Изучение объекта защиты является важнейшим этапом в проектировании КСЗИ. Ошибки, допущенные в ходе этой работы, могут существенно снизить эффективность создаваемой системы защиты, и, наоборот, тщательно проведенное обследование позволит сократить затраты на внедрение и эксплуатацию системы.
Изучение объекта защиты сводится к сбору и анализу следующей информации:
- об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:
- график работы объекта и его отдельных подразделений;
- правила и процедуры доступа на объект, в отдельные помещения и к оборудованию персонала и посетителей (регулярный, случайный, ограниченный доступ);
- численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по контракту, клиенты);
- процедуру доступа на территорию транспортных средств.
Для получения этих данных можно применять следующие способы: анкетирование сотрудников; опрос сотрудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих способов не дает объективной информации: каждый имеет свои достоинства и недостатки. Поэтому их применяют вместе, в совокупности;
- об организации транспортных и информационных потоков. В состав этих данных входят сведения, характеризующие:
- пути и организацию транспортировки и хранения материальных ценностей на территории объекта; уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, телефонная и радиосвязь и т. п.);
- об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:
- пространство, непосредственно прилегающее к территории объекта;
- ограждение периметра территории и проходы;
- инженерные коммуникации, подземные хранилища и сооружения на территории;
- размещение подразделений и сотрудников по отдельным помещениям (с поэтажными планами);
- инженерные коммуникации в помещениях;
- состояние подвальных и чердачных помещений;
- размещение, конструкции и состояние входов, дверей, окон;
- существующую систему защиты;
- состав и настроение населения, экономические факторы и криминогенную обстановку на прилегающей территории.
На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функционирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).
Эти данные рекомендуется систематизировать в виде пояснительной записки, структурных схем и планов.
Целесообразно иметь следующие планы:
- план территории объекта с указанием расположения всех зданий и других наземных сооружений; подземных сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по периметру территории объекта, с обозначением их технического состояния на момент обследования; средств защиты (существующей системы, если она имеется);
- поэтажные планы, где должно быть указано расположение всех помещений с обозначением дверных и оконных проемов, внутренних и наружных (пожарных) лестниц, толщины материала стен и существующих средств защиты; всех коммуникаций с обозначением коммуникационных шкафов и других мест санкционированного доступа к каналам связи и жизнеобеспечения;
- планы помещений с указанием мест размещения оборудования и других технических средств (телефонов, персональных ЭВМ, принтеров и т. д.); расположения коммуникаций и мест размещения коммутационного оборудования (коробки, розетки и т. п.); функционального назначения и степени конфиденциальности получаемой и обрабатываемой информации; особенностей технологического процесса (для производственных помещений), важных с точки зрения обеспечения безопасности.
На основе этих планов целесообразно подготовить структурные схемы:
- ограждения каждого помещения, указав на ней (схематично) все стены и другие инженерно-технические сооружения, окружающие помещение;
- документооборота (для документов с ограниченным доступом), указав источник и приемники документа; его связи с другими документами; способ подготовки (ручной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т. п.); место хранения;