11. 6-й етап - забезпечення супроводу КСЗІ

Весь період функціонування КСЗІ забезпечується її супроводом, під час якого персоналом ІТС виконуються такі роботи щодо КСЗІ:
- керування КСЗІ згідно Плану захисту та експлуатаційної документації;
- вдосконалення та модернізації КСЗІ.

Крім того, під час супроводу КСЗІ здійснюються такі заходи:
- організаційне забезпечення працездатності ІТС;
- гарантійне та післягарантійне технічне обслуговування засобів КСЗІ;
- періодичне поновлення документів КСЗІ.

Всі заходи супроводу та модернізації КСЗІ вносяться до «Календарного плану робіт із захисту інформації в ІТС», який щорічно поновлюється.

Він складається з 4-х розділів:
- організаційні заходи;
- контрольно-профілактичні заходи;
- інженерно-технічні заходи;
- кадрові заходи.

Календарний план робіт із захисту інформації в ІТС

1. Організаційні заходи

Організаційні заходи - це комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення завдань захисту інформації шляхом регламентації діяльності персоналу і порядку функціонування КСЗІ.

Заходи

Виконавець

Регламент робіт

Термін/період

Коригування політики безпеки

Служба захисту
Адміністратори

Коригування положень ПБ Розробка додаткових інструкцій

у разі змін умов функціонування ІТС

Коригування Плану захисту

Служба захисту
Адміністратори

Розробка нових підходів до планування заходів захисту

щорічно

Планування модернізації КСЗІ

Служба захисту
Адміністратори

Розробка ТЗ на модернізацію КСЗІ згідно НД ТЗІ 3.7-001-99

згідно плану розвитку КСЗІ

Чергове категоріювання

Комісія установи

Згідно НД ТЗІ 1.6-005-2013

через 5 років після первинного

Чергова державна експертиза

Адміністрація Держспецзв’язку

Згідно вимог «Положення про державну експертизу»

через 5 років після первинної

2. Контрольно-профілактичні заходи

Контрольні заходи - це комплекс заходів контролю за виконанням персоналом ІТС вимог нормативно-правових актів України у сфері захисту інформації, розроблених в установі інструкцій і положень, а також заходів, розроблених за результатами попередніх перевірок.

Профілактичні заходи - це комплекс заходів, спрямованих на формування у користувачів мотивів поведінки, які спонукають їх на безумовне виконання у повному обсязі вимог правил проведення робіт із захисту інформації тощо, а також формування відповідного морально-етичного стану в колективі.

Заходи

Виконавець

Регламент робіт

Термін/період

Проведення занять з персоналом ІТС щодо виконання вимог політики безпеки в установі

Служба захисту

Згідно «Плану навчання в установі»

щоквартально

Формування в трудовій угоді розділу відповідальності за виконання вимог політики безпеки

Служба захисту

Згідно вимог трудового законодавства

за рішенням керівника установи

Контроль працездатності та виконання вимог політики безпеки

Системний адміністратор

Перевірка справності ОС і ПЗ ІТС

щодня

Адміністратор безпеки

Перевірка виконання вимог політики безпеки користувачами

щомісячно

Служба захисту

Перевірка виконання політики безпеки адміністраторами

щоквартально

Перевірка стану захисту інформації

Комісія установи

Згідно «Положення про захист інформації в ІТС»

щорічно

Перевірка наявності МНІ

Комісія установи

Згідно «Інструкції про організацію діловодства»

щорічно

3. Інженерно-технічні заходи

Інженерно-технічні заходи - це комплекс заходів, спрямованих на налагодження, випробування і введення в експлуатацію, супроводження і технічне обслуговування апаратних і програмних засобів захисту інформації в ІТС, інженерне обладнання споруд і приміщень, в яких розміщуються засоби ІТС.

Заходи

Виконавець

Регламент робіт

Термін/період

Супровід КСЗІ

Розробник КСЗІ

Гарантійне обслуговування

Гарантійний термін

Технічне обслуговування ІТС

Адміністратори

Згідно «Регламенту техобслуговування»

згідно термінів регламенту

Резервування баз даних і фондів

Адміністратор безпеки

Згідно «Інструкції з резервування баз даних»

щомісячно

Поновлення антивірусних баз

Адміністратор безпеки

Згідно «Інструкції з антивірусного захисту»

щодня

Перевірка МНІ і ІТС на наявність вірусів

Користувач (МНІ)

Згідно «Інструкції з антивірусного захисту»

щодня

Адміністратори (ІТС)

щотижня

Модернізація КСЗІ

Розробник КСЗІ

Заміна (додавання) окремих компонентів КСЗІ

згідно плану розвитку КСЗІ

4. Кадрові заходи

Кадрові заходи - це комплекс навчально-педагогічних заходів, спрямованих на розширення світогляду та підвищення професійної майстерності персоналу ІТС, що визначається її особливостями та технологіями захисту інформації, які використовуються в ній. 

Заходи

Виконавець

Регламент робіт

Термін/період

Вступне ознайомлення з положеннями політики безпеки інформації (під розпис)

Служба захисту

Оформлення допуску до роботи

після прийому на роботу

Адміністратор безпеки

Згідно «Інструкції користувачу»

під час їхньої реєстрації в ІТС

Інструктаж користувачів щодо дій у випадку позаштатної ситуації

Адміністратор безпеки

Згідно «Плану робіт у випадку позаштатної ситуації»

щорічно

Проведення занять з професійної підготовки персоналу ІТС

Служба захисту
Адміністратори

Згідно «Плану професійної підготовки в установі»

щотижня

Направлення на курси підвищення кваліфікації

Служба захисту 

Згідно «Плану підвищення кваліфікації в установі»

згідно термінів плану

 

Виконання Календарного плану забезпечується Службою захисту інформації в ІТС (далі - СЗІ), яка у процесі супроводу КСЗІ повинна виконувати такі функції:

- організація процесу керування КСЗІ;

- розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій;

- вжиття заходів у разі виявлення спроб НСД до ресурсів ІТС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;

- забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

- організація керування доступом до ресурсів ІТС (розподілення між користувачами необхідних реквізитів захисту інформації - паролів, привілеїв, ключів тощо);

- супровід та актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об’єктів, ідентифікатори користувачів тощо);

- спостереження (реєстрація та аудит подій в ІТС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;

- підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в ІТС, впровадження нових технологій захисту і модернізації КСЗІ;

- організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ІТС або КСЗІ;

- участь в роботах з модернізації ІТС - узгодженні пропозицій з введення до складу ІТС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

- забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;

- проведення аналітичної оцінки поточного стану безпеки інформації в ІТС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності  її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз тощо);

- інформування власників інформації про технічні можливості захисту інформації в ІТС і типові правила, встановлені для персоналу і користувачів ІТС;

- негайне втручання в процес роботи ІТС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника;

- регулярне подання звітів керівництву організації про виконання користувачами ІТС вимог щодо захисту інформації;

- аналіз відомостей щодо засобів захисту інформації нового покоління, обгрунтування пропозицій щодо придбання засобів для організації;

- розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу ІТС;

- участь в організації і проведенні навчання користувачів і персоналу ІТС правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами;

- участь в організації забезпечення навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, нормативними документами, методичною літературою тощо;

- контроль за виконанням персоналом і користувачами ІТС вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації;

- контроль за забезпеченням охорони і порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту;

- розробка та реалізація спільно з РСО та службою безпеки організації комплексних заходів з безпеки інформації під час проведення заходів з науково-технічного, економічного, інформаційного співробітництва з іноземними фірмами, а також під час проведення нарад, переговорів тощо, здійснення їхнього технічного та інформаційного забезпечення.

Супровід КСЗІ забезпечується виконанням вимог інструкцій та веденням журналів, які були розроблені при введенні КСЗІ в експлуатацію.

До складу супровідної документації КСЗІ згідно вимог НД ТЗІ входять:
- інструкції щодо забезпечення правил оброблення ІзОД в ІТС;
- інструкції співробітників СЗІ, персоналу та користувачів ІТС;
- технологічні інструкції щодо адміністрування та обслуговування КСЗІ;
- інструкція про порядок використання криптографічних засобів;
- інструкція про порядок супроводження та модернізації КСЗІ;
- інструкція про порядок резервування інформаційних ресурсів ІТС;
- порядок обліку і супроводження архівів та ротації носіїв інформації;
- інструкція про порядок оперативного відновлення функціонування ІТС;
- інструкція про організацію контролю за функціонуванням КСЗІ;
- інструкція про порядок проведення ремонтних робіт;
- порядок розробки, впровадження та модернізації ПЗ ІТС;
- правила видачі, вилучення та обліку персональних ідентифікаторів;
- правила управління паролями в ІТС;
- правила класифікації та класифікатор інформації і користувачів ІТС;
- формуляр (паспорт) ІТС;
- журнали, які використовуються для реєстрації фактів та результатів виконання певних завдань з адміністрування та обслуговування КСЗІ.

Перелік та форми реєстраційних журналів повинні відповідати визначеним у технологічних інструкціях щодо виконання завдань з адміністрування та обслуговування КСЗІ.

Як приклади зазначених реєстраційних журналів можна розглядати такі:
- обліку користувачів ІТС;
- обліку роботи користувачів ІТС;
- обліку захищених інформаційних ресурсів ІТС;
- реєстрації проведених робіт з технічного обслуговування, ремонту, модернізації;
- реєстрації перевірок складу програмних засобів ІТС;
- реєстрації позаштатних ситуацій у роботі ІТС.

Якщо в ІТС передбачається оброблення службової інформації, під час функціонування ІТС використовуються журнали, форми та правила ведення яких встановлені «Типовою інструкцією про порядок ведення обліку, зберігання, використання та знищення документів та інших матеріальних носіїв інформації, які містять службову інформацію», затвердженою постановою Кабінету Міністрів України від 19.10.2016 № 736.

Зокрема, необхідно вести такі журнали обліку службової інформації:
- обліку документів та видань з грифом «Для службового користування»;
- обліку машинних носіїв інформації з грифом «Для службового користування».

Якщо в ІТС передбачається оброблення секретної інформації, під час функціонування ІТС використовуються такі журнали, форми та правила ведення яких встановлені «Порядком організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях», затвердженим постановою Кабінету Міністрів України від 02.10.2003 № 1561-12.

Зокрема, необхідно вести такі журнали обліку секретної інформації:
- обліку сховищ матеріальних носіїв секретної інформації та ключів від них;
- здавання (приймання) з-під охорони режимних приміщень, сховищ матеріальних носіїв секретної інформації та ключів від них;
- обліку вхідних і підготовлених секретних документів;
- обліку робочих зошитів, спецблокнотів, окремих аркушів і бланків.

Адміністратор безпеки під час супроводу КСЗІ зобов'язаний:

- контролювати встановлення ПЗ, його працездатність та оновлення, конфігурування політики безпеки ІТС;

- забезпечувати конфігурування КЗЗ, ПЗ для захисту інформації, налагодження антивірусного ПЗ та елементів ІТС, які мають вбудовані функції захисту;

- забезпечувати надійне функціонування КЗЗ і ПЗ для захисту інформації, антивірусного ПЗ та контролювати його працездатність;

- встановлювати в ІТС обмежені права доступу до операційної системи та «BIOS»,

- визначати користувачів, їх ідентифікатори та паролі, встановлювати користувачам захищені каталоги;

- керувати обліковими записами та атрибутами користувачів,

- керувати правами доступу к захищеним каталогам з боку користувачів і програмних засобів;

- керувати рівнями конфіденційності та квотами на використання дискового простору ІТС;

- відновлювати роботу засобів захисту у разі їх збоїв або виходу з ладу;

- брати участь у впровадженні заходів захисту інформації в ІТС та здійснювати контроль умов використання ІТС відповідно до експлуатаційної документації та вимог приписів на експлуатацію об’єктів ІТС;

- здійснювати адміністрування в частині захисту інформації та оновлення баз даних захисту ІТС;

- забезпечувати проведення технічного обслуговування та контролю за функціонуванням засобів захисту інформації;

- здійснювати опечатування вузлів, блоків, усіх портів ІТС та щоденний контроль за його станом;

- проводити поточний контроль за забезпеченням режиму обробки та захисту інформації в ІТС згідно затвердженої інструкції;

- проводити інструктаж та навчання персоналу з питань дотримання вимог забезпечення режиму обробки та захисту інформації в ІТС;

- здійснювати контроль за роботою користувачів та виконанням ними вимог щодо захисту інформації шляхом періодичних спостережень за діями користувачів під час роботи в ІТС (вибірково);

- здійснювати контроль за проведенням робіт з ремонту та заміни технічних засобів ІТС або комплексу ТЗІ;

- вносити пропозиції та брати участь у проектуванні, створенні та дослідній експлуатації КСЗІ в ІТС;

- доповідати керівнику СЗІ про всі виявлені порушення режиму обробки та захисту інформації в ІТС.

Системний адміністратор під час супроводу КСЗІ зобов'язаний:

- встановлювати та настроювати ОС та необхідне для роботи апаратне й програмне забезпечення (далі - АПЗ);

- встановлювати на ІТС сертифіковане антивірусне програмне забезпечення (далі - ПЗ) та оновлювати його бази даних, після чого перевіряти ІТС на наявність комп’ютерних вірусів;

- підтримувати робочий стан ОС і АПЗ ІТС та контролювати їх працездатність;

- навчати користувачів роботі на ІТС і формуванню її інформаційного фонду;

- зберігати еталони ПЗ та резервні копії інформаційних фондів ІТС для відновлення її роботи після аварійних ушкоджень або ураження комп’ютерними вірусами;

- вести та оновлювати фонд дозволеного до використання ПЗ ІТС, щорічно проводити його інвентаризацію;

- щомісячно контролювати копіювання інформаційних фондів ІТС на зареєстровані зовнішні носії інформації згідно затвердженої інструкції;

- оперативно відновлювати працездатність ІТС при збоях і виході з ладу ОС і АПЗ ІТС згідно затвердженої інструкції;

- брати участь у проведенні інвентаризації ІТС;

- здійснювати контроль за проведенням ремонту та монтажу устаткування ІТС фахівцями сторонніх організацій;

- виявляти помилки користувачів та проводити їх інструктаж;

- готувати пропозиції з модернізації та придбання ІТС, АПЗ, розвитку автоматизації обробки даних;

- готувати пропозиції до планів роботи підрозділів стосовно заходів із забезпечення надійного та безперебійного функціонування ІТС;

- інформувати керівника СЗІ про випадки порушень правил експлуатації ІТС та обробки інформації.

Користувач під час супроводу КСЗІ зобов'язаний:

- використовувати надані інформацію ідентифікації та автентифікації (пароль) виключно для роботи з ІТС;

- зберігати особистий пароль (інформацію автентифікації) в таємниці, негайно інформувати адміністратора безпеки та безпосереднього начальника про факти компрометації (втрати, розголошення) паролю, при введенні пароля забезпечувати захист паролю від несанкціонованого спостереження іншими посадовими особами;

- виконувати вимоги нормативно-правових актів у сфері захисту інформації та НД ТЗІ щодо порядку поводження з МНІ та документами в електронному вигляді;

- при залишенні робочого місця на тривалий час здійснювати заходи щодо переведення системи в режим блокування;

- формувати перелік та періодично (щомісячно) здійснювати з залученням адміністратора ІТС резервне копіювання на з’ємні носії інформації, яка важлива для забезпечення службової діяльності установи;

- спільно з адміністратором ІТС визначати «папки» (файли) зі службовою інформацією, розпорядником якої є користувач, для встановлення аудиту прав доступу;

- негайно інформувати адміністратора про відхилення в нормальній роботі ІТС, системного та прикладного ПЗ, виходу із ладу або нестійкого функціонування технічних засобів ІТС, а також порушення цілісності або невідповідності печаток (пломб) вузлів та блоків, портів введення-виведення інформації технічних засобів ІТС.

Складовою супроводу КСЗІ є контроль за забезпеченням режиму під час обробки ІзОД в ІТС, який полягає у перевірці виконання персоналом ІТС вимог нормативно-правових актів з питань збереження ІзОД і нормативних документів з технічного та криптографічного захисту інформації.

Контроль режиму обробки ІзОД в ІТС здійснюється за такими формами:
- планові перевірки;
- позапланові перевірки;
- повсякденний контроль.

Планові перевірки здійснюються комісіями, до складу яких входять начальники РСО і підрозділу ТЗІ, співробітники СЗІ та представники інших підрозділів установи. Головою комісії призначається керівник СЗІ. Підстави проведення перевірки, строки роботи і склад комісії, а також перелік об’єктів ІТС, які підлягають перевірці, зазначаються в наказі керівника установи.

Позапланові перевірки здійснюються у разі наявності відомостей щодо порушень виконання вимог «Інструкції щодо забезпечення правил оброблення ІзОД в ІТС», НД ТЗІ та інших нормативно-правових актів у сфері захисту інформації. Вони організовуються СЗІ та здійснюються комісіями, до складу яких входять начальники РСО і підрозділу ТЗІ, співробітники СЗІ та представники інших підрозділів установи.

Планова або позапланова перевірка проводиться у присутності начальника підрозділу установи, в якому проводиться перевірка, або особи, яка його заміщає, представника СЗІ та співробітника, відповідального за користування об'єкта ІТС.

Під час планових та позапланових перевірок перевіряються такі питання:

- дотримання користувачами ІТС встановлених вимог щодо забезпечення режиму обробки та захисту ІзОД;

- комплектація ІТС згідно з Формуляром;

- наявність та дотримання вимог приписів на експлуатацію об'єктів ІТС;

- виконання заходів щодо забезпечення захисту ІзОД від НСД на відповідність вимогам технічної та експлуатаційної документації, згідно з якими здійснюється експлуатація ІТС;

- відповідність ступеня обмеження доступу інформації, яка обробляється з використанням ІТС, наданій категорії об'єкта ІТС;

- відповідність ступеня обмеження доступу інформації, яка зберігається на машинних носіях даних, грифу обмеження доступу машинних носіїв даних;

- наявність атестата відповідності КСЗІ вимогам НД ТЗІ, організаційно-технічних документів та експлуатаційної документації.

За результатами перевірки складається акт, в якому зазначаються результати оцінки відповідності забезпечення режиму обробки та захисту ІзОД в ІТС вимогам НД ТЗІ та інших нормативно-правових актів у сфері захисту інформації, виявлені недоліки та рекомендації щодо їх усунення. Акт затверджується керівником установи, після чого з ним ознайомлюється начальник підрозділу, в якому проводилася перевірка.

Акт направляється в установленому порядку вищестоящому органу згідно з підпорядкованістю установи та регіональному органу Держспецзв’язку на його вимогу.

Повсякденний контроль за забезпеченням режиму під час обробки інформації в ІТС здійснюється СЗІ. Порядок його проведення та усунення виявлених недоліків або порушень вимог НД ТЗІ та інших нормативно-правових актів у сфері захисту інформації визначається окремою інструкцією, яка розробляється СЗІ, узгоджується з РСО і підрозділом ТЗІ та затверджується керівником установи.

Начальники підрозділів установи організовують усунення виявлених у ході перевірок недоліків та порушень. Контроль за виконанням зазначених заходів покладається на СЗІ.

Особливості супроводу КСЗІ в ІТС державних установ

Супровід системи антивірусного захисту як складової КСЗІ здійснюється згідно вимог «Порядку оновлення антивірусних програмних засобів, які мають позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ», затвердженого наказом Адміністрації Держспецзв'язку від 26.03.2007 № 45, зареєстрованого в Міністерстві юстиції України 10.04.2007 за № 320/13587.

Згідно з цим Порядком органи державної влади, органи місцевого самоврядування, утворені відповідно до законів України військові формування, підприємства, установи і організації державної форми власності зобо'язані:
- не менше ніж раз на день отримувати антивірусні оновлення АВПЗ за допомогою веб-серверу ЦАЗІ;
- інсталювати отримані за допомогою веб-серверу ЦАЗІ антивірусні оновлення АВПЗ відповідно до технічної документації АВПЗ;
- для забезпечення авторизованого доступу до ресурсів веб-серверу ЦАЗІ щороку до 1 березня та, у разі внесення змін, протягом 3 днів надавати до Адміністрації Держспецзв'язку відомості щодо кожного користувача у паперовому вигляді за визначеною формою.

Крім того, всі міністерства, інші центральні органи виконавчої влади, обласні державні  адміністрації, а також підприємства, установи та організації, що належать до сфери їх управління, (далі - державні органи) подають відомості про створені ІТС, у тому числі, і АС класу 1, до Адміністрації Держспецзв'язку згідно вимог «Положення про Реєстр ІТС органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління», затвердженого постановою КМ України від 03.08.2005 № 688.

Це Положення визначає порядок утворення та функціонування Реєстру ІТС державних органів (далі - Реєстр), ведення якого забезпечує Адміністрація Держспецзв'язку як Адміністратор Реєстру згідно вимог «Порядку формування й користування інформаційним фондом Реєстру ІТС органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління», затверджений наказом Адміністрації Держспецзв'язку від 24.04.2007 № 72, зареєстрований в Міністерстві юстиції України 14.05.2007 за № 500/1376.

Цей Порядок визначає види та форми надання відомостей до інформаційного фонду Реєстру ІТС державних органів (далі - Інформаційний фонд) та правила користування ним. Відомості про ІТС подаються ще на стадії технічного проектування систем, а у разі модернізації функціонуючих ІТС - на стадії створення КСЗІ в цих системах. У разі введення в експлуатацію або припинення функціонування ІТС відповідний державний орган у 10-денний строк повідомляє про це адміністратора Реєстру.

Відомості до Інформаційного фонду подаються на оптичних носіях типу CD-R із супровідним листом за підписом керівника державного органу. Після впровадження в державному органі електронно-цифрового підпису зазначені відомості надаються з додержанням вимог чинного  законодавства в електронному вигляді мережами передачі даних або надсилаються поштою на електронних носіях інформації. Носії інформації адресату не повертаються.

Державні органи двічі на рік (станом на 1 січня - до 1 лютого та станом на 1 липня - до 1 серпня) надають Адміністратору Реєстру узагальнені відомості про власні ІТС. Надалі в ті ж самі терміни державними органами надсилаються Адміністратору Реєстру відомості лише про ІТС, у яких відбулися зміни з моменту останнього надання інформації про них.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика