NUEVO CABLE CONVERTIDOR PARA HERRAMIENTA DE DETECCIÓN SISMOMAGNETOMÉTRICA.
KHOREV Anatoly Anatolyevich, Doctor en Ciencias Técnicas, Profesor
ORGANIZACIÓN PARA LA PROTECCIÓN DE LA INFORMACIÓN CONTRA FUGAS A TRAVÉS DE CANALES TÉCNICOS
Disposiciones generales
A la información protegida se refiere a la información que es objeto de propiedad y está sujeta a protección de acuerdo con los requisitos de los documentos legales o los requisitos establecidos por el propietario de la información [3]. Se trata, por regla general, de información de acceso restringido que contiene información clasificada como secreto de estado, así como información de carácter confidencial.
La protección de la información de acceso restringido (en adelante, información protegida) contra la filtración a través de canales técnicos se lleva a cabo sobre la base de la Constitución de la Federación de Rusia, los requisitos de las leyes de la Federación de Rusia «Sobre información, informatización y protección de la información». , «Sobre los secretos de Estado», «Sobre los secretos comerciales» y otros actos legislativos de la Federación de Rusia, «Reglamentos sobre el sistema estatal para proteger la información en la Federación de Rusia de la inteligencia técnica extranjera y de su filtración a través de canales técnicos», aprobado por Decreto del Gobierno de la Federación de Rusia de 15 de septiembre de 1993 No. 912-51, Reglamento sobre la concesión de licencias para las actividades de empresas, organizaciones y organizaciones en la realización de trabajos relacionados con el uso de información que constituya secretos de estado, la creación de medios de protección información, así como la implementación de medidas y (o) prestación de servicios para proteger los secretos de estado”, aprobado por Decreto del Gobierno de la Federación de Rusia del 15 de abril de 1995 No. 333, “Reglamento sobre la concesión de licencias estatales de actividades en el campo de la protección de la información”, aprobado por Decreto del Gobierno de la Federación de Rusia del 27 de abril de 1994 10, “Reglamento sobre actividades de concesión de licencias para el desarrollo y (o) producción de medios para proteger la información confidencial” aprobado por Decreto del Gobierno de Federación de Rusia de 27 de mayo de 2002 348, con modificaciones y adiciones de 3 de octubre de 2002 731, “Reglamento sobre certificación de medios de seguridad de la información”, aprobado por Decreto del Gobierno de la Federación de Rusia de 26 de junio de 1995 No. 608, Decretos del Gobierno de la Federación de Rusia «Sobre las actividades de concesión de licencias para la protección técnica de información confidencial» (del 30 de abril de 2002 No. 290, con modificaciones y adiciones del 23 de septiembre de 2002 No. 689 y del 6 de febrero de 2003 No. 64 ), «Sobre la concesión de licencias para ciertos tipos de actividades» (de fecha 11 de febrero de 2002 No. 135), así como el «Reglamento para la certificación de objetos de informatización según los requisitos de seguridad de la información», aprobado por el Presidente de la Comisión Técnica Estatal de Rusia. el 25 de noviembre de 1994 y otros documentos reglamentarios.
Los requisitos y recomendaciones de los documentos reglamentarios se aplican a la protección de los recursos de información gubernamentales. Al realizar trabajos para proteger recursos de información no estatales que constituyen un secreto comercial, secreto bancario, etc., los requisitos de los documentos reglamentarios son de carácter consultivo.
El régimen de protección restringido el acceso a la información que no contiene información que constituya un secreto de estado (en adelante, información confidencial), lo establece el propietario de los recursos de información o una persona autorizada de conformidad con la legislación de la Federación de Rusia.
En el futuro, consideraremos recomendaciones metodológicas para organizar la protección de la información confidencial propiedad de empresas no estatales (organizaciones, empresas).
Medidas para proteger la información confidencial de fugas a través de canales técnicos (en adelante, protección de la información técnica ) son una parte integral de las actividades de las empresas y se llevan a cabo junto con otras medidas para garantizar la seguridad de su información.
La protección de la información confidencial contra la fuga a través de canales técnicos debe realizarse mediante la implementación de un conjunto de medidas organizativas y técnicas que componen el sistema de protección de la información técnica en el objeto protegido (ITI), y debe diferenciarse según la categoría de el objeto de informatización o las instalaciones dedicadas (protegidas) (en adelante, el objeto de protección).
Las medidas organizativas para proteger la información de la fuga a través de canales técnicos se basan principalmente en tener en cuenta una serie de recomendaciones al elegir las instalaciones para instalar medios técnicos para procesar información confidencial (TSI) y realizar negociaciones confidenciales, introduciendo restricciones a los TSOI utilizados y medios técnicos auxiliares. y sistemas (VTSS) y su ubicación, así como la introducción de un determinado régimen de acceso para los empleados de la empresa (organización, firma) a las instalaciones de información y locales dedicados.
Las medidas técnicas para proteger la información contra fugas a través de canales técnicos se basan en el uso de medios técnicos de protección y la implementación de soluciones especiales de diseño e ingeniería.
La protección técnica de la información se lleva a cabo mediante unidades de protección de la información (servicios de seguridad) o especialistas individuales designados por los jefes de las organizaciones para realizar dicho trabajo. Para desarrollar medidas de protección de la información, pueden participar organizaciones de terceros que tengan licencias de FSTEC o del FSB de Rusia para realizar el trabajo relevante.
Para proteger la información, se recomienda utilizar medios técnicos de protección certificados según los requisitos de seguridad de la información. El procedimiento de certificación está determinado por la legislación de la Federación de Rusia.
La lista de medidas necesarias para la protección de la información se determina en función de los resultados de un examen especial del objeto de protección y pruebas de certificación. y estudios especiales de medios técnicos destinados al procesamiento de información confidencial.
El nivel de protección de la información técnica debe corresponder a la relación entre los costos de organizar la protección de la información y la cantidad de daño que puede causarse al propietario de los recursos de información.
Los objetos protegidos deben estar certificados de acuerdo con los requisitos de seguridad de la información de acuerdo con los documentos reglamentarios del FSTEC de Rusia para el cumplimiento de los estándares y requisitos establecidos para la protección de la información. Según los resultados de la certificación, se otorga permiso (certificado de conformidad) para procesar información confidencial en esta instalación.
La responsabilidad de garantizar los requisitos para la protección técnica de la información recae en los jefes de organizaciones que operan las instalaciones protegidas.
Para detectar y prevenir oportunamente la fuga de información a través de canales técnicos, se debe monitorear el estado y la efectividad de la seguridad de la información. El control consiste en comprobar, utilizando los métodos actuales, los requisitos de los documentos reglamentarios en materia de protección de la información, así como evaluar la validez y eficacia de las medidas adoptadas. La protección de la información se considera efectiva si las medidas tomadas cumplen con los requisitos y estándares establecidos. La organización del trabajo de protección de la información se confía a los jefes de los departamentos que operan los objetos protegidos, y el control para garantizar la protección de la información se asigna a los jefes de los departamentos de protección de la información (servicios de seguridad).
La instalación de medios técnicos para el procesamiento de información confidencial, así como medios de seguridad de la información, deberá realizarse de acuerdo con el diseño técnico o solución técnica. El desarrollo de soluciones técnicas y proyectos técnicos para la instalación e instalación de dispositivos de protección de información digital, así como medios de seguridad de la información, lo llevan a cabo unidades de protección de información (servicios de seguridad empresarial) u organizaciones de diseño con licencia de FSTEC, con base en especificaciones técnicas de diseño. emitido por los clientes.
Las soluciones técnicas para proteger la información contra fugas a través de canales técnicos son una parte integral de las soluciones tecnológicas, de planificación, arquitectónicas y de diseño y forman la base del sistema de protección técnica de la información confidencial.
El La organización directa del trabajo sobre la creación de información y su protección la lleva a cabo el funcionario, persona que se encarga de la gestión científica y técnica del diseño de un objeto protegido.
El desarrollo e implementación de tecnologías de la información puede ser realizado tanto por empresas (organizaciones, firmas) como por otras organizaciones especializadas que tengan licencias de FSTEC y (o) el FSB de Rusia para el tipo de actividad correspondiente.
En el caso del desarrollo de la información de seguridad de la información o sus componentes individuales por parte de organizaciones especializadas en la organización del cliente, se determinan divisiones o especialistas individuales que son responsables de organizar y llevar a cabo las medidas de seguridad de la información, quienes deben brindar orientación metodológica y participar en un especial. examen de objetos protegidos, justificación analítica de la necesidad de crear información de seguridad de la información, aprobación de la selección de dispositivos de protección de información digital, herramientas técnicas y de protección de software, desarrollo de especificaciones técnicas para la creación de información de protección de información, organización del trabajo sobre la implementación de información de información. equipos de protección y certificación de objetos de protección.
El procedimiento para organizar el trabajo en una empresa para la creación y operación de objetos de información y locales dedicados (protegidos) se determina en un Reglamento especial sobre el procedimiento para organizar y realizar el trabajo en una empresa para proteger la información contra fugas a través de canales técnicos”, teniendo en cuenta condiciones específicas, que deben determinar:
- el procedimiento para determinar la información protegida;
- el procedimiento para involucrar a departamentos de la organización, organizaciones especializadas de terceros en la desarrollo y operación de objetos de tecnología de la información y tecnología de la información, sus tareas y funciones en las distintas etapas de la creación y operación del objeto protegido
- ;el procedimiento para la interacción de todas las organizaciones, departamentos y especialistas involucrados en este trabajo;
- el procedimiento para el desarrollo, puesta en servicio y operación de objetos protegidos;
- la responsabilidad de los funcionarios por la oportunidad y calidad de la formación de los requisitos de protección de la información, para la calidad y el nivel científico y técnico de desarrollo de la tecnología de la información técnica y tecnológica.
La empresa (institución, firma) debe tener una lista documentada de información que está sujeta a protección de acuerdo con los actos legales reglamentarios, y también debe desarrollar un sistema de permisos adecuado para el acceso del personal a este tipo de información.
Al organizar el trabajo para proteger las fugas a través de canales de información técnica en el objeto protegido se puede dividir en tres etapas [6, 9]:
- primera etapa (preparatoria, prediseño);
- segunda etapa (diseño Tecnologías de la información);
- tercera etapa (etapa de puesta en servicio del objeto protegido y sistema de seguridad de la información técnica).
Etapa preparatoria para la creación de un sistema técnico de seguridad de la información
En la primera etapa, se realizan los preparativos para la creación de un sistema técnico de seguridad de la información sobre objetos protegidos, durante la cual se realiza una especial se lleva a cabo el examen de los objetos protegidos, se desarrolla una justificación analítica de la necesidad de crear una tecnología de la información técnica y la especificación técnica (técnica privada) para su creación.
Al realizar una inspección especial de los objetos protegidos con la participación de especialistas pertinentes, se lleva a cabo una evaluación de los posibles canales técnicos de fuga de información.
Para analizar los posibles canales técnicos de fuga en el sitio, Se estudia lo siguiente [1, 6 — 9]:
- plano (a escala) del área adyacente al edificio en un radio de 150 — 300 m, indicando (si es posible) la propiedad de los edificios y los límites de la zona controlada;
- planos del edificio indicando todos los locales y las características de sus paredes, techos, materiales de acabado, tipos de puertas y ventanas;
- diagrama en planta de las comunicaciones de ingeniería de todo el edificio, incluido el sistema de ventilación;
- diagrama en planta del sistema de puesta a tierra de la instalación, que indica la ubicación del electrodo de tierra;
- diagrama en planta de la el sistema de suministro de energía del edificio, que indica la ubicación del transformador de aislamiento (subestación), todos los tableros de distribución y cajas de conexiones;
- plano de tendido de líneas de comunicación telefónica que indica la ubicación de las cajas de distribución y la instalación de aparatos telefónicos;
- diagrama en planta de los sistemas de seguridad y alarma contra incendios que indica las ubicaciones de instalación y los tipos de sensores, así como las cajas de distribución.
Instalado: cuándo se construyó el objeto (edificio), qué organizaciones participaron en la construcción, qué organizaciones estaban ubicadas anteriormente en ella.
Al analizar las condiciones para la ubicación de un objeto, se determinan los límites de la zona controlada, las áreas de estacionamiento, así como los edificios que están en visibilidad directa desde las ventanas de las instalaciones protegidas fuera de la zona controlada. Se determina (si es posible) la propiedad de estos edificios y el modo de acceso a ellos.
Mediante observación visual o fotografía desde las ventanas de las instalaciones protegidas, se instalan ventanas de edificios cercanos. así como zonas de aparcamiento en visibilidad directa. Se está evaluando la posibilidad de realizar reconocimientos desde ellos utilizando micrófonos direccionales y sistemas de reconocimiento acústico láser, así como equipos de observación visual y grabación.
Se establece la ubicación de la subestación transformadora, cuadro eléctrico y tableros de distribución. Se identifican los edificios y locales ubicados fuera del área controlada, que se alimentan del mismo bus de baja tensión de la subestación transformadora que los objetos protegidos. Se mide la longitud de las líneas de alimentación desde los objetos protegidos hasta los posibles puntos de conexión de los equipos de interceptación de información (cuadros, locales, etc.) ubicados fuera del área controlada. Se evalúa la posibilidad de recibir información transmitida por marcadores de red (cuando se instalan en locales protegidos) fuera del área controlada.
Habitaciones adyacentes a las áreas protegidas y ubicadas fuera del área controlada están determinados. Se establece su afiliación y modo de acceso. Se determina la posibilidad de acceso desde el exterior a las ventanas del local protegido. Se está evaluando la posibilidad de fuga de información de voz desde locales protegidos a través de canales de vibración acústica.
Se determinan las líneas de conexión de medios y sistemas técnicos auxiliares (líneas de comunicación telefónica, líneas de alerta, sistemas de seguridad y alarma contra incendios, sistemas de relojería, etc.) que se extienden más allá del área controlada y la ubicación de sus cajas de conexiones. Se mide la longitud de las líneas desde los objetos protegidos hasta los lugares de posible conexión de equipos de interceptación de información fuera del área controlada. Se evalúa la posibilidad de fuga de información de voz desde locales protegidos a través de canales acústicos eléctricos.
Se identifican los servicios públicos y los conductores extraños que se extienden más allá del área controlada, su longitud desde los objetos protegidos hasta los lugares. de posible conexión de los medios de interceptación es información medida.
Se establece la ubicación del electrodo de tierra al que está conectado el bucle de tierra del objeto protegido. Se determinan los locales ubicados fuera del área controlada, que están conectados al mismo conductor de tierra.
Se determinan los lugares de instalación en las instalaciones de informatización de TSIO y el tendido de sus líneas de conexión.
Se está evaluando la posibilidad de interceptar la información procesada por el dispositivo de identificación digital mediante medios técnicos especiales a través de canales electromagnéticos y eléctricos de fuga de información.
En las condiciones modernas, es aconsejable realizar un control técnico para evaluar las propiedades reales de blindaje de las estructuras de los edificios, el aislamiento acústico y vibratorio de las instalaciones para tener en cuenta sus resultados al desarrollar medidas para proteger el TSII y las instalaciones designadas.
La inspección previa al diseño se puede encomendar a una organización especializada que tenga la licencia correspondiente, pero incluso en este caso, es recomendable realizar el análisis del soporte de la información en términos de información protegida por representantes de la organización del cliente con la asistencia metodológica de una organización especializada.
La familiarización de los especialistas de esta organización con la información protegida se lleva a cabo en el orden establecido en la organización del cliente.
Después de realizar un examen especial previo al proyecto del objeto protegido por parte de un grupo (comisión) designada por el jefe de la empresa (organización, firma), justificación analítica de la necesidad de crear información y protección de la información, durante la cual:
- se determina una lista de la información a proteger (la lista de información confidencial es aprobada por el director de la organización);
- se clasifica la información confidencial sujeta a protección;
- se determina una lista de personas a las que se les permite acceder a la información confidencial sujeta a protección;
- el grado de participación del personal en el procesamiento (discusión, transferencia, almacenamiento , etc.) se determina .p.) información, la naturaleza de su interacción entre sí y con el servicio de seguridad;
- se está desarrollando una matriz para el acceso del personal a la información confidencial sujeta a protección;
- se determina (aclara) el modelo de un enemigo potencial (atacante, intruso);
- se lleva a cabo la clasificación y categorización de los objetos de información y las instalaciones asignadas;
- la necesidad de atraer organizaciones especializadas que cuenten con las licencias necesarias para realizar trabajos de protección de la información, para el diseño e implementación de la protección de la información;
- se realiza una evaluación de los costos materiales, laborales y financieros para el desarrollo e implementación de la protección de la información;
- Se determina el plazo aproximado para el desarrollo e implementación de la tecnología de la información.
La característica principal de la información confidencial es su valor para un adversario potencial (competidores). Por lo tanto, al determinar una lista de información confidencial, su propietario debe determinar este valor a través de la medida del daño que se puede causar a la empresa si se filtra (divulga). Dependiendo de la cantidad de daño (o consecuencias negativas) que puede causar una fuga (divulgación) de información, se introducen las siguientes categorías de importancia de la información:
- categoría 1
– información cuya filtración puede provocar la pérdida de independencia económica o financiera de la empresa o la pérdida de su reputación (pérdida de confianza de los consumidores, subcontratistas, proveedores, etc.);
- 2ª categoría — información, filtración que podría provocar un daño económico significativo o una disminución de su reputación;
- Categoría 3– información cuya filtración, si se divulga, podría causar daños económicos a la empresa.
Desde el punto de vista de la difusión de información, se puede dividir en dos grupos:
- primer grupo (1)
– información confidencial que circula únicamente dentro de la empresa y no está destinada a ser transferida a otra parte;
- segundo grupo (2) – información confidencial que está destinada a ser transferida a otra parte o recibida de la otra parte.
Por ello, es recomendable establecer seis niveles de confidencialidad de la información (Tabla 1).
Tabla 1. Niveles de confidencialidad de la información
La cantidad de daño (consecuencias negativas) que puede causarse cuando se divulga información específica |
Nivel de confidencialidad de la información |
información no sujeta a transferencia a otras empresas (organizaciones) |
información destinada a ser transferida a otras empresas (organizaciones) o recibida de ellas |
La fuga de información puede provocar a la pérdida de independencia económica o financiera de la empresa o pérdida de su reputación |
1.1 |
1.2 |
Una filtración de información puede provocar daños económicos importantes o una disminución de la reputación de la empresa |
2.1 |
2.2 |
Una filtración de información puede causar daños económicos a una empresa |
3.1 |
3.2 |
La introducción de categorías de confidencialidad de la información es necesaria para determinar el alcance y contenido de un conjunto de medidas para protegerlo.
Al establecer un modo de acceso a información confidencial, es necesario guiarse por el principio: cuanto mayor es el daño causado por la divulgación de información, menor es el círculo de personas a las que se les permite acceder a ella.
Los modos de acceso a la información confidencial deben estar vinculados a los deberes oficiales de los empleados.
Para limitar el círculo de personas autorizadas a la información que constituye un secreto comercial, es Es recomendable introducir los siguientes modos de acceso al mismo:
- modo 1
proporciona acceso a toda la lista de información confidencial. Se establece para la gestión de la empresa;
- modo 2proporciona acceso a la información al realizar tipos específicos de actividades (financieras, de producción, de personal, de seguridad, etc.). Instalado para la gestión de departamentos y servicios;
- modo 3: proporciona acceso a una lista específica de información al realizar tipos específicos de actividades. Se instala para empleados: especialistas de un departamento (servicio) específico de acuerdo con sus responsabilidades laborales.
Por lo tanto, después de compilar una lista de información confidencial, es necesario establecer el nivel de su confidencialidad, así como el modo de acceso para los empleados.
Es aconsejable diferenciar el acceso de los empleados de una empresa (compañía) a información de carácter confidencial ya sea por niveles (anillos) de confidencialidad de acuerdo con los modos de acceso, o por las llamadas matrices de autoridad, en las que los puestos de los empleados de la empresa (compañía) se enumeran en las filas y la información de las columnas se incluye en la lista de información que constituye un secreto comercial. Los elementos de la matriz contienen información sobre el nivel de autoridad de los funcionarios relevantes (por ejemplo, “+” – se permite el acceso a la información, -” – el acceso a la información está prohibido).
A continuación, se determina (aclara) el modelo de un enemigo potencial (atacante, intruso), lo que incluye determinar el nivel de equipamiento del enemigo interesado en obtener información y sus capacidades para utilizar ciertos medios técnicos de reconocimiento para interceptar información.
Dependiendo del apoyo financiero, así como de la capacidad de acceder a ciertos medios de inteligencia, el enemigo tiene diferentes capacidades para interceptar información. Por ejemplo, los equipos de reconocimiento de radiación e interferencias electromagnéticas laterales, los dispositivos electrónicos de interceptación de información implementados con medios técnicos y los sistemas de reconocimiento acústico láser pueden, por regla general, ser utilizados por los servicios especiales y de inteligencia de los estados.
Para garantizar un enfoque diferenciado en la organización de la protección de la información contra la fuga a través de canales técnicos, los objetos protegidos deben clasificarse en categorías y clases apropiadas.
Clasificación de objetosse lleva a cabo sobre las tareas de protección de la información técnica y establece requisitos para el volumen y la naturaleza de un conjunto de medidas destinadas a proteger la información confidencial de la fuga a través de canales técnicos durante la operación del objeto protegido.
Es aconsejable dividir los objetos protegidos en dos clases de protección (Tabla 2).
K clase de protección A incluye objetos donde las señales de información están completamente ocultas, surgen al procesar información o realizar negociaciones (ocultando el hecho de procesar información confidencial en la instalación).
A la clase de protección BEstos incluyen objetos donde los parámetros de las señales de información que surgen durante el procesamiento de información o las negociaciones están ocultos, para los cuales es posible restaurar información confidencial (ocultando información procesada en el objeto).
Tabla 2. Objeto clases de protección informatización y locales dedicados
La tarea de protección de la información técnica |
Clase de protección instalada |
Ocultamiento completo de señales de información que surgen durante el procesamiento de información o negociaciones (ocultando el hecho de procesar información confidencial en la instalación) |
A |
Ocultar los parámetros de las señales de información que surgen durante el procesamiento de información o las negociaciones, que pueden usarse para restaurar información confidencial (ocultando información procesada en la instalación) |
B |
Al establecer la categoría de un objeto protegido, se tiene en cuenta la clase de su protección, así como las capacidades financieras de la empresa para cerrar posibles canales técnicos de fuga de información. Es aconsejable dividir los objetos protegidos en tres categorías.
La categorización de los objetos de información protegidos y los locales designados la llevan a cabo comisiones designadas por los jefes de las empresas bajo cuya jurisdicción se encuentran. Las comisiones, por regla general, incluyen representantes de los departamentos responsables de garantizar la seguridad de la información y representantes de los departamentos que operan objetos protegidos.
La categorización de los objetos protegidos se lleva a cabo en el siguiente orden:
- se determinan los objetos de información y los locales dedicados a proteger;
- se determina el nivel de confidencialidad de la información procesada por TSII o discutida en una sala dedicada, y se evalúa el costo del daño que puede causarse a una empresa (organización, firma) debido a su filtración;
- por para cada objeto protegido, se establece una clase de protección (A o B) e identifican posibles canales técnicos para la fuga de información y medios técnicos especiales que pueden usarse para interceptar información (Tablas 3, 4);
- la composición racional se determina el tipo de medidas de seguridad y se desarrollan medidas organizativas para cerrar un canal de fuga de información técnica específico para cada objeto protegido;
- para la información clasificada como confidencial y proporcionada por la otra parte, se determina la suficiencia de las medidas tomadas para protegerla (las medidas o normas para la protección de la información están determinadas por el acuerdo correspondiente);
- el costo de las medidas (organizativo y técnico) para cerrar un canal técnico específico de fuga de información para cada objeto protegido;
- teniendo en cuenta la evaluación de las capacidades de un enemigo potencial (competidor, atacante) para utilizar ciertos medios técnicos de reconocimiento para interceptar información, así como teniendo en cuenta el costo de cerrar cada canal de fuga de información y el costo del daño que puede ser causado a la empresa como resultado de su filtración, la viabilidad de cerrar esos u otros canales técnicos de filtración de información;
- después de tomar una decisión sobre qué canales técnicos de filtración de información deben cerrarse, la categoría Se establece el objeto de informatización o local dedicado (Tabla 5).
Los resultados del trabajo de la comisión se documentan en un acta aprobada por el funcionario que nombró la comisión.
Tabla 3. Posibles canales técnicos de filtración de información procesada por PC
Canales técnicos de filtración de información |
Medios técnicos especiales utilizados
para interceptar información |
Electromagnético (interceptación de radiaciones electromagnéticas espurias procedentes de TSOI) |
Equipos de reconocimiento de radiaciones electromagnéticas espurias e interferencias (PEMIN), instalados en edificios y vehículos cercanos situados fuera del límite de la zona controlada |
Eléctrico (interceptación de señales eléctricas inducidas) |
Equipos de reconocimiento PEMIN conectados a líneas eléctricas TSOI, líneas de conexión VTSS, conductores extraños, circuitos de puesta a tierra TSOI fuera del área controlada |
Irradiación de alta frecuencia de las TIC |
Equipos de irradiación de alta frecuencia instalados en edificios cercanos o locales adyacentes ubicados fuera del área controlada |
Introducción de dispositivos electrónicos dispositivos en dispositivos de interceptación de información TIC |
Componentes de hardware de tipo modular instalados en la unidad del sistema o dispositivos periféricos durante el montaje, operación y reparación de una PC:
- marcadores de hardware para interceptar imágenes mostradas en la pantalla del monitor, instalados en monitores de PC;
- marcadores de hardware para interceptar información ingresada desde el teclado de la PC, instalados en el teclado;
- marcadores de hardware para interceptar información impresa, instalada en la impresora;
- marcadores de hardware para interceptar información escrita en el disco duro de la PC, instalados en la unidad del sistema.
Pestañas de hardware introducidas secretamente en bloques, nodos, placas y elementos individuales de los circuitos de PC en la etapa de su fabricación |
Tabla 4. Posibles canales técnicos para la filtración de información de voz
Canales técnicos de fuga de información |
Medios técnicos especiales utilizados
para interceptar información |
Acústica directa (a través de grietas, ventanas, puertas, aberturas tecnológicas, conductos de ventilación, etc.) |
- micrófonos direccionales instalados en edificios cercanos y vehículos ubicados fuera del área controlada;
- micrófonos especiales de alta sensibilidad instalados en conductos de aire o en salas adyacentes pertenecientes a otras organizaciones;
- dispositivos electrónicos de interceptación de información del habla con sensores tipo micrófono instalados en conductos de aire, sujetos a acceso incontrolado a ellos por parte de personas no autorizadas;
- escuchar conversaciones que tienen lugar en una sala designada sin el uso de medios técnicos por personas no autorizadas (visitantes, personal técnico) cuando se encuentran en los pasillos y adyacentes a las instalaciones designadas (escuchas involuntarias)
|
Vibración acústica (a través de estructuras envolventes, tuberías de servicios públicos, etc.) |
- estetoscopios electrónicos instalados en salas adyacentes pertenecientes a otras organizaciones;
- dispositivos electrónicos para interceptar información del habla con sensores de tipo contacto instalados en comunicaciones de ingeniería (suministro de agua, calefacción, alcantarillado, conductos de aire, etc.) y estructuras de cerramiento externo (paredes, techos, pisos, puertas, marcos de ventanas, etc.) dedicados. locales, sujetos a acceso incontrolado a ellos por parte de personas no autorizadas
|
Acústico-óptico
(a través de ventana
vidrio ) |
Sistemas de localización acústica por láser instalados en edificios cercanos y vehículos ubicados fuera del límite de la zona controlada |
Acústico eléctrico
(a través de líneas de conexión VTSS) |
- amplificadores especiales de baja frecuencia conectados a líneas de conexión VTSS que tienen un efecto de “micrófono” fuera del área controlada;
- equipos de “imposición de alta frecuencia” conectados a líneas de conexión VTSS que tienen un “ efecto micrófono”, fuera del área controlada
|
Acústicoelectromagnético (paramétrico) |
- Dispositivos receptores de radio especiales instalados en edificios cercanos y vehículos ubicados fuera de la zona controlada, interceptando PEMI en las frecuencias de los generadores de alta frecuencia que forman parte del VTSS, que tengan efecto micrófono”;
- equipos de “irradiación de alta frecuencia” instalados en edificios cercanos o locales adyacentes ubicados fuera de la zona controlada
|
Tabla 5. Categorías de objetos de información y locales asignados
La tarea de la protección de la información técnica |
Canales técnicos de fuga de información que se pueden cerrar |
Establecer categoría del objeto protegido |
Ocultación total de las señales de información que surgen durante el procesamiento de información por medios técnicos o durante las negociaciones (ocultando el hecho de procesar información confidencial en la instalación) |
todos los posibles canales técnicos de fuga de información |
1 |
Ocultar los parámetros de las señales de información que surgen al procesar información por medios técnicos o realizar negociaciones, a través de las cuales es posible restaurar información confidencial (ocultar información procesada en la instalación) |
todos los posibles canales técnicos de fuga de información |
2 |
Ocultar los parámetros de las señales de información que surgen al procesar información por medios técnicos o al realizar negociaciones, a través de donde es posible restaurar información confidencial (ocultando información procesada en la instalación) |
los canales técnicos más peligrosos de fuga de información |
3 |
Después de establecer la categoría del objeto de protección, se evalúan las posibilidades de creación e implementación de información de seguridad de la información por parte de la empresa (organización, firma), o se evalúa la necesidad de atraer organizaciones especializadas que tengan las licencias necesarias para realizar trabajos de protección de la información. justificado para el diseño e implementación de la información de protección de la información. Se lleva a cabo una evaluación de los costos materiales, laborales y financieros para el desarrollo e implementación de tecnologías de la información y se determina el plazo aproximado para el desarrollo e implementación de tecnologías de la información.
Los resultados de la fundamentación analítica de la necesidad de crear información y proteger la información se documentan en una nota explicativa, que debe contener [6, 8, 9]:
- una lista de información confidencial indicando su nivel de confidencialidad;
- una lista de empleados de las empresas a los que se les permite acceder a información confidencial, indicando su modo de acceso y, si es necesario, la matriz de acceso;
- características de la información y estructura organizativa de las empresas protegidas objetos;
- lista de objetos de información sujetos a protección, con indicación de sus categorías;
- una lista de locales designados a proteger, indicando sus categorías;
- una lista y características de los medios técnicos para procesar información confidencial, indicando su ubicación de instalación;
- una lista y características de los medios auxiliares medios y sistemas técnicos, indicando su ubicación de instalación;
- el nivel esperado de equipamiento de un enemigo potencial (competidor, atacante);
- canales técnicos de fuga de información que deben cerrarse (eliminar );
- medidas organizativas para cerrar canales técnicos de fuga de información;
- lista y características de los medios técnicos de protección de la información propuestos para su uso, indicando su ubicación de instalación;
- métodos y procedimientos para monitorear la efectividad de protección de la información;
- justificación de la necesidad de atraer organizaciones especializadas que tengan las licencias necesarias para realizar trabajos de seguridad de la información para el diseño;
- evaluación de los costos materiales, laborales y financieros para el desarrollo y la implementación de la tecnología de la información;
- plazo de tiempo aproximado para el desarrollo y la implementación de la tecnología de la información;
- lista de medidas para garantizar la confidencialidad de información en la etapa de diseño de tecnologías de la información.
La nota explicativa está firmada por el jefe del grupo (comisión) que realizó la justificación analítica, acordada con el jefe del servicio de seguridad y aprobado por el responsable de la empresa.
Con base en la justificación analítica y los documentos normativos y metodológicos vigentes sobre la protección de la información contra fugas a través de canales técnicos, teniendo en cuenta la clase y categoría establecidas del objeto protegido, se establecen requisitos específicos para la protección de la información, incluidos en la especificación técnica (técnica privada). para el desarrollo de tecnologías de la información.
Los términos de referencia (TOR) para el desarrollo de tecnologías de la información deben contener:
- justificación del desarrollo;
- datos iniciales del objeto de protección en aspectos técnicos, de software, de información y organizativos;
- enlace a documentos normativos y metodológicos, teniendo en cuenta los cuales se desarrollará y pondrá en funcionamiento el sistema de información y protección de la información;
- requisitos específicos para la información y los equipos de protección de la información;
- lista de medios técnicos de seguridad de la información destinados a su uso;
- composición, contenido y calendario del trabajo en las etapas de desarrollo e implementación;
- lista de contratistas que realizan diversos tipos de trabajo;
- una lista de productos y documentación científica y técnica presentada al cliente.
Se elaboran los términos de referencia para el diseño de la información y el sistema de protección de la información del objeto protegido. redactado en un documento separado y acordado con la organización de diseño, el servicio de seguridad (especialista) de la organización del cliente en términos de la suficiencia de las medidas para la protección de la información técnica y está aprobado por el cliente.
Etapa de diseño de un sistema técnico de seguridad de la información
Para desarrollar un proyecto técnico para la creación de un sistema de seguridad de la información técnica, deben participar organizaciones autorizadas por el Servicio Federal de Control Técnico y de Exportaciones de la Federación de Rusia.
El proyecto técnico para La información de seguridad de la información debe contener:
- página de título
- una nota explicativa que contenga las características informativas y la estructura organizativa del objeto protegido, información sobre las medidas organizativas y técnicas para proteger la información. fugas a través de canales técnicos;
- una lista de objetos de informatización a proteger, indicando su ubicación y la categoría de protección establecida;
- una lista de locales asignados a proteger, indicando su ubicación y la categoría de protección establecida;
- una lista de TSOI instalados que indica la presencia de un certificado (instrucción de operación) y los lugares de su instalación;
- una lista de VTSS instalados que indica la presencia de un certificado y los lugares de su instalación;
- una lista de los medios técnicos de seguridad de la información instalados indicando el certificado de disponibilidad y sus ubicaciones de instalación;
- diagrama (a escala) que indica el plano del edificio en el que se encuentran los objetos protegidos, los límites del área controlada, la subestación transformadora, el dispositivo de puesta a tierra, las rutas para el tendido de servicios públicos, líneas eléctricas, comunicaciones, alarmas contra incendios y de seguridad, lugares de instalación de dispositivos de separación, etc. ;
- planos tecnológicos del edificio (a escala) que indican la ubicación de los objetos de información y los locales asignados, las características de sus paredes, techos, materiales de acabado, tipos de puertas y ventanas;
- planos de objetos de información (a escala ) indicando los lugares de instalación TSOI, VTSS y el tendido de sus líneas de conexión, así como las rutas para el tendido de servicios públicos y conductores extraños;
- plano de las comunicaciones de ingeniería de todo el edificio, incluido el sistema de ventilación;
- diagrama en planta del objeto del sistema de puesta a tierra, que indica la ubicación del electrodo de tierra;
- un diagrama en planta del sistema de suministro de energía del edificio que indique la ubicación del transformador de aislamiento (subestación), todos los tableros de distribución y cajas de conexiones;
- un diagrama en planta para el tendido de líneas de comunicación telefónica que indique la ubicación de las cajas de distribución y la instalación de aparatos telefónicos;
- diagrama en planta de los sistemas de seguridad y alarma contra incendios que indique las ubicaciones de instalación y los tipos de sensores, así como las cajas de distribución;
- diagramas de los sistemas de protección activa (si están previstos para ello) en las especificaciones de diseño);
- instrucciones y manuales para el funcionamiento de los medios técnicos de protección para los usuarios y responsables de garantizar la seguridad de la información en la instalación de informatización.
El diseño técnico, los planos de trabajo, los presupuestos y demás documentación de diseño deben ser tenido en cuenta en la forma prescrita.
El diseño técnico se coordina con el servicio de seguridad (especialista) del cliente, la autoridad de protección de la información de la organización de diseño, los representantes de los contratistas que realizan los tipos de trabajo y es aprobado por el jefe de la organización de diseño.
Cuándo Al desarrollar un diseño técnico, se deben tener en cuenta las siguientes recomendaciones [1, 2, 4 – 9]:
- en locales dedicados es necesario instalar medios técnicos certificados de procesamiento de información y medios técnicos auxiliares;
- para la colocación de dispositivos de información digital es recomendable elegir locales en el sótano y semisótano (tienen propiedades de blindaje);Se recomienda ubicar las oficinas de los líderes de la organización, así como los locales especialmente importantes designados, en los pisos superiores (a excepción del último) en el lado menos peligroso desde el punto de vista del reconocimiento;
- es necesario prever el suministro de todas las comunicaciones (suministro de agua, calefacción, alcantarillado, telefonía, red eléctrica, etc.) al edificio en un solo lugar. Es recomendable introducir inmediatamente las entradas de comunicaciones del edificio en la sala del cuadro y asegurarse de que su entrada esté cerrada y se instale un sistema de alarma o seguridad;
- Si el transformador de aislamiento (subestación transformadora), desde el cual se suministra energía al equipo técnico protegido y a las instalaciones dedicadas, está ubicado fuera del área controlada, es necesario prever la desconexión de los buses de baja tensión de la subestación, desde donde los objetos protegidos están alimentados, de consumidores ubicados fuera del área controlada;
- Se recomienda tender los cables de alimentación eléctrica desde un panel de alimentación común según el principio de cableado vertical hasta los pisos con cableado horizontal piso por piso e instalar su propio panel de alimentación en cada piso. Los cables de conexión de los equipos técnicos auxiliares, incluidos los cables de los sistemas de comunicación, deberían tenderse de manera similar;
- el número de entradas de comunicaciones al área de las instalaciones protegidas debe ser mínimo y corresponder al número de comunicaciones. Los conductores extraños no utilizados que pasen por las instalaciones protegidas, así como los cables (líneas) de equipos técnicos auxiliares no utilizados, deberán ser desmantelados;
- el tendido de los circuitos de información, así como de los circuitos de potencia y de puesta a tierra de los equipos técnicos protegidos debe planificarse de tal manera que su recorrido en paralelo con diversos conductores extraños que se extiendan más allá del área controlada quede excluido o reducido a límites aceptables;
- Para poner a tierra los equipos técnicos (incluidos los equipos auxiliares) instalados en locales exclusivos, es necesario proporcionar un circuito de puesta a tierra propio e independiente ubicado dentro del área controlada. Si esto no es posible, es necesario prever ruido lineal en el sistema de puesta a tierra de la instalación;
- es necesario excluir las salidas de conductores extraños (diversas tuberías, conductos de aire, estructuras metálicas del edificio, etc.), en los que están presentes señales informativas inducidas, más allá del área controlada. Si esto no es posible, es necesario prever el ruido lineal procedente de conductores extraños;
- Se recomienda tender tuberías y comunicaciones horizontales de manera abierta o detrás de falsos paneles que permitan su desmontaje e inspección;
- en los lugares donde las tuberías de comunicaciones técnicas salen fuera del local designado, se recomienda instalar vibración flexible -insertos aislantes para rellenar el espacio entre ellos y el mortero de la estructura del edificio en todo el espesor de la estructura. Si es imposible instalar insertos, las tuberías deberán estar equipadas con un sistema de ruido de vibración;
- es necesario prever la colocación de elevadores verticales de comunicaciones para diversos fines fuera de la zona de las instalaciones asignadas;
- las estructuras de cerramiento de las instalaciones asignadas adyacentes a otras instalaciones de la organización no deben tener aberturas, nichos o a través de canales para el tendido de comunicaciones;
- Es aconsejable separar el sistema de ventilación de suministro y extracción y el intercambio de aire de la zona de las instalaciones asignadas, no debe estar conectado con el sistema de ventilación de otras instalaciones de la organización y tener su propia entrada y salida de aire separadas;
- Se recomienda que los conductos del sistema de ventilación estén fabricados con materiales no metálicos. La superficie exterior de los conductos del sistema de ventilación que salen de un área designada o de habitaciones individuales importantes deben estar revestidas con material fonoabsorbente. En los lugares donde los conductos del sistema de ventilación salen de las habitaciones designadas, se recomienda instalar inserciones suaves aislantes de vibraciones hechas de material flexible, como lona o tela gruesa. Las salidas de los conductos de ventilación fuera del área de las instalaciones designadas deben cubrirse con una malla metálica;
- en habitaciones equipadas con un sistema de refuerzo acústico, es aconsejable utilizar revestimiento de las superficies internas de las estructuras de cerramiento. con materiales que absorban el sonido;
- las puertas de habitaciones especialmente importantes deben estar equipadas con vestíbulos;
- los paneles decorativos de las baterías de calefacción deben ser extraíbles para su inspección;
- en habitaciones designadas particularmente importantes, no se recomienda el uso de techos suspendidos, especialmente los no desmontables;
- para el acristalamiento de habitaciones designadas particularmente importantes, se recomienda utilizar techos dobles con protección solar y térmica. -ventanas acristaladas;
- se recomienda hacer los suelos de las habitaciones especialmente importantes sin rodapiés;
- No se recomienda utilizar iluminación fluorescente en las habitaciones designadas. Las lámparas con lámparas incandescentes deben seleccionarse para tensión de red completa sin el uso de transformadores ni rectificadores.
Puesta en servicio de un sistema de seguridad de la información técnica
En la tercera etapaLas organizaciones de instalación y construcción llevan a cabo medidas para proteger la información prevista por el diseño técnico. Las organizaciones autorizadas por el Servicio Federal de Control Técnico y de Exportaciones de la Federación de Rusia deben participar en la instalación de medios técnicos de procesamiento de información, medios técnicos auxiliares, así como en la implementación de medidas técnicas para proteger la información.
La organización instaladora o el cliente adquiere dispositivos de información técnica certificados y una inspección especial de las TIC no certificadas para la detección de dispositivos electrónicos de interceptación de información (“marcadores”) posiblemente integrados en ellos y sus estudios especiales.
Sobre la base de los resultados de una investigación especial realizada por TSOI, se especifican medidas para proteger la información. Si es necesario, se realizan los cambios apropiados en el diseño técnico, que se acuerdan con la organización de diseño y el cliente.
Se compran y venden herramientas técnicas certificadas de seguridad de la información, software y software-hardware. instalado de acuerdo con el proyecto técnico.
El servicio de seguridad (especialista) organiza el control de todas las medidas de protección de la información previstas por el proyecto técnico.
Durante la instalación e instalación de dispositivos de seguridad de la información personal y medios de seguridad de la información, se debe prestar especial atención a garantizar el régimen y la seguridad del objeto protegido.
Las principales recomendaciones para este período incluyen lo siguiente [1, 2, 4 – 9 ]:
- organización de la seguridad y protección física de las instalaciones del objeto de informatización y las instalaciones dedicadas, excluyendo el acceso no autorizado a información personal, su robo y alteración , robo de soportes de información;
- Al realizar la reconstrucción de una instalación, se debe organizar el control y registro de las personas y vehículos que llegaron y salieron del territorio de la obra;
- se recomienda organizar el acceso de los trabajadores de la construcción al territorio y al interior de la obra. edificio utilizando pases temporales o listas diarias;
- copias de planos de construcción, especialmente planos de las instalaciones, esquemas de líneas de suministro eléctrico, sistemas de comunicaciones, seguridad y alarma contra incendios, etc. Hay que tenerlos en cuenta y su número es limitado. Al finalizar los trabajos de instalación, copias de dibujos, planos, diagramas, etc. están sujetos a destrucción de acuerdo con el procedimiento establecido;
- es necesario asegurar que los componentes y materiales de construcción estén almacenados en un almacén bajo vigilancia;
- no se recomienda permitir la instalación las operaciones y los trabajos de acabado deben ser realizados por trabajadores individuales, especialmente de noche;
- en la etapa de acabado de los trabajos, es necesario garantizar la seguridad nocturna del edificio.
Algunas medidas para organizar el control durante este período incluyen:
- antes de la instalación, es necesario garantizar una verificación secreta de todas las estructuras montadas, especialmente del equipo de instalación, para detectar la presencia de varios tipos de marcas y sus diferencias entre sí, así como de los dispositivos integrados;
- es necesario organizar inspecciones periódicas de las áreas de las instalaciones designadas por la tarde o fuera del horario laboral en ausencia de los constructores para identificar áreas y lugares sospechosos;
- organizar el control sobre el avance de todo tipo de obras de construcción en el territorio y en el edificio. La función principal del control es confirmar la exactitud de la tecnología de los trabajos de construcción e instalación y su conformidad con el diseño técnico;
- organizar una inspección de los lugares y secciones de las estructuras que, según la tecnología, son sujeto a recubrimiento con otras estructuras. Dicho control puede organizarse legalmente al amparo de la necesidad de comprobar la calidad de la instalación y los materiales, o de forma encubierta;
- Es necesario comprobar cuidadosamente la conformidad de los diagramas de instalación y el número de cables tendidos con el diseño técnico. Se debe prestar especial atención a la etapa de introducción de comunicaciones por cable y cables en el área de las instalaciones designadas. Todos los alambres y cables de reserva tendidos deben estar marcados en el diagrama en planta indicando los lugares de su inicio y final.
Al realizar el control, se debe prestar especial atención a los siguientes puntos:
- cambios inconsistentes con el cliente en la composición cuantitativa de los equipos, cambios en su composición personal, especialmente durante procesos a largo plazo del mismo tipo;
- la presencia de desviaciones de la tecnología acordada o estándar de los trabajos de construcción e instalación;
- grandes retrasos en el tiempo de las operaciones de instalación estándar son inaceptables;
- reemplazo inesperado de tipos de materiales de construcción y elementos estructurales;
- cambios en los esquemas y el orden de instalación de las estructuras;
- realización de trabajos durante el almuerzo o después del horario laboral, especialmente por la noche;
- factores psicológicos en el comportamiento de los constructores individuales en presencia de supervisores, etc.
li>
Antes de instalar muebles y elementos interiores en locales designados e instalaciones informáticas, se debe verificar la ausencia de dispositivos integrados en los dispositivos técnicos y equipos de oficina. Al mismo tiempo, es aconsejable comprobar los equipos técnicos para detectar niveles de radiación electromagnética espuria. Es recomendable realizar dicha verificación en una sala especialmente equipada o en un almacén intermedio.
Después de terminar, se recomienda realizar un análisis exhaustivo del edificio para detectar la posibilidad de fuga de información a través de canales acústicos y de vibración. Con base en los resultados de la medición, teniendo en cuenta la situación real del régimen de seguridad, se deben desarrollar recomendaciones adicionales para fortalecer las medidas de protección en caso de incumplimiento de los requisitos de protección.
Antes de comenzar la instalación de equipos de protección de información digital y medios de seguridad de la información, el cliente determina las divisiones y personas que planea designar responsables de la operación de la información de seguridad de la información. Durante la instalación de los equipos de protección y su operación de prueba, las personas designadas reciben capacitación en los aspectos específicos del trabajo de seguridad de la información.
Junto con representantes de las organizaciones de diseño e instalación responsables de la operación de la información. tecnología, se desarrolla la documentación operativa para la instalación de informatización y las instalaciones dedicadas (fichas técnicas de los objetos, instrucciones, pedidos y otros documentos).
El pasaporte técnico del objeto de protección es elaborado por la persona designada como responsable del funcionamiento y seguridad de la información en este objeto, e incluye:
- una nota explicativa que contiene las características de la información y la estructura organizativa del objeto. objeto de protección, información sobre medidas organizativas y técnicas para proteger la información contra fugas a través de canales técnicos;
- lista de objetos de información a proteger, indicando su ubicación y la categoría de protección establecida;
- una lista de los locales asignados a proteger, indicando su ubicación y la categoría de protección establecida;
- una lista de las TIC instaladas, indicando la disponibilidad de un certificado (instrucciones de funcionamiento) y los lugares de su instalación;
- una lista de VTSS instalados que indica la presencia de un certificado y los lugares de su instalación;
- una lista de medios técnicos instalados de seguridad de la información, que indica la presencia de un certificado y los lugares de su instalación;
- diagrama (a escala) que indica el plano del edificio en el que se encuentran los objetos protegidos, los límites del área controlada, la subestación transformadora, el dispositivo de puesta a tierra, las rutas para el tendido de servicios públicos, líneas eléctricas, comunicaciones, alarmas contra incendios y de seguridad, lugares de instalación de dispositivos de separación, etc. ;
- Planos tecnológicos del edificio (a escala) que indican la ubicación de los objetos de información y los locales asignados, las características de sus paredes, techos, materiales de acabado, tipos de puertas y ventanas;
- planos de instalaciones de información (a escala) que indican las ubicaciones de instalación de TSIOI, VTSS y el tendido de sus líneas de conexión, así como rutas para el tendido de servicios públicos y conductores extraños;
- plano de servicios públicos de todo el edificio , incluido el sistema de ventilación;
- esquema del sistema de puesta a tierra de la instalación, que indica la ubicación del electrodo de tierra;
- esquema del sistema de suministro de energía del edificio, que indica la ubicación del transformador de aislamiento (subestación), todos los tableros de distribución y cajas de conexiones;
- un diagrama en planta para el tendido de líneas de comunicación telefónica, que indica la ubicación de las cajas de conexiones y la instalación de aparatos telefónicos;
- un diagrama en planta de los sistemas de seguridad y alarma contra incendios, que indica las ubicaciones de instalación y los tipos de sensores, así como las conexiones cuadros;
- esquemas de sistemas de protección activa (si los hay).
Adjunto a la ficha técnica:
- instrucciones de funcionamiento (certificados de conformidad con los requisitos de seguridad de la información) TSOI;
- certificados de cumplimiento de los requisitos de seguridad de la información en VTSS;
- certificados de cumplimiento de los requisitos de seguridad de la información para los medios técnicos de protección de la información;
- actos por trabajos ocultos realizados;
- protocolos para medir el aislamiento acústico de las instalaciones asignadas y la eficacia del blindaje de estructuras y cabinas;
- protocolos para medir el valor de la resistencia de puesta a tierra;
- protocolos para medir la atenuación real de las señales de información en los lugares de posible despliegue de equipos de reconocimiento.
Después de la instalación e instalación de los medios técnicos de seguridad de la información, se realiza su operación de prueba. se lleva a cabo en combinación con otras herramientas técnicas y de software para verificar su desempeño como parte de un objeto de informatización y probar el proceso tecnológico de procesamiento (transferencia) de información.
Basado en el Los resultados de la operación de prueba, las pruebas de aceptación de los equipos de seguridad de la información se llevan a cabo con la ejecución del acto correspondiente.
Una vez finalizada la puesta en servicio de las instalaciones de información y tecnología de la información, se lleva a cabo la certificación de las instalaciones de información y las instalaciones dedicadas de acuerdo con los requisitos de seguridad. Es un procedimiento para confirmar oficialmente la eficacia de un conjunto de medidas y medios de seguridad de la información implementados en la instalación.
Si es necesario, por decisión del jefe de la organización, se puede realizar un trabajo de búsqueda de dispositivos electrónicos de recuperación de información («dispositivos integrados»), posiblemente integrados en las instalaciones designadas, realizado por organizaciones que tengan las licencias correspondientes del FSB de Rusia.
Durante el período de operación, se deben llevar a cabo periódicamente inspecciones y controles especiales de las instalaciones designadas y de las instalaciones de información. Los exámenes especiales deben realizarse encubiertos para los empleados de la organización o en su ausencia (se permite la presencia de un número limitado de personas entre los gerentes y el personal de seguridad de la organización).
Literatura
- Abalmazov E.I. Métodos y medios de ingeniería para contrarrestar las amenazas a la información. – M.: Grotek, 1997, pág. 248.
- Gavrish V.F. Una guía práctica para proteger los secretos comerciales. – Simferópol: Tavrida, 1994, pág. 112.
- GOST R 51275-99. Protección de la información. Objeto de información. Factores que influyen en la información. Disposiciones generales. (Adoptado y puesto en vigor por Resolución de la Norma Estatal de Rusia del 12 de mayo de 1999 No. 160).
- Doctrina de Seguridad de la Información de la Federación de Rusia (Aprobada el 9 de septiembre de 2000 PR-1895).
- Organización y métodos modernos de protección de la información. Manual de información y referencia. M.: Asociación «Seguridad», 1996, p. 440 págs.
- Contrarrestar el espionaje económico: una colección de publicaciones de la revista “Information Protection. Confident” 1994 – 2000. – San Petersburgo: Confident, 2000, p. 344.
- Maksimov Yu.N., Sonnikov V.G., Petrov V.G. y otros. Métodos técnicos y medios de seguridad de la información. San Petersburgo: Editorial Polygon, 2000, p. 320.
- Torokin A.A. Ingeniería y protección de información técnica: Proc. Manual para estudiantes de especialidades de la región. información seguridad. – M.: Gelios ARV, 2005, pág. 960.
- Khorev A.A. Métodos y medios de seguridad de la información: Proc. prestación. – M.: Ministerio de Defensa de RF, 2000, p. 316.
|
Добавить комментарий