ТРЕБОВАНИЯ, ВЫДВИГАЕМЫЕ К ПОМЕЩЕНИЯМ, ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОЙ РАБОТЫ С ИНФОРМАЦИЕЙ ОГРАНИЧЕННОГО ДОСТУПА

REQUIREMENTS FOR PREMISES TO ENSURE SAFE WORK WITH RESTRICTED ACCESS INFORMATION

Alexander Kustov

student, Department of Computer Science, Computer Engineering and Information Security, Altai State Technical University named after I.I. Polzunova,

Russia, Barnaul

Alexandra Boriskinа

scientific supervisor, Senior Lecturer, Department of Computer Science, Computer Engineering and Information Security, Altai State Technical University named after I.I. Polzunova,

Russia, Barnaul

АННОТАЦИЯ

В данной статье рассматриваются требования, выдвигаемые к помещениям, для обеспечения безопасной работы с информацией ограниченного доступа. В частности, рассмотрены особенности помещений для работы с информацией ограниченного доступа, какими нормативными и методическими документами выдвигаются требования к данным помещениям, а также рассмотрены основные угрозы информационной безопасности, каналы утечки и потенциальные нарушители безопасности.

ABSTRACT

This article discusses the requirements for premises to ensure safe work with restricted access information. In particular, the features of premises for working with restricted access information are considered, what regulatory and methodological documents put forward requirements for these premises, as well as the main threats to information security, leakage channels and potential security violators are considered.

Ключевые слова: информационная безопасность, ограниченный доступ, конфиденциальность, требования, защита;

Keywords: information security, restricted access, confidentiality, requirements, protection;

Особенности помещений для работы с информацией ограниченного доступа (ИОД), как объектов защиты и их основные виды

Помещения, создаваемые для работы с информацией ограниченного доступа, являются одним из основных рубежей, препятствующих несанкционированному доступу к конфиденциальной информации. В общем случае они должны обеспечивать:

• физическую защиту конфиденциальной информации на время необходимое для выявления и ликвидации нарушения;
• защиту от просмотра и прослушивания конфиденциальной информации лицами, не имеющими допуск к ней;
• сохранность носителей информации от хищений с использованием квалифицированных методов взлома;
• соблюдение строительных норм и правил, санитарно-гигиенических норм и требований противопожарной безопасности;
• защиту информации от утечек по техническим каналам, при ее обработке в информационных системах или работы с ней на автоматизированных рабочих местах;
• условия для разграничения доступа к конфиденциальной информации.

Требования к помещениям, предназначенным для работы информацией ограниченного доступа, не отнесенной к государственной тайне, устанавливаются ее собственником с учетом ценности, а также согласно требованиям, выдвигаемым к помещениям в общем на основе следующих нормативных и методических документов:

• ГОСТ Р 5124-98 «Конструкции защитные механические электромеханические для дверных и оконных проемов. Технические требования и методы испытаний на устойчивость к разрушающим воздействиям».
• ГОСТ Р 51136-2008 «Стекла защитные многослойные. Общие технические условия».
• РД 78.148-94/МВД России «Защитное остекление. Классификация. Методы испытаний. Применение».
• ГОСТ 34593-2019 «Двери защитные. Общие технические требования и методы испытаний на устойчивость к взлому, взрыву и пули стойкость».
• ГОСТ 475-2016 «Блоки дверные деревянные и комбинированные. Общие технические условия».

• ГОСТ 5089-2011 «Замки, защелки, механизмы цилиндровые. Технические условия».
• ГОСТ 28130-89 «Пожарная техника. Огнетушители, установки пожаротушения и пожарной сигнализации. Обозначения условные графические».

Перечисленными нормативными документами установлены требования, обеспечивающие стойкость к взлому стен, перекрытия дверей, оконных проемов и т.п. Вместе с тем злоумышленник, обладая достаточным временем и соответствующими техническими средствами, имеет возможность преодолеть их защитные свойства. В связи с этим надежная охрана помещений (зданий), в которых осуществляется хранение носителей информации ограниченного доступа, является непременным условием обеспечения их сохранности.

Надежность и эффективность охраны требует использования технических средств, применение которых, а также требования к ним регламентированы рядом нормативных документов, примером которых могут служить:

• РД 78.147 - 93 / МВД России «Единые требования по укреплению и оборудованию сигнализации охраняемых объектов».
• РД 78.143 - 92 / МВД России «Системы и комплексы охранной сигнализации. Нормы проектирования».
• РД 78.145 - 93 / МВД России «Системы и комплексы охранной, пожарной и охранно-пожарной сигнализации. Правила производства и приемки работ».
• ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования и методы испытаний».
• Стандарт Европейского комитета по стандартизации в области электроники CENELEC 1996 г. EN 50133-1 «Устройства охранной сигнализации. Контрольно-пропускные устройства. Часть 1: требования к системе».

Требования к помещению как к объекту защиты информации напрямую будут зависеть от вида данного помещения, его назначения и информации, обрабатывающейся в нем, и будут основываться на следующих нормативных документах:

• Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. N 282.
• Приказ ФСТЭК России от 29 апреля 2021 г. N 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».
• Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
• Приказ ФСБ РФ от 9 февраля 2005 г. N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

А также иными нормативными документами и государственными стандартами, применение которых будет обусловлено особенностями защищаемого объекта.

Помещения для работы с информацией ограниченного доступа можно разделить на два вида:

1. Выделенные помещения – служебные помещения, в которых ведутся разговоры (переговоры) конфиденциального или секретного характера. В таких помещениях отсутствуют какие-либо технические средства обработки (передачи) конфиденциальной информации. К таким помещениям относятся, прежде всего, комнаты для переговоров в организациях, где ведутся деловые переговоры, содержащие конфиденциальную информацию (к примеру, служебная, профессиональная, коммерческая тайны).
2. Защищаемые помещения – помещения, в которых могут проводиться конфиденциальные мероприятия (совещания, обсуждения, конференции, переговоры и т.п.). К таким помещениям относятся служебные кабинеты, актовые, конференц-залы и т.д.

Основные угрозы информационной безопасности

Для создания эффективной системы защиты информации необходимо провести анализ угроз безопасности, которые будут актуальны для объекта защиты. В общем случае все угрозы информационной безопасности будут напрямую вытекать из свойств информации:

• Угрозы конфиденциальности. Угрозами данного типа могут являться различного рода утечки защищаемой информации, несанкционированный доступ к ней и дальнейшее ее разглашение ее лицам, не имеющим доступ к данной информации.
• Угрозы целостности. Данные угрозы связаны с нарушением полноты информации, то есть это различного рода несанкционированная модификация информации или ее уничтожение.
• Угрозы доступности. В ходе их реализации ограничивается или блокируется доступ к информации.

В помещениях, где не функционируют информационные системы, и угрозы, связанные с вычислительной техникой, не могут быть применены то можно выделить следующие угрозы безопасности информации, обрабатываемой в защищаемом помещении в рамках образовательного процесса:

1. Несанкционированный доступ к защищаемому помещению, а также к информации, хранимой в данном помещении.
2. Утечка информации ограниченного доступа, путем ее несанкционированной записи, копирования, фото и видеосъемки, или выноса носителей информации ее за пределы защищаемого помещения.
3. Несанкционированная модификация информации ограниченного доступа.
4. Распространение информации ограниченного доступа.
5. Уничтожение или порча носителей информации ограниченного доступа.
6. Угроза физического выведения из строя средств хранения информации.
7. Угроза утери доступа к защищаемому помещению и (или) средствам хранения информации ограниченного доступа.

Каналы утечки информации

Определив основные угрозы информации ограниченного доступа, стоит отдельно остановиться на утечках информации из данного помещения. Утечкой информации считается любое неправомерное распространение сведений третьим лицам, вне зависимости от способа получения этой информации. Каналы утечки информации можно разделить на:

• Физические. Подобные каналы утечек возникают в случае недостаточной защиты физических носителей информации в процессе их хранения и использования. Данный канал утечки может быть актуален для защищаемого помещения только в случае кражи носителей информации, на которых хранится информация ограниченного доступа.
• Технические. Каналы, в которых источниками информации будут служить излучения, вибрации, шумовые сигналы от физических объектов внутри помещения или физических лиц, находящихся в защищаемом помещении. Распространение сигналов происходит через определенную физическую среду (волновую или электрическую). Для улавливания и расшифровки информационных сигналов используется специальная техника. Данные каналы утечек весьма обширны и будут рассмотрены более детально.
• Информационные. В подобных каналах происходит потеря компьютерных данных. Угрозы перехвата могут возникать из-за несоблюдения правил обработки, хранения и передачи информации или в результате использования слабозащищенного программного обеспечения. Так как в защищаемом помещении, для обработки информации не используется вычислительная техника, данные каналы можно считать не актуальными.

Потенциальные нарушители безопасности

После определения основных угроз и каналов утечки, для обеспечения эффективного построения системы защиты защищаемого помещения, необходимо определить потенциальных нарушителей информационной безопасности. В общем случае нарушители могут быть внешними и внутренними.

Внешние нарушители - нарушители, не имеющие прав доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочий по доступу к информационным ресурсам и компонентам систем и сетей, требующим авторизации.

Внутренние нарушители - нарушители, имеющие права доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочия по автоматизированному доступу к информационным ресурсам и компонентам систем и сетей.

Потенциал внутренних нарушителей гораздо выше, чем у внешних, так как данные лица имеют доступ к защищаемому помещению, а также к информации обрабатываемой в нем. Следовательно данные нарушители могут реализовать большее количество угроз безопасности для информации ограниченного доступа, обрабатываемой в защищаемом помещении. Исходя из этого защита информации от данного вида нарушителей будет приоритетной.

Особенности помещений для работы с информацией ограниченного доступа (ИОД) - это соответствие определенным нормам и требованиям безопасности. Такие помещения должны обладать особыми параметрами, которые могут предотвратить проникновение третьих лиц и защитить конфиденциальные данные. А также для создания эффективной системы защиты информации необходимо провести анализ угроз безопасности, каналов утечки и потенциальных нарушителей безопасности.

Список литературы:

1. Защита информации. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ [Электронный ресурс]. / URL: https://docs.cntd.ru/document/1200058320
2. Приказ ФСТЭК России от 29 апреля 2021 г. N 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну». [Электронный ресурс]. / URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-29-aprelya-2021-g-n-77.
3. Указ Президента РФ от 5 декабря 2016 г. № 646 “Об утверждении Доктрины информационной безопасности Российской Федерации” [Электронный ресурс]. / URL: https://www.garant.ru/products/ipo/prime/doc/71456224/