно: неопределенно и… методологически неверно. Такая трактовка предполагает следующее: если существует тот или иной способ получения информации с помощью тех или иных технических средств, то непременно существует и канал утечки. Логика подобного определения очень хорошо характеризуется известной поговоркой: «В огороде – бузина, а в Киеве – дядька». Но главная беда данного подхода состоит не в его алогичности, а в том, что при разработке нового способа получения информации, нового технического средства разведки сразу же возникает необходимость проведения мероприятий по защите от них имеющейся у владельца информации. И абсолютно неважно, будет ли применен новоявленный способ против данного субъекта, – важен сам факт существования такой возможности.
Так, например, обстоят дела с защитой информации, обрабатываемой средствами вычислительной техники (далее – СВТ), от утечки по сетям электропитания. Теоретически такой способ добычи информации возможен (о вероятности его успешной реализации и требуемых для этого затратах мы здесь говорить не будем). Однако, еще будучи руководителем регионального подразделения Гостехкомиссии России, автор попытался реализовать упомянутый способ на практике, используя имеющиеся в распоряжении спеццентра приборы и оборудование. Ничего путного из этой затеи не получилось. Попросили помощи у ГНИИИ ПТЗИ – результат тот же. Готовы были приобрести импортный анализатор, приемник, фильтры, адаптеры и прочее необходимое для этого оборудование. Ничего внятного, кроме уверений, что «за бугром» такие технологии существуют, мы тогда так и не получили. Справедливости ради стоит заметить, что было это лет семь – восемь назад.
В плане технического оснащения за это время мало что изменилось, однако тысячи и тысячи организаций по сей день, вместо того чтобы вкладывать деньги в развитие и модернизацию оборудования, обязаны покупать и устанавливать на рабочих местах, оснащенных СВТ, сетевые фильтры – достаточно дорогое и, как представляется, абсолютно бесполезное для них и очень прибыльное для производителей этих «игрушек» «удовольствие». К категории бесполезных с точки зрения защиты информации средств следует отнести и генераторы шума, установка которых необходима по требованию ФСТЭК России на всех рабочих местах, где осуществляется обработка служебной информации ограниченного распространения и информации, составляющей государственную тайну. Компьютеры, побочные электромагнитные излучения и наводки которых позволили бы снять информацию за пределами рабочего места оператора, уже практически не производятся, а требование об обязательной установке сетевого фильтра и/или генератора шума остается. О ноутбуках лучше вообще умолчать (кто пытался получить на них сертификат соответствия требованиям безопасности, поймет меня без труда).
< ... >