1826
.pdfстуемых объектов информатизации устанавливает Положение по аттестации объектов информатизации по требованиям безопасности информации. Система аттестации ОИ по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации ОИ по требованям безопасности информации. Деятельность системы сертификации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.
Под аттестацией ОИ понимается комплекс организационно технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов иных норматив- но-технических документов по безопасности информации. Наличие на ОИ действительного «Аттестата соответствия» дает право на обработку документов с уровнем секретности на период времени, установленным в «Аттестате соответствия».
Обязательной аттестации подлежат ОИ, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация добровольная.
Аттестация по требованиям безопасности информации предшествует началу обработке подлежащей защите информации
инеобходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информации мер
исредств защиты информации. При аттестации ОИ подтверждается его соответствие требованиям по защите информации:
-от несанкционированного доступа, в том числе от компьютерных вирусов;
-от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (ВЧ-облучение, электромагнитное и радиационное воздействие);
-от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
100
Аттестация предусматривает комплексную проверку /8,10/ защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации. Аттестация проводится органом по аттестации в установленном порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
-анализ исходных данных по аттестуемому ОИ;
-предварительное ознакомление с аттестуемым ОИ;
-проведение экспертного обследования ОИ и анализ разработанной документации по информатизации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
-проведение испытаний отдельных средств и систем защиты информации на аттестуемом ОИ с помощью специальной аппаратуры и тестовых средств;
-проведение испытаний отдельных средств и систем информатизации в испытательных центрах по сертификации средств защиты информации по требованиям безопасности информации;
-проведение комплексных аттестационных испытаний ОИ в реальных условиях эксплуатации;
-анализ результатов экспертного обследования и комплексных аттестационных испытаний ОИ и утверждение заключения по результатам аттестации.
Органы по аттестации ОИ несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.
Испытательные лаборатории по требованиям безопасности информации проводят сертификационные испытания по заказам заявителей не сертифицированной продукции, используемой на ОИ, подлежащей обязательной сертификации. Заявители осуществляют:
101
-подготовку ОИ путем необходимых организационнотехнических мероприятий к аттестации;
-привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;
-предоставляют органам по аттестации необходимые документы и условия проведения аттестации;
-привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры по сертификации;
-осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;
-извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации;
-предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
Порядок проведения аттестации включает следующие дейст-
вия:
-подачу и рассмотрение заявки на аттестацию;
-предварительное ознакомление с аттестуемым объектом;
-испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте;
-заключение договоров на аттестацию;
-разработка программы и методики аттестационных испы-
таний;
-проведение аттестационных испытаний;
-оформление, регистрацию и выдачу «Аттестата соответст-
вия»;
102
-осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
-рассмотрение апелляций.
Владелец аттестованного объекта несет ответственность за выполнение установленных условий функционирования ОИ, технологию обработки информации и требования по безопасности информации. Подробно алгоритм аттестации ОИ показан на рисунке 6.1.
6.5. Рекомендации по организации работ по защите информации от утечки по техническим каналам на объектах
технических средств обработки информации
При организации работ по защите информации от утечки по техническим каналам /2,4,8/ на объектах ТСОИ можно выделить три этапа:
Первый этап – подготовка к реконструкции (капитальному ремонту, строительству) объекта.
Второй этап – период проведения работ по реконструкции объекта
Третий этап – период эксплуатации объекта.
На первом этапе с привлечением соответствующих специалистов проводится оценка обстановки на объекте и вблизи от него, изучается необходимая документация. При этом устанавливается:
-когда построен объект; какие организации привлекались для его строительства; какие учреждения в нем располагались;
-условия расположения объекта и всех помещений объекта; какие организации занимают смежные помещения, режим их посещения.
Далее проводится оценка информации, представляющей интерес для противника. Определяются помещения, а также технические системы и средства, подлежащие защите. Для анализа возможных технических каналов утечки на объекте изучаются:
103
-план прилегающей к объекту местности в радиусе до 1000 м
суказанием принадлежности зданий, особенно находящихся в прямой видимости из окон помещений, подлежащих защите, мест стоянок автомашин, а также места расположения трансформаторной подстанции;
-поэтажные планы здания с указанием всех помещений (смежных с защищаемыми), характеристик стен, перекрытий и материалов отделки;
-план-схема инженерных коммуникаций всего объекта, включая систему вентиляции;
-план-схема системы заземления объекта, с указанием места расположения заземлителя;
-план-схема системы электропитания здания с указанием места расположения разделительного трансформатора, всех щитов и разводных коробок;
-- план-схема прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
-план-схема систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок.
Целесообразно провести технический контроль по оценке реальных экранирующих свойств конструкций здания и звукоизоляции помещений с целью учета их результатов при выработке мер защиты ТСОИ и выделенных помещений. По результатам анализа делается вывод о том, какие потенциальные каналы утечки информации существуют на объекте, и разрабатываются требования и рекомендации по защите информации, которые должны быть включены в техническое задание на разработку технического проекта.
|
Оформлениерезультатов |
аттестационныхиспытаний |
|
|
|
|
|
|
|
Оценка обеспечения защищенности информации на |
аттестуемых объектах |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
результатовОценка аттестуемыхиспытаний |
объектов |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
на аттестуемых объектах |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
защищенности информации |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
по обеспечению |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
Выполнение рекомендаций |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
аттестуемыхИспытания |
объектов |
|
|
|
|
|
|
|
испытанийОИ |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
Проведениекомплексных |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
позащитеинформацииотНСД |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
ОИнасоответствиетребованиям |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
Проведениеиспытаний |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
утечкипотехническимКУИ |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
позащитеинформацииот |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
ОИнасоответствиетребованиям |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
Проведениеиспытаний |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
позащитеинформации |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
техническимтребованиям |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
соответствиеорганизационно- |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
ПроверкаОИна |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
классификацииОИ |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
категорированияи |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
Проверкаправильности |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
ОИфактическим |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
исходныхданныхна |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
Проверкасоответствия |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
ипорядокэксплуатацииОИ |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
определяющихсостав |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
Анализдокументов, |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
подготовкаиОпределениеусловий |
аттестационныхиспытаний |
|
|
аттестацииобрешенияПринятие проведение аттестационных испытаний |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
на |
|
|
испытаний |
|
|
|
||||||||||||
|
|
|
|
|
|
и методики аттестационных |
||||||||||||||||||
|
|
|
|
|
|
договоров |
Разработка программы |
|||||||||||||||||
|
|
|
|
|
|
Заключение |
аттестуемым объектом |
|||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
ознакомление с |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
Предварительное |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
по заявке |
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
Принятие решения |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
документации |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
данных и эксплуатационной |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
Подготовка исходных |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
защите информации |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
мероприятий по |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
Проведение |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
исключению возможных КУИ |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
мероприятийпо |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
Определениеперечня |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
техническихсредств |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
проверок |
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
Проведениеспец. |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
техническихсредств |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
исследований |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
Проведениеспец. |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
возможныхКУИ |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
Определение |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
наОИ |
||||||||||||
|
|
|
|
|
|
|
|
|
|
техническихпаспортов |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
Составление |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
классификацияОИ |
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
Категорирование, |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
перечняОИ |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
Определение |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Процедура |
|
|
|
|
|
|
|
|
|
|
|
|
Исполнитель |
|||
|
Орган по аттестации |
|
|||
|
|
||||
Заявитель |
|
||||
|
|
|
|||
|
|
|
|
|
|
|
Орган по аттестации |
|
|||
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
Органпо аттестации при обеспечении |
заявителем условий аттестационных испытаний |
|
|||
|
|
|
|
|
|
|
|
|
|||
Органпо |
аттестации заявитель |
|
|||
|
|
и |
|
||
|
|
|
|||
|
Орган по аттестации |
|
|||
Заявитель
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
рекомендаций) |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
овыполнении |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Акт(заключение |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
аттестуемыхобъектах |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
информациина |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
защищенности |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
обеспечению |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рекомендациипо |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
испытаний |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
аттестационных |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
результатам |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Заключениепо |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Протокол аттестационных испытаний |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
Протоколы контроля выполнениятребований по безопасности информации |
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
испытаний |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
аттестационных |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Программаиметодика |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
испытаний |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
объектааттестационных |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Результатыанализа |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Решениепозаявке |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
документациинаОИ |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
эксплуатационной |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
исходныеданныеипакет |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Документы,содержащие |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
защитеинформации |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
мероприятийпо |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Актыозавершении |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
позащитеинформации |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
проведениимероприятий |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Распоряжение,приказо |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
средств |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
провероктехнических |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Протоколы(акты)спец. |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
техническихсредств |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
ипредписаниянаэксплуатацию |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Протоколыспец.исследований |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
АктобследованияОИ |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
наОИ |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Техническиепаспорта |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
классификацииОИ |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Актыкатегорирования, |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
классификацииОИ |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
окатегорировании, |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Распоряжение,приказ |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Оформляемые документы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
Аттестат соответствия ОИ требованиям по безопасности информации |
|
|
информатизации |
|
|||||
|
|
|||||||||
|
|
|||||||||
|
|
|||||||||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
эксплуатациейобъектов |
объектов информатизации безопасностиинформации |
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
Пакет документов |
по результатам аттестационных испытаний |
|
|
контроля за проведением аттестации и |
||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Договоры на проведение аттестационных испытаний |
|
|
государственного контроля и надзораинспекционного, |
Алгоритм аттестации по требованиям |
||||
|
|
Заявка |
|
|
Осуществление |
|
||||
|
|
|
|
|
|
|
|
|
|
|
104 |
105 |
Мероприятия по защите информации /3,10/ отражаются в отдельном разделе технического проекта. Для его разработки должны привлекаться организации, имеющие лицензию Гостехкомиссии РФ. При разработке технического проекта необходимо учитывать:
-в выделенных помещениях необходимо устанавливать сертифицированные технические средства обработки информации и вспомогательные технические средства;
-для размещения ТСОИ целесообразно выбирать подвальные и полуподвальные помещения;
-кабинеты руководителей учреждения, а также особо важные помещения рекомендуется располагать на верхних этажах со стороны здания, менее опасной с точки зрения ведения разведки;
-необходимо предусмотреть подвод всех коммуникаций к зданию в одном месте;
-для электропитания защищаемых технических средств рекомендуется в здании учреждения оборудовать свой разделительный трансформатор;
-электросиловые кабели рекомендуется прокладывать от общего силового щита;
-число вводов коммуникаций в зону выделенного помещения должно быть минимальным, соответствовать числу коммуникаций;
-для заземления технических средств в выделенном помещении необходимо предусмотреть отдельный собственный силовой контур заземления;
-исключить выходы посторонних проводников за пределы контролируемой зоны;
-прокладка вертикальных стояков коммуникаций вне пределов зоны выделенного помещения;
-ограждающие конструкции особо важных помещений, смежные с другими помещениями учреждения, не должны иметь проемы, ниши, а также сквозные каналы для прокладки коммуникаций;
106
-систему приточно-вытяжной вентиляции и воздухообмена зоны выделенных помещений целесообразно сделать отдельной, она должна иметь отдельный забор и выброс воздуха;
-короба системы вентиляции рекомендуется выполнять из неметаллических материалов;
-в помещениях с системой звукоусиления целесообразно применять облицовку внутренних поверхностей ограждающих конструкций звукопоглощающими материалами;
-дверные проемы необходимо оборудовать тамбурами;
-декоративные панели должны сниматься для осмотра;
-в выделенных помещениях не должны использоваться подвесные потолки;
-для остекления должны применяться солнцезащитные и теплозащитные стеклопакеты;
-конструкции полов целесообразно предусмотреть без плин-
тусов;
-в выделенных помещениях не рекомендуется применять светильники люминесцентного освещения.
Раздел технического проекта по защите информации согласуется с руководством органа по защите информации учреждения.
На втором этапе силами монтажных и строительных организаций осуществляется выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам на втором этапе привлекаются организации имеющие лицензию Гостехкомиссии РФ. Органами по защите информации организуется контроль всех этапов реконструкции объекта, а также мероприятий по защите информации.
В период реконструкции особое внимание должно уделяться обеспечению режима и охране объекта. Основные рекомендации по обеспечению режима и охраны ТСОИ включают следующее:
-контроль лиц и транспортных средств, прибывших и покинувших территорию работ;
-допуск строителей на территорию и в здание по временным пропускам;
107
-копии строительных чертежей, схем, связи и т.д. должны быть учтены;
-хранение комплектующих материалов на складе под охра-
ной;
-на этапе отделочных работ необходимо обеспечить ночную охрану здания.
Мероприятия по организации контроля в ходе реконструкции объекта включают:
-скрытую проверку всех монтируемых конструкций перед монтажом;
-периодический осмотр зон выделенных помещений в вечернее или нерабочее время;
-контроль за ходом строительных работ на территории и в здании;
-осмотр мест и участков конструкций, подлежащих закрытию другими конструкциями;
-проверку состояний монтажных схем и количество прокладываемых проводов техническому проекту.
При проведении контроля особое внимание обращается на:
-несогласованное с заказчиком изменение состава бригад;
-недопустимо большие задержки по времени выполнения стандартных монтажных операций;
-неожиданную замену типов строительных материалов и элементов конструкций;
-изменение схем и порядка монтажа конструкций;
-проведение работ в обеденное или нерабочее время, особенно ночью;
-психологические факторы строителей в присутствии контролирующих и т.д.
Перед установкой в выделенное помещение мебель, предметы интерьера должны проверяться на отсутствие закладных устройств. После отделки рекомендуется провести анализ здания на возможность утечки информации по акустическим и виброакустическим каналам. По завершении реконструкции проводится аттестация объектов ТСОИ и выделенных помещений по требованиям
108
безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.
После аттестации проводится комплексная проверка защищенности информации на объекте в реальных условиях эксплуатации /23,24,26/, в результате которой посредством специального документа – аттестата соответствия с определенной степенью достоверности подтверждается, что объект соответствует требованиям стандартов по безопасности информации, или иных нормативнотехнических документов по требованиям безопасности информации. Аттестация проводится органами по аттестации в установленном порядке.
Вкачестве рекомендаций на третьем этапе (эксплуатация объектов) выделяются:
- организация зон ограниченного доступа персонала в помещения различной степени важности;
- особо важные помещения должны быть оборудованы сигнализацией;
- в особо важных помещениях число предметов интерьера должно быть минимальным;
- закупка мебели, средств оргтехники, технических и вспомогательных средств должна осуществляться без заказа и складирования;
- организация зон доступа посетителей под наблюдением сотрудников;
- работа вспомогательного персонала по ремонту проходит под контролем сотрудника органа по защите информации;
- после рабочего дня необходимо осуществлять визуальный осмотр помещений учреждения на отсутствие в них посторонних предметов;
- не рекомендуется размещать в здании сторонние организа-
ции.
Впериод эксплуатации должны проводится специальные обследования и проверки выделенных помещений и объектов ТСОИ. Специальное обследование здания должно проводится во всех
109
служебных помещениях учреждения сотрудниками органа по защите информации под легендой для сотрудников или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей учреждения и сотрудников службы безопасности). Специальные проверки, как правило, проводятся перед аттестацией помещения, перед ведением конфиденциальных переговоров, а также периодически. Специальные проверки могут быть следующих видов:
специальное обследование выделенного помещения; визуальный осмотр выделенного помещения; комплексная специальная проверка выделенного помеще-
ния;
визуальный осмотр и специальная проверка новых предметов и мебели в выделенном помещении;
специальная проверка радиоэлектронной аппаратуры в выделенном помещении;
периодический радиоконтроль выделенного помещения; специальная проверка проводных линий; проведение тестового «прозвона» всех телефонных аппара-
тов в выделенном помещении с контролем прохождения всех вызывных сигналов АТС.
Периодичность проверок выделенных помещений зависит от степени важности помещения и порядок доступа в них посторонних лиц. Специальное обследование и визуальный осмотр выделенных помещений проводится без применения технических средств, всѐ остальное – с применением, после строительства объекта, капитального ремонта и периодически, с привлечением соответствующих специалистов. Кроме того, перед началом и после служебных совещаний, в начале и после рабочего дня проводится визуальный осмотр. Визуальный осмотр и специальное обследование проводится для новых предметов и мебели и производится перед их установкой в выделенное помещение. Специальная поверка радиоэлектронной аппаратуры проводится после еѐ закупки или еѐ ремонта. Специальная проверка проводных линий осуществляется
110
после окончания строительства объекта и после проведения капитального ремонта, а также периодически.
Радиоконтроль в выделенном помещение производится с целью обнаружения активных радиозакладок с применением сканерных приѐмников и программно – аппаратных комплексов контроля.
Тестовый прозвон телефонных аппаратов проводится при установке нового телефонного аппарата, а также периодически. Специальные поверки должны проводится специальными организациями, имеющих лицензию уполномоченных органов.
111
ЗАКЛЮЧЕНИЕ
В пособии рассмотрены общие вопросы организации и обеспечения информационной безопасности в техническом аспекте ее защиты, в том числе, угрозы безопасности информации при потенциальной возможности ее утечки по техническим каналам применительно к типовому объекту информатизации, причины и физические явления, обусловливающие возможные технические каналы утечки информации, такие как электрические и магнитные поля рассеивания, паразитная генерация, возникающая при неустойчивой работе усилителей и генераторов, акустоэлектрические преобразования на элементах технических средств, электромагнитные наводки и другие.
Приводится подробная классификация технических каналов утечки информации. Дан анализ угроз, реализуемых по различным техническим каналам утечки информации, а также методов и средств обеспечения безопасности информации на объектах информатизации при ее обработке техническими средствами. Детально рассмотрены методы и средства защиты речевой информации.
Большое внимание уделено основным принципам технологического обеспечения безопасности на объекте информатизации. Подробно рассмотрены акустическое, вибрационное и пространственное электромагнитное зашумления. Рассматриваются вопросы технического контроля эффективности защиты информации
Приводятся полная классификация и характеристики методов
исредств поиска электронных устройств перехвата информации.
Впособии рассмотрены вопросы организации защиты информации от утечки по техническим каналам, такие как лицензирование деятельности в области защиты информации, сертификация средств защиты информации, аттестация объектов информатизации по требованиям безопасности информации. Приводится перечень видов деятельности предприятий в области
защиты информации, подлежащих лицензированию Гостехкомиссией России.
Даны рекомендации по организации работ по защите информации от утечки по техническим каналам на объектах технических средств обработки информации.
Авторы надеются, что данное пособие окажется полезным читателю при подготовке к экзамену по курсу "Технические средства и методы защиты информации", а полученные из пособия знания найдут применение в практической работе после окончания университета.
112 |
113 |