Додатки
Додаток 1
Приблизний зміст наказу керівника органу, щодо якого здійснюється ТЗІ
Про організацію захисту технічних засобів органу, щодо якого здійснюється ТЗІ від витоку інформації технічними каналами
З метою забезпечення належного режиму при проведені в органі, щодо якого здійснюється ТЗІ робіт і усунення можливих каналів витоку інформації з обмеженим доступом (далі по тексту – ІзОД),
НАКАЗУЮ:
1. Обов’язки щодо організації робіт з технічного захисту інформації з обмеженим доступом органу, щодо якого здійснюється ТЗІ покласти на структурний підрозділ ТЗІ (особу). Обов’язки щодо контролю повноти та якості реалізованих заходів покласти на комісію підрозділу.
2. Затвердити перелік інформації з обмеженим доступом, яка наявна в органі, щодо якого здійснюється ТЗІ, додаток № __11__ до наказу.
3. Затвердити перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом, додаток № ___12_ до наказу.
4. Начальнику підрозділу ТЗІ в термін до ________ представити мені для затвердження список осіб, відповідальних за забезпечення режиму у виділених приміщеннях, на об’єктах.
5. Встановити в органі, щодо якого здійснюється ТЗІ контрольовану зону (зони) відповідно до затвердженої мною планом-схемою, додаток № __13__ до наказу.
6. Підрозділу ТЗІ вжити заходів, що виключають несанкціоноване перебування в контрольованій зоні сторонніх осіб і транспортних засобів.
7. Комісії з категоріювання провести категоріювання виділених об’єктів.
8. Підрозділу ТЗІ провести первинну атестацію виділених об’єктів, результат атестації зареєструвати в атестаційному паспорті виділеного приміщення (об’єкту, інформаційної системи).
9. Установити, що роботу з ІзОД допускається здійснювати тільки в приміщеннях, що пройшли атестацію.
10. При роботі з ІзОД дозволяється використовувати технічні засоби передачі, обробки і збереження інформації, що тільки входять у затверджений мною перелік (додаток № _14_ до наказу).
11. Для забезпечення захисту ІзОД від витоку з виділених приміщень за межі контрольованих зон певного підрозділу органу, щодо якого здійснюється ТЗІ (наприклад, головного енергетика) у цих приміщеннях провести захисні заходи відповідно до затвердженого мною плану-графіку (додаток № _16__ до наказу).
11. Контроль за виконанням плану-графіка захисних заходів покласти на підрозділ ТЗІ.
12. На підрозділ ТЗІ покласти обов’язки з підготовки технічних засобів у виділених приміщеннях (якщо ці засоби вимагають попередньої підготовки) до проведення особливо важливих заходів.
13. Про проведення особливо важливих заходів відповідальним особам вчасно повідомляти підрозділ ТЗІ.
14. Начальнику підрозділу по завершенні організаційних, організаційно-технічних і технічних заходів для захисту об’єктів органу, щодо якого здійснюється ТЗІ провести перевірку заходів і представити мені Акт прийому робіт із захисту від можливого витоку ІзОД для узгодження і наступного затвердження.
15. Начальнику підрозділу разом із призначеними мною відповідальними за забезпечення режиму у виділених приміщеннях підготувати і представити мені на затвердження графік проведення періодичних атестаційних перевірок виділених приміщень і технічних засобів, що в них знаходяться.
16. Про всі виявлені при атестації й атестаційних перевірках порушення доповідати мені для вжиття оперативних заходів.
Додаток 2
ЗАТВЕРДЖУЮ
Керівник органу, щодо якого здійснюється ТЗІ
АКТ
категоріювання ________ Лабораторія для розроблення та виготовлення ПЛМ __
(найменування об’єкту)
Вищий гриф секретності інформації, що циркулює на об’єкті________інформація що становить комерційну таємницю________________
Об’єм інформації, що циркулює на об’єкті, з вищим грифом секретності (звичайний, значний)_________значний____________________________________________________________
Відомості щодо можливості застосування стаціонарних засобів розвідки поблизу об’єктів:
Найменування інопредставництва Посольство республіки Польша___
Відстань до об’єкту - __1000_________м.
Підстава для категоріювання (первинна, планова, у зв’язку із змінами)_____планова_____________
Раніше встановлена категорія інформація що становить комерційну таємницю ________________
Встановлена категорія інформація що становить комерційну таємницю _____
Додаток 3
ЗАТВЕРДЖУЮ
Керівник органу, щодо якого здійснюється ТЗІ
Приблизний зміст
АКТ ПРИЙМАННЯ РОБІТ
із захисту органу, щодо якого здійснюється ТЗІ від можливого витоку інформації
1. Описуються особливості територіального розташування органу, щодо якого здійснюється ТЗІ стосовно інших міських споруджень, сусідніх підприємств, установ та організацій, а також посольств, іноземним представництв, спільних підприємств та ін.
2. Уточнюються ступінь конфіденційності наявних в органі, щодо якого здійснюється ТЗІ робіт і число зайнятих на цих роботах осіб.
3. Дається опис контрольованої зони (зон) з посиланням на затверджену керівником органу, щодо якого здійснюється ТЗІ план-схему.
4. Перелічуються (чи робиться посилання на відповідний документ) виділені приміщення, інформаційні системи та спеціальні об’єкти.
5. Даються описи внутрішніх контрольованих зон з додатком переліку організаційних мір, який необхідно реалізовувати перед проведенням особливо важливих заходів.
6. Перелічуються основні технічні засоби та системи (при їхній наявності) із вказівкою організації, що дала висновок про можливість їхнього застосування для передачі, обробки і збереження конфіденційної інформації і дати видачі висновку. Вказується їхнє призначення, місце розташування й особливості експлуатації при проведенні закритих заходів.
7. Перелічуються допоміжні технічні засоби і вказується їхнє призначення.
8. Вказуються місця установки станційного обладнання систем зв’язку. Дається опис кабельного розведення допоміжних технічних засобів, при цьому виділяються ланцюги, кабелі і проводи, що ідуть за межі контрольованої зони.
9. Дасться опис і характерні риси систем електроживлення і заземлення основних і допоміжних технічних засобів і систем; під характерними рисами маються на увазі наступне: місця розташування трансформаторних підстанцій, навантаження фідерів живлення з указанням живлячих ліній, що виходять за межі контрольованої зони, пристрій захисного заземлення (занулення), чи сполучаються технологічне і захисне заземлення, де розташовуються контури, що заземлюють, чи виходять за межі контрольованих зон (зони) заземлюючі проводи і шини.
10. Приводиться перелік кінцевих пристроїв основних та допоміжних технічних засобів, розміщених у виділених приміщеннях.
11. Представляються результати аналізу можливих каналів витоку конфіденційної інформації.
При аналізі необхідно мати у виді, що легко піддаються впливу наступні компоненти технічних засобів:
– по електричних полях – усі неекрановані кінцеві пристрої допоміжних технічних засобів, ланцюги і проводи;
– по магнітних полях – кінцеві пристрої, що містять різного роду котушки індуктивності (трансформатори, реле, котушки дзвоників, дроселів);
– по звукових полях – пристрої, що мають мікрофонний ефект (наприклад, динамічні гучномовці, телефонні капсулі, електромагнітні реле, електричні дзвінки, вторинні електрогодинники).
Вказані пристрої і елементи допоміжних технічних засобів можуть призводити до виникнення каналів витоку, якщо ланцюги від них виходять за межі контрольованих зон або мають сумісний пробіг у загальному кабелі з ланцюгами, що ідуть за межі контрольованих зон.
Крім того, витік можливий при впливі електричних, магнітних і звукових полів на пристрої, що містять автогенератори (наприклад, телевізори, радіоприймачі).
12. Перелічуються реалізовані і намічені до реалізації (з вказуванням термінів виконання) захисні заходи щодо блокування можливих каналів витоку конфіденційної інформації за межі контрольованих зон (зони) і виділені приміщення, що пройшли атестацію.
На закінчення акта вказується, які можливі канали витоку конфіденційної інформації з виділених приміщень блоковані.
До складання акта залучаються представник адміністрації, відповідальний за внутріоб’єктовий режим, представник режимно-секретного відділу, керівник групи контролю, інші зацікавлені особи органу, щодо якого здійснюється ТЗІ.
Затверджую
Додаток №1
Перелік інформації з обмеженим доступом, яка наявна в органі, щодо якого здійснюється ТЗІ
№ пп
Інформація
Вид інформації
Гриф таємності

1.
Інформація стосовно досліджень
Довідково-енциклопедичного характеру
Для службового користування

2.
Інформація про працівників
Про особу
Для службового користування

3.
Паспорти на приміщення
Правова
Таємна

4.
Документація технічних засобів
Правова
Таємна

5.
Документація організаційно-технічних заходів захисту
Правова
Таємна

6.
Звіти про діяльність лабораторії
Правова
Для службового користування

7.
Коди доступу, паролі та ін.
Правова
Таємно

8.
Інша документація
Правова
Таємно


Додаток №2
Перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом
Приміщення:
Центральний офіс.
Офіс Сб.
Технічне приміщення.
Лабораторія 1.
Лабораторія 2.
Службове приміщення
Приймальня
Санвузол
Інформаційні системи:
Комп’ютерна мережа.
Під’єднання до інтернету.
Кабелі телефонного зв’язку.
Лінії мережі електрожиілення.
Лінії пожежної сигналізації.
Спеціальні об’єкти:
Вимірювальні прилади.
ДОДАТОК №3 СХЕМИ
Додаток №4
Технічні засоби передачі, обробки і збереження інформації:
Найменування
Кількість

Персональний комп’ютер
4

Зовнішній модем
1

Сервер
1

Комутатор
1

Принтер
1

Проводовий телефон
1

Радіотелефон
1

Радіоприймач
1

Сканер
1

Пристрій для знищення паперу
1


Додаток №5
ПОСАДОВІ ІНСТРУКЦІЇ
Служба безпеки.
Загальні функції:
Попередження загроз.
Контроль за поточною ситуацією.
Реєстрація подій.
Прийняття необхідних заходів по ліквідації загроз.
Підрозділи:
Група режиму:
Організація пропускного та внутрішньооб’єктного режиму
Розробка положень і інструкцій
Організація і ведення конфіденційного діловодства
Розробка нормативів безпеки, перевірка їх виконання
Контроль за режимом доступу до документів
Використання і збереження таємної інформації
Періодичний контоль вхідних і вихідних документів
Регламентне знищення інформації
Участь у кадровій діяльності
Служба охорони:
Забезпечення пропускного режиму
Група пожежної охорони:
Забезпечення пожежної безпеки
Аналітична група:
Збір, аналіз, оцінка ступеня небезпеки
Прогнозування можливих подій
Детективна група:
Проведення спостереженя за окремими співробітниками
Участь у перевірці кадрів при прийомі на роботу
Підтримка контактів з правоохоронними органами
Група протидії технічним розвідкам:
Визначення джерел інформації
Визначення середовища, де може існувати інформація
Визначення небезпечних сигналів у цих приміщеннях
Вимірювання величин небезпечного сигналу
Зменшення чи приховування величин небезпечного сигналу
Група криптозахисту:
Розробка та впровадження криптографічних методів захисту інформації
Системний адміністратор:
Конфігурування комп’ютерної системи та мережі:
Встановлення та налаштування мережевого обладнання
Встановлення та налаштування порграмного забезпечення
Захист мережі
Адміністрування комп’ютерної системи та мережі:
Контроль за роботою мережі
Визначення помилок, слабких місць, недоліків в роботі мережі та їх виправлення
Контроль за функціонуванням програм
Визначення помилок, слабких місць, недоліків в роботі програм та їх виправлення
Регулярне оновлення програмного забезпечення
Про організацію захисту технічних засобів органу, щодо якого здійснюється ТЗІ від витоку інформації технічними каналами
З метою забезпечення належного режиму при проведені в органі, щодо якого здійснюється ТЗІ робіт і усунення можливих каналів витоку інформації з обмеженим доступом (далі по тексту – ІзОД),
НАКАЗУЮ:
1. Обов’язки щодо організації робіт з технічного захисту інформації з обмеженим доступом органу, щодо якого здійснюється ТЗІ покласти на службу безпеки організації. Обов’язки щодо контролю повноти та якості реалізованих заходів покласти на групу режиму.
2. Затвердити перелік інформації з обмеженим доступом, яка наявна в органі, щодо якого здійснюється ТЗІ, додаток №1 до наказу.
3. Затвердити перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом, додаток №2 до наказу.
4. Начальнику підрозділу ТЗІ в термін до 23 грудня 2006 р. представити мені для затвердження список осіб, відповідальних за забезпечення режиму у виділених приміщеннях, на об’єктах.
5. Встановити в органі, щодо якого здійснюється ТЗІ контрольовану зону відповідно до затвердженої мною планом-схемою, додаток №3 до наказу.
6. Службі охорони вжити заходів, що виключають несанкціоноване перебування в контрольованій зоні сторонніх осіб і транспортних засобів.
7. Групі режиму провести категоріювання виділених об’єктів.
8. Аналітичній групі провести первинну атестацію виділених об’єктів, результат атестації зареєструвати в атестаційному паспорті виділеного приміщення.
9. Установити, що роботу з ІзОД допускається здійснювати тільки в приміщеннях, що пройшли атестацію.
10. При роботі з ІзОД дозволяється використовувати технічні засоби передачі, обробки і збереження інформації, що тільки входять у затверджений мною перелік (додаток №4 до наказу).
11. Для забезпечення захисту ІзОД від витоку з виділених приміщень за межі контрольованих зон певного підрозділу органу, щодо якого здійснюється ТЗІ (наприклад, головного енергетика) у цих приміщеннях провести захисні заходи відповідно до затвердженого мною плану-графіку («Технічний захист об’єкту»).
12. При роботі з ІзОД дотримуватись правил, зазначених в політиці безпки. («Політика безпеки»)
13. Контроль за виконанням плану-графіка захисних заходів покласти на групу режиму.
14. На групу режиму покласти обов’язки з підготовки технічних засобів у виділених приміщеннях (якщо ці засоби вимагають попередньої підготовки) до проведення особливо важливих заходів.
15. Про проведення особливо важливих заходів відповідальним особам вчасно повідомляти групу режиму.
16. Начальнику підрозділу по завершенні організаційних, організаційно-технічних і технічних заходів для захисту об’єктів органу, щодо якого здійснюється ТЗІ провести перевірку заходів і представити мені Акт прийому робіт із захисту від можливого витоку ІзОД для узгодження і наступного затвердження.
17. Начальнику підрозділу разом із призначеними мною відповідальними за забезпечення режиму у виділених приміщеннях підготувати і представити мені на затвердження графік проведення періодичних атестаційних перевірок виділених приміщень і технічних засобів, що в них знаходяться.
18. Про всі виявлені при атестації й атестаційних перевірках порушення доповідати мені для вжиття оперативних заходів.
(дата) (ПІБ, підпис)