Нормативний документ системи технічного захисту інформації

Зміст
1 Галузь використання ........................................................................................ 4 2 Нормативні посилання..................................................................................... 4 3 Визначення ........................................................................................................ 7 4 Позначення та скорочення .............................................................................. 7 5 Загальні положення .......................................................................................... 8 6 Етапи створення КСЗІ ................................................................................... 11 6.1 Формування загальних вимог до КСЗІ в ІТС ....................................... 11 6.1.1 Обґрунтування необхідності створення КСЗІ .............................. 11 6.1.2 Обстеження середовищ функціонування ІТС ............................... 11 6.1.3 Формування завдання на створення КСЗІ ..................................... 14 6.2 Розробка політики безпеки інформації в ІТС ....................................... 14 6.2.1 Вивчення об’єкта, на якому створюється КСЗІ, проведення науково-дослідних робіт .................................................................................. 14 6.2.2 Вибір варіанту КСЗІ ........................................................................ 14 6.2.3 Оформлення політики безпеки ....................................................... 14 6.3 Розробка технічного завдання на створення КСЗІ ............................... 15 6.4 Розробка проекту КСЗІ ........................................................................... 16 6.4.1 Порядок розробки проекту КСЗІ .................................................... 16 6.4.2 Ескізний проект КСЗІ ...................................................................... 16 6.4.3 Технічний проект КСЗІ ................................................................... 17 6.4.4 Робочий проект КСЗІ ....................................................................... 17 6.5 Введення КСЗІ в дію та оцінка захищеності інформації в ІТС .......... 18 6.5.1 Підготовка КСЗІ до введення в дію ............................................... 18 6.5.2 Навчання користувачів .................................................................... 18 6.5.3 Комплектування КСЗІ ..................................................................... 19 6.5.4 Будівельно-монтажні роботи .......................................................... 19 6.5.5 Пусконалагоджувальні роботи ....................................................... 19 6.5.6 Попередні випробування................................................................. 20 6.5.7 Дослідна експлуатація ..................................................................... 21 6.5.8 Державна експертиза КСЗІ ............................................................. 21 6.6 Супроводження КСЗІ .............................................................................. 22
3

НД ТЗІ 3.7-003-05
Порядок проведення робіт із створення комплексної системи захисту
інформації в інформаційно-телекомунікаційній системі
Чинний від 2005 -11-08
1 Галузь використання
Цей документ визначає основи організації та порядок виконання робіт із захисту інформації в інформаційно-телекомунікаційних системах (далі - ІТС) - порядок прийняття рішень щодо складу комплексної системи захисту
інформації в залежності від умов функціонування ІТС і видів оброблюваної
інформації, визначення обсягу і змісту робіт, етапності робіт, основних завдань та порядку виконання робіт кожного етапу.
Дія цього НД ТЗІ поширюється тільки на ІТС, в яких здійснюється обробка
інформації автоматизованим способом. Відповідно, для таких ІТС чинні всі нормативно-правові акти та нормативні документи щодо створення АС та щодо захисту інформації в АС. НД ТЗІ не встановлює нових норм, а систематизує в одному документі вимоги, норми і правила, які безпосередньо або непрямим чином витікають з положень діючих нормативних документів.
Цей НД ТЗІ побудовано у вигляді керівництва, яке містить перелік робіт і посилання на діючі нормативні документи, у відповідності до яких ці роботи необхідно виконувати. Якщо якийсь з етапів чи видів робіт не нормовано, наводиться короткий зміст робіт та якими результатами вони повинні закінчуватись.
НД ТЗІ призначений для суб’єктів інформаційних відносин (власників або розпорядників ІТС, користувачів), діяльність яких пов’язана з обробкою
інформації, що підлягає захисту, розробників комплексних систем захисту
інформації в ІТС, для постачальників компонентів ІТС, а також для фізичних та юридичних осіб, які здійснюють оцінку захищеності оброблюваної інформації на відповідність вимогам ТЗІ.
Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка належить до державних інформаційних ресурсів, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством. Якщо в ІТС обробляються інші види інформації, то вимоги цього нормативного документа суб’єкти системи ТЗІ можуть використовувати як рекомендації.
2 Нормативні посилання
У цьому НД ТЗІ наведено посилання на такі нормативні документи:
ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення.
4

ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт.
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.
ДСТУ 2226-93 Автоматизовані системи. Терміни та визначення.
ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та проектної документації для будівництва.
ДБН 2.2-3-2004 Склад, порядок розроблення, погодження та затвердження проектної документації для будівництва.
ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.
ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы.
Техническое задание на создание автоматизированной системы.
РД 50-34.698-90 Методические указания. Информационная технология.
Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.
Комплекс стандартов Единая система программной документации (ЕСПД).
Комплекс стандартов Единая система конструкторской документации
(ЕСКД).
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом
ДСТСЗІ СБ України від 28.04.1999 № 22.
НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу, затверджений наказом
ДСТСЗІ СБ України від 28.04.1999 № 22.
НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі, затверджений наказом ДСТСЗІ СБ України від
04.12.2000 № 53.
НД ТЗІ 1.6-003-2004
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ
України від 28.04.1999 № 22.
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від
28.04.1999 № 22.
НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи.
Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 20.12.2000 № 60.
5

НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі, затверджений наказом ДСТСЗІ СБ України від 28.04.1999 № 22.
НД ТЗІ 2.5-007-2007
НД ТЗІ 2.5-008-2002 Вимоги із захисту службової інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2, затверджений наказом ДСТСЗІ СБ України від 13.12.2002 № 84.
НД ТЗІ 2.5-010-2003 Вимоги до захисту інформації WEB - сторінки від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від
02.04.2003 № 33.
Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ЕОТ-95), затверджені наказом Державної служби України з питань технічного захисту
інформації від 09.06.1995 № 25.
СТР-3
СТР-2
СВТР-78
НД ТЗІ 2.7-007-08.
НД ТЗІ 2.4-007-08.
НД ТЗІ 2.3-014-08.
НД ТЗІ 2.3-015-08.
НД ТЗІ 2.3-016-08.
НД ТЗІ 2.2-005-08.
ОСТ 4.169.011-89.
Нормы АСУ и ЭВТ, ГКК-77.
Сборник методик АСУ и ЭВТ, МРП-77.
МКЗ ЭВТ, МРП-79.
Дополнение к МКЗ ЭВТ, МРП-79.
НД ТЗІ 1.1-005-07 Захист інформації на об'єктах інформаційної діяльності.
Створення комплексу технічного захисту інформації. Основні положення, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 № 232.
НД ТЗІ 2.1-002-07 Захист інформації на об'єктах інформаційної діяльності.
Випробування комплексу технічного захисту інформації. Основні положення, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 № 232.
НД ТЗІ 3.1-001-07 Захист інформації на об'єктах інформаційної діяльності.
Створення комплексу технічного захисту інформації. Передпроектні роботи, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 № 232.
НД ТЗІ 3.3-001-07 Захист інформації на об'єктах інформаційної діяльності.
Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації, затверджений наказом
Адміністрації Держспецзв'язку від 12.12.2007 № 232.
Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ТЗІ-
6

ПЕМВН-95), затверджені наказом Державної служби України з питань технічного захисту інформації від 09.06.1995 № 25.
Положення про державну експертизу в сфері технічного захисту
інформації, затверджене наказом Адміністрації Держспецзв'язку від 16.05.2007
№ 93, зареєстрованим в Міністерстві юстиції України 16.07.2007 за
№ 820/14087.
Положення про дозвільний порядок проведення робіт з технічного захисту
інформації для власних потреб, затверджене наказом ДСТСЗІ СБ України від
23.02.2002 № 9, зареєстрованим в Міністерстві юстиції України 13.03.2002 за № 245/6533.
3 Визначення
У цьому НД ТЗІ подано терміни та визначення згідно із ДСТУ 3396.2,
ДСТУ 2226, НД ТЗІ 1.1-003.
Інші терміни вживаються у такому значенні:
інформаційна система – організаційно-технічна система, що реалізує технологію обробки інформації за допомогою засобів обчислювальної техніки та програмного забезпечення; телекомунікаційна система – організаційно-технічна система, що реалізує технологію інформаційного обміну за допомогою технічних і програмних засобів шляхом передавання та приймання інформації у вигляді сигналів, знаків, звуків, зображень чи іншим чином;
інтегрована система - сукупність двох або кількох взаємопов’язаних
інформаційних та (або) телекомунікаційних систем, в якій функціонування однієї (кількох) з них залежить від результатів функціонування іншої (інших) таким чином, що цю сукупність у процесі взаємодії можна розглядати як єдину систему.
Під інформаційно-телекомунікаційною системою в цьому НД ТЗІ розуміється будь-яка система, яка відповідає одному з трьох наведених вище видів автоматизованих систем.
4 Позначення та скорочення
У цьому НД використано такі позначення та скорочення:
АС - автоматизована система
ГОСТ - регіональний (міждержавний) стандарт
ДСТУ - державний стандарт України
ДТЗ - допоміжні технічні засоби
ЕСКД – єдина система конструкторської документації
ЕСПД - єдина система програмної документації
ІТС - інформаційно-телекомунікаційна система
КЗЗ - комплекс засобів захисту від несанкціонованого доступу
КС - комп’ютерна система
КСЗІ - комплексна система захисту інформації
НД - нормативний документ
НД ТЗІ - нормативний документ системи технічного захисту інформації
НДР - науково-дослідна робота
НСД - несанкціонований доступ
7

ОТЗ - основні технічні засоби
ПЕМВН - побічні електромагнітні випромінювання та наведення
СЗІ - служба захисту інформації
ТЗ - технічне завдання
ТЗІ - технічний захист інформації
5 Загальні положення
5.1 Цей НД ТЗІ встановлює у доповнення до ГОСТ серії 34
“
Информационная технология. Комплекс стандартов на автоматизированные системы” вимоги в частині організації робіт із захисту інформації та порядку створення КСЗІ в ІТС, а також розвиває основні положення ДСТУ 3396.0,
ДСТУ 3396.1, НД ТЗІ 1.1-002, НД ТЗІ 1.1-005 та інших НД із захисту
інформації.
5.2
Порядок створення КСЗІ в ІТС є єдиним незалежно від того, створюється КСЗІ в ІТС, яка проектується, чи в діючій ІТС, якщо виникла необхідність забезпечення захисту інформації або модернізації вже створеної
КСЗІ.
5.3 Процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів, спрямованих на розроблення і впровадження
інформаційної технології, яка забезпечує обробку інформації в ІТС згідно з вимогами, встановленими нормативно-правовими актами та НД у сфері захисту
інформації.
5.4 Порядок створення КСЗІ в ІТС розглядається цим НД як сукупність впорядкованих у часі, взаємопов’язаних, об’єднаних в окремі етапи робіт, виконання яких необхідне й достатньє для КСЗІ, що створюється.
Послідовність виконання та типовий зміст робіт кожного з етапів створення КСЗІ повинні узгоджуватися з відповідними стадіями і етапами робіт зі створення ІТС, визначеними ГОСТ 34.601, і викладені у розділі 6 цього НД.
Примітка:
Під час створення КСЗІ в програмно-керованих АТС загального користування можна керуватися, крім цього НД ТЗІ, положеннями НД ТЗІ 2.7-
001-99.
Етапи робіт, які виконуються під час створення КСЗІ в конкретній ІТС, їх зміст та результати, терміни виконання визначаються ТЗ на створення КСЗІ на підставі цього НД.
Дозволяється виключати окремі етапи робіт або поєднувати декілька етапів, а також включати нові етапи робіт. За необхідністю дозволяється змінювати послідовність виконання окремих етапів - виконувати одночасно декілька етапів робіт, окремі етапи виконувати до завершення попередніх і т.п., якщо це не призводить до зниження якості робіт і не суперечить цілям їх виконання.
Примітка:
Під словами “не призводить до зниження якості робіт і не суперечить цілям їх виконання” розуміється, що зміст етапів передбачає виконання всіх основних робіт, встановлених ДСТУ 3396.1 - визначення й оцінка загроз для
8

інформації, формування вимог, розроблення й реалізація проекту КСЗІ, проведення випробувань КСЗІ та введення її в експлуатацію в складі ІТС.
5.5 Виконання окремих видів робіт під час створення КСЗІ здійснюється у відповідності до вимог міжвідомчих та відомчих НД ТЗІ. Цей НД у розділі 6 містить посилання тільки на НД ТЗІ міжвідомчого рівня.
Якщо у галузі впроваджені в установленому порядку і діють НД ТЗІ відомчого рівня або існують відповідні нормативні документи, чинність яких поширюється на організацію-власника ІТС або саму ІТС, то вони мають вищу силу і в першу чергу необхідно керуватися ними.
Якщо певний вид робіт не нормовано національною нормативною базою з технічного захисту інформації будь-якого з наведених рівнів, то допускається використання рекомендацій міжнародних стандартів в частині, що не суперечить нормативно – правовим актам та нормативним документам України.
5.6 До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:
- витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;
- несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм, використання комп’ютерних вірусів та ін;
- спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.
Для кожної конкретної ІТС склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом автоматизованої системи та умовами експлуатації ІТС.
5.7 У випадках, визначених законодавством, роботи з проектування, розроблення, виготовлення, випробування, експлуатації ІТС мають виконуватись у комплексі із заходами, щодо забезпечення режиму секретності, протидії технічним розвідкам, а також з режимними заходами щодо охорони
інформації з обмеженим доступом, яка не є державною таємницею.
5.8 Створення комплексів технічного захисту інформації від витоку технічними каналами здійснюється, якщо в ІТС обробляється інформація, що становить державну таємницю, або коли необхідність цього визначено власником інформації.
Створення КЗЗ здійснюється в усіх ІТС, де обробляється інформація, яка належить до державних інформаційних ресурсів,, належить до державної чи
іншої таємниці або до окремих видів інформації, необхідність захисту якої визначено законодавством, а також в ІТС, де така необхідність визначена власником інформації.