НОРМАТИВНІ ДОКУМЕНТИ ЩОДО ОХОРОНИ ІНФОРМАЦІЇ 5 страница
- ознайомлення з проектами і технічними рішеннями, що реалізовані у
комплексі ТЗІ;
- встановлення правил експлуатації (використання за призначенням, те-
хнічне обслуговування перевірки основних характеристик, ремонт, пе-
ревірки за умови виявлення порушень правил експлуатації приміщен-
ня та технічних засобів, а також у разі порушення пломб на технічних
засобах та засобах захисту тощо);
- відображення відомостей про технічне обслуговування комплексу, йо-
го основні характеристики, планові перевірки, атестації, а також ре-
монт та утилізацію.
Паспорт на комплекс ТЗІ має титульний аркуш і містить такі розділи:
1) Загальні вказівки.
2) Загальні відомості.
3) Технічні характеристики комплексу ТЗІ.
4) Гарантії.
Відомості про випробування і атестацію комплексу ТЗІ.
5) Облік технічного обслуговування.
6) Відомості про проведені роботи під час експлуатації комплексу ТЗІ.
7) Особливі відмітки.
8) Додатки.
НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп'ютерні системи.
Порядок створення, впровадження, супроводження та модернізації засобів тех-
нічного захисту інформації від несанкціонованого доступу. Цей документ був
затверджений наказом ДСТСЗІ СБ України №60 від 20.12.2000 р. Чинний з
25.12.2000 року. Містить умови для запровадження єдиної системи вимог щодо
створення, впровадження, супроводження та модернізації засобів ТЗІ від несан-
кціонованого доступу в комп'ютерних системах установ, організації та підпри-
ємств, а також взаємовідносин суб'єктів ТЗІ з Департаментом. Обов'язковий
для виконання всіма суб'єктами ТЗІ та призначено для розробників, виробників
(впроваджувальних організацій), споживачів засобів ТЗІ, де обробляється інфо-
рмація, захист якої забезпечується державою, а також органами, що здійснюють
функції оцінювання засобів ТЗІ.
Згідно з положенням по ТЗІ України в КС, де обробляється інформація,
яка є власністю держави або захист якої гарантується державою, повинні вико-
ристовуватись засоби ТЗІ, які мають документ, що засвідчує їх відповідність
вимогам НД з питань ТЗІ (експертний висновок та/або сертифікат відповіднос-
ті).
Склад засобів ТЗІ, що використовуються під час створення комплексу за-
собів захисту інформації, визначають власники КС, де обробляється інформа-
ція, яка підлягає захисту, або уповноважені ними суб'єкти системи ТЗІ, з ура-
хуванням того, що ці засоби повинні мати рівень гарантій коректності реаліза-
ції послуг безпеки (НД ТЗІ 2.5 - 004 - 99) не нижчий від рівня гарантій створю-
ваного КЗЗ.
Дозволяється в АС класі «1» та «2» (НД ТЗІ 2.5 - 005 - 99) використання
засобів ТЗІ за рівне гарантій на один нижче від рівня гарантій створюваного
КЗЗ, за умов реалізації в цих АС необхідного обсягу організаційних заходів, об-
сяг цих заходів визначається моделями загроз та порушника, умовами експлуа-
тації АС тощо.
Засоби криптографічних перетворень, які є складовою частиною засобів
ТЗІ, повинні відповідати вимогам НД з питань криптографічного захисту інфо-
рмації.
З метою досягнення певного рівня гарантій реалізацій функціональних по-
слуг безпеки інформації розробника (впроваджувані організації) засобів ТЗІ по-
винні взаємодіяти з Департаментом спеціальних телекомунікаційних систем та
захисту інформації Служби безпеки України відповідно до цього НД . При цьо-
му слід враховувати, що рівнів гарантії встановлено 7.
Під час створення захищених від несанкціонованого доступу компонентів
обчислювальної техніки узгоджені ДСТС ЗІ СБУ підлягають тільки питання,
пов'язані з реалізацією функцій захисту інформації.
НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання
на створення комплексної системи захисту інформації в автоматизованій сис-
темі. НД був затверджений наказом ДСТСЗІ СБ України №22 від 28.04.99 p., а
став чинним від 01.07.1999 року.
Документ складається із наступних розділів:
- галузь використання;
- нормативні посилання;
- визначення;
- позначення і скорочення;
- загальні вимоги до розробки технічного завдання на створення комплек-
сної системи захисту інформації в автоматизованій системі;
- вимоги до змісту розділів технічного завдання.
Цей НД встановлює вимоги до порядку розробки, складу і змісту технічно-
го завдання на створення комплексної системи захисту інформації в автомати-
зованій системі, призначеній для оброблення, зберігання і передачі інформації з
обмеженим доступом інформації, захист якої гарантується державою.
Технічне завдання на створення КСЗІ в АС є засадничим організаційно-
технічним документом для виконання робіт щодо забезпечення захисту інфор-
мації в системі.
Технічне завдання на КСЗІ розробляється з урахуванням комплексного пі-
дходу до побудови КСЗІ, який передбачає об'єднання в єдину систему всіх не-
обхідних заходів і засобів захисту від різноманітних загроз безпеці інформації
на всіх етапах життєвого циклу АС.
В технічному завданні на КСЗІ викладаються вимоги до функціонального
складу і порядку розробки і впровадження технічних засобів, що забезпечують
безпеку інформації в процесі її оброблення в обчислювальній системі АС. До-
датково треба вкласти вимоги до організаційних, фізичних та інших заходів за-
хисту, що реалізуються поза обчислювальною системою АС у доповнення до
комплексу програмно-технічних засобів захисту інформації.
Перелік вимог з захисту інформації, які вимагаються в ТЗ на КСЗІ, може
бути для кожної конкретної АС як розширений, так і скорочений відносно ре-
комендованого в даному НД переліку в рамках діючих законодавчих і нормати-
вних документів.
Вимоги повинні передбачати розроблення та використання сучасних ефек-
тивних засобів і методів захисту, які дають можливість забезпечити виконання
цих вимог з найменшими матеріальними затратами.
НД ТЗІ 3.7-002-99 Технічний захист інформації на програмно-керованих
АТС загального користування. Методика оцінки захищеності інформації (базо-
ва). Затверджено наказом ДСТСЗІ СБ України №26 від 28.05.99 р. Чинний від
01.07.1999 року.
НД має наступні розділи:
- галузь використання;
- нормативні посилання;
- визначення, позначення і скорочення;
- загальні положення;
- порядок виконання робіт з оцінки захищеності інформаційних ресурсів
АТС;
- оцінка коректності реалізації системи ТЗІ;
- оцінка рівня довіри до коректності реалізації системи ТЗІ;
- порядок подання результатів оцінки захищеності інформації на АТС та
додатки.
Цей НД містить основу (базову) методику оцінки захищеності інформації,
що циркулює на програмно-керованих АТС загального користування, а також
на установчих (відомчих, корпоративних) АТС.
Методика, яка викладена у НД, може бути реалізована, якщо відома мо-
дель загроз інформаційним ресурсам оцінюваної АТС.
Для одержання впевненості в тому, що АТС забезпечує очікувану якість
захисту інформаційних ресурсів, необхідне підтвердження досягнутого рівня
якості такого захисту з боку незалежного експерта.
Згідно цій методиці оцінка захищеності інформації на АТС проводиться у
двох напрямках.
Перший напрямок містить у собі оцінку коректності (тобто, сутності)
створеній на АТС системи ТЗІ, як-от:
- оцінюється коректність результатів проектування моделі захисту АТС,
тобто визначається, чи дійсно запроектована множина ФПЗ з обраними в
процесі проектування рівня стійкості механізмів реалізації цих послуг
може забезпечити необхідний рівень захисту інформаційних ресурсів від
суттєвих загроз;
- оцінюється коректність результатів проектування і реалізації КЗМЗ, тоб-
то визначається, чи дійсно створений КЗМЗ безпомилково і повною мі-
рою реалізує відображену у проекті множину функціональної послуги
захисту;
- оцінюється ефективність системи ТЗІ на АТС, тобто визначається корек-
тність результатів аналізу "слабких місць " у захисті інформаційних ре-
сурсів з урахуванням особливостей конструкції АТС і умов експлуатації.
Другий напрямок містить у собі оцінку рівня довіри до результатів, що
отримані в процесі оціночних робіт у рамках першого напрямку рівня довіри до
коректності реалізації на АТС системи ТЗІ.
Тут мається на увазі, що висновок про коректність оцінювальної системи
ТЗІ може бути зроблений на базі різної повноти і глибини знань про неї. Тому і
рівень довіри до результатів оцінки коректності може бути різним.
Розробка коректної моделі захисту, а також коректна реалізація функціо-
нальної послуги захисту і механізмів захисту в повній відповідальності з нор-
муючими специфікаціями ще не гарантує досягнення необхідного рівня захи-
щеності інформаційних ресурсів на АТС. У системі ТЗІ на АТС можуть бути,
так звані "слабкі місця " , через котрі або за допомогою яких можливі реалізації
загроз для інформації.
Якщо система ТЗІ на АТС забезпечує потрібні рівні стійкості до впливу
прямих атак на використані механізми захисту, то ефективність такої системи
захисту цілком залежить від рівня її досконалості стосовно слабких місць. Тому
оцінка слабких місць називається оцінкою ефективності системи захисту.
Мета проведення оціночних робіт - підтвердити або спростувати зазначену
в заявочних документах ступінь впевненості в тому, що система ТЗІ на оціню-
ваній програмно-керованій АТС коректно реалізована і забезпечує зазначений
певний рівень захищеності інформаційних ресурсів.
Метою оцінки коректності структури системи ТЗІ є встановлення факту,
чи дійсно структура системи захисту, що надана у вигляді взаємопов'язаної
можливості функціональної послуги захисту із зазначеними рівнями стійкості
механізмів реалізації цих послуг, може забезпечити очікуваний рівень захище-
ності інформаційних ресурсів на АТС.
Необхідними даними для оцінки є:
- заявлений рівень захищеності інформаційних ресурсів АТС, сформульо-
ваний у термінах моделі загроз, тобто у вигляді переліку суттєвих загроз
для інформації із зазначеними гранично припустимими рівнями втрат
від їхніх можливих реалізацій;
- перелік функціональних послуг, що включені у модель захисту;
- перелік механізмів захисту з зазначеними рівнями їхньої стійкості;
- аналіз придатності функціональних послуг захисту, що включені у мо-
дель захисту, протистояти суттєвим загрозам;
- аналіз взаємодії функціональних послуг захисту між собою;
- аналіз відомих "слабких місць" у структурі системи захисту.
Метою оцінки рівня довіри до коректності реалізації системи ТЗІ є підтве-
рдження або спростування визнаного у заявочних документах ступеня впевне-
ності у тому, що реалізована на оцінюваній АТС система ТЗІ забезпечує необ-
хідний рівень захищеності інформаційних ресурсів.
У цьому НД специфікується сім можливих рівнів довіри до коректності
ТЗІ.
Довірчі критерії підрозділяються на чотири групи:
- вимоги до документації, що містить результати розробки, виготовлення
та випробувань системи ТЗІ на оцінюваній АТС;
- гарантії забезпечення інформаційної захищеності середовищ розробки,
виготовлення та випробувань оцінюваної АТС, у тому числі і системи
ТЗІ на ній;
- вимоги до експлуатаційної документації на систему ТЗІ для оцінюваної
АТС;
- гарантії забезпечення інформаційної захищеності експлуатаційного се-
редовища на оцінюваній АТС.
Відповідно до вимог, які вкладені в цьому НД, оцінці підлягає:
- коректність реалізації системи ТЗІ на оцінюваній АТС;
- рівень довіри до висновку про коректність реалізації системи ТЗІ на оці-
нюваній АТС.
Оцінка коректності реалізації системи ТЗІ виконується згідно критеріїв ді-
євості, викладеним у цьому НД.
НД ТЗІ 4.7-001-2001 Технічний захист мовної інформації в симетричних
абонентських аналогових телефонних лініях. Засоби визначення наявності та
віддаленості місця контактного підключення засобів технічної розвідки. Реко-
місця контактного підключення засобів технічної розвідки. Реко-
мендації щодо розроблення методів випробувань. Затверджений наказом
ДСТСЗІ СБ України №11 від 06.04.2001 р. Чинний з 10.04.2001 р. Встановлює
порядок проведення випробувань засобів технічного захисту мовної інформації
в симетричних абонентських телефонних лініях загального користування. Ви-
моги цього НД є рекомендаційними.
НД розповсюджується на ЗТЗІ наступних типів:
- СТЗІ виявленні паралельно підключених ЗТР до ATJI, шляхом визна-
чення змін напруги та стуму в лінії;
- ЗТЗІ виявлення послідовно підключених ЗТР до ATJI, шляхом визна-
чення змін напруги та струму в лінії;
- ЗТЗІ виявлення наявності та вимірювання відстані до місця підклю-
чення ЗТР до ATJI шляхом застосування зонд-сигналів.
У НД наведені схеми вимірювань та формули щодо розрахунків парамет-
рів, які дозволяють визначити необхідні параметри СТЗІ.
НД ТЗІ Р-001-2000 Засоби активного захисту мовної інформації з акусти-
чним та віброакустичними джерелами випромінювання. Класифікація та зага-
льні технічні вимоги. Рекомендації. Цей НД затверджений наказом ДСТСЗІ СБ
України №41 від 04.09.2000 р.
Документ складається із слідуючих розділів:
- галузь використання;
- нормативні посилання;
- визначення;
- класифікація;
- вимоги за призначенням;
- загальні технічні вимоги.
Дія цих рекомендацій поширюється на технічні засоби активного захисту
мовної інформації від витоку акустичним та віброакустичним каналами, реко-
мендації містять класифікацію засобів та загальні технічні вимоги до них.
Засоби, залежно від їх функціональних та схемно-конструктивних особли-
востей, поділяються:
- за типом випромінювача - на засоби з акустичними та віброакустичними
джерелами випромінювання;
- за характером розподілення спектра маскуючого сигналу - на засоби бі-
лого шуму;
- за характером направленості - на засоби направлені та ненаправлені.
У розділах "Вимоги за призначенням " та "загальні технічні вимоги " наве-
дені вимоги щодо діапазону робочих частот вихідних небезпечних сигналів,
вихідних та усереднених акустичних та віброакустичних сигналів, межі допус-
тимого відхилення параметрів вихідного сигналу та нестабільність. Крім того
конкретні технічні вимоги та значення параметрів встановлюється в ТУ на за-
соби, що узгоджуються та затверджуються в установленому чинним НД поряд-
ку.
Вимоги щодо захисту інформації від витоку каналами, що можуть утвори-
тися внаслідок використання засобу, визначає замовник. Ці вимоги встановлю-
ються в ТУ на засоби.
Глава VI