09. Дослідна експлуатація КСЗІ

3.2. Дослідна експлуатація

Дослідна експлуатація КСЗІ в ІТС здійснюється згідно вимог розділу 6.5 «Введення КСЗІ в дію та оцінка захищеності інформації в ІТС» НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС».

КСЗІ в ІТС приймається у дослідну експлуатацію після затвердження «Акту завершення попередніх випробувань» на підставі його позивного висновку. Порядок проведення дослідної експлуатації визначається наказом керівника установи-власника (розпорядника) ІТС, де вказується термін її проведення.

Для проведення дослідної експлуатації КСЗІ керівником установи-власника (розпорядника) ІТС створюється комісія. Головою комісії з дослідної експлуатації КСЗІ призначається заступник керівника установи-власника (розпорядника) ІТС.

Під час дослідної експлуатації КСЗІ:

- відпрацьовуються технології обробки інформації та обігу її носіїв, керування засобами захисту, розмежування доступу користувачів до ресурсів ІТС та контролю за їх діями;

- співробітники СЗІ та користувачі ІТС засвоюють вимоги організаційних та розпорядчих документів з питань розмежування доступу до технічних засобів та інформаційних ресурсів, набувають практичних навичок з використання технічних та програмно-апаратних засобів захисту інформації;

- у разі необхідності здійснюється доопрацювання ПЗ, додаткове налагоджування КЗЗ та коригування документації.

До складу експлуатаційної документації повинні входити документи, що визначають порядок інсталяції, ініціалізації, налаштування та експлуатації всіх компонентів КЗЗ, визначених у документації техно-робочого проекту КСЗІ.

Згідно вимог НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в КС від НСД» для КЗЗ (окремих компонентів) у вигляді окремих документів або розділів інших документів повинні бути розроблені:
- опис процедур інсталяції та ініціації КЗЗ;
- опис послуг безпеки, що реалізуються КЗЗ;
- настанови адміністратору з послуг безпеки;
- настанови користувачу з послуг безпеки.

Етап дослідної експлуатації завершується складанням «Акту завершення дослідної експлуатації КСЗІ в ІТС».

«Акт завершення дослідної експлуатації КСЗІ в ІТС» повинен містити перелік відпрацьованих заходів дослідної експлуатації та їх результати, а також висновки щодо можливості (або неможливості) представлення КСЗІ на державну експертизу.

Акт має бути підписаний членами комісії установи-власника (розпорядника) ІТС, представником виконавця робіт зі створення КСЗІ (за наявності) та затверджений керівником установи-власника (розпорядника) ІТС. Про завершення дослідної експлуатації КСЗІ необхідно зробити відповідний запис у формулярі ІТС.

Акт складається з таких розділів:
- заходи, відпрацьовані адміністраторами;
- заходи, відпрацьовані користувачами;
- заходи з ведення документації;
- заходи з налагоджування ПЗ (за необхідності);
- результати дослідної експлуатації;
- висновок.

Наприклад, акт можна викласти таким чином:

Під час дослідної експлуатації були проведені такі заходи:

1. Відпрацювання адміністраторами:
- роботи з КЗЗ (створення нових користувачів, призначення або скасування прав їх доступу);
- типових процедур контролю за станом захисту (аналіз журналів аудиту, архівування журналів аудиту);
- відновлення КЗЗ після збоїв та відмов (архівування технологічної інформації, відновлення технологічної інформації з архівів);
- налагодження та роботи з АВПЗ, перевірка файлів на наявність вірусів, оновлення антивірусних баз захисту.

2. Відпрацювання користувачами типових процедур з обробки ІзОД:
- вхід і вихід з операційної системи;
- створення пароля;
- створення, видалення та модифікація файлів;
- перевірка файлів на наявність вірусів.

3. Відпрацювання порядку ведення експлуатаційних документів:
- журналу обліку носіїв інформації;
- журналу обліку користувачів;
- журналу обліку роботи користувачів;
- формуляру ІТС;
- паспорту на комплекс ТЗІ (у разі наявності).

4. Додаткове налагоджування та конфігурування механізмів захисту ОС, КЗЗ і АВПЗ, а також коригування робочої та експлуатаційної документації.

За результатами дослідної експлуатації встановлено:

Дослідна експлуатація ІТС проведена в повному обсязі та КСЗІ у вказаній ІТС відповідає вимогам затвердженого ТЗ і НД ТЗІ. Персонал спроможний забезпечити виконання функцій КСЗІ в ІТС, передбачених затвердженим Технічним завданням, та обробку інформації в ІТС згідно затверджених правил.

Висновок: Створена КСЗІ в ІТС є придатною для функціонування та проведення державної експертизи.

 

Після затвердження «Акту завершення дослідної експлуатації» складається «Акт завершення робіт зі створення КСЗІ в ІТС», який повинен містити:
- загальні відомості;
- перелік розроблених документів (вказуються реєстраційні номери, інші атрибути документів);
- перелік проведених робіт;
- висновок.

Акт має бути підписаний членами комісії установи-власника (розпорядника) ІТС, представником виконавця робіт зі створення КСЗІ (за наявності) та затверджений керівником установи-власника (розпорядника) ІТС. Про завершення робіт зі створення КСЗІ необхідно зробити відповідний запис у формулярі ІТС. Типова форма «Акту про завершення робіт зі створення КСЗІ в АС класу 1» можна побачити на сайті Держспецзв'язку тут.

Наприклад, для АС класу «1» акт можна викласти таким чином:

1. Загальні відомості щодо КСЗІ

КСЗІ в АС класу «1» ______________________ призначена для обробки службової та відкритої інформації.

АС класу «1» розміщена  за адресою: м. ________, вул. _________, __, прим. № __.

Виконавці робіт із для створення КСЗІ:

1. Служба захисту інформації установи.

2. Фірма «____________»: м. ________, вул. _________, ___.

2. Перелік документів, розроблені під час проведення робіт зі створення КСЗІ:

1.   Акт категоріювання АС (№ ___ від ______);

2.   Акт (протокол, звіт) обстеження АС (№ ___ від ______);

3.   Модель загроз для інформації (№ ___ від ______)

4.   План захисту інформації в АС (№ ___ від ______);

5.   Формуляр АС (№ ___ від ______);

6.   Технічне завдання на створення КСЗІ (№ ___ від ______);

7.   Техно-робочий проект КСЗІ (№ ___ від ______);

8.   Інструкція адміністратора безпеки АС (№ ___ від ______);

9.   Інструкція системного адміністратора АС (№ ___ від ______);

10. Інструкція користувача АС (№ ___ від ______);

11. Інструкція антивірусного захисту в АС (№ ___ від ______);

12. Інструкція щодо правил захисту інформації в АС (№ ___ від ______);

13. Програма та Методика попередніх випробувань (№ ___ від ______);

14. Акт  інсталяції та ініціалізації КЗЗ від НСД (№ ___ від ______);

15. Акт навчання персоналу щодо роботи з КСЗІ (№ ___ від ______);

16. Акт (протокол, звіт) за результатами випробувань (№ ___ від ______);

17. Акт (протокол, звіт) за результатами дослідної експлуатації (№ ___ від ______);

18. Інші розроблені документи. 

3. Виконано такі роботи зі створення КСЗІ

1. Наказом керівника (назва установи) від ___________ № ______ утворено (призначено) службу захисту інформації в АС (відповідальних осіб за організацію захисту інформації в АС).

2. Наказом керівника (назва установи) від ___________ № ______ визначено співробітників установи, допущених до роботи в АС, системного адміністратора та адміністратора безпеки АС.

3. Наказом керівника (назва установи) від ___________ № ______  визначений порядок створення КСЗІ в АС ____________________ та склад комісії з проведення категоріювання та обстеження АC, проведення випробувань КСЗІ та виконання інших робіт.

4. Наказом керівника (назва установи) від ___________ № ______ визначений порядок проведення попрередніх випробувань КСЗІ та прийняття її у дослідну експлуатацію.

5. Наказом керівника (назва установи) від ___________ № ______ визначений порядок введення КСЗІ в АС ____________________в дослідну експлуатацію та завершення робіт з її створення.

6. Розроблено проектну та експлуатаційну документацію згідно з п.2 цього Акта.

7. Перевірено відповідність формуляра встановленому програмному та апаратному забезпеченню.

8. Упроваджено організаційні заходи захисту відповідно до пунктів ________________ Плану захисту інформації в АС.

9. Перевірено, що комплекс засобів захисту інформації за своїми можливостями відповідає вимогам технічного завдання на створення КСЗІ, проектна і експлуатаційна документація враховує особливості комплексу засобів захисту інформації.

10. Проведено інсталяцію та налаштування механізмів захисту ОС _________________, КЗЗ від НСД ___________________, АВПЗ __________________ відповідно до вимог експлуатаційної документації _________________, технічного завдання на створення КСЗІ, техно-робочого проекту КСЗІ, розпорядчих документів ___________________________.

11. Користувачі, адміністратори, обслуговуючий персонал АС ознайомлені з експлуатаційною документацією КСЗІ та регламентом роботи АС під розпис (від __________ № ____).

Висновки:

За результатами виконаних робіт КСЗІ в АС класу «1» __________________________ здатна забезпечувати захист інформації відповідно до НД ТЗІ в обсязі вимог, зазначених у технічному завданні на створення КСЗІ, визнана придатною для роботи та представлення на державну експертизу.

Приклад акту

Акт завершення робіт зі створення КСЗІ в АС класу 1

 

Вартість послуг захисту інформації в Україні

1. Прайс-лист на послуги захисту інформації,
які надає ТОВ «Спецтелеком» (Ужгород)

Види послуг

Ціна без ПДВ, грн.

1

Спеціальне дослідження приміщення та встановленого у ньому обладнання на виявлення та блокування технічних каналів витоку інформації, що утворюються за рахунок несанкціонованого використання закладних пристроїв

950

2

Вивчення та аналіз організації циркуляції інформації з обмеженим доступом на ОІД. Визначення вихідних даних для складання технічного проекту або завдання на створення КСЗІ в АС класу 1

550

3

Складання технічного завдання та погодження його з Управлінням Держспецзв'язку в Закарпатській області

400

4

Настроювання програмних засобів захисту в АС класу 1 від несанкціонованого доступу та антивірусного захисту АС

1100

5

Попередні випробування на відповідність створеного КСЗІ в АС вимогам чинних нормативних документів системи ТЗІ

800

6

Дослідна експлуатація КСЗІ в АС класу «1» і навчання персоналу роботі з нею

650

7

Підготовка КСЗІ АС до експертизи шляхом аналізу Адміністраціею Держспецзв'язку підготовленої Декларації

550

2. Прайс-лист на послуги захисту інформації,
які надає ПП «Агентство ТЗІ "АФА"» (Миколаїв)

Види послуг

Ціна без ПДВ, грн.

1

Аналіз технічної документації на АС, області та середовища функціонування. Підготовка рекомендацій для поліпшення умов функціонування КСЗІ в АС класу 1

500

2

Розробка проекту технічного завдання на КСЗІ в АС класу 1

1500

3

Розробка проектів організаційно - технічної документації на КСЗІ в АС класу 1

2150

4

Встановлення та налагодження програмного забезпечення (КЗЗ) згідно вимог НД ТЗІ

800

5

Встановлення та налагодження прикладного та антивірусного програмного забезпечення відповідно до вимог замовника

від 300

6

Пуско-налагоджені роботи АС. Проведення попередніх випробувань КСЗІ в АС 1

750

7

Приймання участі в дослідницькій експлуатація

550

8

Навчання персоналу правилам експлуатації АС класу 1

550

9

Навчання правилам обслуговування АС адміністратором безпеки, системним адміністратором, відповідальних за ТЗІ

750

10

Проведення державної експертизи КСЗІ в АС класу 1 (з найвищим ступенем обмеження доступу «ДСК», «Конфіденційно»)

від 3500 

3. Прайс-лист на послуги захисту інформації,
які надає Київська філія ПАТ «Укртелеком»

Види послуг

Ціна без ПДВ, грн.

1

Розроблення технічного завдання на створення КСЗІ в АС класу 1

3163

2

Розроблення документації на створення КСЗІ в АС класу 1 відповідно до технічного завдання

4509

3

Встановлення комплексу засобів захисту інформації від НСД в АС

897

4

Випробування КСЗІ в АС класу 1

900

5

Надання консультативної допомоги при створенні КСЗІ в АС класу 1

1263

6

Проведення державної експертизи КСЗІ в АС класу 1 4-ї категорії

4493

7

Проведення державної експертизи КСЗІ в АС класу 1 2-ї або 3-ї категорії

5383

4. Прайс-лист на послуги захисту інформації,
які надає ПП «Український хостінг» (Харків)

Вартість робіт з побудови КСЗІ АС-1 складається з вартості:

  • розробки документації (від 24 000 грн.)
  • захищеного компютера (від 16 000 грн.)
  • програмного забезпечення, його установки та настройки (від 12 000 грн.)
  • навчання користувачів, якщо існує необхідність (від 3200 грн/день за 1 чол.)

Вартість робіт з побудови КСЗІ АС-2 складається з вартості:

  • аудиту (від 16 000 грн.)
  • розробки документації (від 40 000 грн.)
  • програмного та апаратного (якщо необхідно) забезпечення, його установки та настройки (від 16 000 грн.)

Вартість робіт з побудови КСЗІ АС-3 складається з вартості:

  • аудиту (від 16 000 грн.)
  • розробки документації (від 64 000 грн.)
  • програмного та апаратного (якщо необхідно) забезпечення, його установки та настройки (від 32 000 грн.)
----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика