- •Створення комплексу технічного захисту інформації на об’єктах інформаційної діяльності. Загальні положення
- •Основні заходи щодо організації створення комплексу тзі
- •Основні нормативні документи, що використовуються при створенні ксзі на оід.
- •Протокол про визначення вищого ступеня обмеження доступу до інформації
Основні заходи щодо організації створення комплексу тзі
Для підготовки пропозицій зі створення комплексів ТЗІ призначається посадова особа (підрозділ ТЗІ, служба захисту інформації в ІТС), на яку покладаються обов’язки щодо організації та координації робіт на всіх етапах створення, а також експлуатації комплексів.
Дана посадова особа готує і подає на затвердження керівнику установи наступні організаційні документи:
– протокол про визначення вищого ступеня обмеження доступу до інформації (додаток 1);
– проект рішення про проведення робіт зі створення комплексу ТЗІ на ОІД (основою для проведення таких робіт може бути затверджений Протокол про визначення вищого ступеня обмеження доступу до інформації).
Крім зазначених документів замовник повинен підготувати пропозиції щодо:
– проведення обстеження на ОІД, оформлення відповідних протоколів, актів;
– створення моделі загроз для інформації;
– проведення категорування об'єктів;
– розроблення технічних завдань на створення комплексу ТЗІ (технічних вимог з питань ТЗІ).
При відпрацюванні даних документів необхідно керуватися вимогами вище зазначених нормативних документів, а також вимогами, які викладені у ТПКО-95, постанові КМ 1561 та іншіх відповідних НД з питань ТЗІ.
Виконавець робіт з ТЗІ та виконавець випробувань забезпечують:
– проведення заходів щодо недопущення встановлення закладних пристроїв несанкціонованого отримання інформації під час виконання будівельних та монтажно-налагоджувальних робіт, прокладення нових інженерних комунікацій, встановлення технологічного обладнання, засобів оргтехніки, елементів інтер’єру, меблів тощо;
– обґрунтування необхідності впровадження на ОІД заходів із захисту інформації від витоку технічними каналами, розроблення проектно-кошторисної та конструкторської документації;
– підготовку пропозицій щодо необхідності залучення співвиконавців для створення комплексу ТЗІ;
– розроблення проектів програм і методик випробувань;
– розроблення проектів паспортів на комплекс ТЗІ (в т.ч. паспортів на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами тощо);
– придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого обладнання;
– впровадження на ОІД заходів з ТЗІ;
– проведення відповідних випрбувань згідно із затвердженими програмами і методиками;
– здійснення (у разі необхідності) будівельних, монтажно-налагоджувальних робіт та поопераційного технічного контролю щодо повноти їх виконання;
– здійснення (на договірних засадах) гарантійного та післягарантійного обслуговування комплексу ТЗІ;
– проведення інструктажів щодо особливостей функціонування та експлуатації комплексу ТЗІ.
Установа-замовник бере участь у прийманні зазначених заходів та випробувань, а після їх завершення - створює умови для виконання атестації комплексу ТЗІ і оформлення технічних паспортів.
Замовник узгоджує зміни до прийнятих рішень з ТЗІ, якщо необхідність їх внесення обгрунтована результатами випробувань комплексу ТЗІ, надає виконавцю атестації комплексу ТЗІ дані про його створення на ОІД, а також висновки про результати випробувань для проведення атестації комплексу ТЗІ.
Дозвіл на здійснення діяльності на ОІД, а саме: озвучення та/або оброблення технічними засобами ІзОД (окрім оброблення ІзОД в ІТС), надається керівником установи на підставі наявності Акта атестації та паспорта на комплекс ТЗІ.
Дозвіл на експлуатацію технічних засобів ІТС, що розміщуються на ОІД, надається керівником установи на підставі наявності Атестата відповідності на комплексну систему захисту інформації в ІТС, який оформляється за результатами проведення державної експертизи у сфері ТЗІ.