Побудова комплексної системи захисту інформації

Підставою для проведення дослідної експлуатації КСЗІ в АСВТЗІ є:

„Автоматизована система відділу технічного захисту інформації Видавництва «Книгоман». Комплексна система захисту інформації. Технічне завдання” (далі - Технічне завдання);

Протокол попередніх випробувань комплексної системи захисту інформації в автоматизованій системі класу 2 відділу технічного захисту інформації Видавництва «Книгоман» (далі - Протокол попередніх випробувань).

Під час проведення дослідної експлуатації комісією встановлено:

1. Всі компоненти АСВТЗІ працюють справно та без збоїв відповідно задекларованих параметрів наведених в експлуатаційних документах.

2. Система заземлення, до якої підключено всі компоненти, в справному стані.

3. Система захисту інформації від несанкціонованого доступу роботаздатна та адміністрування її програмного забезпечення відповідає задекларованої в Технічному завданні технології обробки інформації за допомогою АСВТЗІ, а саме:

здійснює ідентифікацію та аутентифікацію користувачів АСВТЗІ;

блокує завантаження операційної системи АСВТЗІ з гнучкого диска та CD-ROM;

здійснює розмежування доступу між користувачами АСВТЗІ до їх захищених документів;

здійснює контроль та цілісність програмного забезпечення в АСВТЗІ;

реєструє дії користувачів в АСВТЗІ;

блокує вікна (пристроїв) інтерфейсу користувачів, а саме здійснення гасіння екрану монітору та блокування клавіатури з графічним маніпулятором за вибраною комбінацією клавіш або заданого періоду часу бездіяльності користувачів;

здійснює реєстрацію в спеціальних журнальних файлах спроби несанкціонованого доступу до інформації, фактів запуску (завантаження) програм, які не входять до баз даних операційної системи АСВТЗІ.

дає можливість управління потоками інформації

4. При проведенні тестового оброблення інформації в АСВТЗІ відповідно технології обробки інформації наведеної в Технічному завданні, а саме:

створенні файлу з тестовою інформацією за допомогою програми „Захищені документи” та зберіганні його на жорсткий магнітний диск, флеш накопичувач в створених для цього базах документів;

друкуванні файлу за допомогою принтеру АСВТЗІ;

знищенні користувачем документів з тестовою інформацією ;

здійсненні зчитування інформації з CD-ROM, флеш накопичувача;

недоліків та збоїв не виникало.

5. Впроваджені в КСЗІ організаційні заходи захисту інформації в АСВТЗІ, а саме:

порядок доступу користувачів до АСВТЗІ та інформації, яка в ній зберігається;

порядок та зміст інструктажів користувачів АСВТЗІ;

порядок обробки інформації користувачами за допомогою АСВТЗІ;

порядок дій начальника спеціального відділу, користувачів АСВТЗІ та представників служби захисту інформації в АСВТЗІ при виникненні загроз інформації, яка обробляється в АСВТЗІ;

порядок оперативного відновлення функціонування АСВТЗІ;

порядок обліку та використання магнітних носіїв інформації;

порядок видачі вилучення та зберігання персональних ідентифікаторів користувачів АСВТЗІ та адміністраторів АСВТЗІ;

правила управління паролями в АСВТЗІ;

правила з забезпечення режиму конфіденційності під час обробки інформації в АСВТЗІ;

порядок організації фізичного та протипожежного захисту АСВТЗІ;

порядок дій начальника спеціального відділу по підтримці внутрішньо об'єктового режиму на ОІД;

порядок блокування технічних каналів витоку інформації та шляхів несанкціонованого доступу,

не мають між своїх вимог розбіжностей, завдань, які б неможливо було виконати та забезпечують вимоги Технічного завдання щодо захисту інформації в АСВТЗІ.

6. Впроваджені в КСЗІ організаційно-технічні заходи стосовно захисту інформації від її витоку технічними каналами відповідають умовам інформаційного середовища АСВТЗІ та вимогам Технічного завдання.

7. Всі користувачі, які плануються до обробки інформації за допомогою АСВТЗІ, здали заліки зі знань:

порядку обробки інформації за допомогою АСВТЗІ;

підтримання режиму конфіденційності під час обробки інформації за допомогою АСВТЗІ;

порядку дій при виникненні загроз інформації.

8. За АСВТЗІ закріплено адміністратори які входять до складу створеної в ТОВ «ООО» служби захисту інформації в АСВТЗІ.

9. Комплект експлуатаційних документів КСЗІ в АСВТЗІ, перелік яких наведено в Протоколі попередніх випробувань КСЗІ, є достатнім щодо організації захисту інформації в АСВТЗІ та обробки ІзОД за допомогою АСВТЗІ.

10. АСВТЗІ повністю укомплектована та знаходиться в робочому стані.

Висновок

КСЗІ в АСВТЗІ:

забезпечує визначену для АСВТЗІ системи політику безпеки інформації;

здійснює розмежування доступу користувачів в АСВТЗІ до інформації різних категорій конфіденційності;

блокує несанкціоновані дії з ІзОД;

реєструє спроби реалізації загроз інформації та сповіщає адміністраторів безпеки інформаційно-телекомунікаційної системи про факти несанкціонованих дій з ІзОД;

забезпечує спостереженість інформації шляхом контролю за діями користувачів АСВТЗІ та реєстрації подій, які мають відношення до безпеки інформації;

підтримує цілісність критичних ресурсів АСВТЗІ;

забезпечує організацію обліку, зберігання та обігу матеріальних носіїв інформації, які використовуються в АСВТЗІ;

забезпечує управління засобами захисту КСЗІ та контроль за її функціонуванням;

забезпечує захист ІзОД від її витоку технічними каналами;

забезпечує дотримання вимог режиму конфіденційності під час роботи користувачів в АСВТЗІ з ІзОД.

Під час проведення дослідної експлуатації КСЗІ в АСВТЗІ збоїв в роботі будь яких компонентів АСВТЗІ, пристроїв захисту інформації, систем охоронної та протипожежної сигналізації не виявлено.

Створена КСЗІ в АСВТЗІ може бути представлена на експертизу щодо отримання атестату відповідності на КСЗІ в АСВТЗІ.

Голова комісії:

Гаврилюк Ю.А. - замісник директора,

Члени комісії:

Хохуля Т.М. - нач. відділу ТЗІ,

представник ТОВ «Слід»

Список використаної літератури

1. Закон України “Про інформацію” від 2 жовтня 1992 року №2658-ХІІ;

2. Закон України “Про захист інформації в інформаційно-телекомунікаційних системах” від 5 липня 1994 року № 80/94-ВР;

3. Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27.09.99 р. № 1229/99;

4. ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення;

5. ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт;

6. ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення;

7. Тимчасове положення про категоріювання об'єктів (ТПКО-95). Затверджено наказом Державної служби України з питань ТЗІ від 9 червня 1995р. № 25.

8. ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації;

9. ДБН А.2.2-3-97 Проектування. Склад, порядок розробки, узгодження і затвердження проектної документації для будівництва;

10. НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

11. НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;

12. НД ТЗІ 1.1-004-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

13. НД ТЗІ 1.1-005-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення;

14. НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі;

15. НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

16. НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу;

17. НД ТЗІ 3.1-001-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи;

18. НД ТЗІ 3.3-001-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації;

19. НД ТЗІ 3.6-001-2000 Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу;

20. НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі;

21. НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі;

22. Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах. Затверджено постановою КМУ від 16.02.98 № 180;

23. Положення про державну експертизу в сфері технічного захисту інформації. Затверджено наказом Держспецзв'язку України від 16.05.07 № 93, зареєстроване в Міністерстві юстиції України 16.07.2007 за № 820/14087;

24. Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. Затверджено постановою КМУ 29.03.06 № 373;

25. ТР ЕОТ-95 Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок;

26. РД 50-34.698-90. Автоматизированные системы. Требования к созданию документов.

27. Перелік засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України;

Размещено на Allbest.ru