Obowiązek wyznaczenia Sprzętowej Strefy Ochrony Elektromagnetycznej (SSOE)

Każda firma starająca się o świadectwo bezpieczeństwa przemysłowego w stopniu I zobowiązana jest do posiadania akredytowanego systemu teleinformatycznego przystosowanego do przetwarzania informacji niejawnych. Biorąc pod uwagę bezpieczeństwo systemów teleinformatycznych, przeznaczonych do ochrony informacji niejawnych podstawowym wymogiem jest stosowanie odpowiednich środków ochrony elektromagnetycznej.

Przepływ danych pomiędzy poszczególnymi elementami systemów TI generuje promieniowanie elektromagnetyczne o określonej częstotliwości. Emisja promieniowania odbywa się przez monitor, kable, gniazda, porty, drukarki, skanery. Sygnał jest także emitowany do sieci energetycznej, z której komputer jest zasilany. Dlatego też ochrona elektromagnetyczna jest tak ważna. Promieniowanie elektromagnetyczne niesie ze sobą pewne informację, które, przy użyciu odpowiedniego sprzętu można odczytać.

Promieniowanie elektromagnetyczne pochodzące z komputera jest na tyle silne, że można je odebrać z odległości kilkuset metrów. Wykorzystuje się do tego specjalnie przystosowane anteny oraz wykorzystując np. sieć wodną, elektryczną, grzewczą, oraz przewody klimatyzacyjne. To powoduje, iż odczytanie informacji wyświetlanych aktualnie na monitorze komputera (np. dokumentu), na którym się pracuje jest bardzo proste. Poniższy film pokazuje w jaki sposób za pomocą anteny można przechwycić informacje wpisywane na klawiaturze:

Dlatego też, dla każdego pomieszczenia lub obiektu, w którym będą przetwarzane informacje niejawne oznaczone klauzulą POUFNE lub wyższą należy wyznaczyć Sprzętową Strefę Ochrony Elektromagnetycznej (SSOE). W celu wyznaczenia SSOE należy złożyć odpowiedni wniosek WS-01 (do pobrania poniżej artykułu) do Departamentu Bezpieczeństwa Teleinformatycznego ABW. SSOE może zostać wyznaczona w oparciu o analizę przesłanej dokumentacji lub na podstawie specjalistycznych pomiarów sprzętowych w miejscu wnioskowanego pomieszczenia.

Na podstawie analizy zostanie wyznaczona Sprzętowa Strefa Ochrony Elektromagnetycznej (SSOE 0, 1 lub  2), która określi również kategorię sprzętu komputerowego, którego należy użyć w celu ochrony elektromagnetycznej. Kategoria sprzętu wybierana jest na podstawie analizy, według dokumentu NATO-SDIP-27. Ze względu na poziom emisji ujawniającej urządzenia TI dzieli się na trzy kategorie:

  • Kategoria I – poziom A (najwyższy) według SDIP-27
  • Kategoria II – poziom B według SDIP-27
  • Kategoria III – poziom C według SDIP-27 – sprzęt powszechnego użytku z certyfikatem CE

Należy pamiętać, że każda istotna zmiana we wcześniej wyznaczonej strefie ochrony elektromagnetycznej np. wstawienie okna, wstawienie klimatyzatora wymaga konsultacji z ABW i powiewnej analizy wpływu zmian na ujawnieni informacji poprzez promieniowanie elektromagnetyczne.

Najprostszym sposobem spełnienia wymogów ochrony elektromagnetycznej systemów teleinformatycznych jest zastosowanie sprzętu TI klasy TEMPEST w kategorii odpowiadającej wyznaczonej strefie ochrony elektromagnetycznej. Sprzęt IT klasy TEMPEST jest specjalnie przygotowywany  (ekranowany) w laboratoriach, tak aby wyeliminować emisję ujawniającą.

 

Karol Kij

Zajmuje się szeroko pojętym tematem zarządzania bezpieczeństwa informacji.

Jako młoda, aktywna i przedsiębiorcza osoba wciąż poszukuję nowych źródeł wiedzy i możliwości rozwoju.

Poszukuję kontaktów biznesowych, nawiążę również kontakt z osobami zainteresowanymi podobną problematyką w celu współpracy, wymiany spostrzeżeń i doświadczeń.

Zobacz również:

ZOSTAW KOMENTARZ

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.