- •С.М. Нужний, к.О. Касимова, г.А. Нев’янцева
- •Методичні вказівки до виконання практичних робіт з курсу "організація та керування роботами, пов’язаними з тзі"
- •Під редакцією проф. В.С. Блінцова
- •Миколаїв 2008
- •Перелік умовних скорочень
- •Завдання до практичних робіт Практична робота № 1. Організація проведення обстеження на оід
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 2. Проведення робіт з категорування на оід
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 3. Розробка моделі загроз для ІзОд на оід
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 4. Розробка технічного завдання на створення ксзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 5. Розробка фінансової та конструкторської документації на комплекс тзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 6. Розробка програм та методик випробувань
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 7. Впровадження на оід заходів з тзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 8. Атестація комплексу тзі
- •Короткі теоретичні відомості
- •План практичної роботи
- •Контрольні питання
- •Практична робота № 9. Оформлення паспортів
- •Короткі теоретичні відомості
- •Додатки Додаток а
- •Додаток б розпорядження голови обласної державної адміністрації
- •Додаток в
- •Додаток г Приклад плану підготовчих технічних заходів
- •Додаток д Перелік відомостей про об’єкти інформаційної діяльності та комплекси технічного захисту інформації
- •Додаток е Зміст акта атестації
- •Акт атестації
- •Додаток і Зміст акта атестації комплексу технічного захисту інформації на особливо важливому об'єкті інформаційної діяльності
- •Акт атестації
- •Період проведення атестації.
- •Додаток к форма титульного аркуша паспорта на комплекс технічного захисту інформації
- •Паспорт на комплекс технічного захисту інформації
- •Додаток л Форма титульного аркуша паспорта на приміщення, де ІзОд озвучується та/або обробляється технічними засобами
- •Паспорт на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами
- •Нужний с.М., Касимова к.О., Нев’янцева г.А.
- •"Організація та керування роботами, пов’язаними з тзі"
- •Методичні вказівки до виконання практичних робіт
- •Під редакцією проф. В.С. Блінцова
- •54002, М. Миколаїв, вул. Скороходова, 5
План практичної роботи
1. Ознайомитись зі змістом документу ДСТУ 3396.1-96;
2. Ознайомитись з теоретичним матеріалом роботи.
3. Для заданого викладачем об‘єкту розробити план впровадження заходів з ТЗІ. Приклад оформлення плану дивитись в Додатку 4.
Контрольні питання
1. З якою метою потрібно захищати ОІД?
2. Які основні варіанти захисту інформації з обмеженим доступом?
3. Яким методом забезпечується інформація, що становить державну
Таємницю?
4. Яка послідовність здійснення робіт з протидії загрозам або їх
нейтралізації?
5. Хто може брати участь в роботах з протидії загрозам?
6. Що має на меті проведення обстеження ОІД?хто його проводить?
7. Які дії виконуються під час обстеження?
8. Які основні розділи включає в себе ТЗ?
9. Дайте визначення поняття „організаційні заходи захисту”. Які дії виконуються під час розроблення і реалізації організаційних засобів захисту?
10. Які організації виконують атестацію якості та повноти робіт з ТЗІ?
Практична робота № 8. Атестація комплексу тзі
Мета роботи: здобуття навичок проведення атестації комплексу ТЗІ; здобуття навичок оформлення документації, яка стосується атестації комплексу ТЗІ; ознайомлення з НД ТЗІ 2.1-001-2001 „Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення”
Короткі теоретичні відомості
Атестація комплексу ТЗІ – оцінювання ефективності комплексу технічного захисту інформації, що циркулюватиме на ОІД, на відповідність вимогам нормативних документів.
Атестація комплексу ТЗІ (далі – атестація) здійснюється за відповідними програмою і методиками випробувань.
На підставі результатів випробувань складається висновок щодо відповідності стану ТЗІ, який забезпечується комплексом, вимогам нормативних документів з ТЗІ.
Атестація може бути: первинною, черговою та позачерговою.
Первинна атестація здійснюється після (або під час) приймання робіт із створення комплексу ТЗІ.
Термін проведення чергової атестації визначається технічним паспортом на комплекс ТЗІ або актом попередньої атестації.
Позачергову атестацію проводять у разі змін умов функціонування ОІД, що приводять до змін загроз для інформації, та за висновками органів, які контролюють стан ТЗІ.
Етапи атестації:
1. Визначення організації-виконавця атестації та оформлення відповідних організаційних документів;
2. Аналіз умов функціонування ОІД, технічної документації на комплекс ТЗІ та розроблення і оформлення Програми і методик атестації (ПМА);
3. Проведення випробувань відповідно до ПМА та оформлення протоколів випробувань і підсумкового документа – акта атестації.
Суб'єкти атестації:
1. ДССЗЗІ України.
2. Організації-замовники атестації.
3. Організації-виконавці атестації.
ДССЗЗІ:
1) організує розроблення та удосконалення нормативних документів з атестації;
2) контролює виконання вимог щодо атестації та розглядає апеляції;
3) узгоджує вибір організації-виконавця атестації, ПМА та результати атестації на особливо важливих ОІД.
Витрати на проведення атестації включаються до кошторису на проектування, будівництво та експлуатацію (утримання) ОІД.
Порядок організації та проведення атестації
1. Організація-замовник на засадах, передбачених законодавством щодо закупівель послуг за рахунок державних коштів, визначає організацію-виконавця атестації.
2. Організацією-виконавцем атестації може бути підприємство, установа чи організація, які мають відповідну ліцензію або дозвіл на провадження діяльності в галузі ТЗІ, одержані у встановленому законодавством порядку.
Відносини між організацією-замовником та організацією-виконавцем, яка є ліцензіатом, регламентуються укладеним між ними договором. У разі проведення атестації на особливо важливих ОІД визначення організації-виконавця атестації узгоджується з ДССЗЗІ.
Організація-виконавець за результатами аналізу відомостей, наданих організацією-замовником, та, за необхідності, за результатами аналізу умов функціонування ОІД і загроз для інформації безпосередньо на ОІД, розробляє проект ПМА та подає його на узгодження організації-замовнику.
Узгоджений організацією-замовником проект ПМА затверджує організація-виконавець. У разі атестації комплексу ТЗІ на особливо важливих ОІД проект ПМА узгоджується також з ДССЗЗІ.
Організація-замовник створює умови проведення атестації, передбачені договором та ПМА. Організація-виконавець проводить випробування відповідно до ПМА та оформляє акт атестації у 2-х примірниках (1-й надається організації-замовнику, 2-й – зберігається у організації-виконавця). До акту атестації додаються протоколи випробувань, передбачених ПМА. За результатами атестації заповнюється технічний паспорт на комплекс ТЗІ.
У разі проведення атестації на особливо важливих ОІД матеріали з атестації у 5-денний термін організація-виконавець надає Департаменту. Департамент у 2-тижневий термін розглядає результати атестації, приймає рішення щодо можливості їх узгодження, реєструє акт атестації та надсилає його організації-замовнику, одночасно інформуючи про це організацію-виконавця.
У разі незгоди з результатами атестації організація-замовник має право направити до Департаменту апеляцію. Департамент у місячний термін за апеляцією приймає відповідні рішення. Повторна атестація проводиться за рахунок винного.