- •Створення комплексу технічного захисту інформації на об’єктах інформаційної діяльності. Загальні положення
- •Основні заходи щодо організації створення комплексу тзі
- •Основні нормативні документи, що використовуються при створенні ксзі на оід.
- •Протокол про визначення вищого ступеня обмеження доступу до інформації
Створення комплексу технічного захисту інформації на об’єктах інформаційної діяльності. Загальні положення
Терміни та визначення.
Атестація комплексу захисту – оцінювання ефективності захисту інформації з обмеженим доступом на об'єкті інформаційної діяль¬ності від витоку технічними каналами на відповідність вимогам нормативних документів з технічного захисту інформації;
Контрольована зона (КЗ) – простір ОІД та (або) територія навколо нього, в межах яких виключене неконтрольоване перебування сторонніх осіб і транспортних засобів, які не мають постійного або разового допуску на територію об’єкта;
Комплекс захисту – сукупність організаційних, інженерних та технічних заходів, що забезпечують на об'єкті інформаційної діяльності захист інформації з обмеженим доступом від витоку технічними каналами і здійснення загроз каналами спеціального впливу;
Об’єкт інформаційної діяльності (ОІД) – інженерно-технічна споруда, приміщення, транспортні засоби, їх салони, де здійснюється адміністративна, виробнича та інша діяльність, пов’язана з інформацією, що підлягає захисту від витоку технічними каналами;
Особливо важливий об'єкт інформаційної діяльності – об'єкт інформаційної діяль¬ності, на якому захист інформації з обмеженим доступом від витоку технічними каналами забезпечується згідно з вимогами для об’єктів 1 категорії;
Основні технічні засоби (ОТЗ) – технічні засоби на ОІД, які безпосередньо призначені для оброблення ІзОД: засоби обчислювальної техніки, зв’язку, аудіо-, відео-, копіювально-розмножувальної техніки (електрофотографічні, світло-, мікро-, фото-, термокопіювальні та інші), засоби виготовлення графічних та текстових документів (електромеханічні, електронні друкарські машинки), телеграфні та факсимільні апарати, інші засоби оброблення інформації.
Створення комплексу технічного захисту інформації на об’єктах інформаційної діяльності здійснюється на підставі основних нормативних документів технічного захисту інформації.
Створення комплексу технічного захисту інформації (ТЗІ) необхідно проводити у випадку якщо на об’єкті інформаційної діяльності передбачається (ОІД) проведення наступних заходів:
– озвучення інформації з обмеженим доступом (ІзОД) при проведенні нарад, показів із звуковим супроводженням кіно- і відеофільмів тощо;
– здійснення обробки ІзОД технічними засобами - збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання ІзОД тощо;
– обіг іншої ІзОД при проектуванні, будівництві, експлуатації об'єктів, виробництві технічних засобів тощо.
Для створенні комплексу ТЗІ установа, яка є замовником створення комплексу ТЗІ виходячи із джерела фінансування робіт визначає виконавців робіт із створення комплексу ТЗІ, проведення випробувань комплексу ТЗІ, а також проведення атестації комплексу ТЗІ.
Виконавцем робіт із створення комплексу ТЗІ і виконавцем випробувань може бути установа-замовник, або можуть бути залучені до таких робіт суб'єкти господарської діяльності, що мають ліцензії на провадження діяльності у сфері ТЗІ.
Атестацію комплексу ТЗІ здійснює виконавець, що має відповідну ліцензію або дозвіл на провадження діяльності у сфері ТЗІ.
У створенні комплексу ТЗІ (в залежності від характеру, складності та обсягу робіт) можуть брати участь один або декілька виконавців. У цьому випадку замовник визначає головного виконавця.
При створенні комплексу ТЗІ на ОІД проводяться наступні заходи:
організаційні;
інженерні;
технічні.
В установі-замовнці до робот для створення комплексу ТЗІ можуть бути залучені:
– заявники - свої структурні підрозділи, діяльність яких пов’язана з інформацією з обмеженим доступом та які обґрунтовують необхідність і заявляють створення комплексу ТЗІ;
– призначені посадові особи з відповідною фаховою підготовкою для організації та координації робіт на всіх етапах створення комплексу ТЗІ, а також для організації експлуатації цього комплексу;
– фахівців з ТЗІ - підрозділ ТЗІ, службу захисту інформації в ІТС або, в окремих випадках, посадову особу з відповідною фаховою підготовкою, якій доручено супроводження робіт з ТЗІ в установі;
– інші підрозділи установи, які залучаються для формування положень щодо використання в інформаційній (виробничій) діяльності інформації з обмеженим доступом, проведення обстеження, категорування об'єктів тощо.
Комплекс ТЗІ повинен створюватися виходячи із :
- перспектив модернізації і розвитку інших комплексів ТЗІ установи;
- охоронних, протипожежних чи загальних систем безпеки, спеціальних систем енергоживлення, життєзабезпечення тощо;
- забезпечувати виконання норм ефективності захищеності інформації;
- відповідати експлуатаційним вимогам щодо необхідності та періодичності перевірок цієї захищеності.
Засоби забезпечення захисту інформації які застосовують у складі комплексу ТЗІ повинні мати сертифікат відповідності Системи УкрСЕПРО, відповідати вимогам НД з питань ТЗІ або мати позитивний висновок державної експертизи у сфері ТЗІ.
Застосування імпортних засобів захисту інформації можливе лише за умови: відсутності вітчизняних аналогів при наявності відповідних техніко-економічних обґрунтувань; проведення їх сертифікації або одержання позитивного експертного висновку.