Читать книгу Комплексні системи захисту інформації. Проектування, впровадження, супровід - Вадим Гребенніков - Страница 5
2. Нормативні документи ТЗІ та етапи створення КСЗІ в ІТС
Основний керівний документ – це НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС»
ОглавлениеВін визначає порядок прийняття рішень щодо складу КСЗІ в залежності від умов функціонування ІТС і видів оброблюваної інформації, визначення обсягу і змісту робіт, етапності робіт, основних завдань та порядку виконання робіт кожного етапу.
Побудований у вигляді керівництва, яке містить перелік робіт і посилання на діючі нормативні документи, у відповідності до яких ці роботи необхідно виконувати. Якщо якийсь з етапів чи видів робіт не нормовано, наводиться короткий зміст робіт та якими результатами вони повинні закінчуватись.
Дія цього НД ТЗІ поширюється тільки на ІТС, в яких здійснюється обробка інформації автоматизованим способом. Відповідно, для таких ІТС чинні всі нормативно-правові акти та нормативні документи щодо створення ІТС та щодо захисту інформації в АС. НД ТЗІ не встановлює нових норм, а систематизує в одному документі вимоги, норми і правила, які безпосередньо або непрямим чином витікають з положень діючих нормативних документів.
НД ТЗІ призначений для суб’єктів інформаційних відносин (власників або розпорядників ІТС, користувачів), діяльність яких пов’язана з обробкою інформації, що підлягає захисту, розробників КСЗІ в ІТС, для постачальників компонентів ІТС, а також для фізичних та юридичних осіб, які здійснюють оцінку захищеності оброблюваної інформації на відповідність вимогам ТЗІ.
Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка належить до державних інформаційних ресурсів, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством. Якщо в ІТС обробляються інші види інформації, то вимоги цього нормативного документа суб’єкти системи ТЗІ можуть використовувати як рекомендації.
Порядок створення КСЗІ в ІТС є єдиним незалежно від того, створюється КСЗІ в ІТС, яка проектується, чи в діючій ІТС, якщо виникла необхідність забезпечення захисту інформації або модернізації вже створеної КСЗІ.
Процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів, спрямованих на розроблення і впровадження інформаційної технології, яка забезпечує обробку інформації в ІТС згідно з вимогами, встановленими нормативно-правовими актами та НД у сфері захисту інформації.
Порядок створення КСЗІ в ІТС розглядається цим НД як сукупність впорядкованих у часі, взаємопов’язаних, об’єднаних в окремі етапи робіт, виконання яких необхідне й достатньє для КСЗІ, що створюється.
Створення КСЗІ повинно виконуватись у комплексі із заходами, щодо забезпечення режиму секретності, протидії технічним розвідкам, а також з режимними заходами щодо охорони інформації з обмеженим доступом, яка не є державною таємницею.
До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:
– витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;
– несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм, використання комп’ютерних вірусів тощо;
– спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.
Для кожної конкретної ІТС склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом та умовами експлуатації ІТС.
Створення комплексів технічного захисту інформації від витоку технічними каналами здійснюється, якщо в ІТС обробляється інформація, що становить державну таємницю, або коли необхідність цього визначено власником інформації.
Створення комплексу засобів захисту від несанкціонованого доступу (далі – КЗЗ) здійснюється в усіх ІТС, де обробляється інформація, яка належить до державних інформаційних ресурсів, належить до державної чи іншої таємниці або до окремих видів інформації, необхідність захисту якої визначено законодавством, а також в ІТС, де така необхідність визначена власником інформації.
Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на інформацію приймається власником інформації в кожному випадку окремо.
Роботи зі створення КСЗІ виконуються організацією-власником (розпорядником) ІТС з дотриманням вимог нормативно-правових актів щодо провадження діяльності у сфері захисту інформації.
Після прийняття рішення про необхідність створення КСЗІ в ІТС для організації цих робіт створюється Служба захисту інформації (далі – СЗІ) в ІТС.
Цей НД ТЗІ визначає такі етапи створення КСЗІ та її документів:
1. Формування вимог до КСЗІ в ІТС
1.1. Обґрунтування необхідності створення КСЗІ і призначення СЗІ:
– наказ про порядок проведення робіт зі створення КСЗІ
– наказ про створення СЗІ
– положення про СЗІ
– перелік інформації, що підлягає обробленню в ІТС та потребує захисту
1.2. Категоріювання ІТС:
– наказ про призначення комісії з категоріювання
– акт категоріювання
1.3. Обстеження середовищ функціонування ІТС:
– наказ про призначення комісії з обстеження
– акт обстеження
– формуляр ІТС
1.4. Опис моделі порушника політики безпеки інформації: модель порушника
1.5. Опис моделі загроз для інформації: модель загроз
1.6. Формування завдання на створення КСЗІ: звіт за результатами проведення аналізу ризиків та формування завдань на створення КСЗІ
2. Розробка політики безпеки інформації в ІТС
2.1. Вибір варіанту КСЗІ
2.2. Складання політики безпеки
2.3. Складання плану захисту
2.4. Складання календарного плану робіт із захисту інформації
3. Розробка Технічного завдання на створення КСЗІ:
– складання технічного завдання та погодження його з органами Держспецзв’язку
4. Проектування КСЗІ:
– складання документів ескізного проекту КСЗІ
– складання документів технічного проекту КСЗІ
– складання документів робочого проекту КСЗІ
5. Введення КСЗІ в дію та оцінка захищеності інформації в ІТС
5.1. Підготовка КСЗІ до введення в дію:
– інструкція про порядок введення в експлуатацію КСЗІ
5.2. Навчання користувачів:
– інструкція адміністратора безпеки в ІТС
– інструкція системного адміністратора ІТС
– інструкція користувача ІТС
– правила управління паролями в ІТС
– правила видачі, вилучення та обміну персональних ідентифікаторів, інших атрибутів розмежування доступу в ІТС
5.3. Комплектування КСЗІ
5.4. Будівельно-монтажні роботи:
– наказ про призначення комісії з приймання робіт
– акт приймання робіт
5.5. Пуско-налагоджувальні роботи:
– акт інсталяції та налагоджування АВПЗ і КЗЗ від НСД
– акт оцінки відповідності проведених робіт вимогам експлуатаційних документів
5.6. Попередні випробування КСЗІ:
– наказ про створення комісії з проведення випробувань
– програма та методика попередніх випробувань
– протокол про проведення попередніх випробувань
– акт про приймання КСЗІ у дослідну експлуатацію
5.7. Дослідна експлуатація КСЗІ:
– наказ про введення ІТС в дослідну експлуатацію
– акт про завершення дослідної експлуатації
– акт про завершення робіт зі створення КСЗІ
5.8. Державна експертиза КСЗІ:
– заявка на проведення державної експертиза КСЗІ
– експертний висновок щодо відповідності КСЗІ вимогам НД ТЗІ
– атестат відповідності КСЗІ вимогам НД ТЗІ
– наказ про дозвіл на обробку в ІТС інформації, яка підлягає захисту
6. Супровід КСЗІ:
– наказ про порядок забезпечення захисту інформації в ІТС
– інструкція щодо забезпечення правил обробки ІзОД в ІТС
– інструкція з антивірусного захисту інформації в ІТС
– інструкція про порядок використання засобів КЗІ в ІТС
– інструкція про порядок обліку та використання машинних носіїв інформації
– інструкція з правил управління паролями в ІТС
– інструкція про порядок створення і зберігання резервних копій інформаційних ресурсів ІТС
– інструкція про порядок проведення контролю режиму обробки та захисту інформації в ІТС
– інструкція про порядок супроводу та модернізації КСЗІ в ІТС
– інструкція про порядок відновлювальних та ремонтних робіт ІТС
– інші іструкції.