перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
cхему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
план-схему инженерных коммуникаций всего здания, включая систему вентиляции;
план-схему системы заземления объекта с указанием места расположения заземлителя;
план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
схемы систем активной защиты (если они предусмотрены)[6.3].
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
подача и рассмотрение заявки на аттестацию. Заявка имеет установленную форму, с которой можно ознакомиться в "Положении об аттестации объектов информатизации по требованиям безопасности". Заявитель направляет заявку в орган по аттестации, который в месячный срок рассматривает заявку, выбирает схему аттестации и согласовывает ее с заявителем.
предварительное ознакомление с аттестуемым объектом - производится в случае недостаточности предоставленных заявителем данных до начала аттестационных испытаний;
испытание в испытательных лабораториях несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.
разработка программы и методики аттестационных испытаний. Этот шаг является результатом рассмотрения исходных данных и предварительного ознакомления с аттестуемым объектом. Орган по аттестации определяет перечень работ и их продолжительность, методику испытаний, состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств или участия испытательных лабораторий. Программа аттестационных испытаний согласовывается с заявителем.
заключение договоров на аттестацию. Результатом предыдущих четырех этапов становится заключение договора между заявителем и органом по аттестации, заключением договоров между органом по аттестации и привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
проведение аттестационных испытаний объекта информатизации. В ходе аттестационных испытаний выполняется следующее:
анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации[6.2]
К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
Протокол аттестационных испытаний должен влючать:
вид испытаний;
объект испытаний;
дату и время проведения испытаний;
место проведения испытаний;
перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);
перечень нормативно-методических документов, в соответствии с которыми проводились испытания;
методику проведения испытания (краткое описание);
результаты измерений;
результаты расчетов;
выводы по результатам испытаний [6.4]
Протоколы испытаний подписываются экспертами - членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов.
Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю [2]. Заключение и протоколы испытаний подлежат утверждению органом по аттестации.
оформление, регистрация и выдача "Аттестата соответствия" (если заключение по результатам аттестации утверждено).
осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
рассмотрение апелляций. В случае, если заявитель не согласен с отказом в выдаче "Аттестата соответствия", он может подать апелляцию в вышестоящий орган по аттестации или в ФСТЭК. Апелляция рассматривается в срок, не превышающий один месяц с привлечением заинтересованных сторон.
Аттестат соответствия должен содержать:
регистрационный номер;
дату выдачи;
срок действия;
наименование, адрес и местоположение объекта информатизации;
категорию объекта информатизации;
класс защищенности автоматизированной системы;
гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;
организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;
перечень руководящих документов, в соответствии с которыми проводилась аттестация;
номер и дата утверждения заключения по результатам аттестационных испытаний;
состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;
организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;
перечень действий, которые запрещаются при эксплуатации объекта информатизации;
список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.
Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.
Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
3. Аппаратура для выявления и параметризации опасных сигналов электромагнитной природы и измерения акустических сигналов
Объект наблюдения в оптическом канале утечки информации является одновременно источником информации и источником сигнала, потому что световые лучи, несущие информацию о видовых признаках объекта, представляют собой отраженные объектом лучи внешнего источника или его собственные излучения.
Рис. Структура оптического канала утечки информации
Отраженный от объекта свет содержит информацию о его внешнем виде (видовых признаках), а излучаемый объектом свет - о параметрах излучений (признаках сигналов).
Запись информации производится в момент отражения падающего света путем изменения его яркости и спектрального состава. Излучаемый свет содержит информацию об уровне и спектральном составе источников видимого света, а в инфракрасном диапазоне по характеристикам излучений можно также судить о температуре элементов излучения.
В общем случае объект наблюдения излучает и отражает свет другого источника как в видимом, так и ИК-диапазонах. Однако в конкретных условиях соотношения между мощностью собственных и отраженных излучений в видимом и ИК-диапазонах могут существенно отличаться.
В видимом диапазоне мощность излучения определяется в подавляющем большинстве случаев мощностью отраженного света и содержащихся в объекте искусственных источников света. Например, габариты автомобиля в ночное время обозначаются включенными фонарями красного цвета, укрепленными по краям автомобиля. Объект наблюдения или его элементы излучают собственные электромагнитные излучения в видимом диапазоне при высокой температуре. В ближней (0.76-3 мкм) и средней (3-6 мкм) диапазонах ИК-излучения объектов значительно меньше мощности отраженного от объекта потока солнечной энергии. Однако с переходом в длинноволновую область ИК-излучения мощность теплового излучения объектов может превышать мощность отраженной солнечной энергии.
Основным и наиболее мощным внешним источником света является Солнце.
Так как параметры источников сигналов и среды распространения зависят от значений спектральных характеристик носителя информации, то протяженность оптического канала утечки ее в видимом и ИК-диапазонах могут существенно отличаться.
Однако в общем случае потенциальные оптические каналы утечки информации имеют достаточно устойчивые признаки. Типовые варианты оптических каналов утечки информации приведены в табл.
До недавнего времени атмосфера и безвоздушное пространство были единственной средой распространения световых волн. С разработкой волоконно-оптической технологии появились направляющие линии связи в оптическом диапазоне, которые в силу больших их преимуществ по отношению к традиционным электрическим проводникам рассматриваются
как более совершенная физическая среда для передачи больших объемов информации.
Линии связи, использующие оптическое волокно, устойчивы к внешним помехам, имеют малое затухание, долговечны, обеспечивают значительно большую безопасность передаваемой по волокну информации.
Таблица
|
Объект наблюдения |
Среда распространения |
Оптический приемник |
|
|
Документ, продукция в помещении |
Воздух Воздух + стекло окна |
Глаза человека + бинокль. фотоаппарат |
|
|
Продукция во дворе, на машине, ж/платформе |
Воздух Атмосфера + безвоздушное пространство |
То же Фото, ИК, телевизионная аппаратура на КА |
|
|
Человек в помещении. во дворе, на улице |
Воздух Воздух + стекло |
Глаза человека + бинокль, фото, кино, телевизионная аппаратура |
Волокно представляет собой нить диаметром около 100 мкм, изготовленную из кварца на основе двуокиси кремния [11]. Волокно состоит из сердцевины (световодной жилы) и оболочки с разными показателями преломления.
Волокно с постоянным показателем преломления сердцевины называется ступенчатым, с изменяющимся - градиентным. Для передачи сигналов применяются два вида волокна: одномодовое и многомодовое.
В одномодовом волокне световодная жила имеет диаметр порядка 8-10 мкм, по которой может распространяться один луч (одна мода). В многомодовом волокне диаметр световодной жилы составляет 50-60 мкм, что делает возможным распространение в нем большого числа лучей.