Комплексні системи захисту інформації. Проектування, впровадження, супровід

За функцiональними обов’язками особовий склад СЗІ складаеться з таких спецiалiстiв (за рiвнем iерархii):

– системний адмiнiстратор ІТС;

– мережевий адмiнiстратор ІТС;

– адмiнiстратор безпеки iнформацii в ІТС;

– адмiнiстратор КСЗІ в ІТС.

Пiсля призначення СЗІ ii керiвник складае «Положення про СЗІ в ІТС», що мае бути оформлене у виглядi окремого документа згiдно рекомендацiй НД ТЗІ 1.4-001-2000 та затверджене керiвником органiзацii-власника (розпорядника) ІТС.

Положення повинно складатись з таких роздiлiв:

– загальнi положення;

– завдання СЗІ;

– функцii СЗІ;

– повноваження та вiдповiдальнiсть СЗІ;

– взаемодiя СЗІ з iншими пiдроздiлами органiзацii та зовнiшнiми пiдприемствами, установами, органiзацiями;

– штатний розклад та структура СЗІ;

– органiзацiя та фiнансування робiт СЗІ.

В залежностi вiд конкретних завдань i умов функцiонування СЗІ дозволяеться, у разi необхiдностi, поеднувати окремi роздiли в один, вводити новi роздiли або вилучати роздiли, що не е актуальними.

До Положення у виглядi додаткiв можуть включатися нормативнi документи, таблицi, схеми, графiки, необхiднi для визначення заходiв захисту iнформацii, плани об’ектiв захисту з вказанням робочих мiсць та встановлених на них технiчних засобiв передачi, прийому, зберiгання, обробки iнформацii, що пiдлягае захисту, та iншi документи.

Положення мае бути погоджене з юрисконсультом та керiвниками пiдроздiлiв (служби безпеки, РСО, пiдроздiлу ТЗІ) органiзацii.

Змiни суттевого характеру вносяться до Положення на пiдставi наказу керiвника органiзацii (пiдроздiлу, до якого структурно входить СЗІ).

Категорiювання ІТС

Об’екти, на яких здiйснюватиметься обробка технiчними засобами та/або озвучуватиметься ІзОД, пiдлягають обов’язковому категорiюванню. Об’екти, на яких здiйснюватиметься обробка технiчними засобами та/або озвучуватиметься тiльки вiдкрита iнформацiя, категорiюванню не пiдлягають.

Об’ектами категорiювання е об’екти iнформацiйноi дiяльностi (далi – ОІД), в тому числi об’екти електронно-обчислювальноi технiки (далi – ЕОТ) ІТС. ОІД – це iнженерно-технiчна споруда (примiщення), транспортний засiб, де здiйснюеться озвучення та/або обробка технiчними засобами ІзОД.

Категорiювання ІТС здiйснюеться комiсiею органiзацii-власника (розпорядника) ІТС для визначення необхiдного рiвня захисту iнформацii, що обробляеться на об’ектах ЕОТ ІТС. Категорiювання здiйснюеться за ознакою ступеня обмеження доступу до iнформацii, що обробляеться технiчними засобами та/або озвучуеться на ОІД.

Згiдно ТПКО-95 «Тимчасове положення про категорiювання об'ектiв» установлюються 4 категорii об'ектiв, на яких обробляеться технiчними засобами та/або озвучуеться ІзОД, що:

– становить державну таемницю, для якоi встановлено гриф секретностi «особливоi важливостi» – перша (І);

– становить державну таемницю, для якоi встановлено гриф секретностi «цiлком таемно» – друга (ІІ);

– становить державну таемницю, для якоi встановлено гриф секретностi «таемно», а також iнформацiя, що мiстить вiдомостi, якi становлять iншу передбачену законом таемницю – третя (ІІІ);

– не становить державноi таемницi – четверта (ІV).

Категорiювання ОІД четвертоi категорii здiйснюеться згiдно вимог НД ТЗІ 1.6-005-2013 «Положення про категорiювання об’ектiв, де циркулюе iнформацiя з обмеженим доступом, що не становить державноi таемницi».

Категорiювання може бути первинним, черговим або позачерговим. Первинне категорiювання здiйснюеться у разi створення ІТС, де буде оброблятися ІзОД. Чергове – не рiдше нiж один раз на 5 рокiв. Позачергове – у разi змiни ознаки, за якою була встановлена категорiя ІТС.

Комiсiя з категорiювання визначае ступень обмеження доступу до iнформацii, яка оброблятиметься в ІТС, та з урахуванням цього ступеня встановлюе категорiю ІТС. Встановлена категорiя зазначаеться в Актi категорiювання ІТС, який складаеться комiсiею за результатами ii роботи. Акт категорiювання е чинним протягом 5 рокiв з моменту проведення категорiювання, якщо не змiнилась ознака, за якою була встановлена категорiя об’екта.

В актi зазначаеться:

1. Пiдстава для категорiювання (рiшення про створення КСЗІ, закiнчення термiну дii акта категорiювання, змiна ознаки, за якою була встановлена категорiя, та реквiзити наказу про призначення комiсii з категорiювання.

2. Вид категорiювання: первинне, чергове, позачергове (у разi чергового або позачергового категорiювання вказуеться категорiя, що була встановлена до цього категорiювання, та реквiзити акту, яким було встановлено цю категорiю).

3. В ІТС здiйснюеться обробка ІзОД.

4. Ступiнь обмеження доступу до ІзОД, що обробляеться в ІТС (передбачена законом таемниця; службова iнформацiя; конфiденцiйна iнформацiя, яка перебувае у володiннi розпорядникiв iнформацii, iнша конфiденцiйна iнформацiя, вимога щодо захисту якоi встановлена законом).

5. Встановлена комiсiею категорiя.

ІТС, яким комiсiя встановила вiдповiдну категорiю, вносяться до «Перелiку категорiйованих об’ектiв», який ведеться власником (розпорядником, користувачем) ОІД.

Обстеження середовищ функцiонування ІТС

Метою обстеження е пiдготовка засадничих даних для формування вимог до КСЗІ у виглядi опису кожного середовища функцiонування ІТС та виявлення в ньому елементiв, якi безпосередньо чи опосередковано можуть впливати на безпеку iнформацii, виявлення взаемного впливу елементiв рiзних середовищ, документування результатiв обстеження для використання на наступних етапах робiт.

Пiд час проведення обстеження ІТС необхiдно вивчити такi середовища:

– обчислювальне;

– iнформацiйне;

– користувацьке;

– фiзичне (у разi обробки iнформацii, що становить державну таемницю).

При обстеженнi обчислювального середовища ІТС повиннi бути проаналiзованi й описанi:

– обладнання – ЕОМ та iхнi складовi частини (процесори, монiтори, термiнали, робочi станцii та iн.), периферiйнi пристроi;

– програмне забезпечення – вихiднi, завантажувальнi модулi, утилiти, СКБД, операцiйнi системи та iншi системнi програми, дiагностичнi i тестовi програми тощо;

– види i характеристики каналiв зв'язку;

– особливостi взаемодii окремих компонентiв, iх взаемний вплив один на одного, можливi обмеження щодо використання засобiв тощо.

Мають бути виявленi компоненти обчислювальноi системи, якi мiстять i якi не мiстять засобiв i механiзмiв захисту iнформацii, потенцiйнi можливостi цих засобiв i механiзмiв, iхнi властивостi i характеристики, в тому числi тi, що встановлюються за умовчанням тощо.