Товариство з Обмеженою Відповідальністю « Альтрон »

Товариство з Обмеженою Відповідальністю «Альтрон»

 

 

Проект «Розробка та впровадження рішень

Щодо комплексу технічного захисту інформації на ОІД»

 

 

Технічне завдання на комплекс технічного захисту інформації

Організації ТОВ «Альтрон»

 

 

2015

ЗМІСТ

ПЕРЕЛІК СКОРОЧЕНЬ.. 2

ВСТУП.. 3

1. Загальні відомості. 5

1.1. Повна назва роботи, її шифр. 5

1.2 Назва підприємства-розробника підсистеми та його реквізити.. 5

1.3. Назва замовника роботи та його реквівзити: 5

1.4. Перелік документів, на підставі яких виконується робота.. 5

1.5 Планові терміни початку і закінчення роботи зі створення КТЗІ. 5

1.6 Відомості про джерела та порядок фінансування робіт. 5

1.7. Порядок оформлення і надання Замовнику результатів робіт. 6

2. Мета і призначення КТЗІ. 6

2.1. Мета створення КТЗІ. 6

2.2. Призначення КТЗІ. 6

2.3 Нормативно-правові документи, які регламентують порядок захисту інформації 6

3. Загальна характеристика ОІД та АІС в його складі, і умов її функціонування.. 8

3.1.Загальна структурна схема та склад обчислювальної системи автоматизованої ситеми.. 8

3.2. Технічні характеристики каналів зв’язку.. 10

3.3. Характеристики інформації, що обробляється. 10

3.4. Характеристики персоналу.. 10

3.5. Характеристики фізичного середовища.. 11

3.8.Особливості реалізованих або припустимих заходів організаційних, фізичних та інших заходів захисту.. 11

4 ВИМОГИ до КТЗІ УСТАНОВИ ТОВ «ГЕРМЕС». 11

4.1 Вимоги до організаційних заходів захисту інформації 11

4.1.1 Організаційні заходи щодо керування доступом.. 11

4.1.2 Організаційні заходи щодо реєстрації та обліку МНІ та документів. 11

4.1.3 Організаційні заходи щодо забезпечення цілісності інформації 12

4.1.4 Організаційні заходи щодо антивірусного захисту інформації 12

4.1.5 Резервне копіювання, архівування та відновлення інформації 12

4.1.6 Експлуатаційні та організаційно-розпорядчі документи. 12

 

4.2 Вимоги до КТЗІ АІС в складі ОІД установи в частині захисту від несанкціонованого доступу.. 13

4.2.1. Вимоги до політики безпеки. 13

4.2.2 Вимоги до функцій (послуг) забезпечення захищеності від НСД в АІС в складі ОІД установи. 19

4.2.3 Вимоги до рівня гарантій. 19

4.3 Вимоги до КТЗІ в частині захисту інформації від витоку технічними каналами.. 21

4.3.1 Вимоги до заземлення. 21

4.3.2 Вимоги до електроживлення. 21

4.3.3 Вимоги до захищеності інформації від витоку каналами ПЕМВН.. 21

4.4.4 Вимоги до захисту інформації від витоку візуально-оптичним каналом.. 22

4.4.5 Вимоги до захисту інформації від витоку каналами, чутливими до акустичних полів. 22

4.4.6 Вимоги до КСЗІ в частині захисту від витоку технічними каналами. 22

4.4.7 Вимоги до гарантій випробувань комплексу засобів захисту. 22

5. Вимоги до складу проектної та експлуатаційної документації. 22

6. ЕТАПИ ВИКОНАННЯ РОБІТ.. 23

7. Порядок внесення змін і доповнень до технічного завдання на КТЗІ АІС в складі ОІД установи.. 24

8. ПОРЯДОК ПРОВЕДЕННЯ ВИПРОБУВАНЬ КТЗІ АІС В СКЛАДІ ОІД УСТАНОВИ.. 24

9. ВИМОГИ ПО ЗАБЕЗПЕЧЕННЮ РЕЖИМУ СЕКРЕТНОСТІ ПРИ СТВОРЕННІ КТЗІ УСТАНОВИ.. 26

Додаток 1. 28

АРКУШ ЗАТВЕРДЖЕННЯ ТЕХНІЧНОГО ЗАВДАННЯ.. 28

 

ПЕРЕЛІК СКОРОЧЕНЬ

АРМ	Автоматизоване робоче місце
АІС	Автоматизована інформаційна система
АС	Автоматизована система
БД	База даних
ДКР	Дослідно-конструкторська робота
ДТЗС	Допоміжні технічні засоби і системи
ДСК	Для службового користування
ДССЗЗІ	Державна Служба спеціального зв’язку та захисту інформації України
ДСТСЗІ	Департамент спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України
ДСТУ	Державний стандарт України
ЕОТ	Електронна обчислювальна техніка
ІзОД	Інформація з обмеженим доступом
ІТС (АІС)	Інформаційно-телекомунікаційна (автоматизована) система (інформаційна, телекомунікаційна, інтегрована).
КЗЗ	Комплекс засобів захисту
КТЗІ	Комплекс технічного захисту інформації
ЛКМ	Локальна комп’ютерна мережа
НГМД	Накопичувач на гнучкому магнітному диску
НЖМД	Накопичувач на жорсткому магнітному диску
НД	Нормативний документ
НСД	Несанкціонований доступ
ОС	Операційна система
ПЕОМ	Персональна електронно-обчислювальна машина
ПЗ	Програмне забезпечення
ПК	Персональний комп’ютер
СЗІ	Служба захисту інформації
СКБД	Система керування базами даних
СПЗ	Спеціальне програмне забезпечення
ТЗ	Технічне завдання
ТЗІ	Технічний захист інформації

ВСТУП

Комплексні системи захисту інформації в інформаційних (автоматизованих) системах організацій та установ ТОВ «Альрон» повинні створюватися згідно до вимог, що викладені в НД ТЗІ 3.3-001-07 «Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації.» Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в АІС яких обробляється інформація, яка є власністю держави, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством. Якщо в АІС обробляються інші види інформації, то вимоги цього нормативного документа суб’єкти системи ТЗІ можуть використовувати як рекомендації.

Порядок створення КТЗІ в АІС в складі ОІС розглядається цим НД як сукупність впорядкованих у часі, взаємопов’язаних, об’єднаних в окремі етапи робіт, виконання яких необхідне й достатнє для КТЗІ, що створюється.

Етапи робіт, які виконуються під час створення КТЗІ в конкретній АІС, їх зміст та результати, терміни виконання визначаються ТЗ на створення КТЗІ на підставі цього НД. Етапами робіт, які виконуються під час створення КТЗІ є наступні:

Розробка проекту КТЗІ

4.2. Ескізний проект КТЗІ

4.3. Технічний проект КТЗІ

4.4. Робочий проект КТЗІ

Супроводження КТЗІ

Для організації робіт зі створення КТЗІ в АІС установи ТОВ «Альтрон» повинна бути створена служба захисту інформації установи, порядок створення, завдання, функції, структура та повноваження якої визначено в НД 1.4-001-2000.

СЗІ створюється після прийняття рішення про необхідність створення КТЗІ. Як виняток СЗІ може створюватися на більш пізніх етапах робіт, але не пізніше етапу підготовки КТЗІ до введення в дію.

В даному документі викладені основні вимоги щодо створення комплекс технічного захисту інформації в автоматизованих інформаційних системах установ ТОВ «Альтрон».

На основі даного документу організаціям та установам ТОВ «Альтрон» необхідно розробити Технічне завдання на КТЗІ у складі АІС конкретної організації чи установи ТОВ «Альтрон». Враховуючи вищевикладене, перед розробкою Технічного завдання необхідно:

· сформувати загальні вимоги до КТЗІ в АІС установи ТОВ «Альтрон»;

· розробити політику безпеки інформації в АІС установи ТОВ «Альтрон». Політика безпеки інформації в АІС установи може використовувати рішення, що наведені в документі 05540149.90000.043.ПБ-01, «Правила (політика) комп'ютерної безпеки для організацій та установ».

Далі в документі наведені основні вимоги до КТЗІ АІС установи ТОВ «Альтрон», що можуть бути використані для розробки Технічного завдання на КТЗІ.

 

1. Загальні відомості

Повна назва роботи, її шифр

1.1.1. Повна назва роботи: "Розробка комплексу технічного захисту інформації на обє’кті інформаційної діяльності в організації: ТОВ «Альтрон».

1. 1.2. Шифр роботи - КТЗІ АІС 14656.

                                                                                  

Планові терміни початку і закінчення роботи зі створення КТЗІ

Початок – 9.12.2015 року.

                                       (дата)

Закінчення – 2 1.12.2016 року.

                                       (дата)

Мета і призначення КТЗІ

Мета створення КТЗІ

2.1.1.Метою створення КТЗІ є виявлення та протидія загрозам безпеці інформації з обмеженим доступом (ІзОД), що обробляється та зберігається в автоматизованій інформаційній системі та ОІД установи ТОВ «Альтрон» в усіх режимах її функціонування, з метою попередження порушення конфіденційності, цілісності та доступності ІзОД.

2.1.2. КТЗІ повинна створюватися відповідно до вимог із захисту інформації від НСД та технічного захисту інформації і є комплексом програмних і технічних засобів та організаційних заходів.

Призначення КТЗІ

2.2.1. КТЗІ повинна забезпечувати виконання наступних завдань:

· розмежування та контроль доступу користувачів АІС в складі ОІД установи  згідно їх повноважень до ІзОД установи та ресурсів АІС ОІД;

· реєстрацію даних про події, що відбуваються в системі і мають відношення до безпеки інформації;

· підтримку цілісності середовища виконання прикладних програм та ІзОД, що повинна оброблятися в АІС в складі ОІД установи  та АІС ОІД в цілому;

· виявлення уразливостей в операційних системах;

· захист від атак порушників безпеки;

· захист від проникнення і поширення комп'ютерних вірусів;

· захист інформації під час передачі телекомунікаційним середовищем;

· контроль за функціонуванням КТЗІ.

Характеристики персоналу

Начальник - 1 людина. Координує роботу всіх ділянок.

Бухгалтер - 2 людини. Веде бухгалтерську та іншу фінансову документацію, економічні розрахунки.

Менеджер з продажу - 3 людини. Приймають замовлення, укладають договори, забезпечують просування продукції.

Менеджер із закупівель - 1 людина. Укладає договори з постачальниками.

Системний адміністратор – 1 людина. Адмініструє комп’ютерну мережу підприємства.

Охоронець (контролер) - 2 людини.

Прибиральниця - 1 людина.

Всього 10 осіб.

Інформація	Носій	Режим доступу і правовий режим	Має доступ
Каталог продукції	Електронний і паперовий	Відкрита	Всі працівники і клієнти
База даних бухгалтерії	Електронний	З обмеженим доступом, конфіденційна	Бухгалтер
Замовлення	Електронний і паперовий	З обмеженим доступом, конфіденційна	Менеджер
Технічна документація	Електронний і паперовий	З обмеженим доступом, конфіденційна	Інженер-технолог
Інформація про співпрацю з рекламними агентствами	Паперовий	З обмеженим доступом, конфіденційна	Менеджер
База даних клієнтів	Електронний	З обмеженим доступом, конфіденційна	Директор, менеджер
База даних працівників	Електронний	З обмеженим доступом, конфіденційна	Директор, бухгалтер
Інформація про комп’ютерну систему	Електронний	З обмеженим доступом, конфіденційна	Системний адміністратор

 3.5. Характеристики фізичного середовища

Об’єкт інформаційної діяльності розташований на другому поверсi двоповерхового будинку.

Будівля знаходиться за адресою м. Київ вул. Андрющенко 4-б корп 14.

На об’єкті розташовані такі засоби ТЗІ для забезпечення конфіденційності:

4. Пристрій захисту пристрій захисту мови APD-M8. Встановлений в кабінеті директора.

5. Пристрій захисту інформації від витоку по каналу ПЕМВН SEL SP-113 "Блокада". Встановлений в серверній.

6. Фільтр для захисту телефонних ліній (для цифрових телефонів) ФЗТ-2 від акустоелектричного каналу та від прослуховування.

Вимоги до політики безпеки

Характеристика персоналу

В АІС в складі ОІД установи  виділяються наступні категорії користувачів:

· адміністратор системи;

· адміністратор безпеки;

· адміністратор баз даних;

· звичайний користувач;

· технічний персонал для обслуговування технічних засобів АІС ОІД.

· технічний персонал, що обслуговує приміщення, де знаходяться технічні засоби АІС ОІД.

Склад КТЗІ

До складу КТЗІ повинні входити:

· організаційні заходи захисту;

· комплекс засобів захисту від НСД у складі:

- сервіси безпеки операційної системи Microsoft Windows;

- засоби захисту периметру мереж.

- система захисту від «шпигунського» (Spyware) програмного коду;

· система виявлення уразливостей;

· система виявлення вторгнень;

· система захисту від спаму;

· антивірусне програмне забезпечення;

· засоби адміністрування роботи користувачів у середовищі БД;

· Організаційно-технічні заходи та засоби захисту ІзОД від витоку технічними каналами.

Об’єкти ОІД  установи

Реалізація політики безпеки КЗЗ та виконання основних функцій АІС здійснюється за допомогою активних та пасивних об’єктів.

До активних об’єктів відносяться користувачі АІС та процеси (функції програмних комплексів та процеси, що діють від імені користувача).

До пасивних об’єктів відносяться:

· ІзОД, що обробляється у системі (слабозв’язані об’єкти - файлова система, сильнозв’язані об’єкти - таблиці БД);

· ІзОД, що міститься у тимчасових файлах;

· дані захисту - технологічна інформація КТЗІ (файли настройок та журналів, ключі реєстру, таблиці настройок та журналів);

· технологічна інформація системи (файли настройок та журналів, ключі реєстру, таблиці настройок та журналів, представлення, файли з документацією);

· загальне та спеціальне програмне забезпечення (файли, що виконуються, утиліти, бібліотеки, драйвери, процедури, функції, файли шаблонів, файли скриптів, функції програмних комплексів, тощо);

· програмні засоби КЗЗ (файли, що виконуються, бібліотеки, функції, утиліти, файли скриптів, тощо);

· пристрої введення/виведення (НГМД, CD-RW) (як логічні диски);

· технічні засоби (ПЕОМ та принтер).

Атрибути доступу.

Атрибути доступу користувачів та процесів, на підставі яких здійснюється розмежування доступу до пасивних об’єктів, містять наступні дані.

1. Атрибути доступу користувачів дооб’єктів, на підставі яких здійснюється розмежування доступу засобами ОС:

· ідентифікатор користувача/ ідентифікатор групи користувачів, членом яких є користувач;

· список повноважень, що визначають права доступу до пасивних об’єктів, користувача/ групи користувачів (членом якої є користувач).

2. Атрибути доступу процесів до об’єктів, на підставі яких здійснюється розмежування доступу засобами ОС:

· ідентифікатор процесу;

· список повноважень користувача, який запустив процес.

3. Атрибути доступу користувачів дооб’єктів, на підставі яких здійснюється розмежування доступу засобами СКБД:

· ім’я користувача;

· ідентифікатор користувача;

· ідентифікатор ролі користувача, сервера, бази даних або застосування, які визначають список його повноважень щодо до доступу до пасивних об’єктів.

4. Атрибути доступу процесів до об’єктів, на підставі яких здійснюється розмежування доступу засобами СКБД:

· ідентифікатор процесу;

· ролі сервера, бази даних або застосування, які визначають права доступу до різних пасивних об’єктів у рамках конкретного застосування.

5. Атрибути доступу користувачів, на підставі яких здійснюється розмежування доступу при роботі з програмними комплексами, що входять до складу СПЗ, містять такі дані:

· ідентифікатор конкретного програмного комплексу, що входить до складу СПЗ;

· ідентифікатор користувача;

· роль застосування, яка визначає права доступу до різних пасивних об’єктів визначеного користувача у рамках конкретного програмного комплексу, що входить до складу СПЗ.

До пасивних об'єктів, що захищаються засобами ОС, належать:

· Файли;

· Каталоги;

· Ключі реєстру

Атрибутом доступу файлів, каталогів, та ключів реєстру є їх список управління доступом (перелік користувачів, що мають право доступу до об’єкту та дозволених їм прав доступу).

Доступ до сегментів оперативної пам’яті базується на доступу власника тільки до своїх сегментів і забороні доступу до сегментів інших користувачів.

До пасивних об'єктів, що захищаються засобами СКБД, належать:

· таблиці БД;

· збережені процедури;

· представлення;

· функції.

Атрибутами доступу до пасивних об'єктів на рівні СКБД являються їх список прав доступу. Правами доступу є:

- читання даних (таблиці, представлення, функції);

- доповнення даних (таблиці, представлення);

- модифікація (таблиці, представлення);

- вилучення даних (таблиці, представлення);

- виконання (збережені процедури).

До пасивних об'єктів, які захищаються під час роботи користувача з програмними комплексами, що входять до складу СПЗ, належать:

· таблиці БД;

· збережені процедури;

· представлення;

· функції;

· функції ПК.

Атрибутами доступу до пасивних об'єктів на рівні СПЗ являються:

- читання даних (таблиці, представлення, функції);

- доповнення даних (таблиці, представлення);

- модифікація (таблиці, представлення);

- вилучення даних (таблиці, представлення);

- виконання (збережені процедури).

Атрибутом доступу до функції ПК є її назва та дозвіл на виконання.

Вимоги до рівня гарантій

Всі стадії життєвого циклу системи захисту інформації повинні бути документовані.

Програмні засоби КЗЗ повинні розроблятися в ліцензійно забезпеченому середовищі.

Повинні використовувати лише сертифіковані Державною службою спеціального зв’язку та захисту інформації технічні засоби, що обробляють ІзОД.

Вимоги до архітектури КЗЗ

КЗЗ повинен складатися із добре визначених і максимально незалежних компонентів. Кожний із компонентів повинен бути спроектований виходячи із принципу мінімуму повноважень. Архітектура КЗЗ повинна бути побудована за принципом відкритих систем і передбачати можливість реалізації додаткових послуг безпеки інформації в частині захисту від несанкціонованого доступу.

Вимоги до випробувань КЗЗ

Випробування КЗЗ повинні проводитися згідно Програми та методики випробувань, яка повинна містити процедури перевірки всіх заявлених послуг безпеки.

Вимоги до заземлення

1. Усі металеві конструкції ОТЗ повинні бути заземлені.

2. Опір кіл заземлення від засобів ОІД до вузлів системи заземлення не повинен перевищувати 4 Ом.

3. Для системи заземлення ОІД не повинні використовуватися природні заземлювачі (металеві трубопроводи, залізобетонні конструкції будинків тощо).

Вимоги до електроживлення

1. Електроживлення АІС в складі ОІД установи  повинне здійснюватися від трансформаторної підстанції низької напруги, розміщеної у межах контрольованої території. У випадку знаходження трансформаторної підстанції за межами контрольованої території електроживлення повинно здійснюватися через розділовий трансформатор.

2. Мережа електроживлення АІС в складі ОІД установи  повинна бути відділена від мережі освітлення та побутової мережі і забезпечувати безперебійну експлуатацію та працездатність АІС ОІД.

3. Електроживлення повинно здійснюватися через протизавадні мережеві фільтри.

ЕТАПИ ВИКОНАННЯ РОБІТ

№ п/п	Назва етапу та робіт по етапу	Термін виконання	Чим закінчується робота
1	Попередній етап	10.12.2015
1.1	Проведення обстеження ОІД	Згідно умов договору	Акт обстеження ОІД
1.2	Визначення переліку загроз і можливих каналів витоку інформації	Згідно умов договору	Модель загроз
1.3	Визначення вимог до КТЗІ в частині захисту від НСД та витоку технічними каналами	Згідно умов договору	Розділи Технічного завдання на створення КТЗІ
2	Етап проектування і розробки КТЗІ	10.01.2015
2.1	Проектування КТЗІ	Згідно умов договору	Вибір проектних рішень
2.2	Розробка техно-робочої та експлуатаційної документації	Згідно умов договору	Проектна та експлуатаційна документація на КТЗІ
2.3	Виконання робіт із захисту інформації від витоку каналами побічних електромагнітних випромінювань та наведень	Згідно умов договору	Протоколи спецдосліджень та приписи на експлуатацію
2.4	Настроювання сервісів безпеки ОС Windows	Згідно умов договору	Виконання настроювань у відповідності до експлуатаційних документів. Протокол приймання робіт
2.5	Розробка організаційної документації та впровадження організаційних заходів захисту	Згідно умов договору	Розроблені і впроваджені організаційні документи та заходи захисту згідно з розділом 5 ТЗ
2.6	Розробка програм та методик випробувань КТЗІ	Згідно умов договору	Програма та методики випробувань
3	Етап випробувань і передачі КТЗІ в експлуатацію	10.02.2016
3.1	Організація та проведення попередніх випробувань КТЗІ	Згідно умов договору	Протоколи попередніх випробувань, акт про приймання КТЗІ в дослідну експлуатацію
3.2	Навчання користувачів	Згідно умов договору	Програма навчання користувачів Акт про завершення навчання
3.3	Організація та проведення дослідної експлуатації КТЗІ	Згідно умов договору	Журнали дослідної експлуатації, акт завершення дослідної експлуатації
3.4	Подача заявки на проведення державної експертизи	Згідно умов договору	Заявка на проведення державної експертизи
4	Державна експертиза КТЗІ	За окремим договором	Атестат відповідності

 

Додаток 1.

Технічне завадання

ТОВ «Альтрон»

 

                                                                

Товариство з Обмеженою Відповідальністю «Альтрон»