скачать книгу бесплатно
– акт про завершення дослiдноi експлуатацii
– акт про завершення робiт зi створення КСЗІ
5.8. Державна експертиза КСЗІ:
– заявка на проведення державноi експертиза КСЗІ
– експертний висновок щодо вiдповiдностi КСЗІ вимогам НД ТЗІ
– атестат вiдповiдностi КСЗІ вимогам НД ТЗІ
– наказ про дозвiл на обробку в ІТС iнформацii, яка пiдлягае захисту
6. Супровiд КСЗІ:
– наказ про порядок забезпечення захисту iнформацii в ІТС
– iнструкцiя щодо забезпечення правил обробки ІзОД в ІТС
– iнструкцiя з антивiрусного захисту iнформацii в ІТС
– iнструкцiя про порядок використання засобiв КЗІ в ІТС
– iнструкцiя про порядок облiку та використання машинних носiiв iнформацii
– iнструкцiя з правил управлiння паролями в ІТС
– iнструкцiя про порядок створення i зберiгання резервних копiй iнформацiйних ресурсiв ІТС
– iнструкцiя про порядок проведення контролю режиму обробки та захисту iнформацii в ІТС
– iнструкцiя про порядок супроводу та модернiзацii КСЗІ в ІТС
– iнструкцiя про порядок вiдновлювальних та ремонтних робiт ІТС
– iншi iструкцii.
3. 1-й етап – формування вимог до КСЗІ
1-й етап – формування вимог до КСЗІ в ІТС – складаеться з таких заходiв:
– обгрунтування необхiдностi створення КСЗІ i призначення СЗІ;
– категорiювання ІТС;
– обстеження середовищ функцiонування ІТС;
– опис моделi порушника полiтики безпеки iнформацii;
– опис моделi загроз для iнформацii;
– формування завдання на створення КСЗІ.
Пiдставою для визначення необхiдностi створення КСЗІ е норми та вимоги чинного законодавства, якi встановлюють обов’язковiсть обмеження доступу до певних видiв iнформацii або забезпечення ii цiлiсностi чи доступностi, або прийняте власником iнформацii рiшення щодо цього, якщо нормативно-правовi акти надають йому право дiяти на власний розсуд.
Вихiднi данi для обгрунтування необхiдностi створення КСЗІ у загальному випадку одержуються за результатами:
– аналiзу нормативно-правових актiв (державних, вiдомчих та таких, що дiють в межах установи, органiзацii, пiдприемства), на пiдставi яких може встановлюватися обмеження доступу до певних видiв iнформацii чи заборона такого обмеження, або визначатися необхiднiсть забезпечення захисту iнформацii згiдно з iншими критерiями;
– визначення наявностi у складi iнформацii, яка пiдлягае автоматизованiй обробцi, таких ii видiв, що потребують обмеження доступу до неi або забезпечення цiлiсностi чи доступностi вiдповiдно до вимог нормативно-правових актiв;
– оцiнки можливих переваг (фiнансово-економiчних, соцiальних тощо) експлуатацii ІТС у разi створення КСЗІ.
На пiдставi НД ТЗІ 2.5-005-99 «Класифiкацiя АС i стандартнi функцiональнi профiлi захищеностi оброблюваноi iнформацii вiд НСД» за сукупнiстю характеристик ІТС видiлено три iерархiчнi класи, вимоги до функцiонального складу КЗЗ яких iстотно вiдрiзняються.
Клас «1» – одномашинний однокористувачевий комплекс, який обробляе iнформацiю однiеi або кiлькох категорiй конфiденцiйностi. Особливостi такого класу:
– в кожний момент часу з комплексом може працювати тiльки один користувач, хоч у загальному випадку осiб, що мають доступ до комплексу, може бути декiлька, але всi вони повиннi мати однаковi повноваження (права) щодо доступу до iнформацii, яка оброблюеться;
– технiчнi засоби (носii iнформацii i засоби У/В) з точки зору захищеностi вiдносяться до однiеi категорii i всi можуть використовуватись для збереження i У/В всiеi iнформацii.
Приклад – автономна ПЕОМ, доступ до якоi контролюеться з використанням органiзацiйних заходiв.
Клас «2» – локалiзований багатомашинний багатокористувачевий комплекс, який обробляе iнформацiю рiзних категорiй конфiденцiйностi. Істотна вiдмiна вiд попереднього класу – наявнiсть користувачiв з рiзними повноваженнями по доступу i/або технiчних засобiв, якi можуть одночасно здiйснювати обробку iнформацii рiзних категорiй конфiденцiйностi. Приклад – ЛОМ.
Клас «3» – розподiлений багатомашинний багатокористувачевий комплекс, який обробляе iнформацiю рiзних категорiй конфiденцiйностi. Істотна вiдмiна вiд попереднього класу – необхiднiсть передачi iнформацii через незахищене середовище або, в загальному випадку, наявнiсть вузлiв, що реалiзують рiзну полiтику безпеки. Приклад – глобальна мережа.
На пiдставi проведеного аналiзу приймаеться рiшення про необхiднiсть створення КСЗІ, пiсля чого вiдповiдальний за ТЗІ органiзацii-власника (розпорядника) ІТС готуе для керiвника органiзацii 3 накази:
1) про створення Служби захисту iнформацii в ІТС (далi – СЗІ), порядок створення, завдання, функцii, структура та повноваження якоi визначено в НД 1.4-001-2000 «Типове положення про СЗІ в АС»;
2) про призначення комiсii з категорiювання ІТС, завдання та повноваження якоi визначено в НД ТЗІ 1.6-005-2013 «Положення про категорiювання об’ектiв, де циркулюе iнформацiя з обмеженим доступом, що не становить державноi таемницi»;
3) про призначення комiсii з обстеження середовищ функцiонування ІТС, завдання та повноваження якоi визначено в ДСТУ 3396.1—96 «Технiчний захист iнформацii. Порядок проведення робiт».
До складу СЗІ, який визначаеться наказом, повиннi призначатися фахiвцi з таких питань:
– захисту iнформацii вiд витоку технiчними каналами;
– захисту каналiв зв’язку i комутацiйного обладнання,
– налагодження i адмiнiстрування засобiв захисту iнформацii,
– керування базами даних захисту iнформацii;
– налагодження i керування активним мережевим обладнанням;
– захищених технологiй обробки iнформацii.
За функцiональними обов’язками особовий склад СЗІ складаеться з таких спецiалiстiв (за рiвнем iерархii):
– системний адмiнiстратор ІТС;
– мережевий адмiнiстратор ІТС;
– адмiнiстратор безпеки iнформацii в ІТС;
– адмiнiстратор КСЗІ в ІТС.
Пiсля призначення СЗІ ii керiвник складае «Положення про СЗІ в ІТС», що мае бути оформлене у виглядi окремого документа згiдно рекомендацiй НД ТЗІ 1.4-001-2000 та затверджене керiвником органiзацii-власника (розпорядника) ІТС.
Положення повинно складатись з таких роздiлiв:
– загальнi положення;
– завдання СЗІ;
– функцii СЗІ;
– повноваження та вiдповiдальнiсть СЗІ;
– взаемодiя СЗІ з iншими пiдроздiлами органiзацii та зовнiшнiми пiдприемствами, установами, органiзацiями;
– штатний розклад та структура СЗІ;
– органiзацiя та фiнансування робiт СЗІ.
В залежностi вiд конкретних завдань i умов функцiонування СЗІ дозволяеться, у разi необхiдностi, поеднувати окремi роздiли в один, вводити новi роздiли або вилучати роздiли, що не е актуальними.
До Положення у виглядi додаткiв можуть включатися нормативнi документи, таблицi, схеми, графiки, необхiднi для визначення заходiв захисту iнформацii, плани об’ектiв захисту з вказанням робочих мiсць та встановлених на них технiчних засобiв передачi, прийому, зберiгання, обробки iнформацii, що пiдлягае захисту, та iншi документи.
Положення мае бути погоджене з юрисконсультом та керiвниками пiдроздiлiв (служби безпеки, РСО, пiдроздiлу ТЗІ) органiзацii.
Змiни суттевого характеру вносяться до Положення на пiдставi наказу керiвника органiзацii (пiдроздiлу, до якого структурно входить СЗІ).
Категорiювання ІТС
Об’екти, на яких здiйснюватиметься обробка технiчними засобами та/або озвучуватиметься ІзОД, пiдлягають обов’язковому категорiюванню. Об’екти, на яких здiйснюватиметься обробка технiчними засобами та/або озвучуватиметься тiльки вiдкрита iнформацiя, категорiюванню не пiдлягають.
Об’ектами категорiювання е об’екти iнформацiйноi дiяльностi (далi – ОІД), в тому числi об’екти електронно-обчислювальноi технiки (далi – ЕОТ) ІТС. ОІД – це iнженерно-технiчна споруда (примiщення), транспортний засiб, де здiйснюеться озвучення та/або обробка технiчними засобами ІзОД.
Категорiювання ІТС здiйснюеться комiсiею органiзацii-власника (розпорядника) ІТС для визначення необхiдного рiвня захисту iнформацii, що обробляеться на об’ектах ЕОТ ІТС. Категорiювання здiйснюеться за ознакою ступеня обмеження доступу до iнформацii, що обробляеться технiчними засобами та/або озвучуеться на ОІД.
Згiдно ТПКО-95 «Тимчасове положення про категорiювання об'ектiв» установлюються 4 категорii об'ектiв, на яких обробляеться технiчними засобами та/або озвучуеться ІзОД, що:
– становить державну таемницю, для якоi встановлено гриф секретностi «особливоi важливостi» – перша (І);
– становить державну таемницю, для якоi встановлено гриф секретностi «цiлком таемно» – друга (ІІ);
– становить державну таемницю, для якоi встановлено гриф секретностi «таемно», а також iнформацiя, що мiстить вiдомостi, якi становлять iншу передбачену законом таемницю – третя (ІІІ);
– не становить державноi таемницi – четверта (ІV).
Категорiювання ОІД четвертоi категорii здiйснюеться згiдно вимог НД ТЗІ 1.6-005-2013 «Положення про категорiювання об’ектiв, де циркулюе iнформацiя з обмеженим доступом, що не становить державноi таемницi».
Категорiювання може бути первинним, черговим або позачерговим. Первинне категорiювання здiйснюеться у разi створення ІТС, де буде оброблятися ІзОД. Чергове – не рiдше нiж один раз на 5 рокiв. Позачергове – у разi змiни ознаки, за якою була встановлена категорiя ІТС.
Комiсiя з категорiювання визначае ступень обмеження доступу до iнформацii, яка оброблятиметься в ІТС, та з урахуванням цього ступеня встановлюе категорiю ІТС. Встановлена категорiя зазначаеться в Актi категорiювання ІТС, який складаеться комiсiею за результатами ii роботи. Акт категорiювання е чинним протягом 5 рокiв з моменту проведення категорiювання, якщо не змiнилась ознака, за якою була встановлена категорiя об’екта.
В актi зазначаеться:
1. Пiдстава для категорiювання (рiшення про створення КСЗІ, закiнчення термiну дii акта категорiювання, змiна ознаки, за якою була встановлена категорiя, та реквiзити наказу про призначення комiсii з категорiювання.
2. Вид категорiювання: первинне, чергове, позачергове (у разi чергового або позачергового категорiювання вказуеться категорiя, що була встановлена до цього категорiювання, та реквiзити акту, яким було встановлено цю категорiю).
3. В ІТС здiйснюеться обробка ІзОД.
4. Ступiнь обмеження доступу до ІзОД, що обробляеться в ІТС (передбачена законом таемниця; службова iнформацiя; конфiденцiйна iнформацiя, яка перебувае у володiннi розпорядникiв iнформацii, iнша конфiденцiйна iнформацiя, вимога щодо захисту якоi встановлена законом).
5. Встановлена комiсiею категорiя.
ІТС, яким комiсiя встановила вiдповiдну категорiю, вносяться до «Перелiку категорiйованих об’ектiв», який ведеться власником (розпорядником, користувачем) ОІД.
Обстеження середовищ функцiонування ІТС
Метою обстеження е пiдготовка засадничих даних для формування вимог до КСЗІ у виглядi опису кожного середовища функцiонування ІТС та виявлення в ньому елементiв, якi безпосередньо чи опосередковано можуть впливати на безпеку iнформацii, виявлення взаемного впливу елементiв рiзних середовищ, документування результатiв обстеження для використання на наступних етапах робiт.
Пiд час проведення обстеження ІТС необхiдно вивчити такi середовища:
– обчислювальне;
– iнформацiйне;
– користувацьке;
– фiзичне (у разi обробки iнформацii, що становить державну таемницю).
При обстеженнi обчислювального середовища ІТС повиннi бути проаналiзованi й описанi:
– обладнання – ЕОМ та iхнi складовi частини (процесори, монiтори, термiнали, робочi станцii та iн.), периферiйнi пристроi;
– програмне забезпечення – вихiднi, завантажувальнi модулi, утилiти, СКБД, операцiйнi системи та iншi системнi програми, дiагностичнi i тестовi програми тощо;
– види i характеристики каналiв зв'язку;
– особливостi взаемодii окремих компонентiв, iх взаемний вплив один на одного, можливi обмеження щодо використання засобiв тощо.
Мають бути виявленi компоненти обчислювальноi системи, якi мiстять i якi не мiстять засобiв i механiзмiв захисту iнформацii, потенцiйнi можливостi цих засобiв i механiзмiв, iхнi властивостi i характеристики, в тому числi тi, що встановлюються за умовчанням тощо.
