НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення Чинний від 2007-12-12 1 Галузь використання Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає основи організації та етапи виконання робіт щодо створення комплексу на об’єкті інформаційної діяльності (ОІД) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі – установа), який має забезпечувати захист від витоку інформації з обмеженим доступом (ІзОД) можливими технічними каналами (далі – комплекс ТЗІ). Вимоги цього НД можуть використовуватися під час обґрунтування, організації розроблення, впровадження заходів захисту ІзОД від загроз, що можуть бути здійснені каналами спеціального впливу на технічні засоби інформаційних (автоматизованих), телекомунікаційних, інформаційно-телекомунікаційних систем (далі – ІТС) та на інші технічні засоби. Захищеність об’єктів, комплексів та засобів спеціального зв'язку від витоку інформації технічними каналами визначається іншими НД. 2 Нормативні посилання У цьому НД є посилання на такі нормативні документи: ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення. ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт. ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення. ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва. ДБН А.2.2-3-2004 Проектування. Склад, порядок розроблення, погодження та затвердження проектної документації для будівництва. НД ТЗІ 3.1-001-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи. НД ТЗІ 3.3-001-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації. НД ТЗІ 2.1-002-07 Захист інформації на об’єктах інформаційної діяльності. Випробування комплексу технічного захисту інформації. Основні положення. 3 Визначення У цьому НД використано терміни відповідно до ДСТУ 3396.2. Визначення інших термінів: Атестація – визначення відповідності виконаних робіт зі створення комплексу ТЗІ на об'єкті інформаційної діяльності вимогам нормативних документів з питань ТЗІ. Випробування (комплексу ТЗІ) – сукупність аналітичних, експериментальних та вимірювальних робіт, які проводяться з метою визначення повноти виконання вимог щодо захисту від витоку інформації з обмеженим доступом технічними каналами, а також перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на об'єктах інформаційної діяльності. Інформація з обмеженим доступом – інформація, що становить державну або іншу передбачену законом таємницю, а також конфіденційна інформація, що є власністю держави або вимога щодо захисту якої встановлена законом. Комплекс ТЗІ – сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку інформації з обмеженим доступом технічними каналами на об’єктах інформаційної діяльності. Об’єкт інформаційної діяльності – будівлі, приміщення, транспортні засоби чи інші інженерно-технічні споруди, функціональне призначення яких передбачає обіг інформації з обмеженим доступом. 4 Позначення У цьому НД використовують такі позначення: ІТС – інформаційно-телекомунікаційна система; ІзОД – інформація з обмеженим доступом; ОІД – об'єкт інформаційної діяльності; ТЗІ – технічний захист інформації. 5 Загальні положення 5.1 Створення комплексу ТЗІ містить у собі проведення організаційних, інженерних і технічних заходів на ОІД, де передбачається: – озвучення ІзОД (при проведенні нарад, показів зі звуковим супроводженням кіно- і відеофільмів тощо); – здійснення обробки ІзОД технічними засобами (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання ІзОД тощо); – обіг іншої ІзОД при проектуванні, будівництві, експлуатації об'єктів, виробництві технічних засобів тощо. 5.2 У створенні комплексу ТЗІ беруть участь: – установа, яка є замовником створення комплексу ТЗІ (далі – замовник або установа-замовник); – виконавець робіт зі створення комплексу ТЗІ (далі – виконавець робіт з ТЗІ); – виконавець проведення випробувань щодо створення комплексу ТЗІ (далі – виконавець випробувань); – виконавець проведення атестації комплексу ТЗІ (далі – виконавець атестації). 5.3 Установа-замовник може бути виконавцем робіт з ТЗІ і виконавцем випробувань або може залучати до виконання таких робіт і випробувань суб'єктів господарської діяльності, що мають ліцензії на провадження діяльності у сфері ТЗІ. 5.4 Атестацію комплексу ТЗІ здійснює виконавець, що має відповідну ліцензію або дозвіл на провадження діяльності у сфері ТЗІ. 5.5 У створенні комплексу ТЗІ (залежно від характеру, складності та обсягу робіт) можуть брати участь один або декілька виконавців. У цьому разі замовник визначає головного виконавця. 5.6 Установа-замовник для створення комплексу ТЗІ також залучає: – свої структурні підрозділи, діяльність яких пов’язана з ІзОД та які обґрунтовують необхідність і заявляють про створення комплексу ТЗІ (підрозділи-заявники створення комплексу ТЗІ); – призначену за необхідністю посадову особу з відповідною фаховою підготовкою для організації та координації робіт на всіх етапах створення комплексу ТЗІ, а також для організації експлуатації цього комплексу; – підрозділ або посадові особи з відповідною фаховою підготовкою, яким доручено супроводження робіт з ТЗІ в установі (далі – підрозділ ТЗІ), службу захисту інформації в ІТС; – інші підрозділи установи, які залучаються для формування положень щодо використання в інформаційній діяльності ІзОД, проведення обстеження, категорування об'єктів тощо. 5.7 Рішення щодо необхідності створення (модернізації) комплексу ТЗІ готує замовник на стадіях проектування, нового будівництва, розширення, реконструкції (далі – будівництво) ОІД, а також у разі змін умов функціонування ОІД. 5.8 Будівництво ОІД може виконуватися за відповідною проектно-кошторисною документацією. При цьому повинні бути враховані вимоги ДБН А.2.2-2 і ДБН А.2.2-3. 5.9 Комплекс ТЗІ повинен створюватися виходячи із перспектив модернізації і розвитку інших комплексів ТЗІ установи, охоронних, протипожежних чи загальних систем безпеки установи, спеціальних систем енергоживлення, життєзабезпечення тощо, а також забезпечувати виконання норм ефективності захищеності інформації, відповідати експлуатаційним вимогам щодо необхідності та періодичності перевірок цієї захищеності. 5.10 Засоби забезпечення захисту інформації застосовують у складі комплексу ТЗІ за наявності сертифіката відповідності Системи УкрСЕПРО вимогам НД з питань ТЗІ або позитивного висновку державної експертизи у сфері ТЗІ. 5.11 Застосування імпортних засобів забезпечення захисту інформації можливе лише за умови відсутності вітчизняних аналогів при наявності відповідних техніко-економічних обґрунтувань і проведення їх сертифікації або одержання позитивного експертного висновку. 5.12 Джерела фінансування робіт зі створення комплексу ТЗІ визначає замовник. Витрати на проектування, будівельно-монтажні роботи, проведення випробувань щодо ТЗІ, атестації комплексу ТЗІ вносяться до кошторису на будівництво та експлуатацію (утримання) ОІД. 6 Основні заходи щодо організації створення комплексу ТЗІ 6.1 Підрозділ-заявник створення комплексу ТЗІ (або призначена посадова особа щодо організації та координації робіт на всіх етапах створення, а також експлуатації комплексу) разом з підрозділом ТЗІ готує і подає на затвердження керівнику установи-замовника: – протокол про визначення вищого ступеня обмеження доступу до інформації (додаток А); – проект рішення щодо створення комплексу ТЗІ на ОІД (основою для проведення робіт щодо створення комплексу може бути затверджений Протокол про визначення вищого ступеня обмеження доступу до інформації). Установа-замовник також: – готує пропозиції щодо термінів проведення обстеження на ОІД (оформлення відповідних протоколів, актів), проведення категорування об'єктів; – створює модель загроз для ІзОД (стосовно забезпечення захисту від витоку ІзОД можливими технічними каналами); – організовує розроблення технічних завдань щодо створення комплексу ТЗІ на ОІД (технічних вимог з питань ТЗІ); – узгоджує зміни до прийнятих рішень з ТЗІ, якщо необхідність їх внесення обґрунтована результатами випробувань комплексу ТЗІ, надає виконавцю атестації комплексу ТЗІ дані про його створення на ОІД, а також висновки за результатами випробувань; – створює необхідні умови для виконання випробувань і проведення атестації комплексу ТЗІ. 6.2 Виконавець робіт з ТЗІ та виконавець випробувань забезпечують: – проведення заходів щодо недопущення встановлення закладних пристроїв несанкціонованого отримання інформації під час виконання будівельних та монтажно-налагоджувальних робіт, прокладення нових інженерних комунікацій, встановлення технологічного обладнання, засобів оргтехніки, елементів інтер’єру, меблів тощо; – проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які оброблятимуть ІзОД) з метою визначення повноти та достатності виконання вимог щодо захисту від витоку ІзОД технічними каналами на ОІД і формування рішень з ТЗІ; – обґрунтування необхідності впровадження на ОІД заходів із захисту від витоку інформації технічними каналами, розроблення проектно-кошторисної та конструкторської документації; – підготовку пропозицій щодо необхідності залучення співвиконавців для створення комплексу ТЗІ; – розроблення проектів програм і методик випробувань; – придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого обладнання; – впровадження на ОІД заходів з ТЗІ; – проведення відповідних випробувань згідно із затвердженими програмами і методиками; – здійснення (у разі необхідності) будівельних, монтажно-налагоджувальних робіт та післяопераційного технічного контролю щодо повноти їх виконання; – розроблення проектів паспортів на комплекс ТЗІ (у т.ч. паспортів на приміщення, де ІзОД озвучується та/або обробляється технічними засобами тощо); – здійснення (на договірних засадах) гарантійного та післягарантійного обслуговування комплексу ТЗІ; – проведення інструктажів щодо особливостей функціонування та експлуатації комплексу ТЗІ. 6.3 Дозвіл на здійснення озвучення та/або оброблення технічними засобами ІзОД (окрім оброблення ІзОД в ІТС) надається керівником установи-замовника на підставі наявності Акта атестації та паспорта на комплекс ТЗІ. 6.4 Дозвіл на експлуатацію ІТС, технічні засоби яких розміщуються на ОІД, надається керівником установи-замовника на підставі наявності Атестата відповідності на комплексну систему захисту інформації в ІТС, який оформляється за результатами проведення державної експертизи у сфері ТЗІ. 6.5 Створення комплексу ТЗІ на ОІД передбачає такі основні етапи: – виконання передпроектних робіт (1 етап); – розроблення та впровадження заходів із захисту інформації (2 етап); – випробування та атестація комплексу ТЗІ (3 етап). 6.6 Порядок виконання робіт на етапах створення комплексу ТЗІ на ОІД визначено НД ТЗІ 3.1-001-07, НД ТЗІ 3.3-001-07, НД ТЗІ 2.1-002-07. Державні стандарти України ДСТУ 3396.0, ДСТУ 3396.1 при виконанні робіт з ТЗІ використовуються в частині, що не суперечать вимогам зазначених НД ТЗІ. 6.7 Норми ефективності захисту від витоку ІзОД технічними каналами, методики контролю їх виконання (випробувань), вимоги із забезпечення ТЗІ, порядок створення моделі загроз для інформації, порядок проведення категорування об'єктів тощо викладено у відповідних НД з питань ТЗІ. Додаток А (довідковий) Форма та зміст протоколу про визначення вищого ступеня обмеження доступу до інформації Ступінь обмеження доступу Прим. № __ ЗАТВЕРДЖЕНО Керівник установи-замовника __________________________ ____. ____. 20__ ПРОТОКОЛ про визначення вищого ступеня обмеження доступу до інформації (назва, належність структурного підрозділу установи, де буде створюватися комплекс ТЗІ) 1. Відомості про інженерно-технічну споруду (належність, склад, дислокація), в межах якої планується створення комплексу ТЗІ, опис об’єкта інформаційної діяльності (межі об’єкта, схеми тощо). 2. Результати проведення аналізу особливостей функціонування об’єкта інформаційної діяльності (табл. 1). Таблиця 1 Найменування приміщень, де ІзОД озвучується та/або обробляється технічними засобами тощо Характеристика ІзОД (сфера діяльності, зміст відомостей, умови озвучення, засоби оброблення тощо) Стаття, пункт ЗВДТ, ВДТ, ВДСК Ступінь обмеження доступу до інформації
1 2 3 4
Примітки. 1 Ступінь обмеження доступу до інформації встановлюється згідно з даними: - Зводу відомостей, що становлять державну таємницю (ЗВДТ), або затверджених розгорнутих відомчих переліків відомостей, які за режимом доступу віднесені до державної таємниці (ВДТ); - затверджених розгорнутих відомчих переліків відомостей, які за режимом доступу віднесені до конфіденційної інформації з грифом “Для службового користування” (ВДСК). 2 Протокол підписують представники від підрозділу-заявника на створення комплексу ТЗІ. У разі необхідності, протокол також підписують представники підрозділу ТЗІ, служби захисту інформації в АС, режимно-секретного органу, секретаріату (канцелярії). 3 Протокол може бути поданий на розгляд комісією з категорування, що призначена наказом керівника установи (№, дата надання чинності).