Требования к выделенным помещениям

Требования к выделенным помещениям

Режимное помещение – помещение, в котором обрабатываются или хранятся сведения, являющиеся государственной тайной. К гостайне относится информация из военной, экономической, политической, разведывательной областей деятельности страны. Утечка таких данных может нанести непоправимый ущерб государству, поэтому гостайна подлежит тщательной охране.

Перед началом работы с засекреченными сведениями необходимо провести аттестацию объектов информатизации: помещения, компьютеры, системы. Для каждого объекта информатизации имеются отдельные нормы, соответствие которым – обязательно для работы с гос тайной. Аттестация режимных помещений проводится только организацией, имеющей лицензию ФСТЭК на техническую защиту информации.

Требования к режимным помещениям

При выборе помещения, где будет осуществляться деятельность с засекреченной информацией, следует учитывать его расположение. Желательно, чтобы оно находилось не на первом и не на последнем этажах, в центре контролируемой зоны и не граничило с помещениями других организаций. Окна должны быть оборудованы уплотнителем и жалюзи или плотными шторами. Плюсом будет отсутствие окон вообще. То же самое касается батарей и вентиляции, потому что они представляют собой каналы для утечки информации. Стены – обязательно кирпичные или бетонные. Перегородки можно выстроить из многослойных акустически неоднородных перекрытий, потолки сделать натяжные. Размер помещения должен соответствовать его функциям.

Для приема носителей с секретными сведениями используются отдельные окна, которые запрещено выводить в общий коридор. Или для этих целей можно выделить часть комнаты, отделенную перегородкой. Для работы с носителями также необходимо отгородить участок помещения или соорудить небольшие уединенные кабины.

Дверь, ведущая в помещение, должна быть толстая, с уплотнителем и надежным электронным или кодовым замком. Также следует установить охранную сигнализацию. Носители секретной информации содержатся в хранилищах, после закрытия на них нужно накладывать печать. Само помещение после окончания работ тоже опечатывается. Ключи от хранилищ и помещения имеются в двух экземплярах – один у начальника службы безопасности, второй – у руководителя фирмы. Оба комплекта ключей хранятся в опечатанных пеналах.

Чтобы защитить объект от посторонних лиц, необходимо организовать систему пропускного контроля. Также это позволит следить за перемещениями сотрудников и ограничить посещение помещения, где происходит обработка или хранение защищаемой информации.

Затем нужно обозначить круг лиц, которые имеют право доступа в такое помещение, производят работы с гостайной и отвечают за ее сохранность. Для этого компания должна разработать ряд внутренних документов, которые регламентируют порядок проведения работ, указать сотрудников, меры и способы защиты сведений.

Уборка помещения проводится только в присутствии ответственных сотрудников. Носители секретных данных при этом нужно запереть в хранилищах.

К совещанию в режимном помещении лучше начать готовиться заранее. Для этого нужно назначить работников, которые будут предпринимать меры по защите информации. Составляется список допущенных на совещание, за соблюдением которого следит служба безопасности. В зависимости от степени секретности могут использоваться различные средства защиты информации (СЗИ): генераторы шума, устройства для обнаружения прослушки, глушилки. Для выбора подходящих СЗИ предварительно обследуются все вероятные каналы утечки информации: акустические и виброакустические каналы, особенности электропитания и слаботочные линии. По окончании совещания помещение подлежит проверке еще раз.

Перед началом переговоров всем участникам выдаются блокноты для записей. Блокноты учитываются службой безопасности и изымаются по окончании совещания. Участникам совещания запрещается:

  • разглашать сведения о совещании (место, время, приглашенные лица);
  • обсуждать информацию, услышанную на совещании, в местах общего пользования;
  • делать записи на неучтенных блокнотах, листах и т.д.
Читайте также:  Промежуточный ликвидационный баланс 2018 образец заполнения нулевой

Аттестация режимных помещений

Перед началом работы нужно подтвердить, что режимное помещение соответствует требованиям. Для этого организация должна получить аттестат соответствия. Аттестация режимных помещений по требованиям безопасности – процедура, которую может проводить только организация, имеющая лицензию ФСТЭК на техническую защиту информации. Нужно выбрать надежную организацию-лицензиата и отправить заявку на аттестацию. Аттестующий орган обрабатывает заявку в течение 30 дней. Если сведения в заявлении оказались неполными, совершается предварительное ознакомление с предметом аттестации. После составляется план проверочных мероприятий и заключается договор. План содержит программу и методы испытаний, сроки, состав комиссии, контрольную аппаратуру. Документ обговаривается с заявителем.

Затем режимное помещение подвергается испытаниям, в ходе которых выясняется, надежно ли защищены секретные сведения. Для этого тестируются каналы утечки информации:

  • акустический канал,
  • виброакустический канал,
  • акустоэлектрический канал,
  • радиоизлучения,
  • электромагнитные излучения.

Осуществляется проверка документации, организация пропускного режима, распределение ответственности между сотрудниками.

Если режимное помещение соответствует нормам, организация получает аттестат соответствия. Аттестат годен 3 года. В течение этого срока организация обязуется сохранять неизменными условия работы с засекреченными сведениями. После проведения реконструкции или ремонта помещения его необходимо аттестовать заново.

Если режимное помещение не соответствует требованиям, в выдаче аттестата будет отказано. Однако можно пройти повторную процедуру при условии исправления недочетов. Также в случае отказа заявитель имеет право подать апелляцию в вышестоящий орган по аттестации.

Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных, технических и иных материальных средств.

Границей КЗ могут являться:

— периметр охраняемой территории учреждения (предприятия);

— ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.

Таким образом, КЗ может ограничиваться периметром охраняемой территории частично, охраняемой территорией, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия, частью зданий, комнатой, кабинетом, в которых проводятся закрытые мероприятия.

В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры исключающие или существенно затрудняющие возможность ведения перехвата в этой зоне.

Постоянная контролируемая зона — это зона, границы которой устанавливаются на длительный срок.

Временная контролируемая зона — это зона, устанавливаемая для проведения закрытых мероприятий разового характера.

Выделенные помещения – помещения (служебные кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для обработки речевой информации (обсуждения, совещания, и т.д.), содержащей сведения, составляющие государственную тайну.

Защищаемые помещения — помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий, в ходе которых обрабатывается речевая информация, содержащая сведения конфиденциального характера.

4. Сколько и какие классы защищенности установлены для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, отчего они зависят. Каким документом регламентированы требования к обеспечению ЗИ в данных АИС.

Формирование требований к ЗИ в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее — ГОСТ Р 51583), ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее — ГОСТ Р 51624) и стандартов организации и в том числе включает: принятие решения о необходимости ЗИ в автоматизированной системе управления; классификацию автоматизированной системы управления по требованиям ЗИ; определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты автоматизированной системы управления.

Читайте также:  Обстоятельствами смягчающими административную ответственность признаются

Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс – третий, самый высокий – первый.

Порядок определения класса защищенности АСУ

1. Класс защищенности автоматизированной системы управления (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ).

2. Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления.

УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)],

где степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом и может быть:

а) высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;

б) средней, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации регионального или межмуниципального характера* или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;

в) низкой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности.

В случае, если для информации, обрабатываемой в автоматизированной системе управления, не требуется обеспечение одного из свойств безопасности информации (в частности конфиденциальности) уровень значимости (критичности) определятся для двух других свойств безопасности информации (целостности, доступности). В этом случае:

УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, не применяется)].

Информация, обрабатываемая в автоматизированной системе управления, имеет высокий уровень значимости (критичности) (УЗ 1), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена высокая степень ущерба.

Информация, обрабатываемая в автоматизированной системе управления, имеет средний уровень значимости (критичности) (УЗ 2), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

Читайте также:  Займ от генерального директора обществу

Информация, обрабатываемая в автоматизированной системе управления, имеет низкий уровень значимости (критичности) (УЗ 3), если для всех свойств безопасности информации (целостности, доступности, конфиденциальности) определены низкие степени ущерба.

При обработке в автоматизированной системе управления двух и более видов информации (измерительная информация, информация о состоянии процесса) уровень значимости (критичности) информации (УЗ) определяется отдельно для каждого вида информации.

Итоговый уровень значимости (критичности) устанавливается по наивысшим значениям степени возможного ущерба, определенным для целостности, доступности, конфиденциальности каждого вида информации. в соответствии с постановлением Правительства РФ от 21 мая 2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства РФ, 2007, № 22, ст. 2640; 2011, № 21, ст. 2971).

3. Класс защищенности автоматизированной системы управления определяется в соответствии с таблицей:

Уровень значимости (критичности)

информации Класс защищенности автоматизированной системы управления

Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии. Результаты классификации автоматизированной системы управления оформляются актом классификации. Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.

Класс защищенности автоматизированной системы управления (сегмента) подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости (критичности) информации, обрабатываемой в автоматизированной системе управления (сегменте).

Требования к обеспечению ЗИ в данных автоматизированных системах управления регламентируются приказом ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению ЗИ в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.

Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов (88‰).

Данный раздел содержит документы, разрабатываемые при создании выделенного помещения

1. Документы, представляемые организацией–заявителем:

2. Документы, разрабатываемые по завершению спецпроверки технических средств иностранного производства:

2.1. Акты и заключения о спецпроверке, технических средств иностранного производства установленных в ВП.

3. Документы, разрабатываемые по завершению стендовых (лабораторных) специсследований ОТСС и ВТСС (при проектировании объектов в защищенном исполнении):

4. Документы, разрабатываемые по завершению объектовых специсследований ОТСС, ВТСС, датчиков охранной и пожарной сигнализации, линий связи, которые имеют выход за границы контролируемой зоны:

5. Документы, разрабатываемые при аттестационных испытаниях выделенного помещения:

5.2. Заключение по результатам проведения аттестационных испытаний выделенного помещения, с приложением протоколов контроля эффективности защиты от утечки речевой информации.

6. Документы, разрабатываемые на этапе контроля состояния и эффективности защиты информации:

Ссылка на основную публикацию
Травматический пистолет без лицензии ответственность
МОСКВА И МОСКОВСКАЯ ОБЛАСТЬ: САНКТ-ПЕТЕРБУРГ И ЛЕНИГРАДСКАЯ ОБЛАСТЬ: РЕГИОНЫ, ФЕДЕРАЛЬНЫЙ НОМЕР: Травматическое оружие без лицензии — ответственность за незаконное хранение...
Стояк горячего водоснабжения в многоквартирном доме
Краткое содержание Скажите пожалуйста что значит перекрытие стояка общего пользования системы ГВС. Образец акта о замене стояка хвс и гвс...
Стоянка автомобиля у пешеходного перехода
Из-за большого количества машин на дорогах водителям сейчас становится все сложнее выбрать место для парковки или остановки. Некоторым автовладельцам кажется,...
Транзит через ригу нужна ли виза
Большинство путешествий не обходятся без пересадки на самолете. Как правило, так билеты получаются дешевле, а у вас появляется возможность посмотреть...
Adblock detector