6.5. Рекомендации по организации работ по защите информации от утечки по техническим каналам на объектах технических средств обработки информации

При организации работ по защите информации от утечки по техническим каналам /2,4,8/ на объектах ТСОИ можно выделить три этапа:

Первый этап – подготовка к реконструкции (капитальному ремонту, строительству) объекта.

Второй этап – период проведения работ по реконструкции объекта

Третий этап – период эксплуатации объекта.

На первом этапе с привлечением соответствующих специалистов проводится оценка обстановки на объекте и вблизи от него, изучается необходимая документация. При этом устанавливается:

• когда построен объект; какие организации привлекались для его строительства; какие учреждения в нем располагались;

• условия расположения объекта и всех помещений объекта; какие организации занимают смежные помещения, режим их посещения.

103

Далее проводится оценка информации, представляющей интерес для противника. Определяются помещения, а также технические системы и средства, подлежащие защите. Для анализа возможных технических каналов утечки на объекте изучаются:

110

• план прилегающей к объекту местности в радиусе до 1000 м с указанием принадлежности зданий, особенно находящихся в прямой видимости из окон помещений, подлежащих защите, мест стоянок автомашин, а также места расположения трансформаторной подстанции;

• поэтажные планы здания с указанием всех помещений (смежных с защищаемыми), характеристик стен, перекрытий и материалов отделки;

• план-схема инженерных коммуникаций всего объекта, включая систему вентиляции;

• план-схема системы заземления объекта, с указанием места расположения заземлителя;

• план-схема системы электропитания здания с указанием места расположения разделительного трансформатора, всех щитов и разводных коробок;

• - план-схема прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;

• план-схема систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок.

Целесообразно провести технический контроль по оценке реальных экранирующих свойств конструкций здания и звукоизоляции помещений с целью учета их результатов при выработке мер защиты ТСОИ и выделенных помещений. По результатам анализа делается вывод о том, какие потенциальные каналы утечки информации существуют на объекте, и разрабатываются требования и рекомендации по защите информации, которые должны быть включены в техническое задание на разработку технического проекта.

104

105

106

Мероприятия по защите информации /3,10/ отражаются в отдельном разделе технического проекта. Для его разработки должны привлекаться организации, имеющие лицензию Гостехкомиссии РФ. При разработке технического проекта необходимо учитывать:

• в выделенных помещениях необходимо устанавливать сертифицированные технические средства обработки информации и вспомогательные технические средства;

111

- для размещения ТСОИ целесообразно выбирать подвальные и полуподвальные помещения;

• кабинеты руководителей учреждения, а также особо важные помещения рекомендуется располагать на верхних этажах со стороны здания, менее опасной с точки зрения ведения разведки;

• необходимо предусмотреть подвод всех коммуникаций к зданию в одном месте;

• для электропитания защищаемых технических средств рекомендуется в здании учреждения оборудовать свой разделительный трансформатор;

• электросиловые кабели рекомендуется прокладывать от общего силового щита;

• число вводов коммуникаций в зону выделенного помещения должно быть минимальным, соответствовать числу коммуникаций;

• для заземления технических средств в выделенном помещении необходимо предусмотреть отдельный собственный силовой контур заземления;

• исключить выходы посторонних проводников за пределы контролируемой зоны;

• прокладка вертикальных стояков коммуникаций вне пределов зоны выделенного помещения;

• ограждающие конструкции особо важных помещений, смежные с другими помещениями учреждения, не должны иметь проемы, ниши, а также сквозные каналы для прокладки коммуникаций;

• систему приточно-вытяжной вентиляции и воздухообмена зоны выделенных помещений целесообразно сделать отдельной, она должна иметь отдельный забор и выброс воздуха;

• короба системы вентиляции рекомендуется выполнять из неметаллических материалов;

• в помещениях с системой звукоусиления целесообразно применять облицовку внутренних поверхностей ограждающих конструкций звукопоглощающими материалами;

• дверные проемы необходимо оборудовать тамбурами;

• декоративные панели должны сниматься для осмотра;

• в выделенных помещениях не должны использоваться подвесные потолки;

• для остекления должны применяться солнцезащитные и теплозащитные стеклопакеты;

• конструкции полов целесообразно предусмотреть без плинтусов;

• в выделенных помещениях не рекомендуется применять светильники люминесцентного освещения.

Раздел технического проекта по защите информации согласуется с руководством органа по защите информации учреждения.

На втором этапе силами монтажных и строительных организаций осуществляется выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам на втором этапе привлекаются организации имеющие лицензию Гостехкомиссии РФ. Органами по защите информации организуется контроль всех этапов реконструкции объекта, а также мероприятий по защите информации.

В период реконструкции особое внимание должно уделяться обеспечению режима и охране объекта. Основные рекомендации по обеспечению режима и охраны ТСОИ включают следующее:

• контроль лиц и транспортных средств, прибывших и покинувших территорию работ;

• 107

  допуск строителей на территорию и в здание по временным пропускам;

• копии строительных чертежей, схем, связи и т.д. должны быть учтены;

• хранение комплектующих материалов на складе под охраной;

• на этапе отделочных работ необходимо обеспечить ночную охрану здания.

Мероприятия по организации контроля в ходе реконструкции объекта включают:

• скрытую проверку всех монтируемых конструкций перед монтажом;

• периодический осмотр зон выделенных помещений в вечернее или нерабочее время;

• контроль за ходом строительных работ на территории и в здании;

• осмотр мест и участков конструкций, подлежащих закрытию другими конструкциями;

• проверку состояний монтажных схем и количество прокладываемых проводов техническому проекту.

При проведении контроля особое внимание обращается на:

• несогласованное с заказчиком изменение состава бригад;

• недопустимо большие задержки по времени выполнения стандартных монтажных операций;

• неожиданную замену типов строительных материалов и элементов конструкций;

• изменение схем и порядка монтажа конструкций;

• проведение работ в обеденное или нерабочее время, особенно ночью;

• психологические факторы строителей в присутствии контролирующих и т.д.

108

Перед установкой в выделенное помещение мебель, предметы интерьера должны проверяться на отсутствие закладных устройств. После отделки рекомендуется провести анализ здания на возможность утечки информации по акустическим и виброакустическим каналам. По завершении реконструкции проводится аттестация объектов ТСОИ и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.

После аттестации проводится комплексная проверка защищенности информации на объекте в реальных условиях эксплуатации /23,24,26/, в результате которой посредством специального документа – аттестата соответствия с определенной степенью достоверности подтверждается, что объект соответствует требованиям стандартов по безопасности информации, или иных нормативно-технических документов по требованиям безопасности информации. Аттестация проводится органами по аттестации в установленном порядке.

В качестве рекомендаций на третьем этапе (эксплуатация объектов) выделяются:

• организация зон ограниченного доступа персонала в помещения различной степени важности;

• особо важные помещения должны быть оборудованы сигнализацией;

• в особо важных помещениях число предметов интерьера должно быть минимальным;

• закупка мебели, средств оргтехники, технических и вспомогательных средств должна осуществляться без заказа и складирования;

• организация зон доступа посетителей под наблюдением сотрудников;

• работа вспомогательного персонала по ремонту проходит под контролем сотрудника органа по защите информации;

• после рабочего дня необходимо осуществлять визуальный осмотр помещений учреждения на отсутствие в них посторонних предметов;

• не рекомендуется размещать в здании сторонние организации.

109

В период эксплуатации должны проводится специальные обследования и проверки выделенных помещений и объектов ТСОИ. Специальное обследование здания должно проводится во всех служебных помещениях учреждения сотрудниками органа по защите информации под легендой для сотрудников или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей учреждения и сотрудников службы безопасности). Специальные проверки, как правило, проводятся перед аттестацией помещения, перед ведением конфиденциальных переговоров, а также периодически. Специальные проверки могут быть следующих видов:

• специальное обследование выделенного помещения;

• визуальный осмотр выделенного помещения;

• комплексная специальная проверка выделенного помещения;

• визуальный осмотр и специальная проверка новых предметов и мебели в выделенном помещении;

• специальная проверка радиоэлектронной аппаратуры в выделенном помещении;

• периодический радиоконтроль выделенного помещения;

• специальная проверка проводных линий;

• проведение тестового «прозвона» всех телефонных аппаратов в выделенном помещении с контролем прохождения всех вызывных сигналов АТС.

110

Периодичность проверок выделенных помещений зависит от степени важности помещения и порядок доступа в них посторонних лиц. Специальное обследование и визуальный осмотр выделенных помещений проводится без применения технических средств, всё остальное – с применением, после строительства объекта, капитального ремонта и периодически, с привлечением соответствующих специалистов. Кроме того, перед началом и после служебных совещаний, в начале и после рабочего дня проводится визуальный осмотр. Визуальный осмотр и специальное обследование проводится для новых предметов и мебели и производится перед их установкой в выделенное помещение. Специальная поверка радиоэлектронной аппаратуры проводится после её закупки или её ремонта. Специальная проверка проводных линий осуществляется после окончания строительства объекта и после проведения капитального ремонта, а также периодически.

Радиоконтроль в выделенном помещение производится с целью обнаружения активных радиозакладок с применением сканерных приёмников и программно – аппаратных комплексов контроля.

Тестовый прозвон телефонных аппаратов проводится при установке нового телефонного аппарата, а также периодически. Специальные поверки должны проводится специальными организациями, имеющих лицензию уполномоченных органов.