- •Об'єкт дослідження
- •Мета і призначення ксзі Мета створення ксзі
- •Призначення ксзі
- •Нормативно-правові документи, які регламентують порядок захисту інформації
- •Перелік об’єктів, що підлягають захисту:
- •Організаційні заходи щодо керування доступом
- •Організаційні заходи щодо реєстрації та обліку мні та документів
- •Організаційні заходи щодо забезпечення цілісності інформації
- •Організаційні заходи щодо антивірусного захисту інформації
- •Резервне копіювання, архівування та відновлення інформації
- •Експлуатаційні та організаційно-розпорядчі документи
- •Модель загроз
- •Вимоги до комплексної системи захисту інформації.
- •1 Вимоги до захисту інформації від несанкціонованого доступу.
- •Адміністративна конфіденційність
- •Довірча конфіденційність
- •Відновлення після збоїв
- •Реєстрація
- •Ідентифікація та аутентифікація
- •Достовірний канал
- •Розподіл обов’язків
- •Цілісність комплексу засобів захисту
- •2 Вимоги до захисту інформації від витоку технічними каналами
- •3 Вимоги щодо організаційних, інженерно-технічних та інших заходів захисту
- •Вимоги до проектної та експлуатаційної документації.
- •Етапи виконання робіт.
- •Порядок внесення змін і доповнень до тз.
- •Порядок проведення випробувань комплексної системи захисту інформації.
Цілісність комплексу засобів захисту
КЗЗ повинен реалізовувати рівень НЦ-1 - КЗЗ з контролем цілісності.
Повинен бути визначений склад КЗЗ і механізми контролю цілісності програмних та апаратних компонентів, що входять до складу КЗЗ.
Контроль цілісності програм та даних, що входять до КЗЗ, повинен здійснюватися при кожному включенні АС або завантаженні операційної системи. Контроль полягає у перевірці наявності всіх зазначених компонентів та відповідності їх контрольних характеристик еталонним значенням.
У разі виявлення порушення цілісності будь-якого із своїх компонентів КЗЗ повинен зареєструвати цю подію у журналі реєстрації і (або) автоматично відновити відповідність компонента еталону або привести АС до стану, з якого повернути її до нормального функціонування може лише адміністратор безпеки.
2 Вимоги до захисту інформації від витоку технічними каналами
Вимоги до захисту інформації від витоку технічними каналами не висуваються.
3 Вимоги щодо організаційних, інженерно-технічних та інших заходів захисту
3.1 Організаційні заходи захисту ІзОД повинні включати:
-
визначення та встановлення обов’язків осіб, що приймають участь в обробці інформаційних ресурсів АС;
-
встановлення порядку обробки ІзОД з урахуванням вимог із захисту інформації;
-
встановлення порядку впровадження та модернізації засобів обробки ІзОД, програмних та технічних засобів захисту інформації;
-
організацію фізичного та протипожежного захисту АС;
-
розробку правил та порядку контролю за функціонуванням КСЗІ.
3.2 Впроваджені організаційні та інженерно-технічні заходи захисту ІзОД повинні відповідати вимогам нормативно-правових актів та нормативних документів з питань технічного захисту інформації,Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, затверджена постановою Кабінету Міністрів України від 27.11.1998 № 1893 та інших документів, зазначених у розділі 2.
-
Серед об’єктів на категоріювання слід виділити наступні: ПЕОМ, приміщення, в якому циркулює мовна ІзОД під час нарад, конференцій тощо та приміщення, в якому циркулює мовна ІзОД, під час бесід між співробітниками цього підприємства.
-
В кімнаті для нарад №3 де циркулює така інформація:
2.1 Мовна інформація (під час занять) вголос, під час розмов між співробітниками цього підприємства. Гриф –конфіденційно
2.2 Інформація в ПЕОМ. Гриф обмеження доступу – конфіденційно
-
Першому об’єкту, ПЕОМ, призначити четверту категорію. Другому об’єкту, приміщенню, де циркулює ІзОД під час конференцій, нарад тощо, також призначити четверту категорію. Третьому об’єкту , приміщенню, де циркулює ІзОД під час розмов між співробітниками цього підприємства, теж присвоїти четверту категорію.
Вимоги до проектної та експлуатаційної документації.
1 Склад і зміст проектної та експлуатаційної документації повинен відповідати вимогам нормативних документів системи технічного захисту інформації.
2 За результатами виконання робіт зі створення КСЗІ має бути розроблено такі документи:
Формуляр на автоматизовану систему;
Акт категоріювання комплексу технічних засобів АС;
Положення про службу захисту інформації в АС;
План захисту інформації в АС та інші документи;
Інструкція по забезпеченню режиму секретності під час обробки секретної інформації в АС;
Інструкція користувачу АС;
Інструкція адміністратору АС;
Інструкція про порядок обліку та використання магнітних носіїв інформації;