- •С.М. Нужний, к.О. Касимова, г.А. Нев’янцева
- •Методичні вказівки до виконання практичних робіт з курсу "організація та керування роботами, пов’язаними з тзі"
- •Під редакцією проф. В.С. Блінцова
- •Миколаїв 2008
- •Перелік умовних скорочень
- •Завдання до практичних робіт Практична робота № 1. Організація проведення обстеження на оід
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 2. Проведення робіт з категорування на оід
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 3. Розробка моделі загроз для ІзОд на оід
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 4. Розробка технічного завдання на створення ксзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 5. Розробка фінансової та конструкторської документації на комплекс тзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 6. Розробка програм та методик випробувань
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 7. Впровадження на оід заходів з тзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 8. Атестація комплексу тзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 9. Оформлення паспортів
- •Короткі теоретичні відомості
- •Додатки Додаток а
- •Додаток б розпорядження голови обласної державної адміністрації
- •Додаток в
- •Додаток г Приклад плану підготовчих технічних заходів
- •Додаток д Перелік відомостей про об’єкти інформаційної діяльності та комплекси технічного захисту інформації
- •Додаток е Зміст акта атестації
- •Акт атестації
- •Додаток і Зміст акта атестації комплексу технічного захисту інформації на особливо важливому об'єкті інформаційної діяльності
- •Акт атестації
- •Період проведення атестації.
- •Додаток к форма титульного аркуша паспорта на комплекс технічного захисту інформації
- •Паспорт на комплекс технічного захисту інформації
- •Додаток л Форма титульного аркуша паспорта на приміщення, де ІзОд озвучується та/або обробляється технічними засобами
- •Паспорт на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами
- •Нужний с.М., Касимова к.О., Нев’янцева г.А.
- •"Організація та керування роботами, пов’язаними з тзі"
- •Методичні вказівки до виконання практичних робіт
- •Під редакцією проф. В.С. Блінцова
- •54002, М. Миколаїв, вул. Скороходова, 5
План практичної роботи
Ознайомитись з "НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі" і ГОСТ 19.301-79 „Програма і методика випробувань. Вимоги до змісту і оформлення”
Здобути навички розробці програми та методики випробувань
Здобути навички по оформленню програми та методики випробувань
Контрольні питання
1. Ким затверджуються програми і методики випробувань?
2. Які розділи можуть містити програми і методики випробувань?
3. Які пункти входять до розділу “Загальні положення”?
4. Назвіть пункти, які входять до розділу “Методики випробувань”
5. Які пункти мають наводитись у розділі розділу “Аналіз і оцінка результатів випробувань”?
7. Назвіть умови та порядок проведення випробувань
8. Що має входити до розділу “Матеріально-технічне і метрологічне забезпечення”?
9. Оформленням яких документів завершуються випробування?
10. Які терміни подання проекту "Програми і методика випробувань комплексної системи (підсистеми, компонента) захисту інформації"?
Практична робота № 7. Впровадження на оід заходів з тзі
Мета роботи: ознайомитись з ДСТУ 3396.1-96; набути практичні навички з розробки плану впровадження на ОІД заходів з ТЗІ
Короткі теоретичні відомості
ІзОД в процесі інформаційної діяльності, основними видами якої є одержання, використання, поширення та зберігання ІзОД, може зазнавати впливу загроз її безпеці (далі – загроза), у результаті чого може відбутися її витік або порушення цілісності інформації.
Схильність ІзОД до впливу загроз визначає її вразливість. Здатність системи захисту інформації протистояти впливу загроз визначає захищеність ІзОД.
Можливі такі варіанти захисту інформації:
– досягнення необхідного рівня захисту ІзОД за мінімальних затрат і допустимого рівня обмежень видів ІД;
– досягнення необхідного рівня захисту ІзОД за допустимих затрат і заданого рівня обмежень видів ІД;
– досягнення максимального рівня захисту ІзОД за необхідних затрат і мінімального рівня обмежень видів ІД.
Захист інформації, яка не є державною таємницею, забезпечується, як правило, застосуванням першого чи другого варіанту.
Захист інформації, яка становить державну таємницю, забезпечується, як правило, застосуванням третього варіанту.
Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в ДСТУ 3396.0-96 етапам функціонування системи захисту інформації і полягає в:
– проведенні обстеження підприємства, установи, організації (далі – підприємство);
– розробленні і реалізації організаційних, первинних технічних, основних;
– технічних заходів з використанням засобів забезпечення ТЗІ;
– прийманні робіт з ТЗІ;
– атестації засобів (систем) забезпечення ІД на відповідність вимогам нормативних документів з ТЗІ.
Порядок проведення робіт з ТЗІ або окремих їхніх етапів установлюється наказом (розпорядженням) керівника підприємства.
Роботи повинні виконуватися силами підприємства під керівництвом спеціалістів з ТЗІ.
Для участі в роботах, подання методичної допомоги, оцінювання повноти та якості реалізації заходів захисту можуть залучатися спеціалісти з ТЗІ інших організацій, які мають ліцензію органа, уповноваженого КМ України.
Метою обстеження підприємства є вивчення його ІД, визначення об`єктів захисту – ІзОД, виявлення загроз, їхній аналіз та побудова окремої моделі загроз. Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і затверджується наказом керівника підприємства.
У ході обстеження необхідно:
– провести аналіз умов функціонування підприємства, його розташування на місцевості (ситуаційного плану) для визначення можливих джерел загроз;
– дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території;
– вивчити схеми засобів і систем життєзабезпечення підприємства (електроживлення, заземлення, автоматизації, пожежної та охоронної сигналізації), а також інженерних комунікацій та металоконструкцій;
– дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, розповсюдження і зберігання (далі – оброблення) інформації і провести необхідні вимірювання;
– визначити наявність та технічний стан засобів забезпечення ТЗІ;
– перевірити наявність на підприємстві нормативних документів, які забезпечують функціонування системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД;
– виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;
– визначити технічні засоби і системи, застосування яких не обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;
– визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ.
За результатами обстеження слід скласти акт, який повинен бути затверджений керівником підприємства.
На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту інформації і скласти технічне завдання (ТЗ) на розроблення системи захисту інформації.
ТЗ повинно включати основні розділи:
– вимоги до системи захисту інформації;
– вимоги до складу проектної та експлуатаційної документації;
– етапи виконання робіт;
– порядок внесення змін і доповнень до розділів ТЗ;
– вимоги до порядку проведення випробування системи захисту підприємства.
Реалізація організаційних заходів захисту
Організаційні заходи захисту інформації – комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення ІД та засобів (систем) забезпечення ТЗІ.
У процесі розроблення і реалізації організаційних заходів потрібно:
– визначити окремі задачі захисту ІзОД;
– обґрунтувати структуру і технологію функціонування системи захисту інформації;
– розробити і впровадити правила реалізації заходів ТЗІ;
– визначити і встановити права та обов`язки підрозділів та осіб, що беруть участь в обробленні ІзОД;
– придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними підприємство;
– установити порядок упровадження захищених засобів оброблення інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ;
– установити порядок контролю функціонування системи захисту інформації та її якісних характеристик;
– визначити зони безпеки інформації;
– установити порядок проведення атестації системи захисту інформації, її елементів і розробити програми атестаційного випробування;
– забезпечити керування системою захисту інформації.
У процесі реалізації первинних технічних заходів потрібно забезпечити:
– блокування каналів витоку інформації;
– блокування несанкціонованого доступу до інформації чи її носіїв;
– перевірку справності та працездатності технічних засобів забезпечення ІД.
Перевірку справності та працездатності технічних засобів і систем забезпечення ІД необхідно проводити відповідно до експлуатаційних документів.
Виявлені несправні блоки й елементи можуть сприяти витоку або порушенню цілісності інформації і підлягають негайній заміні (демонтуванню).
Для визначення повноти та якості робіт з ТЗІ слід провести атестацію. Атестація виконується організаціями, які мають ліцензії на право діяльності в галузі ТЗІ.