Нормативні документи щодо охорони інформації 1 страница

Нормативні документи визначають методологічні основи рішення задач
захисту інформації на об'єктах різного призначення та створення нормативних
та методологічних документів, регламентуючих питання:

- визначення вимог щодо захисту об'єктів від несанкціонованого доступу;

- створення захищених систем та засобів їх захисту від несанкціонованого
доступу;

- оцінка захищеності систем та об'єктів та їх придатності для рішення за-
дач користувача;

До цих документів відносяться:

- ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні
вимоги до організації проектування та проектної документації для буді-
вництва.

- Тимчасові положення про категоріювання об'єктів (ТПКО - 95).

- Тимчасові рекомендації з технічного захисту інформації у засобах обчи-
слювальної техніки, автоматизованих системах і мережах від витоку ка-
налами побічних електромагнітних випромінювань і наводок (TP EOT -
95).

- Тимчасові рекомендації з технічного захисту інформації від витоку ка-
налами побічних електромагнітних випромінювань і наводок (TP ТЗІ -
ПЕМВН - 95).

- НД ТЗІ 1.1-001-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Основні положення.

- НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в
комп'ютерних системах від несанкціонованого доступу.

- НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в
комп'ютерних системах від несанкціонованого доступу.

НД ТЗІ 1.1 - 005 - 07 Захист інформації на об'єктах інформаційної діяль-
ності. Створення комплексу технічного захисту інформації. Основні по-
ложення.

НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації
в автоматизованій системі.

НД ТЗІ 1.4 - 002 - 08 Радіолокатори нелінійні. Класифікація, рекомендо-
вані методи та засоби випробувань.

НД ТЗІ 1.5-001-2000 Радіовиявлювачі. Класифікація. Загальні технічні
вимоги.

НД ТЗІ 1.6-001-96 Правила побудови, викладання, оформлення та по-
значення нормативних документів системи ТЗІ.

НД ТЗІ 1.6 - 002 - 03 Правила побудови, викладення, оформлення та по-
значення нормативних документів системи технічного захисту інформа-
ції.

НД ТЗІ 2.1-001-2001 Створення комплексів технічного захисту інфор-
мації. Атестація комплексів. Основні положення.

НД ТЗІ 2.1 - 002 - 07 Захист інформації на об'єктах інформаційної діяль-
ності. Випробування комплексу технічного захисту інформації, основні
положення.

НД ТЗІ 2.3-001-2001 Радіовиявлювачі вимірювальні. Методи та засоби
випробувань.

НД ТЗІ 2.3-002-2001 Технічний захист мовної інформації в симетричних
абонентських аналогових телефонних лініях. Засоби пасивного прихову-
вання мовної інформації. Нелінійні атенюатори та загороджувальні фі-
льтри. Методика випробування.

НД ТЗІ 2.3-003-2001 Технічний захист мовної інформації в симетричних
абонентських аналогових телефонних лініях. Засоби пасивного прихову-
вання мовної інформації. Генератори спеціальних сигналів. Методика
випробування.

НД ТЗІ 2.3-004-2001 Радіовиявлювачі індикаторні. Методи та засоби
випробувань.

НД ТЗІ 2.3 - 005 - 2001 Радіовиявлювачі напрямлені. Методи та засоби
випробувань.

НД ТЗІ 2.3 - 006 - 2001 Радіовиявлювачі аналізувальні. Методи та засо-
би випробувань.

НД ТЗІ 2.5-001-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Специфікація функціональних
послуг захисту.

НД ТЗІ 2.5-002-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Специфікація гарантій захис-
ту.

НД ТЗІ 2.5-003-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Специфікація довірчих оцінок
корисності реалізації захисту.

НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в
комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандарті
функціональні профілі захищеності оброблюваної інформації від несан-
кціонованого доступу.

НД ТЗІ 2.5-006-99 Класифікатор засобів копіювально-розмножувальної
техніки.

НД ТЗІ 2.7-001-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Порядок проведення робіт.
НД ТЗІ 2.7-002-99 Методичні вказівки використання засобів копіюваль-
но-розмножувальної техніки.

НД ТЗІ 3.1 - 001 - 07 Захист інформації на об'єктах інформаційної дія-
льності. Створення комплексу технічного захисту інформації. Передпро-
ектні роботи.

- НД ТЗІ 3.3 - 001 - 07 Захист інформації на об'єктах інформаційної дія-
льності. Створення технічного захисту інформації. Порядок розроблення
та впровадження заходів із захисту інформації.

- НД ТЗІ 3.6-001-2001 Технічний захист інформації. Комп'ютерні систе-
ми. Порядок створення, впровадження, супроводження та модернізації
засобів технічного захисту інформації.

- НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного за-
вдання на створення комплексної системи захисту інформації в автома-
тизованій системі.

- НД ТЗІ 3.7-002-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Методика оцінки захищеності
інформації (базова).

- НД ТЗІ 4.7-001-2001 Технічний захист мовної інформації в симетричних
абонентських аналогових телефонних лініях. Засоби виявлення наявнос-
ті та віддаленості місця контактного підключення засобів технічної роз-
відки. Рекомендації щодо розроблення методів випробувань.

- НД ТЗІ Р-001-2000 засоби активного захисту мовної інформації з акус-
тичними та віброакустичними джерелами випромінювання. Класифіка-
ція та загальні технічні вимоги. Рекомендації.

Розглянемо більш докладніше наведені документи.

ДБН А.2.2-2-96 був затверджений наказом Держкоммістобудування Украї-
ни №156 від 02.09.96р. Чинні від 01.01.97р. Цим документом встановлюють
вимоги до забезпечення технічного захисту інформації під час організації прое-
ктування будівництва підприємств, будівель та споруд. Призначені для
суб'єктів інвестиційної діяльності України та її представництв за кордоном під
час виконання проектних та будівельних робіт з урахуванням вимог технічного
захисту інформації з обмеженим досту пом.

Цей документ має 7 розділів: загальні положення; завдання на проектуван-
ня заходів ТЗІ; розроблення проектної документації; розроблення проекту ор-

ганізації будівництва; експертиза проектної документації; авторський погляд;
основні функції замовника, проектної і будівельно-монтажної організації.

ТЗІ - це діяльність, що спрямована на своєчасне виявлення і протидію за-
грозам безпеці інформації з обмеженим доступом.

Загрози можуть здійснюватися технічними каналами витоку ІзОД і кана-
лами спеціального виливу на носій ІзОД або засоби забезпечення ТЗІ.

ІзОД може бути отримана за допомогою засобів космічної, повітряної,
морської та наземної розвідок з використовуванням приладів оптичної, оптико-
електронної, радіотехнічної, електронної, лазерної та іншої дії такими техніч-
ними напрямами:

- вібро -, акустичним, лазерно-акустичним;

- радіо -, радіотехнічними;

- побічних електромагнітних випромінювань і наводок;

- оптичні;

- хімічні та іншими.

Спеціальний вплив на носії ІзОД і засоби забезпечення ТЗІ здійснюється
шляхом формування полів, сигналів і програм, що використовуються в техніч-
них засобах забезпечення інформаційної діяльності з метою зниження ефектив-
ності функціонування систем захисту інформації, створення технічних каналів
витоку, порушення цілісності інформації (модифікації, руйнування, знищення).

Вимоги ТЗІ повинні бути викладені в завданні на проектування заходів ТЗІ
і враховуватися в процесі проектування об'єкта, зокрема під час розробки:

- ситуаційного шляху розміщення об'єкта;

- технології виробництва;

- принципових схем виробничих технологічних процесів;

- схеми генерального плану виробничого комплексу;

- архітектурно-будівельних рішень щодо об'єкта;

- принципових рішень з організації систем зв'язку, сигналізації

Тимчасове положення про категоріювання об'єктів (ТПКО-95) затвердже-
но наказом Державної служби з технічного захисту інформації №35 від
10.07.95р. Цей документ поширюється на центральні та місцеві органи держав-
ної виконавчої влади, на підприємства, організації та установи усіх форм влас-
ності, представництва України за кордоном та громадян, які володіють, корис-
туються та розпоряджаються інформацією з обмеженим доступом. Категорію-
ванню підлягають об'єкти, в яких циркулює інформація з обмеженим доступом
(ІзОД).

Згідно цього документа, категоріюванню підлягають об'єкти, в яких обго-
ворюється, формується, пересилається, приймається, перетворюється, оброб-
люється, відображається і зберігається ІзОД.

Категоріювання проводиться з метою висування обгрунтованих заходів
щодо технічного захисту ІзОД, яка циркулює на об'єктах, від витоку каналами
побічних електромагнітних випромінювань і наводок, і також акустичних і віб-
роакустичних полів.

До об'єктів, що підлягають категоріюванню, слід відносити:

- АС і засоби обчислювальної техніки, що діють і проектуються;

- технічні засоби, які призначені для роботи з ІзОД і не відносяться до
АС, за винятком тих, що засновані на криптографічних методах захисту;

- приміщення, призначені для проведення нарад, конфекцій, обговорень
тощо з використанням ІзОД;

- приміщення, в яких розміщені АС, засоби обчислювальної техніки, інші
технічні засоби, призначені для роботи з ІзОД, у тому числі й основані
на криптографічних методах захисту.

Згідно нормативного документа установлюються чотири категорії об'єктів
залежно від правового режиму доступу до інформації, що циркулює в них:

- до першої категорії відносяться об'єкти, в яких циркулює інформація,
що містить відомості, які становлять державну таємницю, для якої вста-
новлено гриф секретності " особливої важливості ";

- до другої категорії відносяться об'єкти, в яких циркулює інформація, що
містить відомості, які становлять державну таємницю, для якої встанов-
лено гриф секретності " цілком таємно ";

- до третьої категорії відносяться об'єкти, в яких циркулює інформація,
що містить відомості, які становлять державну таємницю, для якої вста-
новлено гриф секретності " таємно ", а також інформації, що містить ві-
домості, які становлять іншу передбачену законом таємницю, розголо-
шення якої завдає шкоди особі, суспільству і державі;

- до четвертої категорії відносяться об'єкти, в яких циркулює конфіден-
ційна інформація.

Для проведення робіт з категоріювання об'єктів наказом керівника органі-
зації призначається комісія. У наказі відбивається мета створення, її склад,
об'єкти, що підлягають категоріюванню, строки подання результатів.

Відповідальність за проведення робіт з категоріювання об'єктів несуть їх
керівники.

Комісія з категоріювання визначає:

- вищий гриф секретності інформації, що циркулює на об'єкті;

- підставу для категоріювання.

За результатами роботи комісії складаються акти довільної форми, в яких
наводяться зазначені відомості, раніше встановлена категорія та прийняте рі-
шення про категоріювання.

Акти категоріювання об'єктів є підставою для планування і проведення за-
ходів щодо технічного захисту ІзОД відповідно до вимог чинних нормативно-
методичних документів України.

Дуже важливими документами, які діють в Україні є два документа TP
ТЗІ-ПЕИВН-95 " Тимчасові рекомендації з технічного захисту інформації від
витоку каналами побічних електромагнітних випромінювань та наводок " та TP
ЕОТ-95 " Тимчасові рекомендації з технічного захисту інформації в засобах об-
числювальної техніки, автоматизованих системах і мережах від витоку канала-
ми побічних електромагнітних випромінювань та наводок ".

TP ТЗІ-ПЕИВН-95 став чинним від 1 липня 1995 року. Цей нормативний
документ призначено для організації з обмеженим доступом від витоку канала-
ми побічних електромагнітних випромінювань та наводок.

Він має слідуючи розділи:

- Галузь застосування.

- Нормативні посилання.

- Терміни і визначення.

- Основні положення.

- Короткий опис можливого витоку інформації каналами ПЕМВН.

- Загальні рекомендації з технічного захисту інформації з обмеженим до-
ступом від витоку каналами ПЕМВН.

- Порядок контролю за станом технічного захисту інформації.

Згідно з цим документом технічному захисту підлягає інформація з обме-
женим доступом, носіями якої є поля і сигнали, що утворюються в результаті
роботи технічних засобів пересилання, оброблення, зберігання, відображення
інформації (ТЗПІ), а також допоміжних технічних засобів і систем (ДТЗС).
До технічних засобів ПІ відносяться:

- засоби і системи телефонного, телеграфно-телетайпного, гучномовного,
диспетчерського, службового та інших видів зв'язку;

- засоби і системи звукопідсилення, звукозапису та звуковідтворення;

- пристрої, що утворюють дискретні канали зв'язку;

- апаратура перетворення, оброблення, пересилання і приймання відео ка-
налів, що містять факсимільну інформацію.

ТЗПІ можуть бути як захищеними, так і незахищеними.
До допоміжних технічних засобів і систем відносяться:

- засоби і системи спеціальної охоронної сигналізації, пожежної сигналі-
зації;

- система дзвінкової сигналізації;

- контрольно-вимірювальна апаратура;

- засоби і системи кондиціювання;

- засоби і системи провідної радіотрансляційної мережі та приймання
програм радіомовлення та телебачення;

- засоби і системи годинофікації;

- засоби і системи електроосвітлення та побутового електрообладнання;

- електронна та електрична оргтехніка.

ДТЗС також може бути захищеними і незахищеними.

Елементи ТЗПІ та ДТЗС можуть являти собою зосереджені випадкові ан-
тени (апаратура та її блоки) або розподілені випадкові системи (кабельні лінії
та проводи).

Зазначеними елементами можуть бути:

- кінцеві технічні засоби і прилади;

- кабельні мережі та розводи, що з'єднують пристрої та обладнання;

- комутаційні пристрої;

- елементи заземлення та електроживлення.

Роботи із захисту інформації з обмеженим доступом від витоку каналами
ПЕМВН складаються з організаційних, підготовчих технічних, технічних захо-
дів і контролю за виконанням заходів технічного захисту інформації та за ефек-
тивністю цього захисту.

Організаційні і підготовчі заходи щодо технічного захисту інформації про-
водяться одночасно і є першим етапом робіт, наступним етапом робіт станов-
лять технічні заходи.

Заходи щодо ТЗІ і контролю за його ефективністю можуть виконуватись
організаціями, що мають ліцензію Служби безпеки України та право надання
послуг у галузі ТЗІ.

Перш ніж визначити заходи, які потрібно виконати на етапах технічного
захисту дамо короткий опис можливого витоку інформації каналами ПЕМВН.

При цьому можливі канали витоку інформації утворюються:

- низькочастотними електромагнітними полями, які виникають під час
роботи ТЗПІ та ДТЗС;

- під час впливу на ТЗПІ та ДТЗС електричних , магнітних та акустичних
полів;

- під час виникнення паразитної високочастотної генерації;

- під час проходження інформативних (небезпечних) сигналів у колі елек-
троживлення;

- під час взаємного впливу кіл;

- під час проходження інформативних (небезпечних) сигналів у колі зазе-
млення;

- під час паразитної модуляції високочастотного сигналу;

- в наслідок хибних комутації і несанкціонованих дій.

Джерелами виникнення електромагнітних полів ТЗПІ та ДТЗС можуть бу-
ти неекрановані проводи, розімкнуті контури, елементи контрольно-
вимірювальних приладів, контрольні гнізда на підсилювальних блоках і пуль-
тах, неекрановані кінцеві пристрої, лінійні підсилювачі, трансформатори, дро-
селі, з'єднувальні проводи з великими струмами, роз'єми, гребінки, гучномовці,
кабельні лінії.

Необхідно враховувати, що інформативні (небезпечні) сигнали можуть ви-
никати на елементах технічних засобів, чутливих до впливу:

- електричного поля (неекрановані проводи та елементи технічних засо-
бів);

- магнітного поля (мікрофони, гучномовці, головні телефони, трансфор-
матори, котушки індуктивності, дроселі, електромагнітне реле);

- акустичні поля (мікрофони, гучномовці, головні телефони, трансформа-
тори, котушки індуктивності, дроселі, електромагнітне реле).

За наявності в технічних засобах елементів, здатних перетворювати ці поля
в електричний сигнал, можливий витік інформації незахищеними колами або-
нентських ліній зв'язку, електроживлення, заземлення, керування, сигналізації.

Далі у документі наведені можливі канали витоку інформації через джере-
ла електроживлення, колом заземлення, під час виникнення несправностей в
апаратурі та надходження високочастотних сигналів у нелінійні кола.

Основними параметрами можливого витоку інформації каналами ПЕМВН

є:

- напруженість електричного поля інформаційного (небезпечного) сигна-
лу;

- напруженість магнітного поля інформаційного (небезпечного) сигналу;

- величина звукового тиску;

- величина напруги інформаційного (небезпечного) сигналу;

- величина напруги наведеного інформаційного (небезпечного) сигналу;

- величина напруги шумів (завод);

- величина струму інформаційного (небезпечного) сигналу;

- величина чутливості до впливу магнітних полів для точкового джерела;

- величина чутливості апаратури до впливу електричних полів (власна
ємність апаратури);

- величина чутливості до впливу акустичних полів;

- відношення " інформаційний сигнал/шум ";

- відношення напруги небезпечного сигналу до напруги шумів (завод) у
діапазоні частот інформативного сигналу.

Зазначені параметри визначаються і розраховуються за результатами вимі-
рювань у заданих точках.

Гранично допустимі значення основних параметрів є нормованими вели-
чинами і визначаються за відповідними методиками.

Відношення розрахункових (виміряних) значень основних параметрів до
гранично допустимих (нормованих) значень визначають необхідні умови захи-
сту інформації.

Четвертий розділ "Загальні рекомендації з технічного захисту інформації з
обмеженим доступом від витоку каналами ПЕМВН". У нього входять такі під-
розділи:

- Організаційні заходи.

- Підготовчі технічні заходи.

- Технічні заходи.

Розглянемо більш детальніше кожний з цих підрозділів.
На етапі проведення організаційних заходів потрібно:

- визначити перелік відомостей з обмеженим доступом, що підлягають те-
хнічному захисту;

- обгрунтувати необхідність розроблення і реалізації захисних заходів з
урахуванням матеріальної або іншої шкоди, яка може бути завдана в на-
слідок можливого порушення цілісності ІзОД чи її витоку технічними
каналами;

- установити перелік виділених приміщень;

- визначити перелік технічних засобів, що повинні використовуватись як
ОТЗ;

- визначити технічні засоби, застосування яких не обгрунтовано службо-
вою та виробничою необхідністю та які підлягають демонтажу;

- визначити наявність задіяних і незадіяних комунікацій, які уходять за
межі виділених приміщень;

- визначити системи, що підлягають демонтажу, потребують переоблад-
нання кабельних мереж, кіл живлення, заземлення або установлення в
них захисних приборів.

За результатами обстеження складається акт з переліком виконаних захо-
дів і прикладанням.

Підготовчі технічні заходи вимагають у себе первинні заходи блокування
електроакустичних перетворювачів і ліній зв'язку, які виходять за межі виділе-
них приміщень.

Далі наведені можливі способи блокування ліній зв'язку, каналів можливо-
го витоку ІзОД у системах міського та відомчого телефонного зв'язку та запо-
бігання витоку ІзОД через діючі системи гучномовного диспетчерського та ди-
ректорського зв'язку, через радіотрансляційну мережу та інші.

Технічні заходи з основним етапом робіт з технічного захисту ІзОД і поля-
гають у встановленні ОТЗ, забезпеченні ТЗПІ та ДТЗС пристроями ТЗІ.

Під час вибору, встановлення, заміни технічних засобів слід керуватися
паспортними, технічними описами, інструкціями з експлуатації, рекомендація-
ми з установлення, монтажу та експлуатації.

ОТЗ повинні розміщуватися, по можливості, ближче до центру об'єкта або
в бік найбільшої частини контрольованої території. Складові елементи ОТЗ по-
винні розміщуватися в одному приміщені або суміжних.

Якщо зазначені вимоги не виконувані слід вжити додаткових заходів захи-
сту.

До засобів технічного захисту відносяться:

- фільтри-обмежувачі та спеціальні абонентські пристрої захисту для бло-
кування витоку мовної ІзОД через двопровідні лінії телефонного
зв'язку, системи директорського та диспетчерського зв'язку;

- пристрої захисту абонентських однопрограмних гучномовців для блоку-
вання витоку мовної ІзОД;

- фільтри мереживі, для блокування витоку мовної ІзОД колами електро-
живлення змінного та постійного струму;

- фільтри захисту лінійні, для встановлення в лініях апаратів телеграфно-
го (телекодового) зв'язку;

- генератори лінійного зашумлення;

- генератори просторового зашумлення;

- екрановані камери спеціальної розробки.

Далі у документі наведені рекомендації щодо здійснення заходів захисту, а
вихідні дані для здійснення ТЗІ наведені у додатку 1.

Останній розділ " Порядок контролю за станом технічного захисту інфор-
мації " присвячений процесу проведення спецдосліджень та перевірки ефектив-
ності технічних заходів захисту.

Метою контролю є виявлення можливих технічних каналів витоку інфор-
мативного (небезпечного) сигналу, вироблення заходів, що забезпечують його
приховування, оцінка достатності й ефективності вжитих заходів захисту, опе-
ративний контроль за станом технічного захисту каналів витоку інформативно-
го сигналу.

Технічний канал витоку вважається захищеним, якщо сигнал не перевищує
встановленого нормативною документацією відношення "інформативний сиг-
нал/шум".

Пристрої захисту і захищені технічні засоби вважаються справними, якщо
їх параметри відповідають вимогам експлуатаційних документів.

Контроль слід проводити з урахуванням рекомендацій які наведені в дода-
тку 2.

У ході перевірки визначають визначаються:

- наявність електромагнітного зв'язку між лініями ОТЗ, ТЗПІ та ДТЗС,
між різними видами ТЗПУ та ДТЗС;

- наявність виходів ліній зв'язку, сигналізації, годинофікації, радіотранс-
ляції за межі виділених приміщень;

- наявність незадіяних ТЗПІ, ДТЗС, проводів, кабелів;

- можливість відключення ТЗПІ на період проведення конфіденційних пе-
реговорів або важливих нарад;

- рознесення джерел електромагнітних та акустичних полів на максима-
льно можливу відстань у межах виділених приміщень;

- виконання заземлення апаратури;

- рознесення кабелів електроживлення ОТЗ, ТЗПІ та ДТЗС з метою ви-
ключення наводок небезпечних сигналів;

- виконання рознесення кіл електроживлення екранованим або крученим
кабелем;

- наявність можливості відключення електроживлення ОТЗ під час обез-
струмлення мережі; відхилення параметрів електроживлення від норм,
заданих в ТУ, під час появи несправностей у колах живлення.

У процесі проведення спецдосліджень, перевірки ефективності технічних
заходів захисту підлягають інструментальному контролю ОТЗ і лінії зв'язку.

У ході контролю перевіряються електромагнітні поля інформативних сиг-
налів у широкому діапазоні частот навколо апаратури та кабельних з'єднань

ОТЗ, наявність інформативних (небезпечних) сигналів у колах, проводах елект-
роживлення та заземлення ТЗПІ та ДЗТС.

Під час спецаосліджень визначається радіус, за межами якого відношення
"інформативний сигнал/шум" межує гранично допустимої величини.

У випадку перевищення допустимих значень розробляються захисні захо-
ди, використовуються засоби захисту.

Після проведення спец досліджень, вироблення та впровадження засобів
захисту проводиться контроль за ефективністю застосованих технічних засобів
захисту.

У процесі роботи технічних засобів і захисної техніки, у міру необхідності,
проводиться оперативний контроль за ефективністю захисту каналів витоку ін-
формативного (небезпечного) сигналу.

TP ЕОТ-95 став чинний 01 липня 1995 року. Цей нормативний документ
призначений для організації захисту інформації з обмеженим доступом у засо-
бах обчислювальної техніки, автоматизованих системах і мережах від витоку
каналами побічних ЕМВН.

Цей документ містить у собі такі розділи:

- нормативні посилання;

- терміни і визначення;

- загальні положення;

- короткий опис можливого витоку інформації каналами ПЕМВН;

- організація захисту інформації в АС і ЗОТ від витоку каналами ПЕМНВ;

- рекомендації з технічного захисту інформації в АС і ЗОТ від витоку ка-
налами ПЕМВН.

Технічному захисту підлягає ІзОД, яка обробляється, циркулює, відобра-
жається в автоматизованих системах і засобах обчислювальної техніки (АС і
ЗОТ). Носіями цієї інформації є електричні й електромагнітні поля і сигнали,
що утворюються в результаті роботи засобів оброблення ІзОД або впливу не-
безпечного сигналу на засоби оброблення відкритої інформації, на засоби і
системи життєзабезпечення.

У процесі функціонування засобів обчислювальної техніки в конструктив-
них елементах та кабельних з'єднаннях циркулюють електричні струми інфор-
мативних сигналів, у результаті чого формується електромагнітні поля, рівні
яких можуть бути достатніми для приймання сигналів і здобування інформації
за допомогою спеціальної апаратури.

Канали витоку інформації можуть виникнути внаслідок випромінювання
інформативних сигналів під час роботи ОТЗ і внаслідок наведення цих сигналів
у лініях зв'язку, колах електроживлення і заземлення, інших комунікаціях, що
мають вихід за межі контрольованої території (КТ).

Частоти, на яких можуть випромінюватися (наводитись) інформативні си-
гнали, залежать від типів та видів апаратурних засобів і можуть знаходитись у
діапазоні від сотень Гц до кількох десятків ГГц.

Рівень наводок визначається відстанню між джерелами випромінювання й
апаратурою, що підпадає під вплив цих випромінювань.

Витік інформації колами заземлення може виникнути за наявності розне-
сених точок заземлення інформативних кіл у випадку створення в різних точках
систем заземлення різних потенціалів і виникнення за рахунок цього струмів у
колах заземлення.

Максимально допустиме відношення пікової напруги сигналу до середньо-
квадратичної напруги шуму визначається відповідно до чинних Норм ефектив-
ності ЗІ в автоматизованих системах управління і електронно-обчислювальних
машин.

Роботи з технічного захисту інформації в АС і ЗОТ передбачають:

- категоріювання об'єктів електронно-обчислювальної техніки;

- виключення до технічних завдань на монтаж АС і ЗОТ розділу з ТЗІ;

- монтаж АС і ЗОТ відповідно до рекомендації цього документа;

- обстеження (в тому числі технічний контроль) об'єктів EOT;

- установлення атестованих засобів захисту;

- технічний контроль за ефективністю вжитих заходів.

Документ надає рекомендований алгоритм обстеження та містить такі
процедури:

- аналіз у технічних засобах EOT потоків інформації з обмеженим досту-
пом;

- визначення складу ОТЗ і ДТЗС на об'єкті EOT;

- визначення складу кабельних ліній, що виходять за межі КТ і мають па-
ралельний пробіг з кабелями АС і ЗОТ;

- виявлення комунікацій, що проходять через територію об'єкта EOT і
мають вихід за межі КТ;

- інструментальне вимірювання інформативних побічних електромагніт-
них випромінювань та наводок;

- оцінку відповідності рівнів сигналів і параметрів полів, які є носіями
ІзОД, нормам ефективності захисту.

Навколо ОТЗ повинна забезпечуватися контрольована території, за межа-
ми якої відношення "інформативний сигнал/шум" не перевищує Норм. З цією
метою ОТЗ рекомендується розташовувати у внутрішніх приміщеннях об'єкта,
бажано, на нижніх поверхах.

У випадку неможливості забезпечення цієї умови необхідно:

- замінити ОТЗ на захищені;

Наши рекомендации