Please enable JavaScript.
Coggle requires JavaScript to display documents.
ЛР 11 НД ТЗІ 1.1-005-07 - Coggle Diagram
ЛР 11 НД ТЗІ 1.1-005-07
Терміни
Атестація – визначення відповідності виконаних робіт зі створення комплексу ТЗІ на об'єкті інформаційної діяльності вимогам нормативних документів з питань ТЗІ.
Випробування (комплексу ТЗІ) – сукупність аналітичних, експериментальних та вимірювальних робіт, які проводяться з метою визначення повноти виконання вимог щодо захисту від витоку інформації з обмеженим доступом технічними каналами, а також перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на об'єктах інформаційної діяльності.
Інформація з обмеженим доступом – інформація, що становить державну або іншу передбачену законом таємницю, а також службова інформація, а також конфіденційна інформація, яка перебуває у володінні розпорядників інформації, визначених частиною першою статті 13 Закону України “Про доступ до публічної інформації”, та інша конфіденційна інформація, вимога щодо захисту якої встановлена законом.
Комплекс ТЗІ – сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку інформації з обмеженим доступом технічними каналами на об’єктах інформаційної діяльності.
Об’єкт інформаційної діяльності – будівлі, приміщення, транспортні засоби чи інші інженерно-технічні споруди, функціональне призначення яких передбачає обіг інформації з обмеженим доступом.
Позначення
ІТС – інформаційно-телекомунікаційна система;
ІзОД – інформація з обмеженим доступом;
ОІД – об'єкт інформаційної діяльності;
ТЗІ – технічний захист інформації.
Створення комплексу ТЗІ
озвучення ІзОД (при проведенні нарад, під час показів зі звуковим супроводженням кіно- і відеофільмів тощо);
здійснення обробки ІзОД технічними засобами (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання ІзОД тощо);
обіг іншої ІзОД при проектуванні, будівництві, експлуатації об'єктів, виробництві технічних засобів тощо.
Створюють
– установа, яка є замовником створення комплексу ТЗІ
Установа-замовник може бути виконавцем робіт з ТЗІ і виконавцем випробувань або може залучати до виконання таких робіт і випробувань суб'єктів господарської діяльності, що мають ліцензії на провадження діяльності у сфері ТЗІ.
– виконавець робіт зі створення комплексу ТЗІ
У створенні комплексу ТЗІ (залежно від характеру, складності та обсягу робіт) можуть брати участь один або декілька виконавців. У цьому разі замовник визначає головного виконавця.
– виконавець проведення випробувань щодо створення комплексу ТЗІ
– свої структурні підрозділи, діяльність яких пов’язана з ІзОД та які обґрунтовують необхідність і заявляють про створення комплексу ТЗІ (підрозділи-заявники створення комплексу ТЗІ);
– призначену за необхідністю посадову особу з відповідною фаховою підготовкою для організації та координації робіт на всіх етапах створення комплексу ТЗІ, а також для організації експлуатації цього комплексу;
– підрозділ або посадові особи з відповідною фаховою підготовкою, яким доручено супроводження робіт з ТЗІ в установі (далі – підрозділ ТЗІ), службу захисту інформації в ІТС;
– інші підрозділи установи, які залучаються для формування положень щодо використання в інформаційній діяльності ІзОД, проведення обстеження, категорування об'єктів тощо.
– виконавець проведення атестації комплексу ТЗІ
Атестацію комплексу ТЗІ здійснює виконавець, що має відповідну ліцензію або дозвіл на провадження діяльності у сфері ТЗІ.
Основні заходи щодо організації створення комплексу ТЗІ
Підрозділ-заявник створення комплексу ТЗІ (або призначена посадова особа щодо організації та координації робіт на всіх етапах створення, а також експлуатації комплексу) разом з підрозділом ТЗІ готує і подає на затвердження керівнику установи замовника
– протокол про визначення вищого ступеня обмеження доступу до інформації
– проект рішення щодо створення комплексу ТЗІ на ОІД (основою для проведення робіт щодо створення комплексу може бути затверджений Протокол про визначення вищого ступеня обмеження доступу до інформації)
– готує пропозиції щодо термінів проведення обстеження на ОІД (оформлення відповідних протоколів, актів), проведення категорування об'єктів;
– створює модель загроз для ІзОД (стосовно забезпечення захисту від витоку ІзОД можливими технічними каналами);
– організовує розроблення технічних завдань щодо створення комплексу ТЗІ на ОІД (технічних вимог з питань ТЗІ);
– узгоджує зміни до прийнятих рішень з ТЗІ, якщо необхідність їх внесення обґрунтована результатами випробувань комплексу ТЗІ, надає виконавцю атестації комплексу ТЗІ дані про його створення на ОІД, а також висновки за результатами випробувань;
– створює необхідні умови для виконання випробувань і проведення атестації комплексу ТЗІ.
Виконавець робіт
– проведення заходів щодо недопущення встановлення закладних пристроїв несанкціонованого отримання інформації під час виконання будівельних та монтажноналагоджувальних робіт, прокладення нових інженерних комунікацій, встановлення технологічного обладнання, засобів оргтехніки, елементів інтер’єру, меблів тощо;
– проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які оброблятимуть ІзОД) з метою визначення повноти та достатності виконання вимог щодо захисту від витоку ІзОД технічними каналами на ОІД і формування рішень з ТЗІ;
– обґрунтування необхідності впровадження на ОІД заходів із захисту від витоку інформації технічними каналами, розроблення проектно-кошторисної та конструкторської документації;
– підготовку пропозицій щодо необхідності залучення співвиконавців для створення комплексу ТЗІ;
– розроблення проектів програм і методик випробувань;
– придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого обладнання;
– впровадження на ОІД заходів з ТЗІ;
– проведення відповідних випробувань згідно із затвердженими програмами і методиками;
– здійснення (у разі необхідності) будівельних, монтажно-налагоджувальних робіт та післяопераційного технічного контролю щодо повноти їх виконання;
– розроблення проектів паспортів на комплекс ТЗІ (у т.ч. паспортів на приміщення, де ІзОД озвучується та/або обробляється технічними засобами тощо);
– здійснення (на договірних засадах) гарантійного та післягарантійного обслуговування комплексу ТЗІ;
– проведення інструктажів щодо особливостей функціонування та експлуатації комплексу ТЗІ.
Основні етапи створення комплексу ТЗІ
– виконання передпроектних робіт (1 етап);
– розроблення та впровадження заходів із захисту інформації (2 етап);
– випробування та атестація комплексу ТЗІ (3 етап).
Джерела фінансування робіт ТЗІ
Витрати на проектування, будівельно-монтажні роботи, проведення випробувань щодо ТЗІ, атестації комплексу ТЗІ вносяться до кошторису на будівництво та експлуатацію (утримання) ОІД.