Please enable JavaScript.
Coggle requires JavaScript to display documents.
ЛР 9 ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації.…
ЛР 9 ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт
Загальні положення
Можливі такі варіанти захисту інформації:
досягнення необхідного рівня захисту ІзОД за мінімальних затрат і допустимого рівня обмежень видів ІД
досягнення необхідного рівня захисту ІзОД за допустимих затрат і заданого рівня обмежень видів ІД
досягнення максимального рівня захисту ІзОД за необхідних затрат і мінімального рівня обмежень видів ІД
Зміст та послідовність робіт з протидії загрозам:
проведенні обстеження підприємства, установи, організації (далі - підприємство)
розробленні і реалізації організаційних, первинних технічних, основних технічних заходів з використанням засобів забезпечення ТЗІ (додаток А)
прийманні робіт з ТЗІ
атестації засобів (систем) забезпечення ІД на відповідність вимогам нормативних документів з ТЗІ
Організація проведення обстеження
Хід обстеження:
провести аналіз умов функціювання підприємства, його розташування на місцевості (ситуаційного плану) для визначення можливих джерел загроз
дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території
вивчити схеми засобів і систем життєзабезпечення підприємства (електроживлення, уземлення, автоматизації, пожежної та охоронної сигналізацій), а також інженерних комунікацій та металоконструкцій
дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, розповсюдження і зберігання (далі - оброблення) інформації і провести необхідні вимірювання
визначити наявність та технічний стан засобів забезпечення ТЗІ
перевірити наявність на підприємстві нормативних документів, які забезпечують функціювання системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД
виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів
визначити технічні засоби і системи, застосування яких не обгрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню
визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ
Модель загроз включає:
генеральний та ситуаційний плани підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території
схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкційованого доступу до ІзОД
оцінку шкоди, яка передбачається від реалізації загроз
Організація розроблення системи захисту інформації
план ТЗІ, що повинен містити такі документи:
перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також вказівки щодо їхнього застосування
інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту
інструкції, що встановлюють обов`язки, права та відповідальність персоналу
календарний план ТЗІ
ТЗ повинно включати основні розділи:
вимоги до системи захисту інформації
вимоги до складу проектної та експлуатаційної документації
етапи виконання робіт;
порядок внесення змін і доповнень до розділів ТЗ
вимоги до порядку проведення випробування системи захисту
Реалізація організаційних заходів
Розроблення і реалізація:
визначити окремі задачі захисту ІзОД
обгрунтувати структуру і технологію функціювання системи захисту інформації
розробити і впровадити правила реалізації заходів ТЗІ
визначити і встановити права та обов`язки підрозділів та осіб, що беруть участь в обробленні ІзОД
придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними підприємство
установити порядок упровадження захищених засобів оброблення інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ
установити порядок контролю функціювання системи захисту інформації та її якісних характеристик
визначити зони безпеки інформації
установити порядок проведення атестації системи захисту інформаціїі, її елементів і розробити програми атестаційного випробування
забезпечити керування системою захисту інформації
Оперативне вирішення задач ТЗІ включає:
вивчати й аналізувати технологію проходження ІзОД у процесі ІД
оцінювати схильність ІзОД до впливу загроз у конкретний момент часу
оцінювати очікувану ефективність застосування засобів забезпечення ТЗІ
визначати (за необхідності) додаткову потребу в засобах забезпечення ТЗІ
здійснювати збирання, оброблення та реєстрацію даних, які відносяться до ТЗІ
розробляти і реалізовувати пропозиції щодо коригування плану ТЗІ в цілому або окремих його елементів
Реалізація первинних технічних заходів захисту
Потрібно забезпечити:
блокування каналів витоку інформації
демонтуванням технічних засобів, ліній зв'язку, сигналізації та керування, енергетичних мереж, використання яких не пов'язано з життєзабезпеченням підприємства та обробленням ІзОД
видаленням окремих елементів технічних засобів, які є середовищем поширення полів та сигналів, з приміщень, де циркулює ІзОД
тимчасовим відключенням технічних засобів, які не беруть участі в обробленні ІзОД, від ліній зв'язку, сигналізації, керування та енергетичних мереж
застосуванням способів та схемних рішень із захисту інформації, що не порушують основних технічних характеристик засобів забезпечення ІД
блокування несанкційованого доступу до інформації чи її носіїв
створенням умов роботи в межах установленого регламенту
унеможливленням використання програмних, програмно-апаратних засобів, що не пройшли перевірки (випробування)
перевірку справності та працездатності технічних засобів забезпечення ІД
Необхідно проводити відповідно до експлуатаційних документів
Виявлені несправні блоки й елементи можуть сприяти витоку або порушенню цілісності інформації і підлягають негайній заміні (демонтуванню)
Реалізація основних заходів
У процесі реалізації основних технічних заходів захисту потрібно:
установити засоби виявлення та індикації загроз і перевірити їхню працездатність
установити захищені засоби оброблення інформації, засоби ТЗІ та перевірити їхню працездатність
застосувати програмні засоби захисту в засобах обчислювальної техніки, автоматизованих системах, здійснити їхнє функційне тестування і тестування на відповідність вимогам захищеності
застосувати спеціальні інженерно-технічні споруди, засоби (системи)
ПО для захисту
ідентифікації та автентифікації користувачів, персоналу і ресурсів системи оброблення інформації
розмежування доступу користувачів до інформації, засобів обчислювальної техніки і технічних засобів автоматизованих систем
цілісності інформації та конфігурації автоматизованих систем
реєстрації та обліку дій користувачів
маскування оброблюваної інформації
реагування (сигналізації, відключення, зупинення робіт, відмови у запиті) на спроби несанкційованих дій
Приймання, визначення повноти та якості робіт
У ході атестації потрібно:
установити відповідність об`єкта, що атестується, вимогам ТЗІ
оцінити якість та надійність заходів захисту інформації
оцінити повноту та достатність технічної документації для об`єкта атестації
визначити необхідність внесення змін і доповнень до організаційно-розпорядчих документів тощо