ГЛАВА 1 МЕТОДИКА АТТЕСТАЦИИ ЗАЩИЩАЕМОГО ПОМЕЩЕНИЯ
1.1 Основные сокращения, термины и определения
КИ – конфиденциальная информация
ЗП – защищаемое помещение
АС – автоматизированная система
ИС – информационная система
КЗ – контролируемая зона
ОИ – объект информатизации
НСД – несанкционированный доступ
ОТСС – основные технические средства и системы
ВТСС – вспомогательные технические средства и системы
НМД – нормативно-методические документы
ФСТЭК – Федеральная служба по техническому и экспортному контролю
ТСПИ – технические средства приема, обработки, хранения и передачи информации
ТСОИ – технические средства обработки информации
АТС – автоматическая телефонная станция
Аттестация объектов информатизации – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации. [1]
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. [5]
Орган по аттестации объектов информатизации – юридическое лицо, выполняющее работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну. [1]
Уполномоченные федеральные органы исполнительной власти – Федеральные органы исполнительной власти, устанавливающие в пределах своих полномочий обязательные требования соответствия безопасности информации, а также порядок сертификации продукции, используемой в целях защиты информации, и аттестации объектов информатизации. [1]
Источник угрозы безопасности информации – субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации. [2]
Требование по защите информации – установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации. [2]
1.2 Защищаемое помещение как объект защиты
ФСТЭК в 2001 году выпустил «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержденные приказом Гостехкомиссии России от 02.03.2001 N 282. В них четко определяется понятие «защищаемых помещений».
Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). [4]
Основным информационным ресурсом в данном случае являются сведения конфиденциального характера, передающиеся по оптическому, акустическому, виброакустическому, электроакустическому, материально-вещественному и ПЭМИН каналу и обрабатывающиеся в автоматизированных системах с помощью различных технических и программных средств.
Источниками информации в пределах защищаемого помещения может оказаться следующий перечень субъектов и объектов:
1) люди;
2) основные технические средства и системы (ОТСС) и вспомогательные технические средства и системы (ВТСС);
3) физические носители информации (документы, флэш-накопители и др.).
При обеспечении защиты информации необходимо также учитывать среду распространения информации. В нашем случае их всего несколько: воздушная и физическая среда, электрическое и электромагнитное поле, а также стекло и инженерные конструкции, передающие вибрации.
Потенциальными рисками и источниками угроз безопасности информации, обрабатываемой в защищаемом помещении, являются:
? НСД и несанкционированные действия в отношении информации в автоматизированной системе, в том числе с использованием информационных сетей общего пользования;
? воздействие на аппаратные или программные средства ИС с целью нарушения конфиденциальности, целостности и доступности информации, работоспособности аппаратного обеспечения, СЗИ с помощью специально реализованных программных средств;
? побочные электромагнитные излучения информационного сигнала от аппаратных средств, которые обрабатывают информацию ограниченного доступа, и линий её передачи;
? наводки информационного сигнала, который обрабатывается аппаратными средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;
? радиоизлучения, модулированные информационным сигналом, которые появляются при работе разнообразных генераторов, входящих в состав аппаратных средств, или при наличии паразитной генерации в узлах (элементах) аппаратных средств;
? радиоизлучения или электрические сигналы от внедренных в аппаратные средства и защищаемые помещения специальных электронных устройств перехвата акустической информации, модулированные информативным сигналом;
? радиоизлучения или электрические сигналы от электронных устройств перехвата информации, которые подключены к каналам связи или ТСОИ;
? прослушивание ведущихся телефонных переговоров;
? просмотр информации с экранов дисплеев и иных средств ее отображения, бумажных и других носителей информации, в том числе с помощью оптических средств;
? хищение аппаратных средств или отдельных носителей информации.
По факту потенциальные риски можно разделить на несколько групп: операционный риск, финансовый риск, репутационный риск и разглашение информации. И все они присутствуют при обеспечении защиты информации, циркулирующей в пределах защищаемого помещения.
1.3. Требования по защите информации, обрабатываемой в защищаемых помещениях
Существует несколько нормативно-методических документов, отражающих требования по защите сведений конфиденциального характера, которые обрабатываются в защищаемом помещении:
1. Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001. ДСП.
2. Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001. ДСП.
3. Временная методика оценки защищенности конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы и их коммуникации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001. ДСП.
4. Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001. ДСП.
5. Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 02.03.2001 N 282. ДСП.
Пометка «ДСП» означает, что документ находится в ограниченном доступе.
Основные требования и рекомендации СТР-К по защите речевой информации, циркулирующей в защищаемом помещении перечислены ниже.
1. Организация должна иметь документированный список защищаемых помещений (ЗП) и лиц, ответственных за их эксплуатацию в соответствии с требованиями, установленными для защиты информации. На защищаемое помещение должен быть составлен технический паспорт. Его форма приведена в одном из приложений СТР-К.
2. Защищаемые помещения должны размещаться в пределах контролируемой зоны с учетом рекомендаций, указанных ниже:
? удаленность защищаемого помещения от границ КЗ;
? ограждающие конструкции ЗП не должны соседствовать с помещениями других организаций;
? защищаемое помещение не следует размещать на первых этажах зданий;
? рекомендуется использовать шторы либо жалюзи на окнах.
3. Рекомендуется использовать сертифицированные по требованиям безопасности информации ОТСС и ВТСС или средства, которые были подвергнуты специальным испытаниям и имеющие предписание на эксплуатацию. Техническое оборудование должно эксплуатироваться в соответствии с эксплуатационной документацией на него.
4. По решению руководителя предприятия в любое время может быть проведена специальная проверка ЗП и установленного в нем оборудования для обнаружения закладных устройств.
5. Запрещается использование радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, портативных магнитофонов и иных средств аудио- и видеозаписи во время мероприятий конфиденциального характера в защищаемом помещении. При установке в ЗП телефона и факса с автоответчиком или устройством громкой связи, а также устройств с автоматическим определителем номера, рекомендуется отключать их от сети во время проведения подобных мероприятий.
6. В качестве оконечных устройств телефонной связи, имеющих непосредственный выход на городскую АТС, следует использовать телефонные аппараты (ТА), прошедшие специальные испытания, либо оборудовать их сертифицированными СЗИ от утечки по электроакустическому каналу.
7. Следует устанавливать в защищаемом помещении цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не входящие в штат сотрудников предприятия. В случае необходимости следует использовать сертифицированные по требованиям безопасности информации цифровые АТС или устанавливать в эти помещения аналоговые аппараты.
8. Ввод системы городского радиовещания на территорию организации следует осуществлять через буферный усилитель, который размещается в пределах КЗ.
При вводе системы городского радиотрансляционного вещания без буферного усилителя в защищаемом помещении рекомендуется использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме приема второй и третьей программы. В режиме приема первой программы (без усиления) их необходимо отключать на время проведения мероприятий конфиденциального характера.
9. В случае установки электрочасовой станции внутри контролируемой зоны использование в защищаемом помещении электровторичных часов возможно без СЗИ. При установке электрочасовой станции вне КЗ в линии электровторичных часов, которые имеют выход за пределы КЗ, следует устанавливать сертифицированные СЗИ.
10. В системах пожарной и охранной сигнализации должна использоваться проводная схема сбора информации и связи с пультом. Системы необходимо размещать в пределах одной контролируемой зоны с ЗП.
В качестве оконченных устройств следует использовать устройства, сертифицированные по требованиям безопасности, или образцы средств, прошедшие специальные испытания.
11. Звукоизоляция ограждающих конструкций ЗП, систем вентиляции и кондиционирования должна гарантировать исключение возможности прослушивания ведущихся в нем переговоров за пределами помещения. Аттестационная комиссия устанавливает достаточный уровень звукоизоляции.
Для обеспечения необходимого уровня звукоизоляции помещений следует оборудовать дверные проемы тамбурами с двойными дверями, устанавливать дополнительные рамы в оконных проемах, уплотнители в дверных и оконных притворах и применение шумопоглотительных материалов на выходах системы вентиляции.
Если предложенные методы не обеспечивают необходимую акустическую защиту, рекомендуется применение организационно-режимных мер, ограничивая на время проведения мероприятий конфиденциального характера доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.
12. Для снижения вероятности перехвата информации по виброакустическому каналу организацио-режимные меры должны исключать возможность установки посторонних устройств на внешней стороне ограждающих конструкций и инженерных коммуникаций (отопление, вентиляция, кондиционирование воздуха), выходящих за рамки КЗ.
Для снижения уровня виброакустического сигнала следует расположенные в ЗП элементы инженерно-технических систем отопления и вентиляции оборудовать звукоизолирующими экранами.
13. Если описанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам не обеспечивают необходимый уровень защиты или нецелесообразны, следует применить метод активного маскирующего зашумления. Для этой цели необходимо применять сертифицированные средства активной защиты.
14. При эксплуатации ЗП важно предусмотреть организационно-режимные меры, которые направленны на предотвращение НСД в помещение:
? двери на периоды между мероприятиями и в нерабочее время запираются на ключ;
? выдача ключей производится лицам, работающим в нем или ответственным за данное помещение;
? установка и замена оборудования, мебели, ремонт производятся исключительно по согласованию и под контролем подразделения по защите информации организации.
По факту требования зависят от конкретного канала утечки информации, который может использовать злоумышленник для перехвата ценных сведений. Однако вне зависимости от канала утечки везде обязательное требование – использование сертифицированных средств защиты информации.
1.4 Анализ процедуры аттестации объекта по требованиям безопасности
Аттестация производится в соответствии с «Положением по аттестации объектов информатизации по требованиям безопасности информации» от 25 ноября 1994 года. Аттестация проводится до начала обработки информации, которая подлежит защите. Это необходимо для официального подтверждения эффективности мер и средств, используемых для защиты этой информации на конкретном ОИ.
Аттестация может быть как обязательной, так и добровольной.
Рисунок 1 – Объекты информатизации, подлежащие обязательной аттестации
В остальных случаях аттестация носит добровольный характер и может осуществляться по желанию заказчика или владельца ОИ.
Аттестация предполагает комплексную проверку объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относятся следующие виды защиты:
? от несанкционированного доступа и компьютерных вирусов;
? от утечек через побочные электромагнитные излучения и наводки;
? от утечек или воздействий на информацию с помощью специальных устройств, встроенных в объект информатизации.
Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с «Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации».
Существует определенная структура аттестации. В нее входят 4 участника, показанных на рис. 2.
Рисунок 2 – Структура системы аттестации
Заявителями могут быть заказчики, владельцы или разработчики аттестуемых ОИ.
В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию.
Деятельность органов по аттестации ОИ по требованиям безопасности информации отражается на рис. 3.
Рисунок 3 – Деятельность органов по аттестации ОИ
В свою очередь, ФСТЭК осуществляет строго определенные функции описанные на рис. 4.
Рисунок 4 – Функции ФСТЭК
Испытательные лаборатории проводят все необходимые испытания несертифицированных изделий, используемых на аттестуемом объекте информатизации.
Для успешного прохождения процедуры аттестации заявителю необходимо провести ряд мероприятий, описанных на рис. 5.
Рисунок 5 – Действия для успешного прохождения аттестации
Для проведения испытаний по аттестации заявитель предоставляет органу по аттестации документы и данные:
1) приемо-сдаточную документацию на ОИ;
2) акты категорирования защищаемых помещений и ОИ;
3) инструкции по эксплуатации СЗИ;
4) технический паспорт на аттестуемый объект;
5) сертификаты соответствия требованиям безопасности информации ТСОИ;
6) сертификаты соответствия требованиям безопасности информации на ВТСС;
7) сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
8) акты на проведенные скрытые работы;
9) протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
10) протоколы измерения величины сопротивления заземления;
11) протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
12) данные по уровню подготовки кадров, обеспечивающих защиту информации;
13) данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
14) нормативную и методическую документацию по защите информации и контролю эффективности защиты;
15) пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
16) перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
17) перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
18) перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
19) перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
20) перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
21) схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
22) технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
23) планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
24) план-схему инженерных коммуникаций всего здания, включая систему вентиляции;
25) план-схему системы заземления объекта с указанием места расположения заземлителя;
26) план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
27) план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
28) план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
29) схемы систем активной защиты (если они предусмотрены).
Рассмотрим теперь саму процедуру проведения аттестации ОИ по требованиям безопасности информации. Она включает в себя следующие действия:
1. Подача и рассмотрение заявки на аттестацию (рис. 6). Заявитель направляет заявку в орган по аттестации, который в течение месяца рассматривает заявку, выбирает схему аттестации и согласовывает ее с заявителем.
Рисунок 6 – Форма заявки на проведение аттестации ОИ [3]
2. Предварительное ознакомление с аттестуемым объектом. Оно производится до начала аттестационных испытаний в том случае, если предоставленных заявителем данных оказывается недостаточно.
3. Испытание в испытательных лабораториях несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.
