Cover

Ю. Є. Яремчук, П. В. Павловський, В. С. Катаєв, В. В. Сінюгін

Комплексні системи захисту інформації

Навчальний посібник

Каталог посібників Видавництво ВНТУ
← Назад ↑ Зміст → Вперед

РОЗДІЛ 7 ЗАХИСТ ІНФОРМАЦІЇ В КОМП'ЮТЕРНІЙ СИСТЕМІ ПІДПРИЄМСТВА

7.1 Загальні положення

Інформаційні ресурси держави або суспільства в цілому, а також окремих організацій і фізичних осіб є певною цінністю, мають відповідне матеріальне вираження і вимагають захисту від різноманітних за своєю сутністю впливів, які можуть призвести до зниження цінності інформаційних ресурсів.

Впливи, які призводять до зниження цінності інформаційних ресурсів, називають несприятливими. Потенційно можливий несприятливий вплив називається загрозою.

Захист інформації, що обробляється в комп’ютерних системах (КС), полягає в створенні і підтримці в дієздатному стані системи заходів як технічних (інженерних, програмно-апаратних), так і нетехнічних (правових, організаційних), що дозволяють запобігти або ускладнити можливість реалізації загроз, а також знизити потенційні збитки. Іншими словами, захист інформації спрямовано на забезпечення безпеки оброблюваної інформації і КС в цілому, тобто такого стану, який забезпечує збереження заданих властивостей інформації і КС, що її обробляє. Система зазначених заходів, що забезпечує захист інформації в КС, називається комплексною системою захисту інформації.

Істотна частина проблем забезпечення захисту інформації в КС може бути вирішена організаційними заходами. Проте, з розвитком інформаційних технологій, спостерігається тенденція зростання потреби застосування технічних заходів і засобів захисту.

Правовою основою забезпечення технічного захисту інформації в Україні є Конституція України, Закони України "Про інформацію", "Про захист інформації в комп’ютерних системах", "Про державну таємницю", "Про науково-технічну інформацію", Концепція (основи державної політики) національної безпеки України, Концепція технічного захисту інформації в Україні, інші нормативно-правові акти, а також міжнародні договори України, що стосуються сфери інформаційних відносин.

До КС підприємства, згідно з встановленою НД ТЗІ 2.5–005 класифікацією, належать комп’ютерні системи, створені на базі локалізованого багатомашинного багатокористувацького комплексу.

До складу КС підприємства входять: обчислювальна система, фізичне середовище, в якому вона знаходиться і функціонує, користувачі КС та оброблювана інформація, у тому числі й технологія її оброблення. Під час забезпечення захисту інформації необхідно враховувати всі характеристики зазначених складових частин, які впливають на реалізацію політики безпеки.

7.2 Основні загрози інформації в КС підприємства

Інформація в КС існує у вигляді даних, тобто подається в формалiзованому вигляді, придатному для обробки. Тут і далі під обробкою слід розуміти як власне обробку, так і введення, виведення, зберігання, передачу і т. ін. (ДСТУ 2226–93). Далі терміни "інформація" і "дані" використовуються як синоніми.

Інформація для свого існування завжди вимагає наявності носiя. Як носiй інформації може виступати поле або речовина. В деяких випадках у вигляді носiя інформації може розглядатися людина. Втрата інформацією своєї цінності (порушення безпеки інформації) може статися внаслідок переміщення інформації або зміни фізичних властивостей носiя.

При аналізі проблеми захисту від несанкціонованого доступу (НСД) інформації, яка може циркулювати в КС, як правило, розглядаються лише інформаційні об'єкти, що слугують приймачами/джерелами інформації, і інформаційні потоки (порції інформації, що пересилаються між об'єктами) безвідносно з фізичних характеристик їх носiїв.

Загрози оброблюваної в КС інформації залежать від характеристик ОС, фізичного середовища, персоналу і оброблюваної інформації. Загрози можуть мати або об'єктивну природу, наприклад, зміна умов фізичного середовища (пожежі, повені і т. ін.) чи відмова елементів ОС, або суб'єктивну, наприклад, помилки персоналу чи дії зловмисника. Загрози, що мають суб'єктивну природу, можуть бути випадковими або навмисними. Спроба реалізації загрози називається атакою.

Зі всієї множини способів класифікації загроз найпридатнішою для аналізу є класифікація загроз за результатом їх впливу на інформацію, тобто порушення конфіденційності, цілісності і доступності інформації.

Інформація зберігає конфіденційність, якщо дотримуються встановлені правила ознайомлення з нею.

Інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікацiї (видалення).

Інформація зберігає доступність, якщо зберігається можливість ознайомлення з нею або її модифікацiї відповідно до встановлених правил упродовж будь-якого певного (малого) проміжку часу.

Загрози, реалізація яких призводить до втрати інформацією якої-небудь з названих властивостей, відповідно є загрозами конфіденційності, цілісності або доступності інформації.

Загрози можуть впливати на інформацію не безпосередньо, а опосередковано. Наприклад, втрата КС керованостi може призвести до нездатностi КС забезпечувати захист інформації і, як результат, до втрати певних властивостей оброблюваної інформації.

7.3 Визначення несанкціонованого доступу

Під НСД слід розуміти доступ до інформації з використанням засобів, внесених до складу КС, що порушує встановлені правила розмежування доступу (ПРД).

Несанкціонований доступ може здійснюватись як з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення, внесного до складу КС розробником під час розробки або системним адміністратором в процесі експлуатації, що входить у затверджену конфiгурацію КС, так і з використанням програмно-апаратних засобів, внесених до складу КС зловмисником.

До основних способів НСД належать:

• безпосереднє звернення до об'єктів з метою одержання певного виду доступу;

• створення програмно-апаратних засобів, що виконують звернення до об'єктів в обхід засобів захисту;

• модифікація засобів захисту, що дозволяє здійснити НСД;

• впровадження в КС програмних або апаратних механізмів, що порушують структуру та функції КС і дозволяють здійснити НСД.

Під захистом від НСД слід розуміти діяльність, спрямовану на забезпечення додержання правил розмежування доступу шляхом створення і підтримки в дієздатному станi системи заходів із захисту інформації.

7.4 Основні напрями захисту

Комп’ютерна система являє собою організаційно-технічну систему, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію (рисунок). Прийнято розрізняти два основних напрями ТЗІ в КС — це захист КС і оброблюваної інформації від несанкціонованого доступу і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнiтних випромінювань і наведень).

Кінцевою метою всіх заходів захисту інформації, які реалізуються, є забезпечення безпеки інформації під час її обробки в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу КС, на всіх технологічних етапах обробки інформації і в усіх режимах функціонування. Життєвий цикл КС охоплює розробку, впровадження, експлуатацію та виведення з експлуатації.

У випадку, якщо в КС планується обробка інформації, порядок обробки і захисту якої регламентується законами України або іншими нормативно-правовими актами (наприклад, інформація, що становить державну таємницю), то для обробки такої інформації в цій КС необхідно мати дозвіл відповідного уповноваженого державного органу. Підставою для видачі такого дозволу є висновок експертизи КС, тобто перевірки відповідності реалізованої КСЗІ встановленим нормам.

В процесі експертизи оцінюється КСЗІ КС в цілому. В тому числі оцінюються і реалізовані в ОС КС засоби захисту. Засоби захисту від НСД, реалізовані в обчислювальній системі, слід розглядати як підсистему захисту від НСД у складі КСЗІ. Характеристики фізичного середовища, персоналу, оброблюваної інформації, організаційної підсистеми істотно впливають на вимоги до функцій захисту, що реалізуються ОС.

Обчислювальна система комп’ютерної системи являє собою сукупність апаратних засобів, програмних засобів (в тому числі програм ПЗП), призначених для обробки інформації. Кожен з компонентів ОС може розроблятись і надходити на ринок як незалежний продукт.

Кожен з цих компонентів може реалiзовувати певні функції захисту інформації, оцінювання яких може виконуватись незалежно від процесу експертизи КС і має характер сертифікації. За підсумками сертифікації видається сертифікат відповідності реалізованих засобів захисту певним вимогам (критеріям). Наявність сертифіката на обчислювальну систему КС або її окремі компоненти може полегшити процес експертизи КС.

Як в процесі експертизи, так і сертифікації оцінювання реалізованих функцій захисту інформації виконується відповідно до встановлених критеріїв. Ці критерії встановлюються НД ТЗІ 2.5-004-99 "Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу " (далі – Критерії).

Як КС можуть виступати:

– ЕОМ загального призначення або персональна ЕОМ;

– операційна система; прикладна або iнструментальна програма (пакет програм);

– комплекс засобів захисту (КЗЗ), що окремо поставляється, або підсистема захисту від НСД, наприклад, мережа, яка являє собою надбудову над ОС; локальна обчислювальна мережа як сукупність апаратних засобів, ПЗ, що реалізує протоколи взаємодій мережевої операційної системи і т. ін.;

– ОС комп’ютерної системи, яка реально функціонує;

– в найбільш загальному випадку – сама КС або її частина.

Коли для побудови КС використовуються компоненти, кожний або деякі з яких мають сертифікат, це підтверджує, що дані компоненти реалізують певні функції захисту інформації. Однак це не означає, що КС, яка складається з таких компонентів, буде реалiзовувати всі ці функції.

Для гарантії останнього має бути виконано проектування КС з метою iнтеграцiї засобів захисту, що надаються кожним компонентом, в єдиний комплекс засобів захисту. Таким чином, наявність сертифіката слід розглядати як потенційну можливість КС реалiзовувати певні функції захисту оброблюваної інформації від певних загроз.

7.5 Політика безпеки інформації

Під політикою безпеки інформації слід розуміти набір законів, правил, обмежень, рекомендацій, тощо, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Термін "політика безпеки" може бути застосовано щодо організації, КС, ОС, послуги, що реалізується системою (набором функцій), і т. ін.

Політика безпеки інформації в КС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики у галузі захисту інформації.

Для кожної КС політика безпеки інформації може бути індивідуальною і може залежати від реалізованої технології обробки інформації, особливостей ОС, фізичного середовища і від багатьох інших чинників.

КС може реалiзовувати декілька різноманітних технологій обробки інформації. Тоді і політика безпеки інформації в такій КС буде складеною, а її частини, що відповідають різним технологіям, можуть істотно різняться.

Політика безпеки повинна визначати ресурси КС, що потребують захисту, зокрема встановлювати категорії інформації, оброблюваної в КС. Мають бути сформульовані основні загрози для ОС, персоналу, інформації різних категорій і вимоги до захисту від цих загроз.

Як складові частини загальної політики безпеки інформації в КС мають існувати політики забезпечення конфіденційності, цілісності і доступності оброблюваної інформації.

Відповідальність персоналу за виконання положень політики безпеки має бути персонiфікована.

7.6 Характеристика обчислювальної підсистеми КС

Метою створення комп’ютерних систем підприємства є надання    будь-якому користувачеві, відповідно до захищеної технології обробки інформації, потенційної можливості доступу до інформаційних ресурсів усіх комп’ютерів, що об’єднані в обчислювальну мережу.

Узагальнена функціонально-логічна структура обчислювальної системи КС підприємства містить:

– підсистему обробки інформації;

– підсистему взаємодії користувачів з КС;

– підсистему обміну даними.

Підсистема обробки інформації реалізує головну цільову функцію КС і складається з засобів обробки інформації, які утворюють основу інформаційно-обчислювальних ресурсів КС, що надаються користувачам (обчислення, пошук, зберігання та оброблення інформації). Принциповими її особливостями є багатофункціональність і можливість доступу до неї для будь-яких робочих станцій КС. Можливі обмеження визначаються тільки специфікою технологій, технічними та організаційними особливостями функціонування КС.

Як компоненти підсистеми можуть використовуватися універсальні високопродуктивні ЕОМ (у тому числі й ПЕОМ), спеціалізовані сервери обробки даних або надання послуг (сервери баз даних, друку тощо).

Підсистема взаємодії користувачів з КС забезпечує користувачам доступ до засобів підсистеми обробки інформації і подання отриманого від них ресурсу у вигляді результату обчислення, інформаційного масиву або графічного зображення у зручній та зрозумілій для користувача формі.

Компоненти підсистеми щодо функціональності є автономно замкненими та, як правило, не передбачається доступ до їх внутрішніх обчислювальних ресурсів зі сторони інших компонентів КС.

Як компоненти підсистеми можуть використовуватися ПЕОМ, що укомплектовані засобами введення та відображення інформації (робочі станції), дисплейні станції.

Підсистема обміну даними забезпечує взаємодію робочих станцій із засобами підсистеми обробки інформації, а також робочих станцій між собою на основі визначених правил, процедур обміну даними з реалізацією фаз встановлення, підтримання та завершення з’єднання. Підсистема забезпечує інформаційну взаємодію різних компонентів КС і об’єднує їх в єдине ціле як структурно, так і функціонально.

Підсистема обміну даними складається з пасивної мережі для обміну даними (кабельна мережа), активного мережевого обладнання (комутаторів, концентраторів, маршрутизаторів, шлюзів тощо), що об’єднує в єдине ціле пасивну мережу з обладнанням інших підсистем для забезпечення інформаційної взаємодії.

Як різновид підсистеми обміну даними можна розглядати структуровану кабельну систему – набір стандартних комутаційних елементів (кабелів, з’єднувачів, коннекторів, кросових панелей і спеціальних шаф та ін.), які дозволяють створювати регулярні структури передачі даних, що відносно легко розширюються.

Обчислювальні системи, за допомогою яких реалізуються підсистема обробки інформації та підсистема взаємодії користувачів з КС, укомплектовані:

• засобами обчислювальної техніки;

•периферійним обладнанням – пристроями друку, зберігання інформації тощо;

• комплексом програмного забезпечення обчислювальної системи;

• комплексом програмно-апаратних засобів захисту інформації.

У разі необхідності засоби обчислювальної техніки додатково можуть комплектуватися сумісними периферійними пристроями і відповідними модулями системного програмного забезпечення.

Комплекс програмного забезпечення обчислювальної системи складають:

– операційні системи серверів;

– операційні системи універсальних високопродуктивних ЕОМ;

– операційні системи робочих станцій;

– операційні системи, що забезпечують виконання мережевих функцій;

– програмні засоби, що підтримують реалізацію протоколів передачі даних обчислювальної мережі;

– програмні засоби активних компонентів мережі, що реалізують спеціальні алгоритми управління мережею;

– системи керування базами даних серверів, високопродуктивних універсальних ЕОМ, робочих станцій;

– програмні засоби забезпечення КЗЗ;

– функціональне програмне забезпечення.

Наведена функціонально-логічна структура КС може розглядатися як універсальна, в той час як фізична структура комп’ютерної системи може мати значно більшу кількість модифікацій залежно від цілей та завдань, які вона повинна вирішувати, способу розподілу функцій між окремими технічними засобами, видів та можливостей технічних засобів, що застосовуються, інших специфічних особливостей, які враховуються під час проектування конкретної обчислювальної мережі.

7.7 Типові адміністративні та організаційні вимоги до КС підприємства стосовно питань ТЗІ

Типові адміністративні та організаційні вимоги до обчислювальної системи КС, умов її функціонування і забезпечення захисту інформації визначаються нижчевикладеним.

Для КС в цілому та (або) для окремих (усіх) її компонентів відповідно до вимог із захисту інформації від НСД повинен бути сформований перелік необхідних функціональних послуг захисту і визначено рівень гарантій їх реалізації.

Сервери, робочі станції, периферійні пристрої, інші технічні засоби обробки ІзОД повинні бути категорійовані згідно з вимогами нормативних документів із технічного захисту інформації, якщо це вимагається даними документами.

Засоби захисту інформації, інші технічні засоби та програмне забезпечення КС, що задіяні в КСЗІ, повинні мати підтвердження їхньої відповідності нормативним документам із захисту інформації (атестат, сертифікат відповідності, експертний висновок) і використовуватись згідно з вимогами, визначеними цими документами. Інших обмежень щодо типів технічних засобів обробки інформації та обладнання, видів програмного забезпечення не запроваджується.

Технічна та експлуатаційна документація на засоби захисту та обробки інформації, системне та функціональне програмне забезпечення належним чином класифіковані і для кожної категорії користувачів визначено перелік документації, до якої вони можуть отримати доступ. Доступ до документації фіксується у відповідних реєстрах. Порядок ведення реєстрів визначає СЗІ.

Сервери і робочі станції, що здійснюють зберігання та обробку ІзОД, повинні розташовуватися в приміщеннях, доступ до яких обслуговувального персоналу та користувачів різних категорій здійснюється в порядку, що визначений СЗІ та затверджений керівником установи (організації).

Повинен здійснюватися контроль за доступом користувачів та обслуговувального персоналу до робочих станцій, серверів КС і компонентів підсистеми обміну даними на всіх етапах життєвого циклу КС, а також періодичний контроль за цілісністю компонентів підсистеми обміну даними (з метою виявлення несанкціонованих відводів від компонентів підсистеми).

З метою забезпечення безперервного функціонування під час оброблення, зберігання та передачі ІзОД КС повинна мати можливість оперативного, без припинення її функціонування, проведення регламентного обслуговування, модернізації обчислювальної системи в цілому або окремих її компонентів. Порядок введення в експлуатацію нових компонентів, якщо це впливає на захист інформації в КС, визначається СЗІ.

Програмно-апаратні засоби захисту, що входять до складу КЗЗ, разом з організаційними заходами повинні забезпечувати СЗІ інформацією про користувачів, які працюють в системі, з локалізацією точки їхнього входу в систему і переліком технічних засобів і процесів, до яких вони отримали доступ.

Має бути визначено порядок організації та проведення СЗІ процедур періодичного та/або динамічного тестування комплексу засобів захисту інформації під час функціонування КС.

7.8 Характеристика фізичного середовища КС

У загальному випадку КС є територіально розосередженою системою, фізичне розташування компонентів якої можна уявити як ієрархію, що охоплює:

– територію, на якій вона знаходиться;

– будівлю, яка знаходиться на території;

– окреме приміщення в межах будівлі.

КС комплектується необхідними засобами енергозабезпечення, сигналізації, зв’язку, допоміжними технічними засобами, іншими системами життєзабезпечення.

Типові адміністративні та організаційні вимоги щодо умов розміщення компонентів КС викладено нижче.

Усі будівлі повинні бути розміщені в межах контрольованої території, що має пропускний та внутрішній режими, які відповідають режимним вимогам, що визначено чинними в організації нормативними та розпорядчими документами.

Контроль за доступом до приміщень, де знаходяться критичні, з точки зору безпеки інформації, компоненти КС, повинен забезпечуватись на всіх етапах її життєвого циклу. Порядок доступу до приміщень із визначенням категорій користувачів, які мають право це здійснювати, визначається СЗІ і затверджується керівником організації.

Для приміщень, в яких розташовані категорійовані компоненти КС, повинні бути вжиті відповідні заходи захисту інформації від витоку технічними каналами, достатність і ефективність яких засвідчується актами атестації комплексів технічного захисту інформації для кожного такого приміщення.

7.9 Характеристика користувачів КС

За рівнем повноважень щодо доступу до інформації, характером та складом робіт, які виконуються в процесі функціонування комп’ютерних систем, особи, що мають доступ до КС, поділяються на такі категорії:

– користувачі, яким надано повноваження розробляти й супроводжувати КСЗІ (адміністратор безпеки, співробітники ПЗІ);

– користувачі, яким надано повноваження забезпечувати управління КС (адміністратори операційних систем, СКБД, мережевого обладнання, сервісів та ін.);

– користувачі, яким надано право доступу до ІзОД одного або декількох класифікаційних рівнів;

– користувачі, яким надано право доступу тільки до відкритої інформації;

– технічний обслуговувальний персонал, що забезпечує належні умови функціонування КС;

– розробники та проектувальники апаратних засобів КС, що забезпечують її модернізацію та розвиток;

– розробники програмного забезпечення, які здійснюють розробку та впровадження нових функціональних процесів, а також супроводження вже діючих;

– постачальники обладнання і технічних засобів КС та фахівці, що здійснюють його монтаж, поточне гарантійне й післягарантійне обслуговування;

– технічний персонал, що здійснює повсякденне підтримання життєдіяльності фізичного середовища КС (електрики, технічний персонал з обслуговування будівель, ліній зв’язку тощо).

Усі користувачі та персонал КС повинні пройти підготовку щодо умов та правил використання технічних і програмних засобів, які застосовуються ними під час виконання своїх службових та функціональних обов’язків.

Доступ осіб всіх категорій до ІзОД та її носіїв здійснюється на підставі дозволу, що надається наказом (розпорядженням) керівника організації. Дозвіл надається лише для виконання ними службових та функціональних обов’язків і на термін не більший, ніж той, що цими обов’язками передбачений.

Якщо в КС встановлено декілька класифікаційних рівнів ІзОД, кожній особі з допущених до роботи в КС мають бути визначені її повноваження щодо доступу до інформації певного класифікаційного рівня.

Дозвіл на доступ до ІзОД, що обробляється в КС, може надаватися лише користувачам. Як виняток, в окремих випадках (наприклад, аварії або інші непередбачені ситуації), дозвіл може надаватися іншим категоріям осіб на час ліквідації негативних наслідків і поновлення працездатності КС.

Персонал КС, розробники програмного забезпечення, розробники та проектувальники апаратних засобів, постачальники обладнання та фахівці, що здійснюють монтаж і обслуговування технічних засобів КС і не мають дозволу на доступ до ІзОД, можуть мати доступ до програмних і апаратних засобів КС лише під час робіт із тестування та інсталяції програмного забезпечення, встановлення та регламентного обслуговування обладнання тощо, за умови обмеження їх доступу до даних конфіденційного характеру.

Зазначені категорії осіб повинні мати дозвіл на доступ тільки до конфіденційних відомостей, які містяться в програмній і технічній документації на КС або на окремі її компоненти та необхідні їм для виконання функціональних обов’язків.

Порядок і механізми доступу до ІзОД та компонентів КС особами різних категорій розробляються ПЗІ та затверджуються керівником організації.

Для організації управління доступом до ІзОД та компонентів КС необхідно:

- розробити та впровадити посадові інструкції користувачів і персоналу КС, а також інструкції, якими регламентується порядок виконання робіт іншими особами з числа тих, що мають доступ до КС;

- розробити та впровадити розпорядчі документи щодо правил перепусткового режиму на територію, в будівлі та приміщення, де розташована КС або її компоненти;

- визначити правила адміністрування окремих компонентів КС та процесів, використання ресурсів КС, а також забезпечити їх розмежування між різними категоріями адміністраторів;

- визначити правила обліку, зберігання, розмноження, знищення носіїв ІзОД;

- розробити та впровадити правила ідентифікації користувачів і осіб інших категорій, що мають доступ до КС.

7.10 Характеристика оброблюваної в КС інформації

В КС обробляється ІзОД, володіти, користуватися чи розпоряджатися якою можуть окремі фізичні та/або юридичні особи, що мають доступ до неї відповідно до правил, встановлених власником цієї інформації.

В КС може зберігатися і циркулювати відкрита інформація, яка не потребує захисту, або захист якої забезпечувати недоцільно, а також відкрита інформація, яка, відповідно до рішень її власника, може потребувати захисту.

Конфіденційна й відкрита інформація можуть циркулювати та оброблятися в КС як різними процесами для кожної з категорій інформації, так і в межах одного процесу.

У загальному випадку в КС, безвідносно до ступеня обмеження доступу, інформація за рівнем інтеграції характеризується як:

– сукупність сильнозв’язаних об’єктів, що вимагають забезпечення своєї цілісності як сукупності;

– окремі слабозв’язані об’єкти, що мають широкий спектр способів свого подання, зберігання й передачі і вимагають забезпечення своєї цілісності кожний окремо.

Незалежно від способу подання об’єкти можуть бути структурованими або неструктурованими.

КСЗІ повинна реалізувати механізми, що забезпечують фізичну цілісність слабозв’язаних об’єктів, окремих складових сильнозв’язаних об’єктів і підтримку логічної цілісності сильнозв’язаних об’єктів, що розосереджені в різних компонентах КС.

В КС присутня інформація, яка за часом існування та функціонування:

– є швидкозмінюваною з відносно коротким терміном її актуальності;

– має відносно тривалий час існування при високому ступені інтеграції і гарантуванні стану її незруйнованості за умови належності різним користувачам, в рамках сильно- або слабозв’язаних об’єктів.

КСЗІ повинна забезпечити доступність зазначених видів інформації відповідно до особливостей процесів, що реалізують інформаційну модель конкретного фізичного об’єкта.

КС повинна забезпечувати підтримку окремих класів сукупностей сильнозв’язаних об’єктів стандартними для галузі системами керування базами даних, іншими функціональними чи системними процесами, які дають можливість здійснення паралельної обробки запитів і мають засоби, що, тією чи іншою мірою, гарантують конфіденційність і цілісність інформації на рівні таблиць, стовпців таблиці, записів таблиці.

КС повинна забезпечувати підтримку окремих класів сукупностей слабозв’язаних об’єктів стандартними для галузі операційними системами, які мають засоби, що, тією чи іншою мірою, гарантують конфіденційність і цілісність інформації на рівні сукупності файлів, окремих файлів.

КСЗІ повинна гарантувати забезпечення цілісності, конфіденційності й доступності інформації, яка міститься в сильно- або слабозв’язаних об’єктах і має ступінь обмеження ДСК, згідно з визначеними у цьому документі вимогами до відповідного функціонального профілю захищеності.

7.11 Характеристика технологій оброблення інформації в КС підприємства

Технологічні особливості функціонування КС підприємства визначаються особливістю архітектури КС, способами застосування засобів обчислювальної техніки для виконання функцій збирання, зберігання, оброблення, передавання та використання даних, вимогами до забезпечення властивостей інформації.

КС за структурою використовуваних технічних та програмних засобів може бути однорідною або гетерогенною структурою, мати різну топологію, що, відповідно, визначає різні підходи до забезпечення режимів циркулювання інформації в КС і способів доступу до неї.

КСЗІ повинна гарантувати користувачам стійкість комп’ютерної системи до відмов та можливість проведення заміни окремих її компонентів з одночасним збереженням доступності до окремих компонентів КС або до КС в цілому.

В КС під час зберігання, оброблення та передавання ІзОД має забезпечуватися реєстрація дій користувачів способом, що дозволяє однозначно ідентифікувати користувача, адресу робочого місця, з якого здійснено доступ до об’єктів, та час, протягом якого здійснювався доступ.

Засоби КЗЗ повинні забезпечити необхідний рівень цілісності та конфіденційності інформації в журналах реєстрації КС із можливим виділенням одного чи декількох серверів аудиту. Статистика роботи користувачів повинна бути спостережною й доступною для адміністратора безпеки та/або співробітників СЗІ.

Журнали реєстрації системи повинні мати захист від несанкціонованого доступу, модифікації або руйнування.

У загальному випадку кожен користувач КС, що має дозвіл на роботу з конфіденційною інформацією, повинен мати можливість доступу до неї з будь-якої робочої станції комп’ютерної системи.

У разі необхідності можуть вводитися обмеження щодо цього. За певних адміністративно-організаційних заходів та відповідних програмно-технічних рішень в КС, де одночасно циркулює інформація різних ступенів доступу, для роботи з інформацією, що має ступінь обмеження ДСК, можуть бути виділені окремі робочі станції. Робота інших робочих станцій, що не віднесені до переліку зазначених вище, повинна блокуватися за умови намагання користувачем будь-якої з категорій отримати доступ до ІзОД.

КСЗІ повинна забезпечити ідентифікацію користувача з визначенням точки його входу в КС, однозначно автентифікувати його і зареєструвати результат (успішний чи невдалий) цих подій у системному журналі. У випадку виявлення неавторизованого користувача повинна блокуватися можливість його роботи в КС.

КСЗІ повинна забезпечувати можливість двох режимів роботи користувача, а саме: з конфіденційною інформацією та з відкритою інформацією, гарантуючи в першому випадку доступ до відповідних об’єктів і процесів як з обмеженим доступом, так і до загальнодоступних, а в останньому – тільки до відкритої інформації й блокування будь-якого доступу до об’єктів і процесів з обмеженим доступу.

В обох режимах повинна забезпечуватися можливість визначення власниками об’єктів групи або конкретних користувачів або їх групи, яким надається право мати доступ до цих об’єктів.

ІзОД може зберігатися як на окремих виділених для цього (однорівневих) пристроях – серверах, робочих станціях, запам’ятовувальних пристроях та ін., так і на пристроях, що одночасно зберігають інформацію загального призначення (багаторівневих).

КСЗІ повинна забезпечити розмежування доступу користувачів різних категорій до інформації незалежно від способу її групування на однорівневих чи багаторівневих пристроях.

В КС повинна надаватись можливість формування робочих груп з використанням засобів адміністрування:

– за ознакою належності до того чи іншого компонента комп’ютерної системи;

– відповідно до функцій, що їх необхідно виконувати конкретному користувачеві або групі користувачів.

Крайній випадок – вся КС призначена для забезпечення виконання усіх функцій усіма користувачами або групами користувачів.

Під час цього засоби адміністрування комп’ютерної системи повинні забезпечувати контроль за можливостями встановлення, перегляду, модифікації стратегій управління (наприклад, реалізація управління віртуальними мережами), а засоби КЗЗ – гарантувати забезпечення контролю за цілісністю засобів адміністрування КС.

Копіювання об’єктів, що містять конфіденційну інформацію, з сервера на робочу станцію користувача дозволяється тільки у випадках, коли це передбачено технологічними процесами обробки інформації. КЗЗ повинен гарантувати, що зазначені процеси перед завершенням своєї роботи забезпечують копіювання цих об’єктів на сервер (якщо в цьому є потреба) і знищують їх на робочій станції способом, що унеможливлює відновлення або відтворення.

Під час обробки ІзОД повинна забезпечуватися можливість відміни окремої операції або певної їх послідовності до стану, що визначений користувачем або передбачено технологією реалізації певних процедур функціональним або системним програмним забезпеченням.

Виведення інформації у текстовому вигляді повинно здійснюватися на зареєстровані в установленому порядку паперові носії на спеціально виділених для цього пристроях друкування. КСЗІ повинна забезпечити контроль за процесом друкування інформації з фіксацією в системному журналі: імені користувача, об’єкта, робочої станції та часу, коли здійснюється друкування. У разі необхідності можлива фіксація додаткової інформації, що характеризує процес друкування і дозволяє його однозначно ідентифікувати.

Реалізація функцій копіювання інформації в електронному вигляді на зйомні носії інформації та створення резервних копій може здійснюватися тільки уповноваженими користувачами або за дозволом адміністратора безпеки.

КСЗІ повинна контролювати зазначені процеси шляхом реєстрації в журналі системи: імені користувача, об’єкта копіювання, робочої станції та часу, коли здійснюється процес копіювання або створення резервної копії. Допускається фіксація додаткової інформації, що характеризує ці процеси і дозволяє їх однозначно ідентифікувати.

Повинна бути реалізована можливість виявлення фактів несанкціонованого доступу до об’єктів та (або) процесів, що потенційно можуть призвести до виникнення загроз для інформації, і забезпечена фіксація в журналі системи: імені користувача, об’єкта та (або) процесу, до якого була спроба доступу, місця та часу, коли виникла загроза. Допускається фіксація додаткової інформації, яка дозволяє однозначно ідентифікувати процеси, що створили загрозу. КСЗІ повинна забезпечити блокування роботи робочих станцій, з яких була здійснена загроза інформації.

З урахуванням характеристик і особливостей подання оброблюваної інформації, особливостей процесів, що застосовуються для її оброблення, а також порядку роботи користувачів та вимог до забезпечення захисту інформації в КС підприємства визначаються такі технології обробки інформації:

– обробка, без активного діалогу зі сторони користувача, слабозв’язаних об’єктів, що вимагають конфіденційності оброблюваної інформації, або конфіденційності й цілісності оброблюваної інформації;

– обробка, без активного діалогу зі сторони користувача, сильнозв’язаних об’єктів, що вимагають конфіденційності та цілісності оброблюваної інформації;

– обробка, в активному діалоговому режимі зі сторони користувача, слабозв’язаних об’єктів, що вимагають конфіденційності та доступності оброблюваної інформації, або конфіденційності та цілісності оброблюваної інформації;

– обробка, в активному діалоговому режимі зі сторони користувача, сильнозв’язаних об’єктів, що вимагають конфіденційності, цілісності та доступності оброблюваної інформації.

Визначені вище технології обробки інформації можуть бути застосовані як до КС в цілому, так і до окремих її компонентів або процесів, що використовуються в КС. Одночасно в КС можуть застосовуватись декілька технологій.

Обробка без активного діалогу зі сторони користувача слабозв’язаних об’єктів у загальному випадку являє собою обробку окремого набору даних (або певної їх множини, але послідовно одна за одною) у фоновому режимі, який забезпечується операційними системами (за винятком однокористувацьких однозадачних), що використовуються на робочих станціях та серверах комп’ютерної системи.

Обробка без активного діалогу зі сторони користувача сильнозв’язаних об’єктів являє собою вирішення в фоновому режимі комплексів функціональних задач, які взаємодіють із базами даних, що підтримуються стандартними для галузі СКБД, а також реалізацію будь-яких інших процесів, які здійснюють одночасну обробку певної множини наборів даних, що мають між собою логічні зв’язки.

Обробка в активному діалоговому режимі зі сторони користувача слабозв’язаних об’єктів являє собою обробку окремого набору даних у режимі реального часу в діалозі між користувачем та прикладним процесом, що цю обробку здійснює (наприклад, створення та редагування текстів і тому подібне).

Обробка в активному діалоговому режимі зі сторони користувача сильнозв’язаних об’єктів являє собою процеси реалізації в режимі реального часу взаємодії між користувачем та базою даних або сильнозв’язаними об’єктами (наприклад, будь-які інформаційні системи, що побудовані з використанням баз даних та СКБД і працюють у реальному часі; будь-які системи комп’ютерного проектування тощо).

7.12 Модель порушника

Як порушник розглядається особа, яка може одержати доступ до роботи з внесеними до складу КС засобами.

Порушники класифікуються за рівнем можливостей, що надаються їм штатними засобами КС.

Виділяються чотири рівні цих можливостей. Класифікація є iєрархічною, тобто кожний наступний рівень містить в собі функціональні можливості попереднього:

• перший рівень визначає найнижчий рівень можливостей проведення діалогу з КС — можливість запуску фіксованого набору завдань (програм), що реалізують заздалегідь передбачені функції обробки інформації;

• другий рівень визначається можливістю створення і запуску власних програм з новими функціями обробки інформації;

• третій рівень визначається можливістю управління функціонуванням КС, тобто впливом на базове програмне забезпечення системи та на склад і конфігурацію її устаткування;

• четвертий рівень визначається всім обсягом можливостей осіб, що здійснюють проектування, реалізацію і ремонт апаратних компонентів КС, аж до внесення до складу КС власних засобів з новими функціями обробки інформації.

Припускається, що в своєму рівні порушник — це фахівець вищої кваліфікації, який має повну інформацію про КС і КЗЗ.

Така класифікація порушників є корисною для використання в процесі оцінювання ризиків, аналізу вразливості системи, ефективності існуючих і планових заходів захисту.

7.13 Політика реалізації послуг безпеки інформації в КС підприємства

Політика безпеки інформації в КС повинна поширюватися на об’єкти комп’ютерної системи, які безпосередньо чи опосередковано впливають на безпеку ІзОД.

До таких об’єктів належать:

– адміністратор безпеки та співробітники СЗІ;

– користувачі, яким надано повноваження інших адміністраторів;

– користувачі, яким надано право доступу до ІзОД або до інших видів інформації;

– слабо- та сильнозв’язані об’єкти, які містять конфіденційну інформацію або інші види інформації, що підлягають захисту;

– системне та функціональне програмне забезпечення, яке використовується в КС для оброблення інформації або для забезпечення КЗЗ;

– технологічна інформація КСЗІ (дані щодо персональних ідентифікаторів та паролів користувачів, їхніх повноважень та прав доступу до об’єктів, встановлених робочих параметрів окремих механізмів або засобів захисту, інша інформація баз даних захисту, інформація журналів реєстрації дій користувачів тощо);

– засоби адміністрування та управління обчислювальною системою КС та технологічна інформація, яка при цьому використовується;

– окремі периферійні пристрої, які задіяні у технологічному процесі обробки ІзОД;

– обчислювальні ресурси КС (наприклад, дисковий простір, тривалість сеансу користувача із засобами КС, час використання центрального процесора і т. ін.), безконтрольне використання яких або захоплення окремим користувачем може призвести до блокування роботи інших користувачів, компонентів КС або КС в цілому.

7.14 Комплекс засобів захисту і об'єкти комп’ютерної системи

Комплекс засобів захисту (КЗЗ) – це сукупність всіх програмно-апаратних засобів, в тому числі програм ПЗП, задіяних під час реалізації політики безпеки. Частина КС, що складає КЗЗ, визначається розробником.

Будь-який компонент КС, який внаслідок якого-небудь впливу здатний спричинити порушення політики безпеки, повинен розглядатись як частина КЗЗ.

Комплекс засобів захисту розглядає ресурси КС як об'єкти і керує взаємодією цих об'єктів відповідно до політики безпеки інформації, що реалізується.

Як об'єкти ресурси характеризуються двома аспектами: логічне подання (зміст, семантика, значення) і фізичне (форма, синтаксис).

Об'єкт характеризується своїм станом, який в свою чергу, характеризується атрибутами і поводженням, що визначає способи зміни стану.

Для різних КС об'єкти можуть бути різні. Наприклад, для СУБД як об'єкти можна розглядати записи БД, а для операційної системи — процеси, файли, кластери, сектори дисків, сегменти пам'яті і т. ін. Все, що підлягає захисту відповідно до політики безпеки, має бути визначено як об'єкт.

При розгляді взаємодії двох об'єктів КС, що виступають як приймачі або джерела інформації, слід виділити пасивний об'єкт, над яким виконується операція, і активний об'єкт, який виконує або ініціює цю операцію.

Далі розглядаються такі типи об'єктів КС:

• об'єкти-користувачі;

• об'єкти-процеси і пасивні об'єкти.

Прийнятий у деяких зарубіжних документах термін "суб'єкт" є суперпозицією об'єкта-користувача і об'єкта-процесу.

Об'єкти-користувачі і об'єкти-процеси є такими тільки всередині конкретного домену – ізольованої логічної області, всередині якої об'єкти мають певні властивості, повноваження і зберігають певні відносини.

7.15 Планування захисту і керування системою захисту

Для забезпечення безпеки інформації під час її обробки в КС підприємства створюється комплексна система захисту інформації, процес управління якою повинен підтримуватись протягом всього життєвого циклу КС.

На стадії розробки метою процесу управління КСЗІ є створення засобів захисту, які могли б ефективно протистояти ймовірним загрозам і забезпечували б надалі дотримання політики безпеки під час обробки інформації.

На стадії експлуатації КС метою процесу управління КСЗІ є оцінювання ефективності створеної КСЗІ і вироблення додаткових (уточнюючих) вимог для доробки КСЗІ з метою забезпечення її адекватності при зміні початкових умов (характеристик ОС, оброблюваної інформації, фізичного середовища, персоналу, призначення КС, політики безпеки, тощо).

На кожному етапі мають бути зібрані та підготовлені дані, провединий їх аналіз і прийнято рішення. При цьому результати виконаного на певному етапі аналізу і прийняті на їх підставі рішення нарівні з уточненими вимогами слугують вихідними даними для аналізу на наступному етапі.

На будь-якій стадії або будь-якому етапі може постати необхідність уточнення початкових умов і повернення на попередні етапи.

Створення КСЗІ має починатись з аналізу об'єкта захисту і можливих загроз. Передусім мають бути визначені ресурси КС, що підлягають захисту.

Загрози мають бути визначені в термінах ймовірності їх реалізації і величини можливих збитків.

На підставі аналізу загроз, існуючих в системі вразливостей, ефективності вже реалізованих заходів захисту для всіх ресурсів, що підлягають захисту, мають бути оцінені ризики.

Ризик являє собою функцію ймовірності реалізації певної загрози, виду і величини завданих збитків. Величина ризику може бути виражена в грошовому вимірі або у вигляді формальної оцінки (високий, низький і     т. п.).

На підставі виконаної роботи мають бути вироблені заходи захисту, втілення яких в життя дозволило б знизити рівень остаточного ризику до прийнятного. Підсумком даного етапу робіт повинна стати сформульована або скоригована політика безпеки.

На підставі проведеного аналізу ризиків сформованої політики безпеки розробляється план захисту, який містить опис послідовності і змісту всіх стадій та етапів життєвого циклу КСЗІ, що мають відповідати стадіям і етапам життєвого циклу КС. Вартість заходів захисту інформації має бути адекватною розміру можливих збитків.

7.16 Порядок створення, впровадження, супроводу та модернізації засобів технічного захисту інформації від несанкціонованого доступу

Згідно з Положенням про технічний захист інформації в Україні в КС, де обробляється інформація, яка є власністю держави або захист якої гарантується державою, повинні використовуватись засоби ТЗІ, які мають документ, що засвідчує їх відповідність вимогам нормативних документів з питань технічного захисту інформації (експертний висновок та/або сертифікат відповідності).

Склад засобів ТЗІ, що використовуються під час створення комплексу засобів захисту інформації, визначають власники КС, де обробляється інформація, яка підлягає захисту, або уповноважені ними суб’єкти системи ТЗІ, з урахуванням того, що ці засоби повинні мати рівень гарантій коректності реалізації послуг безпеки (НД ТЗІ 2.5-004-99 ) не нижчий від рівня гарантій створюваного КЗЗ.

Дозволяється в КС класів "1" та "2" (НД ТЗІ 2.5-005-99) використання засобів ТЗІ з рівнем гарантій на один нижче від рівня гарантій створюваного КЗЗ, за умов реалізації в цих КС необхідного обсягу організаційних заходів. Обсяг цих заходів визначається моделями загроз та порушника, умовами експлуатації КС тощо.

Засоби криптографічних перетворень, які є складовою частиною засобів ТЗІ, повинні відповідати вимогам нормативних документів з питань криптографічного захисту інформації.

Створення та впровадження засобів ТЗІ здійснюють підприємства, установи та організації всіх форм власності, за умови наявності у них відповідної ліцензії на право провадження господарської діяльності в галузі ТЗІ.

Виробництво та впровадження апаратних і програмно-апаратних засобів ТЗІ здійснюється за наявності технічних умов (ТУ), які розробляються, оформляються та реєструються відповідно до вимог ДСТУ 1.3-98, ГОСТ 2.114-95.

Створення програмних засобів ТЗІ здійснюється з урахуванням вимог ДСТУ 3918–99, ГОСТ 19.101–77.

Впровадження програмних засобів ТЗІ здійснюється за наявності формуляру, який розробляється відповідно до вимог ГОСТ 19.501–78.

З метою досягнення певного рівня гарантій реалізації функціональних послуг безпеки інформації розробники (впроваджувальні організації) засобів ТЗІ повинні взаємодіяти з Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі – Департамент).

Експертне оцінювання засобів ТЗІ на відповідність нормативних документів з питань ТЗІ, здійснюється в порядку, визначеному Положенням про державну експертизу в сфері технічного захисту інформації.

Рівень гарантії реалізації функціональних послуг безпеки визначається в процесі експертного оцінювання з урахуванням вимог цих НД ТЗІ.

Для забезпечення можливості досягнення 3–7 рівнів гарантій реалізації функціональних послуг безпеки розробник (впроваджувальна організація) повинен здійснювати супровід засобу ТЗІ. Для цього розробник (впроваджувальна організація) укладає з користувачем договір на супровід засобу ТЗІ.

Модернізація засобів ТЗІ в комп’ютерних системах здійснюється згідно окремим ТЗ або доповненням до основного ТЗ на створення засобу ТЗІ. ТЗ (доповнення до основного ТЗ) розробляється та оформляється відповідно до чинних ДСТУ з урахуванням вимог НД ТЗІ 3.7–001–99.

7.17 Організація захисту інформації в КС від витоку каналами ПЕМВН

Роботи з технічного захисту інформації в ІС і ЗОТ передбачають:

– категоріювання об'єктів електронно-обчислювальної техніки (ЕОТ);

– внесення до технічних завдань на монтаж ІС і ЗОТ розділу з ТЗІ;

– монтаж ІС і ЗОТ відповідно до рекомендацій цього документа;

– обстеження (в тому числі технічний контроль) об'єктів ЕОТ;

– установлення (при необхідності) атестованих засобів захисту;

– технічний контроль за ефективністю вжитих заходів.

Для об'єктів ЕОТ, що обробляють ІзОД, проводиться обов'язкове категоріювання згідно з чинним Положенням про категоріювання. Обсяг і зміст робіт із захисту цієї інформації визначаються присвоєною категорією.

Обстеження ІС і ЗОТ відповідно до рекомендацій цього документа проводиться структурними підрозділами ТЗІ, у віданні яких знаходиться об'єкт, або підприємствами, установами, організаціями і громадянами, що одержали в установленому порядку відповідні ліцензії Державної служби України з питань технічного захисту інформації.

Рекомендований алгоритм обстеження містить такі процедури:

- аналіз у технічних засобах ЕОТ потоків інформації з обмеженим доступом;

- визначення складу ОТЗ і ДТЗ на ОІД;

- визначення складу кабельних ліній, що виходять за межі КТ і розміщенні паралельно з кабелями ІС і ЗОТ;

- виявлення комунікацій, що проходять через територію ОІД і мають вихід за межі КЗ;

- інструментальне вимірювання інформативних побічних електромагнітних випромінювань та наводок;

- оцінювання відповідності рівнів сигналів і параметрів полів, які є носіями ІзОД, нормам ефективності захисту.

За результатами обстеження складається акт, в якому відбиваються:

- категорія ОІД;

- перелік ОТЗ (найменування, тип, заводський номер);

- перелік ДТЗ і комунікацій, що знаходяться на ОІД;

- оцінка відповідності монтажу цим рекомендаціям;

- пропозиції щодо застосування додаткових заходів захисту (при необхідності).

До акта додаються:

- схема розміщення технічних засобів ОІД і проходження комунікацій на ньому;

- протоколи вимірювань.

7.18 Рекомендації з захисту інформації від перехоплення випромінювань технічних засобів ОІД

Навколо ОТЗ повинна забезпечуватися контрольована територія, за межами якої відношення "інформативний сигнал/шум" не перевищує норм. З цією метою ОТЗ рекомендується розташовувати у внутрішніх приміщеннях об'єкта, бажано, на нижніх поверхах.

У випадку неможливості забезпечення цієї умови необхідно:

– замінити ОТЗ на захищені;

– провести часткове або повне екранування приміщень чи ОТЗ;

– установити системи просторового зашумлення;

– замінити незахищені ТЗ на захищені;

– застосувати завадозаглушувальні фільтри.

В екранованих приміщеннях (капсулах) рекомендується розміщувати високочастотні (ВЧ) ОТЗ. Як правило, до них відносять процесори, запам'ятовувальні пристрої, дисплеї тощо.

7.19 Рекомендації щодо захисту інформації від перехоплення наводок на незахищені технічні засоби та ДТЗ, що мають вихід за межі КТ

У незахищених каналах зв'язку, лініях, проводах та кабелях ОТЗ і ДТЗ, що мають вихід за межі КТ, установлюються завадозаглушувальні фільтри.

Проводи і кабелі прокладаються в екранованих конструкціях.

Монтаж кіл ТЗ, що мають вихід за межі КТ, рекомендується проводити екранованим або прокладеним в екранувальних конструкціях симетричним кабелем.

Кабелі ОТЗ прокладаються окремим пакетом і не повинні утворювати петлі. Перехрещення кабелів ОТЗ і ДТЗ, що мають вихід за межі КТ, рекомендується проводити під прямим кутом, забезпечуючи відсутність електричного контакту екранувальних оболонок кабелів у місці їх перехрещення.

Незадіяні проводи і кабелі демонтуються або закорочуються та заземляються.

7.20 Рекомендації із захисту інформації від витоку колами заземлення

Система заземлення технічних засобів ОІД не повинна мати вихід за межі КТ і повинна розміщуватися на відстані не менше 10–15 м від них.

Заземлювальні проводи повинні бути виконані з мідного дроту (кабеля) з перехідним опором з'єднань не більше 600 мкОм. Опір заземлення не повинен перевищувати 4 Ом.

Не рекомендується використовувати для системи заземлення ТЗ ОІД природні заземлювачі (металеві трубопроводи, залізобетонні конструкції будинків тощо), які мають вихід за межі КТ.

Для усунення небезпеки витоку інформації металевими трубопроводами, що виходять за межі КТ, рекомендується використовувати струмонепровідні вставки (муфти) довжиною не менше  1 м.

За наявності в ТЗ ОІД "схемної землі" окреме заземлення для них створювати не потрібно. Шина "схемна земля" повинна бути ізольованою від захисного заземлення та металоконструкцій і не повинна утворювати замкнену петлю.

При неможливості провести заземлення ТЗ ОІД допускається їх "занулення".

7.21 Рекомендації щодо захисту інформації від витоку колами електроживлення

Найбільш ефективно гальванічну та електромагнітну розв'язку кабелів електроживлення ТЗ ОІД від промислової мережі забезпечує їх розділова система типу "електродвигун-генератор". Електроживлення допускається також здійснювати через завадозаглушувальні фільтри.

Електроживлення повинно здійснюватись екранованим (броньованим) кабелем.

Кола електроживлення ТЗ ОІД на ділянці від ОТЗ до розділових систем чи завадозаглушувальних фільтрів рекомендується прокладати у жорстких екранувальних конструкціях.

Не допускається прокладання в одній екранувальній конструкції кабелів електроживлення, розв`язаних від промислової мережі, з будь-якими кабелями, що мають вихід за межі КТ.

Забороняється здійснювати електроживлення технічних засобів, що мають вихід за межі КТ, від захищених джерел електропостачання без установлення завадозаглушувальних фільтрів.

Для об'єктів 2-ої – 4-ої категорій допускається не проводити роботи із захисту кіл електроживлення, якщо всі пристрої і кабелі електропостачання ОІД, також трансформаторна підстанція низької напруги із заземлювальним пристроєм, розміщені у межах КТ.

7.22 Рекомендації стосовно застосування системи просторового зашумлення ОІД

Пристрої просторового зашумлення застосовуються у випадках, коли пасивні заходи не забезпечують необхідної ефективності захисту ОІД.

Установленню підлягають тільки сертифіковані Державною службою України з питань технічного захисту інформації засоби просторового зашумлення, до складу яких входять:

– надширокосмугові генератори електромагнітного поля шуму (гене–ратор шуму);

– система рамкових антен;

– пульт сигналізації справності роботи системи.

Установлення генераторів шуму, монтаж антен, а також їх обслуговування в процесі експлуатації здійснюють підприємства, установи й організації, що мають відповідну ліцензію ДСТЗІ.

Живлення генераторів шуму повинно здійснюватися від того ж джерела, що і живлення ТЗ ОІД. Антени рекомендується розташовувати поза екранованим приміщенням.

7.23 Основні рекомендації щодо обладнання та застосування екранувальних конструкцій

Екранувальні кабельні конструкції разом з екранувальними конструкціями ТЗ ОІД повинні створювати екранувальний замкнений об'єм.

Виведення кабелів з екранувальних конструкцій і введення в них необхідно здійснювати через завадозаглушувальні фільтри.

Екранувальні кабельні конструкції можуть бути жорсткими і гнучкими. Основу жорстких конструкцій становлять труби, короби та коробки; основу гнучких конструкцій – металорукави, взяті в обплетення, і сітчасті рукави.

Для екранування проводів і кабелів застосовуються водогазопровідні труби. Рекомендується застосовувати сталеві тонкостінні оцинковані труби або сталеві електрозварені.

З'єднання нероз'ємних труб здійснюється зварюванням, роз'ємних – за допомогою муфти та контргайки.

Для екранування проводів і кабелів застосовуються короби прямокутного перерізу. Їх переваги порівняно з трубами – можливість прокладання кабелю з роздільними роз'ємами.

Короби виготовляються з листової сталі. На кінцях секцій короба повинні бути фланці для з'єднання коробів між собою та з іншими екранувальними конструкціями. Для одержання надійного електричного контакту поверхня фланців повинна мати антикорозійне струмопровідне покриття.

Остаточний висновок про ефективність заходів технічного захисту інформації робиться за результатами інструментального контролю.