ДСТУ 3396.1-96

ГОСУДАРСТВЕННЫЙ  СТАНДАРТ  УКРАИНЫ

Защита информации

Техническая защита информации.

Порядок проведения работ

 

Защита информации

Техническая защита информации.

Порядок проведения работ

 

Information protection

Technical protection of information.

Order of carrying out the works


                                                               Действующий от   01.07.1997 г.

 

 

1 Область использования

 

Этот стандарт устанавливает требования к порядку проведения работ по технической защите информации (ТЗІ).

Требования стандарта обязанности для предприятий и учреждений всех форм собственности и подчинение, граждан-субъектов предпринимательской деятельности, органов государственной власти, органов местного самоуправления, военных частей всех военных формирований, представительств Украины за границей, которые владеют, пользуются и распоряжаются информацией, которая подлежит технической защите.

 

2 Нормативные ссылки

 

В этом стандарте приведена ссылки на такой стандарт:

ДСТУ 3396.0-96   Защита информации. Техническая защита информации. Основные положения.

 

3 Общие положения

 

3.1 Информация с ограниченным доступом (Ізод) в процессе информационной деятельности (ІД), основными видами которой являются получения, использование, распространение и хранение Ізод, может испытывать влияние угроз ее безопасности(далее - угроза), в результате чего может состояться ее исток или нарушения целостности информации.

Склонность Ізод к влиянию угроз определяет ее впечатлительность.

Способность системы защиты информации противостоять влиянию угроз определяет защищенность Ізод.

 

3.2 Возможные такие варианты защиты информации:

- достижение необходимого уровня защиты Ізод за минимальных затрат и допустимого уровня ограничений видов ІД;

- достижение необходимого уровня защиты Ізод за допустимых затрат и заданного уровня ограничений видов ІД;

- достижение максимального уровня защиты Ізод за необходимых затрат и минимального уровня ограничений видов ІД.

Защита информации, которая не является государственной тайной, обеспечивается, как правило, применением первого или второго варианту.

 Защита информации, которая представляет государственную тайну, обеспечивается, как правило, применением третьего варианту.

 

3.3 Содержание и последовательность работ по противодействию угрозам или их нейтрализации должны отвечать указанным в ДСТУ 3396.0-96 этапам функціювання системы защиты информации и заключается в:

-  проведении обследования предприятия, учреждения, организации(далее - предприятие);

- разработке и реализации организационных, первичных технических, основных технических мероприятий по использованием средств обеспечения ТЗІ (приложение А);

- приеме работ по ТЗІ;

- аттестации средств (систем) обеспечение  ІД на соответствие требованиям нормативных документов с ТЗІ.

 

3.4 Порядок проведения работ по ТЗІ или отдельных их этапов устанавливается приказом (распоряжением) руководителя предприятия.

Работы должны выполняться силами предприятия под руководством специалистов с ТЗІ.

Для участі в роботах, подання методичної допомоги, оцінювання повноти та якості реалізації заходів захисту можуть залучатися спеціалісти з ТЗІ інших організацій, які мають ліцензію органа, уповноваженого Кабінетом Міністрів України.

 

4 Организация проведения обследования

 

4.1 Целью обследования предприятия есть изучения его ІД, определение объектов защиты  - Ізод, выявление угроз, их анализ и построение отдельной модели угроз.

 

4.2 Обследование должно быть проведено комиссией, состав которой определяется ответственным за ТЗІ лицом и утверждается приказом руководителя предприятия.

 

4.3 В ходе обследования необходимо:

- провести анализ условий функціювання предприятия, его расположение на местности  (ситуационного плана) для определения возможных источников угроз;

- исследовать средства обеспечения ІД, которые имеют выход за границы контролируемой территории;

- выучить схемы средств и систем жизнеобеспечения предприятия (электропитание, уземлення, автоматизации, пожарной и охранительной сигналізацій), а также инженерных коммуникаций и металлоконструкций;

- исследовать информационные потоки, технологические процессы передачи, получение, использование, распространение и хранение(далее - обработку) информации и провести необходимые измерения;

- определить наличие и техническое состояние средств обеспечения ТЗІ;

- проверить наличие на предприятии нормативных документов, которые обеспечивают функціювання системы защиты информации, организацию проектирования строительных работ с учетом требований ТЗІ, а также нормативной и эксплуатационной документации, которая обеспечивает ІД;

- проявить наличие транзитных, незадействованных (воздушных, настенных, внешних и заложенных в канализацию) кабелей, кругов и проводов;

- определить технические средства и системы, применение которых не обгрунтовано служебной или производственной необходимостью и которые подлежат демонтированию;

- визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ.

 

4.4 По результатам обследования нужно составить акт, который должен быть утвержден руководителем предприятия.

 

4.5 Материалы обследования необходимо использовать во время разработки отдельной модели угроз, которая должна включать:

- генеральный и ситуационный планы предприятия, схемы расположения средств и систем обеспечения ІД, а также инженерных коммуникаций, которые выходят за пределы контролируемой территории;

- схемы и описания каналов утечки информации, каналов специального влияния и путей несанкційованого доступа к Ізод;

- оценку вреда, который предполагается от реализации угроз.

 

5 Организация разработки системы защиты информации

 

5.1 На основании материалов обследования и отдельной модели угроз необходимо определить главные задачи защите информации и составить техническое задание (ТЗ) на разработку системы защиты информации.

 

5.2 ТЗ должно включать основные разделы:

- требования к системе защиты информации;

- требования к составу проектной и эксплуатационной документации;

- этапы выполнения работ;

- порядок внесения изменений и дополнений в разделы ТЗ;

- требования к порядку проведения испытания системы защиты.

 

5.3 Основой функціювання системы защиты информации есть план ТЗІ, что должен содержать такие документы:

- перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також вказівки щодо їхнього застосування;

- инструкции о порядке реализации организационных, первичных технических и основных технических мероприятий защиты;

- инструкции, которые устанавливают обязанности, права и ответственность персонала;

- календарный план ТЗІ.

 

5.4 ТЗ и план ТЗІ разрабатывают специалисты с ТЗІ, согласовывают с заинтересованными подразделами (организациями). Утверждает их руководитель предприятия.

 

6 Реализация организационных мероприятий защиты

 

6.1 Организационные мероприятия защиты информации - комплекс административных и ограничительных мероприятий, направленных на оперативное решение задач защите путем регламентации деятельности персонала и порядка функціювання средств (систем) обеспечение ІД и средств (систем) обеспечение ТЗІ.

 

6.2 В процессе разработки и реализации организационных мероприятий нужно:

- определить отдельные задачи защите Ізод;

- обгрунтувати структуру и технологию функціювання системы защиты информации;

- разработать и внедрить правила реализации мероприятий ТЗІ;

- определить и установить права и обязанности подразделов и лиц, которые принимают участие в обработке Ізод;

- приобрести средства обеспечения ТЗІ и нормативные документы и обеспечить ими предприятие;

- установить порядок внедрения защищенных средств обработки информации, программных и технических средств защиты информации, а также средств контроля ТЗІ;

- установить порядок контроля функціювання системы защиты информации и ее качественных характеристик;

-  определить зоны безопасности информации;

- установить порядок проведения аттестации системы защиты інформаціїі, ее элементов и разработать программы аттестационного испытания;

- обеспечить управление системой защиты информации.

 

6.3 Оперативное решение задач ТЗІ достигается организацией управления системой защиты информации, для чего необходимо:

- изучать и анализировать технологию прохождения Ізод в процессе ІД;

- оценивать  склонность Ізод к влиянию угроз в конкретный момент времени;

- оценивать ожидаемую эффективность применения средств обеспечения ТЗІ;

- определять (за необходимости) дополнительную потребность в средствах обеспечения ТЗІ;

- осуществлять собирание, обработку и регистрацию данных, которые относятся к ТЗІ;

- разрабатывать и реализовывать предложения относительно корректирования плана ТЗІ в целом или отдельных его элементов.

 

7 Реализация первичных технических мероприятий защиты

 

7.1 В процессе реализации первичных технических мероприятий нужно обеспечить:

- блокирование каналов утечки информации;

- блокирование несанкційованого доступа к информации или ее носителям;

- проверку исправности и трудоспособности технических средств обеспечения ІД.

 

7.2 Блокирование каналов утечки информации может осуществляться:

- демонтированием технических средств, линий связи, сигнализации и управление, энергетических сетей, использование которых не связано с жизнеобеспечением предприятия и обработкой Ізод;

- удалением отдельных элементов технических средств, которые являются средой распространения полей и сигналов, из помещений, где циркулирует Ізод;

- временным отключением технических средств, которые не берут участия в обработке Ізод, от линий связи, сигнализации, управление и энергетических сетей;

- применением способов и схемных решений из защиты информации, которые не поднимают основных технических характеристик средств обеспечения ІД.

 

7.3 Блокирование несанкційованого доступа к информации или ее носителям может осуществляться:

-   созданием условий работы в пределах установленного регламента;

- унеможливленням использования программных, программно-аппаратных средств, которые не прошли проверки (испытание).

 

7.4 Проверку исправности и трудоспособности технических средств и систем обеспечения ІД необходимо проводить согласно эксплуатационным документам.

Выявленные неисправные блоки и элементы могут оказывать содействие истоку или нарушению целостности информации и подлежат немедленной замене (демонтированию).

 

8 Реализация основных технических мероприятий защиты

 

8.1 В процессе реализации основных технических мероприятий защиты нужно:

- установить средства выявления и индикации угроз и проверить их трудоспособность;

- установить защищенные средства обработки информации, средства ТЗІ и проверить их трудоспособность;

- применить программные средства защиты в средствах вычислительной техники, автоматизированных системах, осуществить их функційне тестирование и тестирование на соответствие требованиям защищенности;

- применить специальные инженерно-технические сооружения, средства (системы).

 

8.2 Выбор средств обеспечения ТЗІ предопределяется фрагментарным или комплексным способом защиты информации.

Фрагментарная защита обеспечивает противодействие определенной угрозе.

Комплексная защита обеспечивает одновременное противодействие множества угроз.

 

8.3 Средства выявления и индикации угроз применяют для сигнализации и оповещение владельца (пользователя, распорядителя) Ізод об утечке информации или нарушение ее целостности.

 

8.4 Средства ТЗІ применяются автономно или совместно с техническими средствами обеспечения ІД для пассивного или активного утаивания Ізод.

Для пассивного утаивания применяют фильтры-ограничители, линейные фильтры, специальные абонентские устройства защиты и электромагнитные экраны.

Для активного утаивания применяют вузькосмугові и широкосмугові генераторы линейного и пространственного зашумлення.

 

8.5 Программные средства применяются для обеспечения:

- идентификации и автентифікації пользователей, персонала и ресурсов системы обработки информации;

- размежевание доступа пользователей к информации, средствам вычислительной техники и технических средств автоматизированных систем;

- целостности информации и конфигурации автоматизированных систем;

- регистрации и учета действий пользователей;

- маскировка обрабатываемой информации;

- реагирование (сигнализации, отключение, остановка работ, отказа в запросе) на попытки несанкційованих действий.

 

8.6 Специальные инженерно-технические сооружения, средства и системы применяются для оптического, акустического, электромагнитного и другого экранирования носителей информации.

К ним принадлежат специально оборудованные светопроницаемые, технологическое и санитарно-техническое отверстия, а также специальные камеры, перекрытие, навесы, каналы и т.п..

 

8.7 Размещение, монтирование и прокладывание специальных инженерно-технических средств и систем, среди них систем уземлення и электропитание средств обеспечения ІД, нужно осуществлять согласно требованиям нормативных документов с ТЗІ.

 

8.8 Технические характеристики, порядок применения и проверки средств обеспечения ТЗІ приводят в соответствующей эксплуатационной документации.

 

9 Прием, определение полноты и качества работ

 

9.1 По результатам выполнения рекомендаций акта обследования и реализации мероприятий защиты Ізод нужно составить в произвольной форме акт приемки работ по ТЗІ, который должен подписать производитель работ, лицо, ответственное за ТЗІ, и утвердить руководитель предприятия.

Примечание. По потребности акт приемки работ может быть согласован с заинтересованными организациями.

 

9.2 Для определения полноты и качества работ по ТЗІ нужно провести аттестацию. Аттестация выполняется организациями, которые имеют лицензии на право деятельности в области ТЗІ.

 

9.3 Объектами аттестации являются системы обеспечения ІД и их отдельные  элементы, где циркулирует информация, которая подлежит технической защите.

 

9.4 В ходе аттестации нужно:

- установить соответствие объекта, который аттестуется, требованиям ТЗІ;

- оценить качество и надежность мероприятий защиты информации;

- оценить полноту и достаточность технической документации для объекта аттестации;

- определить необходимость внесения изменений и дополнений в организационно-распорядительные документы и т.п..

Порядок аттестации устанавливается нормативными документами системы  ТЗІ.

 

 

 

 

 

 

 
 
 
Joomla templates by a4joomla