Слайд 1Лекція 14
Створення комплексів технічного захисту інформації.
Атестація комплексів.
Основні положення
НД ТЗІ 2.1-002-07
Слайд 2
Встановлює:
- порядок проведення випробувань комплексу
ТЗІ;
- порядок атестації комплексу ТЗІ;
-
вимоги до розроблення програм і методик випробувань;
- вимоги до розроблення висновків за результатами випробувань.
НД ТЗІ 2.1-002-07
Слайд 4У «Висновках за результатами випробувань комплексу ТЗІ» вказують
мету, призначення,
вид, обсяг випробувань, місце і термін їх проведення;
дані про затверджені
програми і методики випробувань;
склад технічних засобів, обладнання, необхідних для випробувань;
результати випробувань щодо їх відповідності вимогам НД з питань ТЗІ.
Документ «Висновки за результатами випробувань комплексу ТЗІ» затверджує керівник установи, яка виконувала випробування, підписують їх виконавці.
Слайд 5Проведення випробувань
При проведенні випробувань необхідне матеріально-технічне і метрологічне забезпечення здійснюють
їх виконавці.
Засоби вимірювальної техніки мають відповідати вимогам методик випробувань (не
допускається застосовувати засоби, які не пройшли метрологічну атестацію або термін повірки прострочено).
Слайд 6 Установа-замовник створення комплексу ТЗІ забезпечує умови проведення його атестації.
Виконавець атестації
комплексу ТЗІ аналізує дані про його створення на ОІД, висновки
за результатами випробувань, інші відомості.
У процесі проведення випробувань і атестації комплексів ТЗІ їх виконавці заповнюють відповідні паспорти.
Слайд 7Порядок розроблення та оформлення програм і методик випробувань
Програми і
методики випробувань узгоджує керівник установи-замовника створення комплексу ТЗІ та затверджує
керівник установи, яка виконувала випробування.
Слайд 9У розділі «Загальні положення» наводять
повну назву установи, підрозділу, ОІД,
де створюється комплекс ТЗІ;
підстави для проведення випробувань;
відомості про виконавців випробувань;
мету
і основні завдання;
види інформації (ІзОД, що озвучується та/або обробляється технічними засобами тощо), для яких впроваджуються відповідні заходи із захисту від витоку інформації технічними каналами;
терміни проведення випробувань.
Слайд 10Обсяг робіт
Під час проведення випробувань здійснюють перевірку повноти та
достатності реалізованих заходів із захисту інформації на ОІД (перевірку виконання
вимог щодо захисту від витоку ІзОД можливими технічними каналами).
Обсяг випробувань та посилання на відповідні методики можуть бути викладені у вигляді таблиці
Слайд 11У розділі «Методики випробувань» наводять
відомості про методи проведення випробувань.
Слайд 12Умови та порядок проведення випробувань
умови щодо початку і завершення
робіт з випробувань;
послідовність проведення перевірок комплексу ТЗІ на відповідність вимогам
НД з питань ТЗІ;
особливості функціонування складових частин комплексу ТЗІ, що підлягають випробуванню;
заходи, що забезпечують безпеку проведення випробувань.
Слайд 13У розділі «Матеріально-технічне і метрологічне забезпечення» наводять
перелік заходів з
метрологічного забезпечення випробувань із розподілом завдань і відповідальності підрозділів, що
беруть участь у випробуваннях;
склад засобів вимірювальної техніки із зазначенням ознак їх придатності до застосування, вимоги до них;
перелік необхідної конструкторської та іншої документації;
порядок підготовки і використання матеріально-технічних засобів у процесі випробувань.
Слайд 14 Дані про вимірювальне обладнання можуть бути викладені у вигляді таблиці
Слайд 15У розділі «Аналіз і оцінка результатів випробувань» наводять
обсяг вихідних
даних, які необхідні для оцінки результатів випробувань;
показники та критерії, за
якими комплекс ТЗІ вважається таким, що пройшов випробування.
За результатами випробувань складаються протоколи, де надаються висновки про відповідність вимогам НД з питань ТЗІ. Висновки повинні містити конкретні формулювання, що забезпечують їх однозначне трактування.
Слайд 16У розділі «Вимоги щодо забезпечення охорони державної таємниці та іншої
інформації з обмеженим доступом» вказують
організаційні заходи, які мають бути
проведені при виконанні робіт з випробувань
Слайд 17Атестація комплексів ТЗІ
Атестація комплексу ТЗІ проводиться з метою визначення
відповідності вимогам НД з питань ТЗІ виконаних робіт зі створення
комплексу ТЗІ на ОІД та повноти проведених випробувань.
Атестація може проводитися окремо щодо кожного виду ІзОД, що підлягає технічному захисту (ІзОД, що озвучуватиметься та/або оброблятиметься технічними засобами тощо). Вимоги щодо проведення атестації мають бути передбачені у технічному завданні на створення комплексу ТЗІ.
Слайд 18 Атестація комплексу ТЗІ може бути первинною, черговою та позачерговою.
Термін проведення
чергової атестації вказується в акті атестації та паспорті на комплекс
ТЗІ (строк дії акта атестації не повинен перевищувати два роки).
Позачергову атестацію, а також необхідні випробування проводять у разі змін умов функціонування ОІД, що приводять до змін загроз для ІзОД, яка озвучуватиметься та/або оброблятиметься технічними засобами тощо, та за висновками органів, які контролюють стан ТЗІ.
Слайд 19Етапи атестації комплексу ТЗІ:
визначення виконавця атестації;
аналіз умов функціонування ОІД,
технічної документації на комплекс ТЗІ, результатів випробувань;
аналіз та оцінка технічної
документації на комплекс ТЗІ вимогам НД з питань ТЗІ;
перевірка відповідності вихідних даних щодо створення комплексу ТЗІ реальним умовам розміщення ОІД;
перевірка складу комплексу ТЗІ на відповідність даним, зазначеним у технічній документації;
Слайд 20перевірка наявності сертифікатів або експертних висновків на засоби забезпечення ТЗІ
загального призначення;
перевірка відповідності монтажу та умов експлуатації засобів забезпечення ТЗІ
вимогам експлуатаційної документації;
перевірка оформлення проекту паспорта на комплекс ТЗІ і паспорта на кожне приміщення;
розгляд висновків за результатами випробувань;
оформлення підсумкового документа – акта атестації комплексу ТЗІ;
оформлення актів пломбування.
Слайд 21Акт атестації комплексу ТЗІ має містити:
підстави для проведення атестації;
дані
про виконавця атестації;
дату проведення атестації;
результати атестації;
зауваження і рекомендації ;
висновки щодо
відповідності комплексу ТЗІ вимогам технічних завдань і НД з питань ТЗІ;
термін проведення чергової атестації (строк дії акта атестації);
перелік додатків
Слайд 22 Виконавцем атестації комплексу ТЗІ може бути установа, яка має відповідну
ліцензію або дозвіл на провадження діяльності в галузі ТЗІ, одержані
у встановленому законодавством порядку.
Відносини між замовником створення та виконавцем атестації комплексу ТЗІ регламентуються укладеним між ними договором.