Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП.
Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем.
При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации помещения.
Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.
Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.
Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).
Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.
В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.
Для этой цели должны применяться сертифицированные средства активной защиты.
При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:
- двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
- выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;
- установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).
Для достижения максимальной эффективности системы защиты необходимо использовать ряд организационных и инженерно-технических мероприятий в комплексе. В связи с этим, установлено, что главной особенностью организационных мероприятий по защите информации является четкое формирование требований, инструкций и правил для работы системы защиты, а также проведение инструктажей с персоналом относительно этого.
Разработаны рекомендации для пользователей и обслуживающего персонала, которые являются основой при проведении организационных мероприятий по защите информации, предложен простой способ скрытного устранения несанкционированного использования диктофона, а также несколько эффективных устройств и методов для постановки помех с целью устранения несанкционированного доступа к информации.
Также предложены требования и рекомендации по защите информации в АС.
Задача проектирования системы защиты информации предусматривает непосредственную работу с различной техникой (компьютеры, генераторы шума, сетевые фильтры и т.д.), которая, в свою очередь, может является источником электрических и электромагнитных воздействий. Данные факторы могут представлять угрозу человеческому здоровью, поэтому необходимо предусматривать определенные меры защиты.
Общими методами защиты от электромагнитных полей и излучений являются следующие:
- уменьшение мощности генерирования поля и излучения непосредственно в его источнике, в частности за счет применения поглотителей электромагнитной энергии;
- увеличение расстояния от источника излучения;
- уменьшение времени пребывания в поле и под воздействием излучения;
- экранирование излучения;
- применение средств индивидуальной защиты.
Излучающие антенны необходимо поднимать на максимально возможную высоту и не допускать направления луча на рабочие места и территорию предприятия.
Уменьшение мощности излучения обеспечивается правильным выбором генератора, в котором используют поглотители мощности, ослабляющие энергию излучения.
Для сканирующих излучателей в секторе, в котором находится защищаемый объект – рабочее место, применяют способ блокирования излучения или снижение его мощности. Экранированию подлежат либо источники излучения, либо зоны нахождения человека. Экраны могут быть замкнутыми (полностью изолирующими излучающее устройство или защищаемый объект) или незамкнутыми, различной формы и размеров, выполненными из сплошных, перфорированных, сотовых или сетчатых материалов.
Отражающие экраны выполняют из хорошо проводящих материалов, например стали, меди, алюминия толщиной не менее 0,5 мм из конструктивных и прочностных соображений.
Кроме сплошных, перфорированных, сетчатых и сотовых экранов могут применяться: фольга, наклеиваемая на несущее основание; токопроводящие краски (для повышения проводимости красок в них добавляют порошки коллоидного серебра, графита, сажи, окислов металлов, меди, алюминия), которыми окрашивают экранирующие поверхности; экраны с металлизированной со стороны падающей электромагнитной волны поверхностью.
Для увеличения поглощающей способности экрана их делают многослойными и большой толщины, иногда со стороны падающей волны выполняют конусообразные выступы.
Средства индивидуальной защиты (СИЗ). К СИЗ, которые применяют для защиты от электромагнитных излучений, относят: радиозащитные костюмы, комбинезоны, фартуки, очки, маски и т.д. Данные СИЗ используют метод экранирования.
Эффективность костюма может достигать 25...30 дБ. Для защиты глаз применяют очки специальных марок с металлизированными стеклами. Поверхность стекол покрыта пленкой диоксида олова. В оправе вшита металлическая сетка, и она плотно прилегает к лицу для исключения проникновения излучения сбоку. Эффективность защитных очков оценивается в 25...35 дБ.
Так же как и для других видов физических полей, защита от постоянных электрических и магнитных полей использует методы защиты временем, расстоянием и экранированием.
Компьютер является электрическим устройством с напряжением питания 220/380В трехфазной четырехпроводной сети с заземленной нейтралью.
В мониторе используется напряжение в несколько десятков киловольт. Во избежание поражения электрическим током, возникновения пожара и повреждения компьютера следует соблюдать следующие меры безопасности:
- запрещается включать компьютер и периферию со снятой крышкой;
- запрещается эксплуатация компьютера с неисправным шнуром питания;
- запрещается подключать к компьютеру периферийные устройства при включенном питании;
- запрещается эксплуатация компьютера в помещении с высокой влажностью или сильно загрязненным воздухом;
- при эксплуатации требуется принять меры, исключающие удары и падения компьютера;
- не допускается попадание внутрь компьютера и периферии посторонних предметов, жидкостей и сыпучих веществ;
- не допускаются перегибы, передавливания и натяжения питающих кабелей;
- не допускается устанавливать компьютер вблизи источников тепла;
- не допускается закрывание вентиляционных отверстий компьютера и периферии.
Все электронные устройства необходимо занулить.
Электропитание рабочего места должно быть подключено через рубильник, установленный в месте, удобном для быстрого отключения питания рабочего места, а также должны быть предприняты меры для обесточивания рабочего места в аварийных режимах (Обычно ставится автоматический выключатель с защитой от короткого замыкания).
При разработке СИБ разработчик должен оценивать потери, которые понесет АИС в результате реализации той или иной угрозы. В то же время должна учитываться величина выигрыша нарушителя, и сделать так, чтобы данная величина минимизировалась.
При исследовании возможных потерь АИС вследствие реализации угроз, требуется изучать множество ресурсов АИС и потенциальных угроз и по отношению к каждому ресурсу найти решения, связанные со следующими обстоятельствами:
- определение круга заинтересованных лиц в использовании активов АИС.
- определение целей нарушителя.
- установление размеров выгоды полученной нарушителем вследствие реализации одной или комплекса угроз.
- оценка размеров затрат, которые нарушитель готов понести для
- достижения поставленной цели.
При оценке эффективности СИБ необходимо рассматривать свойства информации и ресурсы АИС, которые подлежат защите с точки зрения собственника информации, так как только собственник может определить что нужно защищать и дать стоимостную оценку тому или иному свойству и/или ресурсу.
Для описания экономической эффективности разработки, внедрения и эксплуатации СИБ, введем следующие обозначения:
Пусть существует некоторый актив АИС А, который характеризуется множеством свойств
. Тогда: