Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Організація роботи режимно-секретного органу (РСО)
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Захист інформації
Інформація про роботу
Рік:
2010
Тип роботи:
Курсова робота
Предмет:
Організація та проведення робіт пов’язаних із захистом інформації
Група:
ІБ – 44
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА”
ІКТА кафедра «Захист інформації»
КУРСОВА РОБОТА
з курсу:
" Організація та проведення робіт, пов’язаних
із захистом інформації з обмеженим доступом"
на тему:
“Організація роботи
режимно-секретного органу (РСО)”
ПЛАН
1. Завдання і мета розрахункової роботи.
2. Опис підприємства.
3. Визначення переліку об’єктів, які підлягають захисту.
4. Визначення та аналіз загроз об’єктам захисту та безпосередньо інформації. Побудова моделі
загроз. Побудова моделі порушника.
5. Розроблення системи захисту об’єктів.
6. Реалізація плану захисту інформації.
7. Контроль функціонування і керування системою ТЗІ.
8. Висновки.
9. Додатки до розрахункової роботи.
Завдання і мета розрахункової роботи
Завдання: Організувати та правильно розмістити режимно-секретний орган (РСО) та службу охорони РСО в державній установі, на якій циркулює інформація для службового користування. Встановити необхідне обладнання. Обрати та розмістити засоби для забезпечення безпеки режимно – секретного органу. Назва підприємства, вид його діяльності, перелік основних та допоміжних технічних засобів обробки, передавання та приймання інформації наведені у таблиці 1 та вибираються згідно варіанту. Допускаються зміни при виборі об’єкта захисту, за бажанням студента, які повинні узгоджуватись з викладачем.
Таблиця №1
№ п/п
Назва об’єкту (виділеного приміщення)
Перелік ОТЗ, які знаходяться в приміщенні
Перелік ТЗПІ, які не є основними
Перелік ДТЗС
Інформація, яка підлягає захисту
23
Військовий апеляційний суд
Три персональні комп‘ютери, з‘єднані в локальну мережу, з виходом на сервер, принтер, сканер.
Проводовий телефон, радіотелефон, вимірювальні прилади, музичний центр, радіоприймач, сканер телевізор, відеоплеєр, мережа з трьох комп‘ютерів (з виходом в Інтернет)
Лінії пожежної сигналізації, кабелі телефонного зв‘язку, лінії мережі електроживлення, пристрій для знищення паперу, настільна лампа, кондиціонер, гучномовний зв'язок.
Інформація, яка обробляється у військовому апеляційному суді «Для службового користування»
Мета: набути навиків у організації режимно-секретних органів (РСО) та служби охорони РСО в державній установі, на якій циркулює інформація для службового користування.
Опис підприємства
Рис.1.План
1 – зал судових засідань (РСО);
2 – кімната суддів;
3 – кімната для свідків;
4 – кімната технічного персоналу;
5 – туалет;
6 – кімната служби безпеки;
7 – кімната відпочинку.
Рис.2. Технічні засоби
Умовні позначення:
3.Визначення переліку об’єктів, які підлягають захисту.
Побудова моделей об’єктів
Можна виділити чотири основні класи об’єктів, які підлягають захисту:
персонал;
матеріальні (фінансові) ресурси;
технічні засоби обробки та захисту інформації;
інформаційні ресурси.
Персонал
Персонал – це люди, які перебувають на території підприємства і потребують безпечних умов праці і захисту від будь-чого.
Несанкціонований доступ чи розголошення будь-якої таємної інформації про підприємство є заборонені для всього персоналу. Персонал необхідно ознайомити з відповідальністю за несанкціонований доступ до таємної інформації і за її розголошення.
2) Матеріальні (фінансові) ресурси – відсутні.
Матеріальних ресурсів на даному підприємстві нема.
3) Технічні засоби обробки та захисту інформації
На нашому підприємстві є такі технічні засоби обробки та захисту інформації:
Основні: 3 комп’ютери, об`єднаних в локальну обчислювальну мережу принтер; сканер.
Неосновні: проводовий телефон; радіотелефон; музичний центр; сканер; пристрій для знищення паперу; радіоприймач; телевізор; мережа з трьох комп’ютерів з виходом в Інтернет;
4) Інформаційні ресурси
Інформаційними ресурсами є інформація, частина з якої є інформацією для службового користування..
Категорювання об’єктів захисту згідно зі ступенем важливості (І категорія – найвища)
І категорія – персонал. Основне завдання системи захисту зберегти життя та здоров`я людей.
ІІ категорія – інформація для службового користування і технічні засоби обробки і захисту інформації.
4. Визначення та аналіз загроз об’єктам захисту та безпосередньо інформації. Побудова моделі загроз. Побудова моделі порушника.
Визначення та аналіз загроз. Побудова моделі загроз.
Загроза – будь-які обставини або події, що можуть бути причиною порушення безпеки об’єкта та нанесення збитків.
Модель загроз об’єкту захисту – містить аналіз можливого переліку загроз безпечному стану об’єкта захисту та їх джерел, а також аналіз ризиків з боку цих загроз відповідно до умов функціонування підприємства;
В залежності від виду об’єкту та специфіки його функціонування, по різному можуть проявляти себе і загрози, характерні для цього об’єкта.
Можливі шляхи утворення каналів витоку інформації та випадкових і навмисних впливів на інформаційні системи:
-технічними каналами, що включають канали побічних електромагнітних випромінювань і наводів, акустичні, оптичні, радіотехнічні, хімічні та інші канали;
- каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
- несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.
- внаслідок різноманітних впливів природного походження (природні катастрофи, кліматичні умови).
- внаслідок випадкових чи навмисних впливів техногенного походження.
Таблиця №2 Загальна матриця загроз
Джерела ДФ
Типи ДФ
Персонал
Технічні
засоби
Моделі,
алгоритми,
програми
Технологія
функціо-
нування
Зовнішнє
середовище
Якісна недостатність
+
+
+
+
-
Кількісна недостатність
+
+
+
+
-
Відмова елементів КС
+
+
+
+
-
Збій елементів КС
+
+
+
+
-
Помилка елементів КС
+
+
+
+
-
Стихійні лиха
+
+
+
+
+
Злочинні дії
+
-
-
-
+
Побічні явища
+
+
+
+
+
Персонал є одним з найнебезпечніших джерел дестабілізуючих факторів, оскільки поведінку людини неможливо точно передбачити в тій чи іншій ситуації. Людський фактор може чи не найшвидше викликати реалізацію певної загрози. Особливу небезпеку становлять люди, які працюють з таємною інформацією і необхідно встановити такі правила організації їхньої роботи, щоб користувачі розуміли неперспективність будь-яких злочинних дій з їхнього боку, також необхідно провести повний інструктаж і навчання персоналу для того, щоб уникнути помилок через необізнаність. Служба безпеки також може нести загрози, які є дуже небезпечними і їй буде дуже легко реалізувати ці загрози, оскільки саме служба безпеки відповідає за справну роботу системи захисту і тому може легко порушити її функціонування. Саме тому служба безпеки не повинна мати доступу до таємної інформації, крім інформації, необхідної для забезпечення ефективного функціонування системи захисту.
Побудова моделі порушника
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
Під час розробки моделі порушника визначаються:
Припущення щодо категорії осіб, до яких може належати порушник;
2. Припущення щодо мотивів дій порушника (цілей, які він переслідує);
3. Припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушень);
4. Обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).
Завжди необхідно припускати, що за своїм рівнем порушник – це фахівець вищої кваліфікації, який має повну інформацію про систему.
Відносно АС порушники можуть бути внутрішніми (з числа персоналу або користувачів системи) або зовнішніми (сторонніми особами). Визначення категорій порушників наведено у додатку 2. В таблицях 3-7 наведені специфікації моделі порушника за мотивами здійснення порушень, за рівнем кваліфікації та обізнаності щодо АС, за показником можливостей використання засобів та методів подолання системи захисту, за часом дії, за містом дії. У графі “Рівень загроз” зазначених таблиць наведені у вигляді відносного ранжування оцінки можливих збитків, які може заподіяти порушник за умови наявності відповідних характеристик. Рівень збитків характеризується наступними категоріями:
1 – незначні; 2 – допустимі; 3 – середні; 4 – дуже значні.
Категорії порушників, визначених у моделі, специфікація моделі порушника за мотивами здійснення порушень, специфікація моделі порушника за рівнем кваліфікації та обізнаності щодо АС, специфікація моделі порушника за показником можливостей використання засобів та методів подолання системи захисту, специфікація моделі порушника за часом дії та специфікація моделі порушника за місцем дії наведені у додатку 2.
Модель порушника, яка побудована з урахуванням особливості конкретної автоматизованої системи, технологій обробки інформації, складу технічного персоналу та користувачів, характеризується сукупністю значень характеристик, що наведені у додатку 2. Сукупність цих характеристик визначає профіль можливостей порушника.
Модель порушника щодо даного підприємства
1. Порушник може належати до персоналу або бути сторонньою особою.
Особливо небезпечно, коли порушником є працівник служби безпеки. Тоді він матиме доступ на територію судової установи, хоча не має доступу до таємної інформації. Тому один з найнебезпечніших варіантів – коли працівник служби безпеки, який є порушником є у змові з одним з користувачів чи системним адміністратором. У цьому випадку можна проводити несанкціоновані дії, які важко буде виявити через те, що працівник служби безпеки, який повинен слідкувати за функціонуванням системи захисту сам сприяє витоку інформації.
Якщо порушником є стороння особа, вона не має вільного доступу до даної державної установи (військового апеляційного суду) і тому вона може намагатися одержати таємну інформацію завдяки побічним випромінюванням від технічних засобів з-за території підприємства за допомогою спрямованих антен і наведень. Також порушниками можуть бути люди, які здійснюють атаку мережі через Internet.
2. Серед мотивів дій порушника можна виділити такі: самоствердження, безвідповідальність, корисливий інтерес, професійний обов`язок.
3. Будемо вважати, що за своїм рівнем порушник – це фахівець вищої кваліфікації, який має повну інформацію про систему. Він може мати будь-які закладні пристрої для встановлення у комп`ютерній мережі, електромережі, системах водопостачання, опалення, водовідведення, системі пожежної сигналізації, телефонних лініях чи технічних засобах. Також він може використовувати спеціальні спрямовані антени для вловлювання побічних випромінювань чи пристрої для отримання акустичної інформації через вібрації віконних шибок або будь-які інші пристрої, які дозволяють отримати таємну інформацію чи пошкодити інформаційну систему та системи життєзабезпечення підприємства.
4. Порушник може діяти ще до створення інформаційної системи і системи безпеки, встановивши закладні пристрої просто у приміщенні де ще нічого нема або встановивши їх у процесі створення інформаційної системи. Так само порушник може здійснювати свої дії під час збоїв у функціонуванні систем захисту або навіть при повноцінному їх функціонуванні.
Порушник може діяти як з території підприємства так і з-за її меж. Особливо небезпечно, коли порушник діє з приміщень, які не спостерігаються службою безпеки, наприклад, системний адміністратор чи користувач, що займається теоретичними дослідженнями і має при цьому доступ до інформаційної системи. Також порушник може мати доступ до систем захисту, якщо він є працівником служби безпеки.
5. Розроблення системи захисту об’єктів
На даному етапі проводиться вибір засобів захисту адекватних загрозі. При цьому система безпеки, побудована на вибраних засобах захисту повинна відповідати певним вимогам, бути: безперервною, плановою, централізованою, цілеспрямованою, конкретизованою, активною, надійною, універсальною, комплексною
Вибір політики безпеки
Політика безпеки є чи не найголовнішою в організації системи захисту. Адже можна використовувати дуже багато дорогих засобів захисту, але за поганого вибору політики безпеки вони не дозволять створити ефективну систему захисту.
Під поняттям ПБ інформації розуміється організована сукупність документованих керівних рішень, спрямованих на захист інформації й асоційованих з нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованого в системі комплексу заходів із захисту інформації.
Формування ПБ є дуже складним аналітичним процесом, який важко формалізувати. Існують різні типи конкретних політик, причому деякі з них передбачають достатньо високий рівень формалізації. Більше того, існують точні доказові методи оцінки ПБ.
Дотримання ПБ має забезпечити виконання того компромісу між альтернативами, який вибрали власники цінної інформації для її захисту. Вочевидь, будучи результатом компромісу, ПБ ніколи не задовольнить усі сторони, що беруть участь у взаємодії з інформацією, що захищається. У той же час вибір ПБ - це кінцеве вирішення проблеми: що - добре і що - погано при роботі з цінною інформацією. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації добра, якщо вона надійно підтримує виконання правил ПБ.
Виділяють такі види політики безпеки:
Дискреційна
Мандатна
Рольова
Для створення системи захисту я буду використовувати рольову політику безпеки.
У рольовій політиці безпеки керування доступом здійснюється як на основі матриці прав доступу так і за допомогою правил, які регламентують призначення ролей користувачам.
У рольовій політиці безпеки поняття суб`єкт замінюється поняттям користувач і роль. Користувач – це людина, яка працює з системою і виконує певні службові обов`язки. Роль – це активно діюча в системі абстрактна сутність у системі, з якою пов`язаний обмежений логічно зв`язаний набір повноважень, необхідний для здійснення відповідної діяльності.
При використанні рольової політики безпеки керування доступом здійснюється у два етапи:
Для кожної ролі вказується набір повноважень, що являють собою набір прав доступу до об’єктів.
Кожному користувачу призначається доступний йому список ролей.
Переваги рольової політики безпеки
Обрана мною рольова політика безпеки краще підходить, ніж мандатна тому, що усі користувачі не займаються однією і тією ж діяльністю, а виконують певну роль у процесі проведення досліджень. Мандатна ж політика безпеки передбачає надання користувачам певного рівня доступу до таємної інформації, навіть, якщо їм не потрібна уся інформація, що знаходиться під даним рівнем секретності. Рольова політика безпеки дозволяє організувати доступ користувачам саме до тієї частини інформації, яка їм потрібна для виконання своїх обов’язків без можливості використовувати інформацію, яка не стосується їхньої діяльності. Це дозволяє зменшити ризик витоку таємної інформації завдяки обмеженню доступу до неї і, навіть, при витоку якоїсь частини інформації до якої має доступ користувач, основна частина інформації залишається в безпеці, що не дозволяє зловмиснику отримати таємну інформацію в повному обсязі. Таке розмежування обов’язків є дуже ефективним, оскільки жоден з користувачів не зможе самостійно проводити дослідження, працюючи, наприклад на якусь іншу організацію, що привело б до великих матеріальних втрат.
Дискреційна політика безпеки також не може задовольнити необхідні вимоги захисту. Основний її недолік полягає в тому, що дискреційна політика безпеки не є стійкою до атаки типу «Троянський кінь».
Звичайно рольова політика безпеки має й свої недоліки. Одним з основних недоліків є зменшення ефективності роботи через дуже сильне і чітке розмежування обов’язків.
Пристрої, необхідні для системи захисту
Необхідно встановити охоронну сигналізацію на всі вікна і вхідні двері для того, щоб службі безпеки було відомо про проникнення зловмисника на територію підприємства.
Для захисту від витоку інформації через електромережу необхідно у всі розетки, що знаходяться в приміщенні РСО встановити мережеві фільтри . Також, для того, щоб забезпечити надійну роботу системи захисту необхідне постійне постачання електроенергії, але оскільки електромережу можна пошкодити ще у вільній неконтрольованій зоні або електрику можуть відключити через певні причини необхідним є встановлення дизельного генератора, який зможе забезпечити підприємство електроенергію у випадках пошкодження звичайного електропостачання. Його доцільно розмістити в кімнаті технічного персоналу і зобов’язати електрика слідкувати за справним функціонуванням генератора.
Трубопровідна система також потребує захисту, адже вона містить в собі вібро-акустичні канали витоку інформації: через вібрації труб можна одержати звукову інформацію. Тому на всі труби, що знаходяться в приміщенні РСО необхідно встановити спеціальні лінійні генератори шумових вібрацій (8).
Також каналом витоку інформації можуть бути технічні засоби і системи, такі як: комп’ютери, сканер, принтер, засоби телефонного зв’язку, системи пожежної й охоронної сигналізації. Вони можуть створювати випадкові антени, які вловлюватимуть побічні випромінювання технічних засобів обробки та захисту інформації. Крім того побічні випромінювання технічних засобів можуть бути вловлені за допомогою спрямованих антен зловмисниками з-за меж контрольованих зон чи в їх межах, коли зловмисником є співробітник або зловмисник проник на територію і встановив спеціальні пристрої. Зважаючи на вище сказане необхідно послабити або зовсім нейтралізувати побічні випромінювання усіх технічних засобів. Для цього будемо застосовувати екранування. Екранувати можна як окремі прилади так і кімнати або будівлю цілком. Заекранувати слід ті технічні засоби, які знаходяться в приміщенні РСО. Також необхідно встановити просторові генератори білого шуму, які вмикаються при роботі з таємною інформацією, адже не потрібна постійна їх робота, бо це може бути шкідливо для працівників. Ці генератори створюють завади, які є хаотичними і не дозволяють виділити корисний сигнал побічних електро-магнітних випромінювань.
Також необхідно захистити комп’ютерну локальну мережу з виходом в Internet від зовнішніх атак. Для цього треба встановити антивірусні програми, а також програми захисту мережі від несанкціонованого доступу. Необхідно, щоб системний адміністратор знав як діяти у випадку атаки хакерів, для цього він має бути висококваліфікованим і пройти додаткове навчання.
Служба безпеки також повинна бути висококваліфікованою і пройти інструктаж як діяти у випадку тих чи інших ситуацій. В першу чергу вона забезпечує захист від зовнішніх нападів на установу, а також забезпечує внутрішній порядок; нейтралізує усі спроби проникнення на територію підприємства зловмисників та спроби проникнення в кімнати до яких нема доступу персоналу. Також однією з основних функцій служби безпеки є слідкування за тим, що відбувається в зоні, що спостерігається і реєстраційній зоні, тобто дивитись за тим, щоб не відбувались жодні дії, які не входять в обов’язки персоналу.
6. Реалізація плану захисту інформації
Для того, щоб реалізувати систему захисту необхідна закупка і встановлення обладнання вказаного в попередньому розділі, а також необхідно провести інструктаж усіх співробітників, а особливо служби безпеки. Встановлювати прилади для створення системи захисту повинні спеціальні організації, які мають ліцензію на проведення таких робіт.
7. Контроль функціонування і керування системою ТЗІ
Для ефективного і надійного функціонування системи захисту необхідний постійних догляд за нею. Потрібно періодично проводити перевірку функціонування усіх систем, провіряти справність технічних засобів. Також необхідно періодично проводити перевірку на наявність закладних пристроїв, чим займаються спеціальні органи. Необхідно проводити заміну засобів захисту після закінчення терміну їх експлуатації або при поломці, яку не можна виправити. Зокрема треба періодично замінювати каналізаційний фільтр, а старий утилізовувати, оскільки він може нести інформацію про дослідження і просто викидати його не можна. Треба проводити дезинфекцію сканерів призначених для розпізнавання персоналу відкривання замків. Також необхідно регулярно обновляти антивірусні програми і проводити сканування комп’ютерів на наявність комп’ютерних вірусів.
За справне функціонування системи захисту відповідає служба безпеки.
8. Висновок
Проблема захисту секретних відомостей, окрім режимної, має і технічну сторону - захист інформації з обмеженим доступом від її витоку технічними каналами. Тому роботи по створенню баз і банків даних, інформаційних мереж, в тому числі з виходом в глобальні комп'ютерні мережі, повинні проводитись із врахуванням нормативних вимоги по технічному захисту інформації.
Отже, виконуючи цю курсову роботу, я намагався організувати систему захисту режимно-секретного органу (військового апеляційного суду) і забезпечити безпечне його функціонування, дотримуючись вимог нормативних актів.
9. Додатки до розрахункової роботи
НД ТЗІ 3.1-001-07
Захист інформації на об’єктах інформаційної діяльності.
Створення комплексу технічного захисту інформації.
Передпроектні роботи
Чинний від 2007-12-12
1 Галузь використання
Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає основні положення щодо проведення передпроектних робіт при створенні на об'єкті інформаційної діяльності (ОІД) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі – установа) комплексу ТЗІ, який має забезпечувати захист від витоку інформації з обмеженим доступом (ІзОД) технічними каналами.
Цим НД встановлюються порядок та зміст проведення передпроектних робіт на ОІД, які вже функціонують або будуються (модернізуються), вимоги до оформлення акта обстеження на ОІД, а також вимоги до порядку розроблення та оформлення технічного завдання на створення комплексу ТЗІ (далі – ТЗ).
2 Нормативні посилання
У цьому НД є посилання на такі нормативні документи:
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.
ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва.
НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення.
3 Визначення
У цьому НД використовують терміни відповідно до ДСТУ 3396.2, НД ТЗІ 1.1-005-07.
4 Позначення
У цьому НД використовують такі позначення:
ІзОД – інформація з обмеженим доступом;
КЗ – контрольована зона;
ОІД – об'єкт інформаційної діяльності;
ТЗ – технічне завдання;
ТЗІ – технічний захист інформації.
5 Загальні положення
5.1 Виконання передпроектних робіт на ОІД є першим етапом створення комплексу ТЗІ, де передбачається:
– проведення обстеження на діючому ОІД;
– розроблення моделі загроз для ІзОД або доповнення до діючої моделі загроз відповідно до положень НД системи ТЗІ;
– розроблення технічних завдань на створення комплексу ТЗІ (технічних вимог з питань ТЗІ).
6 Порядок проведення обстеження на ОІД
6.1 Метою обстеження є підготовка вихідних даних для формування вимог щодо створення комплексу ТЗІ.
6.2 Обстеження на ОІД проводить комісія, склад якої затверджується керівником установи-замовника згідно із затвердженою програмою (за необхідності).
До складу комісії включають фахівців: структурних підрозділів установи, інформаційна діяльність яких пов’язана з ІзОД, підрозділів, які заявляють створення комплексу ТЗІ, підрозділу, якому доручено супроводження робіт з ТЗІ в установі, підрозділів щодо будівництва, енергопостачання тощо.
6.3 Програма проведення обстеження на ОІД може містити:
– назву установи, що замовляє створення комплексу ТЗІ;
– назву ОІД;
– підстави для проведення обстеження (рішення керівника установи щодо створення комплексу ТЗІ);
– перелік, обсяги робіт з обстеження, терміни їх виконання;
– виконавці, співвиконавці обстеження.
6.4 Під час обстеження проводять аналіз:
– умов функціонування ОІД, особливостей розташування його на місцевості, відносно меж контрольованої зони (КЗ), архітектурно-будівельних особливостей тощо;
– технічних засобів, що оброблятимуть ІзОД, та технічних засобів, які не використовують безпосередньо для її оброблення, визначають місця їх розташування на ОІД;
– розташування інженерних комунікацій та металоконструкцій, виявляють транзитні, незадіяні (повітряні, зовнішні, підземні) комунікації (для опрацювання пропозицій щодо їх вилучення чи доопрацювання), а також такі, що виходять за межі КЗ;
– необхідності впровадження інженерних і технічних заходів захисту від витоку ІзОД технічними каналами.
6.5 Результати обстеження на ОІД викладають в акті, форму та зміст якого наведено у додатку А.
6.6 Зміни до затвердженого керівником установи-замовника Акта обстеження на ОІД оформляють доповненням, де пояснюється причина його складання та наводяться номери і зміст пунктів акта, які доповнюються, змінюються або замінюються.
Після затвердження доповнення на першому аркуші Акта обстеження на ОІД роблять позначення “Діє з доповненням від … № …”.
7 Порядок розроблення та оформлення технічного завдання на створення комплексу ТЗІ
7.1 Розроблення ТЗ є обов’язковим для комплексів ТЗІ, які будуть створюватися під час нового будівництва споруди, а також для створення комплексів ТЗІ на особливо важливих об’єктах.
7.2 Підрозділ-заявник створення комплексу ТЗІ організовує розроблення ТЗ (технічних вимог), узгодження його з виконавцями робіт та подає на затвердження керівнику установи-замовника.
7.3 Підписи виконавців ТЗ розміщують на останньому аркуші.
7.4 Зміни до затвердженого ТЗ оформляють доповненням, де пояснюється причина його складання та наводяться номери і зміст пунктів ТЗ, які доповнюються, змінюються, або замінюються.
Після затвердження доповнення на титульному аркуші ТЗ роблять позначення “Діє з доповненням від … № …”.
7.5 У загальному випадку до складу ТЗ входять такі розділи і підрозділи:
1) Загальні відомості.
2) Вихідні дані для виконання робіт.
3) Технічні вимоги до комплексу ТЗІ:
– загальні вимоги;
– вимоги щодо стійкості до зовнішніх впливів;
– вимоги з безпеки експлуатації;
– вимоги до метрологічного забезпечення;
– вимоги щодо забезпечення охорони державної таємниці;
– вимоги щодо технічного забезпечення виконання робіт;
– вимоги щодо забезпечення безпеки при виконанні робіт.
4) Вимоги до документації.
5) Етапи виконання робіт та порядок їх приймання.
При оформленні ТЗ залежно від складності, призначення та особливостей комплексу ТЗІ дозволено уточнювати зміст розділів, підрозділів, оформляти їх у вигляді додатків, вводити нові, виключати чи об’єднувати їх.
7.5.1 Розділ “Загальні відомості” містить:
– короткий опис, дислокацію ОІД;
– підстави для виконання робіт;
– мету проведення робіт та головні завдання;
– дані про замовника і виконавців робіт;
– терміни виконання робіт.
7.5.2 У розділі “Вихідні дані для виконання робіт” наводять:
– відомості про результати проведення обстеження на ОІД, визначення загроз безпеці ІзОД, проведення категорування об'єктів, ступінь обмеження доступу до ІзОД, що озвучуватиметься та/або оброблятиметься технічними засобами тощо;
– основні технологічні, будівельні та архітектурно-планувальні рішення щодо ОІД;
– схеми (опис) систем опалення, вентиляції, електроживлення, інших систем життєзабезпечення, комунікацій, що виходять за межі контрольованої зони (КЗ), тощо.
7.5.3 У розділі “Технічні вимоги до комплексу ТЗІ” наводять основні вимоги до захисту ІзОД на ОІД, вимоги до проведення випробувань і атестації комплексу ТЗІ.
Вимоги до комплексу ТЗІ мають відповідати сучасному рівню розвитку науки й техніки, зокрема сфери ТЗІ, та не повинні обмежувати розробника в реалізації найбільш ефективних техніко-економічних рішень.
7.5.3.1 У підрозділі “Загальні вимоги” наводять:
– перелік основних нормативно-правових актів і НД з питань ТЗІ, за вимогами яких розроблятиметься комплекс ТЗІ;
– вимоги до вибору засобів забезпечення ТЗІ, в тому числі забезпечення їх безперебійного електроживлення та заземлення;
– перелік інформаційно-телекомунікаційних систем (автоматизованих систем, систем міського та внутрішнього телефонного зв'язку, радіотрансляції, телебачення тощо), засобів та систем життєзабезпечення (систем електроживлення обладнання, освітлення приміщень, заземлення, охоронної і пожежної сигналізації, опалення, вентиляції, кондиціювання) тощо, що функціонуватимуть на ОІД;
– встановлені межі КЗ, межі зон безпеки ІзОД на ОІД для кожного можливого технічного каналу витоку інформації;
– вимоги щодо взаємодії з іншими комплексами (системами) інформаційної безпеки установи.
7.5.3.2 У підрозділах “Вимоги щодо стійкості до зовнішніх впливів”, “Вимоги з безпеки експлуатації”, “Вимоги до метрологічного забезпечення” вказують відповідні вимоги чинних в Україні нормативних документів (ГОСТ, ДСТУ тощо).
Засоби вимірювальної техніки, що використовуються при проведенні робіт з ТЗІ, мають пройти повірку згідно з вимогами законодавства України.
7.5.3.3 У підрозділі “Вимоги щодо забезпечення охорони державної таємниці” вказують вимоги відповідних нормативно-правових документів.
7.5.3.4 У підрозділі “Вимоги щодо технічного забезпечення виконання робіт” вказується, що роботи проводяться виконавцем із застосуванням власної матеріально-технічної бази, необхідної для виконання робіт, або інше.
7.5.3.5 У підрозділі “Вимоги щодо забезпечення безпеки при виконанні робіт” вказують про обов'язковість дотримання вимог техніки безпеки, охорони праці та пожежної безпеки при виконанні робіт.
7.5.4 У розділі “Вимоги до документації” наводять перелік документів, які необхідно розробити для створення комплексу ТЗІ, наприклад:
– пояснювальна записка з ТЗІ;
– завдання на розроблення (коригування) архітектурно-будівельної частини та інженерно-технічного забезпечення споруди з урахуванням вимог з ТЗІ;
– проектна документація щодо заходів ТЗІ, а також на будівельні закладні конструкції для монтажу засобів ТЗІ, засобів зв’язку, комп’ютерних мереж, телекомунікаційних систем, мереж електроживлення технічних засобів, електроосвітлення приміщень тощо, а також розділ “Заходи ТЗІ” загальної пояснювальної записки (ДБН А.2.2-2);
– план розміщення засобів захисту;
– кошторис на опрацювання, впровадження заходів з ТЗІ, а також проведення випробувань і атестації комплексу ТЗІ;
– проект технічного паспорта на комплекс ТЗІ, форми паспортів на приміщення, де ІзОД озвучується та/або обробляється технічними засобами, інструкції з експлуатації комплексу ТЗІ (за необхідності).
Проектна та експлуатаційна документація мають бути розроблені відповідно до положень чинних в Україні нормативних документів.
Виконавець забезпечує проведення експертизи проектної документації в частині ТЗІ згідно з ДБН А2.2-2 та іншими НД.
Вимоги до розроблення документації можуть уточнюватися і доповнюватися за погодженням між замовником і виконавцями робіт.
7.5.5 У розділі “Етапи виконання робіт та порядок їх приймання” наводять етапи виконання робіт (у т.ч. проведення випробувань і атестації комплексу ТЗІ), терміни виконання робіт, порядок їх приймання та здійснення будівельно-монтажних та налагоджувальних робіт (можливе посилання на календарні графіки щодо виконання робіт).
Додаток А
(довідковий)
Форма та зміст акта обстеження на об’єкті інформаційної діяльності стосовно створення комплексу ТЗІ
Ступінь обмеження доступу
Прим. №
ЗАТВЕРДЖЕНО
Керівник установи-замовника
__________________________
____. ____. 20___
АКТ
обстеження на об’єкті інформаційної діяльності
---------------------------------------------------------------------------------------------------
(назва, належність об'єкта інформаційної діяльності)
1 Обстеження на ОІД проведено комісією (вказати склад), призначеною наказом (розпорядженням) по установі від … № …, згідно із затвердженою програмою обстеження (рішення керівника установи від … № …).
2 Вказують такі відомості:
2.1 Характеристика ОІД.
Схема, дислокація, результати аналізу умов функціонування ОІД (витяг із затвердженого Протоколу про визначення вищого ступеня обмеження доступу до інформації).
Вказати: ОІД – це інженерно-технічна споруда, її частина або декілька споруд, приміщення, транспортний засіб тощо.
2.2 Характеристика складових ОІД.
Дані про приміщення, де може здійснюватися інформаційна діяльність, пов’язана з озвученням, обробленням тощо ІзОД (позначення, призначення, місце розташування, розміри, поверх, площа, висота стелі, суміжні приміщення тощо).
Архітектурно-будівельні особливості приміщень:
– огороджувальні будівельні конструкції: стеля, підлога, стіни, перегородки (матеріал, товщина);
– підвісна стеля (конструкція, матеріал);
– вікна, двері, інші отвори (кількість, матеріал, розміри).
Вказують складові ОІД, що можуть впливати на показники ефективності захищеності ІзОД і які можуть бути середовищем поширення за межі КЗ її носіїв (інженерні комунікації, обладнання, оргтехніка, засоби ТЗІ (за наявності), пожежна, охоронна сигналізації, телебачення, системи зв’язку, радіофікації, часофікації, автоматизації, керування, електроживлення, заземлення, газо-, водопостачання, опалення, вентиляції, кондиціонування повітря, водостоку, каналізації, технологічне обладнання, огороджувальні будівельні конструкції, світлопроникні отвори приміщень, будинків, споруд, салонів транспортних засобів тощо).
2.3 Схеми розміщення комунікацій, обладнання систем електроживлення, у т.ч. трансформаторної підстанції.
Вказують, які складові ОІД виходять за межу КЗ або її перетинають, застосування яких не обґрунтовано виробничою необхідністю і які підлягають демонтуванню, у подальшому застосуванні яких відсутня необхідність (із посиланням на відповідні витяги з планів, схем тощо).
2.4 Опис систем заземлення.
Наводять перелік технічних засобів, що підлягають заземленню.
2.5 Результати аналізу наявності в установі:
– затвердженої схеми КЗ, в межах якої розташований ОІД;
– даних про можливі місця розміщення зовні КЗ засобів технічної розвідки тривалого перехоплення;
– затвердженої моделі загроз для ІзОД;
– даних за результатами проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які обробляють ІзОД);
– засобів забезпечення ТЗІ, у т.ч. таких, що вже функціонують;
– технічної (проектно-кошторисної, конструкторської, експлуатаційної) документації щодо впроваджених заходів з ТЗІ (архівні, інвентарні, реєстраційні номери, місця знаходження документації);
– даних про виконавців робіт з ТЗІ на інших ОІД установи;
– даних про проектні, будівельно-монтажні установи, які були задіяні для проектування і будівництва інших ОІД установи;
– систем безпеки по установі, до яких може бути інтегрований комплекс ТЗІ.
3 Пропозиції щодо необхідності:
– отримання додаткових даних про можливі місця розміщення засобів технічної розвідки (загроз для ІзОД, у т.ч. засобів тривалого перехоплення);
– розроблення нової або уточнення затвердженої в установі моделі загроз для ІзОД;
– проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які оброблятимуть ІзОД);
– розроблення технічних вимог та завдань з питань ТЗІ;
– застосування організаційних, інженерно-технічних заходів захисту (у т.ч. застосування засобів оброблення ІзОД, інших технічних засобів у захищеному виконанні);
– залучення до виконання робіт зі створення комплексу ТЗІ суб’єктів господарської діяльності в галузі ТЗІ, проектних, будівельно-монтажних установ, а також розроблення проектно-кошторисної документації в частині ТЗІ згідно з вимогами державних будівельних норм України, інших НД.
4 Висновки щодо терміну проведення категорування об'єктів та подання на затвердження актів із категорування.
Додатки.
Перелік протоколів та інших документів щодо обстеження.
Голова комісії ____________ ______________________
(підпис) (ініціали, прізвище)
Члени комісії: ____________ _______________________
(підпис) (ініціали, прізвище)
НД ТЗІ 1.1-005-07
Захист інформації на об’єктах інформаційної діяльності.
Створення комплексу технічного захисту інформації.
Основні положення
Чинний від 2007-12-12
1 Галузь використання
Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає основи організації та етапи виконання робіт щодо створення комплексу на об’єкті інформаційної діяльності (ОІД) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі – установа), який має забезпечувати захист від витоку інформації з обмеженим доступом (ІзОД) можливими технічними каналами (далі – комплекс ТЗІ).
Вимоги цього НД можуть використовуватися під час обґрунтування, організації розроблення, впровадження заходів захисту ІзОД від загроз, що можуть бути здійснені каналами спеціального впливу на технічні засоби інформаційних (автоматизованих), телекомунікаційних, інформаційно-телекомунікаційних систем (далі – ІТС) та на інші технічні засоби.
Захищеність об’єктів, комплексів та засобів спеціального зв'язку від витоку інформації технічними каналами визначається іншими НД.
2 Нормативні посилання
У цьому НД є посилання на такі нормативні документи:
ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення.
ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт.
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.
ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва.
ДБН А.2.2-3-2004 Проектування. Склад, порядок розроблення, погодження та затвердження проектної документації для будівництва.
НД ТЗІ 3.1-001-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи.
НД ТЗІ 3.3-001-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації.
НД ТЗІ 2.1-002-07 Захист інформації на об’єктах інформаційної діяльності. Випробування комплексу технічного захисту інформації. Основні положення.
3 Визначення
У цьому НД використано терміни відповідно до ДСТУ 3396.2.
Визначення інших термінів:
Атестація – визначення відповідності виконаних робіт зі створення комплексу ТЗІ на об'єкті інформаційної діяль ності вимогам нормативних документів з питань ТЗІ.
Випробування (комплексу ТЗІ) – сукупність аналітичних, експериментальних та вимірювальних робіт, які проводяться з метою визначення повноти виконання вимог щодо захисту від витоку інформації з обмеженим доступом технічними каналами, а також перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на об'єктах інформаційної діяль ності.
Інформація з обмеженим доступом – інформація, що становить державну або іншу передбачену законом таємницю, а також конфіденційна інформація, що є власністю держави або вимога щодо захисту якої встановлена законом.
Комплекс ТЗ...
20.03.2012 20:03-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора