Побудова комплексної системи захисту інформації

Характеристика автоматизованої системи установи і умов її функціонування. Розмежування інформаційних потоків. Модернізація компонентів системи. Захист інформації від витоку технічними каналами. Порядок внесення змін і доповнень до технічного завдання.

Рубрика Коммуникации, связь, цифровые приборы и радиоэлектроника
Вид курсовая работа
Язык украинский
Дата добавления 18.05.2013
Размер файла 1,9 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

4.2 Порядок введення (видалення) користувачів в(з) АСВТЗІ та змін їхніх повноважень

На підставі облікової картки адміністратор безпеки вводить у базу даних захисту інформацію про користувача АСВТЗІ, після чого ознайомлює під розпис користувача з його повноваженнями.

У випадку зміни повноважень користувача до облікової картки користувача вносяться необхідні зміни. На цій підставі адміністратор безпеки вносить зміни до бази даних захисту та ознайомлює з ними користувача.

При необхідності видалення користувача з АСВТЗІ (при звільненні з роботи, при зміні посадових обов'язків та ін.) вноситься відповідний запис до облікової картки користувача і на цій підставі адміністратор безпеки видаляє користувача з АСВТЗІ.

4.3 Керування системою та її компонентами

Керування системою здійснюють адміністратор безпеки та системний адміністратор.

Адміністратор безпеки вводить до системи нових користувачів та коригує відомості про них (у тому числі атрибути доступу), має можливість змінювати стан системи та значення параметрів конфігурації системи та ін. Адміністратор безпеки встановлює пароль на доступ до апаратних настройок комп'ютерів (Bios Setup Supervisor Password).

Системний адміністратор здійснює супроводження програмного та апаратного забезпечення. За необхідності він має можливість за узгодженням з адміністратором безпеки змінювати стан системи та значення параметрів конфігурації, які безпосередньо не пов'язані з керуванням доступом.

5. Фізичний захист інформації

Технічні засоби АСВТЗІ розташовано в приміщенні, яке знаходяться в межах контрольованої зони Видавництва «Книгоман». Охорону контрольованої зони та перепускний режим до будівлі де розташовано приміщення з АСВТЗІ здійснює відомча охорона ВАТ „Тигр”.

В неробочий час приміщення з АСВТЗІ опечатується та здається під охорону службі охорони ВАТ „Тигр”.

Вхідні двері до приміщення № 1 з встановленою в ньому АСВТЗІ - залізні та обладнані двома замками різних систем. Крім того приміщення обладнано системою охоронної сигналізації.

Доступ до приміщення, у якому здійснюється обробка інформації з обмеженим доступом, здійснюється обмежений колом осіб, які допущені до роботи в цьому приміщенні.

6. Захист інформації від витоку технічними каналами

У приміщенні, де розташовано АСВТЗІ, створено комплекс технічного захисту інформації, який забезпечує блокування наступних технічних каналів витоку інформації:

каналів ПЕМВН;

радіотехнічний канал;

візуально-оптичний.

Роботи по створенню комплексу технічного захисту інформації проведені власними силами Видавництва «Книгоман».

Відповідальний за захист інформації в АСВТЗІ організовує та координує роботи із ТЗІ, як планові (відповідно до вимог Акту атестації КТЗІ), так і одноразові - при проведенні заходів щодо змін та модернізації обладнання АСВТЗІ.

7. Порядок модернізації компонентів системи

7.1 Модернізація обладнання

При змінах конфігурації технічних засобів АСВТЗІ чи їх модернізації роботи з ТЗІ організовує та координує відповідальний за ТЗІ спільно з представниками служби захисту інформації в АСВТЗІ. Після проведення необхідних заходів з ТЗІ представниками служби захисту інформації в АСВТЗІ вносяться відповідні записи про зміні у складі АСВТЗІ в Паспорті-формулярі на АСВТЗІ.

7.2 Модернізація програмного забезпечення

Модернізація програмного забезпечення проводиться в разі необхідності (наприклад, у випадку надання розробниками сервісних пакетів, появи нових версій тощо). Поновлення всього програмного забезпечення здійснює системний адміністратор за узгодженням з начальником служби захисту інформації в АСВТЗІ та з відповідними відмітками в „Паспорті-формулярі на АСВТЗІ”.

7.3 Модернізація КЗЗ

Модернізація КЗЗ здійснюється відповідно до документа НД ТЗІ 3.6-001-2000 згідно з окремим технічним завданням або додатком до основного технічного завдання.

8. Порядок проведення відновлювальних робіт і забезпечення безперервного функціонування АСВТЗІ

У разі виникнення проблем у роботі технічного та програмного забезпечення АСВТЗІ системний адміністратор має вжити заходів для відновлення працездатності системи.

Відновлювальні роботи потребують зміни стану системи.

Правила проведення відновлення працездатності технічних засобів АСВТЗІ наведені в документі „Політика безпеки інформації в АСВТЗІ”.

Відновлення програмного забезпечення АСВТЗІ проводиться під час перебування системи в стані поновлення програмного забезпечення, відновлення КЗЗ - під час перебування системи в стані відновлення.

При проведенні відновлення програмного забезпечення за необхідності використовуються відповідні дистрибутиви. Відновлення операційної системи Windows проводиться за допомогою стандартної процедури відновлення Windows.

9. Контроль за функціонуванням КСЗІ

Організація контролю за функціонуванням КСЗІ в АСВТЗІ покладається на начальника служби захисту інформації в АСВТЗІ.

10. Порядок введення в експлуатацію КСЗІ

Обробка в АСВТЗІ інформації з обмеженим доступом дозволяється тільки після отримання атестата відповідності КСЗІ вимогам нормативних документів із питань захисту інформації.

Дозвіл на обробку інформації з обмеженим доступом за допомогою АСВТЗІ дається наказом директора Видавництва «Книгоман».

11. Система документів щодо забезпечення захисту інформації в АСВТЗІ

Захист інформації в АСВТЗІ регламентується такими документами:

Закон України “Про інформацію” від 2 жовтня 1992 року №2658-ХІІ;

Закон України “Про захист інформації в інформаційно-телекомунікаційних системах” від 5 липня 1994 року № 80/94-ВР;

Положення про технічний захист інформації в Україні, затвердженого указом Президента України від 27 вересня 1999 року № 1229;

Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року N 373;

ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення;

ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт;

ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення;

НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.1-004-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованих системах;

НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу;

НД ТЗІ 2.5-007-07 Вимоги до комплексу засобів захисту інформації, що становить державну таємницю, від несанкціонованого доступу при її обробці в автоматизованих системах класу «1»;

НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі;

НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі;

Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року № 93;

Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, затверджене постановою Кабінету Міністрів України від 16 лютого 1997 року № 180;

НД ТЗІ 2.1-002-07 Захист інформації на об'єктах інформаційної діяльності. Випробовування комплексу технічного захисту інформації. Основні положення;

ТПКО-95 Тимчасове положення про категоріювання об'єктів;

ТР ЕОТ-95 Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок;

Інструкція щодо забезпечення режимних заходів щодо захисту інформації з обмеженим доступом під час її обробки в АСВТЗІ;

Положення про службу захисту інформації в АСВТЗІ;

Технічна документація на систему захисту інформації ЛОЗА-1;

Технічне завдання на створення КСЗІ в АСВТЗІ;

Інструкція з адміністрування системи АСВТЗІ;

Інструкція користувача АСВТЗІ;

Інструкція по оперативному відновленню функціонування АС.

12. Календарний план із захисту інформації в АСВТЗІ

№ пп

Назва заходу

Термін

Примітка

Організаційні заходи

1

Розробка документів (інструкцій, правил, розпоряджень тощо) з різних напрямів захисту інформації в АСВТЗІ

У разі необхідності

2

Внесення змін та доповнень до чинних в АСВТЗІ документів з урахуванням умов, що склалися

У разі необхідності

3

Координація робіт із ремонту технічних засобів АСВТЗІ

У разі збоїв або відмов

4

Координація робіт із ремонту технічних засобів захисту

У разі збоїв або відмов

5

Координація робіт із відновлення загального та функціонального програмного забезпечення АСВТЗІ

У разі збоїв або відмов

6

Координація робіт із поновлення програмного забезпечення комплексу засобів захисту

Модернізація або розробка нового ПЗ

7

Розгляд результатів виконання затверджених заходів і робіт із захисту інформації

1 раз на місяць

8

Оновлення Плану захисту інформації в АСВТЗІ

У разі змін у складі АСВТЗІ або умов її функціонування

Контрольно-правові заходи

9

Контроль за виконанням користувачами та технічним персоналом вимог відповідних інструкцій, розпоряджень, наказів

1 раз в квартал

10

Відстеження небезпечних подій у журналі захисту

1 раз на тиждень

11

Участь у контролі за наявністю на жорстких дисках комп'ютерів незахищеної секретної інформації

Відповідно до термінів перевірок відповідальним за ТЗІ

12

Контроль за станом зберігання та використання носіїв інформації на робочих місцях

1 раз на місяць

Профілактичні заходи

13

Поновлення вірусних баз

2 рази на місяць

Інженерно-технічні заходи

14

Організація та координація робіт з ТЗІ щодо блокування технічних каналів витоку інформації

Термін визначається в Акті атестації КТЗІ

Начальник відділу технічного захисту

інформації Видавництва «Книгоман» Хохуля Т.М.

6. Розробка технічного завдання на створення КСЗІ в АС

ЗАТВЕРДЖУЮ

Директор Видавництва «Книгоман»

_____________І.І.Кірик

“ ____ ” ________ 2013 року

АВТОМАТИЗОВАНА СИСТЕМА ВІДДІЛУ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ ВИДАВНИЦТВО «Книгоман»

(шифр - «АСВТЗІ»)

КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ

(шифр - КСЗІ «АСВТЗІ»)

ТЕХНІЧНЕ ЗАВДАННЯ

на ____ сторінках

ПОГОДЖЕНО:

Начальник відділу технічного захисту інформації Видавництва «Книгоман»

__________________Т.М.Хохуля

„____”________________2013 року

М.П.

ПОГОДЖЕНО:

_____________________________________________________________________________________________________________________________________________________________________

  • Київ - 2013
  • В цьому документі використовуються наступні позначення і скорочення:
  • АС -

    автоматизована система

    АСВТЗІ -

    автоматизована система відділу технічного захисту інформації Видавництва «Книгоман»

    ІзОД -

    інформація з обмеженим доступом

    КЗЗ -

    комплекс засобів захисту

    КСЗІ -

    комплексна система захисту інформації

    КТЗІ -

    комплекс технічного захисту інформації

    НСД -

    несанкціонований доступ

    ОІД -

    об'єкт інформаційної діяльності

    ОС -

    обчислювальна система

    ПЕМВН -

    побічні електромагнітні випромінювання та наведення

    ПЗ -

    програмне забезпечення

    ТЗІ -

    технічний захист інформації

    ТЗ -

    технічне завдання

    1. Загальні відомості

    1.1. Повна назва системи та її умовне позначення

    Повна назва: Комплексна система захисту інформації автоматизованої системи відділу технічного захисту інформації Видавництва «Книгоман».

    Умовне позначення: КСЗІ АСВТЗІ.

    1.2. Шифр теми і реквізити договору

    Розробка КСЗІ АСВТЗІ є складовою частиною робіт з впровадження АСВТЗІ в діяльність, що виконуються між Видавництва «Книгоман» та ТОВ «Слід»., відповідно вимог Договору від 01.06.09 № 1АС/09 (далі - Договір).

    1.3. Замовник

    Видавництво «Книгоман»

    00073, м. Київ, вул. Київська, 1, корпус 2, приміщення № 1.

    1.4. Виконавець

    ТОВ «Слід»

    1.5. Планові терміни початку і закінчення роботи із створення КСЗІ

    Терміни початку і закінчення робіт щодо створення КСЗІ АСВТЗІ визначаються Договором.

    1.6. Відомості про джерела та порядок фінансування робіт

    Фінансування робіт із створення КСЗІ АСВТЗІ здійснюється Видавництвом «Книгоман».

    1.7. Порядок оформлення та пред'явлення Замовнику результатів робіт

    Технічне завдання оформлено згідно з вимогами НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.

    Порядок оформлення та пред'явлення Замовнику результатів виконання робіт зі створення КСЗІ АСВТЗІ визначається вимогами:

    НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

    НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;

    НД ТЗІ 3.6-001-2000 Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу.

    НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі.

    НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.

    РД 50-34.698-90. Автоматизированные системы. Требования к созданию документов.

    Результатом роботи має бути КСЗІ АСВТЗІ, яка забезпечуватиме можливість обробки в АСВТЗІ ІзОД. Замовник отримує дистрибутиви програмних засобів, а також комплект документації відповідно до п. 5 цього ТЗ.

    2. Мета створення і призначення КСЗІ

    2.1. Мета створення КСЗІ АСВТЗІ

    Комплексна система захисту інформації АСВТЗІ створюється для забезпечення захисту від несанкціонованого доступу до інформації, а саме для:

    виявлення загроз безпеці інформації, що передається, обробляється та зберігається в АСВТЗІ;

    унеможливлення реалізації загроз для інформації, порушення її конфіденційності, цілісності та доступності в АСВТЗІ;

    забезпечення контролю за діями користувачів АСВТЗІ.

    КСЗІ АСВТЗІ повинна передбачати:

    організаційно-правові заходи регламентування діяльності користувачів АСВТЗІ;

    організаційно-адміністративні заходи обмеження фізичного доступу до технічних засобів обробки інформації;

    організаційно-технічні заходи і програмно-апаратні засоби захисту від несанкціонованого доступу;

    захист інформації, що обробляється в АСВТЗІ від витоку технічними каналами;

    захист інформації, яка обробляється в АСВТЗІ від впливу комп'ютерних вірусів та мережевих атак.

    2.2. Функціональне призначення і особливості застосування КСЗІ АСВТЗІ

    КСЗІ АСВТЗІ призначена для:

    забезпечення визначеної для АСВТЗІ політики безпеки інформації;

    розмежування доступу користувачів АСВТЗІ до інформації, що підлягає захисту та інших ресурсів АС;

    блокування несанкціонованих дій з ІзОД;

    реєстрації спроб реалізації загроз інформації та сповіщення адміністраторів безпеки про факти несанкціонованих дій з ІзОД;

    забезпечення спостережності інформації шляхом контролю за діями користувачів АСВТЗІ та реєстрації подій, які мають відношення до безпеки інформації;

    підтримання цілісності критичних ресурсів АСВТЗІ;

    організації обліку, зберігання та обігу матеріальних носіїв інформації, які використовуються в АСВТЗІ;

    забезпечення управління засобами захисту КСЗІ та контролю за її функціонуванням.

    захисту ІзОД від її витоку технічними каналами.

    Під час проектування КСЗІ АСВТЗІ необхідно забезпечити:

    заданий рівень захисту ІзОД, яка циркулюватиме в АСВТЗІ;

    економічну доцільність прийнятих рішень;

    забезпечення дотримання вимог режиму секретності під час проведення робіт зі створення КСЗІ АСВТЗІ.

    2.3. Нормативні посилання

    КСЗІ розробляється відповідно до вимог, які зазначено в таких законодавчих та нормативних документах із питань охорони державної таємниці та технічного захисту інформації:

    Закон України “Про інформацію” від 2 жовтня 1992 року №2658-ХІІ;

    Закон України “Про захист інформації в інформаційно-телекомунікаційних системах” від 5 липня 1994 року № 80/94-ВР;

    Закон України “Про державну таємницю” від 21 січня 1994 року №3856-ХІІ;

    Положення про технічний захист інформації в Україні, затвердженого указом Президента України від 27 вересня 1999 року № 1229;

    Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року N 373;

    ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення;

    ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт;

    ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення;

    Порядку захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, затвердженого наказом ДСТСЗІ СБ України від 24 грудня 2001 року № 76.

    НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

    НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;

    НД ТЗІ 1.1-004-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

    НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованих системах;

    НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

    НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу;

    НД ТЗІ 3.6-001-2000 Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу;

    НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі;

    НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі;

    Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року № 93;

    Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, затверджене постановою Кабінету Міністрів України від 16 лютого 1997 року № 180;

    НД ТЗІ 2.1-002-2007. Захист інформації на об'єктах інформаційної діяльності. Випробовування комплексу технічного захисту інформації. Основні положення;

    НД ТЗІ 1.1-005-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації.. Основні положення;

    НД ТЗІ 3.1-001-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи;

    НД ТЗІ 3.3-001-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації;

    ТР ЕОТ-95 Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок.

    3. Загальна характеристика АСВТЗІ та умов її функціонування

    3.1 Характеристика АСВТЗІ

    АСВТЗІ розроблено на базі автономного комп'ютера, укомплектованого принтером. АСВТЗІ не має підключень до будь яких компонентів інших автоматизованих систем або додаткового обладнання, які знаходяться в приміщенні та за його межами.

    Відповідно НД ТЗІ 2.5-005-99 за сукупністю характеристик (конфігурація апаратних засобів операційної системи і їх фізичне розміщення, кількість різноманітних категорій оброблюваної інформації, кількість користувачів і категорій користувачів) АСВТЗІ відносяться до автоматизованої системи класу „1” - одномашинні однокористувачеві комплекси, які обробляють інформацію однієї або кількох категорій конфіденційності.

    3.1.1 Структура АСВТЗІ

    АСВТЗІ призначено для автоматизації процесів обробки інформації з обмеженим доступом. Основним режимом роботи АСВТЗІ є робота в службовий час.

    3.1.2. Обладнання АСВТЗІ

    До складу АСВТЗІ входить наступне обладнання:

    системний блок;

    монітор;

    графічний маніпулятор;

    клавіатура;

    принтер.

    3.1.3. Програмне забезпечення АСВТЗІ

    До складу АСВТЗІ входить наступне програмне забезпечення:

    операційна система Windows XP Professional;

    пакет прикладних програм Microsoft Office 2003;

    Microsoft Office Visio 2007;

    драйвери системних пристроїв;

    антивірусна програма NOD 32;

    Детальний перелік програмного забезпечення, що використовується в АСВТЗІ буде визначено в паспорті-формулярі на АСВТЗІ.

    3.2 Характеристика фізичного середовища

    Компоненти АСВТЗІ розміщуються в приміщенні № 1 відділу технічного захисту інформації Видавництва «Книгоман», що знаходиться в межах контрольованої зони Видавництва «Книгоман». Охорона контрольованої зони Видавництва «Книгоман» здійснюється цілодобово відомчою охороною ВАТ „Тигр”. Приміщення обладнано охоронною сигналізацією. Двері приміщення дерев'яні, оббиті залізними листами, обладнані замковими пристроями та охоронними сповіщувачами.

    Режим допуску до приміщення, де розміщується АСВТЗІ, забезпечує неможливість проникнення сторонніх осіб у приміщення та їх доступу до обладнання АСВТЗІ.

    3.3 Характеристика персоналу

    За рівнем повноважень щодо доступу до інформації та характером робіт, що виконуються у процесі функціонування АСВТЗІ, особи, які мають доступ до АСВТЗІ, поділяються на такі категорії:

    1) адміністратор безпеки, який забезпечує виконання вимог політики безпеки ;

    2) системний адміністратор, який забезпечує функціонування програмного та апаратного забезпечення АСВТЗІ;

    3) звичайний користувач, який виконує обробку інформації;

    4) технічний обслуговуючий персонал який забезпечує належні умови функціонування АСВТЗІ та не має безпосереднього доступу до інформації що обробляється (прибиральниці, розробники прикладного ПЗ та ін.).

    Всі користувачі АСВТЗІ повинні мати дозвіл керівника Видавництва «Книгоман» на доступ до приміщення в якому розташовано обладнання АСВТЗІ, згідно з службовими обов'язками.

    Користувачі категорій “1” - “3” повинні пройти процедуру реєстрації в системі і мати власні унікальні імена, ідентифікатори та атрибути доступу відповідно до їх функціональних обов'язків.

    3.4 Характеристика інформації, що обробляється в АСВТЗІ

    Інформація, що циркулюватиме в АСВТЗІ, за змістом вимог щодо захисту підрозділяється на такі групи:

    відкриту інформацію загального користування;

    інформацію з обмеженим доступом (ІзОД), яка поділяється на конфіденційну (документи з грифом обмеження доступу «конфіденційно») та цілком конфіденційну (документи з грифом обмеження доступу «цілком конфіденційно»).

    Гриф обмеження доступу носія інформації повинен відповідати вищому ступеню обмеження доступу даних, які на ньому зберігаються.

    3.5 Характеристика технології обробки інформації

    ІзОД зберігається на жорсткому магнітному диску або на гнучких магнітних дисках (дискетах) та флеш накопичувачах в форматах: txt, doc, xls, vsd тощо;

    користувачі мають різні повноваження стосовно доступу до інформації з обмеженим доступом, яка розміщується на носіях інформації;

    на носіях інформації зберігаються дані різних ступенів обмеження доступу. Гриф обмеження доступу носія інформації повинен відповідати вищому ступеню обмеження доступу даних, які на ньому зберігаються.

    Імпорт інформації в АСВТЗІ здійснюється за рахунок використанням дискет або флеш накопичувачах.

    Експорт інформації з АСВТЗІ здійснюється на паперових носіях та на дискетах або флеш накопичувачах.

    Документи, в яких містяться ІзОД, будуть друкуватися за допомогою принтера, який входить до складу АСВТЗІ.

    Носії інформації з ІзОД знаходяться на обліку та зберігаються в спеціальному відділі Видавництва «Книгоман». Доступ до них регламентується розпорядчими документами цього підприємства.

    Порядок копіювання файлів, стирання інформації, опрацювання документів здійснюється згідно вимог розпорядчих документів Видавництва «Книгоман».

    3.6 Особливості функціонування АСВТЗІ

    АСВТЗІ використовується для обробки ІзОД в час, визначений службовою необхідністю. Надання машинного часу або устаткування в оренду стороннім організаціям не передбачається.

    Функціонування АСВТЗІ передбачає такі режими роботи:

    основний робочий режим роботи - функціонування АСВТЗІ в робочий час для виконання визначених регламентом функціональних задач;

    режим адміністрування АСВТЗІ - підтримка інформаційних ресурсів в актуальному стані;

    режим тестування системи та окремих її компонентів - забезпечення рішення контрольних задач для перевірки роботоздатності АСВТЗІ;

    режим технічного обслуговування АСВТЗІ.

    4. Вимоги до комплексної системи захисту інформації

    4.1. Вимоги щодо організаційного забезпечення захисту

    4.1.1. З метою забезпечення захисту ІзОД під час її обробки в АСВТЗІ наказом директора Видавництва «Книгоман» створюється служба захисту інформації в АСВТЗІ, якій надаються повноваження щодо організації і впровадження КСЗІ, контролю за станом захищеності інформації тощо. У своїй діяльності служба захисту інформації керується документом „Положення про службу захисту інформації”.

    4.1.2. Приміщення, в якому розташована АСВТЗІ, повинно відповідати наступним вимогам:

    двері повинні бути обладнані двома замковими пристроями різної конфігурації;

    вікна повинні бути обладнані металевими гратами;

    вікна та двері повинні бути обладнані датчиками системи охоронної сигналізації;

    в приміщенні повинен бути встановлений інфрачервоний сповіщувач руху.

    4.1.3. Відповідно до рівня повноважень щодо доступу до ІзОД, характеру робіт, які виконуються у процесі функціонування АСВТЗІ, організовується доступ осіб до АСВТЗІ з наступними ролями:

    користувач АСВТЗІ;

    адміністратор безпеки;

    системний адміністратор.

    Користувач АСВТЗІ повинен безпосередньо здійснювати обробку ІзОД в АСВТЗІ відповідно вимог Інструкції користувача АСВТЗІ. Користувач АСВТЗІ повинен мати базові навички роботи з обчислювальною технікою, з операційною системою Microsoft Windows, текстовим редактором Microsoft Word та редактором електронних таблиць Microsoft Excel.

    Адміністратор безпеки АСВТЗІ повинен безпосередньо здійснювати:

    ведення баз даних захисту;

    встановлення значень параметрів конфігурації системи, безпосередньо пов'язаних із доступом до інформації;

    спостереження за роботою системи;

    заміну, у разі необхідності, власника баз документів та документів.

    Системний адміністратор АСВТЗІ повинен забезпечувати:

    безперебійну роботу операційної системи АСВТЗІ;

    справну роботу системних драйверів;

    встановлення необхідного програмного забезпечення та своєчасне його оновлення;

    своєчасне оновлення баз антивірусного програмного забезпечення.

    Кожну роль може виконувати один або декілька працівників.

    Крім того, справну роботу компонентів АСВТЗІ забезпечує технічний персонал.

    Усі дії, які прямо чи опосередковано можуть вплинути на захищеність інформації (зміни дозволів на доступ до файлів та папок, очищення журналів ОС, зміни настройок BIOS Setup тощо), системний адміністратор має узгоджувати з адміністратором безпеки. Порядок узгодження повинен визначатись „Планом захисту інформації”.

    4.1.4. Контроль за друком та експортом інформації повинен здійснювати працівник спеціального відділу Видавництва «Книгоман».

    4.1.5. Усі носії, які містять ІзОД, повинні мати належне маркування та зберігатись в спеціальному відділу в окремому сейфі.

    4.2. Вимоги щодо захисту інформації від несанкціонованого доступу

    Згідно із специфікаціями, наведеними в документі НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації у комп'ютерних системах від несанкціонованого доступу, комплекс засобів захисту (КЗЗ) від НСД має надавати певні послуги безпеки, зазначені в документі «Моделі загроз»:

    4.3. Політика безпеки інформації

    4.3.1. Об'єкти доступу

    В АСВТЗІ виділяють такі об'єкти доступу:

    Бази документів.

    Бази документів призначені для зберігання документів. Всередині бази документи можуть бути розподілені по папках.

    Кожна база має такі атрибути:

    назва;

    власник;

    максимальний рівень доступу документів;

    список доступу (перелік користувачів із наданими їм правами доступу до бази);

    список аудита.

    Документи (текстові документи, електронні таблиці).

    Кожний документ має такі атрибути:

    назва;

    ключові слова та вирази;

    час створення;

    час останнього коригування;

    власник;

    рівень доступу;

    список доступу (перелік користувачів із наданими їм правами доступу до документа);

    список аудита.

    Дані захисту:

    база даних захисту (перелік користувачів із їхніми атрибутами доступу та даними, необхідними для автентифікації);

    журнал захисту;

    параметри конфігурації системи;

    оперативні дані про роботу системи.

    Програмні засоби КЗЗ.

    Інші програмні засоби (загальне, функціональне і спеціальне ПЗ та службові дані, необхідні для його роботи).

    Тимчасові файли, які створюються під час роботи прикладними програмами.

    Інформація в оперативній пам'яті комп'ютера.

    Дані, які знаходяться на екрані монітора під час роботи програмних засобів АСВТЗІ.

    Дані у друкованому вигляді.

    Змінні носії.

    У таблиці 2 перелічені об'єкти доступу та вказані носії, на яких вони зберігаються.

    автоматизований система інформаційний технічний

    Таблиця 2

    Об'єкт доступу

    Місце зберігання

    Бази документів та документи

    Жорсткий диск та змінні носії (дискети, флеш накопичувачі)

    Дані захисту

    Жорсткий диск

    Програмні засоби КЗЗ

    Жорсткий диск

    Інші програмні засоби

    Жорсткий диск

    Тимчасові файли

    Жорсткий диск

    4.3.2. Принципи керування доступом

    КЗЗ повинен реалізовувати адміністративне керування доступом до таких об'єктів:

    бази документів;

    документи;

    дані захисту;

    програмні засоби (у тому числі програмні засоби КЗЗ);

    тимчасові файли.

    4.3.3. Правила розмежування інформаційних потоків

    Програмні засоби системи повинні здійснювати розмежування інформаційних потоків від об'єкта до користувача і від користувача до об'єкта.

    Розмежування інформаційних потоків слід здійснювати на підставі атрибутів доступу об'єкта та користувача.

    Необхідно організувати роботу таким чином, щоб користувачі не мали безпосереднього доступу (наприклад, за допомогою стандартних файлових менеджерів) до файлів, в яких зберігаються бази документів, документи, база даних захисту та журнал захисту.

    Користувачі повинні мати можливість працювати з базами документів, документами, базою даних захисту та журналом захисту тільки за допомогою призначеного для цього процесу (процесів).

    Адміністратор безпеки та системний адміністратор за рахунок членства в групі адміністраторів ОС повинні мати можливість для кожного процесу, який використовується для доступу до баз документів, документів, бази даних захисту та журналу захисту, визначити користувачів та групи користувачів, які мають, а також не мають права ініціювати цей процес - для цього слід відповідним чином встановити права на доступ до файлу (файлів), які відповідають процесу.

    4.3.4. Атрибути доступу об'єктів доступу

    До атрибутів доступу баз документів належать такі дані:

    власник;

    список доступу.

    До атрибутів доступу документів належать такі дані:

    рівень доступу, який відповідає грифу обмеження доступу, що зберігається в документі, і обирається з такого переліку:

    цілком конфіденційно;

    конфіденційно;

    відкрита інформація;

    список доступу.

    Для даних системи захисту атрибутом доступу є список доступу, який містить перелік адміністративних ролей (див. п. 4.2.9) з наданими їм видами доступу.

    4.3.5. Атрибути доступу користувачів

    До атрибутів доступу користувачів належать такі дані:

    роль;

    рівень допуску.

    Ролі користувачів та правила їх суміщення описані в п.4.2.9.

    Рівень допуску користувача визначає найвищий ступінь секретності інформації, із якою йому дозволено працювати, і обирається з переліку, наведеного в п. 4.3.4.

    4.3.6. Види доступу

    КЗЗ повинен підтримувати такі види доступу до баз документів:

    читання;

    створення папок;

    видалення папок;

    перейменування папок;

    створення документів;

    запис атрибутів;

    запис атрибутів доступу;

    перейменування;

    видалення.

    КЗЗ повинен підтримувати такі види доступу до документів:

    читання;

    запис;

    видалення;

    друк;

    збереження у файлі;

    читання атрибутів доступу;

    запис власника;

    запис рівня доступу;

    запис списку доступу;

    запис списку аудита.

    Для даних захисту слід передбачити такі види доступу:

    читання;

    запис.

    4.3.7. Правила розмежування доступу

    4.3.7.1. Правила розмежування доступу до баз документів

    Можливість працювати з базами документів повинні мати лише звичайні користувачі та адміністратори документів.

    Користувач отримує доступ до бази документів, якщо виконуються такі умови:

    користувач виконує роль Звичайний користувач;

    в списку доступу бази йому або групі, до якої він належить, не заборонено цей доступ (тобто користувач або група не вказані в переліку заборон з відповідним видом доступу);

    в списку доступу бази йому або групі, до якої він належить, надано цей доступ (тобто користувач або група вказані в переліку дозволів з відповідним видом доступу).

    Власник бази має особливі повноваження щодо доступу до „своєї” бази.

    Якщо користувач є власником бази, він отримує до бази такі види доступу:

    читання списку документів;

    читання атрибутів;

    запис власника;

    запис списку доступу;

    запис списку аудита.

    Крім цього, встановлюються обмеження, які не дозволяють звичайним користувачам керувати доступом до баз.

    Звичайні користувачі не можуть отримати такі види доступу до бази документів:

    запис атрибутів;

    перейменування;

    видалення;

    запис власника;

    запис списку доступу;

    запис списку аудита.

    Для того, щоб не втратити можливість доступу до бази у випадку відсутності власника, встановлюється ще одне правило.

    Адміністратор безпеки отримує такі види доступу до всіх баз:

    читання списку документів;

    читання атрибутів;

    запис власника.

    4.3.7.2. Правила розмежування доступу до документів

    Можливість працювати з документами повинні мати лише звичайні користувачі.

    Користувач отримує доступ до документа, якщо виконуються такі умови:

    рівень допуску користувача не нижчий за рівень доступу документа;

    йому встановлена роль Звичайний користувач;

    в списку доступу документа йому або групі, до якої він належить, не заборонено цей доступ (тобто користувач або група не вказані в переліку заборон з відповідним видом доступу);

    в списку доступу документа йому або групі, до якої він належить, надано цей доступ (тобто користувач або група вказані в переліку дозволів з відповідним видом доступу).

    Власник бази має особливі повноваження щодо доступу до документів, які містяться в „його” базі. Ці повноваження не залежать від списку доступу бази.

    Якщо користувач є власником бази, в якій міститься документ, він отримує до документа такі види доступу:

    читання атрибутів доступу;

    запис власника;

    запис рівня доступу;

    запис списку доступу;

    запис списку аудита.

    Крім цього, встановлюються обмеження, які не дозволяють звичайним користувачам керувати доступом до документів.

    Звичайні користувачі не можуть отримати такі види доступу до документів:

    читання атрибутів доступу;

    запис власника;

    запис рівня доступу;

    запис списку доступу;

    запис списку аудита.

    Для виконання вимог до друку експорту та документів в системі діє ще одне правило.

    Якщо документ має рівень доступу цілком конфіденційно, користувач отримує доступ на друк або збереження документа у файлі лише за умови введення паролю.

    4.3.7.3. Правила розмежування доступу до даних захисту

    Доступ до даних захисту слід надавати відповідно до ролі користувача.

    Права на читання та запис даних у базу даних захисту та право на перегляд журналу захисту повинен мати лише користувач із роллю Адміністратор безпеки.

    Право на читання та зміни значень параметрів конфігурації КЗЗ, безпосередньо пов'язаних із керуванням доступом, повинен мати лише користувач із роллю Адміністратор безпеки. Права на читання та зміну значень інших параметрів конфігурації КЗЗ, права на читання даних про поточну поведінку КЗЗ та права на оперативне керування КЗЗ повинні мати користувачі з ролями Адміністратор безпеки та Системний адміністратор відповідно до розподілу обов'язків, який визначається „Планом захисту інформації”.

    4.3.8. Правила адміністрування КЗЗ

    Коригування переліку користувачів із їхніми атрибутами доступу здійснює адміністратор безпеки.

    Коригування атрибутів доступу файлів та папок здійснює адміністратор безпеки.

    В окремих випадках атрибути доступу файлів та папок може встановлювати системний адміністратор за узгодженням з адміністратором безпеки. Порядок узгодження повинен визначатись „Планом захисту інформації”.

    Для всіх користувачів АСВТЗІ заповнюються облікові картки (поза машинні документи), на підставі яких адміністратор безпеки вводить, змінює або видаляє інформацію про користувача.

    Інсталяцію та поновлення всіх програмних засобів здійснює системний адміністратор. Усі роботи, які прямо чи опосередковано можуть вплинути на захищеність інформації (у тому числі ті, що стосуються програмних засобів КЗЗ), проводяться за узгодженням з адміністратором безпеки. Порядок узгодження повинен визначатись документом „Планом захисту інформації ”.

    Повсякденні обов'язки щодо адміністрування (відстеження потенційно небезпечних подій, усунення збійних ситуацій тощо) виконують адміністратор безпеки та системний адміністратор. Розподіл обов'язків між ними визначається „Планом захисту інформації”.

    4.3.9. Реєстрація дій користувачів

    КЗЗ повинен вести журнал захисту та надавати адміністратору безпеки зручні засоби його перегляду та настроювання.

    Засоби реєстрації повинні забезпечувати можливість реєстрації всіх важливих із точки зору безпеки інформації подій (див. перелік подій у п. 4.2.6).

    У випадку виникнення небезпечної події КЗЗ повинен повідомити про це адміністратора безпеки. Для цього можуть використовуватись такі засоби:

    створення на жорсткому диску файлу із відповідною інформацією;

    друк повідомлення на принтері;

    звуковий сигнал.

    4.3.10. Правила маркування носіїв

    Маркування паперових та машинних носіїв секретної інформації має проводитись відповідно до документа „Порядок організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях”.

    Необхідно забезпечити можливість автоматичного маркування документів згідно з рівнем доступу під час друку документів.

    4.4. Вимоги до КСЗІ у частині захисту інформації від витоку технічними каналами

    Захист ІзОД, яка циркулюватиме в АСВТЗІ, від витоку технічними каналами повинен досягатись шляхом створення на об'єкті інформаційної діяльності (приміщенні № 5), де встановлена вказана автоматизована система, комплексу технічного захисту інформації, який є невід'ємною складовою КСЗІ АСВТЗІ.

    КТЗІ на ОІД необхідно створювати відповідно вимог нормативних документів, перелік яких наведено в п. 2.3 цього Технічного завдання.

    Захист інформації від витоку технічними каналами передбачає:

    аналіз умов функціонування АСВТЗІ, її розташування на ОІД та відносно межі контрольованої зони;

    виявлення каналів можливого витоку інформації;

    розробку заходів із технічного захисту інформації, обґрунтування та вибір технічних рішень із ТЗІ, впровадження КТЗІ на ОІД, розробку необхідної документації;

    проведення атестаційних випробувань КТЗІ.

    4.4.1. Загальні вимоги до об'єктів, що захищаються

    До об'єктів що захищаються повинні висуватися наступні вимоги:

    реалізація захищеності ІзОД повинна досягатись без застосування екранування приміщення та активних засобів захисту інформації;

    використання пасивних засобів захисту ІзОД у разі виявлення наведених інформативних сигналів у мережі електроживлення, лініях зв'язку і сигналізації та на інших лініях, які мають вихід за межі контрольованої зони;

    забезпечення АСВТЗІ автономним контуром заземлення.

    Роботи повинні проводитись відповідно до нормативно-правових актів та нормативних документів з питань технічного захисту інформації, перелік яких наведено в п. 2.3.

    Для захисту ІзОД від витоку технічними каналами повинні використовуватися пасивні засоби ТЗІ згідно із Переліком засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України.

    Всі технічні системи та засоби можуть встановлюватись на ОІД за умови сумісності із існуючими засобами захисту та попереднього проведення спеціальних досліджень.

    4.4.2. Вимоги до КТЗІ щодо захисту ІзОД від витоку каналами ПЕМВН

    Для захисту ІзОД від її витоку каналами ПЕМВН необхідно передбачити наступні технічні заходи захисту:

    на лінію електроживлення, від якої здійснюється електроживлення всіх компонентів, встановлюється мережевий завадозаглушувальний фільтр та розподільчий трансформатор. Вказані пристрої встановлюються відповідно вимог своєї технічної документації на максимально можливі відстані від АСВТЗІ. Технічні характеристики стосовно їх потужності повинні відповідати потужності споживання технічних засобів підключених до них;

    обладнати всі компоненти АСВТЗІ та технічні засоби захисту окремим контуром заземлення опір якого відповідно вимог ТР ЕОТ-95 повинен бути не більше 4 Ом;

    на ОІД видалити всі незадіяні лінійні комунікації;

    унеможливити проходження біля компонентів АСВТЗІ будь яких ліній та комунікацій, які мають вихід за межі контрольованої зони, на відстані, яка не забезпечує захищеність інформації від її витоку за рахунок наведень на них інформативних сигналів. У разі неможливості видалення вказаних ліній та комунікацій, провести їх екранування. Екрани повинні буди підключені до контуру заземлення;

    4.4.3. Вимоги до КТЗІ щодо захисту ІзОД від витоку радіотехнічним каналом

    Захист ІзОД від витоку радіотехнічним каналом повинен передбачати:

    унеможливлення організаційними та інженерно-технічними заходами несанкціонованого проникнення на ОІД сторонніх осіб з метою встановлення пристроїв технічної розвідки (відеопередавачів);

    встановлення на ОІД лише технічних засобів, які пройшли спеціальну перевірку на предмет наявності в них приховано встановлених пристроїв технічної розвідки;

    унеможливлення встановлення на лінійно-кабельні комунікації, комунікації життєзабезпечення, які виходять за межі ОІД пристроїв технічної розвідки;

    перевірки приміщення ОІД, лінійно-кабельних комунікацій, комунікацій життєзабезпечення, які виходять за межі ОІД, на наявність приховано встановлених пристроїв технічної розвідки (відеопередавачів);

    унеможливлення після створення КСЗІ та введення в дію АСВТЗІ встановлення на ОІД будь яких технічних засобів, меблів та предметів інтер'єру, які попередньої не пройшли спеціальної перевірки на наявність приховано встановлених пристроїв технічної розвідки (відеопередавачів).

    4.3.4. Вимоги до КТЗІ щодо захисту ІОДД від її витоку за рахунок візуально-оптичного каналу

    Блокування візуально-оптичного каналу повинно передбачати обладнання вікон ОІД непрозорими шторами або жалюзями, які повинні унеможливити огляд ОІД ззовні незалежно від поверху та наявності розташованих навпроти будинків.

    4.4. Середовище функціонування

    Вимоги до середовища функціонування викладено в розділі 3 цього ТЗ.

    4.5 Вимоги до виявлення та блокування розповсюдження вірусів

    Виявлення та блокування розповсюдження вірусів в АСВТЗІ необхідно реалізовувати адміністративно-організаційними, апаратними, програмними та програмно-апаратними способами. До адміністративно-організаційних слід віднести заборону можливості встановлення та виконання програм, що не відносяться до складу АСВТЗІ.

    Підсистема антивірусного захисту повинна забезпечувати:

    функціонування в автоматичному режимі;

    блокування проникнення комп'ютерних вiрусiв зі змінних носіїв інформації та несанкцiоновано розповсюджуваних виконавчих файлів;

    лікування (або видалення) комп'ютерних вiрусів з занесенням iнформацiї про це у відповідні протоколи КЗЗ;

    автоматичне оновлення антивірусного П3;

    блокування доступу користувачів до зараженої інформації.

    5. Вимоги до складу проектної та експлуатаційної документації

    За результатами виконання робіт зі створення КСЗІ має бути розроблено наступні документи:

    Автоматизована система відділу технічного захисту інформації Видавництва «Книгоман». Комплексна система захисту інформації. План захисту інформації;

    Автоматизована система відділу технічного захисту інформації Видавництва «Книгоман». Комплексна система захисту інформації. Техноробочий проект;

    Паспорт-формуляр на автоматизовану систему класу 2 відділу технічного захисту інформації Видавництва «Книгоман»;

    Положення про службу захисту інформації в автоматизованій системі класу 2 відділу технічного захисту інформації Видавництва «Книгоман»;

    Інструкція користувачу автоматизованої системи класу 2 відділу технічного захисту інформації Видавництва «Книгоман»;

    Інструкція з адміністрування системи автоматизованої системи класу 2 відділу технічного захисту інформації Видавництва «Книгоман»;

    Інструкція з режимних заходів щодо захисту інформації під час її обробки в автоматизованій системі класу 2 відділу технічного захисту інформації Видавництва «Книгоман» (далі - Інструкція з режимних заходів);

    Інструкція з правил видачі вилучення та зберігання персональних ідентифікаторів користувачів автоматизованої системи класу 2 відділу технічного захисту інформації Видавництва «Книгоман»;

    Інструкція по правилам управління паролями в автоматизованій системі класу 2 відділу технічного захисту інформації Видавництва «Книгоман»;

    Інструкція про порядок оперативного відновлення функціонування автоматизованої системи класу 2 відділу технічного захисту інформації Видавництва «Книгоман»;

    Автоматизована система відділу технічного захисту інформації Видавництва «Книгоман». Комплексна система захисту інформації. Програма та методики випробувань.

    Деякі експлуатаційні документи на КСЗІ можуть бути замінені відповідними документами, що входять до експлуатаційної документації на засоби захисту, що застосовуються в КСЗІ.

    6. Вимоги до забезпечення режимних заходів у процесі розробки КСЗІ

    Під час виконання робіт зі створення та випробувань КСЗІ повинні забезпечуватись заходи щодо унеможливлення ознайомлення зі змістом всіх робіт сторонніми особами, які не будуть приймати участь в обробці ІзОД за допомогою АСВТЗІ.

    7. Етапи виконання робіт

    Етапи виконання робіт при створенні КСЗІ наведено в таблиці 7.1.

    Таблиця 7.1.

    Найменування робіт

    Виконавець

    1

    Розробка технічного завдання та його узгодження з Державною службою спеціального зв'язку та захисту інформації України

    2

    Проведення заходів щодо захисту інформації від витоку технічними каналами

    3

    Проведення заходів щодо захисту інформації від несанкціонованого доступу

    4

    Розробка експлуатаційної документації на КСЗІ

    5

    Розробка „Програми та методики випробувань”

    6

    Розробка експлуатаційних документів КСЗІ

    7

    Проведення попередніх випробувань і передача КСЗІ в дослідну експлуатацію

    8

    Навчання користувачів

    9

    Дослідна експлуатація

    1

    Підготовка комплекта документів для проведення експертизи КСЗІ

    8. Порядок внесення змін і доповнень до технічного завдання

    Зміни до затвердженого технічного завдання на створення КСЗІ в АСВТЗІ, необхідність внесення яких виявлена в процесі виконання робіт, оформлюються окремим доповненням, яке погоджується і затверджується в тому ж порядку і на тому ж рівні, що і основний документ.

    Доповнення до технічного завдання на створення КСЗІ складається із вступної частини і змінених розділів. У вступній частині зазначається причина складання доповнення. У змінених розділах наводяться номери та зміст змінених розділів та/або пунктів, що скасовуються.

    9. Порядок контролю та приймання КСЗІ

    Приймання робіт повинно здійснюватись комісією, призначеною Замовником, відповідно до узгодженої програми згідно з вимогами ГОСТ 34.201-89, РД-50-34.698-90.

    9.1. Порядок проведення попередніх випробувань

    Метою випробувань є встановлення відповідності досягнутого в АСВТЗІ рівня захищеності інформації вимогам ТЗ та визначення готовності до експлуатації.

    Порядок проведення випробувань КСЗІ АСВТЗІ має відповідати вимогам НД ТЗІ 2.1-002-2007 та визначатись відповідними угодами між Замовником та Виконавцем. Випробування здійснюється відповідно до програм та методик, що розроблюються Виконавцем та затверджуються Замовником. Обсяг випробувань має бути достатнім для вичерпної оцінки усіх показників захисту інформації.

    Оцінку результатам випробувань дає комісія, яку призначає Замовник, за участю Виконавця.

    Після завершення випробувань затверджуються акт приймання до дослідної експлуатації.

    9.2. Експертиза КСЗІ

    Експертиза КСЗІ може проводиться одночасно з попередніми випробуваннями.

    Експертиза КСЗІ АСВТЗІ проводиться згідно з Положенням про державну експертизу в сфері технічного захисту інформації.

    ТЕХНІЧНЕ ЗАВДАННЯ СКЛАВ:

    Найменування організації

    Посада виконавця

    Прізвище та ініціали

    Підпис

    Дата

    Слід

    7. Складання техноробочого проекту створення КСЗІ

    ЗАТВЕРДЖУЮ

    Директор Видаавництва «Книгоман»

    ________________І.І.Кірик

    “ ____ ” ________ 2013 року

    АВТОМАТИЗОВАНА СИСТЕМА ВІДДІЛУ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ ВИДАВНИЦТВА «Книгоман» (шифр - «АСВТЗІ»)

    КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ

    (шифр - КСЗІ «АСВТЗІ»)

    ТЕХНОРОБОЧИЙ ПРОЕКТ

    Київ - 2013

    1. Відомість проектної документації до Техноробочого проекту КСЗІ в АСВТЗІ

    № п/п

    Найменування

    Кількість аркушів

    Примітка

    1

    Перелік відомостей, що відносяться до конфіденційної інформації Видавництва «Книгоман» та якій надається гриф обмеження доступу

    1

    2

    Акт визначення вищого ступеню обмеження доступу інформації, яка циркулюватиме на об'єкті інформаційної діяльності - приміщення № 5 відділу технічного захисту інформації видавництва «Книгоман»

    1

    3

    Акт обстеження середовищ функціонування автоматизованої системи на об'єкті інформаційної діяльності - приміщення № 5 відділу технічного захисту інформації Видавництва «Книгоман»

    2

    4

    Модель загроз для інформації, яка планується до циркуляції в автоматизованій системі класу 2 на об'єкті інформаційної діяльності - приміщення № 5 Видавництва «Книгоман»

    19

    5

    Політика безпеки інформації, яка циркулює в автоматизованій системі класу 2 Видавництва «Книгоман»

    6

    6

    Автоматизована система відділу технічного захисту інформації Видавництва «Книгоман». Комплексна система захисту інформації. План захисту інформації

    12

    7

    Автоматизована система відділу технічного захисту інформації Видавництва «Книгоман». Комплексна система захисту інформації. Технічне завдання

    19

    8

    Автоматизована система відділу технічного захисту інформації Видавництва «Книгоман». Комплексна система захисту інформації. Техноробочий проект

    10

    9

    Автоматизована система відділу технічного захисту інформації Видавництва «Книгоман». Комплексна система захисту інформації. Програма та методики випробувань.

    7

    10

    Протокол попередніх випробувань комплексної системи захисту інформації в автоматизованій системі класу 1 відділу технічного захисту інформації Видавництва «Книгоман»

    5

    11

    Акт повноти виконаних заходів із захисту інформації при створенні комплексної системи захисту інформації в автоматизованій системі класу 1 відділу технічного захисту інформації Видавництва «Книгоман»


    Подобные документы

    • Схема цифрової системи передачі інформації. Кодування коректуючим кодом. Шифрування в системі передачі інформації. Модулятор системи передачі. Аналіз роботи демодулятора. Порівняння завадостійкості систем зв’язку. Аналіз аналогової системи передачі.

      курсовая работа [1,6 M], добавлен 04.02.2013

    • Розрахунок радіусу витоку інформації. Розрахунок прямої видимості та коефіцієнта втрат при умові, що антена приймача та передавача знаходиться на одній висоті. Рекомендації щодо усунення витоку інформації через побічні електромагнітні випромінювання.

      контрольная работа [55,0 K], добавлен 06.11.2016

    • Захист інформації від спотворень. Корегуючі коди. Класифікація. Параметри. Згортувальні коди. Адаптивні системи передачі. Алгоритмічний опис. Системи з інформаційним зворотнім зв’язком. Організація існуючих ДЕЗ. Взаємодія за протоколом SMTP.

      курс лекций [559,9 K], добавлен 22.01.2007

    • Склад і основні вимоги, які пред'являються до системи передачі інформації. Вибір апаратури перетворення і передачі телемеханічної інформації, її сполучення з апаратурою зв’язку. Розрахунок найбільшого можливого кілометричного згасання. Рознесення частот.

      курсовая работа [89,7 K], добавлен 27.02.2014

    • Різноманітність галузей застосування систем передачі інформації і використаних каналів зв’язку. Структурна схема цифрової системи передачі інформації, її розрахунок. Розрахунки джерел повідомлень, кодеру каналу, модулятора, декодера, демодулятора.

      контрольная работа [740,0 K], добавлен 26.11.2010

    • Поняття засобів захисту інформації, їх сутність та особливості, різновиди та характеристика, відмінні риси. Методика виявлення радіозаставних пристроїв, їх основні ознаки. Засоби ультразвукового захисту приміщень, пристрої віброакустичного захисту.

      реферат [17,6 K], добавлен 26.04.2009

    • Принцип роботи телефонного апарата, основні елементи та їх взаємодія. Засоби захисту телефонної лінії від несанкціонованого використання, їх різновиди, характеристика та відмінні риси. Апаратура для активного захисту інформації в телефонних лініях.

      реферат [17,4 K], добавлен 26.04.2009

    • Структура колл-центру, канали витоку. Надійність, безпека, захист інформації від несанкціонованого доступу. Програмне забезпечення системи. Методи протидії зовнішнім і внутрішнім загрозам. Комплексна система інформаційної безпеки центрів обробки викликів.

      курсовая работа [668,8 K], добавлен 25.01.2015

    • Короткі відомості про системи автоматичного регулювання та їх типи. Регулятори: їх класифікація та закони регулювання. Розробка моделі автоматичного регулювання в MATLAB/Simulink і побудова кривої перехідного процесу. Аналіз якості функціонування системи.

      курсовая работа [402,4 K], добавлен 20.11.2014

    • Архітектура та побудова IP-телебачення. Особливості захисту контенту від несанкціонованого доступу. Характеристика системи розподілу контенту. Сутність, функції та вимоги до системи біллінгу. Порівняння принципів кодування стандартів MPEG2 і MPEG4 AVC.

      реферат [1,7 M], добавлен 30.01.2010

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.