РОЗДІЛ 5 ЗАХИСТ ІНФОРМАЦІЇ ВІД ВИТОКУ ТЕХНІЧНИМИ КАНАЛАМИ
5.1 Основні положення
Об’єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, ІзОД, що є державною власністю чи передана державі у володіння, користування, розпорядження (далі – інформація з обмеженим доступом, ІзОД).
Інформація з обмеженим доступом в процесі інформаційної діяльності, основними видами якої є одержання, використання, поширення та зберігання ІзОД, може зазнавати впливу загроз її безпеці (далі – загроза), у результаті чого може відбутися її витік або порушення цілісності інформації.
Схильність ІзОД до впливу загроз визначає її вразливість.
Здатність системи захисту інформації протистояти впливу загроз визначає захищеність ІзОД.
Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в ДСТУ 3396.0–96 етапам функціонування системи захисту інформації і полягає в:
– проведенні обстеження підприємства, установи, організації (далі – підприємство);
– розробленні і реалізації організаційних, первинних технічних, основних технічних заходів з використанням засобів забезпечення ТЗІ;
– прийманні робіт з ТЗІ;
– атестації засобів (систем) забезпечення ІД на відповідність вимогам нормативних документів з ТЗІ.
Порядок проведення робіт з ТЗІ або окремих їхніх етапів установлюється наказом (розпорядженням) керівника підприємства.
Роботи повинні виконуватися під керівництвом спеціалістів з ТЗІ.
Для участі в роботах, надання методичної допомоги, оцінювання повноти та якості реалізації заходів захисту можуть залучатися спеціалісти з ТЗІ інших організацій, які мають ліцензію органа, уповноваженого Кабінетом Міністрів України.
Об’єкт, мету і завдання ТЗІ визначають і встановлюють особи, які володіють, користуються, розпоряджаються ІзОД у межах прав і повноважень, наданих законами України, підзаконними актами та нормативними документами системи ТЗІ.
Середовищем поширення носіїв ІзОД можуть бути лінії зв’язку, сигналізації, керування, енергетичні мережі, прикінцеве і проміжне обладнання, інженерні комунікації і споруди, захисні будівельні конструкції, а також світлопроникні елементи будинків і споруд (отвори), повітряне, водне та інші середовища, ґрунт, рослинність тощо.
Витік або порушення цілісності IзОД (спотворення, модифікація, руйнування, знищення) можуть бути результатом реалізації загроз безпеці інформації.
Технічному захисту підлягає інформація з обмеженим доступом, носіями якої є поля і сигнали, що утворюються в результаті роботи технічних засобів пересилання, оброблення, зберігання, відображення інформації (ОТЗ), а також допоміжних технічних засобів і систем (ДТЗ).
До ОТЗ належать:
– засоби і системи телефонного, телеграфного (телетайпного), директорського, гучномовного, диспетчерського, внутрішнього, службового та технологічного зв`язку;
– засоби і системи звукопідсилення, звукозапису та звуковідтворення;
– пристрої, що утворюють дискретні канали зв`язку: абонентська апаратура із засобами відображення та сигналізації, апаратура підвищення достовірності пересилання, каналоутворювальна тощо;
– апаратура перетворення, оброблення, пересилання і приймання відеоканалів, що містять факсимільну інформацію.
ОТЗ можуть бути захищеними і незахищеними.
До допоміжних технічних засобів і систем належать:
– засоби і системи спеціальної охоронної сигналізації (на відкриття дверей, вікон та проникнення до приміщення сторонніх осіб), пожежної сигналізації (з датчиками, що реагують на дим, світло, тепло, звук);
– система дзвінкової сигналізації (виклик секретаря, вхідна сигналізація);
– контрольно-вимірювальна апаратура (КВА);
– засоби і системи кондиціонування (датчики температури, вологості, кондиціонери);
– засоби і системи провідної радіотрансляційної мережі та приймання програм радіомовлення і телебачення (абонентські гучномовці системи радіомовлення та оповіщення, радіоприймачі та телевізори);
– засоби і системи часофікації (електронні годинники, вторинні електрогодинники);
– засоби і системи електроосвітлення та побутового електрообладнання (світильники, люстри, настільні і стаціонарні вентилятори, електронагрівальні прилади, холодильники, паперорізальні машини, провідна мережа електроосвітлення);
– електронна та електрична оргтехніка.
ДТЗ можуть бути захищеними і незахищеними.
Елементи ОТЗ та ДТЗ можуть являти собою зосереджені випадкові антени (апаратура та її блоки) або розподілені випадкові антени (кабельні лінії та проводи).
Зазначеними елементами можуть бути:
– кінцеві технічні засоби і прилади;
– кабельні мережі та розведення, що з`єднують пристрої та обладнання;
– комутаційні пристрої (комутатори, кроси, бокси тощо);
– елементи заземлення та електроживлення.
ОТЗ, застосовувані для оброблення інформації з обмеженим доступом, називаються основними технічними засобами (ОТЗ).
Роботи із захисту інформації з обмеженим доступом від витоку каналами побічних електромагнітних випромінювань та наводок (ПЕМВН) складаються з організаційних, підготовчих технічних, технічних заходів і контролю за виконанням заходів технічного захисту інформації та за ефективністю цього захисту.
Організаційні і підготовчі заходи щодо технічного захисту інформації проводяться одночасно і є першим етапом робіт, технічні заходи – наступним етапом робіт.
Заходи щодо ТЗІ і контролю за його ефективністю можуть виконуватись організаціями, що мають ліцензію Державної служби України з питань технічного захисту інформації на право надання послуг у галузі ТЗІ.
5.2 Організаційні заходи
На етапі проведення організаційних заходів потрібно:
– визначити перелік відомостей з обмеженим доступом, що підлягають технічному захисту (визначає власник інформації згідно з чинним законодавством України);
– обґрунтувати необхідність розроблення і реалізації захисних заходів з урахуванням матеріальної або іншої шкоди, яка може бути завдана внаслідок можливого порушення цілісності ІзОД чи її витоку технічними каналами;
– установити перелік виділених приміщень, в яких не допускається реалізація загроз та витік інформації з обмеженим доступом;
– визначити перелік технічних засобів, що повинні використовуватися як ОТЗ;
– визначити технічні засоби, застосування яких не обґрунтовано службовою та виробничою необхідністю та які підлягають демонтажу;
– визначити наявність задіяних і незадіяних повітряних, наземних, настінних та закладених у приховану каналізацію кабелів, кіл і проводів, що виходять за межі виділених приміщень;
– визначити системи, що підлягають демонтажу, потребують переобладнання кабельних мереж, кіл живлення, заземлення або встановлення в них захисних пристроїв.
За результатами обстеження складається акт довільної форми з переліком виконаних заходів і додаванням (за необхідності):
– переліку ОТЗ, розміщених у виділених приміщеннях;
– плану виділених приміщень із зазначенням місць установлення ОТЗ, а також схем прокладання кабелів, проводів, кіл;
– переліку технічних засобів, кабелів, кіл, проводів, що підлягають демонтажу.
Акт підписується виконавцем робіт і затверджується керівником організації (підприємства).
5.3 Підготовчі технічні заходи
Підготовчі технічні заходи охоплюють первинні заходи блокування електроакустичних перетворювачів і ліній зв`язку, які виходять за межі виділених приміщень.
Блокування ліній зв`язку може виконуватися такими способами:
– відключенням ліній зв`язку ОТЗ та ДТЗ або встановленням найпростіших схем захисту;
– демонтажем технічних засобів, кабелів, кіл, проводів, що виходять за межі виділених приміщень;
– видаленням за межі виділених приміщень окремих елементів технічних засобів, які можуть бути джерелом виникнення каналу витоку інформації.
Блокування каналів можливого витоку ІзОД у системах міського та відомчого телефонного зв`язку може здійснюватися:
– відключенням дзвінкових (викличних) ліній телефонного апарата;
– установленням у колі телефонного апарата безрозривної розетки для тимчасового відключення;
– установленням найпростіших пристроїв захисту.
Запобігання витоку ІзОД через діючі системи гучномовного диспетчерського та директорського зв`язку здійснюється застосуванням таких захисних заходів:
– установленням у викличних колах вимикачів для розриву кіл;
– установленням на вході гучномовців вимикачів (реле), які дають можливість розривати кола по двох проводах;
– забезпеченням можливості відключення живлення мікрофонних підсилювачів;
– установленням найпростіших пристроїв захисту.
Захист ІзОД від витоку через радіотрансляційну мережу, що виходить за межі виділеного приміщення, може бути забезпечений:
– відключенням гучномовців по двох проводах;
– вмиканням найпростіших пристроїв захисту.
Для служби оповіщення слід виділити чергові абонентські пристрої поза виділеними приміщеннями; кола до цих пристроїв повинні бути прокладені окремим кабелем.
Блокування каналів витоку ІзОД через кола вторинних електрогодинників системи електрочасофікації здійснюється відключенням їх на період проведення закритих заходів.
Запобігання витоку ІзОД через системи пожежної та охоронної сигналізацій здійснюється відключенням датчиків пожежної та охоронної сигналізації на період проведення важливих заходів, що містять ІзОД, або застосуванням датчиків, які не потребують спеціальних заходів захисту.
З метою унеможливлення витоку ІзОД під час роботи незахищених технічними засобами телевізорів, радіоприймачів, звукопідсилювальної та звуковідтворювальної апаратури необхідно на період проведення важливих заходів зазначені пристрої відключати від мережі електроживлення по двох проводах.
Блокування витоку ІзОД через системи електронної оргтехніки та кондиціонування може бути забезпечене такими заходами:
– розташуванням зазначених систем усередині контрольованої території без винесення окремих компонентів за її межі;
– електроживленням систем від трансформаторної підстанції, що знаходиться всередині контрольованої території.
При невиконанні зазначених вище умов системи повинні відключатися від мережі електроживлення по двох проводах.
Захист ІзОД від витоку через кола електроосвітлення та електроживлення побутової техніки повинен здійснюватися підключенням зазначених кіл до окремого фідера трансформаторної підстанції, до якого не допускається підключення сторонніх користувачів.
У випадку невиконання зазначеної вимоги електропобутові прилади на період проведення закритих заходів повинні відключатися від кіл електроживлення.
5.4 Технічні заходи
Технічні заходи є основним етапом робіт з технічного захисту ІзОД і полягають у встановленні ОТЗ, забезпеченні ОТЗ та ДТЗ пристроями ТЗІ.
Під час вибору, встановлення, заміни технічних засобів слід керуватися паспортами, технічними описами, інструкціями з експлуатації, рекомендаціями з установлення, монтажу та експлуатації, що додаються до цих засобів.
ОТЗ повинні розміщуватися, по можливості, ближче до центра будинку або в бік найбільшої частини контрольованої території. Складові елементи ОТЗ повинні розміщуватися в одному приміщенні або в суміжних.
Якщо зазначені вимоги невиконувані, слід вжити додаткових заходів захисту:
– установити високочастотні ОТЗ в екрановане приміщення (камеру);
– установити в незахищені канали зв`язку, лінії, проводи і кабелі спеціальні фільтри та пристрої;
– прокласти проводи і кабелі в екранувальних конструкціях;
– зменшити довжину паралельного розташування кабелів і проводів різних систем з проводами та кабелями, що несуть ІзОД;
– виконати технічні заходи щодо захисту ІзОД від витоку колами заземлення та електроживлення.
До засобів технічного захисту належать:
– фільтри-обмежувачі та спеціальні абонентські пристрої захисту для блокування витоку мовної ІзОД через двопровідні лінії телефонного зв`язку, системи директорського та диспетчерського зв`язку;
– пристрої захисту абонентських однопрограмних гучномовців для блокування витоку мовної ІзОД через радіотрансляційні лінії;
– фільтри мережеві для блокування витоку мовної ІзОД колами електроживлення змінного (постійного) струму;
– фільтри захисту лінійні (високочастотні) для встановлення в лініях апаратів телеграфного (телекодового) зв`язку;
– генератори лінійного зашумлення;
– генератори просторового зашумлення;
– екрановані камери спеціальної розробки.
Для телефонного зв`язку, не призначеного для пересилання ІзОД, рекомендується застосовувати апарати вітчизняного виробництва, сумісні з пристроями захисту. Телефонні апарати іноземного виробництва можуть застосовуватися за умови проходження спецдосліджень і позитивного висновку компетентних організацій системи ТЗІ про їх сумісність з пристроями захисту.
Вибір методів і способів захисту елементів ОТЗ та ДТЗ, що мають мікрофонний ефект, залежить від величини їх вхідного опору на частоті 1 кГц.
Елементи з вхідним опором менше 600 Ом (головки гучномовців, електродвигуни вентиляторів, трансформатори тощо) рекомендується відключати по двох проводах або встановлювати у розрив кіл пристрої захисту з високим вихідним опором для зниження до мінімальної величини інформативної складової струму.
Елементи з високим вхідним опором (електричні дзвінки, телефонні капсулі, електромагнітні реле) рекомендується не тільки відключати від кіл, а й замикати на низький опір або закорочувати, щоб зменшити електричне поле від цих елементів, зумовлене напругою, наведеною під час впливу акустичного поля. При цьому слід враховувати, що обраний спосіб захисту не повинен порушувати працездатність технічного засобу і погіршувати його технічні параметри.
Високочастотні автогенератори, підсилювачі (мікрофонні, приймання, пересилання, гучномовного зв`язку) та інші пристрої, що містять активні елементи, рекомендується відключати від ліній електроживлення у "черговому режимі" або "режимі чекання виклику".
Підключення пристроїв захисту слід проводити без порушення або зміни електричної схеми і ОТЗ, і ДТЗ.
Захист ІзОД від витоку кабелями та проводами рекомендується здійснювати шляхом:
– застосування екранувальних конструкцій;
– роздільного прокладання кабелів ОТЗ та ДТЗ.
При неможливості виконання вимог щодо рознесення кабелів електроживлення ОТЗ та ДТЗ електроживлення останніх слід здійснювати або екранованими кабелями, або від розділових систем, або через мережеві фільтри.
Не допускається утворення петель та контурів кабельними лініями. Перехрещення кабельних трас різного призначення рекомендується здійснювати під прямим кутом одна до одної.
Електроживлення ОТЗ повинно бути стабілізованим за напругою та струмом для нормальних умов функціонування ОТЗ і забезпечення норм захищеності.
У колах випрямного пристрою джерела живлення необхідно встановлювати фільтри нижніх частот. Фільтри повинні мати фільтрацію на симетричних і несиметричних шляхах поширення.
Необхідно передбачити відключення електромережі від джерела живлення ОТЗ під час зникнення напруги в мережі, під час відхилення параметрів електроживлення від норм, заданих в ТУ, та під час появи несправностей у колах електроживлення.
Усі металеві конструкції ОТЗ (шафи, пульти, корпуси розподільних пристроїв та металеві оболонки кабелів) повинні бути заземлені.
Заземлення ОТЗ слід здійснювати від загального контуру заземлення, розміщеного в межах контрольованої території, з опором заземлення за постійним струмом відповідно до вимог стандартів.
Система заземлення повинна бути єдиною для всіх елементів ОТЗ і будуватися за радіальною схемою.
Утворення петель і контурів у системі заземлення не допускається.
Екрани кабельних ліній ОТЗ, що виходять за межі контрольованої території, повинні заземлятися в кросах від загального контуру заземлення в одній точці для унеможливлення утворення петель на екрані та корпусах.
У кожному пристрої повинна виконуватися умова цілісності екранування від входу до виходу. Екрани слід заземляти тільки з одного боку. Екрани кабелів не повинні використовуватися як другий провід сигнального кола або кола живлення.
Екрани кабелів не повинні мати електричного контакту з металоконструкціями. Для монтажу слід застосовувати екрановані кабелі з ізоляцією або одягати на екрани ізоляційну трубку.
У довгих екранованих лініях (мікрофонних, лінійних, звукопідсилювальних) рекомендується ділити екран на ділянки для одержання малих опорів для високочастотних струмів, і кожну ділянку заземляти тільки з одного боку.
Результати виконання технічних заходів оформляються актом приймання робіт, складеним у довільній формі. Акт підписується виконавцем робіт і затверджується керівником підприємства.