125 Кібербезпека / 4 Курс / 4.1_Системи технічного захисту інформації / Лекції СТЗІ

При організації робіт по захисту від витоку по технічних каналах інформації на об'єкті ТЗПІ можна виділити три етапи.

Перший етап - підготовка до реконструкції (капітальному ремонту, будівництву) об'єкту (будівлі).

Другий етап - період проведення робіт по реконструкції об'єкту.

Третій етап - період експлуатації об'єкту.

На першому етапі із залученням відповідних фахівців проводиться оцінка обстановки на об'єкті і поблизу нього, вивчається необхідна документація.

При цьому встановлюється:

-коли побудований об'єкт. Які організації притягувалися для будівництва. Які установи в нім розташовувалися;

-умови розташування об'єкту і усіх приміщень. Які організації (обличчя) займають суміжні приміщення, режим їх відвідування.

Далі проводиться оцінка інформації, що представляє інтерес для супротивника. Визначаються приміщення, а також технічні системи і засоби, що підлягають захисту.

Для аналізу можливих технічних каналів витоку на об'єкті вивчаються:

-план прилеглої до об'єкту місцевості в радіусі до 1000 м з вказівкою (по можливості) приналежності будівель, що особливо знаходяться в прямій видимості з вікон приміщень, що підлягають захисту (бажано з їх фотографіями), місць стоянок автомашин, а також місця розташування трансформаторної підстанції;

-поэтажные плани будівлі з вказівкою усіх приміщень (суміжних з тими, що захищаються), характеристик стін, перекриттів і матеріалів обробки;

-план-схема інженерних комунікацій усього об'єкту, включаючи систему вентиляції;

-план-схема системи заземлення об'єкту, з вказівкою місця розташування заземлителя;

-план-схема системи електроживлення будівлі з вказівкою місця розташування розділового трансформатора

(підстанції), усіх щитів і розлучних коробок;

-план-схема прокладення телефонних ліній зв'язку з вказівкою місць розташування розподільних коробок і установки телефонних апаратів;

-план-схема систем охоронної і пожежної сигналізації з вказівкою місць установки і типів датчиків, а також розподільних коробок.

У цей період доцільно провести технічний контроль за оцінкою реальних екрануючих властивостей конструкцій будівлі і звукоізоляції приміщень з метою обліку їх результатів при виробленні заходів захисту ТСПІ і виділених приміщень.

За результатами аналізу робиться висновок про те, які потенційні технічні канали просочування інформації існують на об'єкті, і розробляються вимоги і рекомендації по захисту інформації, які мають бути включені в технічне завдання на розробку технічного проекту.

Заходи по захисту інформації відбиваються в окремому розділі технічного проекту. Для його розробки повинні залучатися організації, що мають відповідну ліцензію.

При розробці технічного проекту необхідно враховувати наступні рекомендації:

-у виділених приміщеннях необхідно встановлювати сертифіковані технічні засоби обробки інформації і допоміжні технічні засоби;

-для розміщення ТСПІ доцільно вибирати підвальні і напівпідвальні приміщення (вони мають екрануючі властивості);

-кабінети керівників установи, а також особливо важливі приміщення рекомендується розташовувати на верхніх поверхах з боку будівлі, менш небезпечної з точки зору ведення розвідки;

-необхідно передбачити підведення усіх комунікацій (водопостачання, опалювання, каналізація, телефонія, електромережа і так далі) до будівлі в одному місці. Введення комунікацій у будівлю доцільно відразу ввести в

щитове приміщення і забезпечити замикання його входу і сигналізацію або охорону;

-для електроживлення технічних засобів, що захищаються, рекомендується у будівлі установи обладнати свій розділовий трансформатор (підстанцію) або використати трансформаторну підстанцію, розташовану в межах контрольованої зони, відключивши при цьому від низьковольтних шин підстанції споживачів, що знаходяться за контрольованою зоною;

-електросилові кабелі рекомендується прокладати від загального силового щита за принципом вертикальної розводки на поверхи з горизонтальною поэтажной розводкою і з установкою на кожному поверсі свого силового щитка. Аналогічним чином повинні прокладатися сполучні кабелі допоміжних технічних засобів, у тому числі кабелі систем зв'язку;

-число введень комунікацій в зону виділених приміщень має бути мінімальним і відповідати числу комунікацій. Незадіяні сторонні провідники, що проходять через виділені приміщення, а також кабелі (лінії) незадіяних допоміжних технічних засобів мають бути демонтовані;

-прокладення інформаційних ланцюгів, а також ланцюгів живлення і заземлення технічних засобів, що захищаються, повинна плануватися так, щоб був виключений або зменшений до допустимих меж їх паралельний пробіг з різними сторонніми провідниками, що мають вихід за межі контрольованої зони;

-для заземлення технічних засобів (у тому числі допоміжних), встановлених у виділених приміщеннях, необхідно передбачити окремий власний контур заземлення, розташований в межах контрольованої зони;

-необхідно виключити виходи сторонніх провідників (різних трубопроводів, повітропроводів, металоконструкцій будівлі і тому подібне), в яких є присутніми наведені інформативні сигнали (тобто що знаходяться в зоні № 1), за межі контрольованої зони;

-прокладення трубопроводів і комунікацій горизонтальної розводки рекомендується здійснювати відкритим способом або за фальшпанелями, що допускають їх демонтаж і огляд;

-в місцях виходу трубопроводів технічних комунікацій за межі виділених приміщень рекомендується встановлювати гнучкі віброізолюючі вставки із заповненням простору між ними і будівельною конструкцією розчином на усю товщину конструкції. У разі неможливості установки вставок знадобиться устаткування трубопроводів системою вібраційного зашумления;

-необхідно передбачати прокладення вертикальних стояків комунікацій різного призначення поза межами зони виділених приміщень;

-конструкції особливо важливих приміщень, що захищають, суміжні з іншими приміщеннями установи, не повинні мати отворів, ніш, а також наскрізних каналів для прокладення комунікацій;

-систему припливно-витяжної вентиляції і повітрообміну зони виділених приміщень доцільно зробити окремою, вона не має бути пов'язана з системою вентиляції інших приміщень установи і мати свою окрему огорожу і викид повітря;

-короби системи вентиляції рекомендується виконувати з неметалічних матеріалів. Зовнішня поверхня коробів вентиляційної системи, важливих приміщень, що виходять з виділеної зони або окремих, повинна передбачати їх обробку звукопоглинальним матеріалом. У місцях виходу коробів вентиляційних систем з виділених приміщень рекомендується встановити м'які віброізолюючі вставки з гнучкого матеріалу, наприклад, брезенту або щільної тканини.

-в приміщеннях, обладнаних системою звукопідсилення, доцільно застосовувати облицювання внутрішніх поверхонь конструкцій, що захищають, звукопоглинальними матеріалами;

-дверні отвори в особливо важливих приміщеннях необхідно обладнати тамбурами;

-декоративні панелі опалювальних батарей повинні зніматися для огляду;

-в особливо важливих кабінетах не рекомендується використання підвісних стель, особливо нерозбірної конструкції.

-для скління особливо важливих приміщень рекомендується застосування сонцезахисних і теплозахисних склопакетів;

-конструкції підлог особливо важливих приміщень доцільно передбачити без плінтусів;

-у виділених приміщеннях не рекомендується застосовувати світильники люмінесцентного освітлення. Світильники з лампами розжарювання слід вибирати на повну мережеву напругу без застосування трансформаторів і випрямлячів.

Розділ технічного проекту по захисту інформації узгоджується з керівником органу по захисту інформації установи.

На другому етапі силами монтажних і будівельних організацій здійснюється виконання заходів по захисту інформації, передбачених технічним проектом. До робіт по монтажу технічних засобів обробки інформації, допоміжних технічних засобів, а також проведення технічних заходів по захисту інформації повинні притягуватися організації, що мають відповідну ліцензію.

Органом по захисту інформації організовується контроль усіх етапів реконструкції об'єкту, а також заходів по захисту інформації.

В період реконструкції об'єкту особлива увага повинна приділятися забезпеченню режиму і охороні об'єкту. До основних рекомендацій на цей період можна віднести наступні:

-при проведенні реконструкції об'єкту має бути організований контроль і облік осіб і транспортних засобів, прибулих робіт, покинули територію, що проводяться;

-рекомендується організувати допуск будівельників на територію і у будівлю по тимчасових пропусках або щоденних списках;

-копії будівельних креслень, особливо поэтажных планів приміщень, схем ліній електроживлення, зв'язку, систем охоронної і пожежної сигналізації і тому подібне мають бути враховані, а їх число - обмежене;

-необхідно забезпечити збереження комплектуючих і будівельних матеріалів на складі під охороною;

-не рекомендується допускати випадків проведення монтажних операцій і обробних робіт, що виконуються поодинокими робітниками, особливо в нічний час;

-на етапі обробних робіт необхідно забезпечити нічну охорону будівлі;

-необхідно забезпечити нічну охорону будівлі;

До деяких заходів по організації контролю в ході реконструкції об'єкту можна віднести:

-перед монтажем необхідно забезпечити потайну перевірку усіх монтованих конструкцій, особливо настановного устаткування, на наявність різного роду міток і відмінностей їх один від одного, а також заставних пристроїв;

-необхідно організувати періодичний огляд зон виділених приміщень у вечірній або в неробочий час за відсутності в нім будівельників з метою виявлення підозрілих ділянок і місць;

-організувати контроль за ходом усіх видів будівельних робіт на території і у будівлі. Основна функція контролю полягає в підтвердженні правильності технології будівельно-монтажних робіт і відповідність їх технічному проекту;

-організувати огляд місць і ділянок конструкцій, які за технологією підлягають закриттю іншими конструкціями. Такий контроль може бути організований легально під легендою необхідності перевірки якості монтажу і матеріалів або потайно;

-необхідно ретельно перевіряти відповідність монтажних схем і кількість дротів, що прокладаються, технічному проекту. Особливу увагу необхідно приділяти етапу введення дротяних комунікацій і кабелів в зону виділених приміщень. Усі резервні дроти, що прокладаються, і кабелі необхідно нанести на план-схему з вказівкою місць їх початку і закінчення.

При проведенні контролю особливу увагу необхідно звертати на наступні моменти:

-неузгоджена із замовником зміна кількісного складу бригад, зміна їх персонального складу, особливо в період тривалих за часом однотипних процесів;

-наявність відхилень від погодженої або стандартної технології будівельно-монтажних робіт;

-недопустимі великі затримки за часом виконання стандартних монтажних операцій;

-несподівана заміна типів будівельних матеріалів і елементів конструкцій;

-зміна схем і порядку монтажу конструкцій;

-проведення робіт в обідній або в неробочий час, особливо вночі;

-психологічні чинники поведінки окремих будівельників в присутність контролюючих і тому подібне.

Перед установкою у виділені приміщення меблі і предмети інтер'єру, технічні пристрої і засоби оргтехніки повинні перевірятися на відсутність заставних пристроїв. Одночасно доцільно провести перевірку технічних засобів на рівні побічних електромагнітних випромінювань. Таку перевірку доцільно проводити в спеціально обладнаному приміщенні або на проміжному складі.

Після обробки рекомендується провести усебічний аналіз будівлі на можливість витоку інформації по акустичних і вібраційних каналах. За результатами вимірів з урахуванням реальної ситуації по режиму охорони мають бути розроблені додаткові рекомендації по посиленню заходів захисту, якщо має місце невиконання вимог по захисту.

Після закінчення реконструкції об'єкту проводиться атестація об'єктів ТСПІ і виділених приміщень за вимогами безпеки. Вона є процедурою офіційного підтвердження ефективності комплексу реалізованих на об'єкті заходів і засобів захисту інформації.

Процес атестації передбачає комплексну перевірку захищеності інформації на об'єкті в реальних умовах експлуатації, в результаті якої за допомогою спеціального документу - атестата відповідності з певною мірою достовірності підтверджується, що об'єкт відповідає вимогам стандартів по безпеці інформації або інших нормативно-технічних документів.

Атестація проводиться органом по атестації в установленому порядку, відповідно до схеми, вибираної цим органом на етапі підготовки до атестації.

В якості рекомендацій по захисту інформації, що проводяться на третьому етапі, можна виділити наступні:

-у будівлі установи доцільно організувати зони обмеженого доступу персоналу в приміщення різної міри важливості;

-особливо важливі приміщення мають бути обладнані засобами охоронної сигналізації і системою розмежування доступу. У разі відсутності системи розмежування доступу необхідно організувати опечатання особливо важливих приміщень або зони виділених приміщень в неробочий час;

-в особливо важливих приміщеннях установи число предметів інтер'єру має бути мінімальним, в них не рекомендується встановлювати сувеніри і предмети інтер'єру нестандартного виконання, масивні металеві частини, що мають в складі;

-закупівля меблів, предметів інтер'єру, засобів оргтехніки, технічних і допоміжних пристроїв повинна здійснюватися без попереднього замовлення і без проміжного складування не на території установи;

-необхідно передбачити у будівлі установи організацію зон доступу відвідувачів і зон обмеженої їх присутності тільки під спостереженням співробітників установи. Не залишати відвідувачів в кабінетах одних без нагляду;

-робота допоміжного персоналу установи або співробітників інших організацій по ремонту, установці устаткування в особливо важливих приміщеннях повинна проходити під контролем співробітника органу по захисту інформації установи або хазяїна кабінету;

-після робочого дня необхідно здійснювати візуальний огляд усіх приміщень установи, у тому числі коридорів, на відсутність в них сторонніх предметів.

-не рекомендується розміщувати (здавати в оренду приміщення) у будівлі сторонні організації. Приміщення, що інакше здаються в оренду, мають бути виділені в окрему зону з дотриманням усіх передбачених заходів захисту, включаючи організацію окремих входів і розв'язку будівельних конструкцій по віброакустичних каналах.

В період експлуатації періодично повинні проводитися спеціальні обстеження і перевірки виділених приміщень і об'єктів ТСПІ.

Спецобстеження будівлі повинне проводитися в усіх службових приміщеннях установи (не лише виділених) співробітниками органу по захисту інформації. Спецобстеження повинне проводитися під легендою для співробітників установи або в їх відсутність (допускається присутність обмеженого кола осіб з числа керівників установи і співробітників служби безпеки).