Особенности аттестационных испытаний
объектов информатизации – выделенных
помещений
Особенности аттестационных
испытаний объектов информатизации
по требованиям защиты
информации от утечки по каналам ПЭМИН
Содержание
ОЦЕНКА ПОГРЕШНОСТИ ИЗМЕРЕНИЙ........................................................ 11
Расчет трудозатрат на контроль акустической защищенности помещения.... 17
ПОРЯДОК проведения контроля защищенности объектов ЭВТ.................... 22
ПОРЯДОК проведения контроля защищенности АС от НСД........................ 31
Перечень руководящих документов.................................................................. 38
Право обработки
информации на объекте информатизации дает действующий "Аттестат
соответствия", которым подтверждается, что объект соответствует требованиям
нормативно-технических документов по безопасности информации, утвержденных
Гостехкомиссией России. К ним относятся Нормы противодействия акустической
речевой разведке (предельные возможности ИТР по добыванию информации),
Специальные требования и рекомендации по защите информации, составляющей
государственную тайну, от ее утечки по техническим каналам (СТР), а также нормы
и требования по защите информации от утечки по каналу ПЭМИН.
Аттестация по
требованиям безопасности информации предшествует началу обработки подлежащей
защите информации и вызвана необходимостью официального подтверждения
эффективности комплекса используемых на конкретном объекте информатизации мер и
средств защиты информации.
Обязательной
аттестации подлежат объекты информатизации, предназначенные для обработки
информации, составляющей государственную тайну, управления экологически
опасными объектами, ведения секретных переговоров.
Под объектами
информатизации, аттестуемыми по требованиям безопасности информации,
понимаются:
автоматизированные
системы различного уровня и назначения;
средства изготовления
и размножения документов (СИРД), предназначенные для обработки информации,
подлежащей защите;
технические средства,
предназначенные для записи, обработки, хранения, воспроизведения и передачи
секретной информации;
помещения, предназначенные
для ведения конфиденциальных переговоров.
В состав объектов
информатизации входят также технические средства и системы, не обрабатывающие
информацию, (так называемые, вспомогательные технические средства и системы или
ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) информация,
содержащая сведения ограниченного распространения, или размещены автоматизированные
системы и средства изготовления и
размножения документов.
Если в одном помещении
размещено несколько объектов информатизации, для каждого объекта технические
средства, входящие в состав других объектов, будут являться вспомогательными
техническими средствами.
Комплекс специальных
мероприятий, по результатам которых выдается Аттестат соответствия, называется
аттестационной проверкой и включает в себя контроль ЭФФЕКТИВНОСТИ ЗАЩИТЫ - это
проверка соответствия качественных и количественных показателей эффективности
мер (мероприятий) по технической защите установленным требованиям или нормам
эффективности защиты информации.
Состав видов
технической разведки и их возможности, угрозы безопасности информации и каналы
ее утечки, подлежащие контролю, определяются Гостехкомиссией России в
соответствующих моделях технических разведок и концепциях защиты.
Виды контроля
эффективности защиты:
ОРГАНИЗАЦИОННЫЙ
КОНТРОЛЬ - проверка соответствия полноты и обоснованности мероприятий по
технической защите информации требованиям руководящих документов в области
технической защиты информации;
ТЕХНИЧЕСКИЙ КОНТРОЛЬ -
контроль эффективности технической защиты информации, проводимый с
использованием технических средств контроля.
По объему проведения
технический контроль эффективности технической защиты информации может быть:
КОМПЛЕКСНЫМ, когда
проверка проводится по всем каналам возможной утечки информации (несанкционированного
доступа к информации или воздействия на нее), характерным для контролируемого
технического средства (образца, объекта информатизации), причем оценка
эффективности технической защиты информации осуществляется во взаимной увязке
результатов обследования по всем указанным каналам;
ЦЕЛЕВЫМ, когда
проверка проводиться по одному из каналов возможной утечки информации,
характерных для контролируемого технического средства, в котором циркулирует
защищаемая информация;
ВЫБОРОЧНЫМ, когда из
всего состава технических средств на объекте для проверки выбираются те из них,
которые по результатам предварительной оценки с наибольшей вероятностью имеют
технические каналы утечки защищаемой информации.
В зависимости от
имеющихся условий его проведения технический контроль эффективности технической
защиты информации может осуществляться тремя методами:
ИНСТРУМЕНТАЛЬНЫМ,
когда в ходе технического контроля используется техническое измерительное
средство и моделируются реальные условия работы технического средства разведки;
ИНСТРУМЕНТАЛЬНО-РАСЧЕТНЫМ,
когда измерения проводятся в непосредственной близости от объекта контроля, а
затем результаты измерений пересчитываются к месту (условиям) предполагаемого
места нахождения технического средства разведки;
РАСЧЕТНЫМ, когда
эффективность защиты оценивается путем расчета, исходя из реальных условий
размещения и возможностей технического средства разведки и известных
характеристик объекта контроля.
Технический контроль
осуществляется в соответствии с методиками контроля состояния технической
защиты информации, утвержденными или согласованными с Гостехкомиссией России.
Не допускается
физическое подключение технических средств контроля, а также формирование
тестовых режимов, запуск тестовых программ на образцах, средствах и
информационных системах в процессе выполнения ими обработки информации или технологического
процесса.
Технический контроль
состояния защиты информации в системах управления производствами, транспортом,
связью, энергетикой, передачи финансовой и другой информации осуществляется в
соответствии со специально разрабатываемыми программами и методиками контроля,
согласованными Гостехкомиссией России, владельцем объекта и ведомством по
подчиненности объекта контроля.
Целью технического
контроля является получение объективной и достоверной информации о состоянии
защиты объектов контроля и подтверждение того, что утечка информации с объекта
невозможна, т.е. на объекте отсутствуют технические каналы утечки информации.
ТЕХНИЧЕСКИЙ КАНАЛ
УТЕЧКИ ИНФОРМАЦИИ - это совокупность объекта защиты (источника или излучателя
информации), среды распространения его физического проявления и технического
средства регистрации (съема) информации, имеющего возможность зафиксировать эти
проявления.
Значимость каждого
канала утечки информации определяется возможностью его выхода за границу
охраняемой территории (территории, внутри которой исключено несанкционированное
пребывание посторонних лиц) и
дальностью передачи (распространения) по нему информации.
Целью технического
контроля является получение объективной и достоверной информации о состоянии
защиты объектов контроля, т.е. соответствие объективных показателей состояния
защиты объекта предельно допустимым значениям (нормам) в местах возможного
размещения технического средства регистрации (съема) информации.
Технический контроль
состояния акустической защищенности выделенного помещения проводится в целях
документального подтверждения реальной возможности утечки акустической
информации из проверяемого помещения во время проведения в нем мероприятий,
связанных с обсуждением секретных вопросов.
Технический контроль
проводится относительно мест возможного размещения аппаратуры разведки:
носимой – на границе
охраняемой территории или временной контролируемой зоны;
возимой – в местах
возможной установки аппаратуры разведки: стоянки автомобилей, соседние здания
или сооружения.
Контроль защищенности
от случайного (непреднамеренного) прослушивания проводится относительно мест
возможного (с учетом дополнительных организационных мероприятий во время
проведения в выделенных помещениях закрытых совещаний) пребывания лиц, не
допущенных к информации, составляющей государственную тайну.
При оценке мероприятий
по защите помещений учитываются следующие возможные технические каналы утечки
или нарушения целостности информации:
акустическое излучение
информативного речевого сигнала;
электрические сигналы,
возникающие посредством преобразования из акустического за счет микрофонного
эффекта и распространяющиеся по проводам и линиям передачи информации
(акустоэлектрические преобразования);
вибрационные сигналы,
возникающие посредством преобразования из акустического при воздействии его на
строительные конструкции и инженерно-технические коммуникации выделенных
помещений;
излучения случайных
источников (паразитных генераторов), модулированные звуковым сигналом.
Для перечисленных
технических каналов утечки информации существуют различные виды сред
распространения информации, которые необходимо контролировать на предмет
закрытия. Это:
Проводные сети:
электрические силовые, низковольтные (телефонные, охранные, пожарные,
радиотрансляция, часофикация), сети ЭВМ (витая пара, коаксиал,
волоконно-оптические), кабели спецсвязи.
Инженерные
коммуникации: отопление, водопровод, канализация, короба и трубы кабельных
коммуникаций, специальные проемы и отверстия в стенах и перекрытиях, воздуховоды
приточные и вытяжные.
Элементы конструкции
зданий: стены капитальные, перегородки, окна (рамы, стекла), полы под двери и
перегородки, потолки, двери и дверные проемы.
Радиоволны:
специальные излучающие средства, модуляция случайных генераторов,
акустоэлектрические преобразования, побочные электромагнитные излучения,
переизлучения под воздействием внешних источников.
При проведении
контроля проверяются следующие исходные данные и документация:
техническое задание на
объект информатизации;
технический паспорт на
объект информатизации;
приемо-сдаточную
документацию на объект информатизации;
акты категорирования
выделенных помещений и технических средств и систем;
состав технических
средств, расположенных в выделенном помещении;
планы размещения
основных и вспомогательных технических средств и систем;
состав и схемы
размещения средств защиты информации;
план контролируемой
зоны предприятия (учреждения);
схемы прокладки линий
передачи данных;
схемы и характеристики
систем электропитания и заземления объекта информатизации;
инструкции по эксплуатации
средств защиты информации;
предписания на
эксплуатацию технических средств и систем;
протоколы специальных
исследований технических средств и систем;
акты или заключения о
специальной проверке выделенных помещений и технических средств;
сертификаты
соответствия требованиям безопасности информации на средства и системы
обработки и передачи информации, используемые средства защиты информации;
данные по уровню
подготовки кадров, обеспечивающих защиту информации;
данные о техническом
обеспечении средствами контроля эффективности защиты информации и их
метрологической поверке;
нормативная и
методическая документация по защите информации и контролю ее эффективности.
Технический контроль
проводится путем излучения в помещении специального тестового звукового
сигнала, замера его уровня в воздушной среде, строительных конструкциях и
токопроводящих коммуникациях вне помещения, расчетом нормируемого показателя
(словесной разборчивости речи) и сравнением его с нормируемым (допустимым)
значением.
Порядок
инструментального контроля акустической защищенности выделенных помещений:
Измерение уровней:
- акустического
сигнала за пределами помещения;
- виброакустического
сигнала в строительных конструкциях и инженерных коммуникациях;
- электрических
сигналов в токопроводящих коммуникациях, имеющих выход за границу охраняемой
территории;
- проверка наличия
паразитной генерации;
- измерение параметров
применяемых средств защиты (системы активного акустического зашумления и т.
д.).
2. Расчет выполнения
норм и оценка защищенности.
3. Оформление
протоколов по результатам проведенных проверок.
Подготовительный этап контроля
На
подготовительном этапе проводится качественная оценка вибро- и звукоизоляции
помещения с целью определения наиболее вероятных разведопасных направлений.
Анализируются архитектурно-планировочные решения помещения, конструктивные особенности его ограждающих
конструкций (стен, перекрытий, дверей, окон) и инженерно-технических систем, обследуются коммуникации трубопроводов различных систем
жизнеобеспечения, выявляются неоднородности в ограждающих конструкциях,
обследуются конструктивные особенности элементов отделки.
Оценивается (или
уточняется) степень секретности речевой информации (категория объекта защиты) и
определяется необходимое значение нормированного показателя противодействия
речевой разведке, на соответствие которому необходимо проводить инструментальный
контроль.
Уточняются условия речевой деятельности в
контролируемом помещении. Проводится слуховой (качественный) контроль
звукоизоляции ограждающих конструкций путем прослушивания акустических
сигналов, формируемых в контролируемом помещении. В качестве таких сигналов
рекомендуется использовать естественную
речь, записанную, например, на магнитофон.
Уточняются
пространственные соотношения ограждающих конструкций помещения и элементов
технических систем относительно установленной
границы контролируемой зоны и относительно прилегающих к контролируемой
зоне зданий, строений и пр.
Определяются
разведопасные направления для лазерных средств съема и направленных микрофонов,
а также места возможного съема информации, где необходимо проводить контроль.
Для направленных
микрофонов место съема информации – непосредственно за ограждающей конструкцией
помещения, просматриваемое из-за границ охраняемой территории (из соседних
зданий и сооружений или со стоянки автомашин). Расстояние возможного съема
информации определяется исходя из данных Модели ИТР.
Для средств лазерного
съема информации контроль производится косвенным образом по результатам
измерения виброзащищенности оконных стекол выделенного помещения, выходящих на
направления за пределы охраняемой территории. Оценка проводится как для
наружных, так и для внутренних стекол. Для внутренних стекол оценка не проводится,
если между наружными и внутренними стеклами находятся светозащитные жалюзи,
либо наружное стекло покрыто специальной светоотражающей пленкой. Расстояние возможного
съема информации определяется исходя из данных Модели ИТР, для направлений,
близких к нормальным (+-300) по отношению к поверхности стекла
(кроме окон, к которым возможен непосредственный доступ с неохраняемой
территории, – для них разведопасными являются все направления).
Если по условиям
размещения помещения доступ к пространству снаружи здания затруднен (например,
из-за высокой этажности), инструментальный контроль проводится на аналогичном
окне, расположенном ниже, но имеющем аналогичные условия расположения по
зашумленности (выходящем на ту же сторону здания). В этом случае оценка проводится
аналогично проверке пассивного средства акустической защиты.
Оценка защищенности
акустической информации от случайного прослушивания проводится только по
акустическому каналу относительно мест возможного пребывания лиц, не имеющих
допуска к информации, составляющей государственную тайну (в том числе внутри
охраняемой территории).
Методика контроля
Методика инструментального контроля выполнения норм
противодействия акустической речевой разведке основывается на
инструментально-расчетном способе определения
отношений “речевой
сигнал/акустический (вибрационный) шум” (далее - “сигнал/шум”) в контрольных точках в октавных полосах со
среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц с последующим
сравнением полученных отношений “сигнал/шум” с нормированными, или с последующим пересчетом полученных
значений “сигнал/шум” в числовую
величину показателя противодействия и сравнением ее с нормированным значением
показателя противодействия акустической речевой разведке.
Методика ориентирована
на использование контрольно-измерительной аппаратуры общего применения.
Порядок применения
специальных автоматизированных систем (комплексов) контроля выполнения норм
противодействия акустической речевой разведке, включая схемы размещения
элементов систем, технологию проведения и обработки результатов всех измерительных
операций, должны приводиться в их эксплутационной документации. Автоматизированные
системы (комплексы) контроля должны быть сертифицированы в установленном
порядке. Контролируемым параметром для них должна являться словесная
разборчивость речи.
В качестве тестового
(контрольного) сигнала необходимо использовать акустический шумовой сигнал с
нормальным распределением плотности вероятности мгновенных значений в пределах
каждой октавной полосы частот. В зависимости от технических возможностей
используемых генераторов шума контрольный сигнал может излучаться одновременно
во всех октавных полосах (в полосе частот 175…5600 Гц), либо последовательно в
каждой отдельно взятой полосе. С целью сокращения времени на проведение
контроля рекомендуется использовать тестовый (контрольный) сигнал, излучаемый
одновременно во всех октавных полосах.
При инструментальном
контроле выполнения норм противодействия акустической речевой разведке
допускается также использование гармонических (тональных) сигналов со
среднегеометрическими частотами октавных полос. В этом случае в контрольной
точке необходимо провести не менее трех измерений на частотах fср±Df, где fср – среднегеометрическая
частота октавной полосы частот; Df- частотная поправка, равная (10…15)% от fср. Итоговый результат акустических (вибрационных)
измерений в контрольных точках необходимо
находить путем усреднения результатов отдельных измерений.
Определение числовых
значений отношений “сигнал/шум” в
контрольных точках необходимо проводить
в периоды минимальной зашумленности мест речевой деятельности при отсутствии
помеховых факторов (наличие персонала в помещении, функционирование шумного
технического оборудовании, наличие ударных шумовых эффектов и т.п.).
Продолжительность измерения уровней звукового
давления в каждой точке выбирается в зависимости от интенсивности транспортного
потока так, чтобы за это время, не менее 60 с, по улице или дороге прошло не
менее 20 транспортных единиц.
Для проведения
инструментального контроля с использованием аппаратуры общего применения должны
быть сформированы передающий и
приемный измерительные комплексы, размещаемые соответственно в контролируемом
помещении и в контрольной точке.
Передающий измерительный комплекс должен
содержать:
-генератор шума;
-усилитель мощности;
-акустический
излучатель;
-измерительный
микрофон;
-измеритель шума
(шумомер);
-полосовые октавные
фильтры со среднегеометрическими
частотами, 250, 500, 1000, 2000, 4000 Гц.
Приемный измерительный
комплекс должен содержать:
-измерительный
микрофон;
-вибродатчик
(акселерометр);
-измеритель шума и
вибраций (шумомер);
-полосовые октавные
фильтры со среднегеометрическими
частотами 250, 500, 1000, 2000, 4000 Гц.
Вместо шумомера в
измерительных комплексах могут быть
использованы спектральные анализаторы.
Выбор контрольных точек и размещение элементов измерительных
комплексов
Контрольными точками
являются места возможной установки акустических и вибрационных датчиков аппаратуры акустической речевой разведки,
или места расположения отражающих
поверхностей лазерного излучения, а также места непреднамеренного прослушивания
речи, в которых при инструментальном контроле производятся измерения отношений
“сигнал /шум” с целью последующей оценки выполнения норм противодействия
акустической речевой разведке.
При контроле
выполнения норм противодействия акустической речевой разведки с
применением микрофонов (в том числе с
применением направленных микрофонов) контрольные
точки должны выбираться на расстоянии
0,5 м от внешних поверхностей обследуемой ограждающей
конструкции.
Если ограждающая
конструкция состоит из неоднородных участков, то акустические измерения
необходимо выполнять отдельно для каждого участка.
При контроле
выполнения норм противодействия речевой разведки с применением
вибрационных средств наряду с
ограждающими конструкциями необходимо учитывать элементы инженерно-технических
систем, попадающих в акустическое поле речевых сигналов.
Если границей
контролируемой зоны являются ограждающие конструкции, то контрольные точки для
вибрационных измерений выбираются непосредственно
на внешних по отношению к источнику речевого сигнала поверхностях ограждающих конструкций. Если ограждающая
конструкция состоит из неоднородных участков, то вибрационные измерения необходимо выполнять отдельно для каждого
участка.
Если граница
контролируемой зоны пересекает коммуникации
инженерно-технических систем, то контрольные точки для вибрационных
измерений выбираются непосредственно на поверхности этих
элементов, на расстоянии не превышающем 0,5 м от места их входа (выхода).
Вибродатчики должны
располагается непосредственно на поверхностях
ограждающих конструкций и на различных конструктивных элементах
инженерно-технических систем - при
контроле защищенности от речевой разведки с использованием вибрационных средств и на плоскостях остекления оконных
проемов - при контроле защищенности от
речевой разведки с использованием оптико-электронных средств разведки.
Крепление вибродатчиков должно обеспечивать плотное (монолитное) соединение
вибродатчика с обследуемой поверхностью (клеевое или резьбовое).
Контроль выполнения
норм противодействия речевой разведке с применением оптико-электронных
(лазерных) средств необходимо проводить с использованием вибрационных измерений
на участках (полотнах) оконного
остекления.
Контрольные точки
следует выбирать из условия их
размещения в двух-трех местах на каждом участке (полотне) остекления. При двойном остеклении без использования жалюзи
между стеклами вибрационные измерения
необходимо проводить как на внешнем, так и на внутреннем остеклении.
Измерительный микрофон
должен быть размещен на расстоянии от 1 до 2 м от внешней поверхности
испытываемой ограждающей конструкции, на уровне ее середины, и направлен в
сторону от улицы или дороги с транспортным потоком.
Если ограждающая конструкция имеет балконы,
лоджии или другие выступающие элементы фасада, то микрофон должен быть размещен
на расстоянии 1 м от вертикальной плоскости, проходящей через наиболее
выступающие точки этих элементов фасада, на уровне середины ограждающей
конструкции.
Защищенность речевой информации от ее перехвата
оптико-электронной аппаратурой разведки обеспечивается, если значение
контролируемого параметра, рассчитанного по результатам вибрационных
измерений на полотнах оконного остекления, не превышает его нормированного значения.
При контроле выполнения норм противодействия перехвату
речевой информации по каналу непреднамеренного прослушивания (за счет
недостаточной звукоизоляции ограждающих конструкций, систем вентиляции и
кондиционирования) контрольные точки выбираются
на расстоянии 0,5 м от ограждающих конструкций ( в том числе от
ограждающих конструкций, имеющих технологические окна систем вентиляции и
кондиционирования) и на высоте 1, 5 м
от пола с внешней стороны по отношению к контролируемому рабочему помещению. Если
технологические окна систем вентиляции и кондиционирования совпадают с границей контролируемой зоны, то
контролируемые точки выбираются непосредственно во входных (выходных)
отверстиях воздуховодов систем вентиляции и кондиционирования.
Калибровка передающего измерительного комплекса
Перед проведением инструментальных измерений
необходимо провести процедуру калибровки (градуировки) передающего
измерительного комплекса, заключающуюся в установлении соответствия между положениями органов управления генератора шума и усилителя
мощности и интегральными уровнями звукового давления Lк=Lн= 70 дБ и Lк=Lн+20= 90 дБ, развиваемыми акустическим
излучателем в свободном поле на расстоянии 1 м от его рабочего центра.
Уровень звукового
давления 90 дБ используются для инструментального контроля рабочих помещений с
целью превышения акустического (вибрационного) тестового сигнала в контрольной
точке над акустическим (вибрационным) шумом в этой точке не менее чем на 3 дБ.
Уровень звукового
давления 70 дБ используются при
инструментальном контроле рабочих помещений, оборудованных системами
звукоусиления. При этом номинальный
выходной уровень звукового давления
системы звукоусиления должен достигаться за счет изменения расстояния между акустическим излучателем передающего
измерительного комплекса и микрофоном системы звукоусиления.
При проведении калибровки (градуировки)
передающего измерительного комплекса
акустическая система устанавливается на высоте 1,5 м от пола. Измерительный
микрофон располагается на рабочей оси акустического излучателя на расстоянии 1
м от его рабочего центра.
Режим свободного
поля обеспечивается при условии,
когда в зоне радиусом 1,5 м от акустического излучателя и микрофона, отсутствуют ограждающие
конструкции и предметы интерьера.
Размещение акустического излучателя передающего
измерительного комплекса
Место установки
акустического излучателя передающего измерительного комплекса в контролируемом
помещении выбирается исходя из особенностей речевой деятельности в этом
помещении.
Если источник речи
локализован в помещении в пределах
конкретного рабочего места, то акустический излучатель следует
устанавливать непосредственно на рабочем месте и ориентировать его рабочую ось
в направлении контрольной точки по нормали к плоскости ограждающей конструкции
(к элементу инженерно-технической системы).
Если в пределах
рабочего помещения место источника речи не зафиксировано, то акустический
излучатель необходимо размещать на высоте 1.5 м от пола и на расстоянии
1 м от вертикальной поверхности ограждающей конструкции. Рабочая ось
излучателя ориентируется по нормали к обследуемой ограждающей конструкции.
Аналогичные расстояния и направления излучения должны соблюдаться относительно обследуемых элементов
инженерно-технических систем.
Если обследуемой конструкцией является пол или потолок, то акустический излучатель устанавливается в
центре помещений на высоте 1,5 м от пола, и его направление излучения ориентируется по нормали к полу (потолку).
При контроле
помещений, оборудованных системами звукоусиления, акустический излучатель
передающего измерительного комплекса необходимо размещать у микрофонного входа
системы на расстоянии, обеспечивающем номинальный (паспортный) режим работы
системы звукоусиления.
Измерение отношений “сигнал/шум” в контрольных точках
при инструментальном контроле рабочих
помещений, не оборудованных системой звукоусиления
Разместить
акустическую систему передающего измерительного комплекса и установить уровень
излучения акустической системы 90 дБ.
Для каждой выбранной контрольной точки с использованием
приемного измерительного комплекса в каждой октавной полосе провести следующие измерительные и расчетные операции:
При выключенном
передающем измерительном комплексе измерить октавный уровень акустического (вибрационного)
шума Lшi (Vшi.) в дБ.
Включить передающий
измерительный комплекс и измерить октавный суммарный уровень (смесь) акустического сигнала и шума L(с+ш)i или вибрационного сигнала и шума V(с+шi).
Рассчитать октавный
уровень акустического (вибрационного) сигнала Lсi (Vсi) по формулам
Lсi
= L(с+ш)i – D1,
Vсi
= V(с+ш)i –D1
где D1 - в дБ определяется из таблицы
Разность: L(с+ш)i – Lшi , V(с+ш)i – Vшi |
Свыше 10 |
От 6 до 10 |
От 4 до 5 |
3 |
2 |
1 |
D1 |
0 |
1 |
2 |
3 |
4 |
7 |
Рассчитать
октавное отношение “акустический
(вибрационный) сигнал/шум” Ei в дБ по формулам
Ei = Lсi – Lшi - 20,
Ei = Vсi – Vшi - 20.
Измерение отношений сигнал/шум в контрольных точках при
инструментальном контроле рабочих помещений, оборудованных системой звукоусиления
Установить уровень
излучения акустической системы 70 дБ и разместить ее перед микрофоном системы
звукоусиления таким образом, чтобы обеспечивался номинальный режим работы данной системы.
Для каждой выбранной контрольной точки с использованием
приемного измерительного комплекса в каждой октавной полосе провести следующие измерительные и расчетные операции:
При выключенном
передающем измерительном комплексе измерить октавный уровень акустического
(вибрационного) шума Lшi (Vшi.) в дБ.
Включить передающий
измерительный комплекс и измерить октавный суммарный уровень (смесь) акустического сигнала и шума L(с+ш)i или вибрационного сигнала и шума V(с+шi).
Рассчитать октавный
уровень акустического (вибрационного) сигнала Lсi (Vсi) по формулам
Lсi
= L(с+ш)i – D1,
Vсi =
V(с+ш)i – D1,
где D1 -
в дБ определяется из таблицы
Рассчитать
октавное отношение “акустический
(вибрационный) сигнал/шум” Ei по
формулам
Ei = Lсi – Lшi,
Ei = Vсi – Vшi.
Результаты инструментального контроля должны представляться
протоколом.
По результатам
инструментального контроля должны быть сформулированы рекомендации и
предложения по обеспечению выполнения норм противодействия акустической речевой разведке.
Погрешность измерений
должна оцениваться статистическими методами. Повторяемость результатов должна
отвечать требованиям табл. 1, если площадь испытываемой конструкции не менее 10
м2.
Таблица 1
Октавные
полосы со средними геометрическими частотами, Гц
|
Повторяемость для L или V, дБ,
не более |
|
250 |
3 |
2 |
500 |
2 |
2 |
1000 и более |
2 |
1 |
ОПРЕДЕЛЕНИЕ ПОВТОРЯЕМОСТИ РЕЗУЛЬТАТОВ ИЗМЕРЕНИЙ
1. Погрешность метода
измерений характеризуется повторяемостью r измерений, т. е. через значение,
которое охватывает абсолютную разницу результатов двух измерений с
доверительной вероятностью 95%, проведенных в течение короткого интервала
времени и при одинаковых условиях (аппаратура, лаборатория, испытатель).
2. Контроль
повторяемости измерений определяется в следующем порядке:
1) шесть комплексных
результатов измерений (например, изоляции воздушного шума R) разбивают на пять
пар последовательных измерений без изменения их исходной последовательности.
Разность результатов измерений сопоставляется с табл. 1. Если полученные
результаты разности превышают значения, указанные в табл. 1 в любой из
частотных полос, то проверку следует повторить с новыми шестью результатами. В
случае повторного расхождения результатов с требованиями табл. 1 следует
изменить условия проведения измерений. При отсутствии указанного расхождения
требуемая повторяемость результатов измерений соблюдается;
2) при достаточно
большом числе n
полных измерений значения Xi одного и того же образца испытанной конструкции
значение повторяемости определяется по формулам:
где
t - значения, полученные
по стандартному распределению для доверительной вероятности 95% , - по табл. 2
оr -
среднее квадратическое отклонение результатов измерений, дБ
xi -среднее
арифметическое измеренных значений для одной частоты.
Таблица 2
Число
измерений n |
t |
Число
измерений n |
t |
3 |
4,30 |
20 |
2,08 |
5 |
2,78 |
25 |
2,06 |
10 |
2,26 |
60 |
2,00 |
Необходимо провести
примерно 20 - 25 измерений для определения среднего квадратического отклонения
с достаточной достоверностью.
3) для достижения требуемой
повторяемости рекомендуется изменять: количество и размеры рассеивающих
элементов в помещениях; места установок громкоговорителя, расстояние между
микрофоном и источником звука, рассеивающими элементами и ограждающими
конструкциями; количество точек измерения; количество позиций источников шума;
время усреднения уровня звукового давления.
3. При проведении
проверки повторяемости результатов измерений в лабораторных условиях следует
предусматривать возможность изменения состава аппаратуры и характеристик
измерительных помещений. При проведении проверки повторяемости результатов
измерений в натурных условиях следует предусматривать возможность изменения
аппаратуры.
________________________________________________________________
(Наименование организации, проводящей
контроль)
ПРОТОКОЛ
№___
инструментального
контроля выполнения норм противодействия
акустической
речевой разведке
1.Объект контроля
(наименование здания, помещения и т.п.).
2.Назначение
объекта и его краткое описание
(расположение помещения, степень секретности защищаемой речевой информации,
границы контролируемой зоны).
3.Вид контроля
(периодический, аттестация и т.п.).
4. Вид канала
перехвата речевой информации
(акустический, вибрационный, оптико-электронный /лазерный/,
непреднамеренное прослушивание речи).
5.Контролируемые
ограждающие конструкции и элементы технических систем (например, окно (окна),
дверь (двери), стена (стены), вентиляционный люк, коммуникации системы
отопления и др.)
6.Описание применяемых
мер и средств защиты.
7.Измерительная
аппаратура (тип, заводской номер, дата поверки).
8.Метод проведения
измерений (краткое описание или ссылка на документ).
9.Таблицы результатов
измерений и расчетов показателя противодействия
10. Приложения (Схемы
размещения рабочего места, средств защиты на рабочем месте и
контрольно-измерительной аппаратуры при проведении контроля)
Заключение о
выполнении норм противодействия
________________________________________________________________
(Указывается: нормы выполняются , нормы не
выполняются )
Контроль выполнили:
-------------------------------------------- --------------------
(должность, фамилия, инициалы) (подписи)
в присутствии представителей
-----------------------------------------------------------
(наименование организации)
--------------------------------------------- -------------------
(должность, фамилия, инициалы)
(подписи)
Дата проведения контроля “
”………….. 200_ года.
Таблица 1
Результаты определения отношений “сигнал/шум” в октавных полосах в контрольной точке № …
Номер октавной полосы, i |
Уровень акустического (вибрационного) шума в контрольной точке Lшi (Vшi),
дБ. |
Уровень суммарного Акустического (вибрационного) и акустического
(вибрационного) шума в контрольной
точке L(с+ш)i (V(с+ш)i), дБ. |
Уровень акустического (вибрационного) сигнала в контрольной точке Lсi (Vсi), дБ. |
Отношение сигнал/шум в контрольной точке Ei, дБ. |
1 |
|
|
|
|
2 |
|
|
|
|
3 |
|
|
|
|
4 |
|
|
|
|
Подготовительный этап контроля
На
подготовительном этапе проводится:
определение
мест размещения ОТСС и ВТСС (с привязкой к помещениям, в которых они
установлены) относительно трасс прокладки информационных и неинформационных
цепей, выходящих за пределы контролируемой территории.
проверка
наличия проведения спецпроверок и специсследований ОТСС и ВТСС, а также
выполнения требований предписаний на эксплуатацию этих средств;
проверка
наличия и правильности установки сертифицированных средств защиты информации по
слаботочным и сильноточным (электропитания) цепям;
проверка
правильности прокладки (допустимые величины разноса) информационных и неинформационных токопроводящих цепей и
коммуникаций в соответствии с требованиями СТР.
Опасными
(подлежащими контролю) являются все токопроводящие коммуникации (сети связи и
передачи данных, электропитания, заземления, пожарно-охранной сигнализации,
часофикации, радиофикации, инженерные коммуникации: водопровод, отопление и
т.п.), имеющие выход за границу охраняемой территории.
При
отсутствии предписаний на эксплуатацию и заключений о специальной проверке
технических средств аттестация объекта приостанавливается до выполнения
необходимых мероприятий.
Проверка
производится на основе следующих документов, входящих в паспорт объекта
информатизации:
план
контролируемой зоны предприятия (учреждения);
состав
технических средств, расположенных в выделенном помещении;
планы
размещения основных и
вспомогательных технических
средств и систем в помещении;
схемы
прокладки линий передачи данных (слаботочные сети: телефон, пожарно-охранная
сигнализация, часофикация, радиофикация и др.);
схемы
и характеристики систем электропитания и заземления объекта информатизации.
Проверка
проводится в два этапа: сначала производится оценка правильности выполнения
требований СТР по схемам, затем проверяется соответствие схем реальному размещению
технических средств и прокладке линий.
Методика контроля
При
проведении контроля технических средств и систем с целью
определения их соответствия установленным нормам на параметры в речевом диапазоне
частот проводятся следующие технические мероприятия:
инструментальная
проверка наличия акустоэлектрических преобразований в ВТСС, подключенных к
сетям, имеющим выход за границу охраняемой территории, и измерение уровня
наведенного электрического сигнала в отходящих линиях;
инструментальная
проверка в ОТСС наличия паразитной генерации и наводок в линиях электропитания.
В
качестве источника акустического сигнала используется генератор шума с интегральным
уровнем звукового давления 70 дБ. Может использоваться генератор звукового
сигнала с частотой 1 кГц, при этом необходимо провести дополнительные измерения
с перестройкой частоты на 10 – 15% в обе стороны для исключения резонансов.
Измерения
проводятся прибором типа «Хорда» или ламповым вольтметром, имеющим шкалу 1 мкВ.
В
случае установки несертифицированных (или с просроченным сертификатом) средств
защиты типа «Гранит-VIII»,
«Обрыв», производится обязательная проверка их работоспособности (измерение
проходного сопротивления).
Проверка
паразитной генерации производится только на наличие с использованием
анализатора спектра и осциллографа. В случае выявления наличия паразитных
генераторов, модулированных акустическим сигналом, техническое средство должно
исключаться (изыматься) из выделенного помещения. Наличие модуляции проверяется
по изменению уровня или изменению формы сигнала электромагнитного поля.
В
случае выявления невыполнения требований прокладки (допустимых величин разноса) информационных и неинформационных
токопроводящих цепей и коммуникаций в соответствии с СТР, допускается
проведение инструментального контроля наличия
электрических сигналов в отходящих цепях по методикам специальных
исследований. Указанные проверки проводятся дополнительно к программе
аттестационных испытаний.
В
случае выявления превышения уровня сигнала установленных норм аттестационная
проверка приостанавливается до устранения нарушений.
Расчет трудозатрат на аттестационный
контроль
Необходимое
время для проведения измерений на одно техническое средство определяют, руководствуясь
следующими рекомендациями:
инструментальная
проверка наличия акустоэлектрических
преобразований в ВТСС, подключенных к сетям, имеющим выход за границу
охраняемой территории, - 0,5 человеко-часа;
измерение уровня наведенного электрического сигнала
в отходящих линиях – 2 человеко-часа;
инструментальная
проверка в ОТСС наличия паразитной
генерации – 4 человеко-часа;
проверка
работоспособности средств защиты типа «Обрыв», «Гранит-VIII» (измерение проходного сопротивления) –
1 человеко-час.
Перед
проведением измерений измерительные приборы необходимо соединить измерительными
кабелями между собой, подключить к источникам электропитания (15 минут),
включить электропитание и дать аппаратуре прогреться не менее 15 минут. В конце
работы разобрать установку и уложить в транспортировочную тару (15 минут).
Нормативы
трудозатрат на испытания технических
средств обработки информации и оформление протоколов измерений приведены в
соответствующем разделе настоящего документа.
Необходимое количество
точек измерений определяют, руководствуясь следующими рекомендациями.
Оценка состояния
виброизоляции обследуемого помещения проводится по замерам:
в
1 точке на каждые 4 кв.м. на каждой стене, полу и потолке, всего минимум в 24
точках на внешних по отношению к проверяемому помещению сторонах;
в
1 точке на каждом стекле окна;
в
2 точках на каждом радиаторе батареи центрального отопления (рис. 1);
на
прямой и обратной трубах, подходящих к батарее центрального отопления, измерения
проводят не менее чем в 2х точках на каждой трубе (в середине трубы и на
расстоянии 10 см от входа в ограждающую конструкцию).
Измерения уровней
виброколебания в прошедшей сквозь ограждающую обследуемую конструкцию виброволне
от измерительного источника акустического поля в октавных полосах частот 250,
500, 1000, 2000, 4000 Гц проводятся в следующей последовательности:
измерение
уровней виброколебаний фонового шума;
измерение
суммарного уровня виброколебаний, уровень вибрации от измерительного
акустического сигнала плюс уровень фонового виброшума;
проведение
расчетов уровня виброколебаний измерительного сигнала для тех же частотных
точек.
Таким образом,
минимально необходимое число замеров уровня виброакустического давления
составит:
для стен, пола,
потолка - 48 (6 плоскостей, 4 точки с одной стороны плоскости, в каждой точке 2
замера).
для окна - 12 (в окне
2 рамы, в каждой минимум 3 стекла, в соответствии с выше приведенной схемой - 6
измерительных точек, в каждой - 2 замера).
для батареи и труб
центрального отопления - 12 (в соответствии с выше приведенной схемой - 6
измерительных точек, в каждой - 2 замера).
для системы вентиляции
- 8 (измерения проводят на поверхности подходящих вент коробов приточной и
вытяжной вентиляции на 2 перпендикулярных гранях в каждом коробе, т.е. 4 точки
замеров, в каждой точке 2 замера).
На одно измерение
требуется до 5 минут при использовании автоматизированной аппаратуры типа
«Трап» и до 15 минут при использовании стандартных шумомеров.. Крепление и съем
вибродатчика по 5 мин. Указанные величины не учитывают время перемещения
приемного блока аппаратуры контроля вдоль внешней границы помещения (требуются
измерения на этажах выше и ниже проверяемого помещения и снаружи здания).
Суммарное время проведения
измерений для одного помещения (площадь до 20 кв. м., одно окно, одна батарея
отопления) по 80 точкам составит 20 часов или 2,5 рабочих дня бригадой из двух
человек.
Для проведения измерений
измерительные приборы необходимо соединить измерительными кабелями между собой,
подключить к источникам электропитания (15 минут), включить электропитание и
дать аппаратуре прогреться не менее 15 минут. В конце работы разобрать
установку и уложить в транспортировочную тару (15 минут).
Перед началом работы и
в процессе измерений через каждые 2 часа необходимо проводить калибровку
аппаратуры, которая занимает 5 минут. Следовательно, время на обслуживание,
перемещение, сборку и разборку аппаратуры в процессе измерений составит
дополнительно 4 часа.
Всего на обследование
помещения по виброакустическому каналу с использованием автоматизированной
аппаратуры потребуется 3 рабочих дня. При использовании стандартных шумомеров –
до 5 рабочих дней.
Оценка общего
состояния звукоизоляции в исследуемом помещении проводится по замерам в точках
пространства, против каждой стены, пола, потолка, двери и каждого окна.
Количество контрольных точек определяется исходя из их конструкции и материала.
Дополнительные измерения проводятся в местах размещения технологических проемов
и неоднородностей в конструкциях.
Измерения
акустического давления в прошедшей сквозь ограждающую обследуемую конструкцию
акустической волне от измерительного источника акустического поля в октавных
полосах частот 250, 500, 1000, 2000, 4000 Гц:
измерение уровней
давления фонового шума;
измерение уровней
суммарного давления смеси измерительный акустический сигнал плюс фоновый шум;
расчет величины
давления одного измерительного сигнала для тех же частотных точек.
Таким образом,
минимально необходимым является 1 замер для одной ограждающей конструкции на 5
частотах. Дополнительно для каждой двери и окна необходимо провести еще 2
замера. По одному замеру необходимо провести в местах похода труб парового
отопления, а также ввода слаботочных и электрических сетей. При наличии
приточно-вытяжной вентиляции проводятся измерения в системе вентиляции.
Всего для помещения с
одним окном и одной дверью без системы вентиляции потребуется 14 измерений.
На одно измерение требуется до 5 минут при
использовании автоматизированной аппаратуры типа «Трап» и до 15 минут при
использовании стандартных шумомеров. Установка микрофона занимает 5 минут.
Указанные величины не учитывают время перемещения приемного блока аппаратуры
контроля вдоль внешней границы помещения (требуются измерения на этажах выше и
ниже проверяемого помещения и снаружи здания).
Суммарное время
проведения измерений для одного помещения (площадь до 20 кв. м., одно окно,
одна батарея отопления) по 14 точкам составит 140 минут, т.е. 2,5 рабочих часа
при автоматизированных измерениях, и 280 минут, т.е. 5 рабочих часов при ручных
измерениях бригадой из двух человек.
Для проведения
измерений измерительные приборы необходимо соединить измерительными кабелями
между собой, подключить к источникам электропитания (15 минут), включить
электропитание и дать аппаратуре прогреться не менее 15 минут. В конце работы
разобрать установку и уложить в транспортировочную тару (15 минут).
Перед началом работы и
в процессе измерений через каждые 2 часа необходимо проводить калибровку
аппаратуры, которая занимает 5 минут. Следовательно, время на обслуживание,
перемещение, сборку и разборку измерительной установки (6 направлений: 4 стены,
пол, потолок) аппаратуры в процессе измерений составит дополнительно 3,5 час.
Всего на проведение
измерений по акустическому каналу потребуется 7 рабочих часов (10 часов при
ручных измерениях).
С учетом проведения
работ вне здания необходимо планировать дополнительное время на периодический прогрев аппаратуры в
холодное время года
Если при проведении
контроля звукоизоляции помещения обнаруживается, что заданные уровни
звукоизоляции не выполняются, то необходимо увеличить число точек контрольных
замеров для того, чтобы выявить места с пониженным уровнем звукоизоляции.
Необходимая дополнительная трудоемкость определяется аналогично выше приведенной
схеме, исходя из суммы точек дополнительных измерений.
Нормативы трудозатрат на испытания технических средств
обработки информации и оформление протоколов измерений приведены в
соответствующем разделе настоящего документа.
Нормативы являются
руководящим документом для обоснованного планирования объема работ при
испытаниях технических средств обработки информации на соответствие требованиям
защиты информации от утечки за счет побочных электромагнитных излучений и
наводок (ПЭМИН).
В трудоемкость выполнения
работ входит время подготовительно-заключительных операций и время на
обслуживание рабочего места.
Нормативы разработаны на
основе действующих директивных, межотраслевых и отраслевых документов,
регламентирующих деятельность подразделений по проведению специсследований и
нормативно-методических материалов по нормированию труда ИТР и служащих.
При проведении нескольких
операций (обследованию нескольких образцов) трудозатраты на каждую операцию
(образец) кроме первой умножаются на коэффициент 0.5.
Нормативы трудозатрат на проведение
специсследований ОТСС и ВТСС
Наименование технических средств |
Специсследования, ч/д |
Защита (доработка) ч/д |
Контрольная проверка ч/д |
Средства ЭВТ (ОТСС) |
|||
ПЭВМ типа Notebook |
13 |
7 |
2 |
Клавиатура |
2 |
2 |
0.5 |
Дисплей
+ видеокарта |
11 |
6 |
2 |
Принтер
матричный |
6 |
4 |
1 |
Принтер
лазерный |
6 |
4 |
1 |
Плоттер |
6 |
4 |
1 |
Сканер |
6 |
4 |
1 |
НМЛ
(стример) |
6 |
4 |
1 |
НГМД
«флоппи» |
6 |
4 |
1 |
НМД
«Винчестер» |
6 |
6 |
1 |
CD, MO накопители |
6 |
6 |
1 |
Цифровой
проектор |
6 |
- |
- |
Другие технические средства (ОТСС и ВТСС) |
|||
Копировальный
аппарат |
9 |
- |
- |
Видеомагнитофон |
5 |
- |
- |
Телевизор |
5 |
4 |
1 |
Видеокамера |
5 |
- |
- |
Радиоприемник |
5 |
- |
- |
Диктофон |
5 |
- |
- |
Музыкальный
центр |
14 |
4 |
1 |
Звуковая
колонка |
2 |
- |
- |
Микшерный
пульт |
2 |
1 |
0.5 |
Усилитель |
2 |
1 |
0.5 |
Микрофон |
1 |
- |
- |
Телефонный
аппарат дисковый |
1 |
- |
- |
Телефонный
аппарат кнопочный |
1 |
- |
- |
Телефонный
аппарат цифровой |
1 |
- |
- |
Телефонный
аппарат системный |
1 |
- |
- |
Базовый
блок мини АТС, на 1 порт |
0.1 |
0.1 |
0.1 |
Телевизионная
охранная система |
14 |
4 |
1 |
Электронная
пишущая машинка |
6 |
3 |
0.5 |
Вспомогательные технические средства (ВТСС) |
|||
Факс |
1 |
- |
- |
Радиотелефон |
3 |
- |
- |
Бумагоуничтожитель |
2 |
- |
- |
Калькулятор |
1 |
- |
- |
Холодильник |
2 |
- |
- |
Часы
электронные |
2 |
- |
- |
Пульт
дистанционного управления |
2 |
- |
- |
Светильник |
1 |
- |
- |
Кондиционер |
2 |
- |
- |
Пожарный,
охранный датчик (активные) |
2 |
- |
- |
Пожарный,
охранный датчик (пассивные) |
1 |
- |
- |
Нормативы трудозатрат на отдельные операции
№ п.п |
Перечень выполняемых работ |
Состав бригады |
Трудоемкость выполнения работ, час |
|
СИ |
Аттестация |
|||
1 2. 3. |
Проведение электрорадиоизмерений, в том числе проверка: а) электрической составляющей электромагнитного
поля б) магнитной составляющей электромагнитного поля в) влияния акустического воздействия г) наличия паразитной генерации д) сети электропитания е) неравномерности потребления тока из сети электропитания ж) шины заземления з) отходящих цепей и) оценка возможности утечки информации за счет
модуляции несущих частот к) измерение реального затухания в направлении
распространения опасного сигнала л) оценка эффективности применяемых средств
активной защиты Проведение расчетов и оформление протоколов Проведение мероприятий по уменьшению уровней обнаруженных
опасных сигналов до установленных норм (в случае необходимости) |
Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Ст. инженер Инженер Ст. техник Начальник подразделен. Вед. Инженер Ст. инженер |
8,0 10,0 10,0 8,0 10,0 10,0 8,0 12,0 12,0 8,0 12,0 12,0 8,0 12,0 12,0 8,0 8,0 8,0 8,0 8,0 8,0 8,0 10,0 10,0 8,0 16,0 16,0 - - - - - - 8-16 8-16 8-16 2-12 2-16 4-32 |
4,0 4,0 4,0 4,0 4,0 4,0 - - - - - - 2,0 2,0 2,0 - - - 2,0 2,0 2,0 2,0 2,0 2,0 - - - 8,0-16,0 8,0-16,0 8,0-16,0 8,0 8,0 8,0 8-16 8-16 8-16 - - - |
Настоящая методика
определяет виды контроля защищенности от разведки побочных электромагнитных
излучений и наводок (РПЭМИН), порядок и способы его проведения на объектах
информатизации.
Контроль защищенности
осуществляется с целью предупреждения возможности получения аппаратурой РПЭМИН
информации, циркулирующей на защищаемом от РПЭМИН объекте, оценки состояния,
полноты и своевременности проведения мероприятий по противодействию РПЭМИН.
В процессе контроля
защищенности на объекте проверяются все основные технические средства и
средства защиты, а также вспомогательные технические средства, имеющие в своем
составе генераторы, радиоизлучения которых могут быть непреднамеренно
промодулированы сигналом, несущим секретную информацию. Упомянутые здесь основные
и вспомогательные технические средства в дальнейшем для краткости именуются
термином "технические средства".
Различается два вида
контроля защищенности объектов от РПЭМИН:
- аттестационный контроль,
- эксплуатационный контроль.
Аттестационный контроль
проводится при вводе объекта в эксплуатацию, а также после его реконструкции
или модернизации.
Эксплуатационный контроль
проводится в процессе эксплуатации объекта.
При проведении контроля защищенности
проверяются параметры, которые характеризуют защищенность технических средств
или объекта в целом, в соответствии с установленной категорией объекта защиты.
При
оценке мероприятий по защите электронных средств обработки информации
учитываются следующие возможные технические каналы утечки:
побочные
электромагнитные излучения информативного сигнала от технических средств и
линий передачи информации;
наводки
информативного сигнала, обрабатываемого техническими средствами, на посторонние
провода и линии, выходящие за пределы контролируемой зоны предприятия
(учреждения), в т.ч. на цепи заземления и электропитания;
изменения
тока потребления, обусловленные обрабатываемыми техническими средствами
информативными сигналами;
радиоизлучения
или электрические сигналы от внедренных в технические средства и выделенные
помещения специальных электронных устройств перехвата информации (закладочных
устройств), модулированные информативным сигналом.
Технический
контроль выполнения норм защиты информации от утечки за счет ПЭМИН
осуществляется для всех устройств, участвующих в процессе обработки информации,
по каждому перечисленному каналу утечки.
АТТЕСТАЦИОННЫЙ КОНТРОЛЬ
Аттестационный
контроль состоит из двух частей: организационной и инструментальной.
При проведении организационной части
аттестационного контроля необходимо:
Уточнить
план-схему местности, расположение на
ней контролируемой зоны объекта и мест возможного ведения разведки ПЭМИН
с указанием средств (носимых, возимых, стационарных).
Определить
(уточнить) категорию объекта с учетом условий его расположения, степени
секретности информации, циркулирующей на объекте, в том числе и в виде акустических
сигналов, и времени её обработки в технических средствах.
Определить
фактический состав основных и вспомогательных технических средств и средств
защиты на объекте и поэкземплярно зафиксировать в Перечне технических средств.
Уточнить
План размещения технических средств с учетом их реального расположения на
объекте и указать на нем кратчайшие расстояния от каждого технического средства
и средства защиты до мест возможного ведения РПЭМИН.
Проверить
визуально в доступных местах выполнение монтажа коммуникаций, организации
заземления и электропитания на объекте защиты на соответствие проекту и СТР.
Проверить
выполнение требований эксплуатационной документации по размещению и установке
на объекте каждого технического средства и средства защиты с учетам расстояний
до мест возможного ведения РПЭМИН.
Проанализировать
обоснованность применения средств активной защиты (САЗ) и проверить выполнение
рекомендаций по их размещению.
Установить
наличие приемо-сдаточных документов и в доступных местах проверить правильность
монтажа экранирующих средств на соответствие требованиям эксплуатационной
документации и СТР.
При
проведении контроля проверяются следующие исходные данные и документация:
техническое
задание на объект информатизации или приказ о начале работ по защите
информации;
технический
паспорт на объект информатизации;
приемо-сдаточную
документацию на объект информатизации;
акты
категорирования технических средств и систем;
акт
классификации АС по требованиям защиты информации;
состав
технических и программных средств, входящих в АС;
планы
размещения основных и вспомогательных технических средств и систем;
состав
и схемы размещения средств защиты информации;
план
контролируемой зоны предприятия (учреждения);
схемы
прокладки линий передачи данных;
схемы
и характеристики систем электропитания и заземления объекта информатизации;
описание
технологического процесса обработки информации в АС;
технологические
инструкции пользователям АС и администратору безопасности информации;
инструкции
по эксплуатации средств защиты информации;
предписания
на эксплуатацию технических средств и систем;
протоколы
специальных исследований технических средств и систем;
акты
или заключения о специальной проверке выделенных помещений и технических
средств;
сертификаты
соответствия требованиям безопасности информации на средства и системы обработки
и передачи информации, используемые средства защиты информации;
данные
по уровню подготовки кадров, обеспечивающих защиту информации;
данные
о техническом обеспечении средствами контроля эффективности защиты информации
и их метрологической поверке;
нормативная
и методическая документация по защите информации и контролю ее эффективности.
При выполнении инструментальной части аттестационного контроля необходимо
провести следующие работы:
Для технических средств измерить (рассчитать) значения
схемно-конструктивных параметров, характеризующих их защищенность от
РПЭМИН. Перечень этих параметров и методики их измерения указывается в
эксплуатационной документации на эти технические средства.
Определить реальные размеры
зоны 2 технических средств, установленных на объекте, по соответствующим
методикам из Сборника методик инструментального контроля в следующих случаях:
- для технических средств с
неизвестными размерами зоны 2;
- для технических средств,
эксплуатируемых на объектах, если размеры зоны 2 этих технических средств
соизмеримы с расстоянием до мест возможного ведения РПЭМИ
Проверить работоспособность
всех средств защиты, включая САЗ, используя методики, приведенные в
эксплуатационной документации на эти средства.
Определить эффективность
применения САЗ для защиты АСУ и ЭВТ в соответствии с «Дополнением к Методике
контроля защищенности объектов ЭВТ».
При получении положительных
результатов по предыдущим измерениям определяются исходные данные для
проведения эксплуатационного контроля защищенности от РПЭМИН технических
средств АСУ и ЭВТ.
Для этого при выключенных
средствах активной защиты измеряется уровень побочных электромагнитных
излучений от технических средств АСУ и ЭВТ на 2 – 3 частотах с максимальным
значением зоны 2 (реперные точки).
Частоты реперных точек,
измеренные значения напряженности электрических и магнитных полей, типы и
расположение антенн, а также другие условия проведения измерений фиксируются и
используются при эксплуатационном контроле защищенности от РПЭМИН технических
средств АСУ и ЭВТ.
По результатам
аттестационного контроля для данного объекта оформляется Аттестат соответствия.
Технический
контроль проводится путем запуска на ЭВМ специальной тестовой программы, замера
аппаратурой контроля излучаемых ЭВМ сигналов и последующем сравнении их с
нормируемыми (допустимыми) значениями.
Порядок
инструментального контроля ПЭМИН:
1.
Измерение уровней ПЭМИ и наводок информативных сигналов:
-
электрической составляющей;
-
магнитной составляющей;
-
индуктивной и магнитной составляющих наводок в симметричных и несимметричных
линиях как гальванически связанных, так и не связанных с проверяемым
устройством, но имеющих выход за ГКЗ (если не выполняются требования
предписания на эксплуатацию по зоне r1);
-
измерение реального затухания в опасных направлениях за ГКЗ;
-
измерение параметров применяемых средств защиты (фильтры в отходящих линиях,
системы активного зашумления и т. д.).
2.
Расчет выполнения норм и оценка защищенности.
3.
Оформление протоколов по результатам проведенных проверок.
Контроль
проводится для устройств, которые дают максимальное значений размера зоны R2 (как правило, это монитор).
Измерения
проводятся выборочно для частот, которые при специсследованиях дали
максимальные значения зоны R
2. Аналогично проводятся измерения эффективности систем активной защиты
(зашумления).
Если
значения зоны R2
близки или превышают расстояние до границы контролируемой зоны (охраняемой
территории), проводятся измерения реального затухания в опасном направлении,
после чего производится расчет норм на границу контролируемой зоны. Измерения
реального затухания проводится отдельно для каждого значения частоты сигнала.
Для
распределенных систем (локальных вычислительных систем) проводятся исследования
характеристик линий, по которым передается секретная информации по Методике расчета контролируемой
зоны от экранированных кабелей связи АСУ и ЭВМ. После расчета зоны R2
действия аналогичны для технических средств.
В случае использования неэкранированных
кабелей для связи ЭВМ аттестационная
проверка приостанавливается до устранения нарушений.
ЭКСПЛУАТАЦИОННЫЙ КОНТРОЛЬ
Эксплуатационный контроль
защищенности от РПЭМИН на объекте
проводится с целью проверки выполнения правил эксплуатации и технического состояния
каждого технического средства и оценки соответствия текущего состояния
защищенности объекта тому, которое было зафиксировано при аттестационном
контроле.
Эксплуатационный контроль
состоит из 2-х частей:
организационной и инструментальной.
При выполнении организационной части эксплуатационного контроля необходимо:
Проверить наличие Аттестата
соответствия, Журнала учета проведения эксплуатационного контроля, Перечня и
плана размещения технических средств на объекте.
Уточнить места возможного
ведения РПЭМИ. При необходимости вносятся изменения в план-схему контролируемой
зоны.
Проверить поэкземплярно
соответствие реального состава технических средств и состава, указанного в
Перечне технических средств на объекте, а также своевременность проведения их эксплуатационного контроля по
Журналу учета проведения
эксплуатационного контроля.
Проверить соответствие
фактического расположения технических средств и средств защиты расположению,
зафиксированному в Плане размещения технических средств на объекте и в доступных
местах выполнение требований по монтажу каждого технического средства и его
коммуникаций, приведенных в эксплуатационной документации и СТР.
Проверить соответствие
сведений об объемах и степени секретности обрабатываемой информации и
установленной категории объекта совместно с представителем режимно-секретной
службы предприятия.
При
выполнении инструментальной части эксплуатационного контроля необходимо:
Для средств защиты и
технических средств произвести измерения параметров, характеризующих защищенность
от РПЭМИ. Перечень и значения параметров, а также способы их измерений определяются на этапе
аттестационного контроля.
Для технических средств АСУ
и ЭВТ измерить напряженность электрических и магнитных полей в реперных точках
и результаты измерений сравнить с результатами, полученными при аттестационном
контроле.
Проверить работоспособность
средств активной защиты в соответствии с указаниями в эксплуатационной
документации на эти средства.
При получении положительных
результатов эксплуатационный контроль объекта в целом считается завершенным, о
чем составляется Акт проведения эксплуатационного контроля на объекте. В
противном случае работы повторяются после устранения выявленных недостатков.
При проведении
эксплуатационного контроля на объекте допускается проведение работ выборочно,
по отношению к отдельным техническим средствам.
1.Общие положения
1.1. Испытания ПЭВМ и
периферийных устройств на соответствие нормам ПЭМИН проводят в соответствии с
требованиями ГОСТ 16842 и настоящего
документа.
1.2. ПЭВМ испытывают в
составе базового комплекта (по ГОСТ 27201) и всех периферийных устройств,
предусмотренных технической документацией на ПЭВМ.
Периферийное
устройство испытывают совместно с базовым комплектом ПЭВМ, удовлетворяющим
нормам ПЭМИН, установленным для ПЭВМ конкретного класса.
1.3. Если ПЭВМ или
периферийное устройство, испытываемое совместно с базовым комплектом ПЭВМ
(далее - испытуемое устройство),
содержит идентичные технические средства или идентичные модули, то
допускается проводить испытания при наличии хотя бы одного технического
средства (модуля) каждого типа.
1.4. При испытаниях
периферийных устройств (кроме сертификационных) допускается применение
имитатора базового комплекта ПЭВМ при условии, что имитатор имеет электрические
характеристики реального базового комплекта в части высокочастотных сигналов и
импедансов и не влияет на параметры электромагнитной совместимости.
1.5. Значение
напряжения (напряженности поля) посторонних радиопомех на каждой частоте
измерений, полученное при выключенном испытуемом устройстве, должно быть не
менее чем на 10 дБ ниже нормируемого значения на данной частоте.
Допускается проводить
измерения при более высоком уровне посторонних радиопомех, если суммарное
значение полей, создаваемых испытуемым устройством, и посторонних радиопомех не
превышает нормы.
1.6. При испытаниях
расположение и электрическое соединение технических средств, входящих в состав
испытуемого устройства, должны соответствовать условиям, приведенным в
технической документации на ПЭВМ. Если расположение технических средств и
соединительных кабелей не указано, то выбирают такое, которое соответствует
типовому применению и при котором создаваемые испытуемым устройством ПЭМИН
имеют максимальное значение.
1.7.
При испытаниях должны использоваться соединительные кабели, требования к
которым указаны в технической документации на ПЭВМ или периферийное устройство.
Если допустимы различные длины кабелей, то выбирают такие, при которых
создаваемые испытуемым устройством ПЭМИН имеют максимальное значение. При испытаниях допускается
применять экранированные или специальные кабели для подавления ПЭМИН в тех
случаях, когда это указано в технической документации на ПЭВМ или периферийное
устройство.
1.8.
Излишне длинные кабели сворачивают в виде плоских петель размером 30 - 40 см
приблизительно в середине кабеля.
1.9.
Если изменения режима работы ПЭВМ (периферийного устройства) оказывают влияние
на уровень ПЭМИН, то испытания проводят при режиме, соответствующем максимальному
уровню ПЭМИН.
1.10.
Расположение технических средств испытуемого устройства и соединительных
кабелей, а также режимы работы ПЭВМ должны быть указаны в протоколе
испытаний.
2.Аппаратура и оборудование
2.1. Измеритель ПЭМИН
с квазипиковым детектором и детектором средних значений по ГОСТ 11001.
2.2. V - образный эквивалент сети по ГОСТ
11001, тип 5 - в полосе частот от 0,15 до 100 МГц.
2.3.
Измерительные антенны - по ГОСТ
11001.
При
измерении напряженности поля ПЭМИН в полосе частот от 30 до 1000 МГц используют
линейный симметричный вибратор, в полосе частот от 0,15 до 30 МГц - штыревую
антенну.
Допускается
использование биконических антенн.
2.4.
Металлический лист для измерения напряжения ПЭМИН по ГОСТ 16842.
2.5.
Набор металлических листов общей площадью, обеспечивающей размещение испытуемого
комплекта ПЭВМ и измерительной аппаратуры для измерения напряженности поля
ПЭМИН по п. 4.3. Допускается использовать перфорированные металлические листы
или сетку с размером перфорации или ячеек не более 0,02 х 0,02 м.
2.6.
Столы и поворотные платформы для размещения испытуемого устройства и измерительных
приборов должны быть изготовлены из изоляционного материала.
3. Измерения напряжения ПЭМИН
3.1.
Размеры помещения для проведения измерений должны быть такими, чтобы расстояние
от испытуемого устройства (включая все технические средства и соединительные
кабели, входящие в состав испытуемого устройства) до остальных металлических
предметов и токонесущих поверхностей (кроме металлического листа) было не менее
0,8 м.
Измерения
проводят в экранированном помещении. Эффективность его экранирования и
фильтрации сети электропитания в помещении должна быть такой, чтобы
обеспечивать выполнение требований п. 1.5. При выполнении требований п. 1.5
допускается проведение испытаний в неэкранированном помещении.
3.2.
Расположение испытуемого устройства и измерительной аппаратуры при измерении
напряжения ПЭМИН, создаваемых ПЭВМ, - по черт. 1.
Рис.1 Расположение аппаратуры
при измерении напряжений полей,
создаваемых ПЭВМ
1 - стол;
2 - вертикально расположенный металлический лист; 3 - испытуемое устройство; 4 - межблочные соединения; 5 - сетевые
кабели; б - шина заземления; 7 штепсельная колодка; В - эквивалент сети; 9 - измеритель ПЭМИН
На
столе, установленном у вертикально расположенной токопроводящей поверхности
(металлического листа размером не менее 2х2 м или стены экранированного
помещения), размещают ПЭВМ и эквивалент сети. Испытуемое устройство размещают
на расстоянии 0,8 м от эквивалента сети и 0,4 м от металлического листа.
3.3.
Эквивалент сети устанавливают непосредственно около токопроводящей поверхности
и его корпус соединяют с этой поверхностью шиной шириной не менее 0,005 м и
минимально возможной длиной, но не более 0,4 м.
3.4.
Если ПЭВМ имеет единственный сетевой кабель, то он подключается к эквиваленту
сети.
Если ПЭВМ имеет более
одного сетевого кабеля, то все они подключаются к штепсельной колодке,
расположенной в непосредственной близости от эквивалента сети. Если длина
сетевых кабелей превышает 1 м, то оставшиеся части кабелей сворачивают в соответствии
с требованиями п. 1.8.
3.5. Расположение
испытуемого устройства и измерительной аппаратуры при измерении напряжения
ПЭМИН, создаваемых периферийным устройством, - по черт. 2. Периферийное
устройство размещают на расстоянии 0,8 м от эквивалента сети и 0,4 м от металлического
листа. Сетевой кабель периферийного
устройства подключают к эквиваленту сети. Сетевые кабели других технических
средств, входящих в испытуемое устройство, подключают к сети
электропитания.
3.6. Если, с учетом
требований электробезопасности, испытуемое устройство имеет специальные зажимы
для подключения заземляющего провода, то заземляющий провод длиной 1 м
прокладывают параллельно сетевому кабелю на расстоянии не более 0,1 м и
подключают к зажиму заземления металлического листа.
Рис.
2 Расположение аппаратуры при измерении
напряжений полей,
создаваемых периферийным устройством
1 - стол; 2 - вертикально
расположенный металлический лист; 3 - испытуемое устройство; 4 - межблочные
соединения; 5 - сетевой кабель периферийного устройства; б шина заземления; 7
- эквивалент сети; 8 - измеритель поля
3.7. При испытаниях
проводят измерение квазипикового несимметричного напряжения ПЭМИН. За результат
измерений на каждой частоте принимают наибольшее из значений, полученных для
двух проводов.
3.8. Перед началом измерений,
перестраивая измеритель ПЭМИН в пределах полосы нормирования, фиксируют
частоты, на которых наблюдаются максимумы напряжения ПЭМИН. Измерения проводят
на этих частотах. При большом числе таких частот допускается сократить их
количество, но не менее чем до 10, выбрав те, на которых значения напряжения
ПЭМИН наибольшие.
4. Измерения напряженности поля
4.1.
Измерения напряженности поля, создаваемых ПЭВМ или периферийным устройством,
проводят на измерительной площадке, соответствующей требованиям ГОСТ
16842.
4.2.
Расположение испытуемого устройства и измерительной аппаратуры - по черт.
3.
Испытуемое
устройство размещают на поворотной платформе на высоте 0,8 м над металлическим
листом.
Рис.
3 Расположение аппаратуры при измерениях напряженности поля ПЭМИН,
создаваемых испытуемым устройством
1 - поворотная платформа; 2 - испытуемое устройство;
3 - межблочные соединения; 4 граница испытуемого устройства; 5 - металлический
лист; 6 - измерительная антенна; 7 - измеритель
ПЭМИН; D - максимальный размер испытуемого устройства; R измерительное
расстояние; А - максимальная длина антенны
4.3. Площадь под
испытуемым устройством, между ним и измерительной антенной должна быть покрыта
металлическими листами. Металлические
листы должны выступать не менее чем на 1 м за границу испытуемого устройства с
одного конца и не менее чем на 1 м за измерительную антенну с другого
конца.
П р и м е ч а н и е . Границу испытуемого устройства представляет
воображаемая линия, описывающая простую геометрическую фигуру, заключающую в себе
технические средства испытуемого устройства. Все соединительные кабели должны
быть включены в пределы этой геометрической фигуры.
4.4.
При измерении напряженности поля ПЭМИН в полосе частот от 30 до 100 МГц
используют эквивалент сети.
Сетевой
кабель испытуемого устройства прокладывают кратчайшим путем вертикально вниз
вдоль оси вращения поворотной платформы.
4.5.
Расстояние R от проекции центра
измерительной антенны на землю до границы испытуемого устройства должно
соответствовать требованиям, указанным в Методике измерения побочных информативных сигналов,
излучаемых техническими средствами АСУ и ЭВМ, но не менее 1 м.
4.6.
При измерении напряженности поля ПЭМИН нижнюю точку штыревой антенны устанавливают
на высоте 1 м, центр симметрии линейного симметричного вибратора - на высоте h, определяемой путем перемещения приемной антенны по вертикали вблизи исследуемого
оборудования до положения, соответствующего максимуму принимаемого
сигнала.
В
полосе частот от 0,15 до 30 МГц определяют наибольшее квазипиковое значение
вертикальной составляющей электрического поля ПЭМИН на частоте измерений при повороте
платформы с испытуемым устройством.
В
полосе частот от 30 до 1000 МГц определяют наибольшие квазипиковые значения
горизонтальной и вертикальной составляющих электрического поля ПЭМИН на частоте
измерений при повороте платформы с испытуемым устройством. За результат
измерений на каждой частоте принимают наибольшее из полученных значений.
ОБРАБОТКА И ОЦЕНКА РЕЗУЛЬТАТОВ ИСПЫТАНИЙ
1.
Обработка и оценка результатов испытаний - по ГОСТ 16842.
Термины, используемые в настоящем документе
Термин |
Пояснение |
1. Испытуемое устройство |
|
2. Модуль |
Часть технического средства, входящего в состав
ПЭВМ, выполняющая определенную функцию и содержащая источники ПЭМИН |
3. Идентичные технические средства |
Технические средства и модули, и модули, выпускаемые серийно по одной и
той же технической документации |
В информационных системах
и в автоматизированных системах обработки информации проверяются:
наличие сведений,
составляющих государственную или служебную тайну, циркулирующих в средствах
обработки информации и помещениях в соответствии с принятой на объекте
технологией обработки информации;
правильность
категорирования объектов информатизации, а также классификации автоматизированных
систем в зависимости от степени секретности обрабатываемой информации;
наличие сертификатов
на средства защиты информации;
организация и фактическое
состояние доступа обслуживающего и эксплуатирующего персонала к защищаемым
информационным ресурсам, наличие и качество организационно-распорядительных
документов по допуску персонала к защищаемым ресурсам, организация учета,
хранения и обращения с конфиденциальными машинными носителями информации;
состояние учета всех
технических и программных средств отечественного и иностранного производства,
участвующих в обработке информации, подлежащей защите, наличие и правильность
оформления документов по специальным исследованиям и проверкам технических
средств информатизации, в том числе на наличие недекларированных возможностей
программного обеспечения;
обоснованность и
полнота выполнения организационных и технических мер по защите информации,
циркулирующей в средствах электронной вычислительной техники;
наличие, правильность
установки и порядка эксплуатации средств защиты от несанкционированного доступа
и специальных программно-математических воздействий к информации;
выполнение требований по
технической защите информации при присоединении автоматизированных систем
обработки информации к внешним и международным информационным системам общего
пользования.
В ходе проверки
анализируется система информационного обеспечения объекта:
используемые типы ЭВМ
и операционных систем;
виды и объемы баз
данных;
распределение закрытой
и открытой информации по рабочим местам пользователей;
порядок доступа к
информации, количество уровней разграничения доступа;
порядок поддержания
целостности информации и резервного копирования.
При проведении
контроля состояния защиты информации от несанкционированного доступа
осуществляется проверка реально установленных механизмов защиты информации
требованиям соответствующего класса защиты информации от НСД, определяемому
грифом обрабатываемой в автоматизированной системе информации.
Построение систем
защиты средств и систем информатизации от несанкционированного доступа должно
быть реализовано в виде следующих четырех подсистем:
Подсистема управления
доступом - осуществляет персонализацию действий в системе на основе
идентификаторов и профилей пользователей (паспортов) отдельно для каждого
уровня, а также разграничение доступа на их основе. Идентификатор сопровождает
любую работу пользователя.
Подсистема учета и контроля
- накапливает и в дальнейшем обрабатывает статистические сведения о доступе
пользователей к различным ресурсам сети и возможных попытках нарушения.
Криптографическая
подсистема (для информации с грифом «СС» и выше) - используется для шифрования
конфиденциальной информации, записываемой на магнитные носители и передаваемой
по линиям связи, а также для внутренних целей системы защиты - преобразований
собственной базы. Вся информация, не подлежащая открытому распространению,
шифруется непосредственно в ее источнике (рабочей станции, терминале, базе
данных) и передается по любым линиям связи в зашифрованном виде.
Подсистема обеспечения
целостности - осуществляет контроль целостности средств операционных систем,
прикладных программ и баз данных, а также средств защиты информации.
Типовая форма акта проверки приведена в Приложении.
Трудозатраты на проведение проверки определяются
индивидуально исходя из состава ТС ЭВТ, класса защиты объекта, установленного
системного и прикладного программного обеспечения, применяемых средств защиты,
числа пользователей и эксплуатационного персонала, количества групп
пользователей и защищаемых ресурсов.
________________________________________________________________
(Наименование организации, проводящей
контроль)
ПРОТОКОЛ
№___
инструментального
контроля защищенности объектов
ЭВТ
от утечки информации по каналу пэмин
1. Объект контроля (наименование
здания, помещения и т.п.).
2. Назначение
объекта и его краткое описание
(расположение помещения, степень секретности защищаемой информации, границы
контролируемой зоны).
3. Вид контроля
(периодический, аттестация и т.п.).
4. Вид канала перехвата
информации (ПЭМИ, наводки на токопроводящие коммуникации, утечка по цепям
электропитания и заземления).
5. Контролируемые
устройства (дисплей, принтер и др.)
6. Описание
применяемых мер и средств защиты.
7. Измерительная
аппаратура (тип, заводской номер, дата поверки).
8. Метод проведения
измерений (краткое описание или ссылка на документ).
9. Таблицы результатов
измерений и расчетов показателя противодействия, параметры тестовых сигналов.
10. Приложения (Схемы
размещения рабочего места, средств защиты на рабочем месте и
контрольно-измерительной аппаратуры при проведении контроля)
Заключение о
выполнении норм противодействия
________________________________________________________________
(Указывается:
нормы выполняются , нормы не выполняются )
Контроль выполнили:
-------------------------------------------- --------------------
(должность, фамилия, инициалы)
(подписи)
в присутствии представителей
-----------------------------------------------------------
(наименование организации)
--------------------------------------------- -------------------
(должность, фамилия, инициалы) (подписи)
Дата проведения контроля “
”………….. 200_ года.
Таблица 1
Номер частоты, i |
Значение частоты F,GGc |
Измеренное значение уровня сигнала, U
дБ. |
Уровень напряженности поля, U,
мкV/м |
1 |
|
|
|
… |
|
|
|
n |
|
|
|
Таблица 2
Интервал
суммирования |
Суммарный
уровень сигнала |
Значение
R2 для 1-й категории |
Значение
R2 |
Значение
r1 |
Значение
r1’ |
|
|
|
|
|
|
АКТ (ЗАКЛЮЧЕНИЕ)
комплексной
проверки объекта(ов) ЭBT
(наименование предприятия, учреждения)
_________
200_ г.
г. _______
В период с _________по
_________ 200_ г. комиссией (указать орган) в соответствии с (указать документ:
предписание, договор) была проведена комплексная (аттестационная,
периодическая) проверка объекта(ов) ЭВТ предприятия _____________________________.
Проверку проводили:
должность ф.и.о.
должность ф.и.о.
В проверке принимали
участие от проверяемой организации
должность ф.и.о.
должность ф.и.о.
I. Общая
характеристика объектов ЭВТ предприятия
На предприятии имеются
следующие объекты ЭВТ:
….
1.2. На основании и в
соответствии с приказами от … № … на
предприятии проводятся работы по категорированию объектов ЭВТ. В результате
этих работ на предприятии прокатегорировано ____ объектов ЭВТ из ___ объектов
ЭВТ, эксплуатируемых предприятием.
Из числа
прокатегорированных объектов ЭВТ ____ объектов с техническими средствами
зарубежного производства, (не) прошедших необходимые специсследования и спецпроверки.
1.3. (объект ЭВТ)
оборудован (указываются типы ЭВМ, их количество, абонентские пункты, терминалы,
размещенные отдельно от ЭВМ, имеющие или не имеющие линий связи с ЭВМ,
устройства подготовки данных)[1].
1.4. Высшая степень
секретности информации, обрабатываемой на … (указать объекты ЭВТ, ЭВМ и
соответствующий гриф секретности).
Общее количество
пользователей на объекте ЭВТ ___ чел., количество операторов __
чел., лиц обслуживающего персонала __ чел.
1.5. ЭВМ работают с
операционными системами…. , управление базами данных осуществляется системами …
, передача данных осуществляется под управлением ….
2. Состояние
организационно-режимных мер защиты объектов
2.1. На предприятии
имеются … (если не все, то указать какие отсутствуют) руководящие и
методические материалы по защите объектов ЭВТ и систем отображения информации,
действующие в отрасли (указать какие и их
реквизиты).
2.2. Режим секретности
на объектах ЭВТ устанавливается инструкцией по обеспечению режима секретности на
объектах ЭВТ ____ (указать какой инструкции: государственной, отраслевой,
разработанной на предприятии и согласованной в установленном порядке).
2.3. Перечень решаемых
на объекте ЭВТ задач утвержден ___ (когда, кем) и содержит (указать количество
задач и гриф секретности), общее количество задач____ .
2.4. Доступ в
помещения машинного зала, устройств подготовки данных, в помещения, где
установлены дисплеи и печатаюшие устройства, ограничен ___ (указать мероприятия,
ограничивающие доступ посторонних лиц: шифрзамки, списки допущенных, сотрудники
охраны и т.п.).
2.5. Для исключения
визуального просмотра посторонними лицами информации, выводимой на печатающие
устройства и дисплеи, реализованы
следующие меры: __ (указать принятые
меры).
2.6. Учет выходной секретной
информации осуществляется с помощью (описать автоматизированные средства,
организационные меры).
2.7. Гриф секретности
выходной информации проставляется … (указать способ проставления грифа -
автоматически, программой вывода или посредством проставления соответствующих
реквизитов сотрудниками РСО).
2.8. Учет, хранение и
выдача машинных носителей секретной
информации осуществляется (указать РСО объекта ЭВТ).
2.9.
Организационно-технические меры, направленные на обеспечение функционирования
технических и программных средств защиты секретной информации, могут включать:
контроль
функционирования технических средств защиты в соответствии с техническими
описаниями и инструкциями по эксплуатации;
контроль наличия
непредусмотренных отводов от линий связи;
назначение и ведение
списков паролей, ключей шифрования,
идентификаторов, учетных номеров;
учет работ с
секретными файлами, наборами данных и т.п.;
учет рабочего времени
технических средств защиты.
3. Состояние защиты
объектов ЭВТ от утечки информации за счет ПЭМИН
3.1. На объектах
проведены (не проведены, проведаны частично) мероприятия, в соответствии с
требованиями СТР:
проведено
специсследование технических средств … (указать реквизиты проводившего),
разработаны (оформлены) Предписания на эксплуатацию ___ (указать реквизиты);
проведена спецпроверка
технических средств …. (указать реквизиты проводившего);
3.2. Размещение
объектов ЭВТ, выполнение систем электропитания и заземления. Вспомогательное
оборудование объектов ЭВТ.
3.2.1. Объект размещен
в корпусе ____, на ____ этаже, на расстоянии ____ от границы охраняемой
территории. Абонентские пункты и терминалы (указать конкретно) размещены в
корпусах ____, на расстояниях ______ м.
3.2.2. Секретная
информация обрабатывается на следующих абонентских пунктах и терминалах: ______
.
3.2.3. Электропитание
ТС ЭВТ ____ осуществляется от трансформаторных подстанций ТП ___, размещенных в
пределах контролируемой зоны (не в пределах КЗ), через двигатель-генератор
(распределительный трансформатор, помехоподавляющие фильтры ___).
Электропитание
абонентских пунктов и терминалов, устройств подготовки данных осуществляется от
___ (указать для всех УПД и терминалов). Трансформаторные подстанции
расположены ___ .
3.2.4. Заземление
устройств ЭВМ ___ осуществляется через заземлитель трансформаторной подстанции
(собственный заземлитель, имеющий (не имеющий) гальваническую связь с
заземлителем ТП, металлоконструкциями здания). Заземлитель ТП имеет (не имеет)
выхода за пределы контролируемой территории.
Заземление
периферийного оборудования осуществляется на заземлитель __ (указать конкретно
по всему периферийному оборудованию).
3.2.5. Освещение
помещений, где размещены ЭВМ, осуществляется от ТП - __, освещение помещений,
где размещено периферийное оборудование, осуществляется от ___ (указать для УПД и терминалов, обрабатывающих секретную информацию).
3.2.6. В машинных
залах, помещениях, где размещено периферийное оборудование, имеются следующие
периферийные устройства __ .
Линии связи
вспомогательного оборудования (указать конкретно) проложены экранированным (не
экранированным) проводом. Линии связи (указать конкретно) имеют (не имеют)
выхода за пределы охраняемой территории.
3.2.7. В
металлоконструкции, выходящие из помещений объекта ЭВТ, установлены (не
установлены) токонепроводящие вставки
3.2.8. Линии связи
периферийного оборудования с ЭВМ в помещениях объекта ЭВТ проложены
экранированным (не экранированным) проводом (кабелем); вне указанных помещений
линии связи проложены (в экранирующих конструкциях) кабелем марки ___
отдельно от прочих проводов и кабелей (связь осуществляется по линиям местной
АТС).
3.3.Меры и средства
технической защиты объекта ЭВТ.
3.3.1. На объекте ЭВТ
проведены (не проведены, проведены частично) мероприятия по защите в
соответствии с требованиями СТР.
3.3.2. Осуществлена
(не полностью) гальваническая и электромагнитная развязки цепей питания ЭВМ __,
периферийного оборудования ___ от промышленной сети с помощью ___ .
Не осуществлена
гальваническая и электромагнитная развязка цепей питания ЭВМ __, периферийного
оборудования ___ от промышленной сети.
3.3.3. Для исключения
возможности утечки секретной информации за счет наводок на устройства и линии
вспомогательного оборудования проведены следующие работы: (указать наличие
экранов и помехоподавляющих фильтров на линиях и т.д.).
3.3.4. Помещения
(указать конкретно) оборудованы экраном, выполненным металлическим листом
толщиной __ мм (металлической сеткой
с ячейкой __, мм), соединение отдельных листов выполнено ___ (указать способы
соединения отдельных листов между собой, методы экранирования оконных и дверных
проемов, воздуховодов, наличие и типы помехоподавляющих фильтров в
электрических цепях, выходящих из экранированных помещений).
3.3.5. В помещениях
объекта ЭВТ (указать конкретно) установлены системы активной защиты на базе
генераторов ____.
3.4. Инструментальный
контроль
3.4.1. В процессе
инструментального контроля проводились измерения уровней опасных сигналов
побочного электромагнитного излучения от следующих устройств ____ (указать
конкретно, заводские номера, наименования ЭВМ и устройства), уровней шумовых
маскирующих) сигналов от систем активной защиты (при наличии) и величины
реального затухания.
3.4.2. Измерения и
расчет проводились в соответствии с Нормами эффективности защиты АСУ и ЭВМ от
утечки информации за счет побочных излучений и наводок и методиками.
3.4.3. При проведении
измерений, контролируемые устройства (указать конкретно) работали в тестовых
(или специально разработанных программных) режимах (указать номера тестов или наименования программ).
Параметры
тест-сигналов: …
Приемные антенны
размещались на расстояниях __.
3.4.4. Измерения
производились в диапазоне частот от __ до ___ МГц следующей измерительной
аппаратурой:
1.
2.
…
Результаты измерений и
расчетов представлены в таблицах _ . Протоколы измерений приведены в
Приложении.
3.4.5. Допустимое
отношение сигнал/помеха на границе охраняемой территории в соответствии с
"Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет
побочных излучений и наводок" для объекта ЭВТ ____ категории ____ .
Результаты измерений
показывают, что рассчитанное значение превышает (не превышает) допустимое
значение.
4. Состояние защиты
объекта ЭВТ от НСД
4.1. Обработка
секретной информации на объекте ЭВТ проводится в режиме ___ (монопольного
использования ресурсов ЭВМ, в пакетном режиме совместно с несекретными
задачами, в диалоговом режиме с локальных или удаленных рабочих станций).
4.2. Программное
обеспечение ЭВМ, используемой для обработки секретной информации включает __
(указать состав системного и прикладного программного обеспечения).
4.3. Для разграничения
доступа пользователей к секретной информации во время обработки ее в
мультипрограммном режиме или в режиме диалога с удаленных и локальных дисплеев
применяются следующие программные средства защиты (средства опознавания
пользователей системы телеобработки и пакетного режима обработки заданий,
средства управления доступом к информации на магнитных носителях и т.д.).
4.4. Для регистрации
работы пользователей с секретными файлами, наборами данных или базами данных
применяются __ (указать наличие программных средств регистрации обращений к
секретной информации).
4.5. Для защиты
информации, находящейся на общем поле памяти двух ЭВМ, передаваемой по каналам
связи, при межмашинном обмене информацией применяются __ (указать средства
защиты, межсетевые экраны).
4.6. Для уничтожения
остаточных секретных данных с периферийных устройств и в оперативной памяти
применяются ____ (указать средства и процедуры уничтожения).
4.7. Для предотвращения
размещения операционной системой ЭВМ секретной информации на неучтенные в РСО
магнитные носители применяются средства (процедуры) ____.
4.8. Для контроля за
работой пользователей с секретной информацией применяются автоматизированные
средства ___ (указать).
4.9. Проверка
защищенности объектов ЭВТ выполнялась с применением средств ___ (указать
программные средства контроля тестирования, полученные результаты).
4.10. В целях борьбы с
"компьютерными вирусами" на предприятии проведены (не проведены)
следующие работы _____________ , а именно ___ (перечисляются все мероприятия,
внедренные на предприятии по борьбе с "компьютерными вирусами" и
контролю эффективности таких мероприятий).
ВЫВОДЫ
Этот раздел должен
содержать комплексную, аналитически выверенную оценку эффективности защиты
информации, а также оценку достаточности мер и средств по ее обеспечению на
основе совокупных данных, отражающих результаты всесторонней проверки
соответствия системы мер, средств и методов обеспечения защиты секретной информации
на данном объекте ЭВТ нормам и требованиям.
Члены комиссии
подпись ф.и.о.
подпись ф.и.о.
От проверяемой
организации
подпись ф.и.о.
подпись ф.и.о.
1.
Методические документы по контролю
защищенности информации, обрабатываемой средствами ЭВТ, от утечки за счет ПЭМИН
Методика
контроля защищенности объектов ЭВТ. 1979 г.
Дополнение
к “Методике контроля защищенности объектов ЭВТ” при применении средств активной
защиты. 1983 г.
Методика
измерений и расчетов помех в сети питания переменным током. 1978 г.
Методика
измерения побочных информативных сигналов, излучаемых техническими средствами
АСУ и ЭВМ. 1978 г.
Методика измерений
напряженности поля помех в диапазоне частот от 10 Гц до 1 ГГц. 1978 г.
Методика расчета
контролируемой зоны от технических средств АСУ и ЭВМ. 1978 г.
Методика расчета
контролируемой зоны от экранированных кабелей связи АСУ и ЭВМ. 1978 г.
2.
Методики измерений и расчетов параметров технических средств передачи информации
с целью определения их соответствия установленным нормам на параметры в речевом
диапазоне частот
Методика
измерения напряженности электрических и магнитных полей, создаваемых техническими
средствами передачи речевой информации в речевом диапазоне частот, и расчета
величины R2.
Методика
измерения напряженности электрических и магнитных полей, создаваемых
техническими средствами передачи речевой информации в диапазоне частот 10 кГц –
1ГГц, и расчета величины R2.
Методика
измерения и расчета напряженности Н.Ч. электрических и магнитных полей,
создаваемых техническими средствами передачи речевой информации.
Методика
измерения и расчета радиуса зоны 2 (R2) от кабельных линий технических
средств.
Методика
измерения напряжений сигналов, наведенных в посторонних цепях, и определения
допустимых расстояний и длин параллельного пробега между взаимовлияющими цепями
кабельных линий. 1978 г.
Методика
оценки защищенности информации от возможной утечки за счет модуляции колебаний
внутренних генераторов технических средств опасным речевым сигналом.
Методика
обнаружения паразитной ВЧ-генерации в технических средствах передачи и
обработки секретной информации.
Методика
измерения и расчета параметров, характеризующих сигнал, наведенный в цепях
заземления.
Методика
исследования по оценке устойчивости усилителей, входящих в состав технических
средств.
Методика
измерения и расчета параметров модулированных высокочастотных колебаний,
возникающих при работе генераторов технических средств.
Методика
измерения и расчета параметров, характеризующих сигнал, наведенный в цепях
электропитания.
Методика
измерения и расчета величины сигнала огибающей речи, модулирующей гармоники
тока в сети электропитания.
Методика
измерения собственной емкости технических средств и определения допустимой
напряженности электрического поля.
Методика
измерения действующей высоты технических средств и определения допустимой
напряженности магнитного поля.
Временная
методика измерения коэффициента акустического преобразования и определения
допустимой величины давления акустического поля в месте установки технических
средств, не содержащих автогенераторов.
Временная
методика исследования технических средств методом «BЧ-навязывания». 1978 г.
Рекомендации
по применению, монтажу и проверке устройств «Гранит-6» - «Гранит-8».
Приложения:
Перечень
технических характеристик измерительных приборов и устройств, используемых в
работах по методикам.
Схемы
и краткое описание нестандартного оборудования, используемого в работах по
методикам.
Калибровка
измерительных антенн.
3.
Методики контроля защищенности технических средств передачи телевизионной информации.
1979 г.
4. Методики измерений и расчета параметров
технических средств передачи телеграфной и телекодовой информации с целью
определения их соответствия нормам эффективности защиты информации за счет
побочных излучений и наводок
Методика контроля состояния защищенности
установленных на объектах технических средств передачи телеграфной и
телекодовой секретной информации от утечки за счет ПЭМИН.
Методика определения размеров
контролируемой зоны от технических средств передачи телеграфной и телекодовой
информации.
Методика измерения неравномерностей
потребления тока аппаратурой от сети электропитания 50 Гц.
Методика обнаружения сигналов паразитной
генерации в технических средствах передачи информации.
Методика измерения действующих высот сосредоточенных
случайных антенн по магнитному полю.
Методика
измерения и расчета величины телеграфного сигнала, модулирующего гармоники тока
в сети электропитания.
Приложение:
Перечень технических характеристик
приборов и устройств, используемых в работах по Методикам.
Схемы и краткое описание нестандартного
оборудования, используемого в работах по методикам.
Методика оценки
эффективности защиты выходных устройств СИРД и канцелярских пишущих машин от
утечки за счет ПЭМИН.
6.
ГОСТы
ГОСТ 28147-89. Защита информации от утечки
за счет ПЭМИН. Общие технические требования.
ГОСТ Р 50752 – 95. Информационная
технология. Защита информации от утечки за счет побочных электромагнитных
излучений при ее обработке средствами вычислительной техники. Методы испытаний.
ГОСТ
27296-87. ЗАЩИТА ОТ ШУМА В СТРОИТЕЛЬСТВЕ. ЗВУКОИЗОЛЯЦИЯ ОГРАЖДАЮЩИХ
КОНСТРУКЦИЙ. МЕТОДЫ ИЗМЕРЕНИЯ.
Нормы В45-96. “Нормы.
Системы пространственного электромагнитного зашумления. Допускаемые величины
напряженности поля и методы измерений”.
Нормы 15-93. “Нормы.
Радиопомехи индустриальные. Оборудование и аппаратура, устанавливаемые
совместно со служебными радиоприемными устройствами гражданского назначения.
Нормы и методы испытаний”. В части
методов измерений для Норм В45-96.