Побудова комплексної системи захисту інформації

4

12

Акт про приймання комплексної системи захисту інформації в автоматизованій системі класу 1 відділу технічного захисту інформації Видавництва «Книгоман» у дослідну експлуатацію

2

13

Акт про завершення дослідної експлуатації комплексної системи захисту інформації в автоматизованій системі класу 1 відділу технічного захисту інформації Видавництва «Книгоман» у дослідну експлуатацію

2

2. Відомість експлуатаційної документації до Техноробочого проекту КСЗІ в АСВТЗІ

№ п/п	Найменування	Кількість аркушів	Примітка
1	Паспорт-формуляр на автоматизовану систему класу 2 відділу технічного захисту інформації Видавництва «Книгоман»	15
2	Положення про службу захисту інформації в автоматизованій системі класу 2 відділу технічного захисту інформації Видавництва «Книгоман»	5
3	Інструкція користувачу автоматизованої системи класу 1 відділу технічного захисту інформації Видавництва «Книгоман»	8
4	Інструкція з адміністрування системи автоматизованої системи класу 2 відділу технічного захисту інформації Видавництва «Книгоман»	11
5	Інструкція з режимних заходів щодо захисту інформації під час її обробки в автоматизованій системі класу 2 відділу технічного захисту інформації Видавництва «Книгоман»	12
6	Інструкція з правил видачі вилучення та зберігання персональних ідентифікаторів користувачів автоматизованої системи класу 2 відділу технічного захисту інформації Видавництва «Книгоман»	12
7	Інструкція по правилам управління паролями в автоматизованій системі класу 2 відділу технічного захисту інформації Видавництва «Книгоман»	6
8	Інструкція про порядок оперативного відновлення функціонування автоматизованої системи класу 2 відділу технічного захисту інформації Видавництва «Книгоман»	5

3. Пояснювальна записка до Техноробочого проекту

комплексної системи захисту інформації автоматизованої системи класу 2

відділу технічного захисту інформації Видавництва «Книгоман»

3.1 Позначення і скорочення

В цьому Техноробочому проекті використовуються такі позначення і скорочення:

АСВТЗІ - автоматизована система класу 1 відділу технічного захисту інформації;

ІзОД - інформація з обмеженим доступом;

НСД - несанкціонований доступ;

ПЕМВН - побічні електромагнітні випромінювання і наводки;

ОІД - об'єкт інформаційної діяльності;

КСЗІ - комплексна система захисту інформації;

ОТЗ - основні технічні засоби;

ДТЗ - допоміжні технічні засоби;

ТЗІ - технічний захист інформації;

ПМА - програма і методика випробувань;

ЖМД - жорсткий магнітний диск;

ГМД - гнучкий магнітний диск;

НСД - несанкціонований доступ;

НД ТЗІ - нормативний документ системи технічного захисту інформації;

КЗЗ - комплекс засобів захисту.

3.2 Загальні відомості

Повна назва: Комплексна система захисту в автоматизованій системі класу 2 об'єкту інформаційної діяльності - приміщення № 5 відділу технічного захисту інформації Видавництва «Книгоман».

Розробка КСЗІ в АСВТЗІ є складовою частиною робіт з впровадження АСВТЗІ в діяльність, що виконуються між Видавництва «Книгоман» і ТОВ «Слід».

Замовник: Видавництва «Книгоман»

Виконавець: ТОВ «Слід»;

Підставою для виконання робіт по створенню КСЗІ в АСВТЗІ є Технічне завдання на створення КСЗІ в АСВТЗІ.

Організаційні та організаційно-технічні заходи щодо захисту інформації в АСВТЗІ що зазначені в цьому Техпроекті здійснюються у період з 16.04.2011 року по 30.06.2011 року.

Фінансування робіт здійснюється за рахунок коштів передбачених для технічного захисту інформації в Видавництва «Книгоман».

Порядок оформлення та пред'явлення Замовнику результатів виконання робіт зі створення КСЗІ в АСВТЗІ визначається вимогами:

НД ТЗІ 1.1-002-1999 „Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу”.

НД ТЗІ 1.1-003-1999 „Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу”.

НД ТЗІ 3.6-001-2000 „Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу”.

НД ТЗІ 1.4-001-2000 „Типове положення про службу захисту інформації в автоматизованій системі”.

НД ТЗІ 3.7-003-2005 „Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі”.

КСЗІ в АСВТЗІ призначена для:

забезпечення визначеної для АСВТЗІ політики безпеки інформації;

розмежування доступу користувачів АСВТЗІ до інформації різних категорій конфіденційності;

блокування несанкціонованих дій з ІзОД;

реєстрації спроб реалізації загроз інформації та сповіщення адміністраторів безпеки про факти несанкціонованих дій з ІзОД;

забезпечення спостереженості інформації шляхом контролю за діями користувачів АС 1 та реєстрації подій, які мають відношення до безпеки інформації;

підтримання цілісності критичних ресурсів АСВТЗІ;

організації обліку, зберігання та обігу матеріальних носіїв інформації, які використовуються в АСВТЗІ;

забезпечення управління засобами захисту КСЗІ та контролю за її функціонуванням.

захисту ІзОД від витоку її технічними каналами;

Під час проектування КСЗІ в АС 1 необхідно забезпечити:

заданий рівень захисту ІзОД, яка циркулюватиме в АСВТЗІ;

економічну доцільність прийнятих рішень.

Під час розробки КСЗІ враховується інформація яка наведена в документах перелік яких наведено в п. 1 цього Техноробочого проекту.

Відомості які зазначають структуру та склад АСВТЗІ, а саме:

структура та обладнання, що використовується в АСВТЗІ;

програмне забезпечення, що використовується в основних складових АСВТЗІ;

характеристика інформації та технологія її обробки в АСВТЗІ (характеристика інформаційного середовища);

характеристики фізичного середовища АСВТЗІ;

характеристики обслуговуючого персоналу АСВТЗІ;

користувачі, об'єкти, процеси та їх атрибути в АСВТЗІ,

наведені в Технічному завданні.

3.3 Основні технічні рішення та заходи при створенні КСЗІ в АСВТЗІ

3.3.1 Технічні заходи із захисту інформації в АСВТЗІ

Проведення інсталяції та перевірки робото здатності в АСВТЗІ наступного програмного забезпечення:

операційної системи Microsoft Windows XP SP-2;

драйвери системних пристроїв АСВТЗІ;

пакет прикладних програм Microsoft Office 2003;

Microsoft Office Visio 2007;

антивірусна програма NOD-32

Windows Comander 6.53;

Nero 8.0.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Встановлення на лінію електроживлення від якої здійснюється електроживлення всіх компонентів АСВТЗІ мережевого протизавадного фільтра М-17.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Встановлення на лінію охоронної сигналізації протизавадного фільтра М-9.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Підключення всіх компонентів АСВТЗІ до контуру заземлення.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Проведення робіт щодо пошуку в приміщенні можливо потай встановлених пристроїв технічної розвідки (відеопередавачів).

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

3.3.2 Будівельно-монтажні роботи із захисту інформації в АС

Обладнання віконного отвору металевими гратами відповідно вимог п.п 4.1.2 Технічного завдання на створення КСЗІ

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Обладнання віконного отвору непрозорими шторами.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

3.3.3 Організаційні заходи із захисту інформації в АС

Складання Інструкції користувачу АСВТЗІ в якій повинно бути відображено наступні заходи:

порядок допуску осіб до проведення робіт з ІзОД в АСВТЗІ;

порядок дій користувача щодо обробки ІзОД за допомогою АСВТЗІ;

відповідальність користувача під час їх поводження з ІзОД.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Складання Інструкції з адміністрування системи АСВТЗІ в якій обов'язково повинно бути зазначено:

порядок дій адміністратора безпеки;

порядок дій системного адміністратора;

порядок дій адміністратора документів

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Складання Інструкції по правилам видачі, вилучення та обліку персональних ідентифікаторів в якій повинно бути зазначено:

порядок видачі персональних ідентифікаторів;

порядок вилучення персональних ідентифікаторів;

порядок обліку персональних ідентифікаторів;

порядок зберігання персональних ідентифікаторів.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Складання Інструкції по правилам управління паролями в АСВТЗІ в який повинно бути зазначено:

порядок присвоєння реєстраційних (системних) імен користувачів;

порядок видачі паролів користувачам;

порядок зміни паролів та реєстраційних (системних) імен користувачів;

порядок вилучення паролів;

склад імен та паролів;

обов'язки користувача під час поводження користувачів з паролями.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Складання Інструкції з режимних заходів захисту інформації під час її циркуляції в АСВТЗІ в який повинно бути зазначено:

загальні вимоги до організації обробки конфіденційної інформації в АСВТЗІ;

порядок дій користувачів щодо забезпечення режимних заходів захисту конфіденційної інформації;

порядок друку і обліку користувачами документів, які містять ІзОД;

порядок знищення або збереження ІзОД, яка міститься на машинних носіях;

порядок обліку файлів які містять ІзОД, на машинному носії інформації;

порядок обліку машинного носія інформації;

відповідальність користувача.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

Складання Інструкції про порядок оперативного відновлення функціонування автоматизованої системи класу 2 відділу технічного захисту інформації Видавництва «Книгоман» в який повинно бути зазначено:

порядок дій користувачів, представників служби захисту інформації в АСВТЗІ та начальника спеціального відділу під час збоїв програмного забезпечення АСВТЗІ;

порядок дій користувачів, представників служби захисту інформації в АСВТЗІ та начальника спеціального відділу під час ремонту, модернізації та технічного обслуговування компонентів АСВТЗІ;

порядок протидії комп'ютерним вірусам.

Відповідальний: ________________

Відмітка про виконання: ________________

Підпис виконавця: ________________

3.4 Показники захищеності АСВТЗІ від НСД

Відповідно відомостей наведених в Технічному завданні для АС необхідно реалізувати функціональний профіль захищеності.

Реалізацію вказаного функціонального профілю буде здійснювати застосована система захисту інформації, яка повинна реалізувати наступні основні функції:

ідентифікацію та аутентифікацію користувачів під час завантаження операційної системи з ЖМД та блокування використання АСВТЗІ сторонньою особою;

блокування завантаження операційної системи АСВТЗІ з ГМД або CD-ROM;

розмежування обов'язків користувачів та визначення декількох ролей адміністраторів, які можуть виконувати різні функції адміністрування КЗЗ;

розмежування доступу користувачів до каталогів та файлів, що в них знаходяться;

керування потоками інформації та блокування інформаційних потоків, що призводять до втрати або знищення рівня конфіденційності інформації;

контроль за друком документів;

контроль за експортом інформації на змінні носії інформації;

гарантоване видалення конфіденційної інформації шляхом затирання змісту файлів при їх видаленні;

розмежування доступу прикладних програм до виділених каталогів та до файлів, які в них зберігаються;

контроль цілісності програмного забезпечення та блокування завантаження незареєстрованих програм і програм, цілісність яких порушена;

контроль за використанням дискового простору користувачами;

блокування пристроїв інтерфейсу користувача на час його відсутності;

реєстрацію в спеціальних журнальних файлах таких подій, що мають відношення до безпеки, як:

завантаження операційної системи користувачем та завершення сеансу роботи;

реєстрацію спроб несанкціонованих подій з ІзОД;

запуск програм;

доступ до ІзОД;

відновлення функціонування КЗЗ після збоїв;

адміністрування (реєстрацію користувачів, визначення захищених ресурсів та прав доступу до них, обробку журнальних файлів тощо).

3.5 Порядок постачання засобів захисту інформації та/або розробки технічних вимог (технічних завдань) на їх розробку

Організація постачання та впровадження в АСВТЗІ технічних засобів захисту здійснюється відділом технічного захисту інформації Видавництва «Книгоман».

3.6 Порядок проведення тестування, пусконалагоджувальних робіт та проведення попередніх випробувань КСЗІ в АСВТЗІ

Пусконалагоджувальні роботи включають в себе виконання технічних та організаційних заходів захисту інформації що передбачені в п.3 цієї Пояснювальної записки до Техпроекту.

Попередні випробування проводяться після виконання в повному обсязі пусконалагоджувальних робіт.

Попередні випробування проводяться згідно з програмою та методиками випробувань КСЗІ. Програму й методики випробувань готує Виконавець та погоджує її з директором Видавництва «Книгоман».

Попередні випробування організовується відділом технічного захисту інформації Видавництва «Книгоман». Під час попередніх випробувань КСЗІ в АСВТЗІ проводиться перевірка достатності вжитих організаційних, організаційно-технічних та технічних заходів щодо блокування всіх виявлених технічних каналів витоку ІзОД, шляхів НСД до ІзОД та загроз ІзОД в АСВТЗІ.

Спеціалістами відділу технічного захисту інформації Видавництва «Книгоман» за результатами попередніх випробувань оформляється Протокол випробувань, де міститься висновок щодо можливості прийняття КСЗІ у дослідну експлуатацію, а також перелік виявлених недоліків, необхідних заходів з їх усунення, і рекомендовані терміни виконання цих робіт.

Після усунення недоліків у випадку їх наявності та коригування проектної, робочої, експлуатаційної документації КСЗІ оформлюється акт про приймання КСЗІ у дослідну експлуатацію.

3.7 Порядок адаптації засобів захисту до умов функціонування КСЗІ

Режим роботи всіх компонентів АСВТЗІ, пристроїв захисту повинен забезпечувати надійну їх роботу та забезпечувати захист інформації з урахуванням фізичного та кліматичного середовища розташування.

3.8 Схеми розміщення АСВТЗІ, кабельного обладнання, мереж живлення та систем заземлення

Монтаж компонентів АСВТЗІ на ОІД повинен відповідати вимогам нормативних документів з ТЗІ.

Встановлення (монтаж) біля АСВТЗІ будь яких технічних пристроїв (засобів) на відстані менш ніж 1,5 метрів або прокладання будь-яких ліній та кабелів на відстані менш ніж 1 метр - заборонено.

3.9 Заходи щодо підготовки КСЗІ до введення у дію

Для введення КСЗІ в дію необхідно виконати наступні заходи:

провести налагодження всіх механізмів розмежування доступу користувачів до інформації та апаратних ресурсів АСВТЗІ на ту кількість, яка визначена відповідними списками;

визначити порядок контролю за діями користувачів;

визначити порядок контролю цілісності програмного забезпечення та баз даних захисту в АСВТЗІ;

визначити порядок навчання і підвищення кваліфікації персоналу, який має доступ до АСВТЗІ;

визначити заходи із перевірки кваліфікації користувачів та адміністраторів безпеки АСВТЗІ.

3.10 Порядок проведення експертизи КСЗІ в АС 2

Експертиза КСЗІ в АСВТЗІ проводиться фірмою-ліцензіатом яка має відповідну ліцензію на виконання вказаних робіт від Адміністрації Державної служби спеціального зв'язку та технічного захисту інформації України.

Після проведеної експертизи на КСЗІ в АСВТЗІ відповідним чином видається Атестат відповідності КСЗІ.

8. Підготовка КСЗІ до введення в дію

ЗАТВЕРДЖУЮ

Директор Видавництва «Книгоман»

________________І.І.Кірик

“ ____ ” ________ 2013 року

ПАСПОРТ-ФОРМУЛЯР

на автоматизовану систему класу 2 відділу технічного захисту інформації Видавництва «Книгоман»

• В цьому документі використовуються наступні позначення і скорочення:

АС -	автоматизована система;
АСВТЗІ -	автоматизована система відділу технічного захисту інформації ВИДАВНИЦТВО «Книгоман»;
ДТЗС -	допоміжні технічні засоби та системи;
ІзОД -	інформація з обмеженим доступом;
КЗЗ -	комплекс засобів захисту;
КСЗІ -	комплексна система захисту інформації;
КТЗІ -	комплекс технічного захисту інформації;
НСД -	несанкціонований доступ;
ОІД -	об'єкт інформаційної діяльності;
ОС -	обчислювальна система;
ОТЗ -	основні технічні засоби;
ПЕМВН -	побічні електромагнітні випромінювання та наведення;
ПЗ -	програмне забезпечення;
СЗІ -	служба захисту інформації;
ТЗІ -	технічний захист інформації;
ТЗ -	технічне завдання.

• 1. Загальні положення
• 1.1. Паспорт - формуляр (далі - Паспорт) на автоматизовану систему класу 2 відділу технічного захисту інформації Видавництва «Книгоман».
• 1.2. Безпосередня відповідальність за ведення Паспорту покладається на керівника СЗІ в АСВТЗІ.
• Заповнювати та вносити зміни до Паспорта мають право тільки представники СЗІ на підставі звітних документів.
• 2. Загальні відомості про ОІД, на якому знаходиться АСВТЗІ
• 2.1. ОІД - приміщення № 5 Видавництва «Книгоман» розташовано на 1-му поверсі корпусу № 2 ВАТ „Тигр” адресою: місто Київ,вул.. Київська, 1.
• 2.2. Характеристика приміщення, у якому розташовано ОІД:
• зовнішні стіни - цегельні, товщина яких становить 500 мм;
• внутрішні стіни - цегельні, товщина яких становить 450 мм;
• підлога - залізобетонні плити, вкрита лінолеумом;
• стеля - залізобетонні плити, вкрита лінолеумом;
• кількість вікон - відсутні;
• кількість вхідних дверей - одні;
• двері - дерев'яні, оббиті залізними листами, обладнані замковими пристроями та датчиками охоронної сигналізації

2.3. Згідно з “Актом визначення вищого ступеню обмеження доступу інформації, яка циркулюватиме на об'єкті інформаційної діяльності - приміщення № 5 відділу технічного захисту інформації Видавництва «Книгоман» від 12.04.11 на ОІД здійснюються такі види інформаційної діяльності:

2.3.1. Обробка (перетворення, відображення, накопичення, друк) інформації з обмеженим доступом за допомогою АСВТЗІ з вищим грифом обмеження доступу “цілком конфіденційно”.

2.3.2. Робота з паперовими документами, що містять інформацію з вищим грифом обмеження доступу “цілком конфіденційно”

2.4. ОІД обладнано такими системами життєзабезпечення:

система міського телефонного зв'язку;

система охоронної сигналізації; система пожежної сигналізації;

система електроживлення;

система опалення;

система заземлення.

Лінія міського телефонного зв'язку прокладена по стінах неекранованими проводами і має вихід за межі контрольованої зони Видавництва «Книгоман» до приміщення АТЗ ТОВ „ОГО” де вона підходить до АТЗ.

Лінія пожежної сигналізації прокладена постелі та стінах неекранованими проводами до пульта пожежної сигналізації, який встановлено в службовому приміщенні охорони на контрольно-пропускному пункті ВАТ „Тигр”.

Лінія охоронної сигналізації прокладена по стінах неекранованими проводами до пульта охоронної сигналізації, який встановлено в службовому приміщенні охорони на контрольно-пропускному пункті ВАТ „Тигр”.

Труби системи опалення встановлено під підвіконням та підводяться до внутрішньої котельні ВАТ „Тигр”.

Кабель системи заземлення підключено до електричних розеток та виведено до контуру заземлення, який знаходиться в межах контрольованої зони ВАТ „Тигр”.

Лінії електроживлення прокладено в стінах неекранованими мідними проводами та виводяться до електричного розподільчого щита, який знаходиться в межах контрольованої зони Видавництва «Книгоман». Від розподільчого щита кабель електроживлення прокладено до трансформаторної підстанції, яка знаходиться в межах контрольованої зони ВАТ „Тигр”

2.5. Схема розміщення ОІД в корпусі № 2 ВАТ „Тигр” та відносно межі контрольованої зони Видавництва «Книгоман» наведено на рис. 2.5.1.

2.6 Охорона корпусу № 2 та території ВАТ „Тигр” в цілому здійснює відомча охорона відповідно розпоряджень та інструкцій ВАТ „Тигр”.

2.7. Схема розміщення меблів інтер'єру, засобів технічного захисту, основних та допоміжних технічних засобів, на ОІД, наведено рис. 2.5.2.

3. Призначення комплексної системи захисту інформації в АСВТЗІ:

КСЗІ в АСВТЗІ призначена для:

забезпечення визначеної для АСВТЗІ політики безпеки інформації;

розмежування доступу користувачів АСВТЗІ до інформації різних категорій конфіденційності;

блокування несанкціонованих дій з ІзОД;

реєстрації спроб реалізації загроз інформації та сповіщення адміністраторів безпеки про факти несанкціонованих дій з ІзОД;

забезпечення спостереженості інформації шляхом контролю за діями користувачів АСВТЗІ та реєстрації подій, які мають відношення до безпеки інформації;

підтримання цілісності критичних ресурсів АСВТЗІ;

організації обліку, зберігання та обігу матеріальних носіїв інформації, які використовуються в АСВТЗІ;

забезпечення управління засобами захисту КСЗІ та контролю за її функціонуванням.

захисту ІзОД від витоку її технічними каналами.

Рис. 2.5.1.



Рис. 2.5.2.

9. Попередні випробування КСЗІ

ЗАТВЕРДЖУЮ

Директор Видавництва «Книгоман»

________________І.І.Кірик

“ ____ ” ________ 2013 року

АВТОМАТИЗОВАНА СИСТЕМА ВІДДІЛУ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ ВИДАВНИЦТВА «Книгоман» (шифр - «АСВТЗІ»)

КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ

(шифр - КСЗІ «АСВТЗІ»)

ПРОГРАМА ТА МЕТОДИКИ ВИПРОБУВАНЬ

1. Об'єкт випробувань

Попереднім випробуванням за критеріями технічного захисту інформації (далі - ТЗІ) підлягає комплексна система захисту інформації (далі - КСЗІ) в автоматизованій системі класу 1 відділу технічного захисту інформації (далі - АСВТЗІ) ВИДАВНИЦТВО «Книгоман», яка знаходиться на об'єкті інформаційної діяльності - приміщення № 1 відділу технічного захисту інформації ВИДАВНИЦТВО «Книгоман» за адресою: м. Київ, вул. Київськай, 1, корпус № 2.

1.1. Комплектність об'єкта випробувань

Під час випробувань має дотримуватися як комплектність засобів, що відносяться безпосередньо до КСЗІ, так і комплектність апаратних і програмних засобів, що не відносяться до КСЗІ.

Результати випробувань КСЗІ в АСВТЗІ діють лише за умови відповідності комплектності апаратних і програмних засобів, середовища користувачів, фізичного середовища, інформаційного середовища (інформації, що обробляється, і технології її обробки) - тим, що визначені у відповідних розділах цієї Програми та методики та Технічному завданні на створення КСЗІ в АСВТЗІ (далі - Технічне завдання).

1.2. Апаратні засоби КСЗІ в АСВТЗІ

КСЗІ створена в АСВТЗІ у складі наведеному в таблиці 1.2.1.

Таблиця 1.2.1

№ п/п	Найменування	Тип	Заводський (інвентарний) №
	АСВТЗІ у складі:
1	Cистемний блок:
1.1	ЖМД	Western Digital WD80	WCAHL5841592
1.2	Дисковод	Samsung SFD-3218	P5IPB090718
1.3	материнська плата	ECS K7VTA3 v6	996640E34720366
1.4	Процессор	AMD Athlon XP 1800 MHz
1.5	CD-RW	LG GCE-8524B	311HF184708
1.6	оперативна пам'ять	Hynix PC2700 512m	7300027
1.7	графічний адаптер	Radeon 9200 SE	H040135514
1.8	блок живлення	Codegen 300W	б/н
2	Монітор	Samsung SyncMaster 957MB	PU19HVAWB09722B
3	Клавіатура	4U Standart Keyboard	000015952
4	Графічн. Маніпулятор	A4 Tech Swop-3	б/н
5	Принтер	HP Laser Jet M1120 MFP	CND8831HJ2

1.3. Програмне забезпечення АСВТЗІ

В АСВТЗІ встановлено наступне програмне забезпечення:

операційна система Microsoft Windows XP SP-2;

драйвери системних пристроїв АСВТЗІ;

пакет прикладних програм Microsoft Office 2003;

Microsoft Office Visio 2007;

антивірусна програма NOD-32;

Windows Comander 6.53;

Nero 8.0.

1.4. Завдання КСЗІ

КСЗІ в АСВТЗІ призначена для:

забезпечення визначеної для АСВТЗІ політики безпеки інформації;

розмежування доступу користувачів АСВТЗІ до інформації різних категорій конфіденційності;

блокування несанкціонованих дій з ІзОД;

реєстрації спроб реалізації загроз інформації та сповіщення адміністраторів безпеки про факти несанкціонованих дій з ІзОД;

забезпечення спостереженості інформації шляхом контролю за діями користувачів АСВТЗІ та реєстрації подій, які мають відношення до безпеки інформації;

підтримання цілісності критичних ресурсів АС;

організації обліку, зберігання та обігу матеріальних носіїв інформації, які використовуються в АС;

забезпечення управління засобами захисту КСЗІ та контролю за її функціонуванням.

захисту ІзОД від її витоку технічними каналами.

2. Мета випробувань

Метою попередніх випробувань є визначення:

відповідності КСЗІ задачам, поставленим у Технічному завданні;

ступеня виконання вимог з ТЗІ, зазначених у Технічному завданні;

ступеня готовності АСВТЗІ, в якій створена КСЗІ, до експлуатації.

3. Загальні положення

3.1. Перелік керівних документів з проведення випробувань:

НД ТЗІ 1.1-002-99 “Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу”;

НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу”;

НД ТЗІ 1.4-001-2000 “Типове положення про службу захисту інформації в автоматизованій системі”;

НД ТЗІ 2.5-007-2001 “Вимоги до комплексу засобів захисту інформації, що становить державну таємницю, від несанкціонованого доступу при її обробці в автоматизованих системах класу 1”;

НД ТЗІ 3.7-003-2005 „Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі”;

Методика виявлення витоку мовної або видової інформації через закладні пристрої на об'єктах інформаційної діяльності (розроблено ДП „Е-Консалтінг”, з урахуванням апаратурного забезпечення) погоджено листом Держспецзв'язку України від 26.12.07. № 9/4-2585

3.2. Місце і тривалість випробувань

Випробування проводяться на об'єкті інформаційної діяльності Видавництва «Книгоман», яке є замовником створення КСЗІ у терміни визначені Техпроектом комплексної системи захисту інформації в АСВТЗІ ТОВ.

3.3. Організації, що беруть участь у випробуваннях

Випробування КСЗІ в АСВТЗІ будуть проводити спеціалісти відділу технічного захисту інформації Видавництва «Книгоман» та ТОВ «Слід»

4. Обсяг випробувань

4.1. Етапи випробувань і перевірок

Перевірка КСЗІ на наявність функцій захисту інформації відповідно до Технічного завдання, повинна включати:

перевірку середовища функціонування АСВТЗІ;

перевірка експлуатаційної документації КСЗІ;

перевірку реалізації засобів захисту від витоку інформації з обмеженим доступом (далі - ІзОД), яка планується до циркуляції в АСВТЗІ, за рахунок побічних електромагнітних випромінювань та наведень (далі - ПЕМВН);

перевірку реалізації організаційних та організаційно-технічних заходів щодо блокування візуально-оптичного каналу витоку інформації;

перевірку реалізації організаційних, організаційно-технічних та технічних заходів щодо блокування радіотехнічного каналу витоку інформації;

перевірку реалізації захисту ІзОД в АСВТЗІ засобами захисту від НСД та блокування шляхів НСД до компонентів АСВТЗІ;

перевірку реалізації організаційних заходів щодо унеможливлення (блокування) загроз інформації, які можуть виникнути під час її циркуляції в АСВТЗІ.

4.1.1. Перевірка середовища функціонування АСВТЗІ

Перевірка середовища функціонування визначає повноту виконання вимог Технічного завдання щодо:

фізичного середовища АСВТЗІ;

середовища користувачів АСВТЗІ;

технології обробки інформації в АСВТЗІ;

інформаційного середовища АСВТЗІ.

4.1.1.1.Перевірка фізичного середовища включає в себе:

відповідність режиму доступу до приміщення № 5 вимогам Технічного завдання;

укомплектованість приміщення № 5 системами охоронної та пожежної сигналізації, зв'язку, допоміжними технічними засобами, іншими системами життєзабезпечення згідно вимог Технічного завдання.

4.1.1.2. Перевірка середовища користувачів визначає:

відповідність категорії користувачів АСВТЗІ до категорій і повноважень користувачів наведеним вимогам в Технічному завданні;

відсутність доступу до АСВТЗІ осіб, які не належать до визначених категорій;

наявність розроблених розпорядчих документів щодо правил пропускного режиму на контрольовану зону Видавництва «Книгоман», порядку доступу осіб в приміщення у якому розташовано АСВТЗІ та порядку доступу до АСВТЗІ.

4.1.1.3. Перевірка обчислювальної системи визначає:

відповідність комплектності, основних функціональних характеристик програмного забезпечення, технічних засобів обробки інформації та обладнання АСВТЗІ проектній та експлуатаційній документації КСЗІ в АСВТЗІ;

наявність у засобів захисту інформації, інших технічних засобів та програмного забезпечення АСВТЗІ, задіяних у складі КСЗІ, підтвердження їх відповідності нормативним документам із захисту інформації (атестат, сертифікат відповідності, експертний висновок) і відповідність їхнього використання вимогам, визначеним цими документами.

4.1.1.4. Перевірка технології обробки інформації за допомогою АСВТЗІ визначає:

відповідність задекларованої в Технічному завданні технології обробки інформації за допомогою АСВТЗІ впровадженому в експлуатаційній документації на КСЗІ порядку обробки інформації;

відповідність адміністрування операційної системи АСВТЗІ та комплексу засобів захисту від НСД технології обробки інформації за допомогою АСВТЗІ.

4.1.1.5. Перевірка інформаційного середовища в АСВТЗІ:

відповідність категорій оброблюваної інформації в АСВТЗІ тим, що зазначені в Технічному завданні;

відповідність форми представлення інформації в АСВТЗІ тій, що визначена в Технічному завданні.

Результати проведеної перевірки викласти в Акті повноти виконання заходів з попередніх випробувань КСЗІ в АСВТЗІ.

4.1.2. Перевірка проектної та експлуатаційної документації на КСЗІ

Перевірка проектної та експлуатаційної документації на КСЗІ визначає перевірку відповідності складених проектних та експлуатаційних документів на КСЗІ переліку наведеному в Технічному завданні та Техпроекту КСЗІ;

перевірку повноти та вірності складених проектних та експлуатаційних документів щодо запровадження організаційних, організаційно-технічних та технічних заходів захисту інформації в АСВТЗІ відповідно вимог нормативних документів перелік яких наведено в п.п. 3.1.

Результати проведеної перевірки викласти в Акті повноти виконання заходів з випробувань КСЗІ в АСВТЗІ.

4.1.3. Перевірка реалізації в КСЗІ організаційних, організаційно-технічних та технічних заходів захисту від витоку технічними каналами

4.1.3.1. Перевірка реалізації в КСЗІ організаційних, організаційно-технічних та технічних заходів захисту від витоку ІзОД, яка планується до циркуляції в АСВТЗІ, за рахунок ПЕМВН визначає:

перевірку відповідності монтажу всіх компонентів АСВТЗІ вимогам наведеним в наведеним в Технічному завданні;

перевірку роботоздатності системи заземлення та відповідності її опору заземлення ТР ЕОТ-95;

перевірку відповідності монтажу на лінію електроживлення від якої здійснюється електроживлення АСВТЗІ завадозаглушувального фільтра М-17 вимогам, які висуваються в технічній документації на вказаний пристрій;

перевірку відповідності монтажу на лінію охоронної та пожежної сигналізації завадозаглушувального фільтра М-9 вимогам, які висуваються в технічній документації на вказаний пристрій;

Результати проведеної перевірки викласти в Протоколі випробувань КСЗІ в АСВТЗІ.

4.1.3.2. Перевірка реалізації організаційних, організаційно-технічних та технічних заходів щодо блокування візуально-оптичного каналу.

Перевірка повинна визначити повноту виконання вимог Технічного завдання з реалізації захисту ІзОД від її витоку за рахунок візуально-оптичного каналу, а саме унеможливлення зняття інформації, яка виводиться на монітор АСВТЗІ, або яка циркулює на ОІД у вигляді паперових носіїв, засобами технічної розвідки ззовні ОІД через віконний отвір.

Результати проведеної перевірки викласти в Акті повноти виконання заходів з попередніх випробувань КСЗІ в АСВТЗІ.

4.1.3.3. Перевірка реалізації організаційних, організаційно-технічних та технічних заходів щодо блокування радіотехнічного каналу.

Перевірка визначає повноту виконання організаційних та організаційно-технічних заходів захисту інформації відповідно вимог Технічного завдання з реалізації захисту ІзОД від витоку радіотехнічним каналом.

Перевірка приміщення № 5 на можливо встановлених в ньому засобів технічної розвідки проводиться щодо виявлення можливо встановлених на ОІД мікровідеокамер, які можуть перехоплювати видову ІзОД, що виводиться на монітор АСВТЗІ та циркулює у вигляді паперових носіїв. Перевірка проводиться відповідно методики що наведена в п.п.3.1.

Результати проведеної перевірки викласти в Протоколі випробувань КСЗІ в АСВТЗІ.

4.1.4. Перевірка блокування шляхів НСД до компонентів АСВТЗІ

Перевірка визначає:

відповідність впроваджених в експлуатаційних документах КСЗІ організаційних та організаційно-технічних заходів щодо унеможливлення (блокування) шляхів НСД сторонніх осіб до компонентів АСВТЗІ;

роботоздатність охоронної сигналізації приміщення № 5.

Результати проведеної перевірки викласти в Протоколі попередніх випробувань КСЗІ.

4.1.5. Перевірка блокування шляхів НСД до ІзОД, яка циркулюватиме в АСВТЗІ

Перевірка блокування шляхів НСД до ІзОД, яка циркулюватиме в АСВТЗІ передбачає:

відповідність проведеного адміністрування впровадженого КЗЗ в АСВТЗІ задекларованому в Технічному завданні функціональному профілю захищеності інформації в АСВТЗІ.

виконання множини послуг, що відповідають функціональному профілю захищеності та рівню гарантії, наведеному в Технічному завданні. Перевірка проводиться відповідно до вимог НД ТЗІ 1.1-002-99 “Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу” та НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу”.

Результати проведеної перевірки викласти в Протоколі попередніх випробувань КСЗІ.

4.1.6. Перевірка реалізації організаційних заходів щодо унеможливлення загроз ІзОД в АСВТЗІ

Перевірка включає в себе перевірку вжитих в експлуатаційних документах КСЗІ організаційних заходів щодо блокування (унеможливлення) загроз ІзОД під час її циркуляції в АСВТЗІ.

Результати проведеної перевірки викласти в Протоколі попередніх випробувань КСЗІ.

5. Умови і порядок проведення випробувань

5.1. Умови проведення випробувань

Стан навколишнього середовища у процесі здійснення випробувань має бути в межах допустимих значень, наведених у технічних умовах на обладнання, що використовується в АСВТЗІ. Стан джерел енергозабезпечення має бути в межах допустимих значень, наведених у технічних вимогах до енергозабезпечення АСВТЗІ.

5.2. Умови початку і завершення окремих етапів випробувань

Етапи випробувань визначаються у, послідовності наведеній у пункті 4 цієї Програми та методики.

Умовою завершення етапу випробувань є успішне виконання в повному обсязі перевірок, визначених цією Програмою і методикою. У разі виявлення суттєвих недоліків у реалізації окремої підсистеми, етап подовжується до усунення недоліків або розробки і впровадження рекомендацій щодо їх нейтралізації. Допускається паралельне виконання частини перевірок, що віднесені до різних етапів.

6. Матеріально-технічне забезпечення випробувань

Для проведення пошуку пристроїв технічної розвідки буде використана наступна апаратура спеціального призначення:

автоматизований комплекс „Акор 1ПК” зав. № 03703;

нелінійний локатор “NR-м” зав. № 03.08.100;

оптико-електронний виявлювач мікровідеокамер “Алмаз” зав. № 40155.

7. Метрологічне забезпечення випробувань

Усі контрольно-вимірювальні прилади, які застосовуються при випробуванні пройшли державну повірку у травні 2010 року.

8. Звітність

За підсумками попередніх випробувань оформлюються:

Протокол випробувань КСЗІ в АСВТЗІ;

Акт повноти виконаних заходів із захисту інформації при створенні КСЗІ в АСВТЗІ.

ЗАТВЕРДЖУЮ

Директор Видавництва «Книгоман»

________________І.І.Кірик

“ ____ ” ________ 2013 року

ПРОТОКОЛ

попередніх випробувань комплексної системи захисту інформації в автоматизованій системі класу 2 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман»

1. Представниками служби захисту інформації, спеціального відділу ВИДАВНИЦТВА «Книгоман» та представником ТОВ «СЛІД». . було проведено попередні випробування створеної комплексної системи захисту інформації (далі - КСЗІ) в автоматизованій системі класу 2 відділу технічного захисту інформації (далі - АСВТЗІ), яка розміщена в приміщенні № 5 ВИДАВНИЦТВА «Книгоман» (далі - ОІД).

Підставою для проведення випробувань є Технічне завдання на створення КСЗІ в АСВТЗІ (далі - Технічне завдання).

2. Вихідні данні

Вихідними даними для проведення випробувань КСЗІ є:

Перелік відомостей, що відносяться до конфіденційної інформації „ВИДАВНИЦТВА «Книгоман» та якій надається гриф обмеження доступу;

Акт визначення вищого ступеню обмеження доступу інформації, яка циркулюватиме на об'єкті інформаційної діяльності - приміщення № 5 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман»;

Акт обстеження середовищ функціонування автоматизованої системи на об'єкті інформаційної діяльності - приміщення № 5 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман»;

Модель загроз для інформації, яка планується до циркуляції в автоматизованій системі класу 2 на об'єкті інформаційної діяльності - приміщення № 5 ВИДАВНИЦТВА «Книгоман»;

Політика безпеки інформації, яка циркулює в автоматизованій системі класу 2 ВИДАВНИЦТВА «Книгоман»;

Автоматизована система відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман». Комплексна система захисту інформації. План захисту інформації;

Автоматизована система відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман». Комплексна система захисту інформації. Технічне завдання (далі - Технічне завдання);

Автоматизована система відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман». Комплексна система захисту інформації. Техпроект (далі - Техноробочий проект);

Паспорт-формуляр на автоматизовану систему класу 2 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман» (Паспорт-формуляр АСВТЗІ);

Положення про службу захисту інформації в автоматизованій системі класу 2 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман» (далі - Положення про СЗІ);

Інструкція користувачу автоматизованої системи класу 2 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман» (далі - Інструкція користувачу);

Інструкція з адміністрування системи автоматизованої системи класу 2 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман» (далі - Інструкція з адміністрування);

Інструкція з режимних заходів щодо захисту інформації під час її обробки в автоматизованій системі класу 2 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман» (далі - Інструкція з режимних заходів);

Інструкція з правил видачі вилучення та зберігання персональних ідентифікаторів користувачів автоматизованої системи класу 2 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман» (далі - Інструкція по ПІ);

Інструкція по правилам управління паролями в автоматизованій системі класу 2 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман» (далі - Інструкція управління паролями);

Інструкція про порядок оперативного відновлення функціонування автоматизованої системи класу 2 відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман» (далі - Інструкція з оперативного відновлення).

3. Методика проведення випробувань

Попередні випробування проводились відповідно документу „Автоматизована система відділу технічного захисту інформації ВИДАВНИЦТВА «Книгоман». Комплексна система захисту інформації. Програма та методики випробувань” (далі - ПМА).

4. Виклад результатів попередніх випробувань КСЗІ

4.1. Перевірка середовища функціонування АСВТЗІ

Середовища функціонування АСВТЗІ на ОІД відповідають вимогам та описам наведеним в Технічному завданні, а саме:

охорону будівлі в якому знаходиться ОІД здійснює відомча охорона ВАТ „Тигр”;

охорона ОІД здійснюється за допомогою системи охоронної сигналізації, пульт якої встановлено в приміщенні охорони ВАТ „Тигр”;

ОІД обладнано системою пожежної сигналізації;

доступ осіб на ОІД та до АСВТЗІ організовано відповідно списку, затвердженому директором ВИДАВНИЦТВА «Книгоман» та відповідно вимог Інструкції з режимних заходів;

склад та розміщення АСВТЗІ, допоміжних технічних засобів та систем, систем життєзабезпечення ОІД відповідають перелікам наведеним в Паспорті-формулярі АСВТЗІ;

особи, які будуть мати доступ до інформації в АСВТЗІ, визначені відповідним списком користувачів АСВТЗІ;

операційна система та склад програмного забезпечення АСВТЗІ відповідає переліку наведеному в Паспорті-формулярі АСВТЗІ;

організація порядку обробки конфіденційної інформації в АСВТЗІ та форма представлення інформації з обмеженим доступом (далі - ІзОД) в АСВТЗІ відповідає задекларованої в Технічному завданні технології обробки інформації;

зареєстровані в АСВТЗІ користувачі відповідають списку осіб, які допущені до роботи з конфіденційною інформацією в АСВТЗІ.

4.2. Перевірка експлуатаційної документації КСЗІ

Проектна та експлуатаційна документація КСЗІ в АСВТЗІ відповідає вимогам Технічного завдання, а саме:

перелік проектних та експлуатаційних документів на КСЗІ в АСВТЗІ відповідає переліку експлуатаційної документації наведеному в Технічному завданні;

зміст та об'єм інформації, що наведено в проектній та експлуатаційній документації, щодо створення КСЗІ в АСВТЗІ, відповідає вимогам Техпроекту.

4.3. Перевірка заходів із захисту ІзОД від її витоку технічними каналами

4.3.1. Блокування каналу побічних електромагнітних випромінювань та наведень (далі - ПЕМВН)

КСЗІ здійснює блокування витоку ІзОД, яка циркулюватиме в АСВТЗІ, за рахунок ПЕМВН наступними заходами:

електроживлення всіх компонентів АСВТЗІ здійснюється через мережевий завадозаглушувальний фільтр М-17, що унеможливлює просочення ІзОД через лінію електроживлення за рахунок наведень від компонентів АСВТЗІ інформативних сигналів на вказану лінію;

монтаж завадозаглушувального фільтру М-17 відповідає вимогам, що наведено в пасорті на вказаний мережевий фільтр;

на лінію охоронної та пожежної сигналізації встановлено завадозаглущшувальний фільтр М-9, що унеможливлює просочення ІзОД через ці лінії за рахунок наведень на них від компонентів АСВТЗІ інформативних сигналів;

всі компоненти ІТС підключено до контуру системи заземлення яка відповідає вимогам п. 5.3 ТР ЕОТ 95, а саме:

контур системи заземлення знаходиться в межах контрольованої зони ВИДАВНИЦТВА «Книгоман»;

в якості контуру заземлення використовується глибинний заземлювач;

опір системи заземлення становить 1,4 Ом (Протокол виміру опору заземлення від 07.06.09 № 34 ВИДАВНИЦТВО «Книгоман»).

4.3.2. Блокування радіотехнічного каналу

На ОІД проведено пошук можливо встановлених пристроїв технічної розвідки (закладних пристроїв) які б могли передавати видову інформації по радіоканалу або лінійними комунікаціями. За результатами проведених робіт зроблено наступні висновки:

при проведенні моніторингу радіоефіру за допомогою пошукового комплексу DigiScan EX 2.1 у діапазоні частот 10 кГц - 3 ГГц радіовипромінювань, які б свідчили про факт встановлених на ОІД пристроїв технічної розвідки не виявлено.

при проведенні обстеження будівельних конструкцій (стін, підлоги, вікон та дверей), технічних засобів, меблів та предметів інтер'єру приміщення за допомогою індикатора поля RD-14 та частотоміра ACECO SC-1 радіовипромінювань, які б свідчили про наявність закладних пристроїв не виявлено.

при обстеженні будівельних конструкцій, меблів, предметів інтер'єру, технічних засобів за допомогою приладу пошуку оптичних систем RAY - оптичних систем (мікровідеокамер) не виявлено.

при обстеженні будівельних конструкцій (стін, підлоги, стелі, віконних конструкцій, дверей), меблів та предметів інтер'єру за допомогою портативного нелінійного локатора „Обь-1” - закладних пристроїв не виявлено.

КСЗІ здійснює захист інформації від її витоку за рахунок радіотехнічного каналу витоку наступними заходами:

організованими перепускним режимом контрольовану зону ВИДАВНИЦТВО «Книгоман» та порядком відвідування сторонніх осіб приміщень ВИДАВНИЦТВО «Книгоман» унеможливлюється встановлення пристроїв технічної розвідки на лінії, які виходять за межі ОІД;

виконання вимог що наведено в експлуатаційній документації на КСЗІ стосовно порядку доступу осіб на ОІД, є достатніми щодо унеможливлення встановлення на ОІД пристроїв технічної розвідки (відеопередавачів).

4.3.3. Блокування візуально-оптичного каналу

КСЗІ блокує візуально-оптичний канал витоку інформації наступними заходами:

вікно ОІД обладнано непрозорими жалюзями;

виконання вимог Інструкції користувача, є достатніми щодо блокування витоку інформації за рахунок візуально-оптичного каналу.

4.4. Перевірка блокування шляхів несанкціонованого доступу (далі -НСД) до компонентів АСВТЗІ

КСЗІ унеможливлює (блокує) несанкціонований доступ сторонніх осіб до компонентів АСВТЗІ та на ОІД в цілому наступними заходами:

ОІД обладнано системою охоронної сигналізації, яка знаходиться в робочому стані;

в Інструкції з режимних заходів впроваджено дії начальника спеціального відділу щодо організації охорони ОІД в неробочий час та організацію режимних заходів на ОІД, виконання яких є достатніми щодо унеможливлення шляхів НСД до компонентів АСВТЗІ та на ОІД в цілому.

4.5. Перевірка блокування шляхів НСД до ІзОД, яка циркулюватиме в АСВТЗІ

КСЗІ унеможливлює (блокує) НСД до ІзОД в АСВТЗІ наступними заходами: в Інструкції користувачу, Інструкції з адміністрування системи, Інструкції з режимних заходів, Інструкції по оперативному відновленню впроваджено організаційні заходи щодо унеможливлення НСД до ІзОД, яка обробляється та зберігається в АСВТЗІ;

виконання користувачами АСВТЗІ вимог Інструкції по правилам управління паролями та Інструкціїз ПІ забезпечують унікальність персональних даних користувача для доступу до ІзОД в АСВТЗІ та унеможливлюють їх несанкціоноване заволодіння, ознайомлення та підбір;

Система захисту інформації від НСД здійснює:

ідентифікацію та аутентифікацію користувачів АСВТЗІ;

блокує завантаження операційної системи АСВТЗІ з гнучкого диска та CD-ROM;

здійснює розмежування доступу між користувачами АСВТЗІ до їх захищених документів;

здійснює контроль та цілісність програмного забезпечення в АСВТЗІ;

реєструє дії користувачів в АСВТЗІ;

блокує вікна (пристроїв) інтерфейсу користувачів, а саме здійснення гасіння екрану монітору та блокування клавіатури з графічним маніпулятором за вибраною комбінацією клавіш або заданого періоду часу бездіяльності користувачів;

здійснює реєстрацію в спеціальних журнальних файлах спроби несанкціонованого доступу до інформації, фактів запуску (завантаження) програм, які не входять до баз даних операційної системи АСВТЗІ.

Встановлений та налагоджений в АСВТЗІ КЗЗ реалізує послуги, зазначені в документі «Модель загроз».

4.6. Перевірка реалізації організаційних заходів щодо унеможливлення загроз ІзОД в АСВТЗІ

Виконання начальником спеціального відділу, користувачами АСВТЗІ, представниками служби захисту інформації в АСВТЗІ організаційних заходів стосовно унеможливлення загроз ІзОД, яка циркулюватиме в АСВТЗІ, які викладені в Інструкції з режимних заходів та Інструкції користувача є достатніми щодо унеможливлення (блокування) загроз ІзОД, які можуть виникати під час її циркуляції в АСВТЗІ.

5. Висновок:

КСЗІ в АСВТЗІ:

забезпечує визначену для АСВТЗІ Політику безпеки інформації;

здійснює розмежування доступу користувачів в АСВТЗІ до інформації різних категорій конфіденційності;

реєструє спроби реалізації загроз інформації та сповіщає адміністраторів безпеки АСВТЗІ про факти несанкціонованих дій з ІзОД;

забезпечує спостережність інформації шляхом контролю за діями користувачів АСВТЗІ та реєстрацію подій, які мають відношення до безпеки інформації;

підтримує цілісність критичних ресурсів АСВТЗІ;

забезпечує організацію обліку, зберігання та обігу матеріальних носіїв інформації, які використовуються в АСВТЗІ;

забезпечує управління засобами захисту КСЗІ та контроль за її функціонуванням;

забезпечує захист ІзОД від її витоку технічними каналами;

блокує НСД до ІзОД та несанкціоновані дії з ІзОД;

блокує НСД до компонентів АСВТЗІ та на ОІД в цілому;

унеможливлює загрози ІзОД, яка циркулюватиме в АСВТЗІ;

забезпечує дотримання вимог режиму конфіденційності під час роботи користувачів АСВТЗІ з ІзОД;

Створена КСЗІ в АСВТЗІ може бути передана для проведення дослідної експлуатації.

начальник відділу технічного

захисту інформації - керівник

служби захисту інформації в АСВТЗІ Т.М.Хохуля

представник ТОВ «СЛІД». В.П.Ягелюк

10. Дослідна експлуатація КСЗІ

ЗАТВЕРДЖУЮ

Директор Видавництва «Книгоман»

________________І.І.кірик

“ ____ ” ________ 2013 року

АКТ ПРИЙМАННЯ

комплексної системи захисту інформації автоматизованої системи класу 2 відділу технічного захисту інформації Видавництва «Книгоман»

Комісією у складі:

голова Гаврилюк Юлія Андріївна - замісник директора,

члени: ХохуляТетяна Миколаївна - нач. відділу ТЗІ,

представник ТОВ «Слід»

було проведено приймання у дослідну експлуатацію комплексну систему захисту інформації (далі - КСЗІ) яка створена в автоматизованій системі класу 2 відділу технічного захисту інформації (далі - АСВТЗІ) Видавництва «Книгоман».

Під час роботи комісії встановлено:

1. КСЗІ в АСВТЗІ створена відповідно вимог документу „Автоматизована система відділу технічного захисту інформації Видавництва «Книгоман». Комплексна система захисту інформації. Технічне завдання”, а саме:

вимог до захисту інформації від витоку технічними каналами;

вимог до захисту інформації від несанкціонованого доступу до інформації в АСВТЗІ, компонентів АСВТЗІ та на об'єкт інформаційної діяльності в цілому;

вимог щодо унеможливлення загроз інформації, які можуть виникати під час циркуляції в АСВТЗІ.

2. КСЗІ в АСВТЗІ пройшла попередні випробування та здійснює захист інформації в АСВТЗІ про що свідчать позитивні висновки Протоколу попередніх випробувань комплексної системи захисту інформації в автоматизованій системі класу 1 відділу технічного захисту інформації Видавництва «Книгоман» стосовно впроваджених в КСЗІ організаційних, організаційно-технічних та технічних заходів захисту.

3. Комплект експлуатаційних документів КСЗІ в АС 2 є достатнім щодо можливості прийняття КСЗІ у дослідну експлуатацію.

Висновок:

Враховуючи вище зазначену інформацію доцільно провести дослідну експлуатацію КСЗІ в АСВТЗІ.

Голова комісії:

Гаврилюк Ю.А. - замісник директора

Члени комісії:

Хохуля Т.М. - нач. відділу ТЗІ,

представник ТОВ «Слід»

11. Експертиза КСЗІ

ЗАТВЕРДЖУЮ

Директор Видавництва «Книгоман»

________________І.І.Кірик

“ ____ ” ________ 2013 року

АКТ ЗАВЕРШЕННЯ ДОСЛІДНОЇ ЕКСПЛУАТАЦІЇ

комплексної системи захисту

інформації в автоматизованій системі класу й відділу технічного

захисту інформації Видавництва «Книгоман»

Комісією у складі:

голова Гаврилюк Юлія Андріївна - замісник директора,

члени: ХохуляТетяна Миколаївна - нач. відділу ТЗІ,

представник ТОВ «Слід»

було проведено дослідну експлуатацію комплексної системи захисту інформації (далі - КСЗІ) яка створена в автоматизованій системі класу 2 відділу технічного захисту інформації (далі - АСВТЗІ) об'єкту інформаційної діяльності - приміщення № 5 Видавництва «Книгоман» (далі - ОІД).