НОРМАТИВНІ ДОКУМЕНТИ ЩОДО ОХОРОНИ ІНФОРМАЦІЇ 1 страница
Нормативні документи визначають методологічні основи рішення задач
захисту інформації на об'єктах різного призначення та створення нормативних
та методологічних документів, регламентуючих питання:
- визначення вимог щодо захисту об'єктів від несанкціонованого доступу;
- створення захищених систем та засобів їх захисту від несанкціонованого
доступу;
- оцінка захищеності систем та об'єктів та їх придатності для рішення за-
дач користувача;
До цих документів відносяться:
- ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні
вимоги до організації проектування та проектної документації для буді-
вництва.
- Тимчасові положення про категоріювання об'єктів (ТПКО - 95).
- Тимчасові рекомендації з технічного захисту інформації у засобах обчи-
слювальної техніки, автоматизованих системах і мережах від витоку ка-
налами побічних електромагнітних випромінювань і наводок (TP EOT -
95).
- Тимчасові рекомендації з технічного захисту інформації від витоку ка-
налами побічних електромагнітних випромінювань і наводок (TP ТЗІ -
ПЕМВН - 95).
- НД ТЗІ 1.1-001-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Основні положення.
- НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в
комп'ютерних системах від несанкціонованого доступу.
- НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в
комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 1.1 - 005 - 07 Захист інформації на об'єктах інформаційної діяль-
ності. Створення комплексу технічного захисту інформації. Основні по-
ложення.
НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації
в автоматизованій системі.
НД ТЗІ 1.4 - 002 - 08 Радіолокатори нелінійні. Класифікація, рекомендо-
вані методи та засоби випробувань.
НД ТЗІ 1.5-001-2000 Радіовиявлювачі. Класифікація. Загальні технічні
вимоги.
НД ТЗІ 1.6-001-96 Правила побудови, викладання, оформлення та по-
значення нормативних документів системи ТЗІ.
НД ТЗІ 1.6 - 002 - 03 Правила побудови, викладення, оформлення та по-
значення нормативних документів системи технічного захисту інформа-
ції.
НД ТЗІ 2.1-001-2001 Створення комплексів технічного захисту інфор-
мації. Атестація комплексів. Основні положення.
НД ТЗІ 2.1 - 002 - 07 Захист інформації на об'єктах інформаційної діяль-
ності. Випробування комплексу технічного захисту інформації, основні
положення.
НД ТЗІ 2.3-001-2001 Радіовиявлювачі вимірювальні. Методи та засоби
випробувань.
НД ТЗІ 2.3-002-2001 Технічний захист мовної інформації в симетричних
абонентських аналогових телефонних лініях. Засоби пасивного прихову-
вання мовної інформації. Нелінійні атенюатори та загороджувальні фі-
льтри. Методика випробування.
НД ТЗІ 2.3-003-2001 Технічний захист мовної інформації в симетричних
абонентських аналогових телефонних лініях. Засоби пасивного прихову-
вання мовної інформації. Генератори спеціальних сигналів. Методика
випробування.
НД ТЗІ 2.3-004-2001 Радіовиявлювачі індикаторні. Методи та засоби
випробувань.
НД ТЗІ 2.3 - 005 - 2001 Радіовиявлювачі напрямлені. Методи та засоби
випробувань.
НД ТЗІ 2.3 - 006 - 2001 Радіовиявлювачі аналізувальні. Методи та засо-
би випробувань.
НД ТЗІ 2.5-001-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Специфікація функціональних
послуг захисту.
НД ТЗІ 2.5-002-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Специфікація гарантій захис-
ту.
НД ТЗІ 2.5-003-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Специфікація довірчих оцінок
корисності реалізації захисту.
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в
комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандарті
функціональні профілі захищеності оброблюваної інформації від несан-
кціонованого доступу.
НД ТЗІ 2.5-006-99 Класифікатор засобів копіювально-розмножувальної
техніки.
НД ТЗІ 2.7-001-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Порядок проведення робіт.
НД ТЗІ 2.7-002-99 Методичні вказівки використання засобів копіюваль-
но-розмножувальної техніки.
НД ТЗІ 3.1 - 001 - 07 Захист інформації на об'єктах інформаційної дія-
льності. Створення комплексу технічного захисту інформації. Передпро-
ектні роботи.
- НД ТЗІ 3.3 - 001 - 07 Захист інформації на об'єктах інформаційної дія-
льності. Створення технічного захисту інформації. Порядок розроблення
та впровадження заходів із захисту інформації.
- НД ТЗІ 3.6-001-2001 Технічний захист інформації. Комп'ютерні систе-
ми. Порядок створення, впровадження, супроводження та модернізації
засобів технічного захисту інформації.
- НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного за-
вдання на створення комплексної системи захисту інформації в автома-
тизованій системі.
- НД ТЗІ 3.7-002-99 Технічний захист інформації на програмно-
керованих АТС загального користування. Методика оцінки захищеності
інформації (базова).
- НД ТЗІ 4.7-001-2001 Технічний захист мовної інформації в симетричних
абонентських аналогових телефонних лініях. Засоби виявлення наявнос-
ті та віддаленості місця контактного підключення засобів технічної роз-
відки. Рекомендації щодо розроблення методів випробувань.
- НД ТЗІ Р-001-2000 засоби активного захисту мовної інформації з акус-
тичними та віброакустичними джерелами випромінювання. Класифіка-
ція та загальні технічні вимоги. Рекомендації.
Розглянемо більш докладніше наведені документи.
ДБН А.2.2-2-96 був затверджений наказом Держкоммістобудування Украї-
ни №156 від 02.09.96р. Чинні від 01.01.97р. Цим документом встановлюють
вимоги до забезпечення технічного захисту інформації під час організації прое-
ктування будівництва підприємств, будівель та споруд. Призначені для
суб'єктів інвестиційної діяльності України та її представництв за кордоном під
час виконання проектних та будівельних робіт з урахуванням вимог технічного
захисту інформації з обмеженим досту пом.
Цей документ має 7 розділів: загальні положення; завдання на проектуван-
ня заходів ТЗІ; розроблення проектної документації; розроблення проекту ор-
ганізації будівництва; експертиза проектної документації; авторський погляд;
основні функції замовника, проектної і будівельно-монтажної організації.
ТЗІ - це діяльність, що спрямована на своєчасне виявлення і протидію за-
грозам безпеці інформації з обмеженим доступом.
Загрози можуть здійснюватися технічними каналами витоку ІзОД і кана-
лами спеціального виливу на носій ІзОД або засоби забезпечення ТЗІ.
ІзОД може бути отримана за допомогою засобів космічної, повітряної,
морської та наземної розвідок з використовуванням приладів оптичної, оптико-
електронної, радіотехнічної, електронної, лазерної та іншої дії такими техніч-
ними напрямами:
- вібро -, акустичним, лазерно-акустичним;
- радіо -, радіотехнічними;
- побічних електромагнітних випромінювань і наводок;
- оптичні;
- хімічні та іншими.
Спеціальний вплив на носії ІзОД і засоби забезпечення ТЗІ здійснюється
шляхом формування полів, сигналів і програм, що використовуються в техніч-
них засобах забезпечення інформаційної діяльності з метою зниження ефектив-
ності функціонування систем захисту інформації, створення технічних каналів
витоку, порушення цілісності інформації (модифікації, руйнування, знищення).
Вимоги ТЗІ повинні бути викладені в завданні на проектування заходів ТЗІ
і враховуватися в процесі проектування об'єкта, зокрема під час розробки:
- ситуаційного шляху розміщення об'єкта;
- технології виробництва;
- принципових схем виробничих технологічних процесів;
- схеми генерального плану виробничого комплексу;
- архітектурно-будівельних рішень щодо об'єкта;
- принципових рішень з організації систем зв'язку, сигналізації
Тимчасове положення про категоріювання об'єктів (ТПКО-95) затвердже-
но наказом Державної служби з технічного захисту інформації №35 від
10.07.95р. Цей документ поширюється на центральні та місцеві органи держав-
ної виконавчої влади, на підприємства, організації та установи усіх форм влас-
ності, представництва України за кордоном та громадян, які володіють, корис-
туються та розпоряджаються інформацією з обмеженим доступом. Категорію-
ванню підлягають об'єкти, в яких циркулює інформація з обмеженим доступом
(ІзОД).
Згідно цього документа, категоріюванню підлягають об'єкти, в яких обго-
ворюється, формується, пересилається, приймається, перетворюється, оброб-
люється, відображається і зберігається ІзОД.
Категоріювання проводиться з метою висування обгрунтованих заходів
щодо технічного захисту ІзОД, яка циркулює на об'єктах, від витоку каналами
побічних електромагнітних випромінювань і наводок, і також акустичних і віб-
роакустичних полів.
До об'єктів, що підлягають категоріюванню, слід відносити:
- АС і засоби обчислювальної техніки, що діють і проектуються;
- технічні засоби, які призначені для роботи з ІзОД і не відносяться до
АС, за винятком тих, що засновані на криптографічних методах захисту;
- приміщення, призначені для проведення нарад, конфекцій, обговорень
тощо з використанням ІзОД;
- приміщення, в яких розміщені АС, засоби обчислювальної техніки, інші
технічні засоби, призначені для роботи з ІзОД, у тому числі й основані
на криптографічних методах захисту.
Згідно нормативного документа установлюються чотири категорії об'єктів
залежно від правового режиму доступу до інформації, що циркулює в них:
- до першої категорії відносяться об'єкти, в яких циркулює інформація,
що містить відомості, які становлять державну таємницю, для якої вста-
новлено гриф секретності " особливої важливості ";
- до другої категорії відносяться об'єкти, в яких циркулює інформація, що
містить відомості, які становлять державну таємницю, для якої встанов-
лено гриф секретності " цілком таємно ";
- до третьої категорії відносяться об'єкти, в яких циркулює інформація,
що містить відомості, які становлять державну таємницю, для якої вста-
новлено гриф секретності " таємно ", а також інформації, що містить ві-
домості, які становлять іншу передбачену законом таємницю, розголо-
шення якої завдає шкоди особі, суспільству і державі;
- до четвертої категорії відносяться об'єкти, в яких циркулює конфіден-
ційна інформація.
Для проведення робіт з категоріювання об'єктів наказом керівника органі-
зації призначається комісія. У наказі відбивається мета створення, її склад,
об'єкти, що підлягають категоріюванню, строки подання результатів.
Відповідальність за проведення робіт з категоріювання об'єктів несуть їх
керівники.
Комісія з категоріювання визначає:
- вищий гриф секретності інформації, що циркулює на об'єкті;
- підставу для категоріювання.
За результатами роботи комісії складаються акти довільної форми, в яких
наводяться зазначені відомості, раніше встановлена категорія та прийняте рі-
шення про категоріювання.
Акти категоріювання об'єктів є підставою для планування і проведення за-
ходів щодо технічного захисту ІзОД відповідно до вимог чинних нормативно-
методичних документів України.
Дуже важливими документами, які діють в Україні є два документа TP
ТЗІ-ПЕИВН-95 " Тимчасові рекомендації з технічного захисту інформації від
витоку каналами побічних електромагнітних випромінювань та наводок " та TP
ЕОТ-95 " Тимчасові рекомендації з технічного захисту інформації в засобах об-
числювальної техніки, автоматизованих системах і мережах від витоку канала-
ми побічних електромагнітних випромінювань та наводок ".
TP ТЗІ-ПЕИВН-95 став чинним від 1 липня 1995 року. Цей нормативний
документ призначено для організації з обмеженим доступом від витоку канала-
ми побічних електромагнітних випромінювань та наводок.
Він має слідуючи розділи:
- Галузь застосування.
- Нормативні посилання.
- Терміни і визначення.
- Основні положення.
- Короткий опис можливого витоку інформації каналами ПЕМВН.
- Загальні рекомендації з технічного захисту інформації з обмеженим до-
ступом від витоку каналами ПЕМВН.
- Порядок контролю за станом технічного захисту інформації.
Згідно з цим документом технічному захисту підлягає інформація з обме-
женим доступом, носіями якої є поля і сигнали, що утворюються в результаті
роботи технічних засобів пересилання, оброблення, зберігання, відображення
інформації (ТЗПІ), а також допоміжних технічних засобів і систем (ДТЗС).
До технічних засобів ПІ відносяться:
- засоби і системи телефонного, телеграфно-телетайпного, гучномовного,
диспетчерського, службового та інших видів зв'язку;
- засоби і системи звукопідсилення, звукозапису та звуковідтворення;
- пристрої, що утворюють дискретні канали зв'язку;
- апаратура перетворення, оброблення, пересилання і приймання відео ка-
налів, що містять факсимільну інформацію.
ТЗПІ можуть бути як захищеними, так і незахищеними.
До допоміжних технічних засобів і систем відносяться:
- засоби і системи спеціальної охоронної сигналізації, пожежної сигналі-
зації;
- система дзвінкової сигналізації;
- контрольно-вимірювальна апаратура;
- засоби і системи кондиціювання;
- засоби і системи провідної радіотрансляційної мережі та приймання
програм радіомовлення та телебачення;
- засоби і системи годинофікації;
- засоби і системи електроосвітлення та побутового електрообладнання;
- електронна та електрична оргтехніка.
ДТЗС також може бути захищеними і незахищеними.
Елементи ТЗПІ та ДТЗС можуть являти собою зосереджені випадкові ан-
тени (апаратура та її блоки) або розподілені випадкові системи (кабельні лінії
та проводи).
Зазначеними елементами можуть бути:
- кінцеві технічні засоби і прилади;
- кабельні мережі та розводи, що з'єднують пристрої та обладнання;
- комутаційні пристрої;
- елементи заземлення та електроживлення.
Роботи із захисту інформації з обмеженим доступом від витоку каналами
ПЕМВН складаються з організаційних, підготовчих технічних, технічних захо-
дів і контролю за виконанням заходів технічного захисту інформації та за ефек-
тивністю цього захисту.
Організаційні і підготовчі заходи щодо технічного захисту інформації про-
водяться одночасно і є першим етапом робіт, наступним етапом робіт станов-
лять технічні заходи.
Заходи щодо ТЗІ і контролю за його ефективністю можуть виконуватись
організаціями, що мають ліцензію Служби безпеки України та право надання
послуг у галузі ТЗІ.
Перш ніж визначити заходи, які потрібно виконати на етапах технічного
захисту дамо короткий опис можливого витоку інформації каналами ПЕМВН.
При цьому можливі канали витоку інформації утворюються:
- низькочастотними електромагнітними полями, які виникають під час
роботи ТЗПІ та ДТЗС;
- під час впливу на ТЗПІ та ДТЗС електричних , магнітних та акустичних
полів;
- під час виникнення паразитної високочастотної генерації;
- під час проходження інформативних (небезпечних) сигналів у колі елек-
троживлення;
- під час взаємного впливу кіл;
- під час проходження інформативних (небезпечних) сигналів у колі зазе-
млення;
- під час паразитної модуляції високочастотного сигналу;
- в наслідок хибних комутації і несанкціонованих дій.
Джерелами виникнення електромагнітних полів ТЗПІ та ДТЗС можуть бу-
ти неекрановані проводи, розімкнуті контури, елементи контрольно-
вимірювальних приладів, контрольні гнізда на підсилювальних блоках і пуль-
тах, неекрановані кінцеві пристрої, лінійні підсилювачі, трансформатори, дро-
селі, з'єднувальні проводи з великими струмами, роз'єми, гребінки, гучномовці,
кабельні лінії.
Необхідно враховувати, що інформативні (небезпечні) сигнали можуть ви-
никати на елементах технічних засобів, чутливих до впливу:
- електричного поля (неекрановані проводи та елементи технічних засо-
бів);
- магнітного поля (мікрофони, гучномовці, головні телефони, трансфор-
матори, котушки індуктивності, дроселі, електромагнітне реле);
- акустичні поля (мікрофони, гучномовці, головні телефони, трансформа-
тори, котушки індуктивності, дроселі, електромагнітне реле).
За наявності в технічних засобах елементів, здатних перетворювати ці поля
в електричний сигнал, можливий витік інформації незахищеними колами або-
нентських ліній зв'язку, електроживлення, заземлення, керування, сигналізації.
Далі у документі наведені можливі канали витоку інформації через джере-
ла електроживлення, колом заземлення, під час виникнення несправностей в
апаратурі та надходження високочастотних сигналів у нелінійні кола.
Основними параметрами можливого витоку інформації каналами ПЕМВН
є:
- напруженість електричного поля інформаційного (небезпечного) сигна-
лу;
- напруженість магнітного поля інформаційного (небезпечного) сигналу;
- величина звукового тиску;
- величина напруги інформаційного (небезпечного) сигналу;
- величина напруги наведеного інформаційного (небезпечного) сигналу;
- величина напруги шумів (завод);
- величина струму інформаційного (небезпечного) сигналу;
- величина чутливості до впливу магнітних полів для точкового джерела;
- величина чутливості апаратури до впливу електричних полів (власна
ємність апаратури);
- величина чутливості до впливу акустичних полів;
- відношення " інформаційний сигнал/шум ";
- відношення напруги небезпечного сигналу до напруги шумів (завод) у
діапазоні частот інформативного сигналу.
Зазначені параметри визначаються і розраховуються за результатами вимі-
рювань у заданих точках.
Гранично допустимі значення основних параметрів є нормованими вели-
чинами і визначаються за відповідними методиками.
Відношення розрахункових (виміряних) значень основних параметрів до
гранично допустимих (нормованих) значень визначають необхідні умови захи-
сту інформації.
Четвертий розділ "Загальні рекомендації з технічного захисту інформації з
обмеженим доступом від витоку каналами ПЕМВН". У нього входять такі під-
розділи:
- Організаційні заходи.
- Підготовчі технічні заходи.
- Технічні заходи.
Розглянемо більш детальніше кожний з цих підрозділів.
На етапі проведення організаційних заходів потрібно:
- визначити перелік відомостей з обмеженим доступом, що підлягають те-
хнічному захисту;
- обгрунтувати необхідність розроблення і реалізації захисних заходів з
урахуванням матеріальної або іншої шкоди, яка може бути завдана в на-
слідок можливого порушення цілісності ІзОД чи її витоку технічними
каналами;
- установити перелік виділених приміщень;
- визначити перелік технічних засобів, що повинні використовуватись як
ОТЗ;
- визначити технічні засоби, застосування яких не обгрунтовано службо-
вою та виробничою необхідністю та які підлягають демонтажу;
- визначити наявність задіяних і незадіяних комунікацій, які уходять за
межі виділених приміщень;
- визначити системи, що підлягають демонтажу, потребують переоблад-
нання кабельних мереж, кіл живлення, заземлення або установлення в
них захисних приборів.
За результатами обстеження складається акт з переліком виконаних захо-
дів і прикладанням.
Підготовчі технічні заходи вимагають у себе первинні заходи блокування
електроакустичних перетворювачів і ліній зв'язку, які виходять за межі виділе-
них приміщень.
Далі наведені можливі способи блокування ліній зв'язку, каналів можливо-
го витоку ІзОД у системах міського та відомчого телефонного зв'язку та запо-
бігання витоку ІзОД через діючі системи гучномовного диспетчерського та ди-
ректорського зв'язку, через радіотрансляційну мережу та інші.
Технічні заходи з основним етапом робіт з технічного захисту ІзОД і поля-
гають у встановленні ОТЗ, забезпеченні ТЗПІ та ДТЗС пристроями ТЗІ.
Під час вибору, встановлення, заміни технічних засобів слід керуватися
паспортними, технічними описами, інструкціями з експлуатації, рекомендація-
ми з установлення, монтажу та експлуатації.
ОТЗ повинні розміщуватися, по можливості, ближче до центру об'єкта або
в бік найбільшої частини контрольованої території. Складові елементи ОТЗ по-
винні розміщуватися в одному приміщені або суміжних.
Якщо зазначені вимоги не виконувані слід вжити додаткових заходів захи-
сту.
До засобів технічного захисту відносяться:
- фільтри-обмежувачі та спеціальні абонентські пристрої захисту для бло-
кування витоку мовної ІзОД через двопровідні лінії телефонного
зв'язку, системи директорського та диспетчерського зв'язку;
- пристрої захисту абонентських однопрограмних гучномовців для блоку-
вання витоку мовної ІзОД;
- фільтри мереживі, для блокування витоку мовної ІзОД колами електро-
живлення змінного та постійного струму;
- фільтри захисту лінійні, для встановлення в лініях апаратів телеграфно-
го (телекодового) зв'язку;
- генератори лінійного зашумлення;
- генератори просторового зашумлення;
- екрановані камери спеціальної розробки.
Далі у документі наведені рекомендації щодо здійснення заходів захисту, а
вихідні дані для здійснення ТЗІ наведені у додатку 1.
Останній розділ " Порядок контролю за станом технічного захисту інфор-
мації " присвячений процесу проведення спецдосліджень та перевірки ефектив-
ності технічних заходів захисту.
Метою контролю є виявлення можливих технічних каналів витоку інфор-
мативного (небезпечного) сигналу, вироблення заходів, що забезпечують його
приховування, оцінка достатності й ефективності вжитих заходів захисту, опе-
ративний контроль за станом технічного захисту каналів витоку інформативно-
го сигналу.
Технічний канал витоку вважається захищеним, якщо сигнал не перевищує
встановленого нормативною документацією відношення "інформативний сиг-
нал/шум".
Пристрої захисту і захищені технічні засоби вважаються справними, якщо
їх параметри відповідають вимогам експлуатаційних документів.
Контроль слід проводити з урахуванням рекомендацій які наведені в дода-
тку 2.
У ході перевірки визначають визначаються:
- наявність електромагнітного зв'язку між лініями ОТЗ, ТЗПІ та ДТЗС,
між різними видами ТЗПУ та ДТЗС;
- наявність виходів ліній зв'язку, сигналізації, годинофікації, радіотранс-
ляції за межі виділених приміщень;
- наявність незадіяних ТЗПІ, ДТЗС, проводів, кабелів;
- можливість відключення ТЗПІ на період проведення конфіденційних пе-
реговорів або важливих нарад;
- рознесення джерел електромагнітних та акустичних полів на максима-
льно можливу відстань у межах виділених приміщень;
- виконання заземлення апаратури;
- рознесення кабелів електроживлення ОТЗ, ТЗПІ та ДТЗС з метою ви-
ключення наводок небезпечних сигналів;
- виконання рознесення кіл електроживлення екранованим або крученим
кабелем;
- наявність можливості відключення електроживлення ОТЗ під час обез-
струмлення мережі; відхилення параметрів електроживлення від норм,
заданих в ТУ, під час появи несправностей у колах живлення.
У процесі проведення спецдосліджень, перевірки ефективності технічних
заходів захисту підлягають інструментальному контролю ОТЗ і лінії зв'язку.
У ході контролю перевіряються електромагнітні поля інформативних сиг-
налів у широкому діапазоні частот навколо апаратури та кабельних з'єднань
ОТЗ, наявність інформативних (небезпечних) сигналів у колах, проводах елект-
роживлення та заземлення ТЗПІ та ДЗТС.
Під час спецаосліджень визначається радіус, за межами якого відношення
"інформативний сигнал/шум" межує гранично допустимої величини.
У випадку перевищення допустимих значень розробляються захисні захо-
ди, використовуються засоби захисту.
Після проведення спец досліджень, вироблення та впровадження засобів
захисту проводиться контроль за ефективністю застосованих технічних засобів
захисту.
У процесі роботи технічних засобів і захисної техніки, у міру необхідності,
проводиться оперативний контроль за ефективністю захисту каналів витоку ін-
формативного (небезпечного) сигналу.
TP ЕОТ-95 став чинний 01 липня 1995 року. Цей нормативний документ
призначений для організації захисту інформації з обмеженим доступом у засо-
бах обчислювальної техніки, автоматизованих системах і мережах від витоку
каналами побічних ЕМВН.
Цей документ містить у собі такі розділи:
- нормативні посилання;
- терміни і визначення;
- загальні положення;
- короткий опис можливого витоку інформації каналами ПЕМВН;
- організація захисту інформації в АС і ЗОТ від витоку каналами ПЕМНВ;
- рекомендації з технічного захисту інформації в АС і ЗОТ від витоку ка-
налами ПЕМВН.
Технічному захисту підлягає ІзОД, яка обробляється, циркулює, відобра-
жається в автоматизованих системах і засобах обчислювальної техніки (АС і
ЗОТ). Носіями цієї інформації є електричні й електромагнітні поля і сигнали,
що утворюються в результаті роботи засобів оброблення ІзОД або впливу не-
безпечного сигналу на засоби оброблення відкритої інформації, на засоби і
системи життєзабезпечення.
У процесі функціонування засобів обчислювальної техніки в конструктив-
них елементах та кабельних з'єднаннях циркулюють електричні струми інфор-
мативних сигналів, у результаті чого формується електромагнітні поля, рівні
яких можуть бути достатніми для приймання сигналів і здобування інформації
за допомогою спеціальної апаратури.
Канали витоку інформації можуть виникнути внаслідок випромінювання
інформативних сигналів під час роботи ОТЗ і внаслідок наведення цих сигналів
у лініях зв'язку, колах електроживлення і заземлення, інших комунікаціях, що
мають вихід за межі контрольованої території (КТ).
Частоти, на яких можуть випромінюватися (наводитись) інформативні си-
гнали, залежать від типів та видів апаратурних засобів і можуть знаходитись у
діапазоні від сотень Гц до кількох десятків ГГц.
Рівень наводок визначається відстанню між джерелами випромінювання й
апаратурою, що підпадає під вплив цих випромінювань.
Витік інформації колами заземлення може виникнути за наявності розне-
сених точок заземлення інформативних кіл у випадку створення в різних точках
систем заземлення різних потенціалів і виникнення за рахунок цього струмів у
колах заземлення.
Максимально допустиме відношення пікової напруги сигналу до середньо-
квадратичної напруги шуму визначається відповідно до чинних Норм ефектив-
ності ЗІ в автоматизованих системах управління і електронно-обчислювальних
машин.
Роботи з технічного захисту інформації в АС і ЗОТ передбачають:
- категоріювання об'єктів електронно-обчислювальної техніки;
- виключення до технічних завдань на монтаж АС і ЗОТ розділу з ТЗІ;
- монтаж АС і ЗОТ відповідно до рекомендації цього документа;
- обстеження (в тому числі технічний контроль) об'єктів EOT;
- установлення атестованих засобів захисту;
- технічний контроль за ефективністю вжитих заходів.
Документ надає рекомендований алгоритм обстеження та містить такі
процедури:
- аналіз у технічних засобах EOT потоків інформації з обмеженим досту-
пом;
- визначення складу ОТЗ і ДТЗС на об'єкті EOT;
- визначення складу кабельних ліній, що виходять за межі КТ і мають па-
ралельний пробіг з кабелями АС і ЗОТ;
- виявлення комунікацій, що проходять через територію об'єкта EOT і
мають вихід за межі КТ;
- інструментальне вимірювання інформативних побічних електромагніт-
них випромінювань та наводок;
- оцінку відповідності рівнів сигналів і параметрів полів, які є носіями
ІзОД, нормам ефективності захисту.
Навколо ОТЗ повинна забезпечуватися контрольована території, за межа-
ми якої відношення "інформативний сигнал/шум" не перевищує Норм. З цією
метою ОТЗ рекомендується розташовувати у внутрішніх приміщеннях об'єкта,
бажано, на нижніх поверхах.
У випадку неможливості забезпечення цієї умови необхідно:
- замінити ОТЗ на захищені;