Порядок розроблення та впровадження заходів із захисту інформації при створенні комплексу технічного захисту інформації.

НД ТЗІ 3.3-001-07 «Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації» визначає порядок проведення робіт під час створення комплексу ТЗІ на об’єкті інформаційної діяльності (ОІД) на етапі розроблення (проектування) та впровадження заходів із захисту від витоку інформації з обмеженим доступом технічними каналами.

Документ встановлює вимоги до розроблення:

• пояснювальної записки з ТЗІ,

• паспорта на комплекс ТЗІ;

• паспортів (як складових паспорта на комплекс ТЗІ) на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами.

1. Розроблення пояснювальної записки та виконання робіт

Виконавець робіт з ТЗІ відповідно до вимог затвердженого технічного завдання на створення комплексу ТЗІ організовує розроблення пояснювальної записки з ТЗІ.

При розробленні пояснювальної записки виконавець повинен враховувати:

- пропозиції від заявників щодо організації проведення робіт з ТЗІ;

- відомості про ОІД (Протокол про визначення вищого ступеня обмеження доступу до інформації, акт обстеження на об'єкті інформаційної діяльності);

- результати проведення категорування об'єктів;

- відомості про вже створені (діючі) комплекси ТЗІ;

- перспективу подальших робіт з ТЗІ;

- технічні і економічні можливості установи із впровадження.

На підставі раніш розроблених документів виконавець в пояснювальній записці викладає наступні відомості:

• перелік робіт щодо створення комплексу ТЗІ;

• зміст робіт;

• терміни виконання робіт;

• порядок приймання робіт з ТЗІ;

• порядок проведення атестації комплексу,

• склад документів, що розробляються під час створення комплексу ТЗІ.

На виконавця робіт з ТЗІ на цьому етапі також покладаються наступні обов’язки.

1. Розроблення (у разі необхідності) згідно з вимогами ДБН А.2.2-2, ДБН А.2.2-3 проектно-кошторисної документації щодо будівництва ОІД. При цьому заходи з ТЗІ відображаються за відповідними напрямами: в будівельних кресленнях, планах території, споруд, приміщень, схемах електроживлення, зв’язку, вентиляції тощо.

Розроблену проектно-кошторисну документацію в частині ТЗІ затверджує замовник встановленим порядком (згідно з ДБН А 2.2-3).

2. Здійснення (у разі необхідності) відповідних будівельних, монтажно-налагоджувальних робіт та поопераційного технічного контролю щодо повноти їх виконання.

3. Розроблення проектів паспортів на комплекс ТЗІ.

4. Придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого обладнання. Засоби повинні мати сертифікат відповідності або заключення державної експертизи з питань ТЗІ.

5. Впровадження на ОІД заходів з ТЗІ, відповідне коригування проектно-кошторисної, робочої, експлуатаційної та іншої технічної документації.

Інженерно-технічні заходи, як складові комплексу ТЗІ на ОІД, повинні відповідати вимогам НД з питань ТЗІ та можуть включати:

- архітектурно-будівельні заходи;

- заходи із пасивного захисту інформації (оптичне, акустичне, електромагнітне екранування, засоби захисту інформації в телефонних, інших проводових лініях, засоби у захищеному виконанні тощо);

- заходи із активного захисту інформації (генератори віброакустичного, просторового акустичного та електромагнітного зашумлення, лінійного електромагнітного зашумлення тощо).

Під час створення комплексу ТЗІ на ОІД перевага має надаватися заходам пасивного захисту інформації, у т.ч. архітектурно-будівельним заходам.

Витрати на проектування, будівельно-монтажні роботи і випробування щодо ТЗІ включають до загальної суми витрат на проектування і будівництво.