Основні заходи щодо організації створення комплексу ТЗІ

6.1 Підрозділ-заявник створення комплексу ТЗІ (або призначена посадова особа щодо організації та координації робіт на всіх етапах створення, а також експлуатації комплексу) разом з підрозділом ТЗІ готує і подає на затвердження керівнику установи-замовника:

- протокол про визначення вищого ступеня обмеження доступу до інформа­ції (додаток 1.1);

- проект рішення щодо створення комплексу ТЗІ на ОІД (основою для проведення робіт щодо створення комплексу може бути затверджений Протокол про визначення вищого ступеня обмеження доступу до інформації).

Установа-замовник також:

- готує пропозиції щодо термінів проведення обстеження на ОІД (оформлення відповідних протоколів, актів), проведення категорування об'єктів;

- створює модель загроз для ІзОД (стосовно забезпечення захисту від витоку ІзОД можливими технічними каналами);

- організовує розроблення технічних завдань щодо створення комплексу ТЗІ на ОІД (технічних вимог з питань ТЗІ);

- узгоджує зміни до прийнятих рішень з ТЗІ, якщо необхідність їх внесення обґрунтована результатами випробувань комплексу ТЗІ, надає виконавцю атестації комплексу ТЗІ дані про його створення на ОІД, а також висновки за ре­зультатами випробувань;

- створює необхідні умови для виконання випробувань і проведення атестації комплексу ТЗІ.

6.2 Виконавець робіт з ТЗІ та виконавець випробувань забезпечують:

- проведення заходів щодо недопущення встановлення закладних пристроїв несанкціонованого отримання інформації під час виконання будівельних та монтажно-налагоджувальних робіт, прокладення нових інженерних комунікацій, встановлення технологічного обладнання, засобів оргтехніки, елементів ін­тер'єру, меблів тощо;

- проведення випробувань (у т.ч. спеціальних досліджень технічних-засобів, які оброблятимуть ІзОД) з метою визначення повноти та достатності виконання вимог щодо захисту від витоку ІзОД технічними каналами на ОІД і формування рішень з ТЗІ;

- обґрунтування необхідності впровадження на ОІД заходів із захисту від витоку інформації технічними каналами, розроблення проектно-кошторисної та конструктор­ської документації;

- підготовку пропозицій щодо необхідності залучення співвиконавців для створен­ня комплексу ТЗІ;

- розроблення проектів програм і методик випробувань;

- придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого обладнання;

- впровадження на ОІД заходів з ТЗІ;

- проведення відповідних випробувань згідно із затвердженими програмами і методиками;

- здійснення (у разі необхідності) будівельних, монтажно-налагоджувальних робіт та післяопераційного технічного контролю щодо повноти їх виконання;

- розроблення проектів паспортів на комплекс ТЗІ (у т.ч. паспортів на приміщен­ня, де ІзОД озвучується та/або обробляється технічними засобами тощо);

- здійснення (на договірних засадах) гарантійного та післягарантійного обслуговування комплексу ТЗІ;

- проведення інструктажів щодо особливостей функціонування та експлуатації комплексу ТЗІ.

6.3 Дозвіл на здійснення озвучення та/або оброблення технічними засобами ІзОД (окрім оброблення ІзОД в ІТС) надається керівником установи-замовника на підставі наявності Акта атестації та паспорта на комплекс ТЗІ.

6.4 Дозвіл на експлуатацію ІТС, технічні засоби яких розміщуються на ОІД, надаєть­ся керівником установи-замовника на підставі наявності Атестата відповідності на комплексну систему захисту інформації в ІТС, який оформляється за результатами проведення державної експертизи у сфері ТЗІ.

6.5 Створення комплексу ТЗІ на ОІД передбачає такі основні етапи:.

- виконання передпроектних робіт (1 етап);

- розроблення та впровадження заходів із захисту інформації (2 етап);

- випробування та атестація комплексу ТЗІ (3 етап).

6.6 Порядок виконання робіт на етапах створення комплексу ТЗІ на ОІД визначено НДТЗІ 3.1-001-07, НДТЗІ 3.3-001-07, НДТЗІ 2.1-002-07.

Державні стандарти України ДСТУ 3396.0, ДСТУ 3396.1 при виконанні робіт з ТЗІ використовуються в частині, що не суперечать вимогам зазначених НД ТЗІ.

6.7 Норми ефективності захисту від витоку ІзОД технічними каналами, мето­дики контролю їх виконання (випробувань), вимоги із забезпечення ТЗІ, поря­док створення моделі загроз для інформації, порядок проведення категоруван­ня об'єктів тощо викладено у відповідних НД з питань ТЗІ.

 

Додаток 1.1 (довідковий)

Форма та зміст протоколу про визначення вищого ступеня обмеження доступу до інформації

Ступінь обмеження

доступу Прим. №

 

ЗАТВЕРДЖЕНО

Керівник установи-замовника

_______________________

__.__.20__

ПРОТОКОЛ

Про визначення вищого ступеня обмеження доступу до інформації

______________________________________________________________________________

(назва, належність структурного підрозділу установи, де буде створюватися комплекс ТЗІ)

1. Відомості про інженерно-технічну споруду (належність, склад, дислокація), в межах якої планується створення комплек­су ТЗІ, опис об'єкта інформаційної діяльності (межі об'єкта, схе­ми тощо).

2. Результати проведення аналізу особливостей функціону­вання об'єкта інформаційної діяльності (табл. Д1.1).

Таблиця Д1.1

Найменування приміщень, де ІзОД озвучу­ється та/або обробляється технічними засобами тощо	Характеристика ІзОД (сфера діяльності, зміст відомостей, умови озвучення, засоби оброблення тощо)	Стаття, пункт ЗВДТ, ВДТ, ВДСК	Ступінь обмеження доступу до інформації

Примітки.

1 Ступінь обмеження доступу до інформації встановлюється згідно з даними:

- Зводу відомостей, що становлять державну таємницю (ЗВДТ), або затверджених розгорнутих відомчих переліків відомостей, які за режимом доступу віднесені до державної таємниці (ВДТ);

- затверджених розгорнутих відомчих переліків відо­мостей, які за режимом доступу віднесені до конфіденцій­ної інформації з грифом «Для службового користування» (ВДСК).

2 Протокол підписують представники від підрозділу-заявника на створення комплексу ТЗІ. У разі необхідності, про­токол також підписують представники підрозділу ТЗІ, служби захисту інформації в АС, режимно-секретного органу, секретаріату (канцелярії).

3 Протокол може бути поданий на розгляд комісією з катего­рування, що призначена наказом керівника установи (№, дата надання чинності).

 

Додаток 2

Захист інформації на об'єктах інформаційної діяльності.

Створення комплексу технічного захисту інформації.

Порядок розроблення та впровадження заходів із захисту інформації

НД ТЗІ З.З-001-07

Галузь використання

Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає порядок проведення робіт під час створення комплексу ТЗІ на об'єкті інформаційної діяльності (ОІД) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі - установа) на етапі розроблення (проектування) та впровадження заходів із захисту від витоку інформації з обмеженим доступом технічними каналами.

НД встановлює вимоги до розроблення пояснювальної записки з ТЗІ, паспорта на комплекс ТЗІ та паспортів (як складових паспорта на комплекс ТЗІ) на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами.

Нормативні посилання

У цьому НД є посилання на такі нормативні документи:

ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.

ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва.

ДБН А.2.2-3-04 Проектування. Склад, порядок розроблення, погодження та затвердження проектної документації для будівництва.

НД ТЗІ 1.1-005-07 Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення.

Визначення

У цьому НД використовують терміни відповідно до ДСТУ 3396.2 і НД ТЗІ 1.1-005-07.

Позначення

У цьому НД використовують такі позначення:

КЗ - контрольована зона.

НД — нормативний документ.

ОІД - об'єкт інформаційної діяльності.

ТЗІ - технічний захист інформації.

Загальні положення

5.1 Етап "Розроблення та впровадження заходів із захисту інформації" на ОІД є другим етапом створення комплексу ТЗІ.

5.2 На другому етапі виконавець робіт з ТЗІ відповідно до вимог затвердженого технічного завдання на створення комплексу ТЗІ організовує розроблення пояснювальної записки з ТЗІ, де зазначає перелік, зміст, терміни виконання робіт щодо цього створення, вказує порядок приймання робіт з ТЗІ, атестації комплексу, склад документів, що розробляються під час його створення тощо.

Також можуть бути зазначені:

- вихідні положення щодо необхідності використання інформації з обмеженим доступом в інформаційній (виробничій) діяльності;

- схеми розміщення ОІД, основні технологічні, будівельні та архітектурно-планувальні рішення;

- схеми комплексу ТЗІ;

- результати розгляду варіантів заходів захисту від витоку інформації технічними каналами та орієнтовні техніко-економічні показники щодо цього захисту;

- пропозиції щодо визначення співвиконавців робіт з ТЗІ на ОІД;

- обґрунтування необхідності організації розроблення проектно-кошторисної документації щодо створення комплексу ТЗІ на ОІД;

- висновки та пропозиції.

При цьому мають бути враховані:

- пропозиції від заявників щодо організації проведення робіт з ТЗІ;

- відомості про ОІД;

- результати проведення категорування об'єктів;

- відомості про вже створені (діючі) комплекси ТЗІ;

- перспективу подальших робіт з ТЗІ;

- технічні і економічні можливості установи із впровадження організаційних, інженерних і технічних заходів з ТЗІ на ОІД.

5.3 Виконавець робіт з ТЗІ також організовує:

- розроблення (у разі необхідності) згідно з вимогами ДБН А.2.2-2, ДБН А.2.2-3 проектно-кошторисної документації;

- здійснення (у разі необхідності) відповідних будівельних, монтажно-налагоджувальних робіт та поопераційного технічного контролю щодо повноти їх виконання;

- розроблення проектів паспортів на комплекс ТЗІ;

- придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого обладнання;

- впровадження на ОІД заходів з ТЗІ;

- проведення випробувань з метою перевірки ефективності впроваджених на ОІД заходів з ТЗІ;

- розроблення програм і методик випробувань.

5.4 У проектно-кошторисній документації щодо будівництва ОІД заходи з ТЗІ відображаються за відповідними напрямами: в будівельних кресленнях, планах території, споруд, приміщень, схемах електроживлення, зв'язку, вентиляції тощо. Розроблену проектно-кошторисну документацію в частині ТЗІ затверджує замовник встановленим порядком (згідно з ДБН А 2.2-3).

5.5 Згідно з Пояснювальною запискою з ТЗІ або проектною документацією виконавець організовує впровадження заходів з ТЗІ.

5.6 За результатами впровадження заходів з ТЗІ здійснюють відповідне коригування проектно-кошторисної, робочої, експлуатаційної та іншої технічної документації.

5.7 Витрати на проектування, будівельно-монтажні роботи і випробування щодо ТЗІ включають до загальної суми витрат на проектування і будівництво.

5.8 Інженерно-технічні заходи, як складові комплексу ТЗІ на ОІД, повинні відповідати вимогам НД з питань ТЗІ та можуть включати:

- архітектурно-будівельні заходи;

- заходи із пасивного захисту інформації (оптичне, акустичне, електромагнітне екранування, засоби захисту інформації в телефонних, інших проводових лініях, засоби у захищеному виконанні тощо);

- заходи із активного захисту інформації (генератори віброакустичного, просторового акустичного та електромагнітного зашумлення, лінійного електромагнітного зашумлення тощо).

Під час створення комплексу ТЗІ на ОІД перевага має надаватися заходам пасивного захисту інформації, у т.ч. архітектурно-будівельним заходам.