2.1.2 Порядок проведения контроля защищенности объектов эвт

Контроль защищенности от разведки побочных электромагнитных излучений и наводок (РПЭМИН) осуществляется с целью предупреждения возможности получения аппаратурой РПЭМИН информации, циркулирующей на защищаемом от РПЭМИН объекте, оценки состояния, полноты и своевременности проведения мероприятий по противодействию РПЭМИН.

В процессе контроля защищенности на объекте проверяются все основные технические средства и средства защиты, а также вспомогательные технические средства, имеющие в своем составе генераторы, радиоизлучения которых могут быть непреднамеренно промодулированы сигналом, несущим секретную информацию. Упомянутые здесь основные и вспомогательные технические средства, в дальнейшем для краткости именуются "технические средства".

Различается два вида контроля защищенности объектов от РПЭМИН:

• аттестационный контроль,

• эксплуатационный контроль.

Аттестационный контроль проводится при вводе объекта в эксплуатацию, а также после его реконструкции или модернизации. По результатам аттестационного контроля для данного объекта оформляется Аттестат соответствия.

Эксплуатационный контроль проводится в процессе эксплуатации объекта. Эксплуатационный контроль защищенности от РПЭМИН на объекте проводится с целью проверки выполнения правил эксплуатации и технического состояния каждого технического средства и оценки соответствия текущего состояния защищенности объекта тому, которое было зафиксировано при аттестационном контроле.

При проведении контроля защищенности проверяются параметры, которые характеризуют защищенность технических средств или объекта в целом, в соответствии с установленной категорией объекта защиты.

При оценке мероприятий по защите электронных средств обработки информации учитываются следующие возможные технические каналы утечки:

• побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;

• наводки информативного сигнала, обрабатываемого техническими средствами, на посторонние провода и линии, выходящие за пределы контролируемой зоны предприятия (учреждения), в т.ч. на цепи заземления и электропитания;

• изменения тока потребления, обусловленные обрабатываемыми техническими средствами информативными сигналами;

• радиоизлучения или электрические сигналы от внедренных в технические средства и выделенные помещения специальных электронных устройств перехвата информации (закладочных устройств), модулированные информативным сигналом.

2. Проектирование и создание объектов в защищенном исполнении

Общий подход ФГУП «НПП «Гамма» к проектированию, сопровождению строительных (монтажных) работ и оценке эффективности предлагаемых решений по созданию системы защиты информации выделенных помещений и систем, расположенных в них включает в себя несколько стадий: предпроектную, проектную и стадию проектных решений.

Предпроектная стадия: На первом этапе производится анализ и оценка угроз информационной безопасности объекта, анализ потенциально опасных технических каналов и средств съема информации. Совместно с Заказчиком составляется перечень защищаемых информационных ресурсов, оценивается степень их конфиденциальности (требований по защищенности), перечень выделенных помещений, информационных систем и технических средств, в которых циркулирует защищаемая информация, а также вспомогательных технических средств и систем. Разрабатывается перечень угроз и их потенциальных источников, проводится оценка возможностей источников угроз (экономических, технических, оперативных и т.д.) по добыванию охраняемых сведений, создаются интегрированные профили угроз и разрабатываются технические требования по обеспечению информационной безопасности, а также Аналитическое обоснование необходимости создания системы защиты информации.

На втором этапе проводится анализ возможных технических (строительно-технических) и организационных решений по обеспечению требуемого уровня информационной безопасности в соответствии с разработанными профилями угроз и техническими требованиями, их технико-экономическое обоснование и разрабатываются профили защиты. Одновременно готовятся предложения и их технико-экономическое обоснование по созданию подсистемы технического (объективного) контроля защищенности объекта. Заказчиком производится выбор из числа предложенных решений.

Разрабатывается перечень мероприятий по обеспечению конфиденциальности на период разработки, проектирования и создания системы защиты информации.

Проектная стадия. На стадии проектирования, на основании разработанных профилей угроз и профилей защиты, технических требований и выбранных технических решений разрабатывается раздел технического проекта объекта по обеспечению информационной безопасности и легенда (в случае необходимости) для строительно-монтажных организаций, привлекаемых для проведения общих строительно-монтажных работ.

Формируется техническое задание на разработку подсистемы технического (объективного) контроля защищенности объекта.

В разделе проекта отражаются следующие подсистемы защиты:

• Подсистема, связанная с обеспечением защиты путем использования соответствующих строительных конструкции и материалов (строительная часть);

• Подсистема защиты информационных, инженерных и инженерно-технических систем и средств пассивными средствами защиты (пассивная подсистема);

• Подсистема с использованием активных технических средств защиты (активная подсистема);

• Подсистема технического (объективного) контроля защищенности.

При наличии на объекте защиты информационно - телекоммуникационной системы (ЛВС, выделенного фрагмента корпоративной сети и т.д.), в которой циркулирует конфиденциальная информация, отдельно разрабатывается подсистема защиты ее информационных ресурсов.

При необходимости, разработанные проектные решения отрабатываются на стенде методом полунатурного моделирования.

Стадия реализации проектных решений. На стадии реализации проектных решений проводится разработка, испытания по требованиям информационной безопасности активной подсистемы защиты информации и подсистемы технического (объективного) контроля, закупка и монтаж пассивной подсистемы, а также сопровождение строительно-монтажных работ.

При сопровождении строительно-монтажных работ особое внимание уделяется точности выполнения проектных решений, соблюдению технологии монтажа, оценке «чистоты» применяемых строительных материалов (при необходимости) и производится поэлементная приемка работ с проведением технического контроля качества путем оценки эффективности защитных свойств и их соответствия техническим требованиям.

Развертывание активной и пассивной подсистем защиты заканчивается испытаниями, в ходе которых оценивается их эффективность и соответствие техническим требованиям. Оценка эффективности подсистемы технического контроля проводится путем натурных испытаний с использованием прототипов средств съема информации.

Оценка защищенности информационно – телекоммуникационных систем, проводится путем имитации их взлома как извне, так и внутри системы.

Разрабатываются необходимые технические, конструкторские, организационные, руководящие и иные документы, в которых отражается порядок функционирования и эксплуатации системы защиты и контроля защищенности информации.

Заключение

К настоящему времени создано огромное количество эффективных программно-аппаратных и технических средств защиты информационной безопасности, разработана нормативно – правовая база, регулирующая вопросы связанные с защитой информации. Все это с одной стороны помогает значительно повысить качество информационной безопасности организаций, а с другой значительно усложнило процесс выбора средств и методов защиты. И в данных условиях как никогда требуются высококвалифицированные специалисты, способные постоянно подстраивать систему защиты под быстроменяющиеся условия внешней среды и оперативно реагировать на все нештатные ситуации.