Назва підприємства-розробника підсистеми та його реквізити

Зміст

  Стор.

1.    Перелік скорочень………………………………………………….     14

2.    Терміни та визначення……………………………………………..     15

3.    Загальні відомості…………………………………………………..     16

4.    Мета і призначення комплексної системи захисту інформації….     16

5.    Загальна характеристика АС та умов її функціонування………..     17

6.    Вимоги до комплексної системи захисту інформації…………….     18

6.1   Загальні вимоги ……………………………………………………..    18

6.2   Вимоги до КТЗІ в частині захисту від несанкціонованого

                доступу ………………………….…………………………………….    20

6.2.1 Вимоги до функціональних послуг…………………………………    21

6.3 Вимоги до гарантій ………………………………………………….    22

6.5 Вимоги до КТЗІ в частині захисту від витоку технічними

каналами………………………………………………………..………    24

7.    Вимоги до складу проектної та експлуатаційної документації…...     25

8.    Етапи виконання робіт……………………………………………….    26

9.    Порядок внесення змін і доповнень до ТЗ …………………………    26

10.    Порядок проведення випробувань комплексної системи захисту

                інформації……………………………..………………………….…….    26

 

Перелік скорочень

АРМ - автоматизоване робоче місце;

АС      - автоматизована система;

ЕОТ   - електронно-обчислювальна техніка;

ІзОД - інформація з обмеженим доступом;

КЗЗ  - комплекс засобів захисту;

КЗІ   - криптографічний захист інформації;

КСЗІ - комплексна система захисту інформації;

ЛОМ - локальна обчислювальна мережа;

НД ТЗІ - нормативний документ системи технічного захисту інформації;

НСД - несанкціонований доступ;

ОС   - операційна система;

ПЗ    - програмне забезпечення;

ТЗ     - технічне завдання;

Терміни та визначення

У цьому ТЗ використовуються терміни та визначення згідно з ДСТУ 3396.2-97, ДСТУ….., НД ТЗІ 1.1-003-99 "Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу", а також такі терміни та визначення: Загальні відомості

Це технічне завдання визначає вимоги до комплексу організаційних та технічних заходів щодо забезпечення захисту інформації в автоматизованій системі (АС) ТОВ Мегатрон

Умовне позначення АС1

Шифр: AF Договір: #775

Замовник – ТОВ Мегатрон

Виконавець – ТОВ Праймус

Початок робіт: 6.06.2010 Закінчення: 06.06.2016

Підстава для розробки: Реформування та профілактика заходів безпеки

Фінансування роботи здійснюється за рахунок ТОВ Мегатрон

Технічне завдання на комплексну систему захисту інформації оформлено відповідно до ГОСТ 34.601-90 та ГОСТ 34.602-86.

Загальні відомості

1. Повна назва роботи, автоматизована система тов альтрон комплексна система захисту інформації

1.1.1. Повна назва роботи: "Розробка комплексної системи захисту інформації в автоматизованій інформаційній системі 1 ТОВ Альтрон.

1. 1.2. Шифр роботи - КТЗІ ТОВ Мегатрон.

Назва підприємства-розробника підсистеми та його реквізити

1.2.1 ТОВ Праймус, 

М. Київ Вул. Лукашенко 4,

Рахунок: (145588254)р/р 4568476478 в 4548648у м. 48648684 МФО 1534834.

1.2.2. Спеціальний дозвіл на впровадження діяльності з державною таємницею, від 2012 року, №745, дійсний до 2020року;

Ліцензія серія ТТ № 5698563 Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України або Державної Служби спеціального зв’язку та захисту інформації України. Дата видачі 12,12,2010. Строк дії з 12,12,2010 до 2020 року.

1.3. Назва замовника роботи та його реквівзити:

Товариство з бмеженою відповідальність Альтрон

 

 Рахунок: код 65463, р/р 8453143 в 851464 у м. 8431 МФО 46468446.

Планові терміни початку і закінчення роботи зі створення КСЗІ

Початок – 10,12,2014 року.

Закінчення – 12,12,2015 року.

Порядок оформлення і надання Замовнику результатів робіт

1.5.1. Порядок виконання і приймання стадій і етапів робіт встановлюється з урахуванням вимог ГОСТ 34.601-90 та ГОСТ 34.602-86.   

1.5.2 За результатами проведених робіт Виконавець щороку подає Замовнику робіт акт здачі-приймання робіт, який містить заключний звіт про виконані роботи та кошторис фактичних витрат за формами, що визначені Положенням про порядок формування цільових програм наукових досліджень ТОВ Мегатрон, затвердженим розпорядженням Президії ТОВ Мегатрон від 25 листопада 2013 р. № 682.

1.5.3. Склад та зміст документів, що розробляються, визначається з урахуванням вимог ГОСТ 34.201-89 та нормативних документів системи ТЗІ.

 

 

Вимоги до комплексної системи захисту інформації

 

Загальні вимоги.

Архітектура АС повинна дозволяти розв’язання функціональних завдань у замкненому середовищі. Структура мережі, розподіл потоків даних повинні забезпечувати мінімально можливий час передачі критичної інформації між локальними сегментами мережі.

Робота АС у штатних режимах повинна бути можливою лише за умови функціонування системи захисту інформації.

Розташування, монтаж та прокладку інженерно-технічних комунікацій АС, в тому числі систем заземлення та електроживлення технічних засобів, які приймають участь у обробці інформації, необхідно виконувати з дотриманням вимог відповідних стандартів та нормативних документів системи ТЗІ.

Організаційні та підготовчі заходи щодо технічного захисту інформації повинні проводитися одночасно і складати перший етап робіт зі створення КТЗІ, на якому повинні бути виявлені потенційні загрози безпеці інформації.

Під час проведення обстеження приміщень, технічних засобів та систем забезпечення інформаційної діяльності АС необхідно, по-перше, виконати роботи з дослідження можливостей витоку інформації внаслідок роботи основних технічних засобів перетворення (обробки, зберігання, відображення) інформації, (ТЗПІ) та допоміжних технічних засобів та систем (ДТЗС). (Конкретний перелік ТЗПІ та ДТЗС надається Замовником).

По-друге, як джерела витоку ІзОД також повинні бути розглянуті ланки передачі інформації, ланки електроживлення, заземлення, керування та сигналізації, а також ланки, створені паразитними зв'язками, конструктивними елементами будівель, споруд, устаткування та інше.

По-третє, необхідно провести дослідження засобів обчислювальної техніки, які формують, передають, приймають, перетворюють, відображають та зберігають ІзОД, щодо наявності технічних каналів витоку інформації шляхом побічних електромагнітних випромінювань та наводок (ПЕМВН).

Неформалізована модель загроз для інформації (додається), яка розроблена із врахуванням результатів обстеження приміщень, технічних засобів та систем забезпечення інформаційної діяльності АС, включає:

ситуаційний план розташування структурних елементів АС із зазначенням місць розташування технічних засобів та систем обробки інформації і життєзабезпечення, джерел електроживлення, контурів заземлення, енергетичних мереж, а також інженерних комунікацій, що виходять за межі зони безпеки інформації;

опис можливих технічних каналів витоку інформації та впливу на неї;

опис можливих способів реалізації несанкціонованого доступу до інформації;

оцінку обсягів можливих збитків від реалізації загроз безпеці інформації;

Для реалізації частини політики безпеки інформації, яка покладається на технічні заходи і відповідає реальній моделї загроз, КЗЗ повинен мати такі функціональні можливості:

забезпечення входу в систему та завантаження операційної системи на робочій станції за умови пред’явлення електронного ідентифікатора і/або введення особистого паролю;

контроль за вводом інформації в АС та інсталяцією програмного забезпечення;

контроль за виведенням інформації на носії, що вилучаються;

підтримка функцій адміністратора захисту інформації в АС;

реєстрація дій користувачів по відношенню до ресурсів системи;

забезпечення цілісності інформаційних ресурсів (у тому числі і антивірусний захист);

перевірка цілісності та роботоздатності КТЗІ;

надання користувачам прав доступу до ресурсів АС згідно прийнятої політики безпеки, та їх ліквідація по закінченню строку дії;

багаторівневе розмежування повноважень персоналу АС по відношенню до ресурсів АС;

контроль за запуском процесів та іх виконанням;

автоматичне блокування екрану робочої станції на час відсутності користувача; 

заборона роботи зареєстрованим користувачам у невідведений час;

шифрування інформації, автентифікація повідомлень і підтвердження їх походження при передачі каналами зв’язку;

Виконання завдань повинне здійснюватися зареєстрованими користувачами у функціонально замкненому середовищі із забезпеченням доступу до ресурсів, що обмежені рамками завдань.

Програмне забезпечення АРМ користувачів повинне містити програмні модулі захисту, що забезпечують взаємодію із сервером захисту для реалізації функціональних послуг безпеки.

Для керування КТЗІ у складі АС повинно бути передбачено АРМ адміністратора безпеки. Аналогічні АРМ повинні включатися до складу віддалених сегментів АС. Вказані АРМ (а також сервери захисту та інші мережні сервери) повинні розташовуватися у виділених приміщеннях із дотриманням необхідних організаційних заходів.

Введення інформації з магнітних носіїв, де це технологічно необхідно, має здійснюватися на виділених робочіх місцях, із вжиттям відповідних організаційних заходів.

КСЗІ повинна забезпечувати підтримку:

не менше 2  категорій таємності інформації;

не менше 3 рівнів повноважень користувачів;

роботи не менше 5 користувачів та 25груп користувачів.

Комплекснасистема захисту інформації повинна реалізовуватися як сукупність узгоджених за часом та місцем застосування організаційних, підготовчих технічних і технічних заходів.

Організаційні заходи повинні включати:

визначення та встановлення обов’язків із захисту інформації підрозділів та осіб, що приймають участь в обробці інформації;

визначення технологічних процесів обробки інформації з урахуванням вимог із захисту інформації;

встановлення порядку впровадження та модернізації засобів обробки інформації, програмних та технічних засобів захисту інформації;

організацію фізичного та протипожежного захисту АС;

розробку правил та порядку контролю функціонування КТЗІ;

Під час створення КЗЗ для забезпечення вимог щодо захисту інформації повинні використовуватися засоби технічного захисту інформаціїї з "Переліку засобів технічного захисту інформації загального призначення", затвердженого ДСТСЗІ СБ України або розроблятися та реалізовуватися спеціальні засоби ТЗІ, як невід’ємна частина АС.

 

Вимоги до гарантій

У відповідності з рекомендаціями документу “Технічне завдання на створення типової комплексної системи захисту інформації” рівень гарантій реалізації визначеного функціонального профілю захищеності АІС установи ТОВ Мегатрон має бути не нижчим за Г2 (згідно з вимогами НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу»).

Вимоги до кіл заземлення АС

 

1. Усі металеві конструкції ОТЗ повинні бути заземлені.

2. Система заземлення не повинна мати вихід за межі контрольованої території.

3. Опір кіл заземлення від засобів ТОВ Мегатрон до вузлів системи заземлення не повинен перевищувати 4 Ом.

4. Для системи заземлення ТОВ Мегатрон не повинні використовуватися природні заземлювачі (металеві трубопроводи, залізобетонні конструкції будинків тощо).

 

Етапи виконання робіт

8

№ п/п	Назва етапу та робіт по етапу	Термін виконання	Чим закінчується робота
1	Попередній етап	Згідно умов договору
1.1	Проведення обстеження ОІД		Акт обстеження ОІД
1.2	Визначення переліку загроз і можливих каналів витоку інформації		Модель загроз
1.3	Визначення вимог до КТЗІ в частині захисту від НСД та витоку технічними каналами		Розділи Технічного завдання на створення КСЗІ
2	Етап проектування і розробки КТЗІ	Згідно умов договору
2.1	Проектування КТЗІ		Вибір проектних рішень
2.2	Розробка техно-робочої та експлуатаційної документації		Проектна та експлуатаційна документація на КТЗІ
2.3	Виконання робіт із захисту інформації від витоку каналами побічних електромагнітних випромінювань та наведень		Протоколи спецдосліджень та приписи на експлуатацію
2.4	Настроювання сервісів безпеки ОС Windows		Виконання настроювань у відповідності до експлуатаційних документів. Протокол приймання робіт
2.5	Розробка організаційної документації та впровадження організаційних заходів захисту		Розроблені і впроваджені організаційні документи та заходи захисту згідно з розділом 5 ТЗ
2.6	Розробка програм та методик випробувань КСЗІ		Програма та методики випробувань
3	Етап випробувань і передачі КТЗІ в експлуатацію	Згідно умов договору
3.1	Організація та проведення попередніх випробувань КСЗІ		Протоколи попередніх випробувань, акт про приймання КСЗІ в дослідну експлуатацію
3.2	Навчання користувачів		Програма навчання користувачів Акт про завершення навчання
3.3	Організація та проведення дослідної експлуатації КСЗІ		Журнали дослідної експлуатації, акт завершення дослідної експлуатації
3.4	Подача заявки на проведення державної експертизи		Заявка на проведення державної експертизи
4	Державна експертиза КСЗІ	За окремим договором	Атестат відповідності

 

Інформації

 

8.1 Після проектування, розробки та створення КТЗІ повинні проводитися попередні випробування з метою оцінки ступеню захищеності і підтвердження реалізації задекларованих послуг безпеки. Загальний порядок проведення випробувань КТЗІ ТОВ Мегатрон повинен відповідати вимогам ГОСТ 34.601-90, ГОСТ 34.602-89 та РД 50-34.698-90.

8.2 Попередні випробування проводяться згідно з програмою та методиками випробувань, які готує розробник КТЗІ, а узгоджує замовник. Попередні випробування організовує замовник АС, а проводить розробник КТЗІ спільно із замовником.

8.3 Результати попередніх випробувань оформлюються протоколами випробувань. Протоколи випробувань повинні містити оцінку реалізації послуг безпеки та висновок щодо відповідності створеної КТЗІ вимогам ТЗ та можливості передачі КТЗІ в дослідну експлуатацію. При необхідності протоколи випробувань можуть містити перелік виявлених недоліків, необхідних заходів з їх усунення і рекомендовані терміни виконання цих робіт.

Програма та методики випробувань, протоколи випробувань розробляються та оформлюються згідно з вимогами РД 50-34.698-90.

8.4 Після усунення недоліків у випадку їх наявності та коригування проектної, робочої, експлуатаційної документації на КТЗІ оформлюється Акт про приймання КТЗІ у дослідну експлуатацію.

8.5 Обсяг випробувань має бути достатнім для вичерпної оцінки усіх встановлених в ТЗ показників захисту інформації від НСД.

8.6 Випробування повинні проводитися на тестових даних, що не містять інформації з обмеженим доступом.

8.7 Випробування проводяться за умови наявності та працездатності усієї сукупності компонент програмних засобів захисту від НСД, а також проектно- технічної та експлуатаційної документації, що розробляється згідно з вимогами даного ТЗ. Документація повинна бути представлена в 3-х екземплярах українською мовою.

Зміст

  Стор.

1.    Перелік скорочень………………………………………………….     14

2.    Терміни та визначення……………………………………………..     15

3.    Загальні відомості…………………………………………………..     16

4.    Мета і призначення комплексної системи захисту інформації….     16

5.    Загальна характеристика АС та умов її функціонування………..     17

6.    Вимоги до комплексної системи захисту інформації…………….     18

6.1   Загальні вимоги ……………………………………………………..    18

6.2   Вимоги до КТЗІ в частині захисту від несанкціонованого

                доступу ………………………….…………………………………….    20

6.2.1 Вимоги до функціональних послуг…………………………………    21

6.3 Вимоги до гарантій ………………………………………………….    22

6.5 Вимоги до КТЗІ в частині захисту від витоку технічними

каналами………………………………………………………..………    24

7.    Вимоги до складу проектної та експлуатаційної документації…...     25

8.    Етапи виконання робіт……………………………………………….    26

9.    Порядок внесення змін і доповнень до ТЗ …………………………    26

10.    Порядок проведення випробувань комплексної системи захисту

                інформації……………………………..………………………….…….    26

 

Перелік скорочень

АРМ - автоматизоване робоче місце;

АС      - автоматизована система;

ЕОТ   - електронно-обчислювальна техніка;

ІзОД - інформація з обмеженим доступом;

КЗЗ  - комплекс засобів захисту;

КЗІ   - криптографічний захист інформації;

КСЗІ - комплексна система захисту інформації;

ЛОМ - локальна обчислювальна мережа;

НД ТЗІ - нормативний документ системи технічного захисту інформації;

НСД - несанкціонований доступ;

ОС   - операційна система;

ПЗ    - програмне забезпечення;

ТЗ     - технічне завдання;

Терміни та визначення

У цьому ТЗ використовуються терміни та визначення згідно з ДСТУ 3396.2-97, ДСТУ….., НД ТЗІ 1.1-003-99 "Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу", а також такі терміни та визначення: Загальні відомості

Це технічне завдання визначає вимоги до комплексу організаційних та технічних заходів щодо забезпечення захисту інформації в автоматизованій системі (АС) ТОВ Мегатрон

Умовне позначення АС1

Шифр: AF Договір: #775

Замовник – ТОВ Мегатрон

Виконавець – ТОВ Праймус

Початок робіт: 6.06.2010 Закінчення: 06.06.2016

Підстава для розробки: Реформування та профілактика заходів безпеки

Фінансування роботи здійснюється за рахунок ТОВ Мегатрон

Технічне завдання на комплексну систему захисту інформації оформлено відповідно до ГОСТ 34.601-90 та ГОСТ 34.602-86.

Загальні відомості

1. Повна назва роботи, автоматизована система тов альтрон комплексна система захисту інформації

1.1.1. Повна назва роботи: "Розробка комплексної системи захисту інформації в автоматизованій інформаційній системі 1 ТОВ Альтрон.

1. 1.2. Шифр роботи - КТЗІ ТОВ Мегатрон.

Назва підприємства-розробника підсистеми та його реквізити

1.2.1 ТОВ Праймус, 

М. Київ Вул. Лукашенко 4,

Рахунок: (145588254)р/р 4568476478 в 4548648у м. 48648684 МФО 1534834.

1.2.2. Спеціальний дозвіл на впровадження діяльності з державною таємницею, від 2012 року, №745, дійсний до 2020року;

Ліцензія серія ТТ № 5698563 Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України або Державної Служби спеціального зв’язку та захисту інформації України. Дата видачі 12,12,2010. Строк дії з 12,12,2010 до 2020 року.

1.3. Назва замовника роботи та його реквівзити:

Товариство з бмеженою відповідальність Альтрон

 

 Рахунок: код 65463, р/р 8453143 в 851464 у м. 8431 МФО 46468446.

Планові терміни початку і закінчення роботи зі створення КСЗІ

Початок – 10,12,2014 року.

Закінчення – 12,12,2015 року.