Please enable JavaScript.

Coggle requires JavaScript to display documents.

ДСТУ 3396.0-96 Талда А. Ю - Coggle Diagram

- - - - 3.2 Об’єкт, мету і завдання ТЗІ визначають і встановлюють особи, які володіють, користуються, розпоряджаються ІзОД у межах прав і повноважень, наданих законами України, підзаконними актами та нормативними документами системи ТЗІ.
    - - 3.7 Мета ТЗІ може бути досягнута побудовою системи захисту інформації, що є організованою сукупністю методів і засобів забезпечення ТЗІ. Технічний захист інформації здійснюється поетапно:
        
        1 етап - визначення й аналіз загроз;
        
        2 етап - розроблення системи захисту інформації;
        
        3 етап - реалізація плану захисту інформації;
        
        4 етап - контроль функціювання та керування системою захисту інформації.
      - 3.1 Об’єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження (далі - інформація з обмеженим доступом, ІзОД).
  - - - ДБН А.1.1-1-93 Система стандартизації та нормування в будівництві. Основні положення;
      - ДБН А.1.1-2-93 Система стандартизації та нормування в будівництві. Порядок розробки, вимоги до побудови, викладу та оформлення нормативних документів.
  - - - На першому етапі необхідно здійснити аналіз об’єктів ТЗІ, ситуаційного плану, умов функціювання підприємства, установи, організації, оцінити ймовірність прояву загроз та очікувану шкоду від їх реалізації, підготувати засадничі дані для побудови окремої моделі загроз.
      - Джерелами загроз може бути діяльність іноземних розвідок, а також навмисні або ненавмисні дії юридичних і фізичних осіб.
      - Загрози можуть здійснюватися:
        
        технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо-, радіотехнічні, хімічні та інші канали;
        
        каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
        
        несанкційованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.
      - Опис загроз і схематичне подання шляхів їх здійснення складають окрему модель загроз.
    - - На другому етапі слід здійснити розроблення плану ТЗІ, що містить організаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначити зони безпеки інформації
      - Для технічного захисту інформації слід застосовувати спосіб приховування або спосіб технічної дезінформації.
      - Заходи захисту інформації повинні:
        
        бути відповідними загрозам;
        
        бути розробленими з урахуванням можливої шкоди від їх реа-лізації і вартості захисних заходів та обмежень, що вносяться ними;
        
        забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.
      - Рівень захисту інформації означується системою кількісних та якісних показників, які забезпечують розв’язання завдання захисту інформації на основі норм та вимог ТЗІ.
      - Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпечнішій загрозі.
      - Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізації заходів ТЗІ, розрахунку ефективності захисту та порядок атестації технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщень) установлюються нормативними документами системи ТЗІ.
  - - - нормативні документи із стандартизації у галузі ТЗІ;
      - державні стандарти та прирівняні до них нормативні документи;
      - нормативні акти міжвідомчого значення, що реєструються у Міністерстві юстиції України;
        
        нормативні документи міжвідомчого значення технічного характеру, що реєструються уповноваженим Кабінетом Міністрів органом;
      - нормативні документи відомчого значення органів державної влади та органів місцевого самоврядування.
    - - проведення єдиної технічної політики;
      - створення і розвиток єдиної термінологічної системи;
      - функціювання багаторівневих систем захисту інформації на основі взаємнопогоджених положень, правил, методик, вимог та норм;
      - підготовку та перепідготовку кадрів у системі ТЗІ.
      - функціювання систем сертифікації, ліцензування й атестації згідно з вимогами безпеки інформації;
      - організацію проектування будівельних робіт у частині забезпечення ТЗІ;
      - розвиток сфери послуг у галузі ТЗІ;
      - установлення порядку розроблення, виготовлення, експлуатації засобів забезпечення ТЗІ та спеціальної контрольно-вимірювальної апа-ратури;
- - - - досягнення необхідного рівня захисту ІзОД за допустимих затрат і заданого рівня обмежень видів ІД;
      - досягнення необхідного рівня захисту ІзОД за мінімальних затрат і допустимого рівня обмежень видів ІД;
      - досягнення максимального рівня захисту ІзОД за необхідних затрат і мінімального рівня обмежень видів ІД.
    - - проведенні обстеження підприємства, установи, організації (далі - підприємство);
      - розробленні і реалізації організаційних, первинних технічних, основних технічних заходів з використанням засобів забезпечення ТЗІ (додаток А);
      - прийманні робіт з ТЗІ;
      - атестації засобів (систем) забезпечення ІД на відповідність вимогам нормативних документів з ТЗІ.
    - - Роботи повинні виконуватися силами підприємства під керівництвом спеціалістів з ТЗІ.
      - Для участі в роботах, подання методичної допомоги, оцінювання повноти та якості реалізації заходів захисту можуть залучатися спеціалісти з ТЗІ інших організацій, які мають ліцензію органа, уповноваженого Кабінетом Міністрів України.
  - - - провести аналіз умов функціювання підприємства, його розташування на місцевості (ситуаційного плану) для визначення можливих джерел загроз;
      - дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території;
      - вивчити схеми засобів і систем життєзабезпечення підприємства (електроживлення, уземлення, автоматизації, пожежної та охоронної сигналізацій), а також інженерних комунікацій та металоконструкцій;
      - дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, розповсюдження і зберігання (далі - оброблення) інформації і провести необхідні вимірювання;
      - визначити наявність та технічний стан засобів забезпечення ТЗІ;
      - перевірити наявність на підприємстві нормативних документів, які забезпечують функціювання системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД;
      - виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;
      - визначити технічні засоби і системи, застосування яких не обгрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;
      - визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ.
    - - генеральний та ситуаційний плани підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території;
      - схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкційованого доступу до ІзОД;
      - оцінку шкоди, яка передбачається від реалізації загроз.
  - - - визначити окремі задачі захисту ІзОД;
      - обгрунтувати структуру і технологію функціювання системи захисту інформації;
      - розробити і впровадити правила реалізації заходів ТЗІ;
      - визначити і встановити права та обов`язки підрозділів та осіб, що беруть участь в обробленні ІзОД;
      - придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними підприємство;
      - установити порядок упровадження захищених засобів оброблення інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ;
      - визначити зони безпеки інформації;
      - установити порядок контролю функціювання системи захисту інформації та її якісних характеристик;
      - установити порядок проведення атестації системи захисту інформаціїі, її елементів і розробити програми атестаційного випробування;
      - забезпечити керування системою захисту інформації.
    - - вивчати й аналізувати технологію проходження ІзОД у процесі ІД;
      - оцінювати схильність ІзОД до впливу загроз у конкретний момент часу;
      - оцінювати очікувану ефективність застосування засобів забезпечення ТЗІ;
      - визначати (за необхідності) додаткову потребу в засобах забезпечення ТЗІ;
      - здійснювати збирання, оброблення та реєстрацію даних, які відносяться до ТЗІ;
      - розробляти і реалізовувати пропозиції щодо коригування плану ТЗІ в цілому або окремих його елементів.
  - - - вимоги до системи захисту інформації;
      - вимоги до складу проектної та експлуатаційної документації;
      - етапи виконання робіт;
      - порядок внесення змін і доповнень до розділів ТЗ;
      - вимоги до порядку проведення випробування системи захисту.
    - - перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також вказівки щодо їхнього застосування;
      - інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту;
      - інструкції, що встановлюють обов`язки, права та відповідальність персоналу;
      - календарний план ТЗІ.