16
6.4.2.3 Пропонуються попередні технічні рішення, за допомогою яких передбачається реалізація завдань і функцій КСЗІ.
6.4.3 Технічний проект КСЗІ
6.4.3.1 Розробка проектних рішень КСЗІ
Виконується розробка: загальних проектних рішень, необхідних для реалізації вимог ТЗ на КСЗІ; рішень щодо структури КСЗІ (організаційної структури, структури технічних і програмних засобів), алгоритмів функціонування та умов використання засобів захисту; рішень щодо архітектури КЗЗ та механізмів реалізації, визначених функціональним профілем послуг безпеки інформації.
Здійснюються організаційно-технічні заходи щодо забезпечення послідовності розробки КЗЗ, архітектури, середовища розробки, випробувань, середовища функціонування та експлуатаційної документації КЗЗ у відповідності до заданих рівнем гарантій реалізації послуг безпеки згідно із специфікаціями НД ТЗІ 2.5-004, НД ТЗІ 2.5-007, НД ТЗІ 2.5-008, НД ТЗІ 2.5-
010.
6
.4.3.2 Розробка документації на КСЗІ
Виконується розроблення, оформлення, узгодження та затвердження документації в обсязі, передбаченому ТЗ на КСЗІ. Зміст та стиль документації повинні бути достатніми для повного опису проектних рішень рівня технічного проекту.
6
.4.3.3 Розробка документації на постачання засобів захисту інформації та/або технічних вимог (технічних завдань) на їх розробку.
Готується та оформляється документація на постачання засобів захисту або продукції, що містить їх у своєму складі, для комплектації КСЗІ. Якщо необхідної продукції немає на ринку засобів захисту, то визначаються технічні вимоги (складаються технічні завдання) на розроблення відповідних засобів.
6
.4.3.4 Розробка завдань на проектування в суміжних частинах
Здійснюється розроблення, оформлення і затвердження завдань на проектування з суміжних питань, які пов’язані зі створенням КСЗІ або впливають на умови її функціонування (будівельні, електротехнічні, санітарно- технічні та інші підготовчі роботи).
6.4.4 Робочий проект КСЗІ
6.4.4.1 На цьому етапі здійснюється розроблення, оформлення та затвердження робочої та експлуатаційної документації КСЗІ та, у разі необхідності, її окремих складових частин.
Робоча документація містить детальні рішення щодо реалізації технічного проекту КСЗІ, щодо забезпечення управління КСЗІ і взаємодії її компонентів, а також документацію, необхідну для тестування, проведення пусконалагоджувальних робіт, проведення випробувань КСЗІ.
6.4.4.2 Проводиться розробка засобів захисту інформації, передбачених п.6.4.3.3, або адаптація готової продукції до умов функціонування КСЗІ.
Розробка засобів захисту інформації від НСД здійснюється згідно з НД ТЗІ 3.6-
001.
17
6.4.4.3 До складу робочої документації на комплекси технічного захисту
інформації від витоку технічними каналами повинні входити схеми розміщення
ОТЗ ІТС, кабельного обладнання, мереж живлення та систем заземлення, які виконуються у відповідності до вимог нормативних документів ТР ЕОТ – 95,
ТР ТЗІ-ПЕМВН-95, СТР-2, СТР-3, НД ТЗІ 3.3-001, НД ТЗІ 2.4-007, СВТР-78.
При цьому враховуються умови їх розміщення і мінімально допустимі відстані між цими засобами та ДТЗ (засоби зв’язку, системи та засоби кондиціювання, сигналізації, електроосвітлення, радіомовлення, часофікації тощо), що знаходяться у приміщенні, де розташоване обладнання ІТС, та у суміжних приміщеннях. Зазначені умови розміщення та мінімально допустимі відстані беруться з експлуатаційної документації, яка супроводжує сертифіковані ОТЗ.
У разі відсутності для ОТЗ, що використовуються в складі КСЗІ, сертифікатів відповідності вимогам з технічного захисту інформації, мінімально допустимі відстані та інші умови розміщення цих засобів мають бути визначені за результатами їх спеціальних досліджень.
6.4.4.4 До складу робочої документації на КЗЗ повинні входити описи процедур інсталяції та ініціалізації комплексу, налагодження всіх механізмів розмежування доступу користувачів до інформації та апаратних ресурсів ІТС, контролю за діями користувачів, формування та актуалізації баз даних захисту, а також контролю цілісності програмного забезпечення та баз даних захисту.
Документація робочого проекту повинна містити вихідні дані для внесення
їх до баз даних захисту.
6.4.4.5
Експлуатаційна документація включає опис порядку функціонування КСЗІ та настанови (інструкції) щодо забезпечення цього порядку обслуговуючим персоналом і користувачами, порядку супроводження
КСЗІ впродовж життєвого циклу ІТС.
6.5 Введення КСЗІ в дію та оцінка захищеності інформації в ІТС
Про проведення робіт, передбачених п.п.6.5.3 – 6.5.8 цього етапу, робиться відповідний запис у паспорті (формулярі) ІТС.
6.5.1 Підготовка КСЗІ до введення в дію
6.5.1.1 Проводяться роботи з підготовки організаційної структури та розробки розпорядчих документів, що регламентують діяльність із забезпечення захисту інформації в ІТС.
6.5.1.2 Здійснюється створення СЗІ (призначаються відповідальні особи за захист інформації), якщо цього не було зроблено на попередніх етапах.
6.5.1.3 В основному має бути завершена розробка і затверджені документи, що входять до Плану захисту (за виключенням тих, для розробки яких необхідні результати наступних етапів робіт).
6
.5.1.4 Створення СЗІ та розробка Плану захисту здійснюється згідно з НД
ТЗІ 1.4-001.
6.5.2 Навчання користувачів
Проводиться навчання користувачів ІТС всіх категорій (технічного обслуговуючого персоналу, звичайних користувачів та користувачів, які мають повноваження щодо управління засобами КСЗІ та ін.) в частині, що їх стосується, основним положенням документів Плану захисту, які необхідні їм
18
для дотримання правил політики безпеки інформації, експлуатації засобів захисту інформації тощо, перевірка їх уміння користуватись впровадженими технологіями захисту інформації і реєстрація результатів навчання.
6.5.3 Комплектування КСЗІ
Забезпечується отримання продукції (засобів захисту інформації, матеріалів, обладнання та ін.) від постачальників та співвиконавців робіт.
Приймається рішення щодо підготовки до проведення оцінки на відповідність вимогам НД ТЗІ засобів захисту, які на момент проектування КСЗІ не мали відповідних сертифікату або експертного висновку, а також порядку проведення такої оцінки під час державної експертизи КСЗІ.
6.5.4 Будівельно-монтажні роботи
6.5.4.1 Роботи цього етапу виконуються під час переобладнання існуючих або при будівництві нових спеціалізованих споруд (приміщень), призначених для розміщення технічних засобів ІТС та персоналу, сховищ матеріальних носіїв інформації.
При проведенні будівельно-монтажних робіт враховуються вимоги технічного завдання на створення КСЗІ в ІТС.
6.5.4.2 Будівельні роботи здійснюються силами організації-власника ІТС або будівельно-монтажними організаціями згідно з проектною документацією на будівництво, яка розробляється проектною організацією у відповідності до вимог нормативних документів ДБН А.2.2-2, ДБН 2.2-3-2004.
6.5.4.3 Після завершення будівельних робіт створюється комісія з прийняття робіт, до складу якої входять представники організації-замовника будівельних робіт, проектної та будівельно-монтажної організацій. За результатами роботи комісії складається за довільною формою акт приймання робіт з оцінкою їх відповідності вимогам ТЗІ, який затверджується керівником організації-замовника будівництва.
6.5.5 Пусконалагоджувальні роботи
6.5.5.1 Метою пусконалагоджувальних робіт є: монтаж обладнання і атестація комплексу технічного захисту інформації від витоку технічними каналами; встановлення і налагодження КЗЗ; перевірка працездатності засобів захисту інформації в автономному режимі та при їх комплексній взаємодії.
6.5.5.2 Монтаж ОТЗ ІТС, кабельного обладнання, мереж живлення та заземлення здійснюється згідно з конструкторською документацією робочого проекту.
Якщо до складу КСЗІ входять ОТЗ, які не мають сертифікатів відповідності вимогам з ТЗІ, визначаються мінімально допустимі відстані між цими засобами та ДТЗ за результатами їх спеціальних досліджень.
При виконання робіт згідно з підпунктами 6.5.5.2-6.5.5.7 необхідно керуватися НД ТЗІ 3.3-001, НД ТЗІ 2.7-007, НД ТЗІ 2.4-007, НД ТЗІ 2.3-014, НД
ТЗІ 2.3-015, НД ТЗІ 2.3-016, НД ТЗІ 2.1-002, НД ТЗІ 2.2-005, ОСТ 4.169.011-89,
Нормами АСУ и ЭВТ ГТК-77, Сборником методик АСУ и ЭВТ МРП-77, МКЗ
ЭВТ МРП-79, Дополнением к МКЗ ЭВТ МРП-79.
19
6.5.3 Комплектування КСЗІ
Забезпечується отримання продукції (засобів захисту інформації, матеріалів, обладнання та ін.) від постачальників та співвиконавців робіт.
Приймається рішення щодо підготовки до проведення оцінки на відповідність вимогам НД ТЗІ засобів захисту, які на момент проектування КСЗІ не мали відповідних сертифікату або експертного висновку, а також порядку проведення такої оцінки під час державної експертизи КСЗІ.
6.5.4 Будівельно-монтажні роботи
6.5.4.1 Роботи цього етапу виконуються під час переобладнання існуючих або при будівництві нових спеціалізованих споруд (приміщень), призначених для розміщення технічних засобів ІТС та персоналу, сховищ матеріальних носіїв інформації.
При проведенні будівельно-монтажних робіт враховуються вимоги технічного завдання на створення КСЗІ в ІТС.
6.5.4.2 Будівельні роботи здійснюються силами організації-власника ІТС або будівельно-монтажними організаціями згідно з проектною документацією на будівництво, яка розробляється проектною організацією у відповідності до вимог нормативних документів ДБН А.2.2-2, ДБН 2.2-3-2004.
6.5.4.3 Після завершення будівельних робіт створюється комісія з прийняття робіт, до складу якої входять представники організації-замовника будівельних робіт, проектної та будівельно-монтажної організацій. За результатами роботи комісії складається за довільною формою акт приймання робіт з оцінкою їх відповідності вимогам ТЗІ, який затверджується керівником організації-замовника будівництва.
6.5.5 Пусконалагоджувальні роботи
6.5.5.1 Метою пусконалагоджувальних робіт є: монтаж обладнання і атестація комплексу технічного захисту інформації від витоку технічними каналами; встановлення і налагодження КЗЗ; перевірка працездатності засобів захисту інформації в автономному режимі та при їх комплексній взаємодії.
6.5.5.2 Монтаж ОТЗ ІТС, кабельного обладнання, мереж живлення та заземлення здійснюється згідно з конструкторською документацією робочого проекту.
Якщо до складу КСЗІ входять ОТЗ, які не мають сертифікатів відповідності вимогам з ТЗІ, визначаються мінімально допустимі відстані між цими засобами та ДТЗ за результатами їх спеціальних досліджень.
При виконання робіт згідно з підпунктами 6.5.5.2-6.5.5.7 необхідно керуватися НД ТЗІ 3.3-001, НД ТЗІ 2.7-007, НД ТЗІ 2.4-007, НД ТЗІ 2.3-014, НД
ТЗІ 2.3-015, НД ТЗІ 2.3-016, НД ТЗІ 2.1-002, НД ТЗІ 2.2-005, ОСТ 4.169.011-89,
Нормами АСУ и ЭВТ ГТК-77, Сборником методик АСУ и ЭВТ МРП-77, МКЗ
ЭВТ МРП-79, Дополнением к МКЗ ЭВТ МРП-79.
19
6.5.5.3
Ефективність вжитих заходів із захисту інформації повинна бути підтверджена результатами інструментальної перевірки під час випробувань створеного комплексу технічного захисту інформації.
6.5.5.4 Спеціальні дослідження та інструментальні вимірювання рівня
ПЕМВН виконуються підрозділом ТЗІ організації-власника ІТС або іншими суб’єктами господарювання за умови наявності ліцензії чи дозволу на здійснення відповідного виду робіт.
6.5.5.5 За результатами робіт складається акт, де зазначаються: категорії приміщень, де розташоване обладнання ІТС, межі контрольованих зон для приміщень, перелік ОТЗ, ДТЗ і комунікацій (із вказівкою найменування, типу, заводського номеру), що знаходяться у цих приміщеннях, оцінка відповідності проведення монтажних робіт вимогам експлуатаційних документів на засоби та нормативних документів, зазначених у п. 6.4.4.3, пропозиції щодо застосування додаткових заходів захисту, впровадження яких є необхідним у разі неможливості під час виконання монтажних робіт дотримання окремих вимог із розміщення ОТЗ. Акт затверджується керівником організації - власника ІТС.
6.5.5.6 Здійснюється впровадження додаткових заходів захисту, необхідність впровадження яких зафіксована в акті, відповідно до порядку проведення робіт етапу та відповідне коригування проектної, робочої, експлуатаційної документації.
6.5.5.7 Оцінка повноти та якості виконання робіт з ТЗІ в приміщеннях проводиться шляхом атестації впровадженого комплексу технічного захисту
інформації від витоку технічними каналами, за результатами якої надається документ встановленого зразка – “Акт атестації комплексу технічного захисту
інформації”. Порядок здійснення атестації, зміст та форма “Акту ...” визначається НД ТЗІ 2.1-002.
6.5.5.8 Здійснюється згідно з документацією робочого проекту інсталяція,
ініціалізація та перевірка працездатності КЗЗ.
Інсталяція та ініціалізація КЗЗ, який має експертний висновок щодо його відповідності вимогам НД ТЗІ, здійснюється у порядку, визначеному в експлуатаційній документації на цей комплекс.
Під час інсталяції мають бути задіяні всі механізми розмежування доступу користувачів до інформації та апаратних ресурсів ІТС, контролю за діями користувачів, а також контролю цілісності програмного забезпечення та бази даних захисту КЗЗ.
До бази даних захисту вносяться відомості про користувачів ІТС, встановлюються їх повноваження щодо доступу до захищених об’єктів КС, їх створення, модифікації, архівування, знищення, експорту/імпорту із системи та
інші дані.
6.5.6 Попередні випробування
6.5.6.1 Метою попередніх випробувань є перевірка працездатності КСЗІ та визначення можливості прийняття її у дослідну експлуатацію.
Під час випробувань перевіряються працездатність КСЗІ та відповідність її вимогам ТЗ.
20
6.5.6.2 Попередні випробування проводяться згідно з програмою та методиками випробувань. Програму й методики випробувань готує розробник
КСЗІ, а узгоджує замовник ІТС. Програма та методики випробувань, протоколи випробувань розробляються та оформлюються згідно з вимогами РД 50-34.698.
6.5.6.3 Попередні випробування організовує замовник ІТС, а проводить розробник КСЗІ спільно із замовником. Для проведення попередніх випробувань замовником ІТС створюється комісія. Головою комісії призначається представник замовника.
6.5.6.4 Результати попередніх випробувань оформлюються “Протоколом випробувань”, де міститься висновок щодо можливості прийняття КСЗІ у дослідну експлуатацію, а також перелік виявлених недоліків, необхідних заходів з їх усунення, і рекомендовані терміни виконання цих робіт.
6.5.6.5 Після усунення недоліків у випадку їх наявності та коригування проектної, робочої, експлуатаційної документації КСЗІ оформлюється акт про приймання КСЗІ у дослідну експлуатацію.
6.5.7 Дослідна експлуатація
6.5.7.1 Під час дослідної експлуатації КСЗІ: відпрацьовуються технології оброблення інформації, обігу машинних носіїв інформації, керування засобами захисту, розмежування доступу користувачів до ресурсів ІТС та автоматизованого контролю за діями користувачів; співробітники СЗІ та користувачі ІТС набувають практичних навичок з використання технічних та програмно-апаратних засобів захисту інформації, засвоюють вимоги організаційних та розпорядчих документів з питань розмежування доступу до технічних засобів та інформаційних ресурсів; здійснюється (за необхідністю) доопрацювання програмного забезпечення, додаткове налагоджування та конфігурування КЗЗ; здійснюється (за необхідністю) коригування робочої та експлуатаційної документації.
6.5.7.2 За результатами робіт за довільною формою складається акт про завершення дослідної експлуатації, який містить висновок щодо можливості
(неможливості) представлення КСЗІ на державну експертизу.
6.5.8 Державна експертиза КСЗІ
6.5.8.1 Державна експертиза КСЗІ є окремим етапом приймальних випробувань ІТС.
6.5.8.2 Державна експертиза проводиться з метою визначення відповідності КСЗІ технічному завданню, вимогам НД із захисту інформації та визначення можливості введення КСЗІ в складі ІТС в експлуатацію.
Державна експертиза КСЗІ в ІТС проводиться згідно з Положенням про державну експертизу в сфері технічного захисту інформації.
6.5.8.3 Виявлені під час державної експертизи недоліки усуваються до її завершення, порядок усунення такий самий, як і для попередніх випробувань.
Якщо в силу якихось причин усунути недоліки в ході експертизи неможливо, це оформлюється актом, до якого вноситься перелік необхідних доробок та
21
рекомендації щодо їх виконання. Після завершення передбачених актом робіт проводиться повторна експертиза.
6.5.8.4 Для інтегрованих ІТС може проводитись державна експертиза кожної складової частини (модуля) КСЗІ окремо.
Державна експертиза КСЗІ інтегрованої ІТС полягає у перевірці взаємодії
(адміністрування, обміну даними бази даних захисту тощо) вже оцінених модулів.
Документи, що містять результати робіт кожного з етапів (протоколи, акти, атестати відповідності) для КСЗІ ІТС в цілому, оформлюються з урахуванням відповідних документів на складові частини КСЗІ.
6.5.8.5 Якщо інтегрована КСЗІ має у своєму складі типові модулі, які створювались за єдиним ТЗ, то експертиза таких модулів КСЗІ виконується в два етапи: на першому проводиться у повному обсязі експертиза одного обраного типового модуля, а на другому – здійснюється перевірка відповідності умов експлуатації типовим на кожному конкретному об’єкті для всіх модулів
КСЗІ цього типу.
6.
5.8.6 Введення до складу діючої КСЗІ нового (оціненого) модуля здійснюється без проведення повторної експертизи всієї КСЗІ. Проводиться оцінювання взаємодії нового модуля зі складовими частинами КСЗІ, які вже знаходяться в експлуатації.
6.5.8.7 Допускається розпочинати і проводити державну експертизу КСЗІ паралельно з роботами етапів проектування.
Примітка:
У першу чергу такий порядок рекомендується застосовувати для складних з точки зору архітектури, складу та обсягів робіт КСЗІ. При цьому експертами послідовно здійснюється оцінка технічних та організаційних рішень на всіх етапах робіт. Це дає змогу оперативно усувати недоліки проектування та скоротити час проведення державної експертизи, яка може бути в основному завершена до етапу приймальних випробувань ІТС.
6.5.8.8 Приймальні випробування ІТС проводяться при функціонуючій в її складі КСЗІ.
Примітка:
Роботи п.6.5.8, а також пп. 6.5.6 і 6.5.7, виконуються з використанням тестових даних, які не містять інформації з обмеженим доступом.
6.6 Супроводження КСЗІ
Виконуються роботи з організаційного забезпечення функціонування КСЗІ та управління засобами захисту інформації відповідно до Плану захисту та експлуатаційної документації на компоненти КСЗІ, гарантійному і післягарантійному технічному обслуговуванню засобів захисту інформації.
22
6.5.8.4 Для інтегрованих ІТС може проводитись державна експертиза кожної складової частини (модуля) КСЗІ окремо.
Державна експертиза КСЗІ інтегрованої ІТС полягає у перевірці взаємодії
(адміністрування, обміну даними бази даних захисту тощо) вже оцінених модулів.
Документи, що містять результати робіт кожного з етапів (протоколи, акти, атестати відповідності) для КСЗІ ІТС в цілому, оформлюються з урахуванням відповідних документів на складові частини КСЗІ.
6.5.8.5 Якщо інтегрована КСЗІ має у своєму складі типові модулі, які створювались за єдиним ТЗ, то експертиза таких модулів КСЗІ виконується в два етапи: на першому проводиться у повному обсязі експертиза одного обраного типового модуля, а на другому – здійснюється перевірка відповідності умов експлуатації типовим на кожному конкретному об’єкті для всіх модулів
КСЗІ цього типу.
6.
5.8.6 Введення до складу діючої КСЗІ нового (оціненого) модуля здійснюється без проведення повторної експертизи всієї КСЗІ. Проводиться оцінювання взаємодії нового модуля зі складовими частинами КСЗІ, які вже знаходяться в експлуатації.
6.5.8.7 Допускається розпочинати і проводити державну експертизу КСЗІ паралельно з роботами етапів проектування.
Примітка:
У першу чергу такий порядок рекомендується застосовувати для складних з точки зору архітектури, складу та обсягів робіт КСЗІ. При цьому експертами послідовно здійснюється оцінка технічних та організаційних рішень на всіх етапах робіт. Це дає змогу оперативно усувати недоліки проектування та скоротити час проведення державної експертизи, яка може бути в основному завершена до етапу приймальних випробувань ІТС.
6.5.8.8 Приймальні випробування ІТС проводяться при функціонуючій в її складі КСЗІ.
Примітка:
Роботи п.6.5.8, а також пп. 6.5.6 і 6.5.7, виконуються з використанням тестових даних, які не містять інформації з обмеженим доступом.
6.6 Супроводження КСЗІ
Виконуються роботи з організаційного забезпечення функціонування КСЗІ та управління засобами захисту інформації відповідно до Плану захисту та експлуатаційної документації на компоненти КСЗІ, гарантійному і післягарантійному технічному обслуговуванню засобів захисту інформації.
22
1 2 3