Питання № 1. Роль та місце служби захисту інформації у виконанні заходів щодо обстеження фізичного середовища ІТС.

Товариші студенти.

На попередньому лекційному занятті було вивчено послідовність проведення обстеження фізичного середовища ІТС.

На даному практичному занятті ми більш докладно розглянемо вимоги до змісту тих організаційно-розпорядчих документів, що супроводжують цей етап роботи.

Нормативними документами, які визначають перелік, а також вимоги до форми та змісту цих документів є:

1. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі (НД ТЗІ 3.7-003-05).

2. «Тимчасового положення по категоруванню об’єктів» (ТПКО-95), затвердженого наказом ДСТЗІ від 10.07.95 № 35.

3. ДСТУ 3396.1-96 Захист інформації. ТЗІ. Порядок проведення робіт.

4. ДСТУ 4163-03 Державна уніфікована система організаційно-розпорядчої документації. Вимоги до оформлювання документів.

Як відомо із лекційного заняття, під час обстеження фізичного середовища здійснюється аналіз взаємного розміщення засобів обробки інформації ІТС на об’єктах інформаційної діяльності, комунікацій, систем життєзабезпечення і зв’язку, а також режим функціонування цих об’єктів.

Обстеженню та аналізу підлягають такі характеристики фізичного середовища:

• територіальне розміщення компонентів ІТС (Генеральний план, ситуаційних план);

• наявність охорони території та перепускний режим;

• наявність категорованих приміщень, в яких мають розміщуватися компоненти ІТС;

- режим доступу до компонентів фізичного середовища ІТС;

• вплив чинників навколишнього середовища, захищеність від засобів технічної розвідки;

• наявність елементів комунікацій, систем життєзабезпечення і зв’язку, що мають вихід за межі КЗ;

• наявність та технічні характеристики систем заземлення;

• умови зберігання магнітних, оптико-магнітних, паперових та інших носіїв інформації;

- наявність проектної та експлуатаційної документації на компоненти фізичного середовища.

Практична робота щодо реалізації цих заходів в установі здійснюється за ініціативою та безпосередньою участю начальника служби безпеки інформації (саме він надає пропозиції керівнику установи, ініціює відпрацювання основних організаційно-розпорядчих документів та приймає активну участь у реалізації визначених заходів із створення КСЗІ в ІТС) у такій послідовності:

- наказом керівника установи визначається склад комісії по проведенню спеціальних обстежень об’єктів інформаційної діяльності виробничого об`єднання та їх категоруванню.

Начальник служби захисту інформації (далі – НСЗІ) обґрунтовує пропозиції щодо включення у склад комісії конкретних посадових осіб установи, готує проект наказу керівника установи;

- комісією здійснюються спеціальні обстеження об’єктів інформаційної діяльності установи з метою встановлення рівня їх відповідності вимогам нормативних документів з питань ТЗІ щодо захищеності інформації з обмеженим доступом та цих об’єктах, визначаються: обсяги скритих робіт у приміщеннях, де планується розташування елементів ІТС, спосіб, сили та засоби їх проведення.

НСЗІ – голова або заступник голови комісії, планує роботу комісії; розподіляє обов’язки між її членами; відпрацьовує проект акту спеціального обстеження; доповідає акт керівникові установі; надає йому на затвердження пропозиції щодо способу, сил та засобів їх проведення; за рішенням керівника готує проект наказу про призначення відповідальних осіб та склад комісій для проведення скритих робіт;

- на підставі результатів роботи комісії призначені відповідальні особи, комісія (комісії) виконують скриті роботи у перевірених приміщеннях, складають акти скритих робіт із додатком відповідних схем заземлення, електроживлення, та т.п.

НСЗІ надає методичну допомогу посадовим особам та складу комісії(й), контролює виконання ліцензійних умов на право проведення робіт та якість виконання робіт зовнішніми підрядними організаціями;

- після завершення скритих робіт склад комісії здійснює повторне обстеження об’єктів інформаційної діяльності та предмет перевірки виконання всього обсягу визначених скритих робіт, придатності приміщень до ведення робіт з ІОД та категорування об’єктів інформаційної діяльності.

НСЗІ – голова або заступник голови комісії, відпрацьовує проект акту категрування об’єктів інформаційної діяльності, проект наказу керівника установи про категорування об’єктів інформаційної діяльності та перелік категорованих приміщень в установі; доповідає керівникові установі вищевказані документи на затвердження (підпис), після оголошення (доведення) документів до посадових осіб установи та підпорядкованих структурних підрозділів, надає їм методичну допомогу у підготовці персоналу до правильного здійснення робіт на ОІД;

- результати проведених заходів враховуються на наступних етапах створення комплексної системи захисту інформації в ІТС, які ми докладно будемо розглядати на наступних заняттях.

А в обсязі головних завдань даного групового заняття, розглянемо вимоги до змісту основних організаційно-розпорядчих документів, про які було вказано вище.

Перейдемо до розгляду змісту другого питання навчального заняття.

Питання № 2: Практичне відпрацювання основних організаційно-розпорядчих документів, що супроводжують етап обстеження фізичного середовища ІТС.

В ході реалізації заходів щодо обстеження фізичного середовища ІТС, про які йшлося у першому питанні, за безпосередньою участю служби захисту інформації установи відпрацьовуються такі основні організаційно-розпорядчі документи:

- проект наказу керівника підприємства про призначення комісії по проведенню спеціальних обстежень об’єктів інформаційної діяльності виробничого об`єднання та їх категоруванню;

- проект акту спеціального обстеження об’єктів інформаційної діяльності установи з додатками;

- проект(и) акту(ів) скритих робіт, проведених у приміщенні(ях), призначеного(их) для розміщення елементів ІТС з додатками;

- проект(и) акту(ів) категорування об’єктів інформаційної діяльності установи;

- проект наказу керівника підприємства про категорування об’єктів інформаційної діяльності з додатком переліку категорованих приміщень установи.

Докладно розглянемо вимоги до змісту кожного із вищевказаних документів.

( послідовно висвітлюю слайди №№ 1/гз2 - 4/гз2 та доповідаю вимоги до змісту кожного з цих документів, надаю можливість студентам занотувати основні реквізити документів, навчальну групу забезпечую прикладами документів в електронному вигляді).

Приклад наказу керівника підприємства про призначення комісії по проведенню спеціальних обстежень об’єктів інформаційної діяльності виробничого об`єднання та їх категоруванню

________________________________________________________________________________________________

Виробниче об`єднання «електрон»

Н А К А З

29.08.06 Київ № 117

Про призначення комісії по проведенню спеціальних

обстежень об’єктів інформаційної діяльності

виробничого об`єднання та їх категоруванню

Відповідно до вимог «Тимчасового положення по категоруванню об’єктів» (ТПКО-95), затвердженого наказом ДСТЗІ від 10.07.95 № 35, прийнятим рішенням щодо створення комплексної системи захисту інформації в ІТС та з метою проведення категорування об’єктів інформаційної діяльності виробничого об`єднання

НАКАЗУЮ:

1. Призначити комісію у складі: голова комісії – начальник служби безпеки інформації Петренко А.С.; члени комісії – провідний інженер відділу експлуатації ВО Кот М.І., старший технік інформаційно-аналітичного центру ВО Чухно В.К.

2. На комісію покласти виконання наступних завдань:

- проведення спеціальних обстежень об’єктів інформаційної діяльності виробничого об`єднання з метою визначення обсягу скритих робіт у приміщеннях, де планується розташування елементів ІТС;

- категорування об’єктів інформаційної діяльності виробничого об`єднання (приміщень, призначених для розміщення елементів ІТС, технічних засобів передачі та обробки інформації в цих приміщеннях).

3. Голові комісії Петренку А.С. роботи провести:

- щодо спеціального обстеження об’єктів - в період з 10 по 20.09.06;

- щодо категорування об’єктів - в період з 10 по 15.10.06.

4. Посадовим особам виробничого об`єднання – відповідальним за приміщення, призначених для розміщення елементів ІТС, забезпечити доступ членів комісії в приміщення та проведення скритих робіт в них у визначені терміни.

5. Контроль за виконанням наказу покласти на Першого заступника Генерального директора ВО «Електрон» Макогона А.І.

6. Наказ довести до посадових осіб виробничого об`єднання в частині, що їх стосується.

Генеральний директор

ВО «Електрон» О.К. Паламарчук

______________________________________________________________________

Слайд № 1/пз2

Приклад акту спеціального обстеження об’єктів інформаційної діяльності установи

_________________________________________________________________________________________________

ЗАТВЕРДЖУЮ

Перший заступник Генерального директора

ВО «Електрон»

А.І. Макогон

«21» вересня 2006 року

А К Т

21.09.06 № 218

Київ

Про проведення спеціальних обстежень об’єктів

інформаційної діяльності виробничого об`єднання

Підстави: 1. ТПКО-95, затверджено наказом ДСТЗІ від 10.07.95 № 35.

2. Наказ генерального директора во «Електрон» від 29.08.06 № 117.

Складено комісією:

Голова: начальник служби безпеки інформації Петренко А.С.

Члени комісії: 1. провідний інженер відділу експлуатації ВО Кот М.І. 2. старший технік інформаційно-аналітичного центру ВО Чухно В.К.

У період з 10 по 20.09.06 комісія провела спеціальні обстеження об’єктів інформаційної діяльності виробничого об`єднання з метою визначення обсягу скритих робіт у приміщеннях, де планується розташування елементів ІТС.

Комісією встановлено: