07. 5-й етап: підготовка та введення КСЗІ в дію

Введення КСЗІ в дію здійснюється на підставі та у відповідності до затвердженого «Техно-робочого проекту КСЗІ в ІТС» згідно вимог розділу 6.5 «Введення КСЗІ в дію та оцінка захищеності інформації в ІТС» НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС».

Цей етап складається з трьох періодів:
- підготовчий;
- монтажно-пусковий;
- випробувальний.

1. Підготовчий період складається з таких заходів:
- підготовка КСЗІ до введення в дію;
- навчання користувачів;
- комплектування КСЗІ.

2. Монтажно-пусковий період складається з таких робіт:
- будівельно-монтажні;
- пуско-налагоджувальні.

3. Випробувальний період складається з таких заходів:
- попередні випробування КСЗІ;
- дослідна експлуатація КСЗІ;
- державна експертиза КСЗІ.

1. Підготовчий період

1.1. Підготовка КСЗІ до введення в дію

Проводяться роботи з підготовки організаційної структури та розробки розпорядчих документів, що регламентують діяльність із забезпечення захисту інформації в ІТС. Здійснюється створення СЗІ (призначаються відповідальні особи за захист інформації), якщо цього не було зроблено на попередніх етапах.

В основному має бути завершена розробка і затверджені документи з питань захисту ІзОД в ІТС (за виключенням тих, для розробки яких необхідні результати наступних етапів робіт), а саме:
- інструкція щодо забезпечення правил обробки ІзОД в ІТС;
- посадові (функціональні) інструкції користувачів;
- технологічні інструкції щодо виконання завдань з адміністрування та обслуговування КСЗІ;
- інструкції про порядок використання засобів криптографічного захисту інформації.

Основною є Інструкція щодо забезпечення правил обробки ІзОД в ІТС, яка розробляється у випадку, якщо в ІТС передбачається обробка ІзОД. В ній має бути окреслений перелік заходів, спрямованих на дотримання визначеного вимогами чинної нормативно-правової бази режиму доступу до ІзОД, визначено порядок дій персоналу та користувачів ІТС з метою реалізації зазначених заходів, а також встановлено їх відповідальність у випадку порушення зазначених вимог.

Зокрема, в інструкції рекомендується у вигляді окремих розділів викласти:
- загальні відомості щодо організації захисту ІзОД в ІТС;
- опис порядку доступу до приміщень, в яких розташовані засоби ІТС;
- опис порядку захисту інформації від витоку технічними каналами;
- опис порядку захисту інформації від НСД;
- опис порядку здійснення антивірусного захисту;
- опис порядку впровадження і використання програмного забезпечення;
- опис порядку створення захищених інформаційних ресурсів, реєстрації користувачів та надання прав доступу до інформації користувачам ІТС;
- опис порядку контролю за дотриманням користувачами правил роботи із засобами ІТС;
-опис порядку обліку, зберігання, обігу, резервування, ротації та знищення матеріальних носіїв, що використовуються для зберігання ІзОД;
- опис порядку проведення ремонтних робіт та відновлення працездатності ІТС;
- опис порядку контролю за забезпеченням захисту ІзОД в ІТС;
- обов'язки користувачів та персоналу ІТС стосовно дотримання встановленого порядку оброблення ІзОД;
- відповідальність користувачів та персоналу ІТС за порушення встановленого порядку оброблення ІзОД.

В інструкції повинні бути враховані вимоги «Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію» щодо організації та порядку оброблення відповідної інформації в ІТС. Зокрема, мають бути враховані вимоги щодо використання журналів обліку та реєстрації сховищ та матеріальних носіїв ІзОД, а також визначено порядок та особливості використання відповідних журналів.

В інструкції мають бути враховані положення посадових (функціональних) інструкцій співробітників СЗІ, персоналу та користувачів ІТС, а також технологічних (операційних) інструкцій (настанов) щодо виконання завдань з адміністрування та обслуговування КСЗІ.

Інструкція має бути погоджена з режимно-секретним органом установи, яка є власником (розпорядником) ІТС, погоджені з виконавцем робіт зі створення КСЗІ та затверджені керівником установи.

Посадові (функціональні) інструкції співробітників СЗІ, персоналу та користувачів ІТС мають визначати їх обов'язки, відповідальність та порядок дій у процесі виконання ними завдань щодо керування засобами КСЗІ і ІТС, а також обробки в ІТС інформаційних ресурсів, що потребують захисту.

Перелік та зміст цих інструкцій повинні визначатися з урахуванням:
- структури та штатного розкладу СЗІ, визначених у Положенні про СЗІ;
- завдань, функцій та повноважень співробітників СЗІ, наведених у Положенні про СЗІ;
- категорій персоналу та користувачів ІТС, визначених політикою безпеки інформації щодо розподілу обов’язків користувачів та їх функціональних завдань;

- порядку дій співробітників СЗІ, персоналу та користувачів ІТС, який випливає з положень політики безпеки інформації, документації техноробочого проекту КСЗІ та експлуатаційної документації компонентів (складових частин) КЗЗ щодо забезпечення визначеного порядку функціонування ІТС та КСЗІ.

Як правило, у склад СЗІ входять всі визначені політикою безпеки адміністратори ІТС, тому для кожного з них складається своя настанова або інструкція, а саме:
- інструкція адміністратора безпеки;
- інструкція адміністратора системи;
- інструкція адміністратора мережі.

В посадових інструкціях необхідно у вигляді окремих розділів викласти:
- загальні положення, в яких визначено категорії персоналу, на яких поширюються їх вимоги;
- завдання та функції персоналу;
- обов'язки персоналу та порядок їх виконання;
- повноваження та відповідальність персоналу.

У посадових (функціональних) інструкціях персоналу ІТС повинні бути враховані положення технологічних інструкцій (настанов) з адміністрування та обслуговування КСЗІ. Посадові (функціональні) інструкції співробітників СЗІ, персоналу та користувачів ІТС мають бути погоджені з виконавцем робіт зі створення КСЗІ та затверджені керівником установи-власника (розпорядника) ІТС.

Технологічні інструкції щодо виконання завдань з адміністрування та обслуговування КСЗІ повинні детально визначати послідовність дій співробітників СЗІ та персоналу ІТС у процесі виконання відповідних завдань. У технологічних інструкціях необхідно у вигляді окремих розділів викласти:

- загальні положення, в яких визначено завдання з адміністрування та обслуговування КСЗІ, порядок виконання яких встановлюється інструкцією, категорії співробітників СЗІ або персоналу ІТС, на яких поширюються вимоги відповідних інструкцій (настанов) та які є відповідальними за виконання відповідних завдань;

- послідовність і порядок здійснення технологічних операцій в ході виконання відповідальними особами певних завдань з адміністрування та обслуговування КСЗІ;

- порядок реєстрації фактів та результатів виконання певних завдань у відповідних реєстраційних журналах.

У технологічних інструкціях повинні бути враховані положення посадових (функціональних) інструкцій персоналу ІТС, а також визначені форми реєстраційних журналів, які планується використовувати (у додатках до інструкцій). Інструкції мають бути погоджені виконавцем робіт зі створення КСЗІ та затверджені керівником установи-власника (розпорядника) ІТС.

Як приклади зазначених інструкцій можна розглядати такі:
- Інструкція про порядок введення в експлуатацію КСЗІ;
- Інструкція про організацію контролю за функціонуванням КСЗІ;
- Інструкція про порядок резервування та відновлення інформації в ІТС;
- Інструкція про порядок оперативного відновлення функціонування ІТС;
- Інструкція про порядок проведення ремонтних робіт;
- Інструкція про порядок розроблення, впровадження та модернізації програмного забезпечення ІТС;
- Інструкція про порядок модернізації КСЗІ;
- Інструкція про порядок реєстрації користувачів ІТС;
- Інструкція про порядок створення захищених інформаційних ресурсів в ІТС;
- Інструкція про порядок надання доступу до захищених інформаційних ресурсів в ІТС;
- Інструкція про порядок забезпечення антивірусного захисту в ІТС.

Інструкції про порядок використання засобів криптографічного захисту інформації (далі - КЗІ) (за їх наявності у складі КСЗІ) повинні визначати порядок забезпечення безпеки, порядок керування ключовими даними використовуваних засобів КЗІ і порядок їх користування.

Перелік та зміст відповідних інструкцій визначаються вимогами чинної нормативно-правової бази у сфері КЗІ, зокрема «Положенням про порядок розроблення, виробництва та експлуатації засобів КЗІ», затвердженим наказом Адміністрації Держспецзв'язку від 20.07.2007 № 141 і зареєстрованим в Міністерстві юстиції України 30.07.2007 за № 862/14129.

Так, згідно вимог Положення розробник засобу КЗІ складає та погоджує з Держспецзв'язку такі інструкції:
- Інструкція із забезпечення безпеки експлуатації засобів КЗІ;
- Інструкція щодо порядку генерації ключових даних та поводження з ключовими документами.

1.2. Навчання користувачів

Проводиться навчання користувачів ІТС всіх категорій (технічного обслуговуючого персоналу, звичайних користувачів та користувачів, які мають повноваження щодо управління засобами КСЗІ тощо) в частині, що їх стосується, основним положенням документів Плану захисту, які необхідні їм для дотримання вимог політики безпеки інформації, правил експлуатації засобів захисту інформації тощо.

Після завершення навчання здійснюється перевірка знань користувачів ІТС всіх категорій та їх уміння користуватись впровадженими технологіями захисту інформації. За результатами цієї перевірки складається акт довільної форми.

1.3. Комплектування КСЗІ

Забезпечується придбання та отримання продукції (засобів захисту інформації, матеріалів, обладнання тощо) від постачальників та співвиконавців робіт згідно відомостей техно-робочого проекту створення КСЗІ.

Приймається рішення щодо підготовки до проведення оцінки на відповідність вимогам НД ТЗІ засобів захисту, які на момент проектування КСЗІ не мали відповідного сертифікату або експертного висновку, а також порядку проведення такої оцінки під час державної експертизи КСЗІ.

2. Монтажно-пусковий період

2.1. Будівельно-монтажні роботи

Як правило, будівельно-монтажні роботи виконуються для забезпечення інженерно-технічного захисту інформації, що становить державну таємницю та обробляється технічними засобами ІТС, від витоку технічними каналами за рахунок побічних електpомагнітних випpомінювань і наведень (далі - ПЕМВН).

 ПЕМВН - це електpомагнітні випpомінювання, що утвоpюються під час pоботи засобів забезпечення інфоpмаційної діяльності під впливом електpичних і магнітних полів на випадкові антени у пpоцесі акусто-електpичних пеpетвоpень, під час виникнення паpазитної високочастотної генеpації та паpазитної модуляції, шляхом взаємного впливу кіл технічних засобів ІТС і кіл електpоживлення, електpоосвітлення, заземлення, сигналізації тощо.

Роботи цього етапу виконуються під час переобладнання існуючих або при будівництві нових спеціалізованих споруд (приміщень), призначених для розміщення технічних засобів ІТС та персоналу, сховищ машинних носіїв інформації.

Виконання заходів захисту від ПЕМВН здійснюється згідно вимог таких НД ТЗІ:

- ТР ЕОТ - 95 Тимчасові рекомендації з ТЗІ у засобах обчислювальної техніки, АС і мережах від витоку каналами ПЕМВН;

- НД ТЗІ 2.4-007-08 Захист інформації на об'єктах інформаційної діяльності. Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку за рахунок ПЕМВН. Рекомендації з використання мережевих фільтрів;

- НД ТЗІ 2.7-007-08 Захист інформації на об'єктах інформаційної діяльності. Методичні вказівки щодо зашумлення ліній електроживлення технічних засобів.

Зокрема, передбачається виконання таких заходів в приміщеннях, де встановлені технічні засоби ІТС:
- незадіяні кабелі демонтуються;
- незадіяні проводи в кабелях закорочуються та заземлюються;
- необхідні кабелі прокладаються в екранованих конструкціях;
- монтується система заземлення, технічні засоби ІТС заземлюються;
- встановлюються завадозаглушувальні фільтри на лініях електроживлення технічних засобів ІТС;
- монтується комплекс ТЗІ, до складу якого входять системи просторового та лінійного зашумлення;
- здійснюється часткове або повне екранування серверного приміщення або технічних засобів ІТС.

Монтаж засобів ІТС, кабельного обладнання, мереж живлення та заземлення здійснюється згідно з конструкторською документацією робочого проекту.

Будівельно-монтажні роботи здійснюються силами установи-власника ІТС або будівельно-монтажними організаціями згідно з проектною документацією на будівництво, яка розробляється проектною організацією у відповідності до вимог Державних будівельних норм України ДБН А.2.2-2-96 «Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва».

Після завершення будівельно-монтажних робіт створюється комісія з прийняття робіт, до складу якої входять представники організації-замовника робіт та організацій-виконавців. За результатами роботи комісії складається за довільною формою акт приймання робіт з ТЗІ з оцінкою їх відповідності вимогам НД ТЗІ, який затверджується керівником організації-замовника робіт.

Приклад акту:

Акт приймання робіт з технічного захисту інформації

1. Підстави для виконання робіт (вказуються номер і дата договору з установою, яка виконує роботи).

2. Дані про виконавця робіт (вказуються юридична назва та адреса установи, яка виконує роботи).

3. Термін виконання робіт (вказуються дати початку та завершення робіт).

4. Роботи виконано у відповідності до вимог таких нормативних документів:

- ТР ЕОТ - 95 Тимчасові рекомендації з ТЗІ у засобах обчислювальної техніки, АС і мережах від витоку каналами ПЕМВН;

- НД ТЗІ 2.4-007-08 Захист інформації на об'єктах інформаційної діяльності. Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку за рахунок ПЕМВН. Рекомендації з використання мережевих фільтрів;

- НД ТЗІ 2.7-007-08 Захист інформації на об'єктах інформаційної діяльності. Методичні вказівки щодо зашумлення ліній електроживлення технічних засобів.

5. Виконано такі роботи з ТЗІ:
- демонтовані незадіяні кабелі та пристрої в приміщеннях, де встановлені засоби ІТС;
- здійснений монтаж кабельної мережі ІТС в екранованих конструкціях;
- змонтована система заземлення, яка розміщується на відстані не менше 15 м від засобів ІТС;
- проведено вимірювання опору системи заземлення (вказується номер і дата протоколу вимірювання);
- виконано заземлення технічних засобів ІТС;
- встановлені мережеві фільтри для електроживлення технічних засобів ІТС (вказуються кількість, заводські номери, модель, виробник, номери сертифікатів);
- змонтований комплекс ТЗІ, до складу якого входять (вказуються заводські номери, модель, виробник, номери сертифікатів засобів захисту).

6. Висновки:
- обсяг робіт згідно вимог Договору та «Техно-робочого проекту на створення КСЗІ в ІТС» виконаний у повному обсязі, претензій до виконавця немає;
- за результатами виконаних робіт КСЗІ в ІТС готова до проведення пуско-налагоджувальних робіт.


2.2. Пуско-налагоджувальні роботи

Метою пуско-налагоджувальних робіт є встановлення та налагодження всіх засобів захисту, перевірка їх працездатності та атестація комплексу ТЗІ.

Ці роботи виконуються у такій послідовності:
- інсталяція, ініціація та налагодження АВПЗ;
- інсталяція, ініціація та налагодження КЗЗ від НСД;
- інсталяція, ініціація та налагодження засобів КЗІ;
- перевірка працездатності засобів захисту інформації в автономному режимі та при їх комплексній взаємодії;
- атестація комплексу ТЗІ від витоку технічними каналами (у разі наявності).

Для захисту інформації використовуються засоби ТЗІ, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ, а засоби КЗІ - у сфері КЗІ.

Згідно з документацією техно-робочого проекту на створення КСЗІ в ІТС здійснюється інсталяція, ініціалізація та перевірка працездатності АВПЗ і КЗЗ від НСД, а у разі необхідності – засобів КЗІ. Інсталяція та ініціалізація засобів захисту, які мають експертний висновок щодо його відповідності вимогам НД ТЗІ, здійснюється у порядку, визначеному в експлуатаційній документації на ці засоби.

Під час інсталяції АВПЗ мають бути задіяні всі механізми моніторингу та контролю системи, мережі та встановленого ПЗ, а також цілісності АВПЗ, його антивірусних баз та встановлений режим їх поновлення.

Під час інсталяції КЗЗ мають бути задіяні всі механізми розмежування доступу користувачів до інформації та апаратних ресурсів ІТС, контролю за діями користувачів, а також контролю цілісності ПЗ та бази даних захисту КЗЗ. До бази даних захисту вносяться відомості про користувачів ІТС, встановлюються їх повноваження щодо доступу до захищених об’єктів ІТС, їх створення, модифікації, архівування, знищення, експорту/імпорту тощо.

Під час інсталяції засобів КЗІ мають бути задіяні всі криптоалгоритми автентифікації, авторизації та обліку доступу користувачів до ресурсів ІТС, а також генерації та зберігання ключової інформації, алгоритмів шифрування/розшифрування даних, формування та перевірку ЕЦП.

Засобами КЗІ можуть бути електронні ключі автентифікації - носії ключової інформації, призначені для використання в системах інформаційного доступу, електронного документообігу, авторизації користувачів і захищеного зберігання ключової інформації. Після отримання засобів КЗІ організація, яка їх експлуатує, кожний екземпляр засобу КЗІ бере на облік у відповідному журналі.

Одиницею обліку кожного екземпляра засобу КЗІ є:
- для апаратних засобів - конструктивно закінчений технічний засіб;
- для програмних засобів - інсталяційний компакт-диск тощо.

Підставою для початку експлуатації засобів КЗІ в організації (у тому числі її філіях або регіональних представництвах), яка здійснює експлуатацію засобів КЗІ, є відповідний наказ керівника цієї організації. Передача засобів КЗІ здійснюється на підставі відповідних договорів, у яких указуються порядок установлення засобів КЗІ у користувачів та обслуговування цих засобів, забезпечення ключовими документами (ключовими даними), а також ужиття заходів щодо забезпечення режиму безпеки тощо.

Приклад акту:

Акт інсталяції та налагодження засобів захисту
в АС класу 1 і перевірки їх працездатності

1. Розробником КСЗІ - фірмою «___________» згідно вимог «Технічного завдання на створення КСЗІ в АС» проведена інсталяція, ініціація, налагодження та перевірка працездатності:
- АВПЗ «Kaspersky Endpoint Security 10 for Windows» (Експертний висновок у сфері ТЗІ № № 514, дійсний до 21 січня 2017 року);
- КЗЗ від НСД «Лоза-1» версія 4 (Експертний висновок у сфері ТЗІ № 540, дійсний до 8 серпня 2017 року);
- електронних USB-ключів «SecureToken-337» (Експертний висновок у сфері КЗІ № 05/02/02-809, дійсний до 22 квітня 2016 року).

2. Інсталяція, ініціація та налагодження АВПЗ проведена згідно вимог керівництва адміністатора АВПЗ «Kaspersky Endpoint Security 10 for Windows».

Під час інсталяції АВПЗ були задіяні всі механізми моніторингу та контролю системи, мережі та встановленого ПЗ, а також цілісності АВПЗ, його антивірусних баз та встановлений режим їх поновлення.

3. Інсталяція, ініціація та налагодження КЗЗ від НСД в АС проведена згідно вимог інструкції з інсталяції КЗЗ «Лоза-1», версія 4 «ЛОЗА-1.І4.07.3».

Під час інсталяції КЗЗ були задіяні всі механізми розмежування доступу користувачів до інформації та апаратних ресурсів ІТС, контролю за діями користувачів, а також контролю цілісності програмного забезпечення та бази даних захисту КЗЗ.

До бази даних захисту внесені відомості про користувачів ІТС, встановлені їх повноваження щодо доступу до захищених об’єктів ІТС, їх створення, модифікації, архівування, знищення, експорту/імпорту тощо.

4. Інсталяція, ініціація та налагодження електронних USB-ключів «SecureToken-337» проведена згідно вимог настанови користувача «АЧСА.32248356.00182-01 96 01».

Під час інсталяції засобів КЗІ мають бути задіяні криптоалгоритми автентифікації, авторизації та обліку доступу користувачів до ресурсів ІТС, а також генерації та зберігання ключової інформації, алгоритмів шифрування/розшифрування даних, формування та перевірки ЕЦП.

Облік засобів КЗІ ведеться у «Журналі реєстрації носіїв інформації», фіксація їх видачі (приймання, передачі) ведеться у цьому Журналі та Актах приймання-передачі засобів КЗІ. Умови для надійного зберігання засобів КЗІ створені.

5. Після завершення інсталяції та налагодження всіх засобів захисту експериментальним шляхом була підтверджена працездатність всіх компонентів АС та її програмного забезпечення, встановленого на момент виконання робіт.

6. З моменту підписання цього Акту подальша експлуатація всіх засобів захисту здійснюється відповідальними особами за захист інформації в АС установи.

7. Розробник КСЗІ не несе відповідальності за безпосередні та непрямі наслідки використання засобів захисту.

8. Після підписання цього Акту повторні інсталяція, ініціація та налагодження всіх засобів захисту проводяться адміністратором безпеки АС, а поточна експлуатація - персоналом АС.

9. Претензій з боку Замовника щодо виконаних Розробником КСЗІ робіт немає.

Додаток: Журнал первинної настройки системи ЛОЗА-1, версія 4 від ___.___.20___.

Додаток до Акту

Журнал первинної настройки системи ЛОЗА-1, версія 4

Конфігурація «Стандартна безпека»

1. Створення локальних груп... Настройка виконана успішно

2. Встановлення ролі «Адміністратор безпеки» для користувача Администратор... Настройка виконана успішно

3. Встановлення пароля для користувача Администратор... Настройка виконана успішно

4. Реєстрація ядра системи... Настройка виконана успішно

5. Настройка запуску сервера безпеки... Настройка виконана успішно (користувач LOZAServer_818378)

6. Встановлення значень за умовчанням для параметрів конфігурації... Настройка виконана успішно

7. Встановлення аудита для файлів та папок системи ЛОЗА-1... Настройка виконана успішно

8. Встановлення дозволів для файлів та папок системи ЛОЗА-1... Настройка виконана успішно

9. Встановлення аудита для розділів реєстру системи ЛОЗА-1... Настройка виконана успішно

10. Встановлення дозволів для розділів реєстру системи ЛОЗА-1... Настройка виконана успішно

11. Створення змінної оточення %LOZA%... Настройка виконана успішно

12. Встановлення принтера для профілю Default... Настройка виконана успішно

13. Встановлення дозволів для DCOM... Настройка виконана успішно

 

Ефективність вжитих заходів із захисту інформації у разі створення комплексу ТЗІ повинна бути підтверджена результатами його інструментальної перевірки під час випробувань. Спеціальні дослідження та інструментальні вимірювання рівня ПЕМВН виконуються підрозділом ТЗІ організації-власника ІТС або іншими суб'єктами господарювання за умови наявності ліцензії чи дозволу на здійснення відповідного виду робіт.

Інструментальна перевірка здійснюється згідно вимог таких НД ТЗІ:

- НД ТЗІ 2.2-005-08 Технічний захист інформації. Захист інформації, яку обробляють засобами електронної обчислювальної техніки на об'єктах інформаційної діяльності, від витоку інформації за рахунок ПЕМВН. Норми ефективності захисту;

- НД ТЗІ 2.3-014-08 Захист інформації на об'єктах інформаційної діяльності. Методика оцінки ефективності зашумлення ліній електроживлення технічних засобів;

- НД ТЗІ 2.3-015-08 Захист інформації на об'єктах інформаційної діяльності. Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку за рахунок ПЕМВН. Методика оцінки захищеності об'єкта ЕОТ від витоку секретної інформації лініями електроживлення без використання на них засобів захисту;

- НД ТЗІ 2.3-016-08 Захист інформації на об'єктах інформаційної діяльності.  Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку інформації за рахунок наведень побічних електромагнітних випромінювань на лінії та комунікації. Методика інструментального контролю ефективності захисту технічних засобів ЕОТ від витоку секретної інформації за рахунок ПЕМВН на лінії сигналізації та зв'язку, які виходять за межі контрольованої зони.

Оцінка повноти та якості виконання робіт з ТЗІ в приміщеннях проводиться шляхом атестації впровадженого комплексу ТЗІ від витоку технічними каналами, за результатами якої складається «Акт атестації комплексу ТЗІ». Порядок здійснення атестації, зміст та форма Акту визначається НД ТЗІ 2.1-002-2007 Захист інформації на об'єктах інформаційної діяльності. Випробування комплексу технічного захисту інформації. Основні положення.

Приклад акту:

Акт атестації комплексу технічного захисту інформації

1. Підстави для проведення атестації (вказуються номер і дата договору з установою, яка має ліцензію на провадження діяльності у сфері ТЗІ).

2. Дані про виконавця атестації (вказуються юридична назва та адреса установи, яка має ліцензію на провадження діяльності у сфері ТЗІ).

3. Дата проведення атестації __________

4. Атестація проведена у відповідності до вимог таких нормативних документів:

- НД ТЗІ 2.2-005-08 Технічний захист інформації. Захист інформації, яку обробляють засобами електронної обчислювальної техніки на об'єктах інформаційної діяльності, від витоку інформації за рахунок ПЕМВН. Норми ефективності захисту;

- НД ТЗІ 2.3-014-08 Захист інформації на об'єктах інформаційної діяльності. Методика оцінки ефективності зашумлення ліній електроживлення технічних засобів;

- НД ТЗІ 2.3-015-08 Захист інформації на об'єктах інформаційної діяльності. Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку за рахунок ПЕМВН. Методика оцінки захищеності об'єкта ЕОТ від витоку секретної інформації лініями електроживлення без використання на них засобів захисту;

- НД ТЗІ 2.3-016-08 Захист інформації на об'єктах інформаційної діяльності.  Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку інформації за рахунок наведень побічних електромагнітних випромінювань на лінії та комунікації. Методика інструментального контролю ефективності захисту технічних засобів ЕОТ від витоку секретної інформації за рахунок ПЕМВН на лінії сигналізації та зв'язку, які виходять за межі контрольованої зони.

5. Результати атестації:

- атестація виконана відповідно до затверджених програм і методик атестаційних випробувань (вказуються номери і дати документів);

- з урахуванням результатів атестаційних випробувань в ІТС дозволяється обробка (вказується вищий ступінь секретності) інформації.

6. Зауваження та рекомендації (додаткові умови, яких потрібно дотримуватися під час експлуатації ОІД):
- вказуються дії, що заборонені без використання комплексу ТЗІ;
- вказуються дії, що заборонені під час експлуатації комплексу ТЗІ;
- вказуються обмеження, які можуть вплинути на ефективність заходів і засобів захисту інформації.

7. Висновок: комплекс ТЗІ відповідає вимогам технічного завдання і НД ТЗІ.

8. Термін проведення чергової атестації _____________ (через 2 роки)

Додатки:

1. Склад комплексу ТЗІ (вказуються заводські номери, модель, виробник, номери сертифікатів).

2. Схема розміщення комплексу ТЗІ в приміщенні та відносно меж контрольованої зони.

3. Перелік програмних та інструментальних засобів атестаційних випробувань (вказуються виробник і номери сертифікатів).

4. Протоколи атестаційних випробувань об'єкта ЕОТ на відповідність вимогам захисту інформації від витоку технічними каналами за рахунок ПЕМВН (вказуються номер і дата протоколів).

5. Протокол вимірювання опору системи заземлення (вказується номер і дата протоколу).

 

Після завершення пуско-налагоджувальних робіт складається підсумковий акт, де зазначаються:
- обсяг виконаних робіт;

- оцінка відповідності проведення робіт вимогам експлуатаційних документів на засоби та нормативних документів;
- пропозиції щодо застосування додаткових заходів захисту (у разі необхідності).

До акту додаються:
- акт атестації комплексу ТЗІ (у разі наявності);
- акти інсталяції та налагодження всіх засобів захисту;
- схеми приміщень, де розташовані засоби ІТС, з указанням систем комунікацій та меж контрольованих зон;
- перелік технічних засобів і комунікацій, що знаходяться у цих приміщеннях.

Акт затверджується керівником організації - власника ІТС.

Приклад акту:

Акт завершення пусконалагоджувальних робіт з ТЗІ

1. Підстави для виконання робіт (вказуються номер і дата договору з установою, яка виконує роботи).

2. Дані про виконавця робіт (вказуються юридична назва та адреса установи, яка виконує роботи).

3. Термін виконання робіт (вказуються дати початку та завершення робіт).

4. Виконано такі роботи з ТЗІ:
- встановлення і налагодження АВПЗ;
- встановлення і налагодження КЗЗ від НСД;
- встановлення і налагодження засобу КЗІ;
- перевірка працездатності засобів захисту інформації в автономному режимі та при їх комплексній взаємодії;

- атестація комплексу ТЗІ від витоку технічними каналами.

5. Висновки:
- обсяг робіт згідно вимог Договору та «Техно-робочого проекту на створення КСЗІ в ІТС» виконаний у повному обсязі, претензій до виконавця немає;
- за результатами виконаних робіт КСЗІ в ІТС готова до проведення попередніх випробувань.

Додатки:

1. Акт атестації комплексу ТЗІ (вказуюється номер і дата акту).

2. Акт інсталяції та налагодження АВПЗ і КЗЗ від НСД (вказується номер і дата акту).

3. Акт інсталяції та налагодження засобу КЗІ (вказується номер і дата акту).

4. Схема приміщень, де розташовані засоби ІТС, з указанням систем комунікацій та меж контрольованих зон (вказується номер і дата схеми).

5. Перелік технічних засобів і комунікацій, що знаходяться у приміщеннях ІТС (вказуються найменування, тип, заводський номер, виробник).

 

Після затвердження акту здійснюється впровадження додаткових заходів захисту, необхідність впровадження яких зафіксована в акті, та відповідне коригування проектної, робочої та експлуатаційної документації.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика