2.1. Организационные мероприятия по технической защите информации от утечки по каналам пэмин

1) На этапе проведения организационных мероприятий нужно:

- определить свод ведомостей с ограниченным доступом, подлежащих технической защите (определяет владелец информации согласно действующему законодательству Украины);

- обосновать необходимость разработки и реализации защитных мероприятий с учётом материального или другого вреда, который может быть нанесён вследствие возможного нарушения целостности ИсОД или её утечки по техническим каналам;

- установить список выделенных помещений, в которых не допускается реализация угроз и утечка ИсОД;

- определить список технических средств, которые должны использоваться как ОТС;

- определить технические средства, использование которых не обосновано служебной необходимостью и которые подлежат демонтажу;

- определить наличие задействованных и незадействованных воздушных, наземных, настенных и заложенных в скрытую канализацию кабелей, цепей и проводов, которые выходят за границу выделенных помещений;

- определить системы, подлежащие демонтажу или нуждающиеся в переоборудовании кабельных сетей, цепей питания, заземления или установления в них защитных устройств.

2) По результатам обследования составляется акт произвольной формы со списком выполненных мероприятий и приложением (по необходимости):

- списка ОТС, расположенных в выделенных помещениях;

- плана выделенных помещений с указанием мест установки ОТС, а также схем прокладки кабелей, проводов, цепей;

- списка технических средств, кабелей, цепей, проводов которые подлежат демонтажу.

Акт подписывается исполнителем работ и утверждается руководителем организации (предприятия).

2.2. Организационные мероприятия по технической защите информации в средствах вычислительной техники, автоматизированных системах и сетях от утечки по каналам пэмин

1) Работы по технической защите информации а АС и СВТ предусматривают:

- категорирование объектов электронно-вычислительной техники;

- включение к техническим заданиям на монтаж АС и СВТ раздела по ТЗИ;

- монтаж АС и СВТ соответственно рекомендациям “ТР ЕОТ – 95”;

- обследование (в том числе и тех-контроль) объектов ЭВТ;

- установка (при необходимости) атестованых средств защиты;

- технический контроль эффективности употреблённых мероприятий.

2) Для объектов ЭВТ, обрабатывающих ИсОД, проводится обязательное категорирование согласно действующему Положению о категорировании. Объём и содерждание работ по защите этой информации определяются присвоенной категорией.

3) Обследование АС и СВТ соответственно рекомендациям этого документа проводится структурными подразделениями ТЗИ, в ведомстве которых находится объект, или предприятиями, учреждениями, организациями и гражданами, получившими в установленном порядке соответствующие лицензии Государственной службы Украины по вопросам технической защиты информации.

4) Рекомендованый алгоритм обследования содержит такие процедуры:

- анализ в технических средствах ЭВТ потоков информации с ограниченным доступом;

- определение состава ОТС и ВТСС на объекте ЭВТ;

- определение состава кабельных линий, выходящих за границу КЗ и имеющих параллельный пробег с кабелями АС и СВТ;

- выявление коммуниккаций, проходящих через территорию объекта ЭВТ и имеющих выхоод за пределы КЗ;

- инструментальное измерение информативных побочных электромагнитных излучений и наводок;

- оценку соответствия уровней сигналов и параметров полей, являющихся носителями ИсОД, нормам эффективной защиты.

5) По результатам обследования составляется акт, в котором отображаются:

- категория объекта ЭВТ;

- список ОТС (наименование, тип, заводской номер);

- список ВТСС и коммуникаций, находящихся на объекте ЭВТ;

- оценка соответствия монтажа этим рекомендациям;

- предложения относительно использования дополнительных мер защиты (при необходимости).

К акту прилагаются:

- схема расположения ТС объекта ЭВТ и прохождения коммуникаций на нём;

- протоколы измерений.