Úvodní stránka

Logo NÚKIB

Při zpracovávání utajovaných informací stupně utajení "Vyhrazené" nejsou požadována (kromě "Prohlášení o shodě") žádná opatření v oblasti kompromitujícího vyzařování (KV). Pouze se doporučuje umístění monitoru tak, aby nebylo možné optické odezírání obsahu obrazovky monitoru.

V případě zpracovávání utajovaných informací stupně utajení "Důvěrné" se přihlíží k charakteru organizace provozující daný IS a charakteru zpracovávaných informací, rozsahu zpracovávání utajovaných informací stupně utajení "Důvěrné", časovému rozložení a způsobu jejich zpracovávání. Riziko z hlediska KV je spjato především se zobrazováním utajovaných informací na monitoru, s jejich vkládáním pomocí klávesnice, s tiskem a s ukládáním na zálohovací média. Z hlediska časového rozložení je vyšší riziko spjato s pravidelným zpracováváním utajovaných informací nebo se zpracováním, jehož zahájení může zájemce o informace odvodit z určitých příznaků. Pokud dochází ke zpracovávání utajovaných informací týkajících se krizového plánování, činnosti zpravodajských služeb, činnosti a zabezpečení zastupitelských úřadů a jiných důležitých objektů, kryptografické ochrany utajovaných informací, operativní techniky, vojenského a jaderného materiálu a dalších kritických oblastí, je třeba bez ohledu na jejich množství aplikovat přísnější požadavky.

U informací stupně utajení "Důvěrné" posoudí pracovník oddělení TEMPEST NÚKIB z dodané dokumentace nebo přímo na místě, zda se bude provádět zónové měření.

Předpokládá-li se zpracovávání utajovaných informací stupně utajení "Tajné" nebo "Přísně tajné", provede se zónové měření zpravidla vždy.

Pokud jsou zpracovávány utajované informace stupně utajení „Důvěrné“, „Tajné“ nebo „Přísně tajné“, vyžaduje se u některých instalací, určených v bezpečnostních standardech, napájení ze síťového přívodu vybaveného vysokofrekvenčním filtrem. Pro zpracování utajovaných informací stupně utajení „Důvěrné“ je nutné použít vhodný typ s útlumem minimálně 30dB v kmitočtovém pásmu 100 kHz – 1 GHz. Pro zpracování utajovaných informací stupně utajení „Tajné“ nebo „Přísně tajné“ je nutná konzultace s oddělením TEMPEST NÚKIB. K využití útlumových vlastností zapojených filtrů je nutná jejich odpovídající instalace (patřičné oddělení vodičů vstupní a výstupní části).

V případě, že IS obsahuje vysílač (radiostanice, radiomodem, Wi-Fi, infračervený přenos aj.), je třeba vždy konzultace s oddělením TEMPEST NÚKIB.

U komponentů IS, které obsahují paměti typu RAM (např. tiskárny), je nutné počítat s tím, že informace v těchto pamětech mohou zůstávat i po odpojení napájecího napětí. Tomu je třeba přizpůsobit režim zacházení s těmito komponentami. V případě odeslání do servisu nebo jiné manipulace, kdy nebude zařízení pod dohledem odpovědné osoby, je třeba obsah paměti prokazatelně přepsat neutajovanými informacemi.

Uživatele IS je třeba upozornit na možnost vložení odposlechových prostředků (tzv. "štěnic") do komponentů IS, např. do klávesnice, kabelů nebo možnost jiné modifikace IS v době, kdy IS nebo jeho část je mimo kontrolu (servis, zápůjčka aj.). Modifikace může spočívat v instalaci malware, který ovlivňuje činnost HW (např. okem nezjistitelná modulace LED diod, využití akustických signálů), výměně kabelů nebo jiných částí IS. Jakékoliv změny ve schválené HW konfiguraci je třeba posoudit v souladu s návodem uvedeným níže.

Obdobné riziko (např. instalace odposlechových zařízení) hrozí i pro zabezpečené oblasti (ZO). Pokud se objeví tato podezření, je třeba konzultace s oddělením TEMPEST NÚKIB.

Použití tzv. "maskovacích generátorů", které by měly "zakrýt" KV, je vhodné konzultovat s oddělením TEMPEST NÚKIB.

Doporučuje se, aby uživatel IS již ve fázi návrhu bral zřetel na vhodné umístění IS vzhledem k okolnímu tzv. "kontrolovanému prostoru". Vhodně zvolené umístění IS v rámci budovy (tím i lepší zóna) snižuje požadavky na třídu použitého prostředku z hlediska KV a výrazně šetří náklady na hardware. IS by měl být umístěn co nejdále od volně přístupných míst (veřejná parkoviště, objekty, do nichž provozovatel IS nemá přístup), spíše v místnostech situovaných do dvora objektu, nikoliv do ulice, nebo v suterénních místnostech bez oken. Místnosti o alespoň jedno podlaží výše a níže by měli být v „kontrolovaném prostoru“. Dále je třeba brát na zřetel, že IS musí být vhodně umístěn i v rámci místnosti, tzn. dodržet určité vzdálenosti od telefonů, faxů, ale i datových, silových a jiných metalických vedení (např. klimatizace, topení, voda), a také vzhledem k oknům místnosti.

Pozn.: "Kontrolovaný prostor" je dle standardů třírozměrný prostor, obklopující IS, ve kterém je zajištěno, že nepovolaná osoba zde nebude provádět nekontrolovatelnou činnost za účelem získání utajovaných informací formou kompromitujícího vyzařování. Velikost kontrolovaného prostoru se udává v metrech. V anglickém jazyce je označován termínem "Inspectable space".

IS určené pro stupeň utajení "Důvěrné" nově certifikované a veškeré IS pro stupeň "Tajné" musí být v rámci certifikace, resp. recertifikace podrobeny kontrole instalace. Kontrolu instalace na místě zpravidla provádí pracovník OBIT NÚKIB v době, kdy je IS plně připraven k provozu a ZO je stavebně i organizačně ve finálním stavu.

Kontrola instalace může být provedena jiným pracovištěm po předchozí konzultaci s vedoucím oddělení TEMPEST NÚKIB. Výsledky takové kontroly budou uznány za platné za předpokladu, že žadatel předloží zprávu o výsledku kontroly provedeného pracovištěm, s nímž má NÚKIB uzavřenou pro takovou činnost smlouvu o zajištění činnosti (podle zákona č. 412/2005 Sb.).

Na základě této kontroly je vypracován tzv. Instalační záznam (IZ). Tento IZ je pak součástí bezpečnostní dokumentace IS.

Návod k posouzení HW změn v certifikovaném IS – vliv na hodnocení:

  • IS pro stupeň utajení Důvěrné

    1. Změny vyžadující vždy opakované měření:

      • změna procesoru
      • změna základní desky
      • změna napájecího zdroje
      • změna grafické karty
      • změna monitoru
      • změna nebo výměna datového kabelu k monitoru
      • změna rozlišení grafického adaptéru, včetně změny vertikální frekvence
    2. Změny vyžadující ohlášení na NÚKIB a posouzení odborným pracovištěm NÚKIB:

      • změna HDD při změně datového rozhraní
      • změna interních a externích zařízení pro ukládání dat - FDD, CD, DVD, B-Ray, ZIP při změně typu a/nebo datového rozhraní
      • změna čtečky čipových karet interní při změně datového rozhraní
      • změna/doplnění rozšiřujících interních a externích karet (zvuková, síťová apod.)
      • změna napájecího vf filtru při změně typu
      • změna klávesnice při zachování datového rozhraní
      • změna periférií (tiskárna, projektor, scanner, plotter apod.) při zachování stejného typu a stejných propojovacích datových kabelů
      • výměna kabelů k tiskárně, scanneru, plotteru apod. při zachování stejného typu a datového rozhraní
      • změna myši při změně datového rozhranní, doplnění myši do sestavy
      • změna optických převodníků, switchů apod. při zachování stejného typu
      • změny v BIOSu PC vedoucí k úpravě taktovacích frekvencí procesoru, grafické karty, sběrnic či ke změně jejich pracovního módu (Spread spectrum)
      • změna skříně PC
    3. Změny bez nutnosti ohlášení – provádí uživatel sám:

      • změna (zvětšení/zmenšení) RAM
      • změna HDD při změně typu, ale zachování datového rozhraní
      • změna interních a externích FDD, CD, DVD, B-Ray, ZIP při zachování typu a datového rozhraní
      • změna čtečky čipových karet interní při zachování datového rozhraní
      • změna napájecího vf filtru při zachování typu
      • změna myši při zachování datového rozhraní
      • výměna rámečku HDD při zachování datového rozhranní
      • výměna napájecích kabelů
      • krátkodobé připojení externího HDD pro realizaci bezpečného výmazu
      • odstranění rámečku HDD a montáž HDD přímo do PC na stejnou sběrnici
  • IS pro stupeň utajení Tajné

    1. Změny vyžadující vždy opakované měření:

      • změna procesoru
      • změna základní desky
      • změna napájecího zdroje
      • změna grafické karty
      • změna monitoru
      • změna interních a externích FDD, CD, DVD, B-Ray, ZIP při změně typu a/nebo datového rozhraní
      • změna/doplnění rozšiřujících interních a externích karet (zvuková, síťová, optická apod.)
      • změna HDD při změně datového rozhranní
      • změna čtečky čipových karet
      • změna napájecího vf filtru při změně typu
      • změna klávesnice
      • změna periférií (tiskárna, projektor, scanner, plotter apod.)
      • změna rozlišení grafického adaptéru, včetně změny vertikální frekvence
      • změna datových kabelů k monitoru a/nebo k ostatním periferiím
      • změna optických převodníků, switchů apod.
      • změna „aktivních“ redukcí typu DVI-Display Port apod.
      • změna myši při změně datového rozhranní, doplnění myši do sestavy
      • změny v BIOSu PC vedoucí k úpravě taktovacích frekvencí procesoru, grafické karty, sběrnic či ke změně jejich pracovního módu (Spread spectrum)
      • změna skříně PC
    2. Změny vyžadující ohlášení na NÚKIB a posouzení odborným pracovištěm NÚKIB:

      • změna FDD, CD, DVD, B-Ray, ZIP při zachování typu a datového rozhranní
      • změna typu HDD při zachování datového rozhraní
      • změna myši při zachování typu a datového rozhranní
      • výměna napájecích kabelů u zařízení třídy 0 (Level A)
      • změna napájecího vf filtru při zachování typu
      • odstranění rámečku HDD a montáž HDD přímo do PC na stejnou sběrnici
    3. Změny bez nutnosti ohlášení – provádí uživatel sám:

      • změna (zvětšení/zmenšení) RAM
      • výměna rámečku HDD při zachování datového rozhranní
      • výměna napájecích kabelů mimo zařízení třídy 0 (Level A)
  • Ostatní komunikační a informační systémy

    • Nutná vždy konzultace s odborným pracovištěm NÚKIB.

Pozn.: V případě jiných změn je nutná konzultace s oddělením TEMPEST NÚKIB.