3. Етапи створення комплексу тзі на оід
Створення комплексу ТЗІ на ОІД включає такі основні етапи:
1 – передпроектні роботи;
2 – розроблення та впровадження заходів з ТЗІ;
3 – випробування комплексів захисту.
3.1. На етапі виконання передпроектних робіт (1 етап):
організовують проведення обстеження ОІД;
організовують оформлення моделі загроз для ІзОД;
розробляють завдання на виконання робіт зі створення комплексу;
готують звіт про виконання передпроектних робіт;
розробляють технічні вимоги із захисту ІзОД чи ТЗ на виконання робіт зі створення комплексу.
У ході обстеження необхідно:
- провести аналіз умов функціонування ОІД, його розташування на підприємстві, в організації, дослідити інформаційні потоки і технологічні процеси обробки інформації, об'єкти захисту;
- дослідити засоби забезпечення інформаційної діяльності, комунікації яких мають вихід за межі контрольованої зони (КЗ);
- провести аналіз схем засобів і систем життєзабезпечення ОІД (електроживлення, заземлення, пожежна й охоронна сигналізація і т.д.), а також інженерних комунікацій і металоконструкцій;
- визначити наявність і технічний стан засобів забезпечення ТЗІ;
- виявити наявність транзитних, незадіяних комунікацій, заставних пристроїв в архітектурно-будівельних конструкціях, що можуть створювати технічні канали витоку інформації;
- визначити технічні засоби і системи, застосування яких не обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтажу;
- провести аналіз зведень, приведених в організаційних, проектних, інших документах, розроблених у частині ТЗІ для існуючих об'єктів.
Звіт про виконання передпроектних робіт може містити:
а) результати обстеження ОІД, оформлення моделі загроз, розробки завдань (технічних вимог);
б) час і умови проведення категорування на ОІД, а саме встановлення категорій для кожного приміщення, де озвучується мовна ІзОД, кожного об'єкта обробки ІзОД технічними засобами і для інших об'єктів (порядок проведення категорування встановлюється діючими НД з питань ТЗІ);
в) обґрунтування необхідності:
- застосування інженерно-технічних заходів захисту (у т.ч. застосування засобів обробка ІзОД у захищеному виконанні);
- залучення до виконання робіт суб'єктів господарської діяльності в галузі ТЗІ, проектно-дослідних, будівельно-монтажних організацій;
- розробка проектно-кошторисної документації в частині ТЗІ;
г) пропозиції про порядок подальшого виконання робіт зі створення комплексу, їхній склад, обсяг, виконавців і т.п.
Під час підготовки звіту та прийняття рішень повинні бути враховані фінансові можливості замовника, особливості, обсяг і характер інформаційної (виробничої) діяльності, результати аналізу можливості здійснення загроз, співвідношення витрат на захист і наслідків здійснення загроз і т.п.
Для комплексу ТЗІ, що буде створюватися під час нового будівництва, реконструкції інженерно-технічної споруди, повинно бути розроблено:
- технічне завдання (ТЗ) на виконання робіт зі створення комплексу на ОІД, а також, у разі потреби, завдання на проектування заходів захисту відповідно до вимог ДБН А.2.2-2;
- проектно-кошторисну документацію в частині ТЗІ відповідно до вимог ДБН.
Для особливо важливих ОІД ТЗ і результати атестації комплексу узгоджуються з Департаментом спеціальних телекомунікаційних систем і захисту інформації СБ України.
3.2. На етапі розробки і впровадження заходів щодо ТЗІ (2 етап):
Розробляється “План заходів щодо захисту ІзОД на ОІД”.
У "Плані заходів..." повинно бути зазначено:
- роботи зі створення комплексу, перелік, зміст, терміни виконання, відповідальні, головні виконавці цих робіт;
- перелік технічної документації, яку необхідно розробити (у т.ч. програма і методики іспитів, технічний паспорт на комплекс;
- терміни придбання (закупівлі) технічних засобів забезпечення ТЗІ, іншого устаткування.
Відповідно до затвердженого "Планом заходів..." чи з проектними рішеннями замовник організовує:
- придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого устаткування;
- впровадження на ОІД заходів з ТЗІ;
- здійснення (у разі потреби) відповідних будівельних і монтажних робіт та післяопераційного технічного контролю їх виконання.
3.3. На етапі випробування комплексів ТЗІ (3 етап):
Комісія, що створює замовник здійснює приймання комплексу, а виконавець відповідно до затвердженої програми і методик іспитів проводить атестацію комплексу. При цьому аналізують і враховують вимоги акта категорування.
Приймання комплексу може бути об’єднане з його атестацією. Атестацію комплексу здійснюють тільки ті виконавці робіт, що мають відповідну ліцензію чи дозвіл на проведення робіт з ТЗІ. Протоколи й акт атестації комплексу також враховуються при проведенні державної експертизи КСЗІ в АС.
Після завершення атестації комплексу оформляється технічний паспорт на комплекс ТЗІ і готується наказ (розпорядження) керівника установи щодо готовності ОІД до озвучення та (або) оброблення ІзОД технічними засобами (крім оброблення ІзОД в АС: дозвіл на обробку ІзОД в АС готується за результатами проведення державної експертизи КСЗІ в АС).
- Система технічного захисту інформації в україні: стан та напрямки розвитку
- Порядок створення комплексів технічного захисту інформації на об'єктах інформаційної діяльності
- 1. Підготовчі роботи
- 2. Основні положення
- 3. Етапи створення комплексу тзі на оід
- Порядок проведення передпроектних досліджень на об’єкті інформаційної діяльності
- 1. Нормативно-методичне забезпечення проведення обстеження на об’єкті інформаційної діяльності
- 2. Зміст та порядок обстеження на об’єкті інформаційної діяльності
- 3. Напрямки оптимізації робіт з обстеження на об’єкті інформаційної діяльності
- 4. Орієнтовний зміст акта обстеження
- Рекомендації щодо розроблення технічного завдання на виконання робіт із створення комплексу захисту на об’єкті інформаційної діяльності
- 1. Зміст технічного завдання
- 2. Пропозиції щодо формування змісту розділів і підрозділів тз
- 2.2. Вихідні дані для виконання робіт
- 2.3. Технічні вимоги до комплексу захисту
- 2.4. Вимоги до документації
- 2.5. Етапи виконання робіт та порядок їх приймання.
- Щодо закону україни “про внесення змін до закону україни "про захист інформації в автоматизованих системах"
- Порядок створення комплексних систем захисту інформації в інформаційно-телекомунікаційних системах, особливості формування вимог захисту інформації
- 1. Основні етапи створення комплексних систем захисту інформації (ксзі) в інформаційно-телекомунікаційних системах (ітс)*:
- 2. Особливості формування вимог захисту інформації
- Проблемы технической защиты информации в корпоративных сетях
- Порядок формування вимог щодо захисту інформації в тендерній документації у разі здійснення закупівель засобів еот, програмних продуктів та послуг з технічного захисту інформації
- Государственная экспертиза комплексных систем защиты информации в информационно- телекоммуникационных системах
- 1. Общий порядок проведения государственной экспертизы комплексных систем защиты информации в ас
- 2. Ведомственный порядок создания ксзи в ас класса 1 и проведения государственной экспертизы
- 3. Упрощенный порядок проведения государственной экспертизы ксзи ас класса 1