ISBN 978–966–2970–87–6 7 page

Беручи до уваги те, що сучасні ІС є системами відкритого типу, майже всі з розглянутих методів і способів їх реалізації досягають очікуваного результату. Цьому не в останню чергу сприяє:

складність організації захисту міжмережевої взаємодії;

наявність помилок у загальному та спеціальному ПЗ, ОС та утилітах, що відкрито розповсюджуються мережею;

неправильне чи помилкове адміністрування систем;

відсутність адекватного захисту даних у більшості з сучасних мережевих протоколів;

наявність помилок у конфігурації систем і засобів забезпечення безпеки, “економія” або взагалі повне ігнорування необхідності їх впровадження тощо.

Виходячи з цього, можна стверджувати, що позбутися деструктивного впливу кібератак нині практично неможливо. Тим не менш, запропоновано певні загальні шляхи для послаблення їх негативних наслідків. Вони ґрунтуються передусім на вивченні слабких місць прикладних програм за даними корпорацій Bugtrad (http://www.securityfocus.com) і CERT (http://www.cert.com); застосуванні крім системного адміністрування систем розпізнавання атак (IDS технологій) додаткового ПЗ, що дасть можливість відстежувати всі пакети, які проходять через визначений мережевий інтерфейс; проведенні аналізу спеціальних аналітичних додатків із застосуванням лог-файлів операційних систем та мережевих лог-файлів; застосуванні евристичних механізмів захисту, антивірусних програм та персонального Firewall тощо.

2.4. Система показників уразливості інформації і вимоги до первинних даних

Для системної оцінки уразливості інформації необхідна система показників, яка б відбивала усі вимоги захисту інформації, а також технологію та умови функціонування інформації у процесі:

розробки ІС (обумовлюється уразливістю утворюваних компонентів систем і утворюваних баз даних);

автоматизованого опрацювання інформації (характеризуєься складом підлягаючих захисту об’єктів і елементів; наявністю і кількістю ППЦІ і КНОІ; кількістю і категоріями осіб, що можуть бути потенційними порушниками статусу інформації; режимами автоматизованого опрацювання інформації);

функціонування системи незалежно від опрацювання інформації (обумовлюється тим, що сучасні системи являють собою організаційну структуру з високою концентрацією інформації, що може бути об’єктом випадкових або злочинних впливів навіть у тих випадках, якщо автоматизоване опрацювання її не здійснюється).

За кількісну міру оцінки уразливості інформації доцільно прийняти можливість порушення її цілісності або можливість несанкціонованого одержання інформації при існуючих умовах її збору, передавання, обробки і збереження. Основними параметрами, що визначають можливість порушення цілісності інформації, є:

кількість і типи тих структурних компонентів, в яких оцінюється уразливість інформації;

кількість і типи ППЦІ, відносно яких оцінюється уразливість;

види інформації, уразливість яких оцінюється.

Конкретний вид уразливості буде залежати від конкретного сполучення значень перерахованих вище параметрів. Основними параметрами уразливості інформації з погляду несанкціонованого її одержання є:

кількість і типи структурних компонентів, в яких оцінюється уразливість;

кількість і типи КНОІ, відносно яких оцінюється уразливість;

число і типи потенційних порушників, що намагаються порушити уразливість інформації.

Таким чином, помітна достатньо глибока аналогія у формуванні повної

множини показників уразливості, відносно фізичної цілісності інформації і відносно несанкціонованого її одержання. При наявності такої аналогії і сформована уніфікована концепція захисту. Ця аналогія послідовно поширюється і на рішення всіх інших питань, пов’язаних із реалізацією концепції захисту. Тому надалі всі міркування будемо вести відносно ЗІ від несанкціонованого її одержання, маючи на увазі те, що отримані рішення легко можуть бути трансформовані на захист фізичної цілісності інформації.

З рис. 2.2 неважко помітити, що в структурі два показники займають особливе положення. Першийпозначає уразливість інформації в одному структурному компоненті по одному КНОІ і відносно одного потенційного порушника. Другийхарактеризує загальну уразливість, тобто уразливість інформації в цілому по всім потенційно можливим КНОІ відносно всіх потенційно можливих порушників. Перший показник – базовий, а другий – загальний. Тоді інші показники назвемо частково узагальненими.

Для дослідження і практичного вирішення задач ЗІ поряд із розглянутими показниками необхідні ще і такі, що характеризують найбільш несприятливі ситуації з погляду уразливості інформації. Такими є: найуразливіший структурний компонент, найнебезпечніший КНОІ, найнебезпечніший порушник. Вони називаються екстремальними.

Необхідно враховувати також часовий інтервал відносно числа найбільш значущих. Тому для розглянутих тут цілей ЗІ час, як параметр уразливості інформації, можна розділити на такі інтервали:

дуже малі – інтервали, що можна вважати точками;

малі – інтервали, що не можна зводити до точки;

середні – інтервали, що не можна вважати малими, але на котрих заздалегідь можна встановити стан кожного структурного елемента на кожному його малому інтервалі;

великі – інтервали, для яких не може бути виконана умова середніх інтервалів, але на яких із достатньою точністю все ж можна спрогнозувати послідовність і зміст функціонування основних компонентів;

дуже великі – інтервали, для яких не представляється можливим виконати умову великих інтервалів.

Відзначимо, що параметри інтервалів істотно залежать від параметрів інформації і конкретних умов її функціонування. Відповідно до викладеного, загальна класифікація й ідентифікація системи показників інформації зведена в табл. 2.5.

Запитання для самоконтролю

1. Назвіть конструктивні елементи уніфікованої концепції захисту інформації.

2. Приведіть загальну класифікацію цілей захисту інформації.

3. Що таке загроза безпеці інформації.

4. Приведіть ознакову класифікацію загроз безпеці інформації. Поміркуйте над тим, які додаткові класифікаційні ознаки можна додатково до неї включити.

5. Які ви знаєте типи загроз безпеці інформації?

6. Опишіть механізм формування причин порушення захисту інформації.

7. Назвіть основні дестабілізуючі чинники відповідно до технології і функціонування інформації.

8. Які ви знаєте підходи до виявлення загроз безпеці інформації?

9. Що таке загроза конфіденційності інформації?

10. Що таке загроза цілісності інформації?

11. Що таке загроза доступності інформації?

12. Як у вигляді схеми описати потенційні дії порушника?

13. Як визначається ймовірність подолання засобів захисту неавторизованим користувачем?

14. Як описується ймовірність подолання неавторизованим користувачем засобів криптографічного захисту інформації?

15. Запишіть вираз для оцінювання ймовірності порушення доступності інформації та опишіть фізичний зміст його складових.

16. Якого вигляду набувають рівняння, що описують функціонування інформаційних систем в умовах загроз системам обробки інформації з обмеженим доступом?

17. Опишіть основні етапи оцінювання дій загроз безпеці інформації в інформаційних системах обробки інформації з обмеженим доступом.

18. Які ознаки є основними при класифікації кібератак?

19. Назвіть основні заходи зі зниження ефективності відомих вам кібератак.

20. У чому відмінність між Dos та DDoS атаками?

21. Опишіть принцип формування бот-мережі.

22. Які ви знаєте програми-шпигуни?

23. Які ви знаєте показники уразливості інформації і вимоги до первинних даних?

24. Які показники уразливості інформації і вимоги до первинних даних в інформаційній системі займають особливе місце і чому?

РОЗДІЛ 3

ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЇ З ОБМЕЖЕНИМ ДОСТУПОМ

Інформація з обмеженим доступом – це відомості конфіденційного або таємного характеру, правовий статус яких передбачений законодавством України і доступ до яких правомірно обмежений власником таких відомостей. За своїм правовим режимом вона поділяється на конфіденційну і таємну. Згідно закону України “Про інформацію” конфіденційна інформація – це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов. Таємна інформація – це інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю (банківську, комерційну, службову, професійну, адвокатську тощо), розголошення якої завдає шкоди особі, суспільству і державі.

Конфіденційна інформація поділяється на таку, яка є власністю держави, і конфіденційна інформацію, яка не належить державі. Таємна інформація має бути передбачена законом. До видів таємної інформації відносимо: державну, комерційну, банківську, службову, професійну, адвокатську та інші види таємниць. Саме інформація з обмеженим доступом, а точніше право власника на її захист є однією із меж реалізації права на інформацію. При цьому засоби, призначені для захисту інформації можуть бути поділені на:

пасивні – фізичні (інженерні), технічні та програмні засоби тощо;

активні – джерела безперебійного живлення, шумогенератори, скремблери, програмно-апаратні засоби маскування інформації тощо.

Серед них власне фізичні і технічні засоби захисту покликані усунути недоліки організаційних заходів, основними з яких є:

залучення до робіт для захисту інформації організацій, що мають ліцензії відповідних органів на діяльність в області технічного захисту інформації (ТЗІ);

категорування й атестацію об'єктів ТЗПІ та приміщень, виділених для проведення секретних заходів (виділених приміщень) щодо відповідності вимогам забезпечення захисту інформації під час проведення робіт з відомостями відповідного ступеня секретності;

використання на об'єкті сертифікованих ТЗПІ та ДТЗС;

встановлення контрольованої зони навколо об'єкта;

залучення до робіт із монтування апаратури, будування чи реконструкції об'єктів ТЗПІ організацій з відповідними ліцензіями;

організацію контролю та обмеження доступу на об'єкти ТЗПІ та у виділені приміщення;

введення територіальних, частотних, енергетичних, просторових і часових

обмежень у режимах використання технічних засобів, що підлягають захисту;

відключення технічних засобів, що мають елементи властивостей електроакустичних перетворювачів, від ліній зв'язку на період проведення секретних заходів.

У свою чергу це дозволить поставити бар’єр на шляху зловмисників та максимально виключити можливість ненавмисних порушень персоналу, викликаних їх помилками або недбалістю користувачів ІС.

3.1. Фізичний захист інформації з обмеженим доступом

Фізичний захист ІзОД забезпечує фізичну безпеку ІС – споруд та приміщень де розташована ІС (температура в приміщенні 10...26^оС, вологість повітря 35...50%), самої інформаційної системи, допоміжного обладнання (принтери, сканери тощо), носіїв інформації (роздруківок, дисків тощо) і каналів передачі (отримання) інформації. Він ґрунтується на визначених периметрах безпеки й забезпечується шляхом установки ряду бар’єрів, розташованих у стратегічних місцях.

Головними заходами фізичного захисту є захист від вогню, води, пилу, корозійних газів, електромагнітного випромінювання, вандалізму тощо, а також захист від несанкціонованого доступу до приміщень. При цьому вимоги до кожного захисного бар’єра і його місця розташування повинні визначатися цінністю інформації, ризиком порушення безпеки, а також необхідністю дотримання існуючих захисних мір.

Діапазон засобів фізичного захисту, який можливо застосувати для попередження катастроф або зведення їх до мінімуму, дуже великий, починаючи від самого нижнього рівня до найскладнішого. При цьому кожен рівень фізичного захисту має визначені режимні території, зони або приміщення у межах яких необхідно забезпечити належний рівень захисту. Так, наприклад, для захисту периметра можуть створюватись системи охоронної й пожежної сигналізації, системи цифрового відео спостереження, системи контролю й управління доступом (СКУД) тощо. За для цього пропонуються наступні рекомендації:

режимні території, зони або приміщення повинні відповідати цінності інформації, що захищається;

периметр безпеки повинний бути чітко визначений;

допоміжне устаткування (ксерокс, факс тощо) повинні бути розміщені так, щоб зменшити ризик НСД до інформації з обмеженим доступом;

фізичні бар’єри повинні при необхідності простиратися від підлоги до

стелі, щоб запобігти несанкціонованому доступу у режимні приміщення;

не слід надавати стороннім особам інформацію про те, що робиться в ре-

жимних територіях, зонах або приміщеннях без потреби;

доцільно розглянути можливість установлення заборони на роботу поодинці без належного контролю (це необхідно як для безпеки, так і для запобігання шкідливих дій);

інформаційну систему варто розміщати у спеціально призначених для цього місцях, окремо від обладнання контрольованого сторонніми підрозділами;

у неробочий час режимні території, зони або приміщення повинні бути фізично недоступні (закриті на замок) і періодично перевірятися охороною. Персоналові, що здійснює ТО, повинен бути наданий доступ до режимних територій, зон або приміщень тільки в разі потреби і після одержання письмового дозволу. Доступ такого персоналу варто обмежити, а їх дію відслідковувати;

у межах режимних територій, зон або приміщень використання фотографічної, звукозаписної і відео апаратури повинно бути заборонено (за винятком санкціонованих випадків);

на режимних територіях, у режимних зонах та приміщеннях варто установити належний контроль доступу тощо.

З метою реалізації заходів контролю необхідно:

вести облік дати і часу входу й виходу відвідувачів (відвідувачам повинний бути наданий доступ до конкретної, дозволеної інформації);

вилучати права доступу в режимні території, зони або приміщення в співробітників, що звільняються з даного місця роботи;

дотримуватись пропускного та внутрішньооб’єктового режимів.

Внутрішньо об’єктовий режим – організаційні та технічні заходи і правила щодо забезпечення режиму, встановлені в організації. Його основними завданнями є обмеження кола осіб, що допускаються до ІзОД, проведення робіт з виконавцями щодо роз’яснення вимог роботи з документами, які мають гриф обмеження доступу та ступеня відповідальності за їх збереження, забезпечення встановленого порядку користування ІзОД тощо.

3.2. Технічний захист інформації з обмеженим доступом

Технічний захист інформації (ТЗІ) є одним з напрямків захисту інформації в інформаційних системах. Завдання, що ним вирішуються розбиваються на два великих класи: захист інформації від несанкціонованого доступу (НСД) і захист інформації від витоку технічними каналами. Під НСД звичайно мається на увазі доступ до інформації, що порушує встановлену в ІС політику розмежування доступу. Основні методи і засоби НСД одержання інформації й можливий захист від них наведені у табл. 3.1.

Під технічними каналами розуміються канали сторонніх електромагнітних випромінювань і наведень (ПЕМІН), акустичні канали, оптичні канали й ін. Узагальнююча схема можливих каналів витоку і НСД до інформації, оброблюваної в типовому одноповерховому офісі наведено на рис. 3.1, де:

1) витік за рахунок структурного звуку в стінах і перекриттях;

2) знімання інформації зі стрічки принтера, погано стертих дискет і т. п.;

3) знімання інформації з використанням відеозакладок;

4) програмно-апаратні закладки в ПЕОМ;

5) радіо-закладки в стінах і меблях;

6) знімання інформації з системи вентиляції;

7) лазерне знімання акустичної інформації з вікон;

8) виробничі й технологічні відходи;

9) комп'ютерні віруси, логічні бомби й т. п.;

10) знімання інформації за рахунок наведень і "нав'язування";

11) дистанційне знімання відео інформації (оптика);

12) знімання акустичної інформації з використанням диктофонів;

13) розкрадання носіїв інформації;

14) високочастотний канал витоку в побутовій техніці;

15) знімання інформації спрямованим мікрофоном;

16) внутрішні канали витоку інформації (через обслуговуючий персонал);

17) несанкціоноване копіювання;

18) витік за рахунок побічного випромінювання термінала;

19) знімання інформації за рахунок використання "телефонного вуха";

20) знімання з клавіатури й принтера акустичним каналом;

21) знімання з дисплея по електромагнітному каналу;

22) візуальне знімання з дисплея й принтера;

23) наведення на лінії комунікацій і сторонні провідники;

24) витік через лінії зв'язку;

25) витік мережею заземлення;

26) витік мережею часофікації;

27) витік трансляційною мережею й гучномовним зв'язком;

28) витік охоронно-пожежною сигналізацією;

29) витік мережею електроживлення;

30) витік мережею опалення, газо- і водопостачання.

Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації та засобів контролю, які мають сертифікат відповідності вимогам нормативних документів з технічного захисту системи або дозвіл на їх використання від органу, уповноваженого Кабінетом Міністрів України, а також застосуванням спеціальних інженерно-технічних споруд, засобів і систем. У процесі реалізації основних технічних заходів захисту потрібно установити засоби виявлення та індикації загроз, а також захищені засоби оброблення інформації та засоби технічного захисту інформації й перевірити їхню працездатність, застосувати програмні засоби захисту в засобах обчислювальної техніки та інформаційних системах, здійснити їхнє функціональне опитування в тестуванні на відповідність вимогам захищеності, застосувати спеціальні інженерно-технічні споруди, засоби (системи).

Захист від НСД може здійснюватися в різних складових ІС:

прикладному й системному ПЗ;

апаратній частині серверів і робочих станцій;

комунікаційного устаткування й каналам зв'язку;

периметру інформаційної системи.

Для захисту інформації на рівні прикладного й системного ПЗ можуть використовуватися системи розмежування доступу до інформації, системи ідентифікації й аутентифікації, системи аудита й моніторингу, а також системи антивірусного захисту. Їх застосовують з метою забезпечення:

ідентифікації та аутентифікації користувачів, персоналу і ресурсів системи оброблення інформації;

розмежування доступу користувачів до інформації, засобів обчислювальної техніки і технічних засобів інформаційних систем;

цілісності інформації та конфігурації інформаційних систем;

реєстрація та облік дій користувачів;

маскування оброблюваної інформації;

реагування (сигналізації, відключення, зупинення робіт, відмови у запиті) на спроби несанкціонованих дій.

Для захисту інформації на рівні апаратного забезпечення використовуються апаратні ключі, системи сигналізації, засоби блокування пристроїв і інтерфейсів вводу-виводу інформації. У комунікаційних системах можуть бути використані наступні засоби мереженого захисту інформації:

міжмережні екрани (Firewall) – для блокування атак із зовнішнього середовища (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway і Alteon Switched Firewall від компанії Nortel Networks). Вони управляють проходженням мереженого трафіка відповідно до правил (policies) безпеки. Як правило, міжмережні екрани встановлюються на вході мережі й розділяють внутрішні (частки) і зовнішні (загального доступу) мережі;

системи виявлення вторгнень (IDS - Intrusion Detection System) – для виявлення спроб несанкціонованого доступу як ззовні, так і усередині мережі, захисту від атак типу "відмова в обслуговуванні" (Cisco Secure IDS, Intruder Alert і NetProwler від компанії Symantec). Використовуючи спеціальні механізми, системи виявлення вторгнень здатні запобігати шкідливим діям, що дозволяє значно знизити час простою в результаті атаки й витрати на підтримку працездатності мережі;

засоби створення віртуальних приватних мереж (VPN - Virtual Private Network) – для організації захищених каналів передачі даних через незахищене середовище (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator). Віртуальні приватні мережі забезпечують прозоре для користувача з'єднання локальних мереж, зберігаючи при цьому конфіденційність і цілісність інформації шляхом її динамічного шифрування;

засоби аналізу захищеності – для аналізу захищеності корпоративної мережі й виявлення можливих каналів реалізації погроз інформації (Symantec Enterprise Security Manager, Symantec NetRecon). Їхнє застосування дозволяє запобігти можливим атакам на корпоративну мережу, оптимізувати витрати на захист інформації й контролювати поточний стан захищеності мережі.

Захист інформації від її витоку технічними каналами зв'язку забезпечується наступними засобами й заходами:

використанням екранованого кабелю й прокладкою проводів і кабелів в екранованих конструкціях;

установкою на лініях зв'язку високочастотних фільтрів;

побудовою екранованих приміщень ("капсул");

використанням екранованого устаткування;

установкою активних систем зашумлення.

Спеціальні інженерно-технічні споруди, засоби та системи застосовують для оптичного, акустичного, електромагнітного та іншого екранування носіїв інформації. До них належать спеціально обладнані світлопроникні технологічні та санітарно-технічні отвори, а також спеціальні камери, перекриття, навіси, канали тощо. Розміщення, монтування та прокладення інженерно-технічних засобів, середніх систем заземлення та електроживлення засобів забезпечення інформаційної діяльності, слід здійснювати відповідно до вимог нормативних документів технічного захисту інформації.

Склад засобів забезпечення технічного захисту інформації, перелік їх постачальників, а також послуг з установлення, монтажу, налагодження та обслуговування визначаються особами, які володіють, користуються і розпоряджається інформацією з обмеженим доступом самостійно або за рекомендаціями спеціалістів з технічного захисту інформації згідно з нормативними документами технічного захисту інформації. Їх вибір зумовлюється фрагментами або комплексним способом захисту інформації. При цьому фрагментний захист забезпечує протидію певній загрозі, а комплексний – одночасну протидію множині загроз.

Засоби технічного захисту інформації можуть функціонувати автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих в них складових елементів.

З метою оцінювання стану технічного захисту інформації, що обробляється або циркулює в ІС, комп'ютерних мережах та системах зв'язку, а також підготовки обґрунтованих виводів для прийняття відповідних рішень проводиться експертиза в сфері технічного захисту інформації. Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізація заходів технічного захисту інформації, розрахунку ефективності захисту та порядку атестації технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщень) установлюються нормативними документами з ТЗІ.

Технічне завдання (ТЗ) на створення комплексної системи захисту інформації (КСЗІ) в ІС є засадчим організаційно-технічним документом для виконання робіт щодо забезпечення захисту інформації в системі. Воно повинно розроблятись з урахуванням комплексного підходу до побудови КСЗІ, який передбачає об’єднання в єдину систему усіх необхідних заходів і засобів захисту від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу ІС. У ТЗ викладаються вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, що забезпечують безпеку інформації в процесі її оброблення, а також вимоги до організаційних, фізичних та інших заходів захисту, що реалізуються поза інформаційною системою у доповнення до комплексу програмно-технічних засобів захисту інформації. Вимоги повинні передбачати розроблення та використання сучасних ефективних засобів і методів захисту, які дають можливість забезпечити виконання цих вимог з найменшими матеріальними затратами.

ТЗ на КСЗІ є одним із обов’язкових засадних документів під час проведення експертизи ІС на відповідність вимогам захищеності інформації. Вихідними даними для його розроблення є функціональний профіль захищеності ІС від НСД і вимогам до захищеності інформації від витоку технічними каналами. Функціональний профіль захищеності інформації в конкретній інформаційній системі може бути визначений в результаті проведення аналізу загроз та оцінки ризиків або обраний на підставі класу інформаційної системи відповідно до НД ТЗІ 2.5-005-99 „Класифікація автоматизованих систем і стандартні функціональні класи захищеності оброблюваної інформації від несанкціонованого доступу”.

До основних робіт етапу формування ТЗ на КСЗІ відносяться:

класифікація та опис ресурсів інформаційної системи (обчислювальної системи засобів зв’язку і комунікацій, її категорії, виду подання, місця зберігання, технології обробки тощо, обслуговуючого персоналу і користувачів, території і приміщень і т. ін.);

розробка інформаційної моделі для існуючої ІС, тобто опис (формальний або неформальний) інформаційних потоків інформаційної системи, інтерфейсів між користувачами і інформаційною системою тощо;

визначення переліку загроз і можливих каналів витоку інформації;

експертна оцінка очікуваних втрат у разі здійснення загроз;

визначення послуг безпеки, які треба реалізувати;

обґрунтування необхідності проведення спецперевірки і спеціальних досліджень інформаційно-телекомунікаційної системи та інших технічних засобів, а також спеціального обладнання приміщень;

визначення вимог до організаційних, фізичних та інших заходів захисту, що реалізуються у доповненні до комплексу програмно-технічних засобів захисту;

визначення вимог до метрологічного забезпечення робіт;

визначення переліку макетів, що розробляються і технологічних стендів;

оцінка вартості і ефективності обраних засобів;

прийняття остаточного рішення про склад КСЗІ.

Технічне завдання повинно включати такі розділи:

вимоги до системи захисту інформації;

вимоги до складу проектної та експлуатаційної документації;

етапи виконання робіт;

порядок внесення змін і доповнень до розділів технічного завдання;

вимоги до порядку проведення випробування системи захисту.

Вимоги до захищеності інформації від витоку технічними каналами визначається на підставі НД ТЗІ ТР ЕОТ-95 „Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок” і ТР ПЕМВН-95 „Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок”. Вимоги до забезпечення технічного захисту інформації під час організації проектування будівництва (нового будівництва, розширення, реконструкції та капітального ремонту) встановлюється ДБН А.2.2.-2-96. Вимоги технічного захисту інформації повинні бути викладені в завданні на проектування заходів ТЗІ і враховуватися в процесі проектування об’єкта, зокрема під час розробки:

ситуаційного плану розміщення об’єкта;

технології виробництва;

принципових схем виробничих технологічних процесів;

схеми генерального плану виробничого комплексу;

архітектурно-будівельних рішень щодо об’єкта;

принципових рішень з організації системи зв’язку, сигналізації, управління, автоматизування та інших систем;

основних рішень з організації будівництва.

Завдання на проектування заходів технічного захисту інформації повинно бути складовою частиною загального завдання на проектування об’єкта.

Необхідність розробки проектної документації для будівництва об’єкта з урахуванням вимог технічного захисту інформації повинна бути визначена після виконання наступних підготовчих робіт:

визначення переліку приміщень, в яких циркулює інформація, що підлягає технічному захисту;

обґрунтування необхідності розроблення заходів захисту ІзОД з урахуванням шкоди від її витоку або порушення цілісності;

уточнення меж контрольованої території на основі аналізу загроз безпеці інформації;

визначення головних задач ТЗІ з обмеженим доступом;

визначення шляхів і засобів реалізації заходів технічного захисту інформації з урахуванням технічної та економічної доцільності.

Основою функціонування системи захисту інформації є план технічного захисту інформації, що повинен містити такі документи: