Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інтелект-карта стандарту України ДСТУ 3396.1-96 Субота Роман КБ-21 -…
Інтелект-карта стандарту України ДСТУ 3396.1-96 Субота Роман КБ-21
Загальні положення
Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в
ДСТУ 3396.0-96 етапам функціювання системи захисту інформації і полягає в
проведенні обстеження підприємства, установи, організації (далі - підприємство)
атестації засобів (систем) забезпечення ІД на відповідність вимогам нормативних документів з ТЗІ
прийманні робіт з ТЗІ
Порядок проведення робіт з ТЗІ або окремих їхніх етапів установлюється наказом (розпорядженням)
керівника підприємства
Можливі такі варіанти захисту інформації
досягнення необхідного рівня захисту ІзОД за мінімальних затрат і допустимого рівня обмежень видів ІД
досягнення необхідного рівня захисту ІзОД за допустимих затрат і заданого рівня обмежень видів ІД
досягнення максимального рівня захисту ІзОД за необхідних затрат і мінімального рівня обмежень видів ІД
Інформація з обмеженим доступом (ІзОД), яка використовується у процесі інформаційної діяльності, може бути піддається загрозам безпеки, що може призвести до її витоку або порушення цілісності.
Організація проведення обстеження
У ході обстеження необхідно
провести аналіз умов функціювання підприємства, його розташування на місцевості (ситуаційного плану) для
визначення можливих джерел загроз
дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території
визначити наявність та технічний стан засобів забезпечення ТЗІ
визначити технічні засоби і системи, застосування яких не обгрунтовано службовою чи виробничою
необхідністю і які підлягають демонтуванню
визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ
Метою обстеження підприємства є вивчення його ІД, визначення об`єктів захисту - ІзОД, виявлення загроз,
їхній аналіз та побудова окремої моделі загроз
Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і
затверджується наказом керівника підприємства
Матеріали обстеження необхідно використовувати під час розроблення окремої моделі загроз, яка повинна
включати
генеральний та ситуаційний плани підприємства, схеми розташування засобів і систем забезпечення ІД, а
також інженерних комунікацій, які виходять за межі контрольованої території
схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкційованого доступу до
ІзОД
оцінку шкоди, яка передбачається від реалізації загроз
За результатами обстеження слід скласти акт, який повинен бути затверджений керівником підприємства
Організація розроблення системи захисту інформації
На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту
інформації і скласти технічне завдання (ТЗ) на розроблення системи захисту інформації
ТЗ і план ТЗІ розробляють спеціалісти з ТЗІ, узгоджують із зацікавленими підрозділами (організаціями).
Затверджує їх керівник підприємства
Основою функціювання системи захисту інформації є план ТЗІ, що повинен містити такі документи
інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту
календарний план ТЗІ
інструкції, що встановлюють обов`язки, права та відповідальність персоналу
ТЗ повинно включати основні розділи
вимоги до системи захисту інформації
етапи виконання робіт
вимоги до складу проектної та експлуатаційної документаці
порядок внесення змін і доповнень до розділів ТЗ
Реалізація організаційних заходів захисту
Організаційні заходи захисту інформації - це адміністративні та обмежувальні заходи для регламентації діяльності персоналу та функціонування засобів забезпечення інформаційної діяльності і технічного захисту.
У процесі розроблення і реалізації організаційних заходів потрібно
обгрунтувати структуру і технологію функціювання системи захисту інформації
визначити і встановити права та обов`язки підрозділів та осіб, що беруть участь в обробленні ІзОД
розробити і впровадити правила реалізації заходів ТЗІ
визначити окремі задачі захисту ІзОД
забезпечити керування системою захисту інформації
визначити зони безпеки інформації
Оперативне вирішення задач ТЗІ досягається організацією керування системою захисту інформації, для чого
необхідно
вивчати й аналізувати технологію проходження ІзОД у процесі ІД
здійснювати збирання, оброблення та реєстрацію даних, які відносяться до ТЗІ
оцінювати очікувану ефективність застосування засобів забезпечення ТЗІ
оцінювати схильність ІзОД до впливу загроз у конкретний момент часу
Реалізація первинних технічних заходів захисту
Перевірку справності та працездатності технічних засобів і систем забезпечення ІД необхідно проводити
відповідно до експлуатаційних документів
У процесі реалізації первинних технічних заходів потрібно забезпечити
блокування каналів витоку інформації
блокування несанкційованого доступу до інформації чи її носіїв
перевірку справності та працездатності технічних засобів забезпечення ІД
Блокування каналів витоку інформації може здійснюватися
видаленням окремих елементів технічних засобів, які є середовищем поширення полів та сигналів, з
приміщень, де циркулює ІзОД
застосуванням способів та схемних рішень із захисту інформації, що не порушують основних технічних
характеристик засобів забезпечення ІД
демонтуванням технічних засобів, ліній зв'язку, сигналізації та керування, енергетичних мереж, використання
яких не пов'язано з життєзабезпеченням підприємства та обробленням ІзОД
Блокування несанкційованого доступу до інформації або її носіїв може здійснюватися
створенням умов роботи в межах установленого регламенту
унеможливленням використання програмних, програмно-апаратних засобів, що не пройшли перевірки
(випробування)