07. 5-й етап: підготовка та введення КСЗІ в дію

Введення КСЗІ в дію здійснюється на підставі та у відповідності до затвердженого «Техно-робочого проекту КСЗІ в ІТС» згідно вимог розділу 6.5 «Введення КСЗІ в дію та оцінка захищеності інформації в ІТС» НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС».

Цей етап складається з трьох періодів:
- підготовчий;
- монтажно-пусковий;
- випробувальний.

1. Підготовчий період складається з таких заходів:
- підготовка КСЗІ до введення в дію;
- навчання користувачів;
- комплектування КСЗІ.

2. Монтажно-пусковий період складається з таких робіт:
- будівельно-монтажні;
- пуско-налагоджувальні.

3. Випробувальний період складається з таких заходів:
- попередні випробування КСЗІ;
- дослідна експлуатація КСЗІ;
- державна експертиза КСЗІ.

1. Підготовчий період

1.1. Підготовка КСЗІ до введення в дію

Проводяться роботи з підготовки організаційної структури та розробки розпорядчих документів, що регламентують діяльність із забезпечення захисту інформації в ІТС. Здійснюється створення СЗІ (призначаються відповідальні особи за захист інформації), якщо цього не було зроблено на попередніх етапах.

В основному має бути завершена розробка і затверджені документи з питань захисту ІзОД в ІТС (за виключенням тих, для розробки яких необхідні результати наступних етапів робіт), а саме:
- інструкція щодо забезпечення правил обробки ІзОД в ІТС;
- посадові (функціональні) інструкції користувачів;
- технологічні інструкції щодо виконання завдань з адміністрування та обслуговування КСЗІ;
- інструкції про порядок використання засобів криптографічного захисту інформації.

Основною є Інструкція щодо забезпечення правил обробки ІзОД в ІТС, яка розробляється у випадку, якщо в ІТС передбачається обробка ІзОД. В ній має бути окреслений перелік заходів, спрямованих на дотримання визначеного вимогами чинної нормативно-правової бази режиму доступу до ІзОД, визначено порядок дій персоналу та користувачів ІТС з метою реалізації зазначених заходів, а також встановлено їх відповідальність у випадку порушення зазначених вимог.

Зокрема, в інструкції рекомендується у вигляді окремих розділів викласти:
- загальні відомості щодо організації захисту ІзОД в ІТС;
- опис порядку доступу до приміщень, в яких розташовані засоби ІТС;
- опис порядку захисту інформації від витоку технічними каналами;
- опис порядку захисту інформації від НСД;
- опис порядку здійснення антивірусного захисту;
- опис порядку впровадження і використання програмного забезпечення;
- опис порядку створення захищених інформаційних ресурсів, реєстрації користувачів та надання прав доступу до інформації користувачам ІТС;
- опис порядку контролю за дотриманням користувачами правил роботи із засобами ІТС;
-опис порядку обліку, зберігання, обігу, резервування, ротації та знищення матеріальних носіїв, що використовуються для зберігання ІзОД;
- опис порядку проведення ремонтних робіт та відновлення працездатності ІТС;
- опис порядку контролю за забезпеченням захисту ІзОД в ІТС;
- обов'язки користувачів та персоналу ІТС стосовно дотримання встановленого порядку оброблення ІзОД;
- відповідальність користувачів та персоналу ІТС за порушення встановленого порядку оброблення ІзОД.

В інструкції повинні бути враховані вимоги «Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію» щодо організації та порядку оброблення відповідної інформації в ІТС. Зокрема, мають бути враховані вимоги щодо використання журналів обліку та реєстрації сховищ та матеріальних носіїв ІзОД, а також визначено порядок та особливості використання відповідних журналів.

В інструкції мають бути враховані положення посадових (функціональних) інструкцій співробітників СЗІ, персоналу та користувачів ІТС, а також технологічних (операційних) інструкцій (настанов) щодо виконання завдань з адміністрування та обслуговування КСЗІ.

Інструкція має бути погоджена з режимно-секретним органом установи, яка є власником (розпорядником) ІТС, погоджені з виконавцем робіт зі створення КСЗІ та затверджені керівником установи.

Посадові (функціональні) інструкції співробітників СЗІ, персоналу та користувачів ІТС мають визначати їх обов'язки, відповідальність та порядок дій у процесі виконання ними завдань щодо керування засобами КСЗІ і ІТС, а також обробки в ІТС інформаційних ресурсів, що потребують захисту.

Перелік та зміст цих інструкцій повинні визначатися з урахуванням:
- структури та штатного розкладу СЗІ, визначених у Положенні про СЗІ;
- завдань, функцій та повноважень співробітників СЗІ, наведених у Положенні про СЗІ;
- категорій персоналу та користувачів ІТС, визначених політикою безпеки інформації щодо розподілу обов’язків користувачів та їх функціональних завдань;

- порядку дій співробітників СЗІ, персоналу та користувачів ІТС, який випливає з положень політики безпеки інформації, документації техноробочого проекту КСЗІ та експлуатаційної документації компонентів (складових частин) КЗЗ щодо забезпечення визначеного порядку функціонування ІТС та КСЗІ.

Як правило, у склад СЗІ входять всі визначені політикою безпеки адміністратори ІТС, тому для кожного з них складається своя настанова або інструкція, а саме:
- інструкція адміністратора безпеки;
- інструкція адміністратора системи;
- інструкція адміністратора мережі.

В посадових інструкціях необхідно у вигляді окремих розділів викласти:
- загальні положення, в яких визначено категорії персоналу, на яких поширюються їх вимоги;
- завдання та функції персоналу;
- обов'язки персоналу та порядок їх виконання;
- повноваження та відповідальність персоналу.

У посадових (функціональних) інструкціях персоналу ІТС повинні бути враховані положення технологічних інструкцій (настанов) з адміністрування та обслуговування КСЗІ. Посадові (функціональні) інструкції співробітників СЗІ, персоналу та користувачів ІТС мають бути погоджені з виконавцем робіт зі створення КСЗІ та затверджені керівником установи-власника (розпорядника) ІТС.

Технологічні інструкції щодо виконання завдань з адміністрування та обслуговування КСЗІ повинні детально визначати послідовність дій співробітників СЗІ та персоналу ІТС у процесі виконання відповідних завдань. У технологічних інструкціях необхідно у вигляді окремих розділів викласти:

- загальні положення, в яких визначено завдання з адміністрування та обслуговування КСЗІ, порядок виконання яких встановлюється інструкцією, категорії співробітників СЗІ або персоналу ІТС, на яких поширюються вимоги відповідних інструкцій (настанов) та які є відповідальними за виконання відповідних завдань;

- послідовність і порядок здійснення технологічних операцій в ході виконання відповідальними особами певних завдань з адміністрування та обслуговування КСЗІ;

- порядок реєстрації фактів та результатів виконання певних завдань у відповідних реєстраційних журналах.

У технологічних інструкціях повинні бути враховані положення посадових (функціональних) інструкцій персоналу ІТС, а також визначені форми реєстраційних журналів, які планується використовувати (у додатках до інструкцій). Інструкції мають бути погоджені виконавцем робіт зі створення КСЗІ та затверджені керівником установи-власника (розпорядника) ІТС.

Як приклади зазначених інструкцій можна розглядати такі:
- Інструкція про порядок введення в експлуатацію КСЗІ;
- Інструкція про організацію контролю за функціонуванням КСЗІ;
- Інструкція про порядок резервування та відновлення інформації в ІТС;
- Інструкція про порядок оперативного відновлення функціонування ІТС;
- Інструкція про порядок проведення ремонтних робіт;
- Інструкція про порядок розроблення, впровадження та модернізації програмного забезпечення ІТС;
- Інструкція про порядок модернізації КСЗІ;
- Інструкція про порядок реєстрації користувачів ІТС;
- Інструкція про порядок створення захищених інформаційних ресурсів в ІТС;
- Інструкція про порядок надання доступу до захищених інформаційних ресурсів в ІТС;
- Інструкція про порядок забезпечення антивірусного захисту в ІТС.

Інструкції про порядок використання засобів криптографічного захисту інформації (далі - КЗІ) (за їх наявності у складі КСЗІ) повинні визначати порядок забезпечення безпеки, порядок керування ключовими даними використовуваних засобів КЗІ і порядок їх користування.

Перелік та зміст відповідних інструкцій визначаються вимогами чинної нормативно-правової бази у сфері КЗІ, зокрема «Положенням про порядок розроблення, виробництва та експлуатації засобів КЗІ», затвердженим наказом Адміністрації Держспецзв'язку від 20.07.2007 № 141 і зареєстрованим в Міністерстві юстиції України 30.07.2007 за № 862/14129.

Так, згідно вимог Положення розробник засобу КЗІ складає та погоджує з Держспецзв'язку такі інструкції:
- Інструкція із забезпечення безпеки експлуатації засобів КЗІ;
- Інструкція щодо порядку генерації ключових даних та поводження з ключовими документами.

1.2. Навчання користувачів

Проводиться навчання користувачів ІТС всіх категорій (технічного обслуговуючого персоналу, звичайних користувачів та користувачів, які мають повноваження щодо управління засобами КСЗІ тощо) в частині, що їх стосується, основним положенням документів Плану захисту, які необхідні їм для дотримання вимог політики безпеки інформації, правил експлуатації засобів захисту інформації тощо.

Після завершення навчання здійснюється перевірка знань користувачів ІТС всіх категорій та їх уміння користуватись впровадженими технологіями захисту інформації. За результатами цієї перевірки складається акт довільної форми.

1.3. Комплектування КСЗІ

Забезпечується придбання та отримання продукції (засобів захисту інформації, матеріалів, обладнання тощо) від постачальників та співвиконавців робіт згідно відомостей техно-робочого проекту створення КСЗІ.

Приймається рішення щодо підготовки до проведення оцінки на відповідність вимогам НД ТЗІ засобів захисту, які на момент проектування КСЗІ не мали відповідного сертифікату або експертного висновку, а також порядку проведення такої оцінки під час державної експертизи КСЗІ...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика