1   2   3   4   5   6   7   8   9   ...   26
Ім'я файлу: КСЗІ-1.docx
Розширення: docx
Розмір: 397кб.
Дата: 24.11.2021
скачати

3. 1-й етап - формування вимог до КСЗІ



1-й етап - формування вимог до КСЗІ в ІТС - складається з таких заходів:

- обґрунтування необхідності створення КСЗІ і призначення СЗІ;

- категоріювання ІТС;

- обстеження середовищ функціонування ІТС;

- опис моделі порушника політики безпеки інформації;

- опис моделі загроз для інформації;

- формування завдання на створення КСЗІ.

Підставою для визначення необхідності створення КСЗІ є норми та вимоги чинного законодавства, які встановлюють обов’язковість обмеження доступу до певних видів інформації або забезпечення її цілісності чи доступності, або прийняте власником інформації рішення щодо цього, якщо нормативно-правові акти надають йому право діяти на власний розсуд.

Вихідні дані для обґрунтування необхідності створення КСЗІ у загальному випадку одержуються за результатами:

- аналізу нормативно-правових актів (державних, відомчих та таких, що діють в межах установи, організації, підприємства), на підставі яких може встановлюватися обмеження доступу до певних видів інформації чи заборона такого обмеження, або визначатися необхідність забезпечення захисту інформації згідно з іншими критеріями;

- визначення наявності у складі інформації, яка підлягає автоматизованій обробці, таких її видів, що потребують обмеження доступу до неї або забезпечення цілісності чи доступності відповідно до вимог нормативно-правових актів;

- оцінки можливих переваг (фінансово-економічних, соціальних тощо) експлуатації ІТС у разі створення КСЗІ.

На підставі НД ТЗІ 2.5-005-99 «Класифікація АС і стандартні функціональні профілі захищеності оброблюваної інформації від НСД» за сукупністю характеристик ІТС виділено три ієрархічні класи, вимоги до функціонального складу КЗЗ яких істотно відрізняються.

Клас «1» - одномашинний однокористувачевий комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності. Особливості такого класу:

- в кожний момент часу з комплексом може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька, але всі вони повинні мати однакові повноваження (права) щодо доступу до інформації, яка оброблюється;

- технічні засоби (носії інформації і засоби У/В ) з точки зору захищеності відносяться до однієї категорії і всі можуть використовуватись для збереження і У/В всієї інформації.

Приклад - автономна ПЕОМ, доступ до якої контролюється з використанням організаційних заходів.

Клас «2» - локалізований багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього класу - наявність користувачів з різними повноваженнями по доступу і/або технічних засобів, які можуть одночасно здійснювати обробку інформації різних категорій конфіденційності. Приклад - ЛОМ.

Клас «3» - розподілений багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього класу - необхідність передачі інформації через незахищене середовище або, в загальному випадку, наявність вузлів, що реалізують різну політику безпеки. Приклад - глобальна мережа.

На підставі проведеного аналізу приймається рішення про необхідність створення КСЗІ, після чого відповідальний за ТЗІ організації-власника (розпорядника) ІТС готує для керівника організації 3 накази:

1) про створення Служби захисту інформації в ІТС (далі - СЗІ), порядок створення, завдання, функції, структура та повноваження якої визначено в НД 1.4-001-2000 «Типове положення про СЗІ в АС»;

2) про призначення комісії з категоріювання ІТС, завдання та повноваження якої визначено в НД ТЗІ 1.6-005-2013 «Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці»;

3) про призначення комісії з обстеження середовищ функціонування ІТС, завдання та повноваження якої визначено в ДСТУ 3396.1-96 «Технічний захист інформації. Порядок проведення робіт».

До складу СЗІ, який визначається наказом, повинні призначатися фахівці з таких питань:

  • захисту інформації від витоку технічними каналами;

  • захисту каналів зв’язку і комутаційного обладнання,

  • налагодження і адміністрування засобів захисту інформації,

  • керування базами даних захисту інформації;

  • налагодження і керування активним мережевим обладнанням;

  • захищених технологій обробки інформації.

За функціональними обов’язками особовий склад СЗІ складається з таких спеціалістів (за рівнем ієрархії):

  • системний адміністратор ІТС;

  • мережевий адміністратор ІТС;

  • адміністратор безпеки інформації в ІТС;

  • адміністратор КСЗІ в ІТС.

Після призначення СЗІ її керівник складає «Положення про СЗІ в ІТС», що має бути оформлене у вигляді окремого документа згідно рекомендацій НД ТЗІ 1.4-001-2000 та затверджене керівником організації-власника (розпорядника) ІТС.

Положення повинно складатись з таких розділів:

  • загальні положення;

  • завдання СЗІ;

  • функції СЗІ;

  • повноваження та відповідальність СЗІ;

- взаємодія СЗІ з іншими підрозділами організації та зовнішніми підприємствами, установами, організаціями;

  • штатний розклад та структура СЗІ;

  • організація та фінансування робіт СЗІ.

В залежності від конкретних завдань і умов функціонування СЗІ дозволяється, у разі необхідності, поєднувати окремі розділи в один, вводити нові розділи або вилучати розділи, що не є актуальними.

До Положення у вигляді додатків можуть включатися нормативні документи, таблиці, схеми, графіки, необхідні для визначення заходів захисту інформації, плани об’єктів захисту з вказанням робочих місць та встановлених на них технічних засобів передачі, прийому, зберігання, обробки інформації, що підлягає захисту, та інші документи.

Положення має бути погоджене з юрисконсультом та керівниками підрозділів (служби безпеки, РСО, підрозділу ТЗІ) організації.

Зміни суттєвого характеру вносяться до Положення на підставі наказу керівника організації (підрозділу, до якого структурно входить СЗІ).

Категоріювання ІТС

Об’єкти, на яких здійснюватиметься обробка технічними засобами та/або озвучуватиметься ІзОД, підлягають обов’язковому категоріюванню. Об’єкти, на яких здійснюватиметься обробка технічними засобами та/або озвучуватиметься тільки відкрита інформація, категоріюванню не підлягають.

Об’єктами категоріювання є об’єкти інформаційної діяльності (далі - ОІД), в тому числі об’єкти електронно-обчислювальної техніки (далі - ЕОТ) ІТС. ОІД - це інженерно-технічна споруда (приміщення), транспортний засіб, де здійснюється озвучення та/або обробка технічними засобами ІзОД.

Категоріювання ІТС здійснюється комісією організації-власника (розпорядника) ІТС для визначення необхідного рівня захисту інформації, що обробляється на об’єктах ЕОТ ІТС. Категоріювання здійснюється за ознакою ступеня обмеження доступу до інформації, що обробляється технічними засобами та/або озвучується на ОІД.

Згідно ТПКО-95 «Тимчасове положення про категоріювання об'єктів» установлюються 4 категорії об'єктів, на яких обробляється технічними засобами та/або озвучується ІзОД, що:

- становить державну таємницю, для якої встановлено гриф секретності «особливої важливості» - перша (І);

- становить державну таємницю, для якої встановлено гриф секретності «цілком таємно» - друга (ІІ);

- становить державну таємницю, для якої встановлено гриф секретності «таємно», а також інформація, що містить відомості, які становлять іншу передбачену законом таємницю - третя (ІІІ);

- не становить державної таємниці - четверта (ІV).

Категоріювання ОІД четвертої категорії здійснюється згідно вимог НД ТЗІ 1.6-005-2013 «Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці».

Категоріювання може бути первинним, черговим або позачерговим. Первинне категоріювання здійснюється у разі створення ІТС, де буде оброблятися ІзОД. Чергове - не рідше ніж один раз на 5 років. Позачергове - у разі зміни ознаки, за якою була встановлена категорія ІТС.

Комісія з категоріювання визначає ступень обмеження доступу до інформації, яка оброблятиметься в ІТС, та з урахуванням цього ступеня встановлює категорію ІТС. Встановлена категорія зазначається в Акті категоріювання ІТС, який складається комісією за результатами її роботи. Акт категоріювання є чинним протягом 5 років з моменту проведення категоріювання, якщо не змінилась ознака, за якою була встановлена категорія об’єкта.

В акті зазначається:

1. Підстава для категоріювання (рішення про створення КСЗІ, закінчення терміну дії акта категоріювання, зміна ознаки, за якою була встановлена категорія, та реквізити наказу про призначення комісії з категоріювання.

2. Вид категоріювання: первинне, чергове, позачергове (у разі чергового або позачергового категоріювання вказується категорія, що була встановлена до цього категоріювання, та реквізити акту, яким було встановлено цю категорію).

3. В ІТС здійснюється обробка ІзОД.

4. Ступінь обмеження доступу до ІзОД, що обробляється в ІТС (передбачена законом таємниця; службова інформація; конфіденційна інформація, яка перебуває у володінні розпорядників інформації, інша конфіденційна інформація, вимога щодо захисту якої встановлена законом).

5. Встановлена комісією категорія.

ІТС, яким комісія встановила відповідну категорію, вносяться до «Переліку категорійованих об’єктів», який ведеться власником (розпорядником, користувачем) ОІД.

1   2   3   4   5   6   7   8   9   ...   26

скачати

© Усі права захищені
написати до нас