Please enable JavaScript.
Coggle requires JavaScript to display documents.
НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності —…
НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності — Мороз В.Р
Основні положення
Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає основи організації та етапи виконання робіт щодо створення комплексу на об’єкті інформаційної діяльності (ОІД) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі – установа), який має забезпечувати захист від витоку інформації з обмеженим доступом (ІзОД) можливими технічними каналами (далі – комплекс ТЗІ).
Атестація – визначення відповідності виконаних робіт зі створення комплексу ТЗІ на
об'єкті інформаційної діяльності вимогам нормативних документів з питань ТЗІ.
Випробування (комплексу ТЗІ) – сукупність аналітичних, експериментальних та вимірювальних робіт, які проводяться з метою визначення повноти виконання вимог щодо захисту від витоку інформації з обмеженим доступом технічними каналами, а також перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на об'єктах інформаційної діяльності.
Комплекс ТЗІ – сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку інформації з обмеженим доступом технічними каналами на об’єктах інформаційної діяльності.
Об’єкт інформаційної діяльності – будівлі, приміщення, транспортні засоби чи інші інженерно-технічні споруди, функціональне призначення яких передбачає обіг інформації з обмеженим доступом.
Захисту від витоку технічними каналами на ОІД підлягає інформація, що 3 становить державну таємницю. Захист іншої ІзОД від витоку технічними каналами на ОІД здійснюється за рішенням розпорядника цієї інформації
Загальні положення
У створенні комплексу ТЗІ беруть участь:
– установа, яка є замовником створення комплексу ТЗІ (далі – замовник або установа-замовник);
– виконавець робіт зі створення комплексу ТЗІ (далі – виконавець робіт з ТЗІ);
– виконавець проведення випробувань щодо створення комплексу ТЗІ (далі – виконавець випробувань);
– виконавець проведення атестації комплексу ТЗІ (далі – виконавець атестації).
Атестацію комплексу ТЗІ здійснює виконавець, що має відповідну ліцензію або
дозвіл на провадження діяльності у сфері ТЗІ.
Установа-замовник може бути виконавцем робіт з ТЗІ і виконавцем випробувань або може залучати до виконання таких робіт і випробувань суб'єктів господарської діяльності, що мають ліцензії на провадження діяльності у сфері ТЗІ.
Атестацію комплексу ТЗІ здійснює виконавець, що має відповідну ліцензію або
дозвіл на провадження діяльності у сфері ТЗІ.
Рішення щодо необхідності створення (модернізації) комплексу ТЗІ готує замовник на стадіях проектування, нового будівництва, розширення, реконструкції (далі – будівництво) ОІД, а також у разі змін умов функціонування ОІД
Застосування імпортних засобів забезпечення захисту інформації можливе лише за умови відсутності вітчизняних аналогів при наявності відповідних технікоекономічних обґрунтувань і проведення їх сертифікації або одержання позитивного експертного висновку.
Основні заходи щодо організації створення комплексу ТЗІ
Підрозділ-заявник створення комплексу ТЗІ (або призначена посадова особа щодо організації та координації робіт на всіх етапах створення, а також експлуатації комплексу) разом з підрозділом ТЗІ готує і подає на затвердження керівнику установи замовника:
протокол про визначення вищого ступеня обмеження доступу до інформації;
проект рішення щодо створення комплексу ТЗІ на ОІД (основою для проведення робіт щодо створення комплексу може бути затверджений Протокол про визначення вищого ступеня обмеження доступу до інформації).
Установа-замовник також:
готує пропозиції щодо термінів проведення обстеження на ОІД (оформлення відповідних протоколів, актів), проведення категорування об'єктів;
створює модель загроз для ІзОД (стосовно забезпечення захисту від витоку ІзОД можливими технічними каналами);
організовує розроблення технічних завдань щодо створення комплексу ТЗІ на ОІД (технічних вимог з питань ТЗІ);
узгоджує зміни до прийнятих рішень з ТЗІ, якщо необхідність їх внесення обґрунтована результатами випробувань комплексу ТЗІ, надає виконавцю атестації комплексу ТЗІ дані про його створення на ОІД, а також висновки за результатами випробувань;
створює необхідні умови для виконання випробувань і проведення атестації комплексу ТЗІ.
Дозвіл на здійснення озвучення та/або оброблення технічними засобами ІзОД (окрім оброблення ІзОД в ІТС) надається керівником установи-замовника на підставі наявності Акта атестації та паспорта на комплекс ТЗІ.
Дозвіл на експлуатацію ІТС, технічні засоби яких розміщуються на ОІД, надається керівником установи-замовника на підставі наявності Атестата відповідності на комплексну систему захисту інформації в ІТС, який оформляється за результатами проведення державної експертизи у сфері ТЗІ.
Створення комплексу ТЗІ на ОІД передбачає такі основні етапи:
виконання передпроектних робіт (1 етап);
розроблення та впровадження заходів із захисту інформації (2 етап);
випробування та атестація комплексу ТЗІ (3 етап).