Бондарев Физическая засчита ядерных обектов 2008
.pdfния необходимости создания подсистемы защиты информации и технического (частного технического) задания на ее создание;
•стадия проектирования (разработки проектов) и реализации СФЗ, включающая разработку подсистемы защиты информации в составе СФЗ;
•стадия ввода в действие подсистемы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию СФЗ на соответствие требованиям безопасности информации.
На предпроектной стадии по обследованию объекта, для которого создается СФЗ:
•определяются (уточняются) угрозы ЯО в целом и информационной безопасности в частности;
•определяется модель вероятного нарушителя СФЗ применительно к конкретным условиям функционирования ЯО;
•устанавливается необходимость обработки (обсуждения) секретной (конфиденциальной) информации на различных пунктах управления и в различных компонентах СФЗ, оценивается ее степень секретности, уровень чувствительности, объемы, характер и условия использования;
•определяются конфигурация и топология СФЗ в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри СФЗ, так и с другими системами (например, системами учета и контроля ЯМ, технологической безопасности);
•определяются технические средства и системы, предполагаемые к использованию в разрабатываемой СФЗ, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
491
•определяются режимы обработки информации в системе управления СФЗ в целом и в отдельных компонентах;
•определяется, какие данные и системы являются важными и должны дублироваться;
•определяется категория помещений пунктов управления СФЗ;
•определяется категория технических средств и систем;
•определяется класс защищенности АС;
•определяется класс защищенности систем транкинговой радиосвязи;
•определяется степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и со службой безопасности ЯО;
•определяются мероприятия по защите информации в процессе разработки СФЗ;
•разрабатывается аналитическое обоснование необходимости создания подсистемы защиты информации по результатам предпроектного обследования;
•задаются конкретные требования по защите информации, включаемые в ТЗ на разработку подсистемы защиты информации на основе действующих федеральных и отраслевых нормативных документов по защите информации с учетом установленных категории помещений пунктов управления СФЗ, технических средств и систем, класса защищенности АС и систем транкинговой радиосвязи.
На стадии проектирования и реализации СФЗ и подсистемы защиты информации в ее составе на основе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:
492
•разработка задания и проекта на строительные, строительномонтажные работы (или реконструкцию) СФЗ в соответствии с требованиями ТЗ на разработку подсистемы защиты информации;
•разработка раздела технического проекта на СФЗ в части защиты информации;
•строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещение и монтаж технических средств и систем;
•разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
•закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации (либо их сертификация);
•проверка эффективности защиты помещений пунктов управления СФЗ и технических средств и систем в реальных условиях их размещения и эксплуатации с целью определения достаточности мер защиты с учетом установленной категории;
•закупка сертифицированных образцов и серийно выпускаемых технических и программных (в том числе криптографических) средств защиты информации и их установка;
•разработка (доработка) или закупка и последующая сертификация «по назначению» и по требованиям безопасности информации прикладных программных средств и программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
•организация охраны и физической защиты пунктов управления СФЗ и других зон ограниченного доступа, исключающих несанкционированный доступ к техническим средствам обработки,
493
хранения и передачи информации, их хищение и нарушение работоспособности;
•разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала СФЗ к обрабатываемой информации;
•определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации СФЗ;
•выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
•разработка организационно-распорядительной и рабочей документации по эксплуатации СФЗ в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов);
•выполнение других мероприятий, специфичных для конкретных СФЗ и направлений защиты информации.
Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой безопасности ЯО в части достаточности мер по технической защите информации и утверждается заказчиком.
На стадии проектирования и реализации СФЗ оформляются также технический проект и эксплуатационная документация подсистемы защиты информации, состоящие из:
•пояснительной записки с кратким изложением состава средств и мер защиты и принятых решений по техническим, программным, в том числе криптографическим, организационным средствам и мерам защиты информации с указанием их соответствия требованиям ТЗ;
494
•описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
•плана организационно-технических мероприятий по подготовке СФЗ к внедрению средств и мер защиты информации;
•технического паспорта СФЗ (технических паспортов составляющих ее компонент, зон ограниченного доступа — помещений пунктов управления СФЗ, серверных, узлов связи и т.п.;
•инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администратора системы, а также для работников службы безопасности ЯО.
На стадии ввода в действие СФЗ и подсистемы защиты информации в ее составе осуществляются:
•опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе СФЗ и отработки технологического процесса обработки (передачи) информации;
•приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
•аттестация СФЗ по требованиям безопасности информации. При положительных результатах аттестации владельцу СФЗ выдается «Аттестат соответствия» требованиям безопасности ин-
формации.
Для СФЗ, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (реконструкции), переоформления организационно-распорядительной, тех- но-рабочей и эксплуатационной документации.
495
Необходимым условием является их соответствие действующим требованиям по защите информации и их аттестация.
Аттестация СФЗ по требованиям безопасности информации осуществляется аккредитованными в установленном порядке органами по аттестации.
Эксплуатация СФЗ осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией.
Контроль состояния и эффективности защиты информации осуществляется службой безопасности ЯО, отраслевыми и федеральными органами контроля и заключается в оценке выполнения требований нормативных документов, в том числе настоящего документа, а также обоснованности принятых мер.
12.9. Требования и рекомендации по защите информации в СФЗ ЯО
Представляется целесообразным сформулировать основные требования и рекомендации по защите информации в СФЗ ЯО, представленной в различном виде (речь, побочные электромагнитные излучения, визуальное изображение), подвергающейся наиболее распространенной угрозе, связанной с попытками несанкционированного доступа, относящейся к определенным объектам СФЗ (например, к пунктам управления СФЗ и других жизненно важных объектов информатизации) или субъектам, эксплуатирующим СФЗ (персонал ЯО). Рассмотрим такие требования и рекомендации отдельно, как это сделано в отраслевом руководящем документе
[12.7].
496
Требования и рекомендации по защите речевой информации
Требования настоящего раздела направлены на обеспечение защиты речевой информации, циркулирующей в помещениях пунктов управления СФЗ и передаваемой по телефонным линиям и радиоканалам связи.
Эффективность защиты речевой информации, составляющей государственную тайну, должна соответствовать действующим нормам безопасности информации в зависимости от установленной категории помещений пунктов управления СФЗ.
В помещениях пунктов управления СФЗ должны устанавливаться только системы телефонной связи, радиотрансляции, оповещения, сигнализации и электрочасофикации, сертифицированные по требованиям безопасности информации, либо должна быть проведена проверка эффективности защиты этих устройств в реальных условиях их размещения, по результатам которой определяется необходимость применения дополнительных мер их защиты.
Оконечные устройства этих систем, имеющие выход за пределы защищенной зоны ЯО, должны быть защищены от утечки информации за счет электроакустических преобразований.
Средства защиты также должны быть сертифицированы. Звукоизоляционные характеристики ограждающих конструк-
ций и технологического оборудования защищаемого помещения должны соответствовать установленным нормам акустической защиты речевой информации.
Необходимо исключить передачу по незащищенным каналам проводной и радиосвязи информации, составляющей государственную и служебную тайну.
Это осуществляется за счет жесткой регламентации характера
и содержания передаваемых сообщений. 497
Такого рода информация должна передаваться только по защищенным каналам связи, либо с использованием средств криптографического преобразования информации или скремблирования передаваемой информации в соответствии с принятыми в России стандартами.
Требования и рекомендации по защите информации от утечки за счет побочных электромагнитных излучений и наводок
Требования настоящего раздела направлены на обеспечение защиты информации, обрабатываемой на используемых в СФЗ средствах вычислительной техники и циркулирующей в системах телевизионного наблюдения (СТН), от утечки за счет побочных электромагнитных излучений и наводок от этих средств на провода и линии, выходящие за пределы защищенной зоны ЯО, их линий передачи информации, а также по цепям электропитания.
Для обработки информации, составляющей государственную тайну, должны применяться СВТ и СТН, сертифицированные по требованиям безопасности информации, либо образцы техники, прошедшие проверку эффективности защиты информации в реальных условиях их размещения.
Для обработки информации, составляющей служебную тайну, могут использоваться СВТ и СТН, удовлетворяющие установленным требованиям по электромагнитной совместимости.
В качестве СТН рекомендуется использовать только системы внутреннего телевидения, устройства магнитной записи изображения (видеомагнитофоны), устройства просмотра телевизионных изображений (проекторы), входные и выходные сигналы которых удовлетворяют требованиям ГОСТ 784-92 «Система вещательного телевидения. Основные параметры. Методы измерений», ГОСТ 22006-76 «Установки телевизионные прикладного назначения. Ос-
новные параметры», ОСТ 4.205.003 «Телевидение черно-белое. 498
Импульсные сигналы на входе и выходе функциональных частей телевизионных аналоговых многокадровых систем специального назначения», в которых передача телевизионной информации производится по кабельным линиям связи без использования каналов радиосвязи.
Технические средства и кабельные сети, предназначенные для обработки и передачи информации, составляющей государственную и служебную тайну, должны размещаться в пределах защищенной зоны ЯО.
Размещение и монтаж технических средств, предназначенных для вывода защищаемой информации (печатающие устройства, видеотерминалы, графопостроители и т.п.), необходимо проводить с учетом максимального затруднения визуального просмотра информации посторонними лицами, а также принимать дополнительные меры, исключающие подобный просмотр (шторы на окнах, жалюзи, непрозрачные экраны и т.п.).
Передача изображений в СТН должна осуществляться на видеочастоте, без использования ультракоротковолновых (УКВ) генераторов.
Прокладку соединительных линий СТН необходимо выполнять экранированным, надлежащим образом заземленным кабелем, с учетом исключения возможности гальванического подключения к ним.
Если на объекте защиты не могут быть выполнены требования по обеспечению необходимого расстояния до границы защищенной зоны ЯО для отдельных средств техники или системы в целом, то должны быть применены следующие дополнительные меры защиты (по отдельности или в комплексе):
•доработка технического средства с целью обеспечения требуемого затухания на границе контролируемой зоны;
499
•пространственное зашумление технических средств с помощью систем активной защиты (САЗ).
Требования к дополнительным мерам определяются по результатам проверки эффективности защиты информации в реальных условиях их размещения.
В случае если в состав СТН включены устройства вычислительной техники, обрабатывающие информацию в цифровом виде, их защита должна осуществляться в соответствии с требованиями по защите информации, обрабатываемой СВТ.
Разделительный трансформатор (подстанция) и автономный источник электропитания, от которых питаются СВТ и СТН, обрабатывающие защищаемую информацию, линии электропитания, цепи и очаг заземления (место зануления) должны располагаться в пределах защищаемой зоны ЯО.
Требования и рекомендации по защите информации от несанкционированного доступа
В настоящем разделе устанавливаются принципы классификации автоматизированных систем управления и обеспечения физической защиты ядерно-опасных объектов на базе средств вычислительной техники, подлежащих защите от несанкционированного доступа и воздействий эксплуатационного персонала и посторонних лиц, в том числе от несанкционированных программных воздействий, нарушающих безопасность информационных ресурсов и работоспособность СВТ, а также общие требования по защите информации от НСД.
Автоматизированные системы, являющиеся неотъемлемой составной частью СФЗ ЯО и предназначенные для управления системой физической защиты и обеспечения ее функционирования, уязвимы с точки зрения несанкционированного доступа к информации
500