125 Кібербезпека / 4 Курс / 3.2_4.1_4.2_Комплексні системи захисту інформації (проектування, впровадження, супровід) / Курсова / kszi-kp-example-1

1.6. Відомості про джерела та порядок фінансування робіт Фінансування робіт із створення КСЗІ АСВТЗІ здійснюється

Видавництвом «Книгоман».

1.7. Порядок оформлення та пред’явлення Замовнику результатів робіт Технічне завдання оформлено згідно з вимогами НД ТЗІ 3.7-001-99

Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.

Порядок оформлення та пред’явлення Замовнику результатів виконання робіт зі створення КСЗІ АСВТЗІ визначається вимогами:

НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу;

НД ТЗІ 3.6-001-2000 Порядок створення, впровадження,

супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу.

НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі.

НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.

РД 50-34.698-90. Автоматизированные системы. Требования к созданию документов.

Результатом роботи має бути КСЗІ АСВТЗІ, яка забезпечуватиме можливість обробки в АСВТЗІ ІзОД. Замовник отримує дистрибутиви програмних засобів, а також комплект документації відповідно до п. 5 цього ТЗ.

2. Мета створення і призначення КСЗІ

2.1. Мета створення КСЗІ АСВТЗІ Комплексна система захисту інформації АСВТЗІ створюється для

забезпечення захисту від несанкціонованого доступу до інформації, а саме

для:

виявлення загроз безпеці інформації, що передається, обробляється та зберігається в АСВТЗІ;

унеможливлення реалізації загроз для інформації, порушення її конфіденційності, цілісності та доступності в АСВТЗІ;

забезпечення контролю за діями користувачів АСВТЗІ.

КСЗІ АСВТЗІ повинна передбачати:

організаційно-правові заходи регламентування діяльності користувачів АСВТЗІ;

організаційно-адміністративні заходи обмеження фізичного доступу до технічних засобів обробки інформації;

організаційно-технічні заходи і програмно-апаратні засоби захисту від несанкціонованого доступу;

захист інформації, що обробляється в АСВТЗІ від витоку технічними каналами;

захист інформації, яка обробляється в АСВТЗІ від впливу комп’ютерних вірусів та мережевих атак.

2.2. Функціональне призначення і особливості застосування КСЗІ АСВТЗІ

КСЗІ АСВТЗІ призначена для:

забезпечення визначеної для АСВТЗІ політики безпеки інформації;

розмежування доступу користувачів АСВТЗІ до інформації, що підлягає захисту та інших ресурсів АС;

блокування несанкціонованих дій з ІзОД;

реєстрації спроб реалізації загроз інформації та сповіщення адміністраторів безпеки про факти несанкціонованих дій з ІзОД;

забезпечення спостережності інформації шляхом контролю за діями користувачів АСВТЗІ та реєстрації подій, які мають відношення до безпеки інформації;

підтримання цілісності критичних ресурсів АСВТЗІ;

організації обліку, зберігання та обігу матеріальних носіїв інформації, які використовуються в АСВТЗІ;

забезпечення управління засобами захисту КСЗІ та контролю за її функціонуванням.

захисту ІзОД від її витоку технічними каналами.

Під час проектування КСЗІ АСВТЗІ необхідно забезпечити: заданий рівень захисту ІзОД, яка циркулюватиме в АСВТЗІ; економічну доцільність прийнятих рішень;

забезпечення дотримання вимог режиму секретності під час проведення робіт зі створення КСЗІ АСВТЗІ.

2.3. Нормативні посилання КСЗІ розробляється відповідно до вимог, які зазначено в таких

законодавчих та нормативних документах із питань охорони державної таємниці та технічного захисту інформації:

Закон України “Про інформацію” від 2 жовтня 1992 року №2658-ХІІ; Закон України “Про захист інформації в інформаційно-

телекомунікаційних системах” від 5 липня 1994 року № 80/94-ВР; Закон України “Про державну таємницю” від 21 січня 1994 року

№3856-ХІІ; Положення про технічний захист інформації в Україні, затвердженого

указом Президента України від 27 вересня 1999 року № 1229;

Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року N 373;

ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення;

ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт;

ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації.

Терміни та визначення; Порядку захисту державних інформаційних ресурсів в інформаційно-

телекомунікаційних системах, затвердженого наказом ДСТСЗІ СБ України від 24 грудня 2001 року № 76.

НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.1-004-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованих системах;

НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу;

НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу;

НД ТЗІ 3.6-001-2000 Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу;

НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі;

НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі;

Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16 травня 2007 року № 93;

Положення про забезпечення режиму секретності під час обробки

інформації, що становить державну таємницю, в автоматизованих системах, затверджене постановою Кабінету Міністрів України від 16 лютого 1997 року № 180;

НД ТЗІ 2.1-002-2007. Захист інформації на об’єктах інформаційної діяльності. Випробовування комплексу технічного захисту інформації. Основні положення;

НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації.. Основні положення;

НД ТЗІ 3.1-001-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи;

НД ТЗІ 3.3-001-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації;

ТР ЕОТ-95 Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок.

3. Загальна характеристика АСВТЗІ та умов її функціонування

3.1 Характеристика АСВТЗІ АСВТЗІ розроблено на базі автономного комп’ютера,

укомплектованого принтером. АСВТЗІ не має підключень до будь яких компонентів інших автоматизованих систем або додаткового обладнання, які знаходяться в приміщенні та за його межами.

Відповідно НД ТЗІ 2.5-005-99 за сукупністю характеристик (конфігурація апаратних засобів операційної системи і їх фізичне розміщення, кількість різноманітних категорій оброблюваної інформації, кількість користувачів і категорій користувачів) АСВТЗІ відносяться до автоматизованої системи класу „1” – одномашинні однокористувачеві комплекси, які обробляють інформацію однієї або кількох категорій

конфіденційності.

3.1.1 Структура АСВТЗІ АСВТЗІ призначено для автоматизації процесів обробки інформації з

обмеженим доступом. Основним режимом роботи АСВТЗІ є робота в службовий час.

3.1.2. Обладнання АСВТЗІ До складу АСВТЗІ входить наступне обладнання: системний блок; монітор; графічний маніпулятор; клавіатура; принтер.

3.1.3. Програмне забезпечення АСВТЗІ До складу АСВТЗІ входить наступне програмне забезпечення:

операційна система Windows XP Professional; пакет прикладних програм Microsoft Office 2003;

Microsoft Office Visio 2007;

драйвери системних пристроїв; антивірусна програма NOD 32;

Детальний перелік програмного забезпечення, що використовується в АСВТЗІ буде визначено в паспорті-формулярі на АСВТЗІ.

3.2 Характеристика фізичного середовища Компоненти АСВТЗІ розміщуються в приміщенні № 1 відділу

технічного захисту інформації Видавництва «Книгоман», що знаходиться в межах контрольованої зони Видавництва «Книгоман». Охорона контрольованої зони Видавництва «Книгоман» здійснюється цілодобово відомчою охороною ВАТ „Тигр”. Приміщення обладнано охоронною сигналізацією. Двері приміщення дерев’яні, оббиті залізними листами, обладнані замковими пристроями та охоронними сповіщувачами.

Режим допуску до приміщення, де розміщується АСВТЗІ, забезпечує

неможливість проникнення сторонніх осіб у приміщення та їх доступу до обладнання АСВТЗІ.

3.3 Характеристика персоналу За рівнем повноважень щодо доступу до інформації та характером

робіт, що виконуються у процесі функціонування АСВТЗІ, особи, які мають доступ до АСВТЗІ, поділяються на такі категорії:

1)адміністратор безпеки, який забезпечує виконання вимог політики безпеки ;

2)системний адміністратор, який забезпечує функціонування програмного та апаратного забезпечення АСВТЗІ;

3)звичайний користувач, який виконує обробку інформації;

4)технічний обслуговуючий персонал який забезпечує належні умови функціонування АСВТЗІ та не має безпосереднього доступу до інформації що обробляється (прибиральниці, розробники прикладного ПЗ та ін.).

Всі користувачі АСВТЗІ повинні мати дозвіл керівника Видавництва

«Книгоман» на доступ до приміщення в якому розташовано обладнання АСВТЗІ, згідно з службовими обов’язками.

Користувачі категорій “1” – “3” повинні пройти процедуру реєстрації в системі і мати власні унікальні імена, ідентифікатори та атрибути доступу відповідно до їх функціональних обов'язків.

3.4 Характеристика інформації, що обробляється в АСВТЗІ Інформація, що циркулюватиме в АСВТЗІ, за змістом вимог щодо

захисту підрозділяється на такі групи:

відкриту інформацію загального користування;

інформацію з обмеженим доступом (ІзОД), яка поділяється на конфіденційну (документи з грифом обмеження доступу «конфіденційно») та цілком конфіденційну (документи з грифом обмеження доступу «цілком конфіденційно»).

Гриф обмеження доступу носія інформації повинен відповідати вищому ступеню обмеження доступу даних, які на ньому зберігаються.

3.5 Характеристика технології обробки інформації ІзОД зберігається на жорсткому магнітному диску або на гнучких

магнітних дисках (дискетах) та флеш накопичувачах в форматах: txt, doc, xls, vsd тощо;

користувачі мають різні повноваження стосовно доступу до інформації з обмеженим доступом, яка розміщується на носіях інформації;

на носіях інформації зберігаються дані різних ступенів обмеження доступу. Гриф обмеження доступу носія інформації повинен відповідати вищому ступеню обмеження доступу даних, які на ньому зберігаються.

Імпорт інформації в АСВТЗІ здійснюється за рахунок використанням дискет або флеш накопичувачах.

Експорт інформації з АСВТЗІ здійснюється на паперових носіях та на дискетах або флеш накопичувачах.

Документи, в яких містяться ІзОД, будуть друкуватися за допомогою принтера, який входить до складу АСВТЗІ.

Носії інформації з ІзОД знаходяться на обліку та зберігаються в спеціальному відділі Видавництва «Книгоман». Доступ до них регламентується розпорядчими документами цього підприємства.

Порядок копіювання файлів, стирання інформації, опрацювання документів здійснюється згідно вимог розпорядчих документів Видавництва

«Книгоман».

3.6 Особливості функціонування АСВТЗІ АСВТЗІ використовується для обробки ІзОД в час, визначений

службовою необхідністю. Надання машинного часу або устаткування в оренду стороннім організаціям не передбачається.

Функціонування АСВТЗІ передбачає такі режими роботи:

основний робочий режим роботи – функціонування АСВТЗІ в робочий час для виконання визначених регламентом функціональних задач;

режим адміністрування АСВТЗІ – підтримка інформаційних ресурсів в актуальному стані;

режим тестування системи та окремих її компонентів – забезпечення рішення контрольних задач для перевірки роботоздатності АСВТЗІ;

режим технічного обслуговування АСВТЗІ.

4. Вимоги до комплексної системи захисту інформації

4.1. Вимоги щодо організаційного забезпечення захисту

4.1.1. З метою забезпечення захисту ІзОД під час її обробки в АСВТЗІ наказом директора Видавництва «Книгоман» створюється служба захисту інформації в АСВТЗІ, якій надаються повноваження щодо організації і впровадження КСЗІ, контролю за станом захищеності інформації тощо. У

своїй діяльності служба захисту інформації керується документом

„Положення про службу захисту інформації”.

4.1.2. Приміщення, в якому розташована АСВТЗІ, повинно відповідати наступним вимогам:

двері повинні бути обладнані двома замковими пристроями різної конфігурації;

вікна повинні бути обладнані металевими гратами;

вікна та двері повинні бути обладнані датчиками системи охоронної сигналізації;

в приміщенні повинен бути встановлений інфрачервоний сповіщувач

руху.

4.1.3. Відповідно до рівня повноважень щодо доступу до ІзОД,

характеру робіт, які виконуються у процесі функціонування АСВТЗІ,

організовується доступ осіб до АСВТЗІ з наступними ролями:

користувач АСВТЗІ;

адміністратор безпеки;

системний адміністратор.

Користувач АСВТЗІ повинен безпосередньо здійснювати обробку ІзОД в АСВТЗІ відповідно вимог Інструкції користувача АСВТЗІ. Користувач АСВТЗІ повинен мати базові навички роботи з обчислювальною технікою, з

операційною системою Microsoft Windows, текстовим редактором Microsoft