Порядок создания комплексов ТЗИ на ОИД

Согласно Положению о технической защите информации в Украине комплекс защиты информации – это совокупность мероприятий, мер и средств, предназначенных для реализации требований по ее защите в части обеспечения таких ее свойств, как конфиденциальность, целостность, доступность:

- в информационных (телекомуникационных, информационно-телекомуникационных, автоматизированных) системах (далее – АС);

- на объектах информационной деятельности (ОИД).

Технико-экономически обоснованные комплексы защиты информации строятся адекватно угрозам ее безопасности, которые описываются в соответствующих моделях.

Установлено, что для АС создаются согласно введенным в действие НД ТЗИ комплексные системы защиты информации (КСЗИ), а на конкретных ОИД - комплексы технической защиты информации (ТЗИ) - комплексы защиты информации от утечки по техническим каналам (далее - комплексы ТЗИ).

Создание или построение комплексов ТЗИ это:

1. Процессы, связанные с изучением, исследованием, конструктивными изменениями и т.п. объекта, его элементов, окружения, которые могут быть возможной средой распространения (одной из составляющих технических каналов утечки информации) носителей информации с ограниченным доступом (ИсОД) или информативных сигналов (ИС).

Сбор необходимых исходных данных и оформление (согласование и утверждение) необходимых документов:

- протоколов измерений, предписаний для технических средств, предназначенных для обрабатки ИсОД, - основных технических средств (ОТС);

- актов категорирования и обследований;

- перечня угроз для ИсОД (модель угроз);

- технических заданий на проектирование, разработку, внедрение мер по ТЗИ и т.п.

2. Принятие решений по ТЗИ, их реализация и оформление (согласование или утверждение) необходимой документации, а именно:

- технико-экономических обоснований (ТЭО), проектно-сметной, рабочей, конструкторской, другой документации;

- программы и методики приемных и аттестационных испытаний;

- протоколов испытаний;

- актов приемки и аттестации (акты передаются для проведения экспертизы КСЗИ в АС).

3. Оформление документации для ввода в эксплуатацию ОИД с учетом требований по ТЗИ:

- паспортов на комплекс ТЗИ и на каждое помещение ОИД (если их много);

- приказов, распоряжений (на основании положительных результатов аттестации), разрешающие обрабатывать, озвучивать или работать с другой производственной ИсОД (для АС готовятся отдельные разрешительные документы).

Создание комплексов ТЗИ на ОИД возможно, если на предприятии назначены:

- ответственные исполнители (организаторы) в части ТЗИ;

- комиссия по обследованию объектов предприятия (при необходимости);

- комиссия по категорированию.

Согласно результатам обследования разрабатывается Модель угроз для ИсОД, утверждается административная контролируемая зона (КЗ), установливается примерный перечень и состав ОИД (выделенные помещения, помещения с об"ектами ОТС и т.п.).

Рассмотрим порядок создания комплексов ТЗИ на ОИД.

Анализируя основы и правила создания технической продукции (в т.ч. средств обеспечения ТЗИ), а также порядок проектирования объектов капитального строительства, можно установить общность этапов создания этой продукции и проектирования объектов строительства. Эти же этапы предполагаются и распространяются на процессы создания комплексов ТЗИ. Таких основных этапов три:

- предпроектные исследование на конкретном ОИД (1 этап);

- проектирование, разработка технических мер защиты информации и их реализация (2 этап);

- приемка и аттестация реализованных мер защиты информации (3 этап).

На первом этапе проводиться:

1. Изучение объектов защиты – информации, которая подлежит технической защите (на ОИД может иметь место информация, которая обрабатывается на ОТС, речевая или другая производственная ИсОД).

2. Сбор и изучение сведений об ОИД, где будет создаваться комплекс ТЗИ, о его составе (выделенные помещения, другие производственные помещения, где может иметь место информация, которая обрабатывается на ОТС, речевая или другая производственная ИсОД).

3. Категорирование и обследование ОИД с целью создания на нем комплекса ТЗИ (на действующем ОИД - проведение соответствующих исследований, испытаний) и оформление протоколов, актов по результатам этого обследования.

В ходе обследования необходимо:

провести анализ условий функционирования ОИД, его расположение на предприятии, в организации, исследовать информационные потоки и технологические процессы обработки информации, объекты защиты;

сформировать и утвердить перечень помещений ОИД: выделенных помещений (ВП), помещений (в т.ч. ВП), где будут установлены ОТЗ, в т.ч. те ОТЗ, которые входят в состав информационных, телекоммуникационных, информационно - телекоммуникационных (автоматизированных) систем (АСС);

определить и утвердить установленным порядком границу территории, просторную вокруг объекта(далее - контролируемая зона, КЗ), в т.ч. территорию, здание, часть здания, транспортное средство, в пределах которого невозможно неконтролируемое пребывание посторонних лиц и исключена возможность применения технических средств разведки;

исследовать средства обеспечения информационной деятельности, коммуникации которых имеют выход за границы КЗ;

провести анализ схем средств и систем жизнеобеспечения ОИД (электропитание, заземление, автоматизации, пожарной и охранительной сигнализации), а также инженерных коммуникаций и металлоконструкций;

определить наличие и техническое состояние средств обеспечение ТЗИ;

выявить наличие транзитных, незадействованных коммуникаций, закладных устройств в архитектурно-строительных конструкциях, которые могут создавать технические каналы утечки информации;

определить технические средства и системы, применение которых не обосновано служебной или производственной необходимостью и которые подлежат демонтажу;

провести анализ сведений, приведенных в организационных, проектных, других документах, разработанных на объекте в части ТЗИ.

3. В соответствии с требованиями действующих НД по вопросам ТЗИ проведение инструментального исследования ОТЗ (определение зоны 2 и т.п.). Оформление соответствующих протоколов исследований.

5. Формирование модели угроз безопасности информации на ОИД, согласование и утверждение ее установленным порядком.

6. В пределах КЗ установить требуемые границы начала зон безопасности (ДСТУ 3396.2-97) для защиты информации от утечки по техническим каналам.

7. Обоснование заказчиком необходимости:

применения технических мер по защите ИсОД;

разработки технических заданий (ТЗ) на создание комплекса ТЗИ и разработки заданий на проектирование мероприятий по ТЗИ в соответствии с требованиями ДБН А.2.2-2-96, ДБН А.2.2-3-97.

Также обосновываются исполнители работ.

Примечание. Работы на разных этапах создания комплекса ТЗИ могут выполняться:

собственными силами в соответствии с ДСТУ 3396.0-96 (государственные органы должны руководствоваться Положением о разрешительном порядке проведения работ по технической защите информации для собственных потребностей, утвержденного приказом ДСТСЗИ СБ Украины от 23.02.02 г. № 9 и зарегистрированного в Министерстве юстиции Украины за № 245/6533 от 13.03.02 г.);

субъектами хозяйственной деятельности, которые имеют соответствующие лицензии на проведение деятельности в области ТЗИ, на договорных началах - в соответствии с Лицензионными условиями проведения хозяйственной деятельности, связанной с разработкой, производством, внедрением, обслуживанием, исследованием эффективности систем и средств технической защиты информации, предоставлением услуг в области технической защиты информации, утвержденных приказом Государственного комитета Украины по вопросам регуляторной политики и предпринимательства и ДСТСЗИ от 29.12.2000 г. № 89/67 и зарегистрированного в Министерстве юстиции Украины 20.01.01 г. за № 50/5241;

силами проектных организаций, которые также имеют соответствующие архитектурно-строительные лицензии, при разработке проектно-сметной документации в части ТЗИ.

8. Разработка в случае необходимости и установленным порядком согласование и утверждение ТЗ на создание комплекса ТЗИ.

9. Оформление отчетных документов по результатам, полученным на 1 этапе.

Не нашли, что искали? Воспользуйтесь поиском по сайту: