Artículos

ORGANIZACIÓN DE LA PROTECCIÓN DE LA INFORMACIÓN CONTRA FUGAS A TRAVÉS DE CANALES TÉCNICOS.

logo11d 4 1

ORGANIZACIÓN PARA LA PROTECCIÓN DE LA INFORMACIÓN CONTRA FUGAS A TRAVÉS DE CANALES TÉCNICOS

KHOREV Anatoly Anatolyevich, Doctor en Ciencias Técnicas, Profesor

Disposiciones generales

Información protegida se refiere a información que es propietaria y sujeta a protección de acuerdo con los requisitos de los documentos legales o los requisitos establecidos por el propietario de la información.

Se trata, por regla general, de información de acceso restringido que contiene información clasificada como secreto de estado, así como información de carácter confidencial.

La protección de la información de acceso restringido (en adelante, información protegida) contra la filtración a través de canales técnicos se lleva a cabo sobre la base de la Constitución de la Federación de Rusia, los requisitos de las leyes de la Federación de Rusia «Sobre información, informatización y protección de la información». , «Sobre los secretos de Estado», «Sobre los secretos comerciales», otros actos legislativos de la Federación de Rusia, «Reglamentos sobre el sistema estatal para proteger la información en la Federación de Rusia de la inteligencia técnica extranjera y de su filtración a través de canales técnicos», aprobado por Decreto del Gobierno de la Federación de Rusia de 15 de septiembre de 1993 No. 912-51, “Reglamento sobre la concesión de licencias para las actividades de empresas, organizaciones y organizaciones para la realización de trabajos relacionados con el uso de información que constituya secretos de estado, la creación de medios de seguridad de la información , así como la implementación de medidas y (o) prestación de servicios para proteger los secretos de estado”, aprobado por Decreto del Gobierno de la Federación de Rusia del 15 de abril de 1995 No. 333, “Reglamento sobre licencias estatales de actividades en el campo de protección de la información”, aprobado por Decreto del Gobierno de la Federación de Rusia del 27 de abril de 1994 No. 10, “Reglamento sobre concesión de licencias de actividades para el desarrollo y (o) producción de medios para proteger la información confidencial” aprobado por Decreto del Gobierno de la Federación de Rusia de 27 de mayo de 2002 No. 348, con modificaciones y adiciones de 3 de octubre de 2002 No. 731, “Reglamento sobre certificación de medios de seguridad de la información”, aprobado por Decreto del Gobierno de la Federación de Rusia de 26 de junio de 1995 No. 608, Resoluciones del Gobierno de la Federación de Rusia «Sobre la concesión de licencias para actividades de protección técnica de información confidencial» (de 30 de abril de 2002 No. 290, con modificaciones y adiciones de 23 de septiembre de 2002 No. 689 y de febrero 6, 2003 No. 64), “Sobre la concesión de licencias para ciertos tipos de actividades” (de 11 de febrero de 2002 No. 135), así como el “Reglamento para la certificación de objetos de información según los requisitos de seguridad de la información”, aprobado por el Presidente. de la Comisión Técnica Estatal de Rusia el 25 de noviembre de 1994 y otros documentos reglamentarios.

Requisitos y recomendaciones de los documentos reglamentarios se aplican a la protección de los recursos de información estatales.

Al realizar trabajos para proteger recursos de información no estatales que constituyen un secreto comercial, secreto bancario, etc., los requisitos de los documentos reglamentarios son de carácter consultivo.

El régimen de protección de la información de acceso restringido que no contiene información que constituya un secreto de estado (en adelante, información confidencial) es establecido por el propietario de los recursos de información o una persona autorizada de conformidad con la legislación. de la Federación Rusa.

En el futuro, consideraremos recomendaciones metodológicas para organizar la protección de la información confidencial propiedad de empresas no estatales (organizaciones, empresas).

Medidas para proteger la información confidencial de fugas a través de canales técnicos (en adelante, protección técnica de la información) son una parte integral de las actividades de las empresas y se llevan a cabo junto con otras medidas para garantizar la seguridad de su información.

La protección de la información confidencial contra la fuga a través de canales técnicos debe realizarse mediante la implementación de un conjunto de medidas organizativas y técnicas que conforman el sistema de protección técnica de la información en el objeto protegido (ITI), y debe diferenciarse en función de lo establecido. categoría del objeto de informatización o local dedicado (protegido) (en adelante, objeto de protección).

Las medidas organizativas para proteger la información de la fuga a través de canales técnicos se basan principalmente en tener en cuenta una serie de recomendaciones al elegir las instalaciones para instalar medios técnicos para procesar información confidencial (TSI) y realizar negociaciones confidenciales, introduciendo restricciones a los TSOI utilizados, medios técnicos auxiliares. y sistemas (VTSS) y su ubicación, así como la introducción de un determinado régimen de acceso para los empleados de una empresa (organización, firma) a instalaciones de información y locales dedicados.

Medidas técnicas para proteger la información de fugas a través de canales técnicos se basan en el uso de equipos de protección técnica y la implementación de soluciones especiales de diseño e ingeniería.

La protección técnica de la información la llevan a cabo unidades de protección de la información (servicios de seguridad) o especialistas individuales designados por los jefes de las organizaciones para realizar dicho trabajo. Para desarrollar medidas de protección de la información, pueden participar organizaciones de terceros que tengan licencias de FSTEC o del FSB de Rusia para realizar el trabajo relevante.

Para proteger la información, se recomienda utilizar medios técnicos de protección certificados según los requisitos de seguridad de la información. El procedimiento de certificación está determinado por la legislación de la Federación de Rusia.

La lista de medidas necesarias para la protección de la información se determina en función de los resultados de un examen especial del objeto de protección y pruebas de certificación. y estudios especiales de medios técnicos destinados al procesamiento de información confidencial.

El nivel de seguridad técnica de la información debe corresponder a la relación entre los costos de organizar la seguridad de la información y la cantidad de daño que se puede causar al propietario de los recursos de información.

Los objetos protegidos deben ser certificado de acuerdo con los requisitos de seguridad de la información de acuerdo con los documentos reglamentarios FSTEC de Rusia para el cumplimiento de los estándares y requisitos establecidos para la protección de la información. Según los resultados de la certificación, se otorga permiso (certificado de conformidad) para procesar información confidencial en esta instalación.

La responsabilidad de garantizar los requisitos para la protección de la información técnica recae en los jefes de las organizaciones que operan objetos protegidos.

Para identificar y prevenir oportunamente la fuga de información a través de canales técnicos, el estado y la efectividad de la información la protección debe ser monitoreada.

El control consiste en comprobar, utilizando los métodos actuales, los requisitos de los documentos reglamentarios en materia de protección de la información, así como evaluar la validez y eficacia de las medidas adoptadas.

La protección de la información se considera eficaz si la las medidas tomadas cumplen con los requisitos y estándares establecidos .

La organización del trabajo de protección de la información se confía a los jefes de departamento que operan los objetos protegidos, y el control para garantizar la protección de la información — para jefes de departamentos de protección de la información (servicios de seguridad).

La instalación de medios técnicos para el procesamiento de información confidencial, así como medios de seguridad de la información, deberá realizarse de acuerdo con el proyecto técnico o solución técnica.

Desarrollo de soluciones técnicas y proyectos técnicos para la instalación e instalación de información de identificación personal, así como los medios de protección de la información, la llevan a cabo unidades de protección de información (servicios de seguridad empresarial) u organizaciones de diseño autorizadas por FSTEC, con base en las especificaciones técnicas de diseño emitidas por los clientes.

Las soluciones técnicas para proteger la información contra fugas a través de canales técnicos son una parte integral de las soluciones tecnológicas, de planificación, arquitectónicas y de diseño y forman la base del sistema de protección técnica de la información confidencial.

La La organización directa del trabajo sobre la creación de información y su protección la lleva a cabo el funcionario, persona que se encarga de la gestión científica y técnica del diseño de un objeto protegido.

El desarrollo y la implementación de tecnologías de la información pueden ser realizados tanto por empresas (organizaciones, firmas) como por otras organizaciones especializadas que tengan licencias de FSTEC y (o) el FSB de Rusia para el tipo de actividad correspondiente.

En el caso del desarrollo de tecnologías de la información o sus componentes individuales por parte de organizaciones especializadas en la organización — El cliente determina los departamentos o especialistas individuales responsables de organizar y llevar a cabo las medidas de seguridad de la información, quienes deben brindar orientación metodológica y participar en un examen especial de los objetos protegidos, justificación analítica de la necesidad de crear información de seguridad de la información, coordinación de la elección de la información digital. protección, herramientas técnicas y de protección de software, desarrollo de especificaciones técnicas para la creación de información de tecnología de la información, organización del trabajo sobre la implementación de información de tecnología de la información y certificación de objetos protegidos.

El procedimiento para organizar el trabajo en una empresa sobre la creación y operación de objetos de información y locales dedicados (protegidos) se determina en un «Reglamento especial sobre el procedimiento para organizar y realizar el trabajo en una empresa para proteger la información contra fugas a través de canales técnicos». , teniendo en cuenta condiciones específicas, que deben determinar:

  • el procedimiento para determinar la información protegida;
  • el procedimiento para involucrar unidades organizativas y organizaciones de terceros especializadas en el desarrollo y operación de objetos de tecnología de la información y tecnología de la información, sus tareas y funciones en las distintas etapas de la creación y operación de un objeto protegido;
  • el procedimiento para la interacción de todas las organizaciones, departamentos y especialistas involucrados en este trabajo;
  • el procedimiento para el desarrollo, puesta en servicio y operación de objetos protegidos;
  • la responsabilidad de los funcionarios por la puntualidad y calidad de la formación de los requisitos de protección de la información, para la calidad y el nivel científico y técnico de desarrollo de la tecnología de la información técnica.

La empresa (institución, firma) debe tener una lista documentada de información sujeta a protección de acuerdo con los actos legales reglamentarios, y también debe desarrollar un sistema de permisos adecuado para el acceso del personal a este tipo de información.

A la hora de organizar el trabajo para proteger las fugas a través de canales de información técnica en un objeto protegido, se pueden distinguir tres etapas:

  • la primera etapa (preparatoria, pre- diseño);
  • segunda etapa (diseño de tecnología de la información);
  • tercera etapa (etapa de puesta en servicio del objeto protegido y sistema técnico de seguridad de la información).

La etapa preparatoria para la creación de un sistema técnico de seguridad de la información

En la primera etapa, se realizan los preparativos para la creación de un sistema técnico de seguridad de la información sobre los objetos protegidos, durante la cual se realiza un examen especial de los objetos protegidos. se llevan a cabo objetos, se desarrolla una justificación analítica de la necesidad de crear un sistema de seguridad de la información y una especificación técnica (técnica privada) para su creación.

Al realizar una inspección especial de los objetos protegidos con la participación de especialistas adecuados, se lleva a cabo una evaluación de los posibles canales técnicos de fuga de información.

Analizar posibles canales técnicos de fuga de información en el sitio se estudia:

  • plano (a escala) del área adyacente al edificio en un radio de hasta 150 — 300 m indicando (si es posible) la propiedad de los edificios y el límite del área controlada;
  • planos de planta del edificio que indican todas las habitaciones y las características de sus paredes, techos, materiales de acabado, tipos de puertas y ventanas;
  • diagrama en planta de las comunicaciones de ingeniería de todo el edificio, incluido el sistema de ventilación;
  • plano- diagrama del sistema de puesta a tierra de la instalación que indica la ubicación del electrodo de tierra;
  • diagrama en planta del sistema de suministro de energía del edificio que indica la ubicación del transformador de aislamiento (subestación), todos los tableros de distribución y cajas de conexiones;
  • esquema en planta de la instalación de las líneas de comunicación telefónica, indicando la ubicación de las cajas de conexiones y la instalación de los aparatos telefónicos;
  • diagrama en planta de los sistemas de seguridad y alarma contra incendios que indica las ubicaciones de instalación y los tipos de sensores, así como las cajas de distribución.

Instalado: cuándo se construyó el objeto (edificio), qué qué organizaciones participaron en la construcción, qué organizaciones estaban ubicadas allí anteriormente.

Al analizar las condiciones de ubicación de un objeto, se determinan los límites de la zona controlada, las áreas de estacionamiento, así como los edificios que están en visibilidad directa desde las ventanas de locales protegidos fuera de la zona controlada.

Se determina (si es posible) la propiedad de estos edificios y el modo de acceso a ellos.

Mediante observación visual o fotografía desde las ventanas de locales protegidos, ventanas de edificios cercanos Se instalan edificios, así como áreas de estacionamiento con visibilidad directa.

Se está evaluando la posibilidad de realizar reconocimientos desde los mismos mediante micrófonos direccionales y sistemas de reconocimiento acústico láser, así como equipos de observación visual y filmación.

La ubicación de la subestación transformadora, cuadro eléctrico, y se están instalando cuadros de distribución.

Se identifican los edificios y locales ubicados fuera del área controlada, que se alimentan del mismo bus de baja tensión de la subestación transformadora que los objetos protegidos.

Se mide la longitud de las líneas de alimentación eléctrica desde los objetos protegidos hasta los posibles puntos de conexión de los equipos de interceptación de información (cuadros, locales, etc.) ubicados fuera del área controlada.

La posibilidad de recibir la información se evalúa transmitida por marcadores de red (cuando están instalados en locales protegidos), fuera de la zona controlada.

Se determinan las habitaciones adyacentes a las protegidas y ubicadas fuera de la zona controlada.

Se establece su afiliación y modo de acceso. Se determina la posibilidad de acceso desde el exterior a las ventanas del local protegido.

Se evalúa la posibilidad de fuga de información de voz del local protegido a través de canales de vibración acústica.

Los canales de conexión son líneas determinadas de medios y sistemas técnicos auxiliares (líneas telefónicas, líneas de alerta, sistemas de seguridad y alarma contra incendios, sistemas de relojería, etc.) que se extienden más allá del área controlada, la ubicación de sus cajas de distribución.

Se mide la longitud de las líneas desde los objetos protegidos hasta los lugares de posible conexión de equipos de interceptación de información fuera del área controlada.

Se evalúa la posibilidad de fuga de información de voz desde las instalaciones protegidas a través de canales acústicos eléctricos. .

Se identifican los servicios públicos y los conductores extraños que se extienden más allá del área controlada y se mide su longitud desde los objetos protegidos hasta los lugares donde se pueden conectar los equipos de interceptación de información.

Se establece la ubicación del electrodo de tierra al que está conectado el bucle de tierra del objeto protegido. Se determinan los locales ubicados fuera del área controlada, que están conectados al mismo electrodo de tierra.

Se determinan los lugares de instalación en las instalaciones de informatización de TSIO y el tendido de sus líneas de conexión.

Se está evaluando la posibilidad de interceptar la información procesada por las TIC mediante medios técnicos especiales a través de canales de fuga de información electromagnéticos y eléctricos.

En las condiciones modernas, es aconsejable llevar a cabo investigaciones técnicas control para evaluar las propiedades de protección reales de las estructuras de construcción aislantes de sonido y vibración de las instalaciones para tener en cuenta sus resultados al desarrollar medidas para proteger el equipo de protección personal y las instalaciones designadas.

La inspección previa al proyecto se puede encomendar a una organización especializada que tenga la licencia correspondiente, pero incluso en este caso, es recomendable realizar el análisis del soporte de la información en términos de información protegida por representantes de la organización — el cliente con la asistencia metodológica de una organización especializada.

Los especialistas de esta organización están familiarizados con la información protegida de acuerdo con las reglas establecidas en la organización — pedido al cliente.

Después de realizar un examen especial previo al proyecto del objeto protegido por un grupo (comisión) designado por el jefe de la empresa (organización, firma), se lleva a cabo una fundamentación analítica de la necesidad de crear información y protección de la información, durante la cual:

  • se determina una lista de información a proteger (la lista de información de carácter confidencial es aprobada por el jefe de la organización);
  • categorización de la información confidencial sujeta a protección se lleva a cabo;
  • se determina una lista de personas admitidas a información confidencial sujeta a protección;
  • >se determina el grado de participación del personal en el procesamiento (discusión, transmisión, almacenamiento, etc.) de la información, la naturaleza de su interacción entre sí y con el servicio de seguridad;
  • una matriz de acceso del personal a la información confidencial sujeta a protección;
  • se determina (aclara) el modelo de un enemigo potencial (atacante, intruso);
  • se clasifica y categoriza los objetos de información y las instalaciones asignadas llevado a cabo;
  • se fundamenta la necesidad de atraer organizaciones especializadas que cuenten con las licencias necesarias para realizar trabajos de protección de la información para el diseño e implementación de sistemas de seguridad de la información;
  • una evaluación de los costos materiales, laborales y financieros para el desarrollo y se lleva a cabo la implementación de la seguridad de la información;
  • se determina el plazo aproximado para el desarrollo e implementación de la tecnología de la información.

La característica principal de la información confidencial es su valor para un adversario potencial (competidores). Por lo tanto, al determinar una lista de información confidencial, su propietario debe determinar este valor a través del alcance del daño que se puede causar a la empresa si se filtra (divulga).

Dependiendo Sobre la cantidad de daño (o consecuencias negativas) que puede causar una filtración (divulgación) de información, se introducen las siguientes categorías de importancia de la información:

  • categoría 1
    • – información cuya filtración podría provocar la pérdida de independencia económica o financiera de la empresa o la pérdida de su reputación (pérdida de confianza de los consumidores, subcontratistas, proveedores, etc.);
    • 2 categoría – información cuya filtración podría provocar un daño económico significativo o una disminución de su reputación
  • categoría 3: información cuya filtración podría causar daños económicos a la empresa.

Desde el punto de vista de difusión de información, se puede dividir en dos grupos:

  • primer grupo (1)
    • – información confidencial que circula únicamente dentro de la empresa y no está destinada a ser transferida a otra parte;
  • segundo grupo (2) — información confidencial que está destinada a ser transferida a la otra parte o recibida de la otra parte

En consecuencia. , es recomendable establecer seis niveles de confidencialidad de la información (Tabla 1).

Tabla 1. Niveles de confidencialidad de la información

 

La cantidad de daño (consecuencias negativas) que puede causarse cuando se divulga información específica

  

Nivel de confidencialidad de la información
 

información que no está sujeta a transferencia a otras empresas ( organizaciones)

  

información destinada a ser transferida a otras empresas (organizaciones) o recibida de ellas
La fuga de información puede provocar la pérdida de la independencia económica o financiera de la empresa o la pérdida de su reputación

1.1

1.2
Una filtración de información puede provocar daños económicos importantes o una disminución de la reputación de la empresa

2.1

2.2
La filtración de información puede causar daños económicos a una empresa

3.1

3.2

Es necesaria la introducción de categorías de confidencialidad de la información para determinar el volumen y contenido se establecen un conjunto de medidas para protegerlo.

Al establecer un régimen de acceso a la información confidencial, es necesario guiarse por el principio — cuanto mayor es el daño causado por la divulgación de información, menor es el círculo de personas a las que se les permite acceder a ella.

Los modos de acceso a información confidencial deben estar vinculados a las responsabilidades laborales de los empleados .

Para limitar el círculo de personas permitidas a la información que constituye un secreto comercial, es aconsejable introducir los siguientes modos de acceso a la misma:

  • modo 1
    • – proporciona acceso a la lista completa de información confidencial. Establecido para la gestión de la empresa;
    • modo 2 – proporciona acceso a información durante la ejecución tipos específicos de actividades (financieras, de producción, de personal, de seguridad, etc.). Instalado para la gestión de departamentos y servicios;
  • Modo 3: proporciona acceso a una lista específica de información al realizar tipos específicos de actividades. Instalado para empleados — especialistas de un departamento (servicio) específico de acuerdo con las responsabilidades laborales.

Por lo tanto, después de compilar una lista de información confidencial, es necesario establecer el nivel de su confidencialidad. , así como el modo de acceso para los empleados.

Es aconsejable diferenciar el acceso de los empleados de una empresa (compañía) a información de carácter confidencial ya sea por niveles (anillos) de confidencialidad de acuerdo con los modos de acceso, o por las llamadas matrices de autoridad, en las que las posiciones de los empleados de la empresa (compañía) se enumeran en las filas y las columnas &#8212 ; información incluida en la lista de información que constituye un secreto comercial.

Los elementos de la matriz contienen información sobre el nivel de autoridad de los funcionarios relevantes (por ejemplo, “+” — acceso a la información está permitida, “-” — el acceso a la información está prohibido).

A continuación, se determina (aclara) el modelo de un enemigo potencial (atacante, intruso), lo que incluye determinar el nivel de equipamiento del enemigo interesado en obtener información y sus capacidades para utilizar ciertos medios técnicos de reconocimiento para interceptar información.

Dependiendo del apoyo financiero, así como de la capacidad de acceder a ciertos medios de reconocimiento, el enemigo tiene varias capacidades para interceptar información.

Por ejemplo, los equipos de reconocimiento de radiación e interferencias electromagnéticas laterales, los dispositivos electrónicos de interceptación de información implementados con medios técnicos y los sistemas de reconocimiento acústico láser pueden, por regla general, ser utilizados por los servicios especiales y de inteligencia de los estados.

Para garantizar un enfoque diferenciado en la organización de la protección de la información contra la fuga a través de canales técnicos, los objetos protegidos deben clasificarse en las categorías y clases apropiadas.

La clasificación de los objetos se realiza de acuerdo con las tareas de protección de la información técnica y establece requisitos para el volumen y la naturaleza de un conjunto de medidas destinadas a proteger la información confidencial de la fuga a través de canales técnicos durante el funcionamiento del objeto protegido.

Es aconsejable separar los objetos protegidos en dos clases de protección (Tabla 2).

A la clase de protección AEstos incluyen objetos donde las señales de información que surgen durante el procesamiento de información o las negociaciones están completamente ocultas (ocultando el hecho de procesar información confidencial en el objeto).

Clase de protección B

Clase de protección B

Clase de protección B

strong> se refiere a objetos donde los parámetros de las señales de información que surgen durante el procesamiento de información o las negociaciones están ocultos, para lo cual es posible restaurar información confidencial (ocultando información procesada en el objeto).

Tabla 2. Clases de protección de objetos de información y locales dedicados>p>

 

La tarea de la seguridad de la información técnica

  

Clase de protección instalada
Ocultación completa de las señales de información que surgen durante el procesamiento de información o las negociaciones. (ocultando el hecho de procesar información confidencial en la instalación)

A
Ocultar los parámetros de las señales de información que surgen durante el procesamiento de información o las negociaciones, que pueden usarse para restaurar información confidencial (ocultar información procesada en la instalación)

B

Al establecer la categoría de un objeto protegido, se tiene en cuenta su clase de protección, así como las capacidades financieras de la empresa. cerrar posibles canales técnicos de fuga de información. Es aconsejable dividir los objetos protegidos en tres categorías.

La categorización de los objetos de información protegidos y los locales designados la llevan a cabo comisiones designadas por los jefes de las empresas en cuya jurisdicción se encuentran.

Las comisiones, por regla general, incluyen representantes de departamentos responsables de garantizar la seguridad de la información y representantes de los departamentos que operan objetos protegidos.

La categorización de los objetos protegidos se realiza en el siguiente orden:

  • se determinan los objetos de informatización y las instalaciones específicas que deben protegerse;
  • se determina el nivel de confidencialidad de la información procesada por TSOI o discutida en las instalaciones específicas, y el costo del daño que puede causarse a la empresa (organización , firme) como resultado de su fuga se evalúa
  • ;para cada objeto protegido, se establece una clase de protección (A o B) y se determinan los canales técnicos potenciales para la fuga de información y los medios técnicos especiales que pueden usarse para interceptar información (Tablas 3, 4);
  • la se determina la composición racional de los medios de protección y también se desarrollan medidas organizativas para cerrar un canal técnico específico de fuga de información para cada objeto protegido;
  • para la información clasificada como confidencial y proporcionada por la otra parte, la suficiencia de las medidas tomadas para protegerlo (medidas o estándares de protección) se determinan información están determinadas por el acuerdo correspondiente);
  • se evalúa el costo de las medidas (organizativas y técnicas) para cerrar un canal técnico específico de fuga de información para cada objeto protegido;
  • teniendo en cuenta la evaluación de las capacidades de un enemigo potencial (competidor, atacante) para utilizar ciertos medios técnicos de reconocimiento para interceptar información, así como teniendo en cuenta el costo de cerrar cada canal de fuga de información y el costo del daño que puede ser causado a la empresa como resultado de su filtración, la viabilidad de cerrar esos u otros canales técnicos de filtración de información;
  • después de decidir qué canales técnicos de filtración de información deben cerrarse, la categoría de informatización se establece un objeto o local dedicado (Tabla 5).

Los resultados del trabajo de la comisión se documentan en un acta, que es aprobada por el funcionario que nombró la comisión.

Tabla 3. Posibles canales técnicos de fuga de información procesada por PC

 

Canales técnicos de fuga de información

  

Medios técnicos especiales utilizados

para interceptar información
Electromagnético (interceptación de radiación electromagnética espuria de TSOI) Equipos de reconocimiento de radiaciones e interferencias electromagnéticas laterales (PEMIN), instalados en edificios cercanos y vehículos ubicados fuera del área controlada
Eléctricos (interceptación de señales eléctricas inducidas) Equipos de reconocimiento PEMIN conectados a líneas de suministro de energía TSOI, líneas de conexión VTSS, conductores extraños, circuitos de puesta a tierra de TSOI fuera del área controlada
Exposición de TSOI a alta frecuencia Equipos de “irradiación de alta frecuencia” instalados en edificios cercanos o locales adyacentes ubicados fuera del área controlada
Introducción de dispositivos electrónicos de interceptación de información en TSIO Marcadores de hardware de tipo modular instalados en la unidad del sistema o dispositivos periféricos durante el montaje, operación y reparación de una PC:

  • marcadores de hardware para interceptar imágenes mostradas en la pantalla del monitor, instalados en monitores de PC;
  • marcadores de hardware para interceptar información ingresada desde el teclado de la PC, instalados en el teclado;
  • marcadores de hardware para interceptar información impresa, instalados en la impresora;
  • marcadores de hardware para interceptar información escrita en el disco duro de la PC, instalados en la unidad del sistema.

Marcadores de hardware introducido secretamente en bloques, nodos, placas y elementos individuales de circuitos de PC en la etapa de su fabricación

Tabla 4. Posibles canales técnicos para las fugas información de voz

 

Canales técnicos de fuga de información  

Medios técnicos especiales utilizados

para interceptación de información
Acústica directa (a través de grietas, ventanas, puertas, aberturas tecnológicas, conductos de ventilación, etc.)
  • micrófonos direccionales instalados en edificios cercanos y vehículos ubicados fuera del área controlada;
  • micrófonos especiales de alta sensibilidad instalados en conductos de aire o en salas adyacentes pertenecientes a otras organizaciones;
  • dispositivos electrónicos para interceptar información del habla con sensores tipo micrófono instalados en conductos de aire, sujetos a acceso incontrolado a ellos por parte de personas no autorizadas;
  • escuchar conversaciones que tienen lugar en una sala designada sin el uso de medios técnicos por personas no autorizadas (visitantes, personal técnico) cuando se encuentran en los pasillos y adyacentes a las instalaciones designadas (escuchas involuntarias)
Vibración acústica (a través de estructuras envolventes, tuberías de servicios públicos, etc.)
  • estetoscopios electrónicos instalados en salas adyacentes pertenecientes a otras organizaciones;
  • dispositivos electrónicos para interceptar información del habla con sensores de contacto instalados en comunicaciones de ingeniería (suministro de agua, calefacción, alcantarillado, conductos de aire, etc.) y estructuras de cerramiento externo (paredes, techos, pisos, puertas, marcos de ventanas, etc.) dedicados. locales, sujetos a acceso incontrolado a ellos por parte de personas no autorizadas
Acústico-óptico

(a través de ventana

vidrio)

 Sistemas de localización acústica láser instalados en edificios cercanos y vehículos situados fuera de la zona controlada
Acoustoeléctrico

( vía troncales VTSS)
  • amplificadores especiales de baja frecuencia conectados a líneas de conexión VTSS que tienen un efecto de “micrófono” fuera del área controlada;
  • equipos de “imposición de alta frecuencia” conectados a líneas de conexión VTSS que tienen un efecto de “micrófono” fuera del área controlada área controlada
Acústico electromagnético (paramétrico)
  • dispositivos especiales de recepción de radio instalados en edificios cercanos y vehículos ubicados fuera de la zona controlada, interceptando PEMI en las frecuencias de los generadores de alta frecuencia que forman parte del VTSS, que tienen un efecto de «micrófono»;
  • «alta -Equipos de «irradiación de frecuencia», instalados en edificios cercanos o locales adyacentes ubicados fuera de la zona controlada

 

Tabla 5. Categorías de objetos de informatización y locales dedicados

 

La tarea de la seguridad de la información técnica

  

Canales técnicos cerrados de fuga de información

  

Categoría establecida del objeto protegido
Ocultación completa de las señales de información que surgen al procesar información por medios técnicos o realizar negociaciones (ocultar el hecho de procesar información confidencial en la instalación ) todos los posibles canales técnicos de fuga de información

1
Ocultar los parámetros de las señales de información que surgen durante el procesamiento de información por medios técnicos o negociaciones a través de las cuales es posible restaurar información confidencial (ocultando información procesada en la instalación) todos los posibles canales técnicos de fuga de información

2
Ocultar parámetros de señal de información, que surgen durante el procesamiento de información por medios técnicos o la realización de negociaciones a través de las cuales es posible restaurar información confidencial (ocultando información procesada en la instalación) los canales técnicos más peligrosos de fuga de información

3

Luego de establecer la categoría del objeto de protección, se evalúan las posibilidades de creación e implementación de información de seguridad de la información por parte de la empresa (organización, firma), o la necesidad de atraer organizaciones especializadas que cuenten con las licencias necesarias para tener derecho a realizar la protección de la información. se justifica el trabajo para diseñar e implementar la seguridad de la información.

Se lleva a cabo una evaluación de los costos materiales, laborales y financieros para el desarrollo e implementación de la tecnología de la información, y el plazo aproximado para Se determina el desarrollo e implementación de tecnologías de la información.

Los resultados de la fundamentación analítica de la necesidad de crear un sistema de información tecnológico se documentan en una nota explicativa, la cual debe contener:

  • una lista de información confidencial indicando su nivel de confidencialidad;
  • una lista de empleados de la empresa admitidos a información confidencial, indicando su modo de acceso y, si es necesario, la matriz de acceso;
  • características de la información y estructura organizativa de los objetos protegidos;
  • lista de objetos de información sujetos a protección, indicando sus categorías;
  • una lista de locales designados a proteger, indicando sus categorías;
  • una lista y características de los medios técnicos para procesar información confidencial, indicando su ubicación de instalación;
  • una lista y características de los medios auxiliares medios y sistemas técnicos, indicando su ubicación de instalación;
  • el nivel esperado de equipamiento de un enemigo potencial (competidor, atacante);
  • canales técnicos de fuga de información que deben cerrarse (eliminar );
  • medidas organizativas para cerrar canales técnicos de fuga de información;
  • lista y características de los medios técnicos de protección de la información propuestos para su uso, indicando su ubicación de instalación;
  • métodos y procedimientos para monitorear la efectividad de protección de la información;
  • justificación de la necesidad de atraer organizaciones especializadas que tengan las licencias necesarias para realizar trabajos de seguridad de la información para el diseño;
  • evaluación de los costos materiales, laborales y financieros para el desarrollo y la implementación de la tecnología de la información;
  • plazo de tiempo aproximado para el desarrollo y la implementación de la tecnología de la información;
  • lista de medidas para garantizar la confidencialidad de información en la etapa de diseño de tecnologías de la información.

La nota explicativa está firmada por el jefe del grupo (comisión) que realizó la justificación analítica, acordada con el jefe del servicio de seguridad y aprobado por el responsable de la empresa.

Con base en la justificación analítica y los documentos normativos y metodológicos vigentes sobre la protección de la información contra fugas a través de canales técnicos, teniendo en cuenta la clase y categoría establecidas del objeto protegido, se establecen requisitos específicos para la protección de la información, incluidos en la especificación técnica (técnica privada). para el desarrollo de la tecnología de la información.

Los términos de referencia (TOR) para el desarrollo de la tecnología de la información deben contener:

  • justificación del desarrollo;
  • datos iniciales del objeto protegido en aspectos técnicos, software, informativos y organizativos;
  • un enlace a los documentos normativos y metodológicos, teniendo en cuenta qué información de seguridad de la información se desarrollará y pondrá en funcionamiento;
  • requisitos específicos para la información de seguridad de la información;
  • una lista de medios técnicos de seguridad de la información destinados a su uso;
  • composición, contenido y calendario del trabajo en las etapas de desarrollo e implementación;
  • lista de contratistas — ejecutantes de diversos tipos de trabajo;
  • una lista de productos y documentación científica y técnica presentada al cliente.

Se elaboran los términos de referencia para el diseño de la información y el sistema de protección de la información del objeto protegido. redactado en un documento separado y acordado con la organización de diseño, el servicio de seguridad (especialista) de la organización del cliente en términos de la suficiencia de las medidas para la protección de la información técnica y está aprobado por el cliente.

Etapa de diseño de un sistema técnico de seguridad de la información

Para desarrollar un proyecto técnico para la creación de un sistema de seguridad de la información técnica, deben participar organizaciones autorizadas por el Servicio Federal de Control Técnico y de Exportaciones de la Federación de Rusia.

El proyecto técnico para la información de seguridad de la información debe contener:

  • página de título;
  • nota explicativa que contenga información sobre las características y estructura organizativa del objeto protegido, información sobre la organización y medidas técnicas para proteger la información contra fugas a través de canales técnicos;
  • una lista de objetos de informatización a proteger, indicando su ubicación y la categoría de protección establecida;
  • una lista de locales asignados a proteger, indicando su ubicación y la categoría de protección establecida;
  • una lista de TSOI instalados que indica la presencia de un certificado (instrucción de operación) y los lugares de su instalación;
  • una lista de VTSS instalados que indica la presencia de un certificado y los lugares de su instalación;
  • una lista de los medios técnicos instalados de seguridad de la información indicando el certificado de disponibilidad y los lugares de su instalación;
  • diagrama (a escala) que indica el plano del edificio en el que se encuentran los objetos protegidos, los límites del área controlada, la subestación transformadora, el dispositivo de puesta a tierra, las rutas para el tendido de servicios públicos, líneas eléctricas, comunicaciones, alarmas contra incendios y de seguridad, lugares de instalación de dispositivos de separación, etc. .p.;
  • planos tecnológicos del edificio (a escala) que indican la ubicación de los objetos de información y los locales asignados, las características de sus paredes, techos, materiales de acabado, tipos de puertas y ventanas;
  • planos de objetos de información (a escala ) indicando los lugares de instalación TSOI, VTSS y el tendido de sus líneas de conexión, así como las rutas para el tendido de servicios públicos y conductores extraños;
  • plano de las comunicaciones de ingeniería de todo el edificio, incluido el sistema de ventilación;
  • diagrama en planta del objeto del sistema de puesta a tierra, indicando la ubicación del electrodo de tierra;
  • un diagrama en planta del sistema de suministro de energía del edificio que indica la ubicación del transformador de aislamiento (subestación), todos los tableros de distribución y cajas de conexiones;
  • diagrama en planta de la instalación de líneas de comunicación telefónica que indica la ubicación de las cajas de distribución y la instalación de aparatos telefónicos;
  • diagrama en planta de los sistemas de seguridad y alarma contra incendios que indique las ubicaciones de instalación y los tipos de sensores, así como las cajas de distribución;
  • diagramas de los sistemas de protección activa (si se proporcionan en las especificaciones de diseño);
  • instrucciones y manuales para el funcionamiento de los medios técnicos de protección para los usuarios y responsables de garantizar la seguridad de la información en la instalación de informatización.

El diseño técnico, los planos de trabajo, los presupuestos y demás documentación de diseño deben ser tenido en cuenta en la forma prescrita.

El diseño técnico se coordina con el servicio de seguridad (especialista) del cliente, la autoridad de protección de la información de la organización de diseño, representantes de los contratistas — ejecutantes de tipos de trabajo y aprobados por el responsable de la organización de diseño.

A la hora de desarrollar un proyecto técnico se deben tener en cuenta las siguientes recomendaciones:

  • Se deben instalar equipos técnicos certificados en las instalaciones designadas para el procesamiento de información y medios técnicos auxiliares;
  • para la colocación de dispositivos de información digital, es recomendable elegir locales en el sótano y semisótano (tienen blindaje propiedades);
  • Se recomienda ubicar las oficinas de los líderes de la organización, así como los locales especialmente importantes designados, en los pisos superiores (a excepción del último) en el lado menos peligroso desde el punto de vista del reconocimiento;
  • es necesario prever el suministro de todas las comunicaciones (suministro de agua, calefacción, alcantarillado, telefonía, red eléctrica, etc.) al edificio en un solo lugar. Es recomendable introducir inmediatamente las entradas de comunicaciones del edificio en la sala del cuadro y asegurarse de que su entrada esté cerrada y se instale un sistema de alarma o seguridad;
  • Si el transformador de aislamiento (subestación transformadora), desde el cual se suministra energía al equipo técnico protegido y a las instalaciones dedicadas, está ubicado fuera del área controlada, es necesario prever la desconexión de los buses de baja tensión de la subestación, desde donde los objetos protegidos están alimentados, de consumidores ubicados fuera del área controlada;
  • Se recomienda tender los cables de alimentación eléctrica desde un panel de alimentación común según el principio de cableado vertical hasta los pisos con cableado horizontal piso por piso e instalar su propio panel de alimentación en cada piso. Los cables de conexión de los equipos técnicos auxiliares, incluidos los cables de los sistemas de comunicación, deben tenderse de manera similar;
  • el número de entradas de comunicaciones al área de las instalaciones protegidas debe ser mínimo y corresponder al número de comunicaciones. Los conductores extraños no utilizados que pasan por las instalaciones protegidas, así como los cables (líneas) de los medios técnicos auxiliares no utilizados deben ser desmantelados;
  • el tendido de circuitos de información, así como los circuitos de potencia y puesta a tierra de los medios técnicos protegidos, debe planificarse de tal manera que su recorrido paralelo con varios conductores extraños que se extienden más allá del área controlada quede excluido o reducido a límites aceptables;
  • Para poner a tierra los equipos técnicos (incluidos los equipos auxiliares) instalados en locales exclusivos, es necesario proporcionar un circuito de puesta a tierra propio e independiente ubicado dentro del área controlada. Si esto no es posible, es necesario prever ruido lineal en el sistema de puesta a tierra de la instalación;
  • es necesario excluir las salidas de conductores extraños (diversas tuberías, conductos de aire, estructuras metálicas del edificio, etc.), en los que están presentes señales informativas inducidas, más allá del área controlada. Si esto no es posible, es necesario prever el ruido lineal procedente de conductores extraños;
  • Se recomienda tender tuberías y comunicaciones para distribución horizontal de forma abierta o detrás de falsos paneles que permitan su desmontaje e inspección;
  • En los lugares donde las tuberías de comunicaciones técnicas salen fuera de las instalaciones designadas, se recomienda instalar insertos aislantes de vibraciones flexibles, llenando el espacio entre ellos y la estructura del edificio con mortero en todo el espesor de la estructura. Si es imposible instalar insertos, será necesario equipar las tuberías con un sistema de vibración y ruido;
  • es necesario prever la colocación de elevadores verticales de comunicaciones para diversos fines fuera del área de ​​las instalaciones asignadas;
  • las estructuras de cerramiento de las instalaciones asignadas adyacentes a otras instalaciones de la organización no deben tener aberturas, nichos ni canales pasantes para el tendido de comunicaciones;
  • Es aconsejable separar el sistema de ventilación de suministro y extracción y el intercambio de aire de la zona de las instalaciones asignadas, no debe estar conectado con el sistema de ventilación de otras instalaciones de la organización y tener su propia entrada y salida de aire separadas;
  • Se recomienda que los conductos del sistema de ventilación estén fabricados con materiales no metálicos. La superficie exterior de los conductos del sistema de ventilación que salen de un área designada o de habitaciones individuales importantes deben estar revestidas con material fonoabsorbente. En los lugares donde los conductos del sistema de ventilación salen de las habitaciones designadas, se recomienda instalar inserciones suaves aislantes de vibraciones hechas de material flexible, como lona o tela gruesa. Las salidas de los conductos de ventilación fuera del área de las instalaciones designadas deben cubrirse con una malla metálica;
  • en habitaciones equipadas con un sistema de refuerzo acústico, es aconsejable utilizar revestimiento de las superficies internas de las estructuras de cerramiento. con materiales que absorban el sonido;
  • las puertas de habitaciones especialmente importantes deben estar equipadas con vestíbulos;
  • los paneles decorativos de las baterías de calefacción deben ser extraíbles para su inspección;
  • en habitaciones designadas particularmente importantes, no se recomienda el uso de techos suspendidos, especialmente los no desmontables;
  • para el acristalamiento de habitaciones designadas particularmente importantes, se recomienda utilizar techos dobles con protección solar y térmica. -ventanas acristaladas;
  • se recomienda hacer los suelos de las habitaciones especialmente importantes sin rodapiés;
  • No se recomienda utilizar iluminación fluorescente en las habitaciones designadas. Las lámparas con lámparas incandescentes deben seleccionarse para tensión de red completa sin el uso de transformadores ni rectificadores.

Puesta en servicio de un sistema de seguridad de la información técnica

En la tercera etapa las organizaciones de instalación y construcción toman medidas para proteger la información proporcionada por el diseño técnico.

Las organizaciones autorizadas por el Servicio Federal de Control Técnico y de Exportaciones de la Federación de Rusia deben participar en la instalación de medios técnicos de procesamiento de información, medios técnicos auxiliares, así como en la implementación de medidas técnicas para proteger la información.

La organización instaladora o el cliente adquiere información técnica de identificación certificada y una inspección especial de las TIC no certificadas para la detección de dispositivos electrónicos de interceptación de información (“marcadores”) posiblemente integrados en ellas y sus estudios especiales.

Sobre la base de los resultados de una investigación especial realizada por TSOI, se especifican medidas para proteger la información. Si es necesario, se realizan los cambios apropiados en el diseño técnico, que se acuerdan con la organización de diseño y el cliente.

Se compran y fabrican herramientas certificadas de seguridad de la información técnica, de software y de software-hardware. instalado de acuerdo con el proyecto técnico.

El servicio de seguridad (especialista) organiza el control de todas las medidas de protección de la información previstas por el proyecto técnico.

Durante el período de instalación e instalación de información de identificación personal y medios de seguridad de la información, se debe prestar especial atención a garantizar el régimen y la seguridad del objeto protegido.

Las principales recomendaciones para este período incluyen lo siguiente:

  • organización de la seguridad y protección física de las instalaciones del objeto de informatización y las instalaciones dedicadas, excluyendo el acceso no autorizado a información personal, su robo y alteración, robo de soportes de información
  • Al realizar la reconstrucción de una instalación, se debe organizar el control y registro de las personas y vehículos que llegaron y salieron del territorio de la obra;
  • se recomienda organizar el acceso de los trabajadores de la construcción al territorio y al edificio utilizando pases temporales o listas diarias;
  • copias de planos de construcción, especialmente planos de las instalaciones, esquemas de líneas de suministro eléctrico, sistemas de comunicaciones, seguridad y alarma contra incendios, etc. Hay que tenerlos en cuenta y su número es limitado. Al finalizar los trabajos de instalación, copias de dibujos, planos, diagramas, etc. están sujetos a destrucción de acuerdo con el procedimiento establecido;
  • es necesario asegurar que los componentes y materiales de construcción estén almacenados en un almacén bajo vigilancia;
  • no se recomienda permitir la instalación las operaciones y los trabajos de acabado deben ser realizados por trabajadores individuales, especialmente de noche;
  • en la etapa de acabado de los trabajos, es necesario garantizar la seguridad nocturna del edificio.

Algunas medidas para organizar el control durante este período incluyen:

  • antes de la instalación, es necesario garantizar una verificación secreta de todas las estructuras montadas, especialmente del equipo de instalación, para detectar la presencia de varios tipos de marcas y sus diferencias entre sí, así como de los dispositivos integrados;
  • es necesario organizar inspecciones periódicas de las áreas de las instalaciones asignadas por la tarde o fuera del horario laboral en ausencia de constructores en ellas para identificar áreas y lugares sospechosos;
  • organizar el control sobre el avance de todo tipo de obras de construcción en el territorio y en el edificio. La función principal del control es confirmar la exactitud de la tecnología de los trabajos de construcción e instalación y su conformidad con el diseño técnico;
  • organizar una inspección de los lugares y secciones de las estructuras que, según la tecnología, son sujeto a recubrimiento con otras estructuras. Dicho control puede organizarse legalmente al amparo de la necesidad de comprobar la calidad de la instalación y los materiales, o de forma encubierta;
  • Es necesario comprobar cuidadosamente la conformidad de los diagramas de instalación y el número de cables tendidos con el diseño técnico. Se debe prestar especial atención a la etapa de introducción de comunicaciones por cable y cables en el área de las instalaciones designadas. Todos los alambres y cables de reserva tendidos deben marcarse en un diagrama en planta que indique los lugares donde comienzan y terminan.

Al realizar la inspección, se debe prestar especial atención a los siguientes puntos :

  • cambios descoordinados en el número de equipos, cambios en su personal, especialmente durante procesos a largo plazo del mismo tipo;
  • la presencia de desviaciones de la tecnología acordada o estándar de los trabajos de construcción e instalación;
  • grandes retrasos inaceptables en la realización de operaciones de instalación estándar;
  • reemplazo inesperado de tipos de materiales de construcción y elementos estructurales;
  • cambios en los diagramas y el orden de instalación de las estructuras;
  • realizar trabajos durante el almuerzo o fuera del horario laboral, especialmente por la noche;
  • factores psicológicos del comportamiento de los constructores individuales en presencia de supervisores, etc.

Antes de instalar muebles y elementos interiores en las instalaciones designadas y en objetos de tecnología de la información, dispositivos técnicos y Se debe verificar que los equipos de oficina no tengan dispositivos integrados.

Al mismo tiempo, es aconsejable comprobar los equipos técnicos para detectar niveles de radiación electromagnética espuria. Es recomendable realizar dicha verificación en una sala especialmente equipada o en un almacén intermedio.

Después de terminar, se recomienda realizar un análisis exhaustivo del edificio para detectar la posibilidad de fuga de información a través de canales acústicos y de vibración.

Con base en los resultados de las mediciones, teniendo en cuenta la situación real con respecto al régimen de seguridad, se deben desarrollar recomendaciones adicionales para fortalecer las medidas de protección si hay un incumplimiento de los requisitos de protección.

Antes de comenzar la instalación de los dispositivos de protección de la información digital y los medios de seguridad de la información, el cliente determina las divisiones y personas que planea designar responsables de la operación de la información de seguridad de la información. Durante la instalación de los equipos de protección y su operación de prueba, las personas designadas reciben capacitación en los aspectos específicos del trabajo de seguridad de la información.

Junto con representantes de las organizaciones de diseño e instalación responsables de la operación de la información. tecnología, se desarrolla la documentación operativa para la instalación de informatización y las instalaciones dedicadas (pasaportes técnicos de objetos, instrucciones, pedidos y otros documentos).

El pasaporte técnico para el objeto de protección es desarrollado por la persona designada como responsable del funcionamiento y seguridad de la información en este objeto e incluye:

  • una nota explicativa que contiene las características de la información y la estructura organizativa del objeto protegido, información sobre las medidas organizativas y técnicas para proteger la información contra la fuga a través de canales técnicos;
  • una lista de objetos de informatización a proteger, indicando su ubicación y la categoría de protección establecida;
  • una lista de locales asignados a proteger, indicando su ubicación y la categoría de protección establecida;
  • una lista de TSOI instalados que indica la presencia de un certificado (instrucción de operación) y los lugares de su instalación;
  • una lista de VTSS instalados que indica la presencia de un certificado y los lugares de su instalación;
  • una lista de los medios técnicos instalados de seguridad de la información, indicando la disponibilidad de un certificado y la ubicación de su instalación;
  • un diagrama (a escala) que indique el plano del edificio en el que se encuentran los objetos protegidos, los límites del área controlada, la subestación transformadora, el dispositivo de puesta a tierra, las rutas de tendido de comunicaciones de ingeniería, líneas eléctricas, comunicaciones, alarmas contra incendios y de seguridad, lugares de instalación de dispositivos de separación, etc.;
  • planos tecnológicos del edificio (a escala) que indican la ubicación de los objetos de información y los locales asignados, las características de sus paredes, techos, materiales de acabado, tipos de puertas y ventanas;
  • planos de objetos de información (a escala ) indicando los lugares de instalación TSOI, VTSS y el tendido de sus líneas de conexión, así como las rutas para el tendido de servicios públicos y conductores extraños;
  • plano de las comunicaciones de ingeniería de todo el edificio, incluido el sistema de ventilación;
  • diagrama en planta del objeto del sistema de puesta a tierra, indicando la ubicación del electrodo de tierra;
  • un diagrama en planta del sistema de suministro de energía del edificio que indica la ubicación del transformador de aislamiento (subestación), todos los tableros de distribución y cajas de conexiones;
  • diagrama en planta de la instalación de líneas de comunicación telefónica que indica la ubicación de las cajas de distribución y la instalación de aparatos telefónicos;
  • diagrama en planta de los sistemas de seguridad y alarma contra incendios, indicando las ubicaciones de instalación y los tipos de sensores, así como las cajas de distribución;
  • diagramas de los sistemas de protección activa (si se proporcionan).

El pasaporte técnico va acompañado de:

  • instrucciones de funcionamiento (certificados de cumplimiento de los requisitos de seguridad de la información) de TSOI;
  • certificados de cumplimiento de los requisitos de seguridad de la información en VTSS;
  • certificados de cumplimiento de los requisitos de seguridad de la información para los medios técnicos de protección de la información;
  • actos de trabajos ocultos realizados;
  • protocolos de medición del sonido aislamiento de locales designados y eficacia del blindaje de estructuras y cabañas;
  • protocolos para medir el valor de la resistencia a tierra;
  • protocolos para medir la atenuación real de las señales de información en lugares de posible ubicación de equipos de reconocimiento.

Después de la instalación e instalación de los medios técnicos de seguridad de la información, su operación de prueba se lleva a cabo en combinación con otro hardware y software para probar su desempeño como parte de un objeto de informatización y probar el proceso tecnológico de procesamiento (transferencia) de información.

Con base en los resultados de la operación de prueba, se llevan a cabo pruebas de aceptación de los equipos de seguridad de la información con la ejecución del acto correspondiente.

Al finalizar la puesta en servicio La instalación de los equipos de protección de la información, la certificación de los objetos de informatización y de los locales asignados se realiza de acuerdo con los requisitos de seguridad. Es un procedimiento para confirmar oficialmente la eficacia de un conjunto de medidas y medios de seguridad de la información implementados en la instalación.

Si es necesario, por decisión del jefe de la organización, se puede realizar un trabajo de búsqueda de dispositivos electrónicos de recuperación de información («dispositivos integrados»), posiblemente integrados en las instalaciones designadas, realizado por organizaciones que tengan las licencias correspondientes del FSB de Rusia.

Durante el período de funcionamiento deberán realizarse periódicamente inspecciones y controles especiales de los locales asignados y de los medios de información. Los exámenes especiales deben realizarse encubiertos para los empleados de la organización o en su ausencia (se permite la presencia de un número limitado de personas entre los gerentes y el personal de seguridad de la organización).

Literatura

  1. Abalmazov E.I. Métodos y medios de ingeniería para contrarrestar las amenazas a la información. – M.: Grotek, 1997, pág. 248.
  2. Gavrish V.F. Una guía práctica para proteger los secretos comerciales. – Simferópol: Tavrida, 1994, pág. 112.
  3. GOST R 51275-99. Protección de la información. Objeto de información. Factores que influyen en la información. Disposiciones generales. (Adoptado y puesto en vigor por Resolución de la Norma Estatal de Rusia de fecha 12 de mayo de 1999 No. 160).
  4. Doctrina de Seguridad de la Información de la Federación de Rusia (Adoptada el 9 de septiembre de 2000 No. PR- 1895).
  5. >Organización y métodos modernos de seguridad de la información. Manual de información y referencia. – M.: Asociación «Seguridad», 1996, p. 440 págs.
  6. Contrarrestar el espionaje económico: una colección de publicaciones de la revista “Information Protection. Confident” 1994 – 2000. – San Petersburgo: Confident, 2000, p. 344.
  7. Maksimov Yu.N., Sonnikov V.G., Petrov V.G. y otros. Métodos técnicos y medios de seguridad de la información. – San Petersburgo: Editorial Polygon, 2000, p. 320.
  8. Torokin A.A. Ingeniería y protección de información técnica: Proc. Manual para estudiantes de especialidades de la región. información seguridad. – M.: Gelios ARV, 2005, pág. 960.
  9. Khorev A.A. Métodos y medios de protección de la información: Proc. prestación. – M.: Ministerio de Defensa de RF, 2000, p. 316.
    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять