Скачиваний:   4
Пользователь:   andrey
Добавлен:   24.01.2015
Размер:   588.5 КБ
СКАЧАТЬ

АЛГОРИТМ

ПРОВЕДЕННЯ ПІДГОТОВЧИХ РОБІТ З ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ на об'єктах інформаційної діяльності державного органу (організації) України

1. Визначити та затвердити перелік виділених приміщень (ВП) та перелік службових приміщень, де розташовані (планується розташування) елементи АС згідно проектної документації (технічних та технологічних завдань), в яких циркулює інформація, що підлягає технічному захисту.

2. Провести аналіз та визначити переліки зазначеної інформації (що містить відомості, віднесені законодавством України до державної таємниці, а також конфіденційної інформації, що є власністю держави (ІзОД), та відкритої інформації), а саме:

перелік секретної інформації з грифом "таємно", "цілком таємно" та "особливої важності", яка підлягає технічному захисту від порушення її конфіденційності, цілісності та доступності. Перелік визначається згідно положень ЗВДТ на основі дослідження інформаційних потоків, технологічних процесів оброблення  ІзОД тощо та затверджується наказом керівника (начальника) органу (організації);

перелік конфіденційної інформації, яка підлягає технічному захисту від порушення її конфіденційності, цілісності та доступності.

Перелік визначається згідно положень Постанови Кабінету Міністрів України від         № на основі аналізу інформаційних потоків, технологічних процесів оброблення ІзОД тощо та затверджується наказом керівника (начальника) органу (організації);

перелік відкритої інформації, яка обробляється в АС та підлягає технічному захисту від порушення її цілісності та доступності. Перелік цієї інформації формується на основі дослідження технологічних процесів керування в АС, баз даних і знань тощо та затверджується наказом керівника (начальника) органу (організації).

3. Визначити межу контрольованої зони (КЗ) для ОІД та затвердити документ "Схема контрольованої зони для об'єкта інформаційної діяльності органу (організації)".

4. Скласти та надіслати лист до Управління СБ України у з метою отримання відомостей щодо оточення ОІД, особливо наявності навколо ОІД іноземних дипредставництв, місій, міжнародних організацій, спільних підприємств, помешкань іноземних громадян.

5. Підготувати та видати "Наказ про призначення комісії органу (організації) для проведення категоріювання ОІД".

6. Провести категоріювання ОІД згідно вимог ТПКО-95.

7. Скласти та затвердити "Акт категоріювання ОІД".

8.       Підготувати та видати "Наказ о призначенні комісії для проведення обстеження ОІД органу (організації")".

9. Сформувати опитувач (спеціальні форми, картки і т. ін.) для проведення обстеження ОІД з урахування особливостей інформаційної діяльності. При необхідності може бути розроблена методика для проведення обстеження ОІД органу (організації)".

10. Провести всебічне обстеження ОІД згідно вимог ДСТУ та НД ТЗІ.

11. Скласти та затвердити "Акт про обстеження ОІД органу (організації)".

12. За результатами обстеження та категоріювання розробити та затвердити "Модель загроз для інформації, що циркулює на ОІД державного органу (організації)" (МЗ).

13. Обґрунтувати необхідність розроблення заходів захисту  ІзОД, відкритої інформації (п.2) з урахуванням шкоди під її витоку або порушення цілісності та доступності (у випадку наявності науково-обґрунтованих методик оцінки шкоди від реалізації загроз).

 

14. Провести уточнення (при необхідності) меж контрольованої зони (зон) для ОІД та корегування "Схеми контрольованої зони (зон) об'єкта інформаційної діяльності органу (організації)".

15. Визначити: головні задачі ТЗІ на ОІД; шляхи і засоби реалізації заходів ТЗІ з урахуванням технічної та економічної доцільності.

16. У разі наявності на ОІД АС (засобів EOT, ЛОМ, УАТС тощо) розробити "Модель (моделі) загроз для інформації, що обробляється в АС та модель (моделі) порушника"; оцінити можливі ризики; розробити політику безпеки інформації в АС.

Результати зазначених робіт є вихідними даними для проектування заходів ТЗІ на ОІД, а саме: розробки "Технічного завдання на створення комплексу ТЗІ ...", а у разі наявності на ОІД АС (засобів EOT, ЛОМ, УАТС тощо) - розробки "Технічного завдання на створення комплексної системи захисту інформації в АС...".


Порядок створення ІС

Створення інформаційних систем (ІС) органів державної влади має здійснюватись відповідно до постанови Кабінету Міністрів України від 4 лютого 1998 p. N 121 "Про затвердження переліку обов'язкових етапів робіт під час проектування, впровадження та експлуатації систем і засобів автоматизованої обробки та передачі даних", якою визначено перелік обов'язкових етапів робіт під час створення АС, які створюються повністю або частково за рахунок бюджетного фінансування для інформатизації органів виконавчої влади. Крім того, при цьому повинні бути враховані норми Закону України "Про захист інформації в автоматизованих системах".

Згідно з Законом забезпечення захисту інформації покладається на власника ІС, а обов'язковому захисту підлягає будь-яка інформація, необхідність захисту якої визначена її власником або діючим законодавством. Захист інформації, яка є власністю держави або належить до окремих видів, захист яких гарантується державою, повинен здійснюватися відповідно до вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.

Забезпечення захисту інформації в ІС полягає у створенні комплексної системи захисту інформації (КС3І) як невід'ємної складової компоненти ІС і яка являє собою сукупність організаційних та інженерно-технічних заходів, програмно-технічних засобів, що забезпечують необхідний рівень захисту інформації на протязі усього життєвого циклу ІС.

Для створення КСЗІ необхідно провести комплекс таких робіт:

- провести класифікацію інформації, що буде накопичуватися та оброблятися в ІС, за правовим режимом та за режимом доступу;

- провести аналіз середовищ функціонування ІС (інформаційного, технологічного, середовища користувачів, середовища потенційних порушників);

-        розробити модель загроз для інформації з врахуванням конкретнихумов експлуатації ІС та модель потенційних порушників;

- на підставі розроблених моделей розробити політику безпеки інформації, визначити специфікації функціональних послуг захисту інформації від несанкціонованого доступу та вимоги з захисту інформації від витоку технічними каналами. Всі ці вимоги мають бути включені до технічного завдання на створення ІС або до окремого ТЗ на створення КСЗІ;

- визначити механізми та заходи захисту, необхідні для реалізації вимог технічного завдання і забезпечити їх впровадження на об'єкті;

- забезпечити проведення експертизи захищеності інформації в ІС відповідно до Положення про державну експертизу у сфері технічного захисту інформації.

Зазначені роботи виконуються організацією-власником ІС з залученням підприємств, які мають відповідні ліцензії, ДСТСЗІ СБ України.

Згідно з Положенням про технічний захист інформації в Україні технічне завдання на створення інформаційних систем в органах державної АЛГОРИТМвлади погоджується з ДСТСЗІ СБ України, а витрати на заходи з 'ПІ включаються до загальної кошторисної вартості робіт із створення ІС.

Процедура експертизи КСЗІ в Україні є обов'язковою для ІС, що належить органам державної влади. Державна експертиза здійснюється у порядку, визначеному Положенням про державну експертизу в сфері технічного захисту інформації. За результатами експертизи ДСТСЗІ СБ України надає "Атестат відповідності" вимогам з захисту інформації, який є підставою для надання дозволу на обробку інформації в ІС.

Згідно з дорученням Кабінету Міністрів України від 31.10.2000 р. №2431 забороняється підключення ІС органів державної влади до глобальних комп'ютерних мереж і, зокрема, мережі Інтернет, якщо в цих АС обробляється інформація, що становить державну таємницю або захист якої забезпечується державою. Це має бути враховано власником ІС при виборі технології доступу і технічних рішень щодо цього.

Якщо у складі КСЗІ передбачається використання засобів захисту інформації, які на момент проектування КСЗІ не мають таких оцінок, то згідно з Законом України "Про захист інформації в автоматизованих системах" проведення їх сертифікації або експертної оцінки повинно здійснюватися під час проведення державної експертизи КСЗІ в умовах експлуатації конкретної ІС.

У разі використання засобів криптографічного захисту інформації в ІС, де здійснюється обробка секретної інформації та інформації для службового користування, вони, згідно з "Положенням про порядок здійснення криптографічного захисту інформації в Україні", повинні отримати від Департаменту допуск до експлуатації.

ДСТСЗІ СБ України відповідно до покладених на нього повноважень повинен забезпечувати супроводження робіт з створення КСЗІ (оцінка вимог та технічних рішень з захисту інформації, узгодження технічного завдання, узгодження результатів виконання окремих етапів робіт, контроль за проведенням державної експертизи КСЗІ тощо).

З переліком чинних в Україні нормативно-правових актів та нормативних з технічного та криптографічного захисту інформації, переліком організацій-ліцензіатів у цих галузях, переліком засобів захисту інформації, які мають сертифікати або експертні висновки щодо їхньої відповідності документам з захисту інформації та іншою більш детальною інформацією можна ознайомитися на WEB-сторінці ДСТС.ЗІ СБ України (www.dstszi.gov.ua).

-


АЛГОРИТМ


АЛГОРИТМ

Рис.2 - Генеральний план ОІД


Методичні рекомендації стосовно порядку розробки моделі загроз (МЗ) для інформації з обмеженим доступом (ІзОД), що циркулює на об'єктах інформаційної діяльності (ОІД)

Згідно з положеннями проекту НД ТЗІ "Протидія технічним розвідкам. Правила побудови та викладу моделі загроз для інформації"" до складу МЗ мають входити:

• схема і опис ситуаційного плану ОІД;

• схема і опис генерального плану ОІД;

• схема розташування та опис основних технічних засобів (ОТЗ);

• схема розташування та опис допоміжних технічних засобів та систем (ДТЗС);

• описи технічних каналів витоку інформації (ТКВІ).

Якщо до складу ОІД входить одна чи декілька автоматизованих систем, в яких обробляється ІзОД, МЗ має містити відповідно одну чи декілька окремих моделей загроз для кожної з цих систем.

На схемі ситуаційного плану ОІД мають бути відображені:

• контури і кількість поверхів в будинку, де знаходиться ОІД;

• місце розташування ОІД в будинку з позначенням поверху;

• межа контрольованої зони (КЗ);

• відстані від ОІД до меж КЗ;

• огорожа навколо будинку, де знаходиться ОІД;

• вулиці, що проходять поруч з ОІД, та відстані до них;

• контури оточуючих ОІД будинків, споруд, пагорбів тощо, з яких може вестися ТР, та відстані до них;

• дипломатичні представництва, установи іноземних держав і спільні підприємства та відстані до них;

• місця, сектори та межі зон можливого застосування стаціонарних і мобільних засобів ТР;

•        напрямок на північ.

В описі ситуаційного плану ОІД мають міститися відомості про умови розташування ОІД, його оточення, охорону та пропускний режим, технічні засоби охорони, сигналізації та контролю за проїздом, проходом і переміщенням рухомих засобів та осіб в межах КЗ, а також розміщені на ситуаційному плані об'єкти. Тобто, мають бути висвітлені всі фактори, за сприянням яких можуть виникнути передумови витоку ІзОД технічними каналами.

На схемі генерального плану ОІД мають бути відображені:

• виділені приміщення (ВП);

• суміжні приміщення (в одній площині з ВП);

• система електроживлення;

• система заземлення;

• системи життєзабезпечення (телебачення, звуковідтворення, радіотрансляції, гучномовного оповіщення, часофікації, теплопостачання, водопостачання, вентиляції каналізації тощо) ОІД;

•        системи охорони, сигналізації та контролю за обстановкою на ОІД.

За рішенням розробника МЗ на схемі генерального плану ОІД можуть бути відображені ОТЗ і ДТЗС, їх телекомунікації, а також будівельні та інженерні конструкції та комунікації, що виходять за межі КЗ.

В описі генерального плану ОІД мають міститися відомості про виділені приміщення, категорії ВП, характер ІзОД, що в них циркулює; призначення суміжних приміщень; розміщені на генеральному плані об'єкти; будівельні матеріали, з яких виконані стіни, стеля, підлога, вікна і двері виділених приміщень; елементи інтер'єру тощо. Якщо схема генерального плану ОІД перенасичена зображеннями та лініями, за рішенням розробника МЗ схеми систем електроживлення, опалення, вентиляції тощо, які виходять за межі КЗ, можуть бути виконані окремо.

На схемі розташування ОТЗ мають бути відображені: виділені приміщення з розміщеними в них ОТЗ; телекомунікації ОТЗ, які виходять за межі КЗ. Дозволяється відображення ОТЗ та їх телекомунікації, що виходять за межі КЗ, на генеральному плані ОІД, якщо це не перенаситить схему останнього зображеннями та лініями.

На схемі розташування ДТЗС мають бути відображені: виділені приміщення з розміщеними в них ДТЗС; телекомунікації ДТЗС, які виходять за межі КЗ; будівельні та інженерні конструкції та комунікації, які виходять за межі КЗ. Дозволяється відображення ДТЗС, їх телекомунікації, будівельних та інженерних конструкцій та комунікацій, що виходять за межі КЗ, на схемі розташування ОТЗ, якщо це не перенаситить останню зображеннями та лініями.

Опис ОТЗ та ДТЗС і наведення їх загальних характеристик дозволяється виконувати в табличному вигляді.

В розділі "Опис технічних каналів витоку інформації" мають міститися описи усіх можливих ТКВІ. В описі кожного ТКВІ повинні бути наведені відомості щодо можливих шляхів реалізації загроз для ІзОД, а також місць, секторів та меж зон можливого застосування стаціонарних і мобільних засобів ТР.


Додаток

Приклад моделі загроз для інформації, яка циркулює на об'єкті, щодо якого здійснюється технічна розвідка

Гриф секретності— строк засекречування - п. ЗВДТ

ЗАТВЕРДЖУЮ Начальник організації

"           "           200 р.

МОДЕЛЬ ЗАГРОЗ для інформації, яка циркулює на об'єкті, щодо якої о здійснюється технічна розвідка,

(повна назва об'єкта)

1 Ситуаційний план ОІД

1.1        Схема ситуаційного плану ОІД.

Схему ситуаційного плану ОІД наведено на рис. 1.

1.2       Опис ситуаційного плану ОІД.

ОІД знаходиться на 2-му поверсі 5-ти поверхового будинку за адресою: м. Київ, вул.           , буд. №            .

ОР має 7 приміщень і загальну площу - 93 м '.

Межа КЗ співпадає з цегляною огорожею навколо будинку, в якому знаходиться О'ГР. ,Відстані від будинку до огорожі складають: із заходу - 10 м, зі сходу - 7 м, з півдня - 3 м, зпівночі -7 м.    .

З півдня та з півночі від будинку довжиною 150 м знаходиться цегляна огорожа, висотою не менше 2,5 м. Інша огорожа, що знаходиться з заходу та сходу, довжиною 100 м, виконана з металоконструкції! висотою не менше 2 м.

Умови розташування ОІД - особливі (згідно з ТПКО-95).

Периметр КЗ обладнано системою охоронної сигналізації. Охорона та пропускний режим забезпечується силами воєнізованої охорони, яка має на озброєнні технічні засоби відеоспостереження та контролю за проїздом, проходом і переміщенням рухомих засобів та осіб по зовнішньому периметру і в межах КЗ.

Місця можливого розміщення стаціонарних та мобільних засобів ТР, а також напрямки, сектори та зони, з яких можливе ведення ТР, показані схематично на рис. 1.

Основні характеристики вулиць, що проходять поруч з ОІД наведено в табл. 1.

Таблиця 1 - Характеристики вулиць, що проходять поруч з О'ГР

 

№ з/п

Назва вулиці

Розташування відносно ОІД

Ширина частини для проїзду , м

Ширина

пішохідної

частини

Інтенсивність

руху автотранспорту

Наявність місць

неконтрольованоіо

перебування

автотранспорту

1

 

з півдня

20

2,5

висока

с

2

 

з півночі

10

1,5

низька

Є


Відомості про будинки, будівлі та споруди, що оточують О'ГР, наведені у таблиці 2.

Таблиця 2 - Об'єкти, що оточують О'ГР

 

 

№ з/п

Розташування

відносно ОІД

Кількість

ПОВС£ХІВ

Адреса

Характер діяльності

Відстань від ОІД, м

1

з півдня

4

 

житловий будинок

50

2

3 ПІВДНЯ

4

 

житловий будинок

50

3

із заходу

5

 

комерційна, спільне підприємство <назва підприємства-^ (2-й поверх)

15

4

з північного сходу

3

 

зовнішньополітична , консульство

республіки <назва країни>

спортивний майданчик(цегляна

огорожа висотою не < 2 м)

80

5

3 ПІВНОЧІ

%

 

30

6

зі сходу

-

 

штучний пагорб висотою 5 м

ПО

2 Генеральний план ОІД

2.1       Схема генерального плану ОІД.

Схему генерального плану О'ГР наведено па рис. 2.

2.2       Опис генерального плану ОІД.

2.2.1     Загальна характеристика будинку, в якому розташований ОІД.

Фундамент і стіни будинку - цегляні. Перекриття між поверхами - залізобетонні плити розміром 6.3x1,2x0,3. Поли - дубовий паркет. Покрівля будинку - скатна із оцинкованого покрівельного заліза на дерев'яних кроквах.

Електроживлення - централізоване. На внутрішній території, що охороняється, виконано декілька контурів заземлення.

Підключення систем теплопостачання, водопостачання, каналізації будинку здійснюється від міських мереж. Місця підведення труб водопостачання (холодної і гарячої води), каналізації, водяного опалення (теплотраси) та лінії міського зв'язку до будинку наведено на рис.2.

Територія навколо будинку впорядкована, має тверде покриття.

2.2.2   Характеристика виділених приміщень.ОІД має 5 ВП загальною площею 123 м2.

Перелік, призначення та категорія ВП наведені в табл. З.

 

Таблиця 3 - Відомості про виділені приміщення

 

з/п

№ ВП

у будинку

Назва (призначення) ВП

Категорія

1

20

Приймальня

11

2

21

Робочий кабінет

11

3

22

Кімната для проведення службових нарад

11

4

23

Кімната для відпочинку

11

5

24

Туалетна кімната

11

У ВП відпрацьовується документальна ІзОД, а також циркулює мовна інформації зі ступенем секретності - "таємно".

Виділені приміщення обладнано наступними системами: відкритого та закритого телефонного зв'язку; електроживлення та освітлення; охоронної сигналізації; пожежної сигналізації; кондиціювання; вентиляції; водопостачання; каналізації; опалення.

Зовнішня поверхня стіни ВП виконана з декоративно оштукатуреної цегли, а внутрішня її поверхня - з гіпсокартону. Стіна має загальну товщину близько 60 см.

Підлога і стеля виконані із залізобетонних плит (630x120x30 см). Покриття підлоги ВП виконано з дубового паркету (200x50x22 мм).


Стіни між виділеними приміщеннями виконані з подвійного гіпсокартону

(усередині - скловата) товщиною близько К) см. Стіни між ВП та іншими приміщеннями - цегляні, товщиною близько 30 см.

Вікна виділених приміщень - металопластикові пакети з подвійного прозорого скла, оздоблені вертикальними жалюзі. Вікна ВП № 23, 24 виходить у бік вул. (назва вулиці). Вікна ВП №№ 21, 23 виходять у бік вул. <пазва вулиці> та п'яти поверхового будинку, де на 2-му поверсі розташоване спільне підприємство <назва спільного підприємства ^. Вікно ВП № 20 виходить > у бік вул. <назва вуліщі>.

Вхідні двері до ВП № 20 - подвійні без ущільнення, до інших виділених приміщень -одинарні без ущільнення.

Схему розташування елементів інтер'єру у ВП наведено на рис.2;

Останній ремонт ВП проводився <час проведення ремонту>. Під час ремонту було демонтовано всі незадіяні електропровідні кабелі, дроти, ланцюги, елементи інженерних комунікацій, що проходили транзитом через ВИ.

2.2.3 Опис суміжних з ВП приміщень.

ВИ № 20 має такі суміжні приміщення: кімната для охорони (приміщення № 27) -праворуч від вхідної двері за стіною; приймальня (приміщення № 10) - прямо під ВИ; приймальня (приміщення № 30) - прямо над ВИ.

1311 № 21 маг такі суміжні приміщення: кабінет (приміщення № 11) - прямо під ВИ; кабінет (приміщення № 31) - прямо над ВИ.

ВИ № 22 має такі суміжні приміщення: склад майна (приміщення № 12) - прямо під ВИ; кімната для проведення нарад (приміщення № 32) - прямо над В11.

ВИ № 23 має такі суміжні приміщення: склад майна (приміщення № 12) - прямо під ВИ; кімната для відпочинку (приміщення № 33) - прямо над ВИ.

ВИ № 24 має такі суміжні приміщення: майстерня (приміщення № 13) - прямо під ВИ; кімната для відпочинку (приміщення № 34) - прямо над ВИ.

У зазначених суміжних приміщеннях не циркулює ІзОД. Деякі з них обладнані засобами відкритого зв'язку і офісною технікою.

Ні в суміжних приміщеннях, ні в будинку в цілому не працюють іноземні громадяни, неконтрольоване перебування сторонніх осіб унеможливлене.

З Основні технічні засоби

3.1       Схема розташування ОТЗ.

Розташування ОТЗ наведено на генеральному плані ОІД (ВИ № 21).

3.2       Опис ОТЗ.

До ОТЗ відносяться засоби закритого телефонного зв'язку (таблиця 4).

Таблиця 4 - Перелік ОТЗ, розміщених у ВП № 21

 

№ з/п

Найменування технічного засобу

Тип технічного засобу

Заводський номер

Місце розташування

Кількість, шт.

1

Телефонний апарат засекреченого зв'язку

"Абонент-5"

 

Робочий стіл ВП № 21

1

2

Апаратура засекречування

"Стрела"

 

Під робочим столом ВП№2І

1

Лінії електроживлення та заземлення засобів засекреченого зв'язку знаходяться в межах КЗ.

4 Допоміжні технічні засоби та системи

4.1       Схема розташування ДТЗС.

Розташування ДТЗС наведено на генеральному плані ОІД.

4.2       Опис ДТЗС.

Перелік ДТЗС, які встановлено у В11, наведено в таблиці 5.

Таблиця 5 - Перелік ДТЗС, розташованих у ВП

 

№ з/п

Найменування технічного засобу

Тип технічного засобу

Заводський номер

Місце розташування

Кількість. шт

1

Офісна АТС

 

 

Стіл ВП №20

1

2

Телевізор

Samsung CK-5399TBR

 

Праворуч від вхідної двері ВП №21

1

3

Телевізор

SonyKV21TlR

 

Ліворуч від вхідної двері ВП №22

1

4

Телевізор

SonyKV21C4R

 

Ліворуч від вхідної двері ВП №23

і

5

 

 

 

 

            ...           

Електроживлення ВП здійснюється від трансформаторної підстанції, яка знаходиться у межах КЗ та не мас сторонніх споживачів. Схему електроживлення та освітлення ВП наведено у <дата і помер документа проектної організацій.

Систему охоронної сигналізації прокладено в усіх ВП і виведено на пулы чергового охоронця (приміщення № 27) до вхідної двері ВП № 20.

Системою пожежної сигналізації обладнані ВП №№ 21, 22. Кінцеві ланцюги системи виведено на пульт чергового охоронця (приміщення № 27).

Кабельне телебачення підведене до будинку, в якому знаходиться ОІД, віт чотириповерхового житлового буднику <адреса будинку> з боку вул. <назва вупт(і>. Кабель РК-75 до ВП прокладено від приміщення № 17, де розташовані розподільчий щит та підсилювач, через суміжне приміщення № 27.

Система вентиляції здійснюється природно через вентиляційні канали, що знаходяться у ВП №№ 22, 24: крізний вентиляційний канал від суміжного приміщення № 13 проходить через ВП № 24 до суміжного приміщення № 34 і далі до даху; крізний вентиляційний канал від суміжного приміщення № 12 проходить через ВП № 22 до суміжного приміщення № 32 і далі до даху будинку. Розмір отворів - 15x15 см. Схему вентиляції наведено у <дата і помер документа проектної організацій.

Система водопостачання - труби гарячої та холодної води, які прокладено з підвального приміщення через суміжне приміщення № 13 по стояку до ВП № 24 і далі через суміжне приміщення № 34 до горища будинку. Схему водопостачання наведено у <дата і номер документа проектної організації>.

Система каналізації - труби, які прокладено у ВП № 24. Стояк каналізації прокладено від підвального приміщення через суміжне приміщення № 13 і ВП № 24 і далі через суміжне приміщення № 34 до п'ятого поверху будинку. Схему каналізації наведено у <дата і помер документа проектної організації>.

Система водяного опалення ВІТ- п'ять батарей, що розташовано по одній у кожному виділеному приміщенні. Груби стояків підведення води до батарей водяного опалення проходять через ВП та суміжні з ними приміщення першого та третього поверху з підвалу до горища будинку. Схему системи водяного опалення наведено у <дата і номер документа проектної організації^.

5 Телекомунікації ОТЗ і ДТЗС, а також будівельні та інженерні конструкції та комунікації, що виходять за межі КЗ

5.1 За межі КЗ виходять:

вентиляційні канали, що мають отвори у ВП № 22, 24; груби водяного опалення ВИ, що виходять через приміщення № 10+1.3 першою поверху та через приміщення № 30, 31, 33, 34 третього поверху;

груби холодної та гарячої води системи водопостачання, що виходять через приміщення № 13 першого поверху та приміщення № 34 третього поверху; кабель РК-75 системи кабельного телебачення; лінії системи пожежної сигналізації; кіпцеві ланцюги системи охоронної сигналізації; лінія закритого телефонного зв'язку; лінія відкритого міського телефонного зв'язку; радіоканали стільникового зв'язку стандартів GSM, NMT, DSC.

6 Описи технічних каналів витоку інформації            ,

6.1       Акустичний канал витоку  ІзОД

Акустичний канал може бути створений:

1)          шляхом безпосереднього прослуховування розмов, що ведуться у ВІК беззастосування спеціальних засобів ТР.

Найбільш сприятливі умови для прослуховування створюються під час циркуляції мовної  ІзОД у ВП із-за недостатньої звукоізоляції стін та дверей, а також за рахунок проходження повітряних каналів системи вентиляції у ВП №№ 22, 24 до суміжних приміщень, що розташовані над і під ВП;

2)         шляхом перехоплення мовних сигналів за допомогою портативних технічних засобівакустичної розвідки (диктофонів та магнітофонів) за межами ВИ. Ці засоби можутьвикористовувати вмонтовані та виносні провідні мікрофони з дальністю дії до 30 м.

Опис і загальні технічні характеристики сучасних спеціальних мікрофонів наведено, в розділі 7 Моделі ТР-2015;

3)         шляхом застосування мікрофонів направленої дії (МИД) та акустичних антен, щовстановлюються в зоні прямої видимості з вікон виділених приміщень, де циркулює мовна

 ІзОД.

Враховуючи міські умови і особливості розташування ОІД, а також наявність місць неконтрольованого перебування автотранспортних засобів поблизу будинку (табл.2), застосування МИД цілком імовірне. Застосування МИД з боку вул. <назва вулиці>* яка характеризується інтенсивним рухом автотранспорту та високим рівнем шуму, дещо ускладнюється.

Гранична допустима відстань, з якої може використовуватися МИД - до 70 м. Тактико-технічні характеристики сучасної апаратури МИД наведені в розділі 7 Моделі ТР-2015.

Імовірні місця розміщення та застосування МИД можуть бути (рисі):

приміщення другого поверху 5-иоверхового будинку, де розташоване спільне підприємство <назва підприємства >, що знаходяться із заходу на відстані 15 м;

приміщення 4-поверхових будинків, які знаходяться з півдня на відстані 50 м;

автомобілі, що зупиняються на протилежному боці вул. <назва вулиці> з півдня на відстані 45 м та вул. <назва вулиці> з півночі на відстані 17 м;

спортивний майданчик (20x40 м), який знаходиться з півночі на відстані 30 м:

приміщення 3-поверхового будинку консульства республіки <пазва країпи> та за цегляною огорожею консульства, що знаходиться з північного сходу на відстані - 80 м.

за цегляною огорожею, яка знаходиться з півночі на відстані 7 м.

6.2       Віброакустичний канал

Утворення віброакустичного каналу можливе завдяки вібраційним коливанням, спричиненим акустичним полем мови, що розповсюджуються будівельними конструкціями та жорсткими інженерними комунікаціями, елементи яких виходять за межі КЗ за рахунок недостатньої віброізоляції повітряних каналів системи вентиляції, шибок віконних отворів у ВП, недостатніх віброізоляційних властивостей труб систем водопостачання, водяного опалення та каналізації.

Приймання таких коливань може здійснюватися шляхом:

1) застосування портативних засобів акустичної розвідки (провідних стетоскопів) із записом інформативних сигналів на магнітні носії Ці засоби ТР можуть бути приховано встановлені на: повітряні канали системи вентиляції", груби гарячої та холодної води системи водопостачання; труби системи водяного опалення та каналізації, які виходять за межі КЗ;

2) дистанційного встановлення з відстані до 25 м високочутливих вібродатчиків (наприклад, типу РК 995 або PS) на елементи будівельних конструкції другого поверху будинку, перш за все, на віконні рами ВП.

Імовірні місця, з яких можливе дистанційне встановлення вібродатчиків (рисі):

дах і приміщення другого поверху 5-поверхового будинку, де розташоване спільне підприємство <назва підприємства^, які знаходяться із заходу на відстані 15 м;

за деревами поблизу спортивного майданчика (20x40 м), які знаходяться з півночі на відстані 20-25 м;

за цегляною огорожею, яка знаходиться з півночі на відстані 7 м.

3)         шляхом дистанційного перехоплення мовної  ІзОД лазерними засобами акустичноїрозвідки (ЛЗЛР), що встановлюються і» іоні прямої видимості з вікон Вії.

Враховуючи міські умови і особливості розташування ВП, наявність вікон в бік вулиць ■назви вулиць>, імовірність застосування ЛЗЛР є достатньо високою. До факторів, що знижують ефективність застосування ЛЗЛР слід віднести - високу інтенсивність руху автотранспорту та високий рівень шуму по нум. • інпва вутщі>.

Гранична допустима відстань для використання ЛЗАР в міських умовах складає близько 200 м. Тактико-технічні характеристики відомої апаратури ЛЗЛР наведено у розділі 7 Моделі ТР-2015.

Імовірними місцями розміщення та застосування ЛЗЛР можуть бути (рисі):

приміщення другого поверху 5-иоверхового будинку, де розташоване спільне підприємство <назва підприємстві^, що знаходяться із заходу на відстані 15 м;

приміщення 4-поверхових будинків, які знаходяться з півдня на відстані 50 м;

приміщення 3-поверхового будинку та інші споруди на території консульства республіки <назва країпи>, що знаходиться з півночі на відстані - 80 м.

6.3 Акустоелектричний канал

Акустоелектричний канал утворюється під впливом акустичного поля мови на технічні засоби, що встановлені у ВП, за рахунок акустоелектричного перетворення в електричних системах цих засобів та має самочинний характер.

Акустоелектричний канал може бути створений за рахунок:

1)         поширення інформативних акустичних сигналів дротовими лініями технічних засобів(ОТЗ та ДГЗС), які мають "мікрофонний ефект", наприклад, лінії відкритого телефонногозв'язку (дзвінкове коло, телефонні і мікрофонні капсулі абонентського телефонного апарату)та їх приймання засобами ТР, які підключаються до провідних ліній, що виходять за межі КЗ,в діапазоні від одиниць Гц до одиниць ГГц на відстанях до 100 м;

2)         електромагнітного ВЧ-випромінення, модульованого інформативним мовнимсигналом, в простір. Джерелами цих акустоелектричних перетворень можуть бутиелектронні схеми ДТЗС.

Перехоплення ТР інформативних сигналів ведеться із застосуванням радіоприймальних пристроїв систем і комплексів радіоелектронної розвідки в діапазоні від одиниць Гц до одиниць ГГц (найбільш поширений діапазон дії від 10 кГц до – 1 Гц). В залежності від потужності електромагнітних випромінювань дальність ведення ТР може складати від десятків до сотень метрів.

Найбільш імовірні місця розміщення і застосування засобів ТР:

приміщення другого поверху 5-поверхового будинку, де розташоване спільне підприємство <назва підприрмства>, що знаходяться із заходу на відстані 15 м;

автомобілі, що зупиняються на протилежному боці вул. <назва вупицї> з півдня на відстані 45 м та вул. <пазва вулиці > з півночі на відстані 17 м;

за цегляною огорожею, яка знаходиться з півночі на відстані 7 м.

6.4 Канали ІІЕМВМ

Канали витоку  ІзОД за рахунок ПЕМВН. утворюються: низькочастотними електромагнітними полями, які виникають під час роботи ОТЗ і ДТЗС; під час впливу на ДТЗС акустичних полів; під час виникнення активної і пасивної паразитної ВЧ-генерації в блоках ОТЗ і ДТЗС, а також під час взаємного впливу кіл ОТЗ і ДТЗС, наприклад, при паралельному пробігу кабелів і проводів різних систем з проводами та системами, якими передається  ІзОД.

Розвідка ПЕМВН здійснюється шляхом приймання та аналізу електромагнітних випромінювань, які виникають під час роботи встановлених у ВП ОТЗ і ДТЗС, а також наводів інформативних сигналів в телекомунікаціях ОТЗ і ДТЗС, які виходять за межі КЗ.

Розповсюдження ПЕМВН на значні відстані обумовлює можливість застосування ТР спеціальних стаціонарних або портативних радіоприймальних пристроїв в діапазоні від одиниць Гц до 10 ГГц, які реалізують оптимальні методи перехоплення і здатні весні розвідку на відстані близько 100 м.

Гак, цілком імовірно застосування:

спеціальних Стаціонарних радіоприймальних пристроїв, які можуть бути розташовані у приміщеннях спільного підприємства <иазва тдприс.мства>, розташованого на другому поверсі 5-иоверхового будинку, який знаходиться із заходу на відстані 15 м, а також приміщеннях 3-поверхового будинку та інших споруд на території консульства республіки <назва країни>, що знаходиться з півночі на відстані - 80 м;

портативних засобів ТР, які можуть бути розташовані в автомобілях, що зупиняються на протилежному боці вул. <назва ву.пиці> з півдня на відстані 45 м та вул. <пазва вумщі> з півночі на відстані 17 м, а також за цегляною огорожею, яка знаходиться з півночі па відстані 7 м;

спецапаратури ТР, за допомогою якої здійснюється контактний зйому електричних сигналів з ліній міського зв'язку за межами КЗ.

6,5 Параметричні ТКВІ

Параметричні ТКВІ утворюються під час реалізації ТР методів активною перехоплення інформативних сигналів шляхом:

1)          ВЧ-опромінення ОТЗ з відстаней до 100 м;

2)         ВЧ-нав'язування струмопровідними колами ОТЗ, які виходять за межі КЗ звідстаней до 300 м.

Найбільш імовірною є організація параметричного ТКВІ методом ВЧ-опромінення. При цьому місцями можливого розміщення спецапаратури ТР будуть: ,

приміщення другого поверху 5-поверхового будинку, де розташоване спільне підприємство <пазва підприсмства>, який знаходиться із заходу на відстані 15 м;

приміщення 4-поверхових будинків, які знаходяться з півдня на відстані 50 м;

приміщення 3-поверхового будинку та інших споруд на території консульства республіки <ішзва краЬш>, що знаходиться з півночі на відстані 80 м.


Загальні вимоги на складання ТЗ

Технічне завдання (ТЗ) на розроблення комплексу технічного захисту інформації (КТЗІ) являється обов'язковим документом при створенні комплексу (системи) технічного захисту інформації (далі - комплексу) на об'єкті інформаційної діяльності (ОІД), де має циркулювати інформація, яка підлягає захисту інженерно-технічними заходами від витоку технічними каналами.

ТЗ на комплекс ТЗІ є основним документом, що визначає вимоги до нього, порядок його "розроблення (модернізації), впровадження та приймання результатів розроблення (модернізації).

ТЗ як правило розроблюється за рішенням замовника на підставі результатів передпроектних досліджень. Можливе проведення передпроектних досліджень та розроблення комплексу, чи проведення передпроектних досліджень, розроблення комплексу та атестації, чи передпроектних досліджень та атестації за єдиним ТЗ. У цих випадках за результатами передпроектних досліджень ТЗ підлягає уточненню.

ТЗ розробляє замовник та узгоджує з (головним) виконавцем. Можливо, розроблення ТЗ розробником; в цьому випадку замовник затверджує його.

ТЗ на створення комплексів для особливо важливих об'єктів замовник погоджує з Департаментом. ТЗ може узгоджуватись з іншими органами та установами на розсуд замовника.

Вимоги, що включаються до ТЗ повинні відповідати сучасному рівню розвитку науки і техніки і, зокрема, сфери технічного захисту інформації і не поступатися подібним вимогам, яким відповідають кращі вітчизняні і зарубіжні аналоги. Вимоги ТЗ не повинні обмежувати розробника в пошуку і реалізації найбільш ефективних технічних, техніко-економічних та інших рішень.

Зміни до ТЗ оформлюють доповненням за підписом замовника, виконавця та інших установ, які погоджували ТЗ, і яких вони стосуються. Доповнення є невід'ємною частиною ТЗ (на титульному листі має бути зроблений напис "Діє з Доповненням №").

Рекомендований склад і зміст технічного завдання

ТЗ містить розділи, які можуть бути поділені на підрозділи:

1) загальні відомості;

2) вихідні дані;

3) вимоги до комплексу

4) вимоги до документації.

5) етапи та порядок приймання робіт.

В залежності від складності, призначення та особливостей комплексу допускається оформляти розділи у вигляді додатків, вводити інші, виключати чи об'єднувати.

В розділі "Загальні відомості" наводять:

1) повне найменування комплексу та об'єкту, для якого він призначений;

2) перелік документів, на підставі яких має створюватися комплекс, ким і коли вони затверджені;

3) перелік документів, які містять результати передпроектних досліджень;

4) найменування установ розробника (розробників) і замовника;

5) розподіл робіт між співвиконавцями.

6) порядок оформлення і подання замовнику результатів виконання робіт.

Розділ "Вихідні дані" повинен містити:

1) відомості про інформацію, що підлягає захисту (далі - інформація);

2) окремо для кожного виду інформації - відомості про технічні засоби, на яких передбачається її оброблення (далі - основні технічні засоби, ОТЗ);

3) окремо для кожного виду інформації відомості про елементи середовища її поширення, що можуть спричиняти витік: електрорадіотехнічні засоби, не призначені для оброблення інформації, елементи будівельних конструкцій, системи життєзабезпечення, елементи інтер'єру тощо (далі - допоміжні технічні засоби, ДТЗ);

В розділ "Вимоги до комплексу" включають підрозділи:

- склад комплексу та вимоги із захисту;

- вимоги з надійності;

- вимоги щодо стійкості до зовнішніх впливів;

- вимоги з експлуатації;

- вимоги з стандартизації та уніфікації;

- додаткові вимоги.

До підрозділу "Склад комплексу та вимоги із захисту" окремо по кожному виду інформації, яка підлягає технічному захисту, включають відомостіщодо типів ОТЗ та ДТЗ, а також вимоги до рівня захисту інформації, визначеніпід час їх категоріювання на етапі передпроектних досліджень)*.

В підрозділі зазначають про надання переваги застосовуванню технічних засобів (основних та допоміжних) із захистом інформації перед використанням "незахищених" засобів з засобами ТЗІ, пасивних засобів захисту перед активними, вітчизняних засобів перед імпортними.

У підрозділі можуть міститися відомості про допустимість застосовування засобів ТЗІ, спеціально створюваних для використання на конкретному об'єкті (наприклад, екрановані приміщення, тощо), та вимога обґрунтування такої необхідності, а також загальний порядок їх створення.

У підрозділі має бути зазначено, що засоби забезпечення ТЗІ загального призначення, застосовувані в комплексі, повинні мати сертифікат або експертний висновок щодо відповідності вимогам технічного захисту інформації від витоку саме тими каналами витоку, які існують на об'єкті. Застосування імпортних ОТЗ та таких імпортних ДТЗ, які є засобами ТЗІ і засобами контролю за ефективністю ТЗІ, допускається за умови відсутності вітчизняних аналогів та у разі техніко-економічного обґрунтування і лише після їх сертифікації або за наявності позитивного експертного висновку.

Застосовувані ДТЗ, які не є засобами забезпечення ТЗІ (засоби та системи життєзабезпечення, засоби оргтехніки, елементи інтер'єру тощо) повинні бути піддані визначальним випробуванням шляхом проведення спецдосліджень для виявлення наявності та характеристик можливих каналів витоку інформації, що циркулюватиме на об'єкті. Підрозділ може містити вимоги щодо взаємодії з іншими комплексами (системами) захисту інформації та безпеки об'єкта (наприклад, з комплексною системою захисту інформації в автоматизованій системі, з іншими системами - фізичної, протипожежної безпеки, систем енергоживлення, життєзабезпечення тощо).

В підрозділі можуть бути зазначені економічні показники.

В підрозділі "Вимоги з надійності" вміщують склад і кількісні показники з надійності, Перелік нештатних ситуацій, під час виникнення яких мають забезпечуватися ці показники, вимоги до методів оцінки показників надійності відповідно до ГОСТ 27.002 та ГОСТ 27.003.

Підрозділ "Вимоги щодо зовнішніх впливів" має містити вимоги до стійкості та сталості параметрів захищеності під час зовнішніх впливів в середовищі використання.

До підрозділу "Вимоги з експлуатації" включають:

-        вимоги технічного обслуговування (постійне, періодичне, без обслуговування);

- вимоги до періодичних перевірок обслуговуючим персоналом рівня обмеження доступу до циркулюючої на об'єкті інформації, умов функціонування комплексу, які впливають на загрози для цієї інформації, та параметрів комплексу за призначенням, а також вимоги до метрологічного забезпечення вимірювань параметрів, які підлягають періодичним перевіркам;

- вимоги до зручності експлуатації;

- вимоги до кваліфікації обслуговуючого персоналу;

- вимоги з безпечного застосування комплексу та його засобів згідно з відповідними нормативними документами щодо безпеки здоров'я, екологічної безпеки та щодо завадозахищеності;

- вимоги щодо гарантій відповідності комплексу вимогам ТЗ за додержання умов та вимог експлуатації, передбачених експлуатаційними документами;

- у разі використання активних засобів зашумлення радіодіапазону - вимоги узгодження застосування таких засобів на об'єкті з органами Укрчастотнагляду.

В підрозділі "Вимоги з стандартизації та уніфікації" містяться такі вимоги:

- забезпечити відповідність застосовуваних технічних рішень нормативним документам з ТЗІ;

- застосовувати типові технічні рішення згідно з методичними вказівками та рекомендаціями щодо заходів забезпечення ТЗІ від відповідних загроз;

- під час розроблення комплексів технічного захисту інформації, необхідність охорони якої визначено законодавством, застосовувати лише такі засоби

забезпечення ТЗІ, які мають сертифікат або експертний висновок щодо їх відповідності вимогам ТЗІ, одержані в установленому порядку.

Підрозділ "Додаткові вимоги" має передбачати:

- у разі проведення робіт під час створення комплексу (до передачі його замовнику) із радіовипромінюванням активних засобів захисту - вимоги щодо узгодження таких робіт з органами Укрчастотнагляду;

- вимоги про включення до складу комплексу (за необхідності) відповідної сервісної апаратури, в тому числі контрольно-вимірювальних приладів для проведення обслуговуючим персоналом періодичних перевірок основних параметрів комплексу щодо захисту інформації;

- вимоги на всіх етапах робіт на об'єкті під час створення комплексу передбачувати у взаємодії із замовником забезпечення проведення заходів щодо недопущення встановлення та щодо пошуку закладних пристроїв несанкціонованого одержання інформації. Такі заходи мають бути також передбачені експлуатаційними документами на комплекс;

- вимоги, пов'язані з перспективами модернізації та розвитку об'єкта (у разі наявності);

- інші вимоги на розсуд замовника чи розробника.

Розділ "Вимоги до документації" повинен визначати вимоги щодо технічної документації. В розділі має бути визначений перелік документів, створюваних на окремих етапах розроблення комплексу, та порядок їх розгляду замовником та іншими установами відповідно до особливостей документів та комплексу, зокрема повинно бути зазначено, програми і методики яких випробувань комплексу належить розробити за цим ТЗ.

Вимоги до документів складових комплектуючих частин мають відповідати вимогам ЄСКД, стандартам в галузі будівництва та іншим чинним НД. У разі якщо специфіка конкретного комплексу вимагає створення документів, вимоги до яких не визначені НД, додатково включають вимоги до складу та змісту таких документів (наприклад, план розміщення в приміщенні елементів інтер'єру або технічних засобів чи засобів оргтехніки, які не мають засобів закріплення, але від взаєморозташування яких залежить забезпечення вимог з ТЗІ тощо).

Розділ "Етани та порядок приймання робіт" повинен містити вимоги щодо етапів створення комплексу та порядку приймання робіт. Розділ повинен містити відомості про взаємоузгодженість етапів створення комплексу, етапів розроблення проектно-кошторисної (будівельної) документації та здійснення будівельних робіт.

У розділі мають міститися вимоги щодо авторського нагляду під час розроблення робочої документації та здійснення будівельно-монтажних та налагоджувальних робіт.


Прим.№

ЗАТВЕРДЖУЮ (посада та прізвище керівника організації)

"           •' _;      200 р.

АКТ

обстеження об'єкта інформаційної діяльної

м. Харків               "               "               200 р.

•. *Згідно з наказом           від           р. №       комісія у складі:

Голови комісії      ;               членів: -в період з ______________ по 200_ р. провела обстеження та оцінку захищеності інформації, що циркулює на об'єкті ін формаційної діяльності (ОІД) від витоку технічними каналами, а також від несанкціонованого доступ (НСД) до інформації, то обробляється в АС (засобами EOT, ЛОМ, УАТС тощо) ОІД. Далі під інформацією розуміється інформація, яка містить відомості, піднесені законодавством України до державної таємниці, а також конфіденційнаінформація, яка є власністю держави (ІзОД).

Комісією розглянуто та проаналізовано:

- схему контрольованої зони (КЗ) ОІД (Додаток 1);

- ситуаційний план ОІД (Додаток 2);

- генеральний план ОІД (Додаток 3);

- умови розташування та функціонування ОІД;

- перелік та схеми розміщення на ОІД основних та допоміжних технічних засобів і систем (ОТ3 і Д'ГЗС) (Додаток 4, Додаток 5);

- схеми систем життєзабезпечення та інженерних комунікацій (Додаток 6);

- акти та іншу технічну документацію на ОТЗ і ДТЗС, розташованих у ВП;

- наявність нормативних документів системи ТЗІ та експлуатаційних документів, які забезпечують інформаційну діяльність на об'єкті.

Комісія установила:

1.             ОІД розташований на ___ поверсі будинку______за адресою:          , кімнати №№ ___. Вікна приміщень ОІД виходить у бік вул. <назва вулиці (вулиць)>.

2.             На ОІД циркулює і підлягає захисту наступна інформація:

-               таємна та конфіденційна мовна інформація. Циркуляція мовної ІзОД відбувається під час проведенняслужбових нарад, переговорів, зустрічей, а також розмов із використанням засобів закритого телефонного зв'язку

та абонентських телефонних апаратів установської АТС (УАТС) з питань     - <перелік

статей ЗВДТ>. Найвищій гриф секретності мовної ІзОД-"цілком таємно";

-               секретна та конфіденційна інформація з питань    - <пере.чік статей ЗВДТ>, що

обробляється в АС. Найвищій гриф секретності ІзОД - "таємно". Категорія АС (засобів EOT, ЛОМ, УАТС тощо), розташованих на ОІД, - третя згідно "Акту про визначення категорії АС (засобів EOT, ЛОМ, УАТС тощо) ..." (Додаток 7);

-               секретна та конфіденційна документальна інформація з питань      : - <перелік статей

ЗВДТ>, яка зберігається на паперових та магнітних носіях (накопичувачах на жорстких і гнучких магнітних дисках), міститься у графічному чи буквенно-цифровому виді у вигляді графіків, таблиць та інших наочних посібників і може демонструватися під час проведення закритих заходів. Найвищій гриф секретності документальної ІзОД -"цілком таємно".

3.             Відстань від ОІД до межі КЗ становить м. Найменша відстань від ОІД до місць можливого розміщення

стаціонарних засобів технічних розвідок (акустичної, оптико-електронної, радіоелектронної тощо) становить м (див. Додаток 2).

4. Перелік ОТЗ і ДТЗ наведено у Додатку 4, а їх розташування - у Додатку 5.

5. Абонентські лінії телефонних апаратів УАТС, кросове обладнання та лінії систем охоронної та пожежної сигналізації знаходяться в межах (за межами) КЗ.

6. Знижувальна трансформаторна підстанція <тнп підстанції>, від якої живляться ОТЗ і ДТЗС, знаходиться в межах (за межами) КЗ. Низьковольтна сторона трансформаторної підстанції сторонніх споживачів за межами КЗ не мас (мас).

7. За межі КЗ виходять наступні елементи ОТЗ, ДТЗС, інженерні конструкції та комунікації: (див. Додаток 3).

8. На ОІД наявні (відсутні) транзитні, пСзадіяні (повітряні, настінні, зовнішні та закладені в каналізацію) кабелі, кола, проводи та інші комунікації, які необхідно демонтувати (або залишити вказати причину) в інтересах забезпечення безпеки  ІзОД (додаток І).

9. Спецдослідження ЛС (засоби EOT, ЛОМ, УАТС, інші ОТЗ тощо) та ДТЗС, що розташовані на ОІД, на наявність технічних каналів витоку інформації проводилися (не проводишся) (Акти, протоколи від            №            ).

10.           Сповіщувач пожежний (Додаток 4) не потребує додаткових заходів із захисту, оскільки мас сертифікатзахищеності (включений до Переліку технічних засобів...).

11. На ОІД наявність нормативних документів системи ТЗІ складає 20 %, а експлуатаційних документів --80%. Перелік наявних документів наведено у Додатку 8.

Висновки:

1. Захищеність мовної  ІзОД, що циркулює на ОІД відповідає (не відповідає:) вимогам нормативних документів з питань захисту мовної інформації.

2. Захищеність ІзОД, яка обробляється и АС (засобами EOT, ЛОМ. УАТС тощо), відповідає (не відповідає) вимогам нормативних документів з питань захисту інформації в АС.

3. Захищеність документальної  ІзОД, що циркулює на ОІД, повністю забезпечена (не забезпечена) виконанням режимно-секретних заходів на ОІД органу (організації)           •

V

Комісія рекомендує:

1. Демонтувати (використовувати за іншим призначенням) такі транзитні, незадіяні (повітряних, настінних. зовнішніх та закладених в каналізацію) кабелі, кола, проводи, наявні на ОІД:                        .

2. Вилучити з ОІД технічні засоби і системи, застосування яких не передбачено службовою необхідністю згідно додатку І.

3. Для забезпечення всього комплексу робіт із ТЗІ придбати необхідні нормативні документи системи ТЗІ та експлуатаційні документи.

4.             Використати результати обстеження ОІД для розробки "Моделі загроз для  ІзОД, яка циркулює на ОІДоргану (організації")                " та "Технічного завдання на створення комплексу ТЗІ на ОІД органу (організації)       ".

5.             Використати результати обстеження ЛС (засобів EOT, ЛОМ, УАТС тощо), розташованих на ОІД, длярозробки "Модель (моделі) загроз для інформації, що обробляється в АС та модель (моделі) порушника ..."та "Технічного завдання на створення комплексної системи захисту інформації в АС ..." .

Додатки: І. Схема контрольованої зони (КЗ) ОІД, №                від           ;

2. Ситуаційний план ОІД. №           від           _;

3. Генеральний план ОІД. №          віл           ;

4. Перелік ОТЗ і ДТЗС, № ~~ від _J               ;

5. Схема розміщення ОТЗ і ДТЗС, №           від           ;

6. Схеми систем життєзабезпечення та інженерних комунікацій.

7. Акту про визначення категорії ЛС (засобів EOT, ЛОМ, УАТС тощо) ..., № _____ від                ,

8. Перелік НД ТЗІ та експлуатаційних документів, наявних на ОІД станом на 2003 р.

Голова комісії                                     

(підпис) (ініціали, прізвище)

члени комісії        ;                                               ш             


типовий опитувач

для проведення обстеження ОІД та формування моделі загроз для інформації, яка циркулює на ОІД

Таблиця 1 3агальні відомості про ОІД _

з/п

 

Характеристика

Опис

Примітка

1.

Призначення

 

 

 

2.

Дата початку експлуатації

 

 

 

2.

Загальна площа, м2

 

 

 

3.

Поверх розташування

 

 

 

 

 

 

 

 

Таблиця 2 - Наявність та перелік на ОІД нормативної та експлуатаційної документації

 

№ ч/ч

Назва документу

Дата початку

використання на

ОІД

Організація, з

якої отримано

док\мент

Нормативні документи системи ТЗІ

 

... | ... І

...

Висновок: Рівень забезпеченості НД ТЗІ на ОІД ..„%■ Для повного забезпечення необхідно придбати для ОІД такі НД ТЗІ:             .

використовувати

Експлуатаційна документація, яка забезпечує інформаційну діяльність на об'єкті

 

 

...

Висновок: Рівень забезпеченості експлуатаційними документами на ОІД             %. Для повного забезпечення придбати і використовувати такі експлуатаційні документи:

ня необхідно

Документи, які досліджуються або створюються підчас обстеження об'єкта

 

 

1.

Наказ про призначення комісії для проведення обстеження ОІД

 

 

2.

Перелік виділених приміщень

 

 

3.

Акт обстеження ОІД

 

.               :__..'—

4.

Наказ про призначення комісії для проведення категоріювання ОІД

 

 

 

5.

Перелік ІзОД за видами, грифом секретності та % співвідношенням

 

 

 

6.

Акт (акти) категоріювання виділених приміщень

 

 

7.

Акт (акти) категоріювання засобів АС

' ...

...

8.

План-схема (схеми) контрольованої зони (зон)

 

 

9.

Ситуаційний план будинку, де розташований ОІД'

 

 

10.

Генеральний план будинку, де розташований ОІД"

 

 

11.

План розташування ОІД

 

 

- за результатами аналізу "Ситуаційного плану будинку, де розташований ОІД" розробляється "Фрагмент ситуаційного плану ОІД". який повинен містити: межу контрольованої зони (зон); відстані віл вікон . зовнішніх стін ОІД (межі КЗ) до будинків і споруд, що знаходяться навколо ОІД в зоні 200 м в умовах промислового міста та 500 м в інших випадках. кути напрямків на ні об'єкти (кути місця) відносно площин стін ОІД; призначення і адреси вказаних будинків і споруд: розвіднебезпечні сторони цих будинків і споруд та місця можливого розміщення стаціонарних та портативних (таких, що носять, возять) засобів технічних розвідок; місця неконтрольованого перебування транспортних засобів (місця паркування, стоянок, місця тимчасовою перебування) поблизу з ОІД: межі зон (секторів) можливого розміщення та застосування 3ТР . а саме - мікрофонів направленої дії (МНД), лазерних засобів акустичної розвідки (ЛЗАР). засобів оптико-електронної розвідки тощо: напрямок на північ: перелік умовних позначень.

- за результатами аналізу "Генерального плану будинку, де розташований ОІД" розробляється "Фрагмент генерального плану ОІД", який повинен містити: місця розташування примкнень ІОД та суміжних з ними приміщені, (які знаходяться з боків, пал і піл ОІД); приміщення (місця) в будинку, де працюють або можливе неконтрольоване перебування іноземних громадян та сторонніх осіб, які розташовані поблизу ОІД; експлікація приміщень, "ОІД та суміжних з ними приміщень: місця підведення до будинку телекомунікації), інженерних комунікацій: напрямок на північ: перелік умовних позначень. Якщо ОІД нескладний, то "Фрагмент генерального плану ОІД" додатково може містити: місця розміщення Основних (О'ГЗ) і допоміжних технічних засобів і систем (ДТЗС). елементів інтер'єру; місця прокладення ліній та систем життєзабезпечення та інженерних комунікацій; місця виходу елементів ОТЗ і ДТЗС, комунікацій та інженерних конструкцій ОІД за межі КЗ та інші відомості необхідні для визначення переліку можливих загроз для інформації.

 

Таблиця 4 - Відомості щодо оточення об'єкта (будинки, будівлі і споруди, де розташовані іноземні диппредставництва і місії, представництва міжнародних організацій, помешкання іноземних громадян тощо)

Розташування

Назва

Характер діяльності

Адреса

Відстань іо

з/п

відносно ОІД

будинку.

(адміністративний, комерційний.

 

КЗ. м

 

(з півдня, з півночі ..)

будівлі або

зовнішньополітичний...)

 

 

 

 

споруди

 

 

 

 

 

 

 

-

 

Таблиця 5 - Характеристика вулиці, навколо ОІД

з/п

Назва

вулиці

Розташування

відносно ОІД

(з півдня, з півночі ...)

Ширина

проїзної

частини, м

Ширина

пішохідних

частин (парної.

непарної), м

Інтенсивність

руху

автотранспорту

(висока, середня.

низька)

Наявність місій, неконтрольованого

перебування автотранспорту

,

 

 

*.

 

 

 

 

Формалізовані результати аналізу наявних засобів зв'язку та автоматизації: пили зв'язку (провідний, радіо- (в тому числі, мобільний радіозв'язок), радіорелейний, тропосферний, космічний за рівнем захищеності - засекречений, конфіденційний, відкритий: схеми підключення кінцевого обладнання до міської АТС; відомчої АТС: технологічні процеси, інігіхн та пошки обміну ІзОД. операційні системи (сеpедовища) в АС (засобах ВОТ, ЛОМ тощо).

Таблиця 6 - Основні технічні засоби

Найменування (тип)

1 Іри іначсиня

Інв. №

Заводської

Ступінь секретності

Вихід

з/п

прим. ОІД

 

 

номер

інформації, що обробляється

є група провідних ліній за межі КЗ

 

 

 

 

 

 

 

 

Таблиця 7 -Допоміжні технічні засоби та системи

з/п

прим.

ОІД

Найменування (гни)

Інв. №

Призначення

Заводської номер

Вихід за ме'.і

 

 

 

 

 

 

 

Таблиця 8 - Відомості про діючі засоби і комплекси 131 на РІД

 

№ Найменування (тип) Inn. № Призначення прим. ОІД

Заводської номер

Наявність сертифікату .

Наявність схеми розташування (підключення)

 

 

 

 

 

 

 

Таблиця 9 - Відомості про наявність ОТЗ у захищеному виконанні

 

№ Найменування ОТЗ прим. ОІД

Призначення або характеристика механізму (системи) захисту

Наявність технічних

умов, узгоджених э

Департаментом

Ступінь

забезпечення

захисту інформації

 

 

 

 

 

Таблиця 10 - Характеристика систем життєзабезпечення

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

№ Найменування Характеристика ч/ч системи

Опис

1.

Система

електроживлення та освітлення

Особливості підключення ло розподільчих щитків будинку та ТІ 1

'

Схема електроживлення та освітлення

<дата і номер документа*

Вихід за межі КЗ

 

2.

Система заземлення

Види заземлення (захисне, робоче)

 

Схема заземлення, протокол вимірювання опору заземлення ■

■<дата і номер документів*

Вихід за межі КЗ

 

3.

Система радіотрансляції

Тип радіотрансляції (місцева, міська тощо)

 

Наявність підсилювача

 

Схема проходження кіл радіотрансляції

<дата і номер документа*

Вихід за межі КЗ

 

4.

Система оповіщення

Тип технічних засобів оповіщення

 

Схема проходження кіл системи оповіщення

<дата і помер документа*

5.

Система телебачення

Тип телебачення (місцеве, кабельне тощо)

 

Тин і кількість обладнання (приймальні антени, підсилювачі тощо)

 

Схема організації телебачення

<дата і номер документа*

Вихід за межі КЗ

 

7.

Система вторинної електрочасофікаиії

Марка сисгеми

 

 

Місце розташування первинних годинників

 

 

Схема проходження ліній електрочасофікаиії

<дата і номер документа>

 

Вихід за межі КЗ

 

 

8. <■).

Система

пожежної

сигналізації

Тип і кількість датчиків (фотооптичні детектори, інше)

 

 

Місце розташування пульта

 

 

Схема розташування датчиків і ліній пожежної сигналізації

<t)ama і номер док\'мента>

 

Вихід за межі КЗ

 

 

Система

охоронної сигналізації

Тип і кількість датчиків і засобів (акустичні детектори. інфрачервоні датчики руху, інші засоби)

 

 

Місце розташування пульта

 

 

Схема охоронної сигналізації

<дата і номер документа

 

Вихід за межі КЗ

 

 

 

 

 

 

Таблиця 11 -Опис суміжних приміщень, які розташовані з боків, над і під приміщеннями РІД

 

 

№ прим.

Згідно

експлікації

Місце знаходження

відносно ОІД

(ліворуч, праворуч тощо)

Призначення

(характер робіт, що

проводяться)

Технічні засоби і системи для

обробки інформації (тип,

кількість, призначення)

Наявність сумісних

проводів, кіл і

ланцюгів

 

 

 

 

 

Габлиця 12 - Опис приміщень, де працюють або можливе неконтро.іьованс перебування іноземних громадян, інших сторонніх осіб, що знаходяться поруч з ОІД

1 Іомср

приміщення

Місце знаходження

відносно ОІД

(ліворуч, праворуч тощо)

Відстань до ОІД. м

1 Іризначення

(характер робіт, що проводяться)

Наявність сумісних

проводів, кі.і і

ланцюгів

 

 

 

 

 

Габлиця ІЗ - Відомості про наявність на ОІД транзитних, иезадіяних (повітряних, настінних, зовнішніх та закладених в каналізацію) кабелів, кіл, проводів та інших комунікацій

№ з/п

1 Іалежиість до системи

Опис проходження на ОІД

Висновок'щодо

демонтування або

подальшого використання

 

 

 

 

Таблиця 14 - Відомості про наявність на ОІД засобів і систем, застосування яких не передбачено службовою необхідністю

 

 

 

з/п

Найменування засобу або системи

Призначення на ОІД

Висновок щодо вилучення або подальшого використання

 

 

 

 

Таблиця 15 - Відомості про інженерні комунікації

 

№ з/п

Найменування системи Характеристика

Опис (значення)

1.

Система вентиляції

Тип (природна, примусова)

і

 

 

 

 

Кількість і розмір отворів

 

 

 

 

Схема системи вентиляції

<дата і номер документа

 

 

 

 

Наявність користувачів за межами КЗ

 

2.

Система кондиціювання

Тип і кількість кондиціонерів

 

 

 

 

 

Схема системи кондиціювання

<дата і номер документів

 

 

 

 

Наявність користувачів за межами КЗ

 

3.

Система теплопостачання

(опалення)

Тип (центральне, місцеве водяне, інший тип)

 

 

 

 

 

Тип та кількість батарей і стояків

 

 

 

 

 

Тип калорифера

 

 

 

 

 

Інше обладнання

 

 

 

 

 

Схема системи теплопостачання

<дата і номер документів •

 

 

 

 

Наявність користувачів за межами КЗ

 

4.

Система водопостачання

1 Іаявність труб холодної та гарячої води

 

 

 

 

 

Схеми водопостачання

<дата і номер документа >

 

 

 

 

Наявність користувачів за межами КЗ

 

5.

Система каналізації

Схема каналізації

<дата і номер документів

 

 

 

 

Наявність користувачів за межами КЗ

 

Таблиця 16- Віломосіі проархітектурно-будівельні конструкції

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

№ Найменування ч/ч конструкції

Характеристико

Опис (значении)

1.

Підлої и

Матеріал (залізобетон, дерев'яне або на .череп'яних бачках, інші матеріали) Товщина, м

Матеріалу покриття підлоги (паркет, плити, лінолеум, керамічна плітка, інші матеріали)

і

і І

2.

Стеля

Матеріал (залізобетон, дерев'яне або на .череп'яних балках, іншій) Товщина, м

Покриття стелі (підвісна стеля (тим. повітряний затор, м). гіпсолітовий (товщина зазору, м). штукатурка (тип. товщина, м). інше)

3.

Перегородки між гіримішеїиіями

Матеріал (бегон. цегла, гіпсокартоні плити, фанера на брусках, дрепесно-волокнистн плити, інший (тип. товщина, м))

 

Матеріал, що знаходиться у середині (стекло пата, базальтові или їй. інші матеріали (тип, товщина, м)

 

Оздоблювальні матеріали (шпалери, керамічна плічка, інші матеріали (чин. товщина, мм))

 

Загальна товщина перегородок, м

 

4.

Зовнішні стіни

Основний матеріал (залізобетон, цегла, інші матеріали (тин. товщина, м)

 

Зовнішні покриття (штукатурка вапняна товщина, м; декоративна штукатурка (тип, товщина, м), фасадна фарба (марка, піп), інші матеріали) Внутрішні покриття (гіпсокартонна плита (з утеплювачем чи без нього). акустична штукатурка АЦП (плита), дерев'яна обшивка, інші матеріали (гни. товщина, м))

!

L

                         і

Чаї альна товщина, м

5.

Вікна Двері

Розмір отвору, м

                 -              !

Кількість отворів, шт.

                                               

Наявність захисних плівок (призначення, тин. марка)

Тип вікна (з одинарним склом, з подвійним склом, з потрійним склом, інше), іин скло пакету (металопластиковий пакет, дерев'яний пакет, інший)

Товщина скла, мм

Відстані між склом у вікні, мм

                ,              

Інші конструкції (віграж, мезонін, інше (тип. розмір, м; товщина скла, мм) Розмір отвору, м

                :              

Тин двері (одинарна дерев'яна без ущільнення, подвійна з ущільненнями. інший)

 

Тин ущільнення (войлочне, інший)

 

Тип замка (звичайний, коловий, інший);

,

Кількість вхідних дверей, шт..

 

1 Іаявність та тип звукоізоляції

 

Товщина двері (дверей), мм

 

 

 

 

 

Таблиця 17 - Відомості про системи і засоби ТР. дія яких можлива в зоні розташування ОІД

№ Найменування Призначення № сторінки у Моделі ч/ч , ТР-2015

Інші джерела щодо можливою

застосування

систем і засобів ТР

 

 

 

 

 

Наверх страницы

Внимание! Не забудьте ознакомиться с остальными документами данного пользователя!

Соседние файлы в текущем каталоге:

На сайте уже 21970 файлов общим размером 9.9 ГБ.

Наш сайт представляет собой Сервис, где студенты самых различных специальностей могут делиться своей учебой. Для удобства организован онлайн просмотр содержимого самых разных форматов файлов с возможностью их скачивания. У нас можно найти курсовые и лабораторные работы, дипломные работы и диссертации, лекции и шпаргалки, учебники, чертежи, инструкции, пособия и методички - можно найти любые учебные материалы. Наш полезный сервис предназначен прежде всего для помощи студентам в учёбе, ведь разобраться с любым предметом всегда быстрее когда можно посмотреть примеры, ознакомится более углубленно по той или иной теме. Все материалы на сайте представлены для ознакомления и загружены самими пользователями. Учитесь с нами, учитесь на пятерки и становитесь самыми грамотными специалистами своей профессии.

Не нашли нужный документ? Воспользуйтесь поиском по содержимому всех файлов сайта:



Каждый день, проснувшись по утру, заходи на obmendoc.ru

Товарищ, не ленись - делись файлами и новому учись!

Яндекс.Метрика