Обстеження на об'єкті інформаційної діяльності

________________________________________________________________________

(назва, належність об'єкта інформаційної діяльності)

1 Обстеження на ОІД проведено комісією (вказати склад), призначеною наказом (розпорядженням) по установі від... №..., згідно із затвердженою профамою обстеження (рішення керівника установи від...№...).

2 Вказують такі відомості:

2.1 Характеристика ОІД.

Схема, дислокація, результати аналізу умов функціонування ОІД (витяг із затвердженого Протоколу про визначен­ня вищого ступеня обмеження доступу до інформації). Вказати: ОІД - це інженерно-технічна споруда, її частина або декілька споруд, приміщення, транспортний засіб тощо.

2.2 Характеристика складових ОІД.

Дані про приміщення, де може здійснюватися інформаційна діяльність, пов'язана з озвученням, обробленням тощо ІзОД (позначення, призначення, місце розташування, розміри, поверх, площа, висота стелі, суміжні приміщення тощо). Архітектурно-будівельні особливості приміщень:

- - огороджувальні будівельні конструкції: стеля, підлога, стіни, перегородки (матеріал, товщина);

- - підвісна стеля (конструкція, матеріал);

- - вікна, двері, інші отвори (кількість, матеріал, розміри).

Вказують складові ОІД, що можуть впливати на показники ефективності захищеності ІзОД і які можуть бути середовищем поширення за межі КЗ її носіїв (інженерні комунікації, обладнання, оргтехніка, засоби ТЗІ (за наявності), пожежна, охоронна сигналізації, телебачення, системи зв'язку, радіофікації, часофікації, автоматизації, керування, електроживлення, заземлення, газо-, водопостачання, опалення, вентиляції, кондицонування повітря, водостоку, каналізації, технологічне обладнання, ого­роджувальні будівельні конструкції, світлопроникні отвори приміщень, будинків, споруд, салонів транспортних засобів тощо).

2.3 Схеми розміщення комунікацій, обладнання систем електроживлення, у т.ч. трансформаторної підстанції.

Вказують, які складові ОІД виходять за межу КЗ або її перетинають, застосування яких не обґрунтовано виробни­чою необхідністю і які підлягають демонтуванню, у подальшому застосуванні яких відсутня необхідність (із посилан­ням на відповідні витяги з планів, схем тощо).

2.4 Опис систем заземлення.

Наводять перелік технічних засобів, що підлягають заземленню.

2.5 Результати аналізу наявності в установі:

- - затвердженої схеми КЗ, 8 межах якої розташований ОІД;

- - даних про можливі місця розміщення зовні КЗ засобів технічної розвідки тривалого перехоплення;

- - затвердженої моделі загроз для ІзОД;

- - даних за результатами проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які обробляють ІзОД);

- - засобів забезпечення ТЗІ, у т.ч. таких, що вже функціонують;

- - технічної (проектно-кошторисної, конструкторської, експлуатаційної) документації щодо впроваджених заходів з ТЗІ (архівні, інвентарні, реєстраційні номери, місця знаходження документації);

- - даних про виконавців робіт з ТЗІ на інших ОІД установи;

- - даних про проектні, будівельно-монтажні установи, які були задіяні для проектування і будівництва інших ОІД установи;

- - систем безпеки по установі, до яких може бути інтегрований комплекс ТЗІ.

3 Пропозиції щодо необхідності:

- - отримання додаткових даних про можливі місця розміщення засобів технічної розвідки (загроз для ІзОД, у т.ч. засобів тривалого перехоплення);

- - розроблення нової або уточнення затвердженої в установі моделі загроз для ІзОД;

- - проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які оброблятимуть ІзОД);

- - розроблення технічних вимог та завдань з питань ТЗІ;

- - застосування організаційних, інженерно-технічних заходів захисту (у т.ч. застосування засобів оброблення ІзОД, інших технічних засобів у захищеному виконанні);

- - залучення до виконання робіт зі створення комплексу ТЗІ суб'єктів господарської діяльності в галузі ТЗІ, проек­тних, будівельно-монтажних установ, а також розроблення проектно-кошторисної документації в частині ТЗІ згідно з вимогами державних будівельних норм України, інших НД.

4 Висновки щодо терміну проведення категорування об'єктів та подання на затвердження актів із категорування. Додатки.

Перелік протоколів та інших документів щодо обстеження.

Голова комісії __________ __________________

(підпис) (ініціали, прізвище)

Члени комісії: __________ __________________

(підпис) (ініціали, прізвище)

 

Додаток 4

Захист інформації на об'єктах інформаційної діяльності.
Випробування комплексу технічного захисту інформації

Основні положення

ВВЕДЕНО

На заміну НД ТЗІ 2.1 -001 -2001 «Створення комплексів технічного за­хисту інформації. Атестація комплексів. Основні положення», затвер­дженого наказом ДСТСЗІ СБ України від 9 лютого 2001 року № 2

НД ТЗІ 2.1-002-07 Чинний від 2007-12-12

Галузь використання

Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає загальні вимоги до організації проведення на об'єкті інфор­маційної діяльності (ОІД) органу державної влади, місцевого самоврядуван­ня, військового формування, підприємства, установи та організації (далі - установа) випробувань щодо створення комплексу ТЗІ, який має забезпечу­вати захист від витоку інформації з обмеженим доступом (ІзОД) технічними каналами.

НД встановлює засади щодо проведення випробувань з метою перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на ОІД, атестації комплексу ТЗІ, а також вимоги до розроблення висновків за результатами випробувань та їх програм і методик.

Нормативні посилання

У цьому НД є посилання на такі нормативні документи:

ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.

НД ТЗ11.1 -005-07 Захист інформації на об'єктах інформаційної діяльності. Ство­рення комплексу технічного захисту інформації. Основні положення.

НД ТЗІ 3.3-001-07 Захист інформації на об'єктах інформаційної діяльності. Ство­рення комплексу технічного захисту інформації. Порядок розроблення та впровад­ження заходів із захисту інформації.

Визначення

У цьому НД використовують терміни відповідно до ДСТУ 3396.2, НД ТЗ11.1 -005-07, НД ТЗІ 3.3-001-07.

Позначення

У цьому НД використовують такі позначення: ІзОД - інформація з обмеженим доступом; ОІД - об'єкт інформаційної діяльності; ТЗІ - технічний захист інформації.

Загальні положення

5.1 Етап «Випробування та атестація комплексу ТЗІ» є третім етапом створення комплексу, який передбачає:

- затвердження програм і методик випробувань;

- проведення випробувань відповідно до затверджених програм і методик, оформлення протоколів випробувань;

- підготовка документа «Висновки за результатами випробувань комплексу ТЗІ»;

- підготовка пропозицій і вимог до вибору (уточнення) рішень щодо впро­вадження необхідних заходів із захисту ІзОД на ОІД (за необхідності);

- проведення атестації комплексу ТЗІ, оформлення протоколів (за необхідності), актів атестації;

- заповнення паспорта на комплекс ТЗІ (в т.ч. паспортів на приміщення, де ІзОД озвучується та/або обробляється технічними засобами).

5.2 У «Висновках за результатами випробувань комплексу ТЗІ» вказують:

- мету, призначення, вид, обсяг випробувань, місце і термін їх проведення;

- дані про затверджені програми і методики випробувань;

- склад технічних засобів, обладнання, необхідних для випробувань;

- результати випробувань щодо їх відповідності вимогам НД з питань ТЗІ. Документ «Висновки за результатами випробувань комплексу ТЗІ» затверджує ке­рівник установи, яка виконувала випробування, підписують їх виконавці.

5.3 При проведенні випробувань необхідне матеріально-технічне і метрологічне забезпечення здійснюють їх виконавці.

Засоби вимірювальної техніки мають відповідати вимогам методик випробувань (не допускається застосовувати засоби, які не пройшли метрологічну атестацію або термін повірки прострочено).

5.4 Установа-замовник створення комплек­су ТЗІ забезпечує умови проведення його атестації.

5.5 Виконавець атестації комплексу ТЗІ аналізує дані про його створення на ОІД, висновки за результатами випробувань, інші відомості.

5.6 У процесі проведення випробувань і атестації комплексів ТЗІ їх виконавці заповнюють відповідні паспорти, порядок розроб­лення та оформлення яких наведено в НД ТЗІ 3.3-001-07.

6 Порядок розроблення та оформлення програм і методик вип­робувань

6.1 Програми і методики випробувань узгоджує керівник установи-замовника створення комплек­су ТЗІ та затверджує керівник установи, яка вико­нувала випробування.

6.2 Залежно від особливостей створення комплексу ТЗІ на ОІД, обсягу робіт, умов про­ведення випробувань, програми і методики можуть бути оформлені у вигляді двох само­стійних документів - «Програми випробувань...» та «Методики випробувань...». Допуска­ється об'єднувати або вилучати окремі розді­ли за умови викладення їх змісту в докумен­тах, а також вносити до них додаткові розділи (за необхідності).

6.3 Програми і методики випробувань можуть містити такі розділи:

1) Загальні положення.

2) Обсяг робіт.

3) Методики випробувань.

4) Умови та порядок проведення випробувань.

5) Матеріально-технічне і метрологічне забез­печення.

6) Аналіз і оцінка результатів випробувань.

7) Вимоги щодо забезпечення охорони держав­ної таємниці та іншої інформації з обмеженим доступом.

Нижче наведено зміст розділів програм і мето­дик випробувань.

6.3.1 У розділі «Загальні положення» наводять:

- повну назву установи, підрозділу, ОІД, де створюється комплекс ТЗІ;

- підстави для проведення випробувань;

- відомості про виконавців випробувань;

- мету і основні завдання;

- види інформації (ІзОД, що озвучується та/або обробляється технічними засобами тощо), для яких впроваджуються відповідні заходи із захисту від витоку інформації тех­нічними каналами;

- терміни проведення випробувань.

6.3.2 Обсяг робіт.

Під час проведення випробувань здійс­нюють перевірку повноти та достатності реалізованих заходів із захисту інформації на ОІД (перевірку виконання вимог щодо захисту від витоку ІзОД можливими технічни­ми каналами).

Обсяг випробувань та посилання на відповідні ме­тодики можуть бути викладені у вигляді таблиці Д4.1.

Таблиця Д4.1

№ з/п	Найменування робіт	Вимоги, норми (відповідний документ)	Методики за п. 6.3.3 цього НД	Примітки

6.3.3 У розділі «Методики випробу­вань» наводять відомості про методи проведення випробувань.

6.3.4 Умови та порядок проведення випробувань:

- умови щодо початку і завершення робіт з випробувань;

- * послідовність проведення перевірок комплексу ТЗІ на відповідність вимогам НД з питань ТЗІ;

- особливості функціонування складових частин комплексу ТЗІ, що підлягають випро­буванню;

- заходи, що забезпечують безпеку про­ведення випробувань.

- 6.3.5 У розділі «Матеріально-технічне і мет­рологічне забезпечення» наводять:

- перелік заходів з метрологічного забез­печення випробувань із розподілом завдань і відповідальності підрозділів, що беруть участь у випробуваннях;

- склад засобів вимірювальної техніки із зазначенням ознак їх придатності до застосу­вання, вимоги до них;

- перелік необхідної конструкторської та іншої документації;

- *порядок підготовки і використання матері­ально-технічних засобів у процесі випробувань.

Дані про вимірювальне обладнання можуть бути викладені у вигляді таблиці Д4.2.

6.3.6 У розділі «Аналіз і оцінка результатів випробувань» наводять:

- обсяг вихідних, даних, які необхідні для оцінки результатів випробувань;

- показники та критерії, за якими ком­плекс ТЗІ вважається таким, що пройшов випробування.

За результатами випробувань складають­ся протоколи, де надаються висновки про відповідність вимогам НД з питань ТЗІ. Вис­новки повинні містити конкретні формулювання, що забезпечують їх однозначне трактування.

6.3.7 У розділі «Вимоги щодо забезпечення охорони державної таємниці та іншої інфор­мації з обмеженим доступом» вказують орга­нізаційні заходи, які мають бути проведені при виконанні робіт з випробувань.

Таблиця Д4.2

№ з/п	Найменування вимірювального обладнання	Тип	Заводський номер	Виробник	Дані про повірку

Атестація комплексів ТЗІ

7.1 Атестація комплексу ТЗІ проводиться з метою визначення відповідності вимогам НД з питань ТЗІ виконаних робіт зі створення комплексу ТЗІ на ОІД та повноти проведених випробувань.

Атестація може проводитися окремо щодо кожного виду ІзОД, що підлягає технічному захисту (ІзОД, що озвучуватиметься та/або оброблятиметься технічними засобами то­що). Вимоги щодо проведення атестації ма­ють бути передбачені у технічному завданні на створення комплексу ТЗІ.

7.2 Атестація комплексу ТЗІ може бути пер­винною, черговою та позачерговою.

Термін проведення чергової атестації вказу­ється в акті атестації та паспорті на комплекс ТЗІ (строк дії акта атестації не повинен пере­вищувати два роки).

Позачергову атестацію, а також необхідні вип­робування проводять у разі змін умов функціо­нування ОІД, що приводять до змін загроз для ІзОД, яка озвучуватиметься та/або оброблятиметься технічними засобами тощо, та за вис­новками органів, які контролюють стан ТЗІ.

7.3 Основні етапи атестації комплексу ТЗІ:

- визначення виконавця атестації;

- аналіз умов функціонування ОІД, техніч­ної документації на комплекс ТЗІ, результатів випробувань;

- аналіз та оцінка відповідності проектної, конструкторської, експлуатаційної та іншої технічної документації на комплекс ТЗІ вимо­гам НД з питань ТЗІ;

- перевірка відповідності вихідних даних щодо створення комплексу ТЗІ реальним умовам розміщення ОІД;

- перевірка складу комплексу ТЗІ на від­повідність даним, зазначеним у проектній, конструкторській, експлуатаційній та іншій технічній документації;

- перевірка наявності сертифікатів або експертних висновків на засоби забезпечення ТЗІ загального призначення;

- перевірка відповідності монтажу та умов експлуатації засобів забезпечення ТЗІ вимо­гам експлуатаційної документації;

- перевірка оформлення проекту паспорта на комплекс ТЗІ і паспорта на кожне приміщення;

- розгляд висновків за результати випро­бувань;

- оформлення підсумкового документа-акта атестації комплексу ТЗІ;

- оформлення актів пломбування.

7.4 Акт атестації комплексу ТЗІ має містити:

- підстави для проведення атестації;

- дані про виконавця атестації;

- дату проведення атестації;

- результати атестації;

- зауваження і рекомендації (додаткові умови, яких потрібно дотримуватися під час експлуатації ОІД);

- висновки щодо відповідності комплексу ТЗІ вимогам технічних завдань і НД з питань ТЗІ;

- термін проведення чергової атестації (строк дії акта атестації);

- перелік додатків.

Виконавець атестації оформляє акт атеста­ції комплексу ТЗІ, який затверджує керівник установи-виконавця атестації.

7.5 Виконавцем атестації комплексу ТЗІ мо­же бути установа, яка має відповідну ліцензію або дозвіл на провадження діяльності в галу­зі ТЗІ, одержані у встановленому законодавс­твом порядку.

Відносини між замовником створення та виконавцем атестації комплексу ТЗІ регламентуються укладеним між ними договором.

СПИСОК ВИКОРИСТАНОЇ ТА РЕКОМЕНДОВАНОЇ ЛІТЕРАТУРИ

1. ГОСТ 5336-80 Сетки стальные плетённые одинарные. ─ Введ. 01.01.80.

2. ГОСТ 3826-82 Сетки проволочные тканные с квадратными ячейками. ─ Введ. 01.01.84.

3. ГОСТ 6613-86 Сетки проволочные с квадратными ячейками. ─ Введ. 01.01.88.

4. ГОСТ 28147-89 Системы обработки информации. Защита криптографи ческая. Алгоритм криптографического преобразования. ─ Введ. 01.07.90.

5. Дворяккин С. В., Девочкын Д. В. Методы закрытия речевых сигналов в телефонных каналах // Защита информации. ─ 1995. - № 5. - С. 45 - 59.

6. Калинцев Ю. Л. Конфиденциальность и защита информации: Учеб. пособие по курсу «Радиовещание и электроакустика». ─ М.: МТУСИ, 1997. - 60 с.

7. Куренков Е, В., Лысов А. В., Остапенко А. Н. Рекомендации по оценке защищенности конфиденциальной информации от ее утечки за счет ПЭМИ // Защита информации. - 1998. - № 4. - С. 48 - 50.

8. О защите информации в автоматизированных системах: Закон Украины от 5.07.94 № 80/94-ВС // Безопасность информации. ─ 1995. - № 1. - С. 72 -15.

9. Петраков А. В., Лагутин В. С. Утечка и защита информации в телефонных каналах связи. ─ М.: Энергоатомиздат, 1997. - 304 с.

10. Хорев А. А. Способы и средства защиты информации: Учеб. пособие. ─ М.: МО РФ, 3998.-316 с.

11. Шаповалов П. П. Поиск и оперативное пересечение негласного съёма информации. ─М.: ЗАО «Щит», 2000. - 83 с.

12. Ярочкин В. И. Информационная безопасность. ─ М.: Международные отношения, 2000. - 400 с.

ДЛЯ НОТАТОК

ДЛЯ НОТАТОК

ДЛЯ НОТАТОК

Навчальне видання

Архипов Олександр Євгенович

Луценко Володимир Миколайович

Худяков Валерій Оланасович

ЗАХИСТ ІНФОРМАЦІЇ

В ТЕЛЕКОМУНІКАЦІЙНИХ МЕРЕЖАХ

ТА СИСТЕМАХ ЗВ'ЯЗКУ

Навчально-методичний посібник

Орнгінал-макет підготовлено ІВЦ "Видавництво «Політехніка»"

Редактор О. А. Кушик

Коректор С. І. Крамаренко

Комп'ютерна

верстка Ю. О. Лоза

Темплан 2003 р., поз. І / 1

Підп. до друку _____2003

. Ум. друк. арк. 2,32. Обл.-вид. арк. 3,86.

Інформаційно-видавничий центр "Видавництво «Політехніка»" НТУУ «КГП»

Свідоцтво про держреєстрацію ДК № 21 1 від 09.10.2000

03056, Київ- 56, вул. Політехнічна, 14, корп.