- •Об'єкт дослідження
- •Мета і призначення ксзі Мета створення ксзі
- •Призначення ксзі
- •Нормативно-правові документи, які регламентують порядок захисту інформації
- •Перелік об’єктів, що підлягають захисту:
- •Організаційні заходи щодо керування доступом
- •Організаційні заходи щодо реєстрації та обліку мні та документів
- •Організаційні заходи щодо забезпечення цілісності інформації
- •Організаційні заходи щодо антивірусного захисту інформації
- •Резервне копіювання, архівування та відновлення інформації
- •Експлуатаційні та організаційно-розпорядчі документи
- •Модель загроз
- •Вимоги до комплексної системи захисту інформації.
- •1 Вимоги до захисту інформації від несанкціонованого доступу.
- •Адміністративна конфіденційність
- •Довірча конфіденційність
- •Відновлення після збоїв
- •Реєстрація
- •Ідентифікація та аутентифікація
- •Достовірний канал
- •Розподіл обов’язків
- •Цілісність комплексу засобів захисту
- •2 Вимоги до захисту інформації від витоку технічними каналами
- •3 Вимоги щодо організаційних, інженерно-технічних та інших заходів захисту
- •Вимоги до проектної та експлуатаційної документації.
- •Етапи виконання робіт.
- •Порядок внесення змін і доповнень до тз.
- •Порядок проведення випробувань комплексної системи захисту інформації.
Етапи виконання робіт.
Етапи виконання робіт наведені в таблиці 1
Таблиця 1. Етапивиконанняробіт.
№ п/п |
Найменування основних етапів (робіт) |
Виконавець |
Чим закінчується робота |
1 |
2 |
3 |
4 |
1. |
Аналіз документації, організації процесу експлуатації АС |
ТОВ «Біпер» |
Проект Технічного завдання на КСЗІ, Паспорт-формуляр на АС |
2. |
Розробка проектів організаційно-технічних документів з питань ТЗІ та забезпечення захисту інформації в АС |
ТОВ «Біпер» |
Документи відповідно до вимог НД ТЗІ |
3 |
Розробка програми та методики попередніх випробувань КСЗІ |
ТОВ «Біпер» |
Програма та методика випробувань |
4 |
Проведення попередніх випробувань КСЗІ та передача КСЗІ в дослідну експлуатацію |
ТОВ «Біпер» |
Акт проведення випробувань та приймання АС у дослідну експлуатацію |
5 |
Проведення дослідної експлуатацій КСЗІ |
ТОВ «Біпер» |
Акт завершення дослідної експлуатації АС |
6 |
Подання КСЗІ на державну експертизу з ТЗІ |
Замовник |
Експертний висновок |
7 |
Супроводження державної експертизи КСЗІ |
ТОВ «Біпер» Замовник |
Акт здавання-приймання робіт |
Порядок внесення змін і доповнень до тз.
Зміни до цього ТЗ. необхідність внесення яких буде виявлена в процесі виконання робіт, оформляються окремим доповненням, яке погоджується і затверджується в тому ж порядку і на тому ж рівні, що і основний документ.
Порядок проведення випробувань комплексної системи захисту інформації.
1 Для перевірки відповідності КСЗІ вимогам цього ТЗ перед поданням на державну експертизу вона повинна пройти попередні випробування.
2 Попередні випробування КСЗІ проводяться комісією у складі представників Замовника та Виконавця відповідно до затвердженої встановленим порядком програми та методики випробувань. Випробування проводяться з використанням умовної інформації (яка не є ІзОД).
3 За результатами попередніх випробувань складається акт, у якому зазначаються результати випробувань і дається висновок щодо можливості впровадження КСЗІ АС (Організації) у дослідну експлуатацію.
4 КСЗІ в АС (Організації) вводиться у дослідну експлуатацію згідно з розпорядженням голови (Організації). Дослідна експлуатація проводиться у визначений в наказі термін з використанням умовної інформації (яка не є ІзОД).
5 Після завершення дослідної експлуатації складається акт, у якому позначаються результати дослідної експлуатації і дається висновок про можливість пред'явлення КСЗІ на державну експертизу.
6 Державна експертиза КСЗІ здійснюється організатором експертизи відповідно до «Положення про державну експертизу в сфері технічного захисту інформації», яке затверджено наказом Адміністрації Держспецзв’язку № 93 від 16.05.07.
7 Дозвіл на експлуатацію АС (Організації) надається розпорядженням голови (Організації) на підставі атестату відповідності, виданого Адміністрацією Держспецзв’язку.
ВИСНОВКИ
Проаналізувавши ситуаційний план(додаток А), генеральний план(додаток Б), план розміщення ОТЗ та ДТЗС(додаток В) та план комунікацій, що мають вихід за межі КЗ були розроблені наступні документи: акт категоріювання, акт обстеження, наказ на контрольовану зону. В акті на категоріювання були визначені об’єкти, які підлягають категоріювання і кожний з них був занесений до окремої категорії, в залежності від рівня ІзОД, яка в ньому циркулює. В аті обстеження були проаналізовані види сигналів ІзОД, які циркулюють в даному приміщені і були зроблені висновки стосовно того, чи відповідає приміщення нормам нормативних документів для приміщень де циркулює ІзОД. В наказі на контрольовану зону були визначені межі контрольованої зони та призначені відповідальні за створення цієї контрольованої зони. На основі всіх цих документів була розроблена модель загроз, де було показано, які існують канали витоку ІзОД з даного приміщення, які можуть бути застосовані засоби зацікавленою стороною для зняття цієї інформації. Після цього для кожного каналу витоку інформації було запропоновані можливі варіанти захисту. По результатам виконаної роботи була створена система ТЗІ для ОІД «кімната для нарад №3».
Додаток №1 - Генеральний план