Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Означення та скорочення 1 страница
Застосовані в цьому Посібнику означення та терміни мають такий зміст: технічний захист інформації (ТЗІ) — діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації; система ТЗІ — сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами, нормативно-правова та їхня матеріально-технічна база; контрольована зона — територія, на якій унеможливлюється несанкціоноване перебування сторонніх осіб; модель загроз — формалізований опис методів та засобів здійснення загроз для інформації; інформаційна система — автоматизована система, комп'ютерна мережа або система зв'язку; виділені приміщення — приміщення, в яких циркулює інформація з обмеженим доступом; контрольно-інспекційна робота з питань ТЗІ — діяльність, спрямована на визначення та вдосконалення стану ТЗІ органів, щодо яких здійснюється ТЗІ, та на проведення контролю за виконанням суб'єктами системи ТЗІ завдань або проведенням діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями; атестація виділених приміщень — комплекс спрямованих на реалізацію заходів з ТЗІ робіт, метою яких є приведення виділених приміщень у відповідність до вимог нормативних документів з ТЗІ та визначення відповідності захищеності виділеного приміщення встановленій категорії; порушення з ТЗІ — невиконання вимог нормативно-правових актів з питань ТЗІ, яке створює умови або реальну можливість порушення конфіденційності, цілісності або доступності інформації. Перелік означень та термінів У цьому посібнику ТЗІ використовуються такі позначення та скорочення: БД — база даних; ДТЗ — допоміжні технічні засоби; ЕОМ — електронно-обчислювальна машина; ІД — інформаційна діяльність; ІзОД — інформація з обмеженим доступом; ІТС — інфо'рмаційно-телекомунікаційна система; КЗЗ — комплекс засобів захисту; КРТ — копіювально-розмножувальна техніка; КС — комп'ютерна система; КСЗІ — комплексна система захисту інформації; НД — нормативний документ; НД ТЗІ — нормативний документ системи технічного захисту інформації; НСД — несанкціонований доступ; ОІД — об'єкт інформаційної діяльності; ОС — обчислювальна система; ОТЗ — основні технічні засоби; ПЗІ — підрозділ захисту інформації; ПЕМВН — побічні електромагнітні випромінювання й наведення; ПЗ — програмне забезпечення; ПЗП — постійний запам'ятовувальний пристрій; ПРД — правила розмежування доступу; ПМА — програми та методики атестації; РСО — режимно-секретний орган; ТЗІ — технічний захист інформації. 3. Порядок здійснення захисту інформації на об'єктах інформаційної діяльності Підприємства
Технічний захист інформації здійснюється поетапно: ' •1 етап — визначення й аналіз загроз; • 2 етап — розроблення системи захисту інформації; • 3 етап — реалізація плану захисту інформації; • 4 етап — контроль функціонування та керування системою захисту інформації.
3.1. Визначення й аналіз загроз На першому етапі слід зробити аналіз об'єктів ТЗІ, ситуаційного плану, умов функціонування Підприємства; оцінити ймовірність прояву загроз та очікувану шкоду від реалізації їх, підготувати дані для побудови окремої моделі загроз. Джерелами загроз може бути діяльність іноземних розвідок, а також навмисні або ненавмисні дії юридичних і фізичних осіб. Опис загроз і схематичне подання шляхів здійснення їх складають окрему модель загроз. Загрози можуть здійснюватися: • технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, а також акустичні, оптичні, радіо-, радіотехнічні, хімічні та ін.; • каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації; •несанкціонованим доступом шляхом підключення до апаратури та ліній зв'язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав'язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп'ютерних вірусів. 3.2. Розроблення плану захисту інформації На другому етапі розробляється план ТЗІ, що містить організаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначення зони безпеки інформації. Організаційні заходи регламентують порядок інформаційної діяльності з урахуванням норм і вимог ТЗІ для всіх періодів життєвого циклу ОІД. Первинні технічні заходи передбачають захист інформації блокуванням загроз без використання засобів ТЗІ. Основні технічні заходи передбачають захист інформації з використанням засобів забезпечення ТЗІ. Заходи захисту інформації повинні: • бути відповідними загрозам; • бути розробленими з урахуванням можливої шкоди від реалізації їх і вартості захисних заходів та обмежень, що вносяться ними; •забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз. Рівень захисту інформації визначається системою кількісних та якісних показників, які забезпечують розв'язання завдання захисту інформації на основі норм та вимог ТЗІ. Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпечнішій загрозі. Підвищення рівня захисту інформації досягається нарощуванням технічних заходів протидії безлічі загроз. Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізації заходів ТЗІ, розрахунку ефективності захисту та порядок атестації технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщень) установлюються нормативними документами системи ТЗІ.
3.2. Реалізація плану захисту інформації 3.3. На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні зони безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, технічних засобів захисту інформації, робочих місць (приміщень) на відповідність вимогам безпеки інформації. Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації (далі — засоби ТЗІ) та контролю ефективності захисту, які мають сертифікат відповідності вимогам нормативних документів системи УкрСЕПРО або дозвіл на використання їх від уповноваженого Кабінетом Міністрів України органу, а також застосуванням спеціальних інженєрно-технічних споруд, засобів і систем (далі — засоби забезпечення ТЗІ). Засоби ТЗІ можуть функціонувати автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у них складових елементів. Склад засобів забезпечення ТЗІ, перелік їхніх постачальників, а також послуг з установлення, монтажу, налагодження та обслуговування визначаються особами, що володіють, користуються й розпоряджаються ІзОД самостійно або за рекомендаціями спеціалістів з ТЗІ, згідно з нормативними документами системи ТЗІ. Надання послуг з ТЗІ, атестацію та сервісне обслуговування засобів забезпечення ТЗІ можуть здійснювати юридичні й фізичні особи, що мають ліцензію на право проведення цих робіт, видану органом, уповноваженим Кабінетом Міністрів України. 3.4. Організація проведення обстеження об'єктів інформаційної діяльності Підприємства 3.5. Метою обстеження об'єктів інформаційної діяльності Підприємства є вивчення його ІД, визначення об'єктів захисту — ІзОД; виявлення загроз, їхній аналіз та побудова окремої моделі загроз. Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і затверджується наказом Керівника Підприємства. У ході обстеження необхідно: — провести аналіз умов функціонування ОІД Підприємства, розташування їх на місцевості (ситуаційного плану) для визначення можливих джерел загроз; — дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території; — вивчити схеми засобів і систем життєзабезпечення ОІД (електроживлення, заземлення, автоматизації, пожежної та охоронної сигналізації), а також інженерних комунікацій та металоконструкцій; — дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, поширення й зберігання (далі — опрацювання) інформації і провести необхідні вимірювання; — визначити наявність і технічний стан засобів забезпечення ТЗІ; — перевірити наявність на ОІД нормативних документів, які забезпечують функціонування системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД; — виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів; — визначити технічні засоби і системи, застосування яких не обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню; — визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ. За результатами обстеження слід скласти акт, який повинен бути затверджений Керівником Підприємства. Матеріали обстеження необхідно використовувати під час розроб лення окремої моделі загроз, яка повинна включати: — генеральний та ситуаційний плани Підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території; — схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкціонованого доступу до ІзОД; 3.6. Організація розроблення системи захисту інформації 3.7. На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту інформації та скласти технічне завдання (ТЗ) на розроблення системи захисту інформації. ТЗ повинно включати основні розділи: — вимоги до системи захисту інформації; — вимоги до складу проектної та експлуатаційної документації; — етапи виконання робіт; — порядок внесення змін і доповнень до розділів ТЗ; — вимоги до порядку проведення випробування системи захисту. Основою функціонування системи захисту інформації є план ТЗІ, що повинен містити такі документи: — перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також вказівки щодо їхнього застосування; — інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту; — інструкції, що встановлюють обов'язки, права та відповідальність персоналу; — календарний план ТЗІ. ТЗ і план ТЗІ розробляють спеціалісти з ТЗІ, узгоджують із зацікавленими підрозділами (організаціями). Затверджує їх Керівник Підприємства.
3.6. Реалізація організаційних заходів захисту Організаційні заходи захисту інформації — комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу й порядку функціонування засобів (систем) забезпечення ІД та засобів (систем) забезпечення ТЗІ. У процесі розроблення й реалізації організаційних заходів треба: — визначити окремі задачі захисту ІзОД; — обґрунтувати структуру й технологію функціонування системи захисту інформації; — розробити і впровадити правила реалізації заходів ТЗІ; — визначити і встановити права та обов^язки підрозділів та осіб, що беруть участь в опрацюванні ІзОД; — придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними ОІД Підприємства; — установити порядок упровадження захищених засобів опрацювання інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ; — установити порядок контролю функціонування системи захисту інформації та її якісних характеристик; — визначити зони безпеки інформації; — установити порядок проведення атестації системи захисту інформації, її елементів і розробити програми атестаційного випробування; — забезпечити керування системою захисту інформації. Оперативне вирішення задач ТЗІ досягається організацією керування системою захисту інформації, для чого необхідно: — вивчати й аналізувати технологію проходження ІзОД у процесі ІД; — оцінювати схильність ІзОД до впливу загроз у конкретний момент часу; — оцінювати очікувану ефективність застосування засобів забезпечення ТЗІ; — визначати (за необхідністю) додаткову потребу в засобах забезпечення ТЗІ; — здійснювати збирання, опрацювання та реєстрацію даних, які належать до ТЗІ; — розробляти й реалізовувати пропозиції щодо коригування пла-ну ТЗІ в цілому або окремих його елементів.
3.7. Організаційно-правові заходи щодо охорони державної таємниці З метою охорони державної таємниці впроваджуються: — єдині вимоги до виготовлення, користування, збереження, передачі, транспортування та обліку матеріальних носіїв секретної інформації; — дозвільний порядок провадження органами державної влади, діяльності, пов'язаної з державною таємницею; — обмеження оприлюднення, передачі іншій державі або поширення іншим шляхом секретної інформації; — обмеження щодо перебування та діяльності в Україні іноземців, осіб без громадянства та іноземних юридичних осіб, їх доступу до державної таємниці, а також розташування і переміщення об'єктів і технічних засобів, що їм належать; — особливості здійснення органами державної влади їхніх функцій щодо органів державної влади, діяльність яких пов'язана з державною таємницею; — режим секретності органів державної влади, органів місцевого самоврядування, підприємств, установ і організацій, діяльність яких зв'язана з державною таємницею; — спеціальний порядок допуску та доступу громадян до державної таємниці; 3.8. Реалізація первинних технічних заходів захисту У процесі реалізації первинних технічних заходів треба забезпечити: — блокування каналів витоку інформації; — блокування несанкціонованого доступу до інформації чи її носіїв; — перевірку справності та працездатності технічних засобів забезпечення ІД. Блокування каналів витоку інформації може здійснюватися: — демонтуванням технічних засобів, ліній зв'язку, сигналізації та керування, енергетичних мереж, використання яких не пов'язано з життєзабезпеченням ОІД та опрацюванням ІзОД; — видаленням окремих елементів технічних засобів, які є середовищем поширення полів та сигналів, з приміщень, де циркулює ІзОД; — тимчасовим відключенням технічних засобів, які не беруть участь в опрацюванні ІзОД, від ліній зв'язку, сигналізації, керування та енергетичних мереж; — застосуванням способів та схемних рішень із захисту інформації, що не порушують основні технічні характеристики засобів забезпечення ІД. Блокування несанкціонованого доступу до інформації або її носіїв може здійснюватися: — створенням умов роботи в межах установленого регламенту; — унеможливленням використання програмних, програмно-апаратних засобів, що не пройшли перевірку (випробування). Перевірку справності та працездатності технічних засобів і систем забезпечення ІД необхідно проводити відповідно до експлуатаційних документів. Виявлені несправні блоки й елементи можуть сприяти витоку або порушенню цілісності інформації і підлягають негайній заміні (демонтуванню).
3.9. Реалізація основних технічних заходів захисту У процесі реалізації основних технічних заходів захисту необхідно: — установити засоби виявлення та індикації загроз і перевірити їхню працездатність; — установити захищені засоби опрацювання інформації, засоби ТЗІ та перевірити їхню працездатність; — застосувати програмні засоби захисту в засобах обчислювальної техніки, автоматизованих системах; здійснити їхнє тестування й тестування на відповідність вимогам захищеності; — застосувати спеціальні інженерно-технічні споруди, засоби (системи). Вибір засобів забезпечення ТЗІ зумовлюється фрагментарним або комплексним способом захисту інформації. Фрагментарний захист забезпечує протидію певній загрозі. Комплексний захист забезпечує одночасну протидію безлічі загроз. Засоби виявлення та індикації загроз застосовують для сигналізації та оповіщення власника (користувача, розпорядника) ІзОД про витік інформації чи порушення її цілісності. Засоби ТЗІ застосовуються автономно або разом з технічними засобами забезпечення ІД для пасивного або активного приховування ІзОД. Для пасивного приховування застосовують фільтри-обмежувачі, лінійні фільтри, спеціальні абонентські пристрої захисту та електромагнітні екрани. Для активного приховування застосовують вузькосмугові й широкосмугові генератори лінійного та просторового зашумлення. Програмні засоби застосовуються для забезпечення: — ідентифікації та автентифікації користувачів, персоналу й ресурсів системи опрацювання інформації; — розмежування доступу користувачів до інформації, засобів обчислювальної техніки й технічних засобів автоматизованих систем; — цілісності інформації та конфігурації автоматизованих систем; — реєстрації та обліку дій користувачів; — маскування опрацьованої інформації; — реагування (сигналізації, відключення, зупинення робіт, відмови у запиті) на спроби несанкціонованих дій. Спеціальні інженерно-технічні споруди, засоби та системи застосовуються для оптичного, акустичного, електромагнітного та іншого екранування носіїв інформації. До них належать спеціально обладнані світлопроникні, технологічні та санітарно-технічні отвори, а також спеціальні камери, перекриття, навіси, канали тощо. Розміщення, монтування та прокладання спеціальних інженерно-технічних засобів і систем, серед них систем заземлення та електроживлення засобів забезпечення ІД, слід здійснювати відповідно до вимог нормативних документів з ТЗІ. Технічні характеристики, порядок застосування та перевірки засобів забезпечення ТЗІ наводять у відповідній експлуатаційній документації.
3.10. Приймання, визначення повноти та якості робіт За результатами виконання рекомендацій акта обстеження та реалізації заходів захисту ІзОД слід скласти у довільній формі акт приймання робіт з ТЗІ, який повинен підписати виконавець робіт, особа, відповідальна за ТЗІ, та затвердити Керівник Підприємства. Для визначення повноти та якості робіт з ТЗІ слід провести атестацію. Атестація проводиться організаціями, які мають ліцензії на право діяльності в галузі ТЗІ. Об'єктами атестації є системи забезпечення ІД та їхні окремі елементи, де циркулює інформація, що підлягає технічному захисту. У ході атестації треба: — установити відповідність об'єкта, що атестується, вимогам ТЗІ; — оцінити якість та надійність заходів захисту інформації; — оцінити повноту та достатність технічної документації для обчєк-та атестації; — визначити необхідність внесення змін і доповнень до організаційно-розпорядчих документів тощо. Порядок атестації встановлюється нормативними документами системи ТЗІ.
4. Атестація системи захисту інформації Атестація комплексу ТЗІ (далі — атестація) здійснюється за відповідними програмою і методиками випробувань. На підставі результатів випробувань складається висновок щодо відповідності стану ТЗІ, який забезпечується комплексом, вимогам нормативних документів з ТЗІ. Атестація може бути первинною, черговою та позачерговою. Первинна атестація здійснюється після (або під час) приймання робіт із створення комплексу ТЗІ. Термін проведення чергової атестації визначається технічним паспортом на комплекс ТЗІ або актом попередньої атестації. Позачергову атестацію проводять у разі змін умов функціонування ОІД, що приводять до змін загроз для інформації, та за висновками органів, які контролюють стан ТЗІ. Етапи атестації: — визначення організації-виконавця атестації та оформлення відповідних організаційних документів; — аналіз умов функціонування ОІД, технічної документації на комплекс ТЗІ та розроблення й оформлення Програми і методик атестації (ПМА); — проведення випробувань відповідно до ПМА та оформлення протоколів випробувань і підсумкового документа — акта атестації. Суб'єкти атестації: — Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України (далі — Департамент); — організації-замовники атестації; — організації-виконавці атестації. Департамент: — організує розроблення та вдосконалення нормативних документів з атестації; — контролює виконання вимог щодо атестації та розглядає апеляції; — узгоджує вибір організації-виконавця атестації, ПМА та результати атестації на особливо важливих ОІД. Витрати на проведення атестації включаються до кошторису на проектування, будівництво та експлуатацію (утримання) ОІД. 4.1. Порядок організації та проведення атестації Організація-замовник на засадах, передбачених законодавством щодо закупівель послуг за рахунок державних коштів, визначає ор-ганізацію-виконавця атестації. Організацією-виконавцем атестації може бути підприємство, установа чи організація, які мають відповідну ліцензію або дозвіл на провадження діяльності в галузі ТЗІ, одержані у встановленому законодавством порядку. Відносини між організацією-замовником та організацією-виконавцем, яка є ліцензіатом, регламентуються укладеним між ними договором. У разі проведення атестації на особливо важливих ОІД визначення організації-виконавця атестації узгоджується з Департаментом. Організація-виконавець за результатами аналізу відомостей, наданих організацією-замовником, та, при необхідності, за результатами аналізу умов функціонування ОІД і загроз для інформації безпосередньо на ОІД, розробляє проект ПМА та подає його на узгодження організації-замовнику. Узгоджений організацією-замовником проект ПМА затверджує ор-ганізація-виконавець. У разі атестації комплексу ТЗІ на особливо важливих ОІД проект ПМА узгоджується також з Департаментом. Організація-замовник створює умови проведення атестації, передбачені договором та ПМА. Організація-виконавець проводить випробування відповідно до ПМА та оформляє акт атестації за формою Додатку 2 у двох примірниках (1-й надається організації-замовнику, 2-й — зберігається в організації-виконавця). До акту атестації додаються протоколи випробувань, передбачених ПМА. За результатами атестації заповнюється технічний паспорт на комплекс ТЗІ. У разі проведення атестації на особливо важливих ОІД матеріали з атестації у п'ятиденний термін організація-виконавець надає Департаменту. Департамент у двотижневий термін розглядає результати атестації, приймає рішення щодо можливості узгодження їх, реєструє акт атестації та надсилає його організації-замовнику, одночасно інформуючи про це організацію-виконавця.
4.2. Контроль функціонування та керування системою захисту інформації Контроль функціонування системи ТЗІ на об'єктах інформаційної діяльності Підприємства здійснюється з метою визначення й удосконалення стану ТЗІ в підрозділах Підприємства, щодо яких здійснюється ТЗІ, виявлення та запобігання порушенням з ТЗІ в інформаційних системах та об'єктах. Контроль стану ТЗІ в підрозділах Підприємства організується відповідно до планів, затверджених керівниками зазначених органів, шляхом проведення перевірок. Перевірки стану ТЗІ здійснюються безпосередньо комісіями, на які покладається забезпечення ТЗІ. Організація проведення перевірок стану ТЗІ, заходи з ТЗІ, які підлягають контролю, висновки та рекомендації визначаються цим Положенням та іншими нормативно-правовими актами з питань ТЗІ. Контрольно-інспекційна робота з питань ТЗІ включає планування та проведення перевірок стану ТЗІ в підрозділах Підприємства, щодо яких здійснюється ТЗІ, проведення аналізу та надання рекомендацій щодо вдосконалення заходів з ТЗІ. Перевірки поділяються на комплексні, цільові (тематичні) та контрольні. При комплексній перевірці вивчається та оцінюється стан ТЗІ в підрозділах Підприємства, щодо яких здійснюється ТЗІ. При цільовій (тематичній) перевірці вивчаються окремі напрямки ТЗІ, перевіряється виконання рішень (розпоряджень, наказів, вказівок) органів державної влади з питань ТЗІ в підрозділах, щодо яких здійснюється ТЗІ, виконання завдань або провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями суб'єктами системи ТЗІ. При контрольній перевірці перевіряється усунення недоліків, які були виявлені під час проведення попередньої комплексної або цільової перевірки. Зазначені перевірки можуть бути планові та позапланові, з попередженням та раптові. Позапланова перевірка здійснюється за вказівкою керівництва Підприємства в разі виникнення потреби визначення повноти та достатності заходів з ТЗІ за наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ. Перевірки здійснюються комісіями Підприємства, на які покладено виконання завдань щодо здійснення контролю за функціонуванням системи ТЗІ. При проведенні перевірки стану ТЗІ контролю підлягають організаційні, організаційно-технічні, технічні заходи з ТЗІ у виділених приміщеннях, інформаційних системах і об'єктах, повнота та достатність робіт з атестації виділених приміщень. Необхідно провести аналіз функціонування системи захисту інформації, перевірку виконання заходів ТЗІ, контроль ефективності захисту, підготувати та видати дані для керування системою захисту інформації. Керування системою захисту інформації полягає в адаптації заходів ТЗІ до поточного завдання захисту інформації. За фактами зміни умов здійснення або виявлення нових загроз заходи ТЗІ реалізуються в найкоротший строк. Контроль організаційних заходів з ТЗІ в підрозділах Підприємства включає перевірку: • переліку відомостей, що підлягають технічному захисту; • окремої моделі загроз для інформаційної системи або об'єкта; • плану контрольованої зони органу, щодо якого здійснюється ТЗІ; • переліку виділених приміщень органу, щодо якого здійснюється ТЗІ, інформаційних систем та об'єктів; • проведення категоріювання виділених приміщень та об'єктів. Контроль організаційно-технічних і технічних заходів щодо ТЗІ у виділених приміщеннях, інформаційних системах та об'єктах, повноти та достатності робіт з атестації виділених приміщень включає перевірку відповідності виконання цих заходів до нормативно-правових актів з питань ТЗІ. Організаційно-технічні й технічні заходи з ТЗІ у виділених приміщеннях, інформаційних системах та об'єктах, роботи з атестації виділених приміщень виконуються власними силами або суб'єктами підприємницької діяльності в галузі ТЗІ. За результатами комплексної перевірки комісією складається акт перевірки стану та ефективності заходів з технічного захисту інформації, а цільової та контрольної перевірки — довідка за довільною формою. Ознайомлення керівника суб'єкта системи ТЗІ з актом (довідкою) здійснюється під розпис. Керівник підрозділу зобов'язаний ужити невідкладні заходи щодо усунення недоліків і реалізації пропозицій комісії відповідно до вимог нормативно-правових актів з питань ТЗІ. Порушення встановлених норм та вимог з ТЗІ, виявлені під час проведення перевірок, поділяються на три категорії: • перша — невиконання норм та вимог з ТЗІ, внаслідок якого створюється реальна можливість порушення конфіденційності, цілісності й доступності інформації або її витоку технічними каналами; • друга — невиконання норм та вимог з ТЗІ, внаслідок якого створюються передумови для порушення конфіденційності, цілісності і доступності інформації або її витоку технічними каналами; • третя — невиконання інших вимог з ТЗІ. У разі виявлення порушення першої категорії застосовують такі заходи:. • голова комісії негайно доповідає керівництву Підприємства для прийняття рішення про припинення робіт, які проводились з порушенням норм і вимог ТЗІ, та про факт порушення; • здійснюються заходи з усунення порушень у терміни, погоджені з підрозділом, на який покладено забезпечення ТЗІ; • організовується в установленому порядку розслідування причин, які призвели до порушень, з метою недопущення їх у подальшому і притягнення осіб, які припустили порушення нормативно-правових актів з питань ТЗІ, до відповідальності згідно із законодавством України; Дозвіл на відновлення робіт, під час виконання яких були виявлені порушення норм і вимог ТЗІ першої категорії, дає керівник Підприємства за погодженням з підрозділом, на який покладено забезпечення ТЗІ після усунення порушень і перевірки достатності й ефективності вжитих заходів з ТЗІ.
|