 |
|
Організація проведення обстеження об'єктів інформаційної діяльності Підприємства
3.5.
Метою обстеження об'єктів інформаційної діяльності Підприємства є вивчення його ІД, визначення об'єктів захисту — ІзОД; виявлення загроз, їхній аналіз та побудова окремої моделі загроз.
Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і затверджується наказом Керівника Підприємства.
У ході обстеження необхідно:
— провести аналіз умов функціонування ОІД Підприємства, розташування їх на місцевості (ситуаційного плану) для визначення можливих джерел загроз;
— дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території;
— вивчити схеми засобів і систем життєзабезпечення ОІД (електроживлення, заземлення, автоматизації, пожежної та охоронної сигналізації), а також інженерних комунікацій та металоконструкцій;
— дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, поширення й зберігання (далі — опрацювання) інформації і провести необхідні вимірювання;
— визначити наявність і технічний стан засобів забезпечення ТЗІ;
— перевірити наявність на ОІД нормативних документів, які забезпечують функціонування системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД;
— виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;
— визначити технічні засоби і системи, застосування яких не обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;
— визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ.
За результатами обстеження слід скласти акт, який повинен бути затверджений Керівником Підприємства.
Матеріали обстеження необхідно використовувати під час розроб лення окремої моделі загроз, яка повинна включати:
— генеральний та ситуаційний плани Підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території;
— схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкціонованого доступу до ІзОД;
Організація розроблення системи захисту інформації
3.7.
На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту інформації та скласти технічне завдання (ТЗ) на розроблення системи захисту інформації.
ТЗ повинно включати основні розділи:
— вимоги до системи захисту інформації;
— вимоги до складу проектної та експлуатаційної документації;
— етапи виконання робіт;
— порядок внесення змін і доповнень до розділів ТЗ;
— вимоги до порядку проведення випробування системи захисту. Основою функціонування системи захисту інформації є план ТЗІ,
що повинен містити такі документи:
— перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також вказівки щодо їхнього застосування;
— інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту;
— інструкції, що встановлюють обов'язки, права та відповідальність персоналу;
— календарний план ТЗІ.
ТЗ і план ТЗІ розробляють спеціалісти з ТЗІ, узгоджують із зацікавленими підрозділами (організаціями). Затверджує їх Керівник Підприємства.