скачать книгу бесплатно
ДСТУ 3396.1—96. Технiчний захист iнформацii. Порядок проведення робiт.
ДСТУ 3396.2—97. Технiчний захист iнформацii. Термiни та визначення.
ГОСТ 34.201—89 Виды, комплектность и обозначение документов при создании автоматизированых систем
РД 50—34.698—90 Автоматизированные системы. Требования к содержанию документов
Нормативнi документи системи технiчного захисту iнформацii
Створення КСЗІ в автоматизованiй системi
НД ТЗІ 3.7-003-2005. Порядок проведення робiт iз створення комплексноi системи захисту iнформацii в iнформацiйно-телекомунiкацiйнiй системi, затверджений наказом ДСТСЗІ СБ Украiни вiд 08.11.2005 №125 iз змiнами згiдно наказу Адмiнiстрацii Держспецзв'язку вiд 28.12.2012 №806.
НД ТЗІ 1.6-005-2013. Положення про категорiювання об’ектiв, де циркулюе iнформацiя з обмеженим доступом, що не становить державноi таемницi, затверджений наказом Адмiнiстрацii Держспецзв'язку вiд 15.04.2013 №215
НД ТЗІ 1.4-001-2000. Типове положення про службу захисту iнформацii в автоматизованiй системi, затверджений наказом ДСТСЗІ СБ Украiни вiд 04.12.2000 №53.
НД ТЗІ 3.7-001-99. Методичнi вказiвки щодо розробки технiчного завдання на створення комплексноi системи захисту iнформацii в автоматизованiй системi, затверджений наказом ДСТСЗІ СБ Украiни вiд 28.04.99 №22 iз змiнами згiдно наказу Адмiнiстрацii Держспецзв'язку вiд 28.12.2012 №806.
Захист iнформацii в комп'ютерних системах вiд несанкцiонованого доступу
НД ТЗІ 1.1-002-99. Загальнi положення щодо захисту iнформацii в комп'ютерних системах вiд несанкцiонованого доступу, затверджений наказом ДСТСЗІ СБ Украiни вiд 28.04.99 №22.
НД ТЗІ 1.1-003-99. Термiнологiя в галузi захисту iнформацii в комп’ютерних системах вiд несанкцiонованого доступу, затверджений наказом ДСТСЗІ СБ Украiни вiд 28.04.99 №22.
НД ТЗІ 2.5-004-99. Критерii оцiнки захищеностi iнформацii в комп’ютерних системах вiд несанкцiонованого доступу, затверджений наказом ДСТСЗІ СБ Украiни вiд 28.04.99 №22.
НД ТЗІ 2.5-005-99. Класифiкацiя автоматизованих систем i стандартнi функцiональнi профiлi захищеностi оброблюваноi iнформацii вiд несанкцiонованого доступу. Затверджено наказом ДСТСЗІ СБ Украiни вiд 28.04.99 №22.
НД ТЗІ 2.5-008-2002. Вимоги iз захисту службовоi iнформацii вiд несанкцiонованого доступу пiд час оброблення в автоматизованих системах класу 2, затверджений наказом ДСТСЗІ СБ Украiни вiд 13.12.2002 №84 iз змiнами згiдно наказу Адмiнiстрацii Держспецзв'язку вiд 28.12.2012 №806.
НД ТЗІ 2.5-010-2003. Вимоги до захисту iнформацii WEB-сторiнки вiд несанкцiонованого доступу, затверджений наказом ДСТСЗІ СБ Украiни вiд 02.04.2003 №33 iз змiнами згiдно наказу Адмiнiстрацii Держспецзв'язку вiд 28.12.2012 №806.
Створення комплексiв ТЗІ на об'ектах iнформацiйноi дiяльностi
ТР ЕОТ – 95. Тимчасовi рекомендацii з технiчного захисту iнформацii у засобах обчислювальноi технiки, автоматизованих системах i мережах вiд витоку каналами побiчних електромагнiтних випромiнювань i наводок, затвердженi наказом Державноi служби Украiни з питань технiчного захисту iнформацii вiд 09.06.95 №25.
НД ТЗІ 1.1-005-2007. Створення комплексу технiчного захисту iнформацii. Основнi положення, затверджений наказом Адмiнiстрацii Держспецзв'язку вiд 12.12.2007 №232.
НД ТЗІ 2.1-002-2007. Випробування комплексу технiчного захисту iнформацii. Основнi положення, затверджений наказом Адмiнiстрацii Держспецзв'язку вiд 12.12.2007 №232.
НД ТЗІ 3.1-001-2007. Створення комплексу технiчного захисту iнформацii. Передпроектнi роботи, затверджений наказом Адмiнiстрацii Держспецзв'язку вiд 12.12.2007 №232.
НД ТЗІ 3.3-001-2007. Створення комплексу технiчного захисту iнформацii. Порядок розроблення та впровадження заходiв iз захисту iнформацii, затверджений наказом Адмiнiстрацii Держспецзв'язку вiд 12.12.2007 №232.
Державна експертиза КСЗІ
Положення про державну експертизу в сферi технiчного захисту iнформацii, затверджене наказом Адмiнiстрацii Держспецзв'язку вiд 16.05.2007 №93 та зареестроване в Мiнiстерствi юстицii Украiни 16.07.2007 за №820/14087.
Порядок формування реестру органiзаторiв державноi експертизи у сферi ТЗІ та реестру експертiв з питань ТЗІ, затверджений наказом Адмiнiстрацii Держспецзв’язку вiд 16.04.2008 №64
НД ТЗІ 2.6-001-2011. Порядок проведення робiт з державноi експертизи засобiв технiчного захисту iнформацii вiд несанкцiонованого доступу та комплексних систем захисту iнформацii в iнформацiйно-телекомунiкацiйних системах, затверджений наказом Адмiнiстрацii Держспецзв'язку вiд 25.03.2011 №65 iз змiнами згiдно наказу Адмiнiстрацii Держспецзв'язку вiд 28.12.2012 №806.
НД ТЗІ 2.7-009-2009. Методичнi вказiвки з оцiнювання функцiональних послуг безпеки в засобах захисту iнформацii вiд несанкцiонованого доступу, затверджений наказом Адмiнiстрацii Держспецзв'язку вiд 24.07.2009 №172 iз змiнами згiдно наказу Адмiнiстрацii Держспецзв'язку вiд 28.12.2012 №806.
НД ТЗІ 2.7-010-2009. Методичнi вказiвки з оцiнювання рiвня гарантiй коректностi реалiзацii функцiональних послуг безпеки в засобах захисту iнформацii вiд несанкцiонованого доступу, затверджений наказом Адмiнiстрацii Держспецзв'язку вiд 24.07.2009 №172.
Основний керiвний документ – це НД ТЗІ 3.7-003-2005 «Порядок проведення робiт iз створення КСЗІ в ІТС»
Вiн визначае порядок прийняття рiшень щодо складу КСЗІ в залежностi вiд умов функцiонування ІТС i видiв оброблюваноi iнформацii, визначення обсягу i змiсту робiт, етапностi робiт, основних завдань та порядку виконання робiт кожного етапу.
Побудований у виглядi керiвництва, яке мiстить перелiк робiт i посилання на дiючi нормативнi документи, у вiдповiдностi до яких цi роботи необхiдно виконувати. Якщо якийсь з етапiв чи видiв робiт не нормовано, наводиться короткий змiст робiт та якими результатами вони повиннi закiнчуватись.
Дiя цього НД ТЗІ поширюеться тiльки на ІТС, в яких здiйснюеться обробка iнформацii автоматизованим способом. Вiдповiдно, для таких ІТС чиннi всi нормативно-правовi акти та нормативнi документи щодо створення ІТС та щодо захисту iнформацii в АС. НД ТЗІ не встановлюе нових норм, а систематизуе в одному документi вимоги, норми i правила, якi безпосередньо або непрямим чином витiкають з положень дiючих нормативних документiв.
НД ТЗІ призначений для суб’ектiв iнформацiйних вiдносин (власникiв або розпорядникiв ІТС, користувачiв), дiяльнiсть яких пов’язана з обробкою iнформацii, що пiдлягае захисту, розробникiв КСЗІ в ІТС, для постачальникiв компонентiв ІТС, а також для фiзичних та юридичних осiб, якi здiйснюють оцiнку захищеностi оброблюваноi iнформацii на вiдповiднiсть вимогам ТЗІ.
Встановлений цим НД ТЗІ порядок е обов’язковим для всiх суб’ектiв системи ТЗІ в Украiнi незалежно вiд iхньоi органiзацiйно-правовоi форми та форми власностi, в ІТС яких обробляеться iнформацiя, яка належить до державних iнформацiйних ресурсiв, належить до державноi чи iншоi таемницi або окремих видiв iнформацii, необхiднiсть захисту якоi визначено законодавством. Якщо в ІТС обробляються iншi види iнформацii, то вимоги цього нормативного документа суб’екти системи ТЗІ можуть використовувати як рекомендацii.
Порядок створенняКСЗІ в ІТС е единим незалежно вiд того, створюеться КСЗІ в ІТС, яка проектуеться, чи в дiючiй ІТС, якщо виникла необхiднiсть забезпечення захисту iнформацii або модернiзацii вже створеноi КСЗІ.
Процес створення КСЗІ полягае у здiйсненнi комплексу взаемоузгоджених заходiв, спрямованих на розроблення i впровадження iнформацiйноi технологii, яка забезпечуе обробку iнформацii в ІТС згiдно з вимогами, встановленими нормативно-правовими актами та НД у сферi захисту iнформацii.
Порядок створення КСЗІ в ІТС розглядаеться цим НД як сукупнiсть впорядкованих у часi, взаемопов’язаних, об’еднаних в окремi етапи робiт, виконання яких необхiдне й достатнье для КСЗІ, що створюеться.
Створення КСЗІ повинно виконуватись у комплексi iз заходами, щодо забезпечення режиму секретностi, протидii технiчним розвiдкам, а також з режимними заходами щодо охорони iнформацii з обмеженим доступом, яка не е державною таемницею.
До складу КСЗІ входять заходи та засоби, якi реалiзують способи, методи, механiзми захисту iнформацii вiд:
– витоку технiчними каналами, до яких вiдносяться канали побiчних електромагнiтних випромiнювань i наведень, акустоелектричнi та iншi канали;
– несанкцiонованих дiй та несанкцiонованого доступу до iнформацii, що можуть здiйснюватися шляхом пiдключення до апаратури та лiнiй зв’язку, маскування пiд зареестрованого користувача, подолання заходiв захисту з метою використання iнформацii або нав’язування хибноi iнформацii, застосування закладних пристроiв чи програм, використання комп’ютерних вiрусiв тощо;
– спецiального впливу на iнформацiю, який може здiйснюватися шляхом формування полiв i сигналiв з метою порушення цiлiсностi iнформацii або руйнування системи захисту.
Для кожноi конкретноi ІТС склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваноi iнформацii, класом та умовами експлуатацii ІТС.
Створення комплексiв технiчного захисту iнформацii вiд витоку технiчними каналами здiйснюеться, якщо в ІТС обробляеться iнформацiя, що становить державну таемницю, або коли необхiднiсть цього визначено власником iнформацii.
Створення комплексу засобiв захисту вiд несанкцiонованого доступу (далi – КЗЗ) здiйснюеться в усiх ІТС, де обробляеться iнформацiя, яка належить до державних iнформацiйних ресурсiв, належить до державноi чи iншоi таемницi або до окремих видiв iнформацii, необхiднiсть захисту якоi визначено законодавством, а також в ІТС, де така необхiднiсть визначена власником iнформацii.
Рiшення щодо необхiдностi вжиття заходiв захисту вiд спецiальних впливiв на iнформацiю приймаеться власником iнформацii в кожному випадку окремо.
Роботи зi створення КСЗІ виконуються органiзацiею-власником (розпорядником) ІТС з дотриманням вимог нормативно-правових актiв щодо провадження дiяльностi у сферi захисту iнформацii.
Пiсля прийняття рiшення про необхiднiсть створення КСЗІ в ІТС для органiзацii цих робiт створюеться Служба захисту iнформацii (далi – СЗІ) в ІТС.
Цей НД ТЗІ визначае такi етапи створення КСЗІ та ii документiв:
1. Формування вимог до КСЗІ в ІТС
1.1. Обгрунтування необхiдностi створення КСЗІ i призначення СЗІ:
– наказ про порядок проведення робiт зi створення КСЗІ
– наказ про створення СЗІ
– положення про СЗІ
– перелiк iнформацii, що пiдлягае обробленню в ІТС та потребуе захисту
1.2. Категорiювання ІТС:
– наказ про призначення комiсii з категорiювання
– акт категорiювання
1.3. Обстеження середовищ функцiонування ІТС:
– наказ про призначення комiсii з обстеження
– акт обстеження
– формуляр ІТС
1.4. Опис моделi порушника полiтики безпеки iнформацii: модель порушника
1.5. Опис моделi загроз для iнформацii: модель загроз
1.6. Формування завдання на створення КСЗІ: звiт за результатами проведення аналiзу ризикiв та формування завдань на створення КСЗІ
2. Розробка полiтики безпеки iнформацii в ІТС
2.1. Вибiр варiанту КСЗІ
2.2. Складання полiтики безпеки
2.3. Складання плану захисту
2.4. Складання календарного плану робiт iз захисту iнформацii
3. Розробка Технiчного завдання на створення КСЗІ:
– складання технiчного завдання та погодження його з органами Держспецзв’язку
4. Проектування КСЗІ:
– складання документiв ескiзного проекту КСЗІ
– складання документiв технiчного проекту КСЗІ
– складання документiв робочого проекту КСЗІ
5. Введення КСЗІ в дiю та оцiнка захищеностi iнформацii в ІТС
5.1. Пiдготовка КСЗІ до введення в дiю:
– iнструкцiя про порядок введення в експлуатацiю КСЗІ
5.2. Навчання користувачiв:
– iнструкцiя адмiнiстратора безпеки в ІТС
– iнструкцiя системного адмiнiстратора ІТС
– iнструкцiя користувача ІТС
– правила управлiння паролями в ІТС
– правила видачi, вилучення та обмiну персональних iдентифiкаторiв, iнших атрибутiв розмежування доступу в ІТС
5.3. Комплектування КСЗІ
5.4. Будiвельно-монтажнi роботи:
– наказ про призначення комiсii з приймання робiт
– акт приймання робiт
5.5. Пуско-налагоджувальнi роботи:
– акт iнсталяцii та налагоджування АВПЗ i КЗЗ вiд НСД
– акт оцiнки вiдповiдностi проведених робiт вимогам експлуатацiйних документiв
5.6. Попереднi випробування КСЗІ:
– наказ про створення комiсii з проведення випробувань
– програма та методика попереднiх випробувань
– протокол про проведення попереднiх випробувань
– акт про приймання КСЗІ у дослiдну експлуатацiю
5.7. Дослiдна експлуатацiя КСЗІ:
– наказ про введення ІТС в дослiдну експлуатацiю
