e-mail:
(044) 239-21-47
УКРРУС
Головна / Статті / Побудова та атестація комплексів технічного захисту інформації на об’єктах електронно-обчислювальної техніки - актуальні питання

Побудова та атестація комплексів технічного захисту інформації на об’єктах електронно-обчислювальної техніки - актуальні питання

Побудова та атестація комплексів технічного захисту інформації на об’єктах електронно-обчислювальної техніки - актуальні питання

14 травня 2014

Побудова та атестація комплексів технічного захисту інформації на об’єктах електронно-обчислювальної техніки - актуальні питання

З чого розпочати створення об’єкта інформаційної діяльності для підготовки секретних документів в електронному вигляді?

Припустимо, що у вашій організації не має підрозділу з технічного захисту інформації.
Вам потрібно:

1. Придбати основні засоби обробки інформації.
1.1. Комп’ютер у складі:

  • монітор;
  • системний блок (жорсткий диск достатнього об’єму, 2GB оперативної пам’яті мінімально та DVD/CD за необхідністю);
  • клавіатура та маніпулятор “миша” - обов’язково дротові; 
  • принтер або багатофункціональний пристрій (при виборі враховуйте доступну можливість заправки картриджа);
  • зовнішні носії інформації з інтерфейсом USB (flesh memory, USB-HDD);
  • джерело безперебійного живлення.

Не рекомендується використовувати для даних цілей старий комп’ютер, який може бути морально застарілим, не підтримувати роботу спеціального програмного забезпечення, вийти з ладу.

1.2. Технічні засоби захисту, які Ви зможете знайти на нашому ресурсі в відповідному розділі. Як правило, це генератор електромагнітних маскуючих завад, завадозаглушувальний фільтр для мережі електроживлення (в деяких випадках можуть знадобитись завадозаглушувальні фільтри для ліній зв’язку та сигналізації) та засіб захисту інформації від несанкціонованого доступу. Специфікація засобів захисту уточнюється перед укладанням договору.
Примітка:
Обов’язково зберігайте паспорта на технічні засоби захисту інформації. Якщо необхідно віддати оригінал – зробіть собі копію. Інформація знадобиться при проведенні атестації КТЗІ та експертизі КСЗІ.

2. Здійснити наступні роботи:

2.1. Побудова комплексної системи захисту інформації (КСЗІ)

2.2. Проведення державної експертизи КСЗІ

Тільки після цього готується наказ про введення об’єкта в експлуатацію.

Більш детально зупинимось на пункті 2.1. – а саме, на його частині, яка стосується важливих питань побудови та атестації комплексу ТЗІ.
Отже, рішення прийнято, кошти виділені – починається документальна робота.

Одразу визначимось, що об’єкт інформаційної діяльності, на якому обробка таємної інформації здійснюється засобами електронно-обчислювальної техніки має назву - об’єкт ЕОТ.

Комплекс технічного захисту інформації є невід’ємною частиною КСЗІ на автоматизовану систему.

Для успішного проведення робіт потрібно визначити відповідального за супроводження робіт та своєчасну підготовку документів.
Необхідно чітко розуміти об’єкт якої категорії ми будуємо. Дане рішення приймає комісія з категоріювання, документи на створення якої необхідно буде підготувати Вам (звичайно, ми допоможемо й в цьому питанні). Для того, щоб комісія прийняла правильне рішення їй потрібно надати достовірну інформацію, а саме:

  • відповідь уповноваженого органу (управління СБУ або Держспецзв’язку) на Ваш запит щодо умов розташування об’єкту ЕОТ. Запит необхідно підготувати в найпершу чергу;
  • пропозицію, щодо розміщення об’єкту в конкретному приміщенні.

Найпоширеніший випадок – ПЕОМ встановлюється у режимному приміщенні, на яке є Акт придатності…., яке відповідає вимогам ДБН та внесено до переліку режимних - тоді додаткових заходів проводити не потрібно. У разі розташування об’єкта ЕОТ в іншому приміщенні – потрібно виконати всі вимоги ДБН та можливо, переоформляти спецдозвіл.

Наступний крок – підготовка наказу про встановлення меж контрольованої зони. Межі КЗ можуть проходити по периметру зовнішньої огорожі, огороджувальних конструкцій будівлі або приміщення. У будь-якому разі з нашого боку буде надана допомога при вирішенні й цього питання.

Акт категоріювання та наказ про визначення меж КЗ є основними документами перед проведенням обстеження приміщення. Комісія з обстеження створюється наказом керівника установи. У разі необхідності до неї за згодою може бути включений фахівець ТОВ “ТЗІ”. Для якісної та швидкої роботи важлива тісна взаємодія із інженерними службами вашої організації: енергетиком, інженером з систем вентиляції та кондиціонування, тепло-, водопостачання, інженерами з охоронної та пожежної сигналізацій, телефонного зв’язку. Результатом взаємодії підрозділів будуть схеми та описи інженерних комунікацій будівлі, а саме:

1) електроживлення:

  • лінія електроживлення побутова;
  • лінія електроживлення комп’терного обладнання;
  • лінія електроживлення систем кондиціювання;
  • лінія електроживлення освітлення;
  • лінія електроживлення аварійного освітлення;
  • контури заземлення, їх розміщення, протоколи виміри опору заземлення;
  • використання занулення (підтвердження документами, проектними).

2) система теплозабезпечення:

  • загальноміська;
  • власна бойлерна;
  • матеріал, з якого зроблені труби.

3) телефонний зв’язок:

  • яка АТС використовується у вашій організації, яким кабелем виконано з’єднання внутрішньою АТС та міською: оптичним чи мідним?

4) система радіотрансляційного зв’язку:

  • наявність гучномовця радіотрансляційного зв’язку, схеми прокладання лінії по будівлі, поверху, приміщенню.

5) охоронна та пожежна сигналізації:

  • тип датчиків, схеми прокладання ліній по будівлі, поверху, приміщенню, розміщення пульта охорони, централей.

6) локальна обчислювальна мережа:

  • тип кабелю, розеток, схеми прокладання ліній по будівлі, поверху, приміщенню; місця розташування комутаційних вузлів, серверної.

Зібрана інформація дозволить якісно підготувати документи, встановити засоби захисту інформації, провести інструментальні дослідження за результатами яких готуються наступні документи:

  • Паспорт на комплекс технічного захисту інформації;
  • Протокол спецдосліджень технічних засобів об’єкта електронно-обчислювальної техніки;
  • Програма і методика випробувань комплексу технічного захисту інформації на об’єкті електронно-обчислювальної техніки;
  • Протокол з оцінки ефективності захищеності інформації на об’єкті електронно-обчислювальної техніки;
  • Висновки за результатами випробувань комплексу ТЗІ на об’єкті електронно-обчислювальної техніки;
  • Акт атестації комплексу технічного захисту інформації на об’єкті електронно-обчислювальної техніки (що дійсний протягом 1-го року);
  • Припис з експлуатації об’єкта електронно-обчислювальної техніки;
  • Акт опломбування технічних засобів об’єкту електронно-обчислювальної техніки.

Після проведення даних робіт та робіт зі створення КСЗІ до Адміністрації ДССЗЗІ України надсилається заявка на проведення державної експертизи КСЗІ в АС. Після успішного проведення державної експертизи власник вводить систему у промислову експлуатацію на підставі атестата відповідності та тільки після цього можна здійснювати обробку ІзОД.

Коллектив фахівців ТОВ “ТЗІ” буде радий застосувати власний досвід у вирішенні поставлених перед Вами завдань.

З повагою, коллектив відділу технічного захисту інформації ТОВ “ТЗІ”.