НЕ ОФІЦІЙНЕ!!!
РЕКОМЕНДАЦІЇ
щодо розробки комплексу технічного захисту інформації
1. Ці Рекомендації визначають організаційні та технічні заходи з розробки та створення системи технічного захисту інформації з обмеженим доступом у органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил України та інших військових формувань, утворених згідно із законодавством України, відповідних підприємств, установ, організацій (далі - органи, щодо яких здійснюється ТЗІ).
2. Ужиті в цих Рекомендаціях терміни мають таке значення:
технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;
комплекс технічного захисту інформації - сукупність заходів та засобів, призначених для реалізації технічного захисту інформації в інформаційній системі або на об'єкті.
контрольована зона - територія, на якій унеможливлюється несанкціоноване перебування сторонніх осіб;
модель загроз - формалізований опис методів та засобів здійснення загроз для інформації;
виділені приміщення - приміщення, в яких циркулює інформація з обмеженим доступом;
3. Правові підстави побудови і функціонування системи технічного захисту інформації з обмеженим доступом складають нормативні документи:
Конституція України;
Закон України “Про інформацію”;
Закон України “Про державну таємницю”;
“Положення про технічний захист інформації в Україні”, затверджене Указом Президента України від 27.09.1999 № 1229/99;
“Положення про контроль за функціонуванням системи технічного захисту інформації”, зареєстроване в Міністерстві юстиції України 11.01.2000 за № 10/4231;
Державні стандарти України “Технічний захист інформації” ДСТУ 3396.0-96, 3396.1-96, 3396.2-96;
Державні будівельні норми України ДБН А.2.2.-2.96;
“Зведений перелік відомостей, що становлять державну таємницю”, затверджений...
Нормативні документи Державної служби з питань технічного захисту інформації:
“Тимчасове положення про категоріювання об’єктів” (ТПКО-95), затверджене наказом № 35 від 10.07.1995;
Тимчасові рекомендації з технічного захисту інформації ТР ТЗІ - ПЕМВН-95, ТР ЕОТ-95, затверджені наказом № 25 від 09.06.1995;
Документи, видані Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України;
Відомчі нормативно-правові акти міністерств і відомств із питань ТЗІ;
Нормативні документи, видані в СРСР (в частині, що не суперечать нинішнім вимогам).
4. В організації та здійсненні технічного захисту інформації з обмеженим доступом, яка циркулює в органі, щодо якого здійснюється ТЗІ виділяються 4 основні етапи:
I. Визначення та аналіз загроз інформації.
II. Розробка системи захисту інформації.
III. Реалізація плану захисту інформації.
IV. Контроль функціонування і керування системою ТЗІ.
Порядок проведення робіт з ТЗІ або окремих їхніх етапів встановлюється наказом (розпорядженням) керівника органу, щодо якого здійснюється ТЗІ.
Роботи повинні виконуватися силами органу, щодо якого здійснюється ТЗІ. З цією метою створюються:
структурний підрозділ, на який покладається забезпечення ТЗІ та контроль за його станом;
комісія з категоріювання об’єктів, в яких циркулює інформація з обмеженим доступом;
колегіальний орган, на який покладається підготовка рішень з найважливіших питань ТЗІ.
Також, для виконання цих робіт можуть бути залучені суб’єкти підприємницької діяльності, що мають відповідні ліцензії.
5. Визначення та аналіз загроз інформації
Роботи з побудови системи ТЗІ розпочинаються наказом керівника органу, щодо якого здійснюється ТЗІ про проведення обстеження умов інформаційної діяльності. Наказ встановлює:
персональний склад комісії;
мету роботи комісії;
строки виконання робіт.
Після призначення комісія складає план своєї роботи, який затверджується керівником органу, щодо якого здійснюється ТЗІ.
За результатами роботи комісії складається наказ керівника органу, щодо якого здійснюється ТЗІ. Приблизний зміст наказу наведений у додатку № 1.
У ході впровадження заходів першого етапу побудови системи ТЗІ в органі, щодо якого здійснюється ТЗІ складаються такі документи:
Перелік відомостей, які містять інформацію з обмеженим доступом та підлягають захисту від витоку технічними каналами.
Інформація, включена до цього переліку, може бути як власністю держави (секретна інформація), так і власністю органу, щодо якого здійснюється ТЗІ (комерційна таємниця). Такий перелік не повинен суперечити “Звідному переліку відомостей, що становлять державну таємницю” та переліку відомостей, що не становлять комерційну таємницю, затвердженому Постановою Кабінету Міністрів України.
Перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом.
Переліки технічних засобів, які використовуються під час інформаційної діяльності органу, щодо якого здійснюється ТЗІ (для інформації з обмеженим доступом – “основні технічні засоби та системи”, далі по тексту – ОТЗС; для інформації загального користування – “допоміжні технічні засоби”, ДТЗ).
План контрольованої зони органу, щодо якого здійснюється ТЗІ, на якому відображаються:
генеральний план органу, щодо якого здійснюється ТЗІ;
проходження границі контрольованої зони на місцевості;
місця, де наявна інформація з обмеженим доступом;
віддалення таких об’єктів від меж контрольованої зони;
організаційно-технічні засоби, якими унеможливлюється несанкціоноване перебування сторонніх осіб на території органу, щодо якого здійснюється ТЗІ (контрольно-перепускні пости, технічні засоби охорони та сигналізації, маршрути прямування транспортних засобів, інше).
Окрема модель загроз ІзОД об’єкту. Вихідні дані для розробки моделі загроз наведені у додатку № 2.
Акти категоріювання об’єктів, де циркулює ІзОД. Акти складаються за формою наведеною у додатку № 3.

Розробка системи захисту інформації
Основою функціонування системи заходів захисту інформації є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження та окремих моделей загроз (в органі, щодо якого здійснюється ТЗІ може бути складена загальна модель) визначаються головні та часткові (поточні) задачі захисту інформації, розробляються організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації.
З метою впорядкування нормативно-документальної бази органу, щодо якого здійснюється ТЗІ повинні бути розроблені переліки наявних розпорядчих, організаційно-методичних, нормативних документів щодо ТЗІ та вказівок щодо їх використання. Одночасно розробляються та затверджуються керівництвом інструкції, які встановлюють обов’язки, права та відповідальність особового складу органу, щодо якого здійснюється ТЗІ.
Розробляється та затверджується встановленим порядком календарний план ТЗІ.
3. Реалізація плану захисту інформації
На цьому етапі здійснюються організаційні, первинні та основні технічні заходи захисту ІзОД. Організаційні та первинні технічні заходи ТЗІ проводяться одночасно і є першим етапом роботи, основні технічні заходи – наступним.
Докладний зміст вказаних заходів наведений в ДСТУ 3396.1-96.........................
За результатами реалізації структурний підрозділ ТЗІ розробляє:
“Атестаційний паспорт” об’єкту. Типова форма паспорту наведена у додатку № 4;
4. Контроль функціонування і керування системою ТЗІ
Організується перспективне та поточне керування системою захисту ІзОД органу, щодо якого здійснюється ТЗІ, яке включає в себе постійний плановий контроль за актуальністю реалізуємих заходів та адаптацію системи ТЗІ до поточних задач захисту інформації, які виникають у певний час.
За результатами складається акт, приблизна форма якого наведена в додатку № 5.




Додаток № 1
Приблизний зміст наказу керівника органу, щодо якого здійснюється ТЗІ
Про організацію захисту технічних засобів органу, щодо якого здійснюється ТЗІ від витоку інформації технічними каналами
З метою забезпечення належного режиму при проведені в органі, щодо якого здійснюється ТЗІ робіт і усунення можливих каналів витоку інформації з обмеженим доступом (далі по тексту – ІзОД),
НАКАЗУЮ:
1. Обов’язки щодо організації робіт з технічного захисту інформації з обмеженим доступом органу, щодо якого здійснюється ТЗІ покласти на структурний підрозділ ТЗІ (особу). Обов’язки щодо контролю повноти та якості реалізованих заходів покласти на комісію підрозділу1).
2. Затвердити перелік інформації з обмеженим доступом, яка наявна в органі, щодо якого здійснюється ТЗІ, додаток № ____ до наказу.
3. Затвердити перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом, додаток № ____ до наказу.
4. Начальнику підрозділу ТЗІ в термін до ________ представити мені для затвердження список осіб, відповідальних за забезпечення режиму у виділених приміщеннях, на об’єктах.
5. Встановити в органі, щодо якого здійснюється ТЗІ контрольовану зону (зони) відповідно до затвердженої мною планом-схемою, додаток № ____ до наказу.
6. Підрозділу ТЗІ вжити заходів, що виключають несанкціоноване перебування в контрольованій зоні сторонніх осіб і транспортних засобів.
7. Комісії з категоріювання провести категоріювання виділених об’єктів.
8. Підрозділу ТЗІ провести первинну атестацію виділених об’єктів, результат атестації зареєструвати в атестаційному паспорті виділеного приміщення (об’єкту, інформаційної системи).
9. Установити, що роботу з ІзОД допускається здійснювати тільки в приміщеннях, що пройшли атестацію.
10. При роботі з ІзОД дозволяється використовувати технічні засоби передачі, обробки і збереження інформації, що тільки входять у затверджений мною перелік (додаток № __ до наказу).
11. Для забезпечення захисту ІзОД від витоку з виділених приміщень за межі контрольованих зон певного підрозділу органу, щодо якого здійснюється ТЗІ (наприклад, головного енергетика) у цих приміщеннях провести захисні заходи відповідно до затвердженого мною плану-графіку (додаток № ___ до наказу).
11. Контроль за виконанням плану-графіка захисних заходів покласти на підрозділ ТЗІ.
12. На підрозділ ТЗІ покласти обов’язки з підготовки технічних засобів у виділених приміщеннях (якщо ці засоби вимагають попередньої підготовки) до проведення особливо важливих заходів.
13. Про проведення особливо важливих заходів відповідальним особам вчасно повідомляти підрозділ ТЗІ.
14. Начальнику підрозділу по завершенні організаційних, організаційно-технічних і технічних заходів для захисту об’єктів органу, щодо якого здійснюється ТЗІ провести перевірку заходів і представити мені Акт прийому робіт із захисту від можливого витоку ІзОД для узгодження і наступного затвердження.
15. Начальнику підрозділу разом із призначеними мною відповідальними за забезпечення режиму у виділених приміщеннях підготувати і представити мені на затвердження графік проведення періодичних атестаційних перевірок виділених приміщень і технічних засобів, що в них знаходяться.
16. Про всі виявлені при атестації й атестаційних перевірках порушення доповідати мені для вжиття оперативних заходів.