«Физическая безопасность — не про бетонные стены и турникеты. Это про системное ограничение доступа к точкам, где данные превращаются в физические сигналы: электромагнитные излучения, звук, свет на экране. Пренебрежение этим уровнем сводит на нет все криптографические и программные защиты.»
Защита технических средств ИСПДн: физическая безопасность инфраструктуры
Защита технических средств (ЗТС) — это обязательный набор мер, который предотвращает несанкционированный физический доступ к серверам, рабочим станциям, сетевым устройствам и иному оборудованию, обрабатывающему персональные данные. В соответствии с требованиями ФСТЭК России, эти меры создают базовый физический периметр безопасности, без которого последующие программно-технические защиты теряют смысл. Реализация ЗТС требуется для всех уровней защищённости ИСПДн и включает пять ключевых направлений.
Обзор мер защиты технических средств
Каждая из пяти мер решает свою задачу в рамках обеспечения физической безопасности. Требования к их реализации дифференцированы в зависимости от уровня защищённости (УЗ) информационной системы.
| Мера защиты | УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|---|
| ЗТС.1: Защита от утечки по техническим каналам | ✓ | ✓ | ✓ | ✓ |
| ЗТС.2: Организация контролируемой зоны | ✓ | ✓ | ✓ | ✓ |
| ЗТС.3: Контроль физического доступа | ✓ | ✓ | ✓ | ✓ |
| ЗТС.4: Защита устройств вывода информации | ✓ | ✓ | ✓ | ✓ |
| ЗТС.5: Защита от внешних воздействий | ✓ | ✓ | ✓ | ✓ |
ЗТС.1: Защита от утечки по техническим каналам
Этот раздел касается защиты от перехвата информации не через сеть, а через физическую среду. Любое активное электронное устройство непреднамеренно излучает сигналы: электромагнитные — от мониторов и кабелей, акустические — от устройств и разговоров, вибрационные — от корпусов. Эти сигналы могут быть перехвачены и расшифрованы специальным оборудованием за пределами контролируемой зоны.
Основные технические каналы
- Электромагнитные излучения: побочные излучения от мониторов, системных блоков, кабелей передачи данных (TEMPEST-атаки).
- Акустические каналы: прямой перехват разговоров или звуков работы печатающих устройств.
- Виброакустические каналы: преобразование вибраций оконных стёкол или стен от речи в восстанавливаемый сигнал.
- Паразитные наводки: наводки информационных сигналов на цепи электропитания, заземления, системы вентиляции.
Меры противодействия
- Экранирование помещений (отделка стен, пола, потолка специальными материалами) или использование экранированных шкафов.
- Применение сертифицированных технических средств защиты информации (ТСЗИ), имеющих подавленное побочное излучение.
- Установка активных систем зашумления (пространственных или линейных).
- Проведение регулярных инструментальных проверок (аттестационных измерений) для оценки эффективности экранирования.
| Уровень защищённости | Требования к защите |
|---|---|
| УЗ-1, УЗ-2 | Полное экранирование помещений или использование экранированных шкафов. Обязательное применение сертифицированных ТСЗИ. Ежегодные инструментальные проверки с составлением протокола. |
| УЗ-3, УЗ-4 | Может требоваться выборочное экранирование (например, только оконных проёмов и дверей) или организационные меры по размещению оборудования. Проверки носят периодический характер. |
ЗТС.2: Организация контролируемой зоны
Контролируемая зона — это не просто комната с серверами. Это физически выделенное и охраняемое пространство, границы которого четко определены, а режим доступа строго регламентирован. Её цель — не допустить на территорию размещения критической инфраструктуры лиц, не имеющих на это санкционированного права.
Требования к организации зоны
- Выделение отдельного помещения или части помещения с капитальными стенами (перегородками от пола до потолка).
- Оборудование точек входа укрепленными дверями с надежными замками.
- Оснащение оконных проемов (при их наличии) решетками или ставнями.
- Организация систем инженерного обеспечения: контроль климата, бесперебойное электропитание.
- Наличие охранной и пожарной сигнализации, систем автоматического пожаротушения.
Эшелонирование доступа
Для систем высоких уровней защищённости часто применяется принцип эшелонирования: доступ в саму серверную осуществляется через предбанник (тамбур-шлюз), что исключает возможность проноса оборудования или несанкционированного выноса данных мимо поста контроля.
| Элемент контролируемой зоны | Требования для УЗ-1, УЗ-2 | Требования для УЗ-3, УЗ-4 |
|---|---|---|
| Конструкции | Капитальные стены, укрепленные двери с доводчиками, тамбур-шлюзы, отсутствие окон или их полная защита. | Стационарные перегородки, запирающиеся двери, решетки на окнах. |
| Контроль доступа (СКУД) | Обязательна электронная СКУД с многофакторной аутентификацией (карта+код/PIN), интеграция с системой учета посещений. | Механические замки или простая электронная СКУД (карта). Ведение бумажного журнала посещений. |
| Видеонаблюдение | Камеры, охватывающие все зоны входа/выхода и внутреннее пространство. Круглосуточная запись с хранением не менее 3 месяцев. | Камеры на точках входа. Запись по событию или в рабочее время. Хранение от 30 дней. |
ЗТС.3: Контроль и управление физическим доступом
Если организация контролируемой зоны определяет «где», то контроль доступа отвечает на вопросы «кто», «когда» и «куда именно». Это процедурно-технический комплекс, который управляет перемещением людей внутри защищаемого периметра.
Методы и системы контроля
- Идентификация и аутентификация: от механических ключей и кодовых замков до электронных карт, брелоков, биометрических считывателей (отпечаток, рисунок вен).
- Многофакторность: для зон с высокими требованиями обязательна комбинация, например, «карта доступа + PIN-код».
- Учет и мониторинг: все события (успешные/неуспешные попытки входа, время нахождения) фиксируются в электронном журнале. Система должна формировать отчеты и оповещения при попытках нарушения.
- Зональность: разграничение прав доступа внутри контролируемой зоны (например, администратор может войти в серверную, а рядовой сотрудник — только в аппаратную подготовки данных).
| Уровень защищённости | Требования к контролю доступа |
|---|---|
| УЗ-1 | Многофакторная аутентификация (не менее двух независимых факторов). Биометрические методы или электронные ключи с криптозащитой. Полная интеграция СКУД, видеонаблюдения и систем сигнализации с мгновенным оповещением службы безопасности. |
| УЗ-2 | Электронная СКУД на всех точках входа. Обязательное ведение электронного журнала событий. Регулярная сверка списков лиц, имеющих доступ, с кадровыми документами. |
| УЗ-3 | Механические или простые электронные замки. Ведение журнала посещений (может быть бумажным). Контроль со стороны ответственного сотрудника. |
| УЗ-4 | Обеспечение запираемости помещений. Ограничение доступа посторонних лиц. Базовые организационные меры. |
ЗТС.4: Защита устройств вывода информации
Угроза здесь часто недооценивается. Данные, которые надёжно защищены в цифровом виде, становятся уязвимыми в момент их отображения на экране или распечатки. Задача — предотвратить их несанкционированный визуальный перехват (shoulder surfing) или копирование.
Основные риски и меры защиты
| Сценарий риска | Меры защиты | Комментарий |
|---|---|---|
| Подглядывание за экраном | Фильтры конфиденциальности (privacy filters), правильная ориентация рабочего места (экран к стене, спиной к менее проходной зоне), организационные перегородки. | Фильтр физически ограничивает угол обзора экрана до 30-45 градусов. Стоит обратить внимание на качество фильтра — дешёвые модели могут сильно искажать цветопередачу. |
| Просмотр оставленного без присмотра устройства | Обязательная политика автоматической блокировки сеанса операционной системы через короткий промежуток бездействия (рекомендуется 5-10 минут). | Политика должна применяться централизованно и не иметь возможности отключения пользователем. Дополнительно — воспитание «культуры блокировки» (Win+L). |
| Несанкционированный доступ к распечаткам | Размещение принтеров и МФУ в контролируемых зонах. Внедрение систем безопасной печати (pull-printing), где документ отправляется на сервер и печатается только после повторной аутентификации пользователя у устройства. | Позволяет избежать ситуации, когда конфиденциальный документ часами лежит в лотке для бумаг. Системы ведут учёт объёмов и содержания распечаток. |
ЗТС.5: Защита от внешних воздействий
Эта мера направлена на обеспечение отказоустойчивости и бесперебойного функционирования оборудования в условиях внештатных ситуаций. Речь идёт не только о сохранности данных, но и о физической сохранности носителей и устройств их обработки.
Ключевые направления защиты
- Электропитание: защита от скачков, отключений, высокочастотных помех. Используются сетевые фильтры, стабилизаторы, источники бесперебойного питания (ИБП) различной автономности, а для критичных систем — дизель-генераторные установки с автоматическим вводом резерва (АВР).
- Климатический контроль: поддержание температуры и влажности в узком диапазоне, требуемом для работы оборудования (обычно 18-24°C, 40-60% влажности). Используются прецизионные кондиционеры, более надежные и точные, чем бытовые сплит-системы.
- Пожарная безопасность: раннее обнаружение задымления (аспирационные системы), автоматические системы газового или аэрозольного пожаротушения, которые не повреждают электронику, в отличие от воды.
- Защита от протечек: датчики протечки воды под фальшполом серверной, автоматические отсечные клапаны.
| Вид воздействия | Стандартные меры | Требования для УЗ-1, УЗ-2 |
|---|---|---|
| Перебои электропитания | ИБП на 10-30 минут автономии. | Каскадная схема: ИБП для мгновенного покрытия + ДГУ с АВР для длительного обеспечения. Мониторинг состояния всех элементов цепи. |
| Климатические воздействия | Кондиционер, простые датчики температуры. | Прецизионные кондиционеры с N+1 резервированием. Системы мониторинга с выводом параметров на пульт и оповещением при выходе за границы нормы. |
| Пожары | Дымовые извещатели, первичные средства пожаротушения (огнетушители). | Автоматическая система газового пожаротушения, срабатывающая по сигналу от аспирационной системы обнаружения дыма. Обязательное наличие ручного дублирующего пуска. |
Физическая безопасность как фундамент
Меры ЗТС формируют несущий слой системы защиты. Их реализация носит приоритетный характер: бессмысленно настраивать сложные правила межсетевого экранирования или средства криптографии, если злоумышленник может физически изъять жесткий диск или подключить протокольный анализатор непосредственно к кабелю внутри незащищенного помещения. Комплексный подход к организации контролируемых зон, контролю доступа и защите от всех видов воздействий создает среду, в которой дальнейшие технические меры защиты информации могут функционировать эффективно. В российском правовом поле соответствие этим требованиям ФСТЭК является не рекомендацией, а обязательным условием для легальной обработки персональных данных.