Техническое средство применяется для обработки, хранения, передачи данных. К основным техническим средствам и системам относятся ПК, серверы, ноутбуки, принтеры, МФУ, устройства ввода, вывода, отображения данных, носители информации. К вспомогательным относят кондиционеры, ИБП, сигнализация, освещение, иное оборудование, размещаемое в защищаемом помещении. При работе с информацией ограниченного доступа требуется проведение специальных исследований технических средств для подтверждения отсутствия угроз утечки.
Что такое специальные исследования технических средств
Специальные исследования технических средств (СИ ТС) — это проверка оборудования на предмет возможной утечка информации за счёт побочного электромагнитного излучения, наводок, иных физических явлений. В рамках процедуры рассчитывается контролируемая зона, определяется допустимость размещения устройства в защищаемом помещении.
Цель специальной проверки — предотвращение перехвата сведений, содержащих тайну. Цель специального исследования — выявление потенциального канала утечки по техническим причинам.
Процедура подразделяется на два вида:
-
по методикам ФСТЭК России;
-
по методикам ФСБ России.
СПРАВКА. Выбор методики зависит от категории информации, режима секретности, нормативной базы.
В каких случаях проводится специальное исследование
Данное мероприятие требуется при установке оборудования в выделенном помещении, где обрабатывается государственная либо конфиденциальная информация.
Проведение необходимо при создании информационной системы, модернизации существующей системы, замене узлов, изменении схемы размещения устройств.
Исследование обязательно при работе с данными, составляющими государственную тайну, персональными сведениями определённых классов, при подготовке объекта к аттестации.
СПРАВКА. Основанием служат нормативные акты, требования по защите информации, предписания регуляторов.
Какие технические средства подлежат специальным исследованиям
Специальное исследование проводится по утверждённой методике ФСТЭК либо ФСБ.
Обязательному анализу подлежат:
-
устройства, обрабатывающие данные, составляющие гостайну;
-
оборудование, работающее с конфиденциальной информацией;
-
средства, размещённые в выделенном помещении.
Проверка ориентирована на выявление потенциальных технических путей несанкционированной передачи информации, определение необходимости дополнительных мер защиты.
Порядок проведения исследований
Процедура включает несколько этапов:
-
анализ исходных данных, разработка программы работ;
-
инструментальное изучение параметров;
-
оценка результатов;
-
доработка оборудования при необходимости;
-
повторная проверка;
-
оформление отчётных материалов.
В ходе работ осуществляется измерительный контроль по каналам ПЭМИН, наводок в сетях электропитания, заземления, коммуникациях, а также по акустическому, виброакустическому направлениям.
СПРАВКА. Исследование проводится в лабораторных условиях до установки устройства либо непосредственно в помещении после монтажа. Допускается периодическое контрольное мероприятие.
По итогам оформляется протокол, предписание на эксплуатацию. В документ включаются требования к размещению, применению средств пассивной, активной защиты, обеспечивающих исключение утечки.
Результаты специальных исследований и оформление заключения
Результатом процедуры становится отчёт, содержащий вывод о возможности эксплуатации устройства в конкретной зоне. В документ отражаются рекомендации по усилению защиты, корректировке параметров системы.
Заключение подтверждает соответствие оборудования установленным требованиям, служит основанием для допуска к эксплуатации в защищаемом помещении.
Что еще дополнительно требуется для технических средств
Помимо исследования проводится специальная проверка — комплекс мер по обнаружению закладок, скрытых устройств перехвата. Проверка осуществляется по методике ФСБ.
Дополнительно выполняется обследование помещения на предмет наличия несанкционированных средств съёма информации.
Разрабатывается «Руководство по защите информации» — основной документ, регламентирующий порядок обеспечения безопасности на предприятии.
Проводится аттестация объекта информатизации — подтверждение соблюдения установленных норм и правил в сфере охраны данных.
Оформляется сертификация ФСТЭК, а также лицензия на деятельность в сфере защиты информации.
Для устройств требуются сертификаты либо декларации соответствия по ТР ТС 004/2011, 020/2011, а также декларация по ТР ЕАЭС 037/2016.
Подготавливается нормативно-техническая документация:
-
обоснование безопасности;
-
технические условия;
-
руководство по эксплуатации;
-
паспорт товара.
Для оборудования с функцией шифрования требуется нотификация ФСБ. При наличии беспроводных модулей передачи данных оформляется декларация средств связи по 126-ФЗ «О связи».
Оформление всех перечисленных документов возможно в ЦС «Ростест Урал». Эксперты обеспечат подготовку документации, сопровождение при взаимодействии с регуляторами и уполномоченными инстанциями, согласование программ работ.
Специалисты анализируют исходные данные, оформляют итоговые документы в соответствии с действующими нормативными требованиями.
Обращение в центр позволяет сократить сроки, исключить ошибки в оформлении, обеспечить корректное соответствие установленным требованиям без самостоятельного изучения сложной нормативной базы.
Проведение СИ ТС обязательно, если устройство осуществляет обработку, хранение либо передачу персональных данных, включая медицинские сведения, а также если эксплуатация планируется в помещениях с конфиденциальной информацией. Оптимальный этап — стадия опытно-конструкторских работ до запуска серийного производства. Рекомендуется выполнить предварительные исследования на прототипе для выявления возможных каналов утечки, затем провести итоговые исследования на опытном образце для оформления разрешительной документации.
