НД ТЗІ 3.3-001-07

Захист інформації на об’єктах інформаційної діяльності.
Створення комплексу технічного захисту інформації.
Порядок розроблення та впровадження заходів із захисту інформації

 

Чинний від 2007-12-12

1 Галузь використання

Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає порядок проведення робіт під час створення комплексу ТЗІ на об’єкті інформаційної діяльності (ОІД) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі – установа) на етапі розроблення (проектування) та впровадження заходів із захисту від витоку інформації з обмеженим доступом (ІзОД) технічними каналами.

НД встановлює вимоги до розроблення пояснювальної записки з ТЗІ, паспорта на комплекс ТЗІ та паспортів (як складових паспорта на комплекс ТЗІ) на приміщення, де ІзОД озвучується та/або обробляється технічними засобами.

2 Нормативні посилання

У цьому НД є посилання на такі нормативні документи:

ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.

ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва.

ДБН А.2.2-3-04 Проектування. Склад, порядок розроблення, погодження та затвердження проектної документації для будівництва.

НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення.

3 Визначення

У цьому НД використовують терміни відповідно до ДСТУ 3396.2 і НД ТЗІ 1.1-005-07.

4 Позначення

У цьому НД використовують такі позначення:

ІзОД – інформація з обмеженим доступом;

ОІД – об’єкт інформаційної діяльності;

ТЗІ – технічний захист інформації.

5 Загальні положення

5.1 Етап “Розроблення та впровадження заходів із захисту інформації” на ОІД є другим етапом створення комплексу ТЗІ.

5.2 На другому етапі виконавець робіт з ТЗІ відповідно до вимог затвердженого технічного завдання на створення комплексу ТЗІ організовує розроблення пояснювальної записки з ТЗІ, де зазначає перелік, зміст, терміни виконання робіт щодо цього створення, склад документів, що розробляються під час його створення тощо.

Також можуть бути зазначені:

– результати розгляду варіантів заходів із захисту від витоку інформації технічними каналами та орієнтовні техніко-економічні показники щодо цього захисту;

– схеми комплексу ТЗІ;

– пропозиції щодо визначення співвиконавців робіт з ТЗІ на ОІД;

– обґрунтування необхідності організації розроблення проектно-кошторисної документації щодо створення комплексу ТЗІ на ОІД;

– висновки та пропозиції.

При цьому мають бути враховані:

– пропозиції від підрозділу-заявника на створення комплексу ТЗІ щодо організації проведення робіт з ТЗІ;

– відомості про ОІД;

– результати проведення категорування об'єктів;

– відомості про вже створені (діючі) комплекси ТЗІ;

– перспективи подальших робіт з ТЗІ;

– технічні і економічні можливості установи із впровадження організаційних, інженерних і технічних заходів з ТЗІ на ОІД.

5.3 Виконавець робіт з ТЗІ також організовує:

– розроблення (у разі необхідності) згідно з вимогами ДБН А.2.2-2 і ДБН А.2.2-3 проектно-кошторисної документації;

– здійснення (у разі необхідності) відповідних будівельних, монтажно-налагоджувальних робіт та післяопераційного технічного контролю щодо повноти їх виконання;

– придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого обладнання;

– впровадження на ОІД заходів з ТЗІ;

– розроблення проектів паспортів на комплекс ТЗІ.

5.4 У проектно-кошторисній документації щодо будівництва ОІД заходи з ТЗІ відображаються за відповідними напрямами: в будівельних кресленнях, планах території, споруд, приміщень, схемах електроживлення, зв’язку, вентиляції тощо. Розроблену проектно-кошторисну документацію в частині ТЗІ затверджує замовник встановленим порядком (згідно з ДБН А 2.2-3).

5.5 Відповідно до пояснювальної записки з ТЗІ або проектної документації виконавець організовує впровадження заходів з ТЗІ.

5.6 За результатами впровадження заходів з ТЗІ і проведення випробувань здійснюють (за необхідності) відповідне коригування проектно-кошторисної, конструкторської, експлуатаційної та іншої технічної документації.

5.7 Організаційні, інженерні і технічні заходи щодо створення комплексу ТЗІ на ОІД повинні відповідати вимогам НД з питань ТЗІ та можуть містити:

– архітектурно-будівельні заходи;

– заходи з пасивного захисту ІзОД (оптичне, акустичне, електромагнітне екранування, засоби захисту інформації в телефонних, інших проводових лініях, засоби у захищеному виконанні тощо);

– заходи з активного захисту ІзОД (генератори віброакустичного, просторового, акустичного та електромагнітного зашумлення, лінійного електромагнітного зашумлення тощо).

Під час створення комплексу ТЗІ перевага має надаватися архітектурно-будівельним заходам та заходам пасивного захисту ІзОД.

6 Порядок розроблення та оформлення паспорта на комплекс ТЗІ

6.1 Основним експлуатаційним документом на комплекс ТЗІ є паспорт і його складові – паспорти на приміщення, де ІзОД озвучується та/або обробляється технічними засобами (далі – паспорти).

Паспорти призначено для:

– ознайомлення з відомостями про інформацію, що підлягає захисту від витоку технічними каналами;

– ознайомлення з проектними і технічними рішеннями, що реалізовані у комплексі ТЗІ;

– встановлення правил експлуатації (використання за призначенням, технічне обслуговування, перевірки основних характеристик, ремонт, перевірки за умови виявлення порушень правил експлуатації приміщення та технічних засобів, а також у разі порушення пломб на технічних засобах та засобах захисту тощо);

– відображення відомостей про технічне обслуговування комплексу, його основні характеристики (визначені під час приймання комплексу), планові перевірки, атестації, а також про ремонт та утилізацію.

Паспорти затверджує керівник установи-замовника. Кожен паспорт повинен мати окремий обліковий (інвентарний, архівний) номер.

6.2 Паспорт на комплекс ТЗІ має титульний аркуш (додаток А) і містить такі розділи:

1) Загальні вказівки.

2) Загальні відомості.

3) Технічні характеристики комплексу ТЗІ.

4) Гарантії.

5) Відомості про випрбування і атестацію комплексу ТЗІ.

6) Облік технічного обслуговування.

7) Відомості про проведені роботи під час експлуатації комплексу ТЗІ.

8) Особливі відмітки.

9) Додатки.

6.3 Під час оформлення паспорта на комплекс ТЗІ перелік та зміст його розділів допускається уточнювати залежно від складу ОІД, кількості приміщень, де циркулюватиме ІзОД, призначення приміщень, місць розміщення на ОІД засобів ТЗІ та технічних характеристик комплексу ТЗІ.

6.3.1 Розділ “Загальні вказівки” містить вказівки щодо експлуатації комплексу ТЗІ на ОІД та заповнення і ведення паспорта. Зокрема у цьому розділі має бути зазначено:

– фаховий рівень посадової особи, яка організовує експлуатацію комплексу ТЗІ на ОІД;

– порядок заміни обладнання, проведення ремонтних робіт на ОІД, внесення змін до паспорта на комплекс ТЗІ;

– порядок використання радіотелефонів, кінцевих пристроїв рухомого (мобільного, сотового, пейджингового, транкінгового тощо) зв'язку.

Затверджений паспорт на комплекс ТЗІ допускається коригувати, вносити до нього зміни, при цьому у записах не допускається проводити підчищення, попередній запис має бути закреслений і поруч зроблено новий, що завіряється встановленим порядком.

6.3.2 У розділі “Загальні відомості” наводять:

– назву та дислокацію підрозділу, що замовляв створення комплексу ТЗІ;

– відомості про інформацію з обмеженим доступом (табл.1);

Таблиця 1

Характеристика ІзОД

(умови озвучення, засоби оброблення тощо)

Найменування приміщень, де ІзОД озвучується та/або обробляється технічними засобами тощо

Ступінь обмеження

доступу до інформації

1

2

3

– витяг із затвердженого керівником установи рішення (наказу, розпорядження) щодо створення комплексу ТЗІ на ОІД, у т.ч. інформацію про посаду та прізвище відповідальної особи, що призначена керівником установи для організації, супроводження та координації робіт на всіх етапах створення комплексу ТЗІ;

– дані про акт обстеження на ОІД, модель загроз для ІзОД, приписи на експлуатацію засобів оброблення інформації, технічні вимоги, завдання щодо створення комплексу ТЗІ, розроблену проектно-кошторисну документацію тощо, дані про їх склад, реквізити, реєстраційні номери, місце зберігання, короткі витяги (у разі необхідності) з них;

– опис конструкцій ОІД, де створено комплекс ТЗІ, а саме: будинків, споруд, салонів транспортних засобів тощо (конструкція та матеріали стін, перекриттів, вікон, дверей, інженерних комунікацій тощо), їх особливості;

– перелік технічних засобів, що обробляють ІзОД, а також засобів забезпечення ТЗІ (вказують інвентарні номери і дані про наявність сертифікатів або експертних висновків з ТЗІ);

– відомості про виконані випробування (у т.ч. спеціальні дослідження технічних засобів, які обробляють ІзОД). Назви документів, їх склад, реквізити, реєстраційні номери, місце зберігання, короткі витяги з них;

– місця виходу за межі контрольованої зони елементів технологічного обладнання, систем зв’язку, радіофікації, телебачення, сигналізації, автоматизації, керування, заземлення, електро-, газо-, водопостачання, опалення, вентиляції, кондиціонування повітря, водостоку, каналізації, огороджувальних будівельних конструкцій тощо.

6.3.3 У розділі “Технічні характеристики комплексу ТЗІ” наводять перелік технічних засобів як складових комплексу ТЗІ, що можуть впливати на ефективність захищеності інформації і бути середовищем поширення носіїв інформації, та їх технічні характеристики (табл. 2).

Таблиця 2

Технічна

характери-стика

(параметр)

Номінальне значення параметра

відповідно до норм, вимог

Значення параметра

під час

випробування комплексу

Значення параметра під час експлуатації комплексу ТЗІ

За

результата-ми контролю

Вид контролю

Дата

Посада,

прізвище,

підпис, висновки

1

2

3

4

5

6

7

6.3.4 Розділ “Гарантії” складають у разі наявності відповідних зобов’язань розробника технічних засобів або виконавця впровадження заходів із захисту інформації щодо гарантійних термінів. Наводять пропозиції щодо терміну проведення чергової атестації.

6.3.5 У розділі “Відомості про випробування і атестацію комплексу ТЗІ” наводять:

– види інформації, стосовно яких проводили випробування і атестацію комплексу ТЗІ;

– терміни проведення випробування та атестації комплексу ТЗІ, їх виконавців;

– дані про протоколи випробування та акти атестації комплексу ТЗІ (назви документів, їх склад, реквізити, реєстраційні номери, місце зберігання, короткі витяги з них);

– терміни проведення чергової атестації і відповідних випробувань.

Висновки про результати випробувань наводять у вигляді таблиці 3.

Таблиця 3

Перелік висновків про результати випробувань

Дата

Виконавець проведення випробувань

Примітка

1

2

3

4

6.3.6 Розділ “Облік технічного обслуговування” складають у разі, якщо такі види робіт передбачені. У розділі наводять:

– відомості про технічне обслуговування комплексу ТЗІ, його види;

– дату проведення технічного обслуговування;

– відомості про виконавців технічного обслуговування.

Зазначені відомості наводять у вигляді таблиці 4.

Таблиця 4

Дата

Вид технічного

Напрацювання

Підстава (наймену-вання,

Установа, посада, прізвище і підпис

Примітка

 

обслугову-вання

з початку експлуа-тації

після остан-

нього ремонту

номер і дата докумен-та)

хто виконав роботу

хто перевірив виконання роботи

 

1

2

3

4

5

6

7

8

6.3.7 У розділі “Відомості про проведені роботи під час експлуатації комплексу ТЗІ” наводять:

– облік робіт, що виконано під час експлуатації комплексу ТЗІ на ОІД (містить записи про незаплановані роботи з усунення відмов під час експлуатації, перевірку відсутності закладних пристроїв тощо). Записи про ці роботи наводять у вигляді таблиць 5, 6;

Таблиця 5

Дата

Найменування

роботи і причина

її виконання

Посада, прізвище і підпис

Примітка

роботу виконав

перевірив виконання роботи

1

2

3

4

5

Таблиця 6

Періодичний контроль відсутності закладних пристроїв, підстава для контролю

Дата

Посада, прізвище, підпис виконавців контролю

Відмітка про усунення недоліків

1

2

3

4

– періодичні та інші перевірки стану комплексу ТЗІ та правильності ведення паспорта (реєструються за формою таблиць 7, 8);

Таблиця 7

Дата, тема періодичного контролю стану технічних характеристик, підстави для контролю (посилання на пункти табл. 2)

Резуль-тати контролю

Посади, прізвища, підписи виконавців контролю

Відмітка про усунення недоліків

1

2

3

4

Таблиця 8

Дата

Вид

перевірки

Результати перевірки

Прізвища і підписи осіб, що перевіряють

Відмітка про усунення недоліків

1

2

3

4

5

– дані щодо повірки засобів вимірювань (містить перелік засобів вимірювань, які підлягають періодичній повірці, із зазначенням їх заводських номерів, періодичності повірки та дати проведення повірок). Підрозділ вводиться у разі наявності засобів вимірювань у складі комплексу ТЗІ. Відомості щодо повірки засобів вимірювань наводять у вигляді таблиці 9;

Таблиця 9

Найменування

та позначення засобів

вимірювання

Заводський номер

Дата виготов-лення

Періо-дичність повірки

Дата повірки

(термін чергової повірки)

Примітка

1

2

3

4

5

6

– дані про інспекційні перевірки.

6.3.8 Розділ “Особливі відмітки” містить декілька чистих аркушів для записів, що можуть бути здійснені під час експлуатації комплексу ТЗІ.

6.3.9 До додатків (за необхідності) додають паспорти на кожне приміщення, де циркулює інформація з обмеженим доступом.

6.4 Паспорт на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами (як складова частина технічного паспорта на комплекс ТЗІ), має титульний аркуш (додаток Б) і містить такі розділи:

1) Загальні вказівки.

2) Технічні характеристики приміщення.

3) Відомості про проведені роботи з ТЗІ під час експлуатації приміщення.

6.5 Перелік та зміст розділів паспорта на приміщення також допускається уточнювати залежно від того, які дані будуть наведені в технічному паспорті на комплекс ТЗІ.

6.5.1 Розділ “Загальні вказівки” містить вказівки щодо експлуатації комплексу ТЗІ в конкретному приміщенні, заповнення і ведення паспорта.

6.5.2 У розділі “Технічні характеристики приміщення” наводять:

– назву приміщення і структурного підрозділу в установі, до якого воно відноситься, відомості про його дислокацію;

– план приміщення, план розміщення пристроїв зв’язку, кабельних і телекомунікаційних мереж, інженерних комунікацій та координати точок із властивостями нелінійності, план-схеми або опис затвердженої контрольованої зони, зон безпеки інформації стосовно кожного технічного каналу її витоку;

– загальний опис приміщення, інженерних комунікацій та інші відомості; характеристику приміщення: його розташування в будинку, споруді (поверх, архітектурні осі, ряди); інформацію про суміжні приміщення (у т.ч. поверхом вище і нижче); особливості розташування вікон, дверей, інших будівельних отворів;

– витяг із затвердженої моделі загроз для ІзОД (або посилання на модель загроз), у т.ч. щодо даних про можливі місця розміщення засобів технічної розвідки (стаціонарних або автономних автоматичних), що можуть використовуватися для тривалого перехоплення оброблюваної ІзОД, а також найменших відстаней від технічних засобів, що оброблятимуть інформацію, до межі контрольованої зони тощо;

– дані про технічні характеристики складових комплексу ТЗІ (у разі необхідності розгортання, доповнення або окремого наведення, ці дані оформляють у вигляді таблиці 2).

6.5.3 У розділі “Відомості про проведені роботи з ТЗІ під час експлуатації приміщення” наводять:

– облік робіт, що виконано під час експлуатації комплексу ТЗІ у приміщенні. Записи про зазначені роботи наводять у вигляді таблиць 5,6;

– періодичні, інші перевірки стану комплексу ТЗІ та правильності ведення паспорта реєструються за формою таблиць 7, 8;

– проведену повірку засобів вимірювальної техніки (реєструється за формою таблиці 9).

Додаток А

(довідковий)

Форма титульного аркуша паспорта на комплекс технічного захисту інформації

Ступінь обмеження доступу

Прим. №

ЗАТВЕРДЖЕНО

Керівник установи-замовника

__________________________

____. ____. 20____

Паспорт

на комплекс технічного захисту інформації

---------------------------------------------------------------------------------------------------

(назва, належність об’єкта інформаційної діяльності, на якому розташований комплекс ТЗІ)

(назва підрозділів установи, що заявляли створення комплексу ТЗІ)

Документ підписують:

– керівник підрозділу установи, що заявляв створення комплексу ТЗІ;

– посадова особа, призначена для організації експлуатації комплексу ТЗІ;

– представник від підрозділу, якому доручено організацію і супроводження робіт з ТЗІ в установі;

– інші особи ознайомлені з паспортом, у частині, що їх стосується.

Додаток Б

(довідковий)

Форма титульного аркуша паспорта на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами

Ступінь обмеження доступу

Прим. №

ЗАТВЕРДЖЕНО

Керівник установи-замовника

__________________________

____. ____. 20____

Паспорт

на приміщення, де інформація з обмеженим доступом озвучується та/або обробляється технічними засобами

(складова частина паспорта на комплекс ТЗІ)

(назва, призначення приміщення)

(назва підрозділу установи, що заявляв створення комплексу ТЗІ)

Документ підписують:

– керівник підрозділу установи, що заявляв створення комплексу ТЗІ;

– посадова особа, призначена для організації експлуатації комплексу ТЗІ.