- •Порядок розроблення та впровадження заходів із захисту інформації при створенні комплексу технічного захисту інформації.
- •Розроблення пояснювальної записки та виконання робіт
- •2. Порядок розроблення та оформлення паспорта на комплекс тзі
- •- Дані про технічні характеристики складових комплексу тзі, у разі необхідності (додаток 3).
- •Форма титульного аркуша паспорта на комплекс технічного захисту інформації
- •Паспорт на комплекс технічного захисту інформації
- •Форма титульного аркуша паспорта на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами
- •Паспорт на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами (складова частина паспорта на комплекс тзі)
2. Порядок розроблення та оформлення паспорта на комплекс тзі
Основним експлуатаційним документом на комплекс ТЗІ є паспорт і як його складові – паспорти на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами.
Паспорти призначено для:
- ознайомлення із відомостями про інформацію, що підлягає захисту від витоку технічними каналами;
- ознайомлення з технічними рішеннями, що реалізовані у комплексі ТЗІ;
- встановлення правил експлуатації (використання за призначенням, технічного обслуговування, перевірок основних характеристик, ремонту, перевірок за умови виявлення порушень правил експлуатації приміщення та технічних засобів, а також у разі порушення пломб на технічних засобах та засобах захисту тощо);
- відображення відомостей про технічне обслуговування комплексу, його основні характеристики (визначені під час приймання комплексу), планові перевірки, атестації, а також про ремонт та утилізацію.
Паспорт підписують:
- посадова особа, призначена для організації експлуатації комплексу ТЗІ;
- представник від підрозділу, якому доручено організацію і супроводження робіт з ТЗІ в установі;
- інші ознайомлені з паспортом, в частині, що їх стосується.
Паспорт затверджує керівник установи. Кожен паспорт повинен мати окремий обліковий номер.
Паспорт на комплекс ТЗІ містить:
1. Титульний аркуш.
2. Загальні вказівки.
3. Загальні відомості.
4. Технічні характеристики комплексу ТЗІ.
5. Гарантійні забов’язання виконавця робіт.
6. Відомості про приймання і атестацію комплексу ТЗІ;
7. Відомості про технічне обслуговування.
8. Відомості про проведені роботи під час експлуатації комплексу ТЗІ.
9. Особливі відмітки.
10. Додатки.
Перелік та зміст паспорта на комплекс ТЗІ допускається уточнювати залежно від складу ОІД, кількості приміщень, де циркулюватиме інформація з обмеженим доступом, призначення приміщень, місць розміщення на ОІД засобів ТЗІ та технічних характеристик комплексу ТЗІ.
Титульний аркуш (додаток 1) містить:
- гриф обмеження доступу;
- гриф затвердження керівником установи-замовниці;
- назву об’єкту інформаційної діяльності;
- назву підрозділів установи, що заявляли створення комплексу ТЗІ.
Загальні вказівки містять наступні відомості:
- фаховий рівень посадової особи, яка організовує експлуатацію комплексу ТЗІ на ОІД;
- порядок заміни обладнання, проведення ремонтних робіт на ОІД, внесення змін до паспорта на комплекс ТЗІ;
- порядок використання радіотелефонів, кінцевих пристроїв рухомого (мобільного, сотового, пейджингового, транкінгового тощо) зв'язку.
В розділі загальні відомості наводять наступну інформацію:
- назву та дислокацію підрозділу, що заявляв створення комплексу ТЗІ;
- відомості про інформацію з обмеженим доступом (додаток 2);
- витяг із затвердженого керівником установи рішення (наказ, розпорядження) щодо створення комплексу ТЗІ на ОІД, у т.ч. інформацію про посаду та прізвище відповідальної особи, що призначена керівником установи для організації, супроводження та координації робіт на всіх етапах створення комплексу ТЗІ;
- дані про акт обстеження на ОІД, модель загроз для інформації, приписи на експлуатацію засобів оброблення інформації, технічні вимоги, завдання щодо створення комплексу ТЗІ, розроблену проектно-кошторисну документацію тощо, дані про їх склад, реквізити, реєстраційні номери, місце зберігання, короткі витяги (у разі необхідності) з них;
- опис конструкцій ОІД, де створено комплекс ТЗІ, а саме: будинків, споруд, салонів транспортних засобів тощо (конструкція та матеріали стін, перекриттів, вікон, дверей, інженерних комунікацій тощо), їх особливості;
- перелік технічних засобів, що обробляють інформацію з обмеженим доступом, а також засобів забезпечення ТЗІ (вказують інвентарні номери і дані про наявність сертифікатів або експертних висновків з ТЗІ);
- відомості про виконані спеціальні дослідження технічних засобів (назви документів, їх склад, реквізити, реєстраційні номери, місце зберігання, короткі витяги з них);
- місця виходу за межі контрольованої зони (КЗ) елементів технологічного обладнання, систем зв’язку, радіофікації, телебачення, сигналізації, автоматизації, керування, заземлення, електро-, газо-, водопостачання, опалення, вентиляції, кондиціонування повітря, водостоку, каналізації, огороджувальних будівельних конструкцій тощо.
Розділ технічні характеристики комплексу ТЗІ виконується у вигляді таблиці (додаток 3) в якій наводять перелік технічних засобів як складових комплексу ТЗІ, що можуть впливати на ефективність захищеності інформації і бути середовищем поширення носіїв інформації, та їх технічні характеристики.
Розділ гарантійні забов’язання виконавця робіт складають у разі наявності відповідних зобов’язань розробника технічних засобів або виконавця впровадження заходів із захисту інформації щодо гарантійних термінів.
В цьому розділі наводять пропозиції щодо терміну проведення чергової атестації.
У розділі відомості про приймання і атестацію комплексу ТЗІ наводять відомості про:
- види інформації, стосовно яких проводили приймання і атестацію комплексу ТЗІ;
- термін проведення приймання і атестації комплексу ТЗІ та їх виконавців;
- дані про акти приймання і атестації комплексу ТЗІ, про їх склад, реквізити, реєстраційні номери, місце зберігання, короткі витяги (у разі необхідності) з них;
- термін проведення чергової атестації.
Висновки про результати випробувань наводять у вигляді таблиці (додаток 4).
Розділ облік технічного обслуговування складають у разі, якщо такі види робіт передбачені, у вигляді таблиці (додаток 5) в якій наводять:
- відомості про технічне обслуговування комплексу ТЗІ, його види;
- дату проведення технічного обслуговування;
- відомості про виконавців технічного обслуговування.
Розділ відомості про проведені роботи під час експлуатації комплексу ТЗІ містіть облік незапланованих робіт таких як:
усунення відмов під час експлуатації;
перевірку відсутності закладних пристроїв тощо. Записи про ці роботи наводять у вигляді таблиць;
періодичні та інші перевірки стану комплексу ТЗІ;
перевірки правильності ведення паспорта;
дані щодо повірки засобів вимірювань (вводиться у разі наявності засобів вимірювань у складі комплексу ТЗІ);
дані про інспекційні перевірки.
Відомості щодо проведення незапланованих робіт складають у вигляді таблиць (додаток 6).
Розділ особливі відмітки призначен для записів, що можуть бути здійснені під час експлуатації комплексу ТЗІ і містить декілька чистих аркушів.
У додатках до паспорту на комплекс ТЗІ за необхідності додають:
- паспорт на кожне приміщення, де циркулює інформація з обмеженим доступом ;
- інструкції щодо порядку залучення та взаємодії підрозділів установи щодо створення комплексу ТЗІ на ОІД тощо.
3. Оформлення паспорту на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами
Паспорт на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами є складовою частиною технічного паспорта на комплекс ТЗІ.
У разі необхідності такий паспорт виконується як додаток до паспорту на комплекс ТЗІ на ОІД.
Паспорт підписує посадова особа, призначена для організації експлуатації комплексу ТЗІ та керівник підрозділу установи, що заявляв створення комплексу ТЗІ. Затверджується керівник установи-замовниці.
Перелік та зміст розділів паспорта на приміщення допускається уточнювати залежно від того, які дані будуть наведені в технічному паспорті на комплекс ТЗІ.
В загальному вигляді паспорт на приміщення містіть:
1. Титульний аркуш.
2. Загальні вказівки.
3. Технічні характеристики приміщення.
4. Відомості про проведені роботи з ТЗІ під час експлуатації приміщення.
Титульний аркуш (додаток 7) містить:
- гриф обмеження доступу;
- гриф затвердження керівником установи-замовниці;
- назву і призначення приміщення;
- назву підрозділів установи, що заявляли створення комплексу ТЗІ.
Розділ загальні вказівки містить вказівки щодо експлуатації комплексу ТЗІ в конкретному приміщенні, та заповнення і ведення паспорта.
У розділі технічні характеристики приміщення наводять:
- назву приміщення і структурного підрозділу в установі, до якого воно відноситься, відомості про його дислокацію;
- план приміщення, план розміщення пристроїв зв’язку, кабельних і телекомунікаційних мереж, інженерних комунікацій та координати точок із властивостями нелінійності, план-схеми або опис затвердженої КЗ, зон безпеки інформації стосовно кожного технічного каналу її витоку;
- загальний опис приміщення, інженерних комунікацій та інші відомості, характеристику приміщення: його розташування в будинку, споруді (поверх, архітектурні осі, ряди), суміжні приміщення (у т.ч. поверхом вище і нижче), особливості розташування вікон, дверей, інших будівельних отворів;
- витяг (або посилання на модель загроз) із затвердженої моделі загроз для інформації, у т.ч. що стосується даних про можливі місця розміщення засобів технічної розвідки (стаціонарних або автономних автоматичних), що можуть використовуватися для тривалого перехоплення оброблюваної інформації з обмеженим доступом, а також найменших відстаней від технічних засобів, що оброблятимуть інформацію, до межі КЗ тощо;