Построение и аттестация комплексов технической защиты информации на объектах электронно - вычислительной техники - актуальные вопросы
14 мая 2014
Построение и аттестация комплексов технической защиты информации на объектах электронно - вычислительной техники - актуальные вопросы
С чего начать создание объекта информационной деятельности для подготовки секретных документов в электронном виде?
Предположим, что в вашей организации не имеет подразделения по технической защите информации.
Вам потребуется:
1. Купить основные средства обработки информации.
1.1. Компьютер в составе:
- Монитор;
- Системный блок (жесткий диск достаточного объема, 2GB оперативной памяти минимально и DVD/CD при необходимости);
- Клавиатура и манипулятор "мышь" - обязательно проводные;
- Принтер или многофункциональное устройство (при выборе учитывайте доступную возможность заправки картриджа);
- Внешние носители информации с интерфейсом USB (flesh memory, USB-HDD);
- Источник бесперебойного питания.
Не рекомендуется использовать для данных целей старый компьютер, который может быть морально устаревшим, не поддерживать работу специального программного обеспечения, выйти из строя.
1.2 . Технические средства защиты, которые Вы сможете найти на нашем ресурсе в соответствующем разделе. Как правило, это генератор электромагнитных маскирующих помех, помехоподавляющий фильтр для сети электропитания (в некоторых случаях могут потребоваться завадозаглушувальни фильтры для линий связи и сигнализации) и средство защиты информации от несанкционированного доступа. Спецификация средств защиты уточняется перед заключением договора.
Примечание:
Обязательно сохраняйте паспорта на технические средства защиты информации. Если необходимо отдать оригинал- сделайте себе копию. Информация понадобится при проведении аттестации КТЗИ и экспертизе КСЗИ.
2. Осуществить следующие работы:
2.1. Построение комплексной системы защиты информации (КСЗИ)
2.2. Проведение государственной экспертизы КСЗИ
Только после этого готовится приказ о вводе объекта в эксплуатацию.
Более подробно остановимся на пункте 2.1. - А именно, на его части, которая касается важных вопросов построения и аттестации комплекса ТЗИ.
Итак, решение принято, средства выделены - начинается документальная работа.
Сразу определимся, что объект информационной деятельности, на котором обработка секретной информации осуществляется средствами электронно - вычислительной техники называется - объект ЭВТ.
Комплекс технической защиты информации является неотъемлемой частью КСЗИ на автоматизированную систему.
Для успешного проведения работ нужно определить ответственного за сопровождение работ и своевременную подготовку документов.
Необходимо четко понимать объект какой категории мы строим. Данное решение принимает комиссия по категорирование, документы на создание которой необходимо будет подготовить Вам (конечно, мы поможем и в этом вопросе). Для того, чтобы комиссия приняла правильное решение ей нужно предоставить достоверную информацию, а именно:
- Ответ уполномоченного органа (управления СБУ или Госспецсвязи) на Ваш запрос относительно условий расположения объекта ЭВТ. Запрос необходимо подготовить в самую первую очередь;
- Предложение, по размещению объекта в конкретном помещении.
Самый распространенный случай - ПЭВМ устанавливается в режимном помещении , на которое есть Акт пригодности ...., которое соответствует требованиям ДБН и внесен в перечень режимных - тогда дополнительные меры проводить не нужно. В случае расположения объекта ЭВТ в другом помещении - нужно выполнить все требования ДБН и возможно, переоформлять спецразрешение.
Следующий шаг - подготовка приказа об установлении границ контролируемой зоны. Границы КЗ могут проходить по периметру внешнего ограждения, ограждающих конструкций здания или помещения. В любом случае с нашей стороны будет оказана помощь при решении и этого вопроса.
Акт категорирования и приказ об определении границ КЗ являются основными документами перед проведением обследования помещения. Комиссия по обследованию создается приказом руководителя учреждения. В случае необходимости к ней с согласия может быть включен специалист ООО " ТЗИ ". Для качественной и быстрой работы важно тесное взаимодействие с инженерными службами вашей организации: энергетиком, инженером по системам вентиляции и кондиционирования, тепло -, водоснабжения, инженерами охранной и пожарной сигнализаций, телефонной связи.
Результатом взаимодействия подразделений будут схемы и описания инженерных коммуникаций здания, а именно:
1 ) электропитания:
- Линия электропитания бытовая;
- Линия электропитания компьтерного оборудования;
- Линия электропитания систем кондиционирования;
- Линия электропитания освещения;
- Линия электропитания аварийного освещения;
- Контуры заземления, их размещения, протоколы измерения сопротивления заземления;
- Использование зануления (подтверждение документами, проектными).
2 ) система теплообеспечения:
- Общегородская;
- Собственная бойлерная;
- Материал, из которого сделаны трубы.
3) Телефонная связь:
- Какая АТС используется в вашей организации, каким кабелем выполнено соединение внутренней АТС и городской: оптическим или медным ?
3) система радиотрансляционному связи:
- Наличие громкоговорителя радиотрансляционной связи, схемы прокладки линии по зданию, этажу, помещению.
4 ) охранная и пожарная сигнализации
- Тип датчиков, схемы прокладки линий по зданию, этажу, помещению, размещение пульта охраны, централей .
5 ) локальная вычислительная сеть:
- Тип кабеля, розеток, схемы прокладки линий по зданию, этажу, помещению; местоположение коммутационных узлов, серверной.
Собранная информация позволит качественно подготовить документы, установить средства защиты информации, провести инструментальные исследования по результатам которых готовятся следующие документы:
- Паспорт на комплекс технической защиты информации;
- Протокол специсследований технических средств объекта электронно-вычислительной техники;
- Программа и методика испытаний комплекса технической защиты информации на объекте электронно-вычислительной техники;
- Протокол оценки эффективности защищенности информации на объекте электронно-вычислительной техники;
- Выводы по результатам испытаний комплекса ТЗИ на объекте электронно-вычислительной техники;
- Акт аттестации комплекса технической защиты информации на объекте электронно- вычислительной техники (который действителен в течение 1- го года);
- Предписание по эксплуатации объекта электронно-вычислительной техники;
- Акт опломбирования технических средств объекта электронно-вычислительной техники.
После проведения данных работ и работ по созданию КСЗИ в Администрацию ГСССЗИ Украины направляется заявка на проведение государственной экспертизы КСЗИ в АС. После успешного проведения государственной экспертизы владелец вводит систему в промышленную эксплуатацию на основании аттестата соответствия и только после этого можно осуществлять обработку ИсОД.
Коллектив специалистов ООО "ТЗИ" будет рад применить свой опыт в решении стоящих перед Вами задач.
С уважением, коллектив отдела технической защиты информации ООО "ТЗИ".