ПРИЛОЖЕНИЯ

П р и л о ж е н и е 1

Детальный план мероприятий

по инженерно-технической защите информации

в кабинете руководителя организации

Сценарий предназначен для формирования на практи­ ческих занятиях навыков по обеспечению защиты информа­ ции в кабинете руководителя организации. В сценарии рас­ сматриваются все основные этапы и процедуры защиты ин­ формации по темам:

-моделирование кабинета руководителя как наиболее сложного объекта защиты;

-моделирование угроз информации в кабинете руко­ водителя организации;

- выбор рациональных мер по защите информации

вкабинете руководителя организации.

1.Моделирование кабинета руководителя организации как объекта защиты

1.1. Обоснование выбора кабинета как объекта защиты

Выбор кабинета как объекта защиты обусловлен сле­

дующими факторами:

-в кабинете руководителя циркулирует наиболее цен­ ная информация организации;

-кабинет посещают сотрудники организации всех должностных категорий как по служебным, так и личным во­ просам, а также посетители организации;

-в кабинете, как правило, размещаются различные ра­ дио- и электрические приборы, которые могут быть источни­ ками побочных электромагнитных излучений и наводок;

-в кабинете во время докладов и совещаний проводит­ ся демонстрация продукции, документов, плакатов, аудио-

ивидеоматериалов;

- в кабинете много элементов интерьера и мебели, в которых легко спрятать закладные устройства.

Кабинет руководителя, как правило, граничит с прием­ ной и другими служебными помещениями. В приемной воз­ можно длительное присутствие посторонних лиц (сотрудни­ ков и посетителей), ожидающих приема. Реальные предпо­ сылки для утечки информации из приемной:

- недостаточная зашита информации в кабинете (на­ пример, из-за слабой звукоизоляции стены);

-частое открывание двери в кабинет;

-продолжение в приемной разговора на служебные темы выходящих из кабинета людей;

-работа секретаря с документами в присутствии нахо­ дящихся в приемной людей.

Во время совещания с участием представителей других организаций или беседы руководителя с посетителями по­ следние могут попытаться записать конфиденциальный раз­ говор с помощью скрытной записи на диктофон или заклад­ ного устройства с целью последующего использования этой информации во вред руководителю организации или органи­ зации в целом.

Здание, в котором находится кабинет, как правило, ок­ ружено другими административными и жилыми домами, через окна и с крыши которых возможно наблюдение за ис­ точниками информации в кабинете. Кроме того, возможен перехват из кабинета радиосигналов закладных устройств и побочных электромагнитных излучений и наводок.

Следовательно, кабинет представляет собой объект за­ щиты, в котором, с одной стороны, циркулирует наиболее ценная информация, а с другой стороны, возможен доступ в него всех категорий сотрудников и посетителей, в том числе занимающихся добыванием информации.

1.2.Характеристика информации, защищаемой

вкабинете руководителя

1.2.1.Виды информации в кабинете руководителя

В кабинете руководителя могут находиться на различ­ ных носителях все виды защищаемой в организации инфор­ мации, в том числе:

- семантическая информация в документах, с которы­ ми работает руководитель или которые приносят его замес­ тители, другие сотрудники, представители других организа­ ций, а также на чертежах и плакатах, развешиваемых на сте­ нах или проецируемых во время докладов и совещаний;

-семантическая речевая информации во время конфи­ денциального разговора руководителя с посетителями и вы­ ступлений участников совещания;

-информация о видовых признаках VIP-персон, посе­ щающих руководителя;

-видовые демаскирующие признаки продукции, маке­ тов и опытных образцов, которые демонстрируются руководи­ телю на разных этапах их производства, а также их изображе­ ния на плакатах, экранах видеопроектора или телевизора;

-демаскирующие признаки веществ, приносимых ру­ ководителю для демонстрации соответствующей продукции,

атакже образцы исходных материалов.

Основные виды информации в кабинете руководителя - это речевая информация, семантическая информация на пла­ катах и экране видеопроектора, информация о видовых дема­ скирующих признаках продукции.

1.2.2. Источники информации в кабинете руководителя

Основные источники информации в кабинете руководителя:

-руководитель организации;

-должностные лица организации, посещающие кабинет;

-представители других организаций, с которыми ру­ ководитель обменивается секретной (конфиденциальной) информацией в ходе встречи или совещаний;

-посетители во время приема по личным вопросам, разговор с которыми может содержать сведения, содержащие коммерческую или иную тайну;

- документы на столах, плакаты на стенах, аудио-

ивидеодокументы;

-приносимая в кабинет продукция, сведения о которой

иее демаскирующие признаки содержат государственную, коммерческую или иную тайну;

-приносимые в кабинет материалы и продукция в виде веществ, информация о составе и технологии, изготовления которых защищается.

Характеристика информации и ее источников дана в табл. 1.

Продукция, сигналы которой содержат защищаемые сигнальные признаки, во время ее демонстрации в кабинете не включается во избежание утечки информации. Поэтому информация о сигнальных демаскирующих признаках разра­ батываемой продукции в сценарии не рассматривается.

При определении цены защищаемой в кабинете руково­ дителя информации используется качественная шкала с 5 гра­ дациями: очень высокая, высокая, средняя, низкая, очень низ­ кая. Для конкретизации этих лингвистических значений уточ­ няются граничные значения «очень низкая» и «очень высокая»:

- очень высокая - цена информации, утечка которой может нанести государству очень большой ущерб или при­ вести к банкротству фирмы;

важности» - чрезвычайно высокая, «совершенно секретно» - очень высокая, «секретно» - высокая, для «служебного поль­ зования» - низкая.

Наибольшую цену имеет семантическая документальная информация. Цена информации о видовых и вещественных признаках зависит от их информативности. На предприятиях химической и смежных сфер промышленности цена информа­ ции о вещественных признаках продукции может быть высо­ кой, так как состав веществ и технология их изготовления для этих предприятий является основной государственной или коммерческой тайной. Для машиностроительных предприятий цена такой информации низкая. Но могут быть исключения. Например, если существенное улучшение параметров продук­ ции достигнуто за счет применения новых материалов.

При формировании этой таблицы также важно указать все места нахождения источников информации в кабинете, так как они могут существенно влиять на величину угрозы канала утечки. Например, если документ находится на столе, то возможности его наблюдения через окно весьма ограниче­ ны, если он в виде плакате повешен на стену напротив окна, то риск наблюдения резко возрастает.

1.3. План кабинета как объекта защ иты

Кабинет размещен на 3-м этаже 5-этажного кирпичного здания, примыкающего к тротуару улицы. Окна кабинета выхо­ дят на улицу. Ширина улицы составляет около 50 м. На проти­ воположной стороне улицы расположены жилые 12-этажные дома. Территория организации обнесена бетонным забором вы­ сотой 2 м, соединенным с наружной стеной административного здания. Вход людей в организацию обеспечивается через кон­ трольно-пропускной пункт (КПП), въезд автотранспорта - через ворота. Вход в здание через дверь, открываемую во двор. Окна

1-го этажа укреплены стальными решетками. Схема располо­ жения организации представлена на рис. 1.

Жилой 12-этажный дом

Рис. 1. Схемарасположения организации

Кабинет имеет два окна, выходящие на улицу, и дверь в приемную. Площадь кабинета составляет около 30 м2, при­ емная - 20 м2. Схематический чертеж варианта кабинета при­ веден на рис. 2.

Для описания (моделирования) факторов, влияющих на защищенность информации в кабинете, проводится его обследование. Модель (описание) помещения содержит 5 групп факторов:

-общая характеристика помещения;

-ограждения;

-предметы мебели и интерьера;

-радиоэлектронные средства и электрические приборы;

-средства коммуникаций.

Результаты обследования помещены в табл. 2.

Т а б л и ц а 2

трубами в боковых стенах; смежная с коридором - железобетонная толщиной

140 мм; 2 вентиляционных отверстия размером

3.8Кожаные кресла для 2 шт. отдыха

3.9Журнальный столик 1 шт.

При моделировании угроз воздействия прогнозируются маршруты движения злоумышленника из нулевого состояния вне территории организации к источникам информации в ка­ бинете руководителя, оцениваются параметры (вероятность и время реализации) отдельных участков маршрутов (дуг се­ мантической сети). По ним оценивается ущерб и ранг угроз.

Способы проникновения злоумышленника в кабинет руководителя зависят от квалификации злоумышленника, модели объектов защиты и времени проникновения.

В данном сценарии рассматривается вариант проникно­ вения квалифицированного злоумышленника, который имеет в организации сообщника без специальной подготовки.

Время проникновения целесообразно разделить на ра­ бочее и нерабочее. Рабочее время характеризуется следую­ щими условиями: пропуск людей и автотранспорта произво­ дится через контрольно-пропускной пункт (КПП) по пропус­ кам, извещатели технических средств охраны на территории и в здании выключаются, входная дверь в административное здание, в котором размещается кабинет руководителя, откры­ вается для свободного прохода.

В рабочее время проникновение в организацию воз­ можно через КПП по фальшивым документами и через забор. Хотя второй способ проникновения в рабочее время малове­ роятен, полностью исключить его нельзя. В рабочее время проникнуть в кабинет может как «чужой» злоумышленник, так и сотрудник организации. Очевидно, что сотруднику сде­ лать это проще. Проникновение возможно при открытых и закрытых дверях кабинета и приемной, но наиболее легкий вариант для злоумышленника - обе двери открыты. Такой вариант в принципе возможен, когда руководитель уходит или выходит из кабинета, а секретарь выходит из приемной,

-объект наблюдения в кабинете - приоткрытая дверь - злоумышленник;

-объект наблюдения в кабинете - телевизионное за­ кладное устройство - проводной или радиоканал - телевизи­ онный приемник злоумышленника.

Вероятность обнаружения объектов наблюдения в ка­ бинете и их распознавание зависит от количества и информа­ тивности видовых демаскирующих признаков. Эти признаки добываются из изображения объекта наблюдения на сетчатке глаза, фотоснимке, фоточувствительной поверхности оптиче­ ского приемника. Количество признаков зависит:

-от разрешающей способности оптического приемника;

-масштаба изображения относительно реального объекта. Минимальные размеры элемента изображения объекта

наблюдения на светочувствительном элементе, наблюдаемого в виде точки, определяется следующим образом Ah я D/Rf, где D - дальность от светоприемника до объекта наблюдения,/ - фокусное расстояние объектива оптического приемника, R - разрешающая способность светочуствительного элемента.

В качестве технического средства наблюдения за объ­ ектами в кабинете через его окна рассматривается фотоап­ парат ФС-122 («Фотоснайпер») с объективом Таир-30, фо­ кусное расстояние которого равно 300 мм, а разрешающая способность объектива Ro ~ 50 лин/мм. Такой фотоаппарат размещается в удобном для скрытного переноса портфеле типа «кейс». При использовании фотопленки с разрешающей способностью ДфП= 1 0 0 лин/мм разрешение фотоаппарата (объектива - пленка) R = 33 лин/мм. Для D = 50 м размеры элемента объекта, отображаемого на светочувствительном элементе в виде точки - пикселя, соответствуют АЛ я 10 мм. Минимальные линейные размеры объекта, который можно распознать с вероятностью 0,9, составляют 5-6 см.

Такие минимальные размеры могут иметь буквы и цифры на плакатах, иллюстрирующих выступления докладчиков на ответственных совещаниях. При полученных значениях разре­ шения могут быть также распознаны лица людей и внешний вид достаточно крупной продукции. Однако прочитать текст на документах формата А4, рассмотреть изображение на экране компьютера и телевизора, прочитать произносимые слова по губам нельзя. Следовательно, риск рассмотренного оптического канала утечки информации, содержащейся в изображении пла­ катов, людей и крупногабаритной продукции велик, а утечка информации в изображениях документов размера А4 и продук­ ции малого размера очень мала.

Другой оптический канал утечки информации может возникнуть при приоткрытой двери кабинета или при загля­ дывании в кабинет посторонних лиц. В этом случае могут быть прочитаны тексты не только на плакатах, но и на столах и на экранах светопроектора и телевизора. Но при наличии бдительного секретаря в приемной возможность такого на­ блюдения очень мала.

Наконец возможность реализации угрозы наблюдения с помощью видеозакладного устройства также мала, так как ус­ тановка телевизионной камеры в кабинете - серьезная разведы­ вательная операция, которая по силам органам разведки госу­ дарства. Однако пренебрегать такой возможностью нельзя.

На основании этих результатов риск утечки информа­ ции при наблюдении можно оценить следующим образом:

-семантической документальной информации, ото­ бражаемой на плакатах - очень высокий, остальной докумен­ тальной информации - очень малый;

-видовых признаков людей - средний;

-видовых признаков продукции - малый;

-видовых признаков веществ и материалов - очень малый.

Утечка речевой информации возможна по следую­ щим простым (без ретранслятора) акустическим техниче­ ским каналам:

-источник речевого сигнала - стена в соседнее поме­ щение - акустический приемник злоумышленника;

-источник речевого сигнала - приоткрытая дверь

вприемную - акустический приемник;

-источник акустического сигнала - закладное устрой­ ство - радиоканал - радиоприемник злоумышленника;

-источник акустического сигнала - стекло окна - мо­ дулированный лазерный луч - фотоприемник лазерной сис­ темы подслушивания;

-источник акустического сигнала - воздухопровод - акустический приемник;

-источник акустического сигнала - случайный акустоэлектрический преобразователь в техническом средстве - по­ бочное излучение технического средства - радиоприемник;

-источник акустического сигнала - случайный акустоэлектрический преобразователь в техническом средстве - про­ водные кабели, выходящие за пределы контролируемой зоны;

-источник акустического сигнала - воздушная среда помещения - диктофон у злоумышленника.

Для оценки угроз речевой информации необходимо оценить уровень акустического сигнала в возможных местах размещения акустического приемника злоумышленника. Та­

кими местами являются:

-приемная;

-коридор

-смежные с кабинетом помещения;

-помещения с трубами отопления, проходящими через кабинет;

-помещения, акустически связанные с кабинетом че­ рез воздуховоды вентиляции.

Кроме того, речевая информация в кабинете может ретранслироваться по радиоканалу или проводам телефонной линии и электропитания закладными устройствами и побоч­ ными электромагнитными излучениями основных и вспомога­ тельных технических средств и систем, а также средствами лазерного подслушивания. Так как носителями информации при ретрансляции являются электромагнитная волна в радио­ диапазоне и электрический ток, то угрозы и меры по предот­ вращению перехвата рассматриваются в радиоэлектронном канале утечки информации. Также акустическая информация может быть добыта с помощью лазерного средства подслуши­ вания, установленного в помещении противоположного дома.

В качестве критерия защищенности речевой информа­ ции используется отношение сигнал/шум, при котором каче­ ство подслушиваемой речевой информации ниже допустимо­ го уровня. В соответствии с существующими нормами пони­ мание речи невозможно, если отношение помеха/сигнал рав­ но 6-8, а акустический сигнал не воспринимается человеком как речевой, если отношение помеха/сигнал превышает 8-10. Следовательно, для гарантированной защищенности речевой информации отношение сигнал/шум должно быть не более 0,1 или (-10) дБ. Оценка угрозы акустического канала утечки информации при подслушивании человеком производится по формуле L„ = Ьи- бог - Lm, где L„ - уровень громкости источ­ ника звука; Qor - величина звукоизоляции препятствия воз­ никающего на пути распространения звуковой волны: Lm - уровень внешних шумов. При применении технического аку­ стического приемника эта величина увеличивается на 6 дБ.

2.2.3. Моделирование радиоэлектронных каналов утечки информации

Радиоэлектронные каналы утечки информации из каби­ нета руководителя представляют собой простые каналы и час­ ти составных акусторадиоэлектронных каналов утечки ин­ формации. Простые каналы образованы побочными электро­ магнитными излучениями и наводками радиосредств и элек­ трических приборов, размещенных в кабинете, в том числе:

-компьютера при обработке на нем закрытой информации;

-видеодвойки (в случае просмотра видеокассет с за­ крытой информацией).

Кроме того, опасные сигналы случайных акустоэлектрических преобразователей в радиосредствах и электриче­ ских приборах могут добавить к простым оптическим и аку­ стическим каналам радиоэлектронные каналы утечки ин­ формации и создать составные акусторадиоэлектронные и оптико-радиоэлектронные каналы утечки. Источниками радиоэлектронных каналов утечки в акусторадиоэлектронных составных являются:

-коммутационное оборудование и кабели внутрен­ ней АТС;

-электрические приборы в кабинете (вторичные часы единого времени, вентилятор, громкоговоритель оперативно­ го оповещения);

-передатчики акустических и телевизионных заклад­ ных устройств.

Вкабинете может быть установлено телевизионное за­ кладное устройство, например, в типовых папках (скоросши­ вателях) с отверстием в торце. Составной оптико-электрон­ ный канал утечки информации содержит радиоэлектронный

канал утечки с элементами: телевизионная камера - телеви­ зионный приемник —видеомагнитофон.

Побочные НЧ- и ВЧ-излучения ОТСС имеют очень ши­ рокий диапазон частот - доли Гц-тысячи МГц (сотни мет­ ров - десятки сантиметров). Помещение кабинета, учитывая его размеры, представляет собой ближнюю, переходную и дальнюю зону побочного излучения ОТСС. На частотах до 30 МГц помещение образует ближнюю зону. В зависимости от вида излучателя в ближней зоне может преобладать элек­ трическое или магнитное поля.

Информация в помещении находится в безопасности, если уровни ее носителей в виде электрических сигналов и напряженности поля не превышают нормативы. Следова­ тельно, для предотвращения подслушивания путем перехвата опасных сигналов необходимо определить эти уровни на гра­ нице контролируемой зоны (периметра кабинета) и в случае недопустимо больших значений определить рациональные меры по их уменьшению.

Уменьшение затухания электромагнитной волны в же­ лезобетонных стенах с повышением ее частоты вызвано сни­ жением экранирующего эффекта металлической арматуры железобетона. На частоте 1 ГГц длина волны, равная 30 см, соизмерима с размерами ячеек арматуры.

При ослаблении электромагнитной волны стенами зда­ ния на 20 дБ дальность ее распространения уменьшается на 1 порядок. Для рассмотренного примера она составит едини­ цы сотен и десятки метров. Учитывая, что окна кабинета вы­ ходят на улицу, риск перехвата радиоизлучений ПЭВМ из кабинета руководителя организации можно оценить значени­ ем «средний», а электрических сигналов акустоэлектрических преобразователей - «низкий».

Таким образом, наибольший ущерб информации, со­ держащейся в кабинете руководителя, может нанести угроза следующих действий:

1.Наблюдение из окна противоположного дома тек­ ста и изображений на плакатах экранах, укрепленных на стенах кабинета.

2.Подслушивание разговора в кабинете руководителя через приоткрытую дверь в приемную.

3.Подслушивание громкого разговора через стену, раз­ деляющую кабинет и коридор.

4.Наблюдение через окно противоположного дома за участниками совещания.

5.Наблюдение через приоткрытую дверь за участника­ ми совещания.

6.Перехват побочных электромагнитных излучений ра­ диоэлектронных средств и электрических приборов, разме­ щенных в кабинете и работающих во время разговора.

7.Перехват опасных сигналов, содержащих речевую информацию, распространяющихся по проводам телефонных линий связи, трансляции, часов единого времени, электропи­ тания и заземления.

8.Подслушивание с помощью стетоскопа речевой ин­ формации акустических сигналов, распространяющихся по трубам отопления.

9.Подслушивание речевой информации акустических сигналов, распространяющихся по воздухопроводам.

10.Подслушивание с помощью акустических заклад­ ных устройств, установленных в кабинете.

11.Скрытое наблюдение с помощью предварительно установленных телевизионных камер.

12.Скрытное проникновение к источникам информа­ ции, хранящимся в ящиках стола, в компьютере, в сейфе.

3. Нейтрализация угроз информации в кабинете

руководителя организации

3.1. М еры по предотвращению проникновения

злоумы ш ленника к источникам информации

Проникновение злоумышленника возможно через дверь в приемную, поэтому в ночное время необходимо создать до­ полнительный рубеж и контролируемую зону в приемной. Для этого на двери из коридора в приемную устанавливается магнитоконтактный извещатель типа СМК-3 или более совре­ менные ИО-104-2, 4. Датчик ИО-104-4 имеет меньшие габари­ ты. Эти извещатели обеспечивают замыкание и размыкание контактов геркона при приближении магнита к гсркону на расстояние не более 10 мм контакты и удалении более 45 мм.

Аналогичный извещатель устанавливается на дверях кабинета. Для обнаружения злоумышленника в кабинете не­ обходимо установить объемный извещатель. В кабинете, ко­ нечно, можно установить пассивный оптикоэлектронный, ультразвуковой, радиоволновый и комбинированный извеща­ тели. Выбор производится по помехоустойчивости, объему кабинета и затратам на приобретение и эксплуатацию. В от­ личие от приемной, средства охраны которой в рабочее время отключаются, средства охраны кабинета при отсутствии на рабочем месте руководителя организации целесообразно со­ хранять во включенном состоянии. Для обеспечения такого режима необходимо использовать отдельный шлейф.

Учитывая небольшую площадь кабинета, целесообраз­ но применять или пассивные оптико-электронные извещате­ ли, или активные волновые с регулируемой мощностью излу­ чения. В качестве таких средств могут использоваться опти­ ко-электронный извещатель «Фотон-5», создающий «зана­ вес» с максимальной дальностью 12 м, ультразвуковой «Эхо-

2» - для площади 30 м2, радиоволновой объемный «Волна- 5 » - с регулируемой дальностью 2-16 м и комбинированный извещатель «Сокол-2», совмещающий пассивный инфракрас­ ный и радиоволновой принципы обнаружения. Последний обеспечивает дальность действия: минимальную - 3-5 м, максимальную - 12 м. Он может крепиться к стене или на потолке, имеет высокую помехоустойчивость. Из сравни­ тельного анализа указанных извещателей можно сделать вы­ вод о том, что наиболее дешевым извещателем с приблизи­ тельно равными функциональными возможностями является оптико-электронный извещатель «Фотон-5». По критерию эффективность/стоимость лучшие показатели имеет комби­ нированный извещатель «Сокол-2».

Кроме рассмотренных средств целесообразно устано­ вить локальные извещатели для охраны сейфа и компьютера. Для охраны сейфа можно использовать охранный поверхно­ стный емкостной извещатель «Пик» с регулируемой чувстви­ тельностью на приближение человека в интервале до 0,2 м.

Для защиты информации в компьютере от физического контакта его со злоумышленником и хищения информации путем копирования или изъятия винчестера в качестве извеща­ теля можно использовать также емкостной извещатель «Пик», антенна которого соединена с корпусом сейфа. Для механиче­ ской защиты системный блок с винчестером может быть раз­ мещен в специальном сейфе, находящемся под приставным столиком, или съемный винчестер, хранимый в сейфе.

3.2. Защ ита информации в кабинете руководителя

от наблю дения

Для защиты информации от наблюдения применяют методы энергетического скрытия путем увеличения затуха­ ния среды распространения. Для прекращения функциониро­ вания оптического канала утечки информации «окно кабине­

ным демаскирующим признаком телевизионной камеры и видеомагнитофона является радиоизлучение. Поэтому для обнаружения и локализации телевизионной камеры приме­ няются средства поиска радиоизлучающих закладных уст­ ройств: индикаторы поля, специальные радиоприемники, ав­ томатизированные комплексы для радиомониторинга и др. Перед совещанием во время «чистки» кабинета применяются также нелинейные локаторы и металлодетекторы.

3.3. М еры по защ ите речевой информации

от подслуш ивания

1.Для защиты речевой информации от подслушивания

вприемной необходимо существенно повысить звукоизоля­ цию дверей как наиболее слабого звена в акустической защи­ те и стены до 55 дБ на частоте 1000 Гц. Такая звукоизоляция обеспечивается двойной дверью с тамбуром шириной не ме­ нее 20 см с уплотнителями по периметру дверных полотен. Для предотвращения утечки информации через ограждения кабинета возможны 3 варианта:

-повышение поверхностной плотности ограждения;

-установление дополнительной перегородки;

-зашумление ограждения.

Поскольку звукоизоляция пропорциональна поверхно­ стной плотности среды распространения акустической вол­ ны, то при недостаточной звукоизоляции утолщают стены. Наиболее удобным строительным материалом для этого яв­ ляется кирпич, который укладывают на ширину половины или длины целого кирпича вплотную к стенке:

-утолщение стены на толщину в 1/2 кирпича;

-укрепление на стене строительных материалов (мно­ гослойной фанеры различной толщины, стеклопластика, пем­ зобетонных плит и др.).

Утолщенная стена из красного кирпича обеспечивает повышает звукоизоляции с 48 дБ до 53 дБ. Кладка утолщенной стены с зазором между стенками 40 мм увеличивает звукоизо­ ляцию еще приблизительно на 4-5 дБ. Утолщение стены целе­ сообразно проводить со стороны приемной, так как это позво­ лит уменьшить выступ двойной двери с тамбуром в приемную.

Звукоизоляция стен между кабинетом и приемной, ка­ бинетом и коридором, кабинетом и смежным помещением повышается путем утолщения стен и крепления к ним допол­ нительных перегородок. Утолщение стен производится путем кирпичной кладки у стены кабинета. В качестве дополни­ тельных перегородок используются асбестоцементные, гип­ сокартонные, древесностружечные, древесноволокнистые плиты толщиной 10-20 мм. Они крепятся к стене с помощью деревянных реек и брусков толщиной 40-50 мм по периметру

иповерхности стены. По периметру между перегородкой

идругими ограждениями устанавливаются упругие (из губ­ чатой резины) прокладки. Между перегородкой и стеной мо­ жет быть размещен звукопоглощающий пористый материал.

Вкачестве меры, повышающей энергетическое скрытие речевой информации в кабинете, на стенах могут быть укре­ плены виброакустические излучатели акустических генера­

торов помех.

Для исключения утечки информации через батареи и трубы отопления перед батареями устанавливают резонанс­ ные экраны в виде деревянных перегородок с отверстиями.

Для предотвращения утечки информации через венти­ ляционное отверстие перед ним укрепляют экран и (или) размещают в нем глушитель звука.

В качестве мер предотвращения подслушивания реко­ мендуется:

- использовать двойную дверь с уплотнительными про­ кладками и тамбуром глубиной 30 см;

-увеличить толщину стены между кабинетом и при­ емной, а также соседними помещениями на 0,5 кирпича;

-установить на батареи отопления резонаторные экраны или излучатели генератора виброакустического зашумления;

-закрыть окна плотными цггорами, установить на стек­ ла окон излучатели генератора виброакустического зашумле­ ния (для предотвращения лазерного подслушивания при за­ крытых окнах);

-установить перед воздухозаборниками воздухопро­ водов акустические экраны;

-установить датчики комплекса обнаружения скрытно работающего диктофона PDTR-18 под столешницу стола ру­ ководителя возле стула для посетителя и стола заседания;

-приобрести устройства для подавления сигналов скрытно работающего диктофона.

Установка двойной двери повышает звукоизоляцию с 18 дБ до 48 дБ, утолщение стены увеличивает звукоизоля­ цию примерно на 20 дБ.

3.4. П редотвращ ение перехвата радио-

иэлектрических сигналов

Предотвращение утечки информации из кабинета по радиоэлектронному каналу обеспечивается:

-выключением во время разговора всех радиосредств

иэлектрических приборов, без которых можно обойтись;

-установкой в разрыв цепей электропитания возле стен сетевых фильтров для исключения ВЧ-навязывания;

-установкой средств подавления сигналов акустоэлектрических преобразователей телефонных аппаратов типа «Корунд» и «Гранит-VIII» - ограничителей малых амплитуд

сфильтрами от ВЧ-навязывания;

-установкой НЧ-фильтров в цепь вторичных часов единого времени (устройство МП-4);

-установкой буфера в цепь громкоговорителя системы оповещения (устройство МП-5);

-установкой в кабинете генератора пространственного электромагнитного зашумления кабинета, включаемого во время проведения совещания по тематике, содержащей тайну;

-установкой в свободный слот системной платы ком­ пьютера платы генератора помех.

Кроме того, информация на компьютере в кабинете ру­ ководителя организации может защищаться путем:

-использования защищенных ПЭВМ;

-размещения системного блока в специальном сейфе;

-установки винчестера в съемный кожух и хранения его в сейфе;

-программой защиты доступа к компьютеру и отдель­ ным папкам;

-криптографическим шифрованием информации, хра­ нящейся на машинных носителях.

Кроме того, после проведения капитального ремонта и перед проведением совещания производится чистка помеще­ ния с целью обнаружения закладных устройств.

Основные нормативна-правовые акты

иметодические документы по защите информации

1.Федеральный закон от 8 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».

2.Федеральный закон от 06.10.1997 г. № 131-ФЗ «О государствен­ ной тайне».

3.Закон РФ от 25.12.1992 г. «О безопасности».

4.Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в ме­ ждународном информационном обмене».

5.Федеральный закон от 16 февраля 1995 г. № 15-ФЗ «О связи».

6.Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензиро­ вании отдельных видов деятельности».

7.Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи».

8.Федеральный закон от 19 февраля 1993 г. №4524-1 «О федераль­ ных органах правительственной связи и информации».

9.Федеральный закон от 30.12.1999 г. № 226-ФЗ «Об органах Феде­ ральной службы безопасности в Российской Федерации».

10.Федеральный закон от 31.07.1998 г. № 154-ФЗ «О сертификации продукции и услуг».

11.Закон РФ от 18.04.1991 г. «О милиции».

12.Федеральный закон от 12.08.1995 г. «Об оперативно-розыскной деятельности».

13.Закон РФ от 11.03.1992 г. «О частной детективной и охранной деятельности».

14.Закон РФ от 13.11.1996 г. «Об оружии».

15.Уголовный кодекс РФ. - Глава 28. Преступления в сфере компью­

терной информации. (Статья 272. Неправомерный доступ к ком­ пьютерной информации; Статья 273. Создание, использование и распространение вредоносных программ; Статья 274. Наруше­ ние правил эксплуатации ЭВМ, системы ЭВМ или их сети).

16.Указ Президента Российской Федерации от 19 февраля 1999 г. №212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации».

17.«Доктрина информационной безопасности Российской Федера­ ции», утверждена Президентом Российской Федерации 9 сентября 2000 г.№ П р .- 1895.

18.Указ Президента Российской Федерации от 17 декабря 1997 г.

№1300 «Концепция национальной безопасности Российской Фе­ дерации» и редакция Указа Президента Российской Федерации от 10 января 2001 г. № 24.

19.Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Перечень сведений конфиденциального характера».

20.Указ Президента Российской Федерации от 30 ноября 1996 г. «Об утверждении перечня сведений, отнесенных к государствен­ ной тайне».

21.Указ Президента Российской Федерации от 6 октября 1998 г. № 1Ш «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационно­ го обмена».

22.Указ Президента РФ от 05.10.1998 г. № 1Ш «Об утверждении по­ ложения о Федеральной службе безопасности Российской Феде­ рации и ее структуры».

23.Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных ор­ ганах исполнительной власти».

24.Постановление Правительства РФ от 05.12.1991 г. «О перечне сведений, которые не могут составлять коммерческую тайну».

25.Постановление Правительства Российской Федерации от 29.07.1998 г. № 854 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием све­ дений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

26.Постановление Правительства Российской Федерации от 11 фев­ раля 2002 г. № 135 «О лицензировании отдельных видов деятель­ ности».

27.Постановление Правительства Российской Федерации от 30 апре­ ля 2002 г. № 290 «О лицензировании деятельности по технической защите конфиденциальной информации».

28.Постановление Правительства РФ от29.03.1999 г. №342 «О сер­ тификации средств защиты информации».

29.Постановление Правительства РФ от 09.01.1994 г. № 17, от 31.07.1998 г. № 868 «Об упорядочении использования радиоэлек­ тронных средств (высокочастотных устройств) на территории Российской Федерации».

30. Постановление Правительства РФ от 07.08.1998 г. №643 «О порядке изготовления, приобретения, ввоза в Российскую Фе­ дерацию и использования на территории Российской Федерации радиоэлектронных средств (высокочастотных устройств)».

31.Сборник руководящих документов по защите информации от не­ санкционированного доступа / Гостехкомиссия России. М., 1998.

32.ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения.

33.ГОСТ Р 50922-96. Защита информации. Основные термины и оп­ ределения.

34.ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимо­ связь открытых систем. Базовая эталонная модель. Часть 1. Архи­ тектура защиты информации.

35.ГОСТ 28147-89. Системы обработки информации. Защита крипто­ графическая. Алгоритм криптографического преобразования.

36.ГОСТ Р 50840-95. Методы оценки качества, разборчивости, узна­ ваемости.

37.ГОСТ Р 51583-2000. Порядок создания автоматизированных сис­ тем в защищенном исполнении.

38.ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения.

39.ГОСТ Р 51241-98. Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Мето­ ды испытаний.

40.ГОСТ Р 51241. Средства и системы контроля и управления досту­ пом. Классификация. Общие технические требования. Методы испытаний.

41.ГОСТ Р 50739-95. Средства вычислительной техники. Защита от не санкционированного доступа к информации.

42.ГОСТ 45.127-99. Система обеспечения информационной безопас­ ности Взаимоувязанной сети связи Российской Федерации. Тер­ мины и определения.

43.ГОСТ Р 51558-2000. Системы охранные телевизионные. Общие технические требования и методы испытаний.

44.ГОСТ 12.1.050-86 Методы измерения шума на рабочих местах.

45.ГОСТ 34.602-89. Информационная технология. Комплекс стан­ дартов на автоматизированные системы. Техническое задание на создание автоматизированных систем.

46.ГОСТ 34.003-90. Информационная технология. Комплекс стан­ дартов на автоматизированные системы. Автоматизированные системы. Термины и определения.

47.РД Госстандарта СССР 50-682-89. Методические указания, Ин­ формационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения.

48.РД Госстандарта СССР 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководя­ щих документов на автоматизированные системы. Автоматизиро­ ванные системы. Требования к содержанию документов.

49.РД Госстандарта СССР 50-680-89. Методические указания. Авто­ матизированные системы. Основные положения.

50.ГОСТ 34.601-90. Информационная технология. Комплекс стан­ дартов на автоматизированные системы. Автоматизированные системы. Стадия создания.

51.ГОСТ 6.38-90. Система организационно-распорядительной доку­ ментации. Требования к оформлению.

52.ГОСТ 6.10-84. Унифицированные системы документации. Прида­ ние юридической силы документам на машинном носителе и ма­ шинограмме, создаваемым средствами вычислительной техники,

ЕСКД, ЕСПДиЕСТД.

53.ГОСТ Р-92. Система сертификации ГОСТ. Основные положения.

54.ГОСТ Р 50460-92. Знак соответствия при обязательной сертифи­ кации. Форма, размеры и технические требования.

55.ГОСТ Р 51000.5-96. Общие требования к органам по сертификации продукции и услуг.

56.ГОСТ 28195-89. Оценка качества программных средств. Общие положения.

57.ГОСТ Р ИСО\МЭК 9126-90. Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению.

58.ГОСТ 2.111-68. Нормоконтроль.

59.РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей». М., 1999 г.

60.РД Гостехкомиссии России «Средства защиты информации. Спе­ циальные общие технические требования, предъявляемые к сете­ вым иомехоподавляющим фильтрам». М., 2000.

61.ГОСТ 13661-92. Совместимость технических средств электромаг­ нитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания.

62.Временная методика оценки защищенности основных техниче­ ских средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации /Гостехкомиссия России. М., 2001.

63.Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средст­ вами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации / Готехкомиссия России. М., 2001.

64.Временная методика оценки защищенности речевой конфиденци­ альной информации от утечки по акустическому и виброакустическому каналам / Гостехкомиссия России. М., 2001.

65.Временная методика оценки защищенности речевой конфиденци­ альной информации от утечки за счет электроакустических преоб­ разований в вспомогательных технических средствах и системах / Гостехкомиссия России. М., 2001 г.

66.ГОСТ 29216-91. Совместимость технических средств электромаг­ нитная. Радиопомехи индустриальные от оборудования информа­ ционной техники. Нормы и методы испытаний.

67.СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплей­ ным терминалам, персональным электронно-вычислительным машинам и организация работы.

68.ГОСТ Р 50948-96. Средства отображения информации индивиду­ ального пользования. Общие эргономические требования и требо­ вания безопасности.

69.ГОСТ Р 50949-96. Средства отображения информации индивиду­ ального пользования. Методы измерений и оценки эргономиче­ ских параметров и параметров безопасности.

70.ГОСТ Р 50923-96. Рабочее место оператора. Общие эргономиче­ ские требования и требования к производственной среде. Методы измерения.

71.ГОСТ 22505-83. Радиопомехи индустриальные от приемников те­ левизионных и приемников радиовещательных частотно модулиро­ ванных сигналов в диапазоне УКВ. Нормы и методы измерений.

72.ГОСТ Р 50628-93. Совместимость электромагнитная машин элек­ тронных вычислительных персональных. Устойчивость к электро­ магнитным помехам. Технические требования и методы испытаний.

73.ГОСТ Р 51319-99. Совместимость технических средств электро­ магнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех.

74.ГОСТ Р 51320-99. Совместимость технических средств электро­ магнитная. Приборы для измерения радиопомех. Технические требования и методы испытаний.

75.ПУЭ-76. Правила устройства электроустановок.

76.Решение Гостехкомиссии России от 14 марта 1995 г. № 32 «Типо­ вое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам».

77.Решение Гостехкомиссии России от 14 марта 1995 г. № 32 «Типо­ вое положение о подразделении по защите информации от ино­ странных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государствен­ ной власти субъектов Российской Федерации».

78.Решение Гостехкомиссии России от 14 марта 1995 г. № 32 «Типо­ вое положение о подразделении по защите информации от ино­

странных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)».

79.Решение Гостехкомиссии России от 3 октября 1995 г. № 42 «Ти­ повые требования к содержанию и порядку разработки Руково­ дства по защите информации от технических разведок и ее утечки по техническим каналам на объекте».

80. Положения о государственной системе защиты информации

вРоссийской Федерации от иностранных технических разведок

иот ее утечки по техническим каналам: Утверждено постановле­ нием Правительства РФ от 15.09.93. № 912.

81.Специальные требования и рекомендации по защите конфиденци­ альной информации (СТР-К) Одобрены решением коллегии Гос­ техкомиссии России от 2 марта 2001 г. № 7.2.

82.Положение по аттестации объектов информатизации по требова­ ниям безопасности информации. Утверждено Председателем Го­ сударственной технической комиссии при Президенте РФ 25 но­ ября 1994 г.

83.Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации».

84.Правила сертификации работ и услуг в Российской Федерации.

85.Порядок проведения сертификации продукции в Российской Фе­ дерации.

86.Положение о системе сертификации средств защиты информации Министерства обороны Российской Федерации.

87.Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инст­ рукции об организации и обеспечении безопасности хранения, обра­ ботки и передачи по каналам связи с использованием средств крип­ тографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

88.Положение о порядке разработки, производства, реализации и ис­

пользования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляю­ щих государственную тайну (Положение ПКЗ-99). Утверждено приказом ФАПСИ от 23 сентября 1999 г. № 158, зарегистрировано Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный номер 2029.