×
Мы перезвоним Вам
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
×
Напишите нам
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Популярные услуги
×

Аттестация защищаемых помещений (ЗП) по требованиям ФСБ и ФСТЭК РФ

Что дает и зачем получают?

Сперва разберемся что такое защищаемое помещение? Что представляет собой аттестация защищаемого помещения? Чем вообще можно защитить помещение и как его в последствии аттестовать?

Защищаемое помещение (далее ЗП) — это помещение предназначенное для обработки информации ограниченного доступа, не составляющей государственную тайну, в нашем случае конфиденциальной информации. Под «обработкой» обычно имеется ввиду проведение конфиденциальных переговоров, т.е. основная функция ЗП — защищать от утечки речевую информацию.

Что бы иметь представление зачем аттестовать помещение проведем небольшую аналогию с аттестацией автоматизированных систем, между ними много общего.

Ведь если автоматизированная система выполняет обработку конфиденциальной информации, то организациям, которые попадают под требования законодательных актов, требуется защитить автоматизированную систему по требованиям законодательства, а в дальнейшем провести аттестацию на соответствие тем или иным требованиям.

Но в обработке информации могут участвовать не только электронные устройства, но и помещения. Так например проведение совещаний, заседаний или обсуждение технологических вопросов зачастую происходит на территории организации: в переговорке, конференц-зале или любом другом отведенном для этого помещении. Сопровождаются эти мероприятия обсуждением информации в разговоре. И если организация попадает под требования законодательных актов, которые обязывают организацию обеспечивать не только защиту конфиденциальной информации, в процессе ее обработки автоматизированной системой, но еще и защиту речевой конфиденциальной информации в процессе ее обсуждения, то для соблюдения требований организации потребуется защитить и аттестовать соответствующее помещение.

Защита помещения от утечки информации по техническим каналам может осуществляться по одному, нескольким или сразу всем каналам утечки. Все зависит от того какие технические каналы актуальны для той или иной организации. Основные технические каналы утечки это:

  1. Акустические;
  2. Виброакустические;
  3. Акустоэлектрические;
  4. Оптические.

Каждый из вышеуказанных технических каналов делится на подтипы. В зависимости от того, какая информация будет уходить по каналу утечки. А это может быть видовая информация, речевая информация, информация передаваемая по каналам связи или информация обрабатываемая техническими средствами приема информации.

Для обеспечения защиты информации от утечки по техническим каналам, созданы средства защиты. Вариаций которые сейчас существуют на рынке средств защиты информации множество. Это акустические колонки, виброгенераторы, средства защиты от утечки по каналам ПЭМИН, устройства для защиты сетей электропитания и заземления и многие другие. Каждый из приборов используется для определенных целей.

Кому нужно получать?

Перечень организаций, которым необходимо аттестовать защищаемое помещение по требованиям безопасности информации, не так обширен как в случае с аттестацией автоматизированных систем. Среди таких организаций числятся следующие:

  1. Организации соискателем лицензий ФСТЭК России на ТЗКИ и СЗКИ;
  2. Организациям лицензиатам ФСТЭК России на ТЗКИ и СЗКИ (аттестат выдается на определенный срок, по истечении которого необходимо выполнить повторную аттестацию защищаемого помещения (ЗП));
  3. Организациям соискателям лицензии ФСБ на СЗКИ;
  4. Организациям лицензиатам лицензии ФСБ на СЗКИ;

Данная необходимость продиктована следующими законодательными актами:

  1. Для соискателей и лицензиатов ФСТЭК на ТЗКИ требования прописано в 79 постановлении правительства;
  2. Для соискателей и лицензиатов ФСТЭК на СЗКИ требования прописано в 171 постановлении правительств;
  3. Для соискателей и лицензиатов ФСБ на СЗКИ требования прописано в 171 постановлении правительства.

Но данные документы лишь требуют наличия такого помещения, не указывая каким образом производить его защиту и не указывая где можно ознакомится с требованиями по защите. Что бы не заставлять Вас рыскать в поисках информации и в процессе не сталкиваться с противоречивой информацией, сразу скажем что требования по защите указаны в специальных требованиях и рекомендациях по технической защите информации. Данный документ носит пометку ДСП и в свободном доступе его нет. В СТР-К указано:

  1. Какую организационную подготовку нужно выполнить;
  2. Даны требования и рекомендации по помещению;
  3. Указано какими средствами надо пользоваться при обработке информации;
  4. Даны рекомендации по обеспечению пассивной защиты;
  5. И другие требования и рекомендации.

Без соблюдения требований по обеспечению конфиденциальной обработки информации, организациям которые попадают под требования законодательных актов, не дадут лицензию на деятельность по лицензируемому направлению деятельности.

Организациям, которые уже являются лицензиатами по тому или иному направлению деятельности, несоблюдение такого требования может грозить штрафом, приостановкой деятельности, а в крайних случаях и лишением лицензии.

Кто может аттестовать защищаемое помещение?

Проводить данные работы могут только лицензиаты ФСТЭК России по ТЗКИ с пунктами «а»,»б» и «в» в лицензии. Обладатели данной лицензии имеют НМД, на соответствие требованиям которых аттестуется ЗП, и оборудование для проведения контрольно-измерительных мероприятий.

В процессе аттестации организация проверяет актуальные каналы утечки информации, с помощью контрольно-измерительных приборов оценивает соответствие требованиям по защите информации от утечки по тем или иным каналам.

По итогу аттестационных мероприятий организация получает от лицензиата:

  1. ПИМ;
  2. Протокол;
  3. Заключение;

В случае положительного заключения выдается аттестат на защищаемое помещение. В тех случаях если подготовкой и аттестацией занимается лицензиат, вопрос о положительном или отрицательном заключении даже не возникает. Лицензиат, в контексте определенного заявителя, после обследования знает:

  1. По каким каналам утечки необходимо защищать;
  2. Какими средствами защищать;
  3. Какое количество средств потребуется для полного выполнения требований по защите от утечки.

Трудности получения

Как и в случае с аттестацией автоматизированных систем, организация может самостоятельно подготовится к аттестации своего защищаемого помещения. Но мы крайне не рекомендуем этим заниматься, самостоятельный успех тут практически невозможен. Причиной тому, ряд моментов:

  1. Организация не имея опыта с малой долей вероятности сможет определить актуальные каналы утечки;
  2. Организация не имея опыта с малой долей вероятности сможет подобрать необходимые средства защиты, либо не хватит, либо будет нецелесообразная переплата за ненужные средства защиты;
  3. Организация вслепую не сможет понять выполнила ли она требования по защите или нет. Потому что требования которые нужно выполнить для обеспечения защиты информации не лежат в свободном доступе.
  4. Организация может ошибиться с выбором защищаемого помещения, пропустив ряд ключевых моментов которые делают данное помещение непригодным для аттестации без дополнительных работ.

Соответственно на момент аттестации, при самостоятельной может оказаться что:

  1. Организация купила не те средства защиты информации, провела монтаж средств защиты от утечки по тому каналу который для нее не актуален;
  2. Организация закупила необходимые средства защиты, но в недостаточном объеме. Например, на момент аттестации окажется, что СЗИ не обеспечивают должных показателей защиты по тому или иному каналу утечки.
  3. Организация провела подготовку защищаемого помещения к аттестации в стеклянной переговорке. В таком случае помещение будет непригодно, потому как ограждающие конструкции должны обеспечивать надежную защиту от физического проникновения неустановленных лиц.

Чем Мы можем Вам помочь?

Наша организация поможет Вам избежать всех трудностей и сэкономить Вам денежные средства на этапе подготовки вашего защищаемого помещения к аттестации:

  1. Поможем подобрать соответствующее помещение, чтобы стоимость спроектированной системы защиты для данного помещения не достигла космических масштабов;
  2. Подберем достаточный по объему комплект средств защиты, который будет выполнять требования по защите и будет соответствовать требованиям к средствам защиты;
  3. Произведем грамотный монтаж средств защиты, для обеспечения отсутствия слепых зон и полного выполнения требований по защите информации;
  4. Поможем произвести организационную подготовку по защите информации в защищаемом помещении.

Наша организация:

  1. Произведет аттестацию вашего помещения с учетом всех актуальных каналов утечки информации и требований по защите информации;
  2. Произведет аттестацию вашего помещения с учетом всех актуальных для вашего защищаемого помещения требований по защите информации. Для чего в процессе оценки будет использовано только прошедшее поверку контрольно-измерительное оборудование;

Стоимость

Стоимость подготовки и аттестации защищаемого помещения зависит от следующих основных факторов:

  1. Размер помещения;
  2. Наличие, тип и размеры окон;
  3. Наличие батарей отопления;
  4. Наличие проходящих через помещение транзитных труб;
  5. Наличие системы вентиляции и/или кондиционирования;
  6. Материалы из которых выполнены инженерно-технические конструкции;

Но при этом не надо заблуждаться, что указанные выше факторы являются исчерпывающими.

Аттестация базового помещения площадью 6 — 8 кв.м., с одной батареей отопления, вентиляцией (приток и отток) и окном (2 стеклопакета) будет стоить от 150 тысяч рублей. С увеличением характеристик помещения будет увеличиваться и стоимость.