Захист від витоків по технічним каналам.

До інформації, що захищається, відноситься інформація, що є предметом власності і підлягає захисту відповідно до вимог правових документів або вимог, що встановлюються власником інформації. Це, як правило, інформація обмеженого доступу, що містить відомості, віднесені до державної таємниці, а також відомості конфіденційного характеру.

Вимоги і рекомендації нормативних документів поширюються на захист державних інформаційних ресурсів. При проведенні робіт по захисту недержавних інформаційних ресурсів, що становлять комерційну таємницю, банківську таємницю і так далі, вимоги нормативних документів носять рекомендаційний характер.

Режим захисту інформації обмеженого доступу, що не містить відомостей, що становлять державну таємницю(далі - конфіденційній інформації), встановлюється власником інформаційних ресурсів або уповноваженою особою відповідно до законодавства Російської Федерації.

Надалі розглянемо методичні рекомендації по організації захисту конфіденційної інформації, власником якої є недержавні підприємства(організації, фірми).

Заходи по захисту конфіденційної інформації від витоку по технічних каналах(далі - технічному захисту інформації) є складовою частиною діяльності підприємств і здійснюються у взаємозв'язку з з іншими заходами по забезпеченню їх інформаційної безпеки.

Захист конфіденційної інформації від витоку по технічних каналах повинен здійснюватися за допомогою виконання комплексу організаційних і технічних заходів, що становлять систему технічного захисту інформації на об'єкті(СТЗІ), що захищається, і має бути диференційованої залежно від встановленої категорії об'єкту інформатизації або виділеного(що захищається) приміщення(далі - об'єкту захисту).

Організаційні заходи по захисту інформації від витоку по технічних каналах в основному грунтуються на обліку ряду рекомендацій при виборі приміщень для установки технічних засобів обробки конфіденційної інформації(ТЗОІ) і ведення конфіденційних переговорів, введенні обмежень на використовувані ТЗОІ, допоміжні технічні засоби і системи (ДТЗС) і їх розміщення, а також введенні певного режиму доступу співробітників підприємства(організації, фірми) на об'єкти інформатизації і у виділені приміщення.

Технічні заходи по захисту інформації від витоку по технічних каналах грунтуються на застосуванні технічних засобів захисту і реалізації спеціальних проектних і конструкторських рішень.

Технічний захист інформації здійснюється підрозділами по захисту інформації(службами безпеки) або окремими фахівцями, що призначаються керівниками організацій для проведення таких робіт.

Перелік необхідних заходів захисту інформації визначається за результатами спеціального обстеження об'єкту захисту, сертифікаційних випробувань і спеціальних досліджень технічних засобів, призначених для обробки конфіденційної інформації.

Рівень технічного захисту інформації повинен відповідати співвідношенню витрат на організацію захисту інформації і величини збитку, який може бути нанесений власникові інформаційних ресурсів.

Відповідальність за забезпечення вимог по технічному захисту інформації покладається на керівників організацій, що експлуатують об'єкти, що захищаються.

В цілях своєчасного виявлення і відвертання просочування інформації по технічних каналах повинен здійснюватися контроль стану і ефективності захисту інформації. Контроль полягає в перевірці по діючих методиках виконання вимог нормативних документів по захисту інформації, а також в оцінці обгрунтованості і ефективності прийнятих заходів. Захист інформації вважається ефективним, якщо вжиті заходи відповідають встановленим вимогам і нормам. Організація робіт по захисту інформації покладається на керівників підрозділів, що експлуатують об'єкти, що захищаються, а контроль за забезпеченням захисту інформації - на керівників підрозділів по захисту інформації(служб безпеки).

Установка технічних засобів обробки конфіденційної інформації, а також засобів захисту інформації повинна виконуватися відповідно до технічного проекту або технічного рішення. Розробка технічних рішень і технічних проектів на установку і монтаж ТЗОІ, а також засобів захисту інформації робиться підрозділами по захисту інформації(службами безпеки підприємств) або проектними організаціями, що мають ліцензію на підставі технічних завдань на проектування, що видаються замовниками.

Технічні рішення по захисту інформації від витоку по технічних каналах є складовою частиною технологічних, планувальних, архітектурних і конструктивних рішень і складають основу системи технічного захисту конфіденційної інформації.

Безпосередню організацію робіт із створення СТЗІ здійснює посадовець, що забезпечує науково-технічне керівництво проектуванням об'єкту захисту.

Розробка і впровадження СТЗІ може здійснюватися як силами підприємств(організацій, фірм), так і іншими спеціалізованими організаціями, що мають ліцензії на відповідний вид діяльності.

У разі розробки СТЗІ або її окремих компонентів спеціалізованими організаціями в організації - замовнику визначаються підрозділи або окремі фахівці, відповідальні за організацію і проведення заходів по захисту інформації, які повинні здійснювати методичне керівництво і брати участь в спеціальному обстеженні об'єктів, що захищаються, аналітичному обгрунтуванні необхідності створення СТЗІ узгодженні вибору ТЗОІ, технічних і програмних засобів захисту, розробці технічного завдання на створення СТЗИ, організації робіт по впровадженню СТЗІ і атестації об'єктів захисту.

Порядок організації на підприємстві робіт із створення і експлуатації об'єктів інформатизації і виділених(що захищаються) приміщень визначається в спеціальному "Положенні про порядок організації і проведення на підприємстві робіт по захисту інформації від її витоку по технічних каналах" з урахуванням конкретних умов, яке повинне визначати:

- порядок визначення інформації, що захищається;

- порядок залучення підрозділів організації, спеціалізованих сторонніх організацій до розробки і експлуатації об'єктів інформатизації і СТЗІ, їх завдання і функції на різних стадіях створення і експлуатації об'єкту, що захищається;

- порядок взаємодії усіх зайнятих в цій роботі організацій, підрозділів і фахівців;

- порядок розробки, введення в дію і і експлуатацію об'єктів, що захищаються;

- відповідальність посадовців за своєчасність і якість формування вимог по захисту інформації, за якість і науково-технічний рівень розробки СТЗІ.

На підприємстві(установі, фірмі) має бути документально оформлений перелік відомостей, що підлягають захисту відповідно до нормативних правових актів, а також розроблена відповідна дозвільна система доступу персоналу до такого роду відомостям.

При організації робіт по захисту витоку по технічних каналах інформації на об'єкті, що захищається, можна виділити три етапи:

- перший етап(підготовчий, передпроектний);

- другий етап(проектування СТЗІ);

- третій етап(етап введення в експлуатацію об'єкту, що захищається, і системи технічного захисту інформації).

Підготовчий етап створення системи технічного захисту інформації

На першому етапі здійснюється підготовка до створення системи технічного захисту інформації на об'єктах, що захищаються, в процесі якій проводиться спеціальне обстеження об'єктів, що захищаються, розробляється аналітичне обгрунтування необхідності створення СТЗІ і технічне(частка технічна) завдання на її створення.

При проведенні спеціального обстеження об'єктів, що захищаються, із залученням відповідних фахівців проводиться оцінка потенційних технічних каналів просочування інформації.

Для аналізу можливих технічних каналів витоку на об'єкті вивчаються:

- план(у масштабі) прилеглої до будівлі місцевості в радіусі до 150 - 300 м з вказівкою(по можливості) приналежності будівель і межі контрольованої зони;

- поэтажные плани будівлі з вказівкою усіх приміщень і характеристиками їх стін, перекриттів, матеріалів обробки, типів дверей і вікон;

- план-схема інженерних комунікацій усієї будівлі, включаючи систему вентиляції;

- план-схема системи заземлення об'єкту з вказівкою місця розташування заземлителя;

- план-схема системи електроживлення будівлі з вказівкою місця розташування розділового трансформатора(підстанції), усіх щитів і розлучних коробок;

- план-схема прокладення телефонних ліній зв'язку з вказівкою місць розташування розподільних коробок і установки телефонних апаратів;

- план-схема систем охоронної і пожежної сигналізації з вказівкою місць установки і типів датчиків, а також розподільних коробок.

Встановлюється: коли був побудований об'єкт(будівля), які організації притягувалися для будівництва, які організації в нім раніше розташовувалися.

При аналізі умов розташування об'єкту визначаються межа контрольованої зони, місця стоянки автомашин, а також будівлі, що знаходяться в прямій видимості з вікон приміщень, що захищаються, за межами контрольованої зони. Визначаються(по можливості) приналежність цих будівель і режим доступу в них.

Шляхом візуального спостереження або фотографування з вікон приміщень, що захищаються, встановлюються вікна довколишніх будівель, а також місця стоянки автомашин, що знаходяться в прямій видимості. Проводиться оцінка можливості ведення з них розвідки з використанням спрямованих мікрофонів і лазерних акустичних систем розвідки, а також засобів візуального спостереження і зйомки.

Встановлюється місцерозташування трансформаторної підстанції, електрощитової, розподільних щитів. Визначаються будівлі і приміщення, що знаходяться за межами контрольованої зони, які живляться від тієї ж низьковольтної шини трансформаторної підстанції, що і об'єкти, що захищаються. Вимірюється довжина ліній електроживлення від об'єктів, що захищаються, до можливих місць підключення засобів перехоплення інформації(розподільних щитів, приміщень і тому подібне), що знаходяться за межами контрольованої зони. Проводиться оцінка можливості прийому інформації, що передається мережевими закладками(при їх установці в приміщеннях, що захищаються), за межами контрольованої зони.

Визначаються приміщення, що суміжні з тими, що захищаються і знаходяться за межами контрольованої зони. Встановлюються їх приналежність і режим доступу в них. Визначається можливість доступу із зовнішнього боку до вікон приміщень, що захищаються. Проводиться оцінка можливості просочування мовної інформації з приміщень, що захищаються, по акустовибрационным каналах.

Визначаються сполучні лінії допоміжних технічних засобів і систем(лінії телефонного зв'язку, сповіщення, систем охоронної і пожежної сигналізації, часофикации і тому подібне), що виходять за межі контрольованої зони, місця розташування їх розподільних коробок. Вимірюється довжина ліній від об'єктів, що захищаються, до місць можливого підключення засобів перехоплення інформації за межами контрольованої зони. Проводиться оцінка можливості просочування мовної інформації з приміщень, що захищаються, по акустоэлектрическим каналах.

Визначаються інженерні комунікації і сторонні провідники, що виходять за межі контрольованої зони, вимірюється їх довжина від об'єктів, що захищаються, до місць можливого підключення засобів перехоплення інформації.

Встановлюється місцерозташування заземлителя, до якого підключений контур заземлення об'єкту, що захищається. Визначаються приміщення, розташовані за межами контрольованої зони, які підключені до того ж заземлителю.

Визначаються місця установки на об'єктах інформатизації ТЗОІ і прокладення їх сполучних ліній.

Проводиться оцінка можливості перехоплення інформації, оброблюваною ТЗОІ, спеціальними технічними засобами по електромагнітних і електричних каналах просочування інформації.

У сучасних умовах доцільно провести технічний контроль за оцінкою реальних екрануючих властивостей конструкцій будівлі звуко- і віброізоляції приміщень в цілях обліку їх результатів при виробленні заходів захисту ТЗОІ і виділених приміщень.

Передпроектне обстеження може бути доручене спеціалізованій організації, що має відповідну ліцензію, але і в цьому випадку аналіз інформаційного забезпечення в частині інформації, що захищається, доцільно виконувати представникам організації - замовника при методичній допомозі спеціалізованій організації.

Ознайомлення фахівців цієї організації з відомостями, що захищаються, здійснюється у встановленому в організації - замовнику порядку.

Після проведення передпроектного спеціального обстеження об'єкту, що захищається, групою(комісією), призначеною керівником підприємства(організації, фірми), проводиться аналітичне обгрунтування необхідності створення СТЗІ, в процесі якого:

- визначається перелік відомостей, що підлягають захисту(перелік відомостей конфіденційного характеру затверджується керівником організації);

- проводиться категорирование відомостей конфіденційного характеру, що підлягають захисту;

- визначається перелік осіб, допущених до відомостей конфіденційного характеру, що підлягають захисту;

- визначається міра участі персоналу в обробці(обговоренні, передачі, зберіганні і тому подібне) інформації, характер їх взаємодії між собою і із службою безпеки;

- розробляється матриця допуску персоналу до відомостей конфіденційного характеру, що підлягають захисту;

- визначається(уточнюється) модель вірогідного супротивника(зловмисника, порушника);

- проводяться класифікація і категорирование об'єктів інформатизації і виділених приміщень;

- проводиться обгрунтування необхідності залучення спеціалізованих організацій, що мають необхідні ліцензії на право проведення робіт по захисту інформації, для проектування і впровадження СТЗІ;

- проводиться оцінка матеріальних, трудових і фінансових витрат на розробку і впровадження СТЗІ;

- визначаються орієнтовні терміни розробки і впровадження СТЗІ.

Основною ознакою конфіденційної інформації є її цінність для потенційного супротивника(конкурентів). Тому, визначаючи перелік відомостей конфіденційного характеру, їх володар повинен визначити цю цінність надмірно збитку, який може бути нанесений підприємству при їх витоку(розголошуванні). Залежно від величини збитку(чи негативних наслідків), який може бути нанесений при витоку(розголошуванні) інформації, вводяться наступні категорії важливості інформації:

- 1 категорія - інформація, витік якої може привести до втрати економічної або фінансової самостійності підприємства або втрати її репутації(втрати довіри споживачів, суміжників, постачальників і тому подібне);

- 2 категорія - інформація, витік якої може привести до істотного економічного збитку або зниження її репутації;

- 3 категорія - інформація, витік розголошування якої може завдати економічного збитку підприємству.

З точки зору поширення інформації її можна розділити на дві групи:

- перша група(1) - конфіденційна інформація, яка циркулює тільки на підприємстві і не призначена для передачі іншій стороні;

- друга група(2) - конфіденційна інформація, яка передбачається до передачі іншій стороні або отримувана від іншої сторони. Введення категорій конфіденційності інформації потрібне для визначення об'єму і змісту комплексу заходів по її захисту.

При встановленні режиму доступу до конфіденційної інформації необхідно керуватися принципом - чим більше збитку від розголошування інформації, тим менше кола осіб, які до неї допущені.

Режими доступу до конфіденційної інформації мають бути пов'язані з посадовими обов'язками співробітників.

В цілях обмеження кола осіб, допущених до відомостей, що становлять комерційну таємницю, доцільне введення наступних режимів доступу до неї:

- режим 1 - забезпечує доступ до усього переліку відомостей конфіденційного характеру. Встановлюється керівному складу підприємства;

- режим 2 - забезпечує доступ до відомостей при виконанні конкретних видів діяльності(фінансова, виробнича, кадри, безпека і тому подібне). Встановлюється для керівного складу відділів і служб;

- режим 3 - забезпечує доступ до певного переліку відомостей при виконанні конкретних видів діяльності. Встановлюється для співробітників - фахівців конкретного відділу(служби) відповідно до посадових обов'язків.

Таким чином, після складання переліку відомостей конфіденційного характеру необхідно встановити рівень їх конфіденційності, а також режим доступу до них співробітників.

Розмежування доступу співробітників підприємства(фірми) до відомостей конфіденційного характеру доцільно здійснювати або по рівнях(кільцям) конфіденційності відповідно до режимів доступу, або по так званих матрицях повноважень, в яких в рядках перераховані посаді співробітників підприємства(фірми), а стовпцях, - відомості, включені в перелік відомостей, що становлять комерційну таємницю. Елементи матриці містять інформацію про рівень повноважень відповідних посадовців(наприклад, "+" - д

Далі визначається(уточнюється) модель вірогідного супротивника (зловмисника, порушника), яка включає визначення рівня оснащення супротивника, зацікавленого в отриманні інформації, і його можливостей по використанню тих або інших технічних засобів розвідки для перехоплення інформації.

Залежно від фінансового забезпечення, а також можливостей доступу до тих або інших засобів розвідки, супротивник має різні можливості по перехопленню інформації. Наприклад, засоби розвідки побічних електромагнітних випромінювань і наведень, електронні облаштування перехоплення інформації, що впроваджуються в технічні засоби, лазерні акустичні системи розвідки можуть використати, як правило, розвідувальні і спеціальні служби держав.

Для забезпечення диференційованого підходу до організації захисту інформації від витоку по технічних каналах об'єкти, що захищаються, мають бути віднесені до відповідних категорій і класів.

Класифікація об'єктів проводиться по завданнях технічного захисту інформації і встановлює вимоги до об'єму і характеру комплексу заходів, спрямованих на захист конфіденційної інформації від витоку по технічних каналах в процесі експлуатації об'єкту, що захищається.

Об'єкти, що захищаються, доцільно розділити на два класи захисту.

До класу захисту А відносяться об'єкти, на яких здійснюється повне приховання інформаційних сигналів, які виникають при обробці інформації або веденні переговорів(приховання факту обробки конфіденційної інформації на об'єкті).

До класу захисту б відносяться об'єкти, на яких здійснюється приховання параметрів інформаційних сигналів, що виникають при обробці інформації або веденні переговорів, по яких можливе відновлення конфіденційної інформації(приховання інформації, що обробляється на об'єкті).

При встановленні категорії об'єкту, що захищається, враховуються клас його захисту, а також фінансові можливості підприємства по закриттю потенційних технічних каналів просочування інформації. Об'єкти, що захищаються, доцільно розділити на три категорії.

Категорирование об'єктів інформатизації і виділених приміщень, що захищаються, проводиться комісіями, призначеними керівниками підприємств, у веденні яких вони знаходяться. До складу комісій, як правило, включаються представники підрозділів, відповідальних за забезпечення безпеки інформації, і представники підрозділів, що експлуатують об'єкти, що захищаються.

Категорирование об'єктів, що захищаються, проводиться в наступному порядку:

- визначаються об'єкти інформатизації і виділені приміщення, що підлягають захисту;

- визначається рівень конфіденційності інформації, оброблюваною ТСОІ або обговорюваною у виділеному приміщенні, і робиться оцінка вартості збитку, який може бути нанесений підприємству(організації, фірмі) внаслідок її витоки;

- для кожного об'єкту захисту встановлюється клас захисту(А або Б) і визначаються потенційні технічні канали просочування інформації і спеціальні технічні засоби, які можуть використовуватися для перехоплення інформації;

- визначається раціональний склад засобів захисту, а також розробляються організаційні заходи по закриттю конкретного технічного каналу просочування інформації для кожного об'єкту захисту;

- для інформації, віднесеної до конфіденційної і наданої іншою стороною, визначається достатність заходів, прийнятих по її захисту(заходи або норми по захисту інформації визначаються відповідним договором);

- проводиться оцінка вартості заходів(організаційних і технічних) по закриттю конкретного технічного каналу просочування інформації для кожного об'єкту захисту;

- з урахуванням оцінки можливостей вірогідного супротивника(конкурента, зловмисника) по використанню для перехоплення інформації тих або інших технічних засобів розвідкиа також з урахуванням вартості закриття кожного каналу просочування інформації і вартості збитку, який може бути нанесений підприємству внаслідок її витоку, визначається доцільність закриття тих або інших технічних каналів просочування інформації;

- після ухвалення рішення про те, які технічні канали просочування інформації необхідно закривати, встановлюється категорія об'єкту інформатизації або виділеного приміщення.

Результати роботи комісії оформляються актом, який затверджується посадовцем, що призначив комісію.

Після встановлення категорії об'єкту захисту оцінюються можливості по створенню і впровадженню СТЗІ силами підприємства(організації, фірми) або проводиться обгрунтування необхідності залучення спеціалізованих організацій, що мають необхідні ліцензії на право проведення робіт по захисту інформації, для проектування і впровадження СТЗІ. Проводиться оцінка матеріальних, трудових і фінансових витрат на розробку і впровадження СТЗІ, визначаються орієнтовні терміни розробки і впровадження СТЗІ.

Результати аналітичного обгрунтування необхідності створення СТЗІ оформляються пояснювальною запискою, яка повинна містити:

- перелік відомостей конфіденційного характеру з вказівкою їх рівня конфіденційності;

- перелік співробітників підприємства, допущених до конфіденційної інформації, з вказівкою їх режиму доступу, а при необхідності і матриці доступу;

- інформаційну характеристику і організаційну структуру об'єктів захисту;

- перелік об'єктів інформатизації що підлягають захисту, з вказівкою їх категорій;

- перелік виділених приміщень, що підлягають захисту, з вказівкою їх категорій;

- перелік і характеристику технічних засобів обробки конфіденційної інформації з вказівкою їх місця установки;

- перелік і характеристику допоміжних технічних засобів і систем з вказівкою їх місця установки;

- передбачуваний рівень оснащення вірогідного супротивника(конкурента, зловмисника);

- технічні канали просочування інформації, що підлягають закриттю(усуненню);

- організаційні заходи по закриттю технічних каналів просочування інформації;

- перелік і характеристику пропонованих до використання технічних засобів захисту інформації з вказівкою їх місця установки;

- методи і порядок контролю ефективності захисту інформації;

- обгрунтування необхідності залучення спеціалізованих організацій, що мають необхідні ліцензії на право проведення робіт по захисту інформації, для проектування;

- оцінку матеріальних трудових і фінансових витрат на розробку і впровадження СТЗІ;

- орієнтовні терміни розробки і впровадження СТЗІ;

- перелік заходів по забезпеченню конфіденційності інформації на стадії проектування СТЗІ.

Пояснювальна записка підписується керівником групи(комісії), що проводила аналітичне обгрунтування, узгоджується з керівником служби безпеки і затверджується керівником підприємства.

На основі аналітичного обгрунтування і чинних нормативно-методичних документів по захисту інформації від витоку по технічних каналах, з урахуванням встановленого класу і категорії об'єкту, що захищається, задаються конкретні вимоги по захисту інформації, що включаються в технічне(частка технічна) завдання на розробку СТЗІ.

Технічне завдання(ТЗ) на розробку СТЗІ повинне містити:

- обгрунтування розробки;

- початкові дані об'єкту захисту в технічному, програмному, інформаційному і організаційному аспектах;

- посилання на нормативно-методичні документи, з урахуванням яких розроблятиметься і прийматиметься в експлуатацію СТЗІ;

- конкретні вимоги до СТЗІ;

- перелік передбачуваних до використання технічних засобів захисту інформації;

- склад, зміст і терміни проведення робіт по етапах розробки і впровадження;

- перелік підрядних організацій - виконавців різних видів робіт;

- перелік науково-технічної продукції, що пред'являється замовникові, і документації.

Технічне завдання на проектування СТЗІ об'єкту, що захищається, оформляється окремим документом, узгоджується з проектною організацією, службою(фахівцем) безпеки організації-замовника в частині достатності заходів по технічному захисту інформації і затверджується замовником.

Стадія проектування системи технічного захисту інформації

Для розробки технічного проекту на створення системи технічного захисту інформації повинні притягуватися організації, що мають ліцензію.

Технічний проект СТЗІ повинен містити:

- титульний аркуш;

- пояснювальну записку, що містить інформаційну характеристику і організаційну структуру об'єкту захисту, відомості про організаційні і технічні заходи по захисту інформації від витоку по технічних каналах;

- перелік об'єктів інформатизації, що підлягають захисту, з вказівкою місць їх розташування і встановленої категорії захисту;

- перелік виділених приміщень, що підлягають захисту, з вказівкою місць їх розташування і встановленої категорії захисту;

- перелік встановлюваних ТЗОІ з вказівкою наявності сертифікату(приписи на експлуатацію) і місць їх установки;

- перелік встановлюваних ВТСС з вказівкою наявності сертифікату і місць їх установки;

- перелік встановлюваних технічних засобів захисту інформації з вказівкою наявності сертифікату і місць їх установки;

- схему(у масштабі) з вказівкою плану будівлі, в якій розташовані об'єкти, що захищаються, меж контрольованої зони, трансформаторної підстанції, що заземляєтрас прокладення інженерних комунікацій, ліній електроживлення, зв'язку, пожежної і охоронної сигналізації, місць установки розділових пристроїв і тому подібне;

- технологічні поэтажные плани будівлі(у масштабі) з вказівкою місць розташування об'єктів інформатизації і виділених приміщень, характеристик їх стін, перекриттів, матеріалів обробки, типів дверей і вікон;

- плани об'єктів інформатизації(у масштабі) з вказівкою місць установки ТЗОІ, ВТСС і прокладення їх сполучних ліній, а також трас прокладення інженерних комунікацій і сторонніх провідників;

- план-схему інженерних комунікацій усієї будівлі, включаючи систему вентиляції;

- план-схему системи заземлення об'єкту, з вказівкою місця розташування заземлителя;

- план-схему системи електроживлення будівлі з вказівкою місця розташування розділового трансформатора(підстанції), усіх щитів і розлучних коробок;

- план-схему прокладення телефонних ліній зв'язку з вказівкою місць розташування розподільних коробок і установки телефонних апаратів;

- план-схему систем охоронної і пожежної сигналізації з вказівкою місць установки і типів датчиків, а також розподільних коробок;

- схеми систем активного захисту(якщо вони передбачені технічними завданням на проектування);

- інструкції і керівництва по експлуатації технічних засобів захисту для користувачів і відповідальних за забезпечення безпеки інформації на об'єкті інформатизації.

Технічний проект, робочі креслення, кошторис і інша проектна документація мають бути враховані в установленому порядку.

Технічний проект узгоджується із службою(фахівцем) безпеки замовника, органу по захисту інформації проектної організації, представниками підрядних організацій - виконавців видів робіт і затверджується керівником проектної організації.

При розробці технічного проекту необхідно враховувати наступні рекомендації:

- у виділених приміщеннях необхідно встановлювати сертифіковані технічні засоби обробки інформації і допоміжні технічні засоби;

- для розміщення ТЗОІ доцільно вибирати підвальні і напівпідвальні приміщення(вони мають екрануючі властивості);

- кабінети керівників організації, а також особливо важливі виділені приміщення рекомендується розташовувати на верхніх поверхах(за винятком останнього) з боку, менш небезпечної з точки зору ведення розвідки;

- необхідно передбачити підведення усіх комунікацій(водопостачання, опалювання, каналізація, телефонія, електромережа і так далі) до будівлі в одному місці. Введення комунікацій у будівлю доцільно відразу ввести в щитове приміщення і забезпечити закриття його входу і установку сигналізації або охорони;

- у випадку якщо розділовий трансформатор(трансформаторна підстанція), від якої здійснюється електроживлення технічних засобів, що захищаються, і виділених приміщень, розташований за межами контрольованої зони, необхідно передбачити відключення від низьковольтних шин підстанції, від яких здійснюється живлення об'єктів, що захищаються, споживачів, що знаходяться за контрольованою зоною;

електросилові кабелі рекомендується прокладати від загального силового щита за принципом вертикальної розводки на поверхи з горизонтальною поэтажной розводкою і з установкою на кожному поверсі свого силового щитка. Аналогічним чином повинні прокладатися сполучні кабелі допоміжних технічних засобів, у тому числі кабелі систем зв'язку;

- число введень комунікацій в зону приміщень, що захищаються, має бути мінімальним і відповідати числу комунікацій. Незадіяні сторонні провідники, що проходять через приміщення, що захищаються, а також кабелі(лінії) незадіяних допоміжних технічних засобів мають бути демонтовані;

- прокладення інформаційних ланцюгів, а також ланцюгів живлення і заземлення технічних засобів, що захищаються, повинна плануватися так, щоб був виключений або зменшений до допустимих меж їх паралельний пробіг з різними сторонніми провідниками, що мають вихід за межі контрольованої зони;

- для заземлення технічних засобів(у тому числі допоміжних), встановлених у виділених приміщеннях, необхідно передбачити окремий власний контур заземлення, розташований в межах контрольованої зони. Якщо це неможливо, необхідно передбачити лінійне зашумление системи заземлення об'єкту;

- необхідно виключити виходи сторонніх провідників(різних трубопроводів, повітропроводів, металоконструкцій будівлі і тому подібне), в яких є присутніми наведені інформативні сигнали, за межі контрольованої зони. Якщо це неможливо, необхідно передбачити лінійне зашумление сторонніх провідників;

- прокладення трубопроводів і комунікацій горизонтальної розводки рекомендується здійснювати відкритим способом або за фальшпанелями, що допускають їх демонтаж і огляд;

- у місцях виходу трубопроводів технічних комунікацій за межі виділених приміщень рекомендується встановлювати гнучкі віброізолюючі вставки із заповненням простору між ними і будівельною конструкцією розчином на усю товщину конструкції. У разі неможливості установки вставок знадобиться устаткування трубопроводів системою вібраційного зашумления;

- необхідно передбачати прокладення вертикальних стояків комунікацій різного призначення поза межами зони виділених приміщень;

- конструкції виділених приміщень, що захищають, суміжні з іншими приміщеннями організації, не повинні мати отворів, ніш, а також наскрізних каналів для прокладення комунікацій;

- систему припливно-витяжної вентиляції і повітрообміну зони виділених приміщень доцільно зробити окремою, вона не має бути пов'язана з системою вентиляції інших приміщень організації і мати свою окрему огорожу і викид повітря;

- короби системи вентиляції рекомендується виконувати з неметалічних матеріалів. Зовнішня поверхня коробів вентиляційної системи, що виходять з виділеної зони або окремих важливих приміщень, повинна передбачати їх обробку звукопоглинальним матеріалом. У місцях виходу коробів вентиляційних систем з виділених приміщень рекомендується встановити м'які віброізолюючі вставки з гнучкого матеріалу, наприклад брезенту або щільної тканини. Виходи вентиляційних каналів за межами зони виділених приміщень мають бути закриті металевою сіткою;

- у приміщеннях, обладнаних системою звукопідсилення, доцільно застосовувати облицювання внутрішніх поверхонь конструкцій, що захищають, звукопоглинальними матеріалами;

- дверні отвори в особливо важливих приміщеннях необхідно обладнати тамбурами;

- декоративні панелі опалювальних батарей мають бути знімними для огляду;

- у особливо важливих виділених приміщеннях не рекомендується використання підвісних стель, особливо нерозбірної конструкції;

- для скління особливо важливих виділених приміщень рекомендується застосування сонцезахисних і теплозахисних склопакетів;

- підлоги особливо важливих виділених приміщеньдоцільно робити без плінтусів;

- у виділених приміщеннях не рекомендується застосовувати світильники люмінесцентного освітлення. Світильники з лампами розжарювання слід вибирати на повну мережеву напругу без застосування трансформаторів і випрямлячів.

Введення в експлуатацію системи технічного захисту інформації

На третьому етапі силами монтажних і будівельних організацій здійснюється виконання заходів по захисту інформації, передбачених технічним проектом. До робіт по монтажу технічних засобів обробки інформації, допоміжних технічних засобів, а також проведення технічних заходів по захисту інформації повинні притягуватися організації, що мають ліцензію.

Монтажною організацією або замовником проводяться закупівля сертифікованих ТЗОІ і спеціальна перевірка несертифікованих ТЗОІ на предмет виявлення можливо впроваджених в них електронних облаштувань перехоплення інформації("закладок") і їх спеціальні дослідження.

За результатами спеціальних досліджень ТЗОІ уточнюються заходи по захисту інформації. У разі потреби вносяться відповідні зміни в технічний проект, які узгоджуються з проектною організацією і замовником.

Проводяться закупівля сертифікованих технічних, програмних і програмно-технічних засобів захисту інформації і їх установка відповідно до технічного проекту.

Службою(фахівцем) безпеки організовується контроль проведення усіх заходів по захисту інформації, передбачених технічним проектом.

В період установки і монтажу ТЗОІ і засобів захисту інформації особлива увага повинна приділятися забезпеченню режиму і охороні об'єкту, що захищається.

До основних рекомендацій на цей період можна віднести наступні:

- організацію охорони і фізичного захисту приміщень об'єкту інформатизації і виділених приміщень, що виключають несанкціонований доступ до ТСОИ, їх розкрадання і порушення працездатності, розкрадання носіїв інформації;

- при проведенні реконструкції об'єкту має бути організований контроль і облік осіб і транспортних засобів, прибулих робіт, покинули територію, що проводяться;

- рекомендується організувати допуск будівельників на територію і у будівлю по тимчасових пропусках або щоденних списках;