НД ТЗІ 3.1-001-07

Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи

  1 Галузь використання

Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає основні положення щодо проведення передпроектних робіт при створенні на об'єкті інформаційної діяльності (ОІД) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі – установа) комплексу ТЗІ, який має забезпечувати захист від витоку інформації з обмеженим доступом (ІзОД) технічними каналами.
Цим НД встановлюються порядок та зміст проведення передпроектних робіт на ОІД, які вже функціонують або будуються (модернізуються), вимоги до оформлення акта обстеження на ОІД, а також вимоги до порядку розроблення та оформлення технічного завдання на створення комплексу ТЗІ (далі – ТЗ).

2 Нормативні посилання

У цьому НД є посилання на такі нормативні документи:
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.
ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва.
НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення.

3 Визначення

У цьому НД використовують терміни відповідно до ДСТУ 3396.2, НД ТЗІ 1.1-005-07.

4 Позначення

У цьому НД використовують такі позначення:

ІзОД – інформація з обмеженим доступом;
КЗ – контрольована зона;
ОІД – об'єкт інформаційної діяльності;
ТЗ – технічне завдання;
ТЗІ – технічний захист інформації.

5 Загальні положення

5.1 Виконання передпроектних робіт на ОІД є першим етапом створення комплексу ТЗІ, де передбачається:
– проведення обстеження на діючому ОІД;
– розроблення моделі загроз для ІзОД або доповнення до діючої моделі загроз відповідно до положень НД системи ТЗІ;
– розроблення технічних завдань на створення комплексу ТЗІ (технічних вимог з питань ТЗІ).


6 Порядок проведення обстеження на ОІД

6.1 Метою обстеження є підготовка вихідних даних для формування вимог щодо створення комплексу ТЗІ.
6.2 Обстеження на ОІД проводить комісія, склад якої затверджується керівником установи-замовника згідно із затвердженою програмою (за необхідності).
До складу комісії включають: фахівців структурних підрозділів установи, підрозділи-зявники, інформаційна діяльність яких пов’язана з ІзОД і які заявляють створення комплексу ТЗІ, підрозділ, якому доручено супроводження робіт з ТЗІ в установі, інші підрозділи щодо будівництва, енергопостачання тощо.
6.3 Програма проведення обстеження на ОІД може містити:
– назву установи, що замовляє створення комплексу ТЗІ;
– назву ОІД;
– підстави для проведення обстеження (рішення керівника установи щодо створення комплексу ТЗІ);
– перелік, обсяги робіт з обстеження, терміни їх виконання;
– виконавці, співвиконавці обстеження.
6.4 Під час обстеження проводять аналіз:
– умов функціонування ОІД, особливостей розташування його на місцевості, відносно меж контрольованої зони (КЗ), архітектурно-будівельних особливостей тощо;
– технічних засобів, що оброблятимуть ІзОД, та технічних засобів, які не використовують безпосередньо для її оброблення, визначають місця їх розташування на ОІД;
– розташування інженерних комунікацій та металоконструкцій, виявляють транзитні, незадіяні (повітряні, зовнішні, підземні) комунікації (для опрацювання пропозицій щодо їх вилучення чи доопрацювання), а також такі, що виходять за межі КЗ;
– необхідності впровадження інженерних і технічних заходів захисту від витоку ІзОД технічними каналами.
6.5 Результати обстеження на ОІД викладають в акті, форму та зміст якого наведено у додатку А.
6.6 Зміни до затвердженого керівником установи-замовника Акта обстеження на ОІД оформляють доповненням, де пояснюється причина його складання та наводяться номери і зміст пунктів акта, які доповнюються, змінюються або замінюються.
Після затвердження доповнення на першому аркуші Акта обстеження на ОІД роблять позначення “Діє з доповненням від … № …”.

7 Порядок розроблення та оформлення технічного завдання на створення комплексу ТЗІ

7.1 Розроблення ТЗ є обов’язковим для комплексів ТЗІ, які будуть створюватися під час нового будівництва споруди, а також для створення комплексів ТЗІ на особливо важливих об’єктах.
7.2 Підрозділ-заявник створення комплексу ТЗІ організовує розроблення ТЗ (технічних вимог), узгодження його з виконавцями робіт та подає на затвердження керівнику установи-замовника.
7.3 Підписи виконавців ТЗ розміщують на останньому аркуші.
7.4 Зміни до затвердженого ТЗ оформляють доповненням, де пояснюється причина його складання та наводяться номери і зміст пунктів ТЗ, які доповнюються, змінюються, або замінюються.
Після затвердження доповнення на титульному аркуші ТЗ роблять позначення “Діє з доповненням від … № …”.
7.5 У загальному випадку до складу ТЗ входять такі розділи і підрозділи:
1) Загальні відомості.
2) Вихідні дані для виконання робіт.
3) Технічні вимоги до комплексу ТЗІ:
– загальні вимоги;
– вимоги щодо стійкості до зовнішніх впливів;
– вимоги з безпеки експлуатації;
– вимоги до метрологічного забезпечення;
– вимоги щодо забезпечення охорони державної таємниці;
– вимоги щодо технічного забезпечення виконання робіт;
– вимоги щодо забезпечення безпеки при виконанні робіт.
4) Вимоги до документації.
5) Етапи виконання робіт та порядок їх приймання.
При оформленні ТЗ залежно від складності, призначення та особливостей комплексу ТЗІ дозволено уточнювати зміст розділів, підрозділів, оформляти їх у вигляді додатків, вводити нові, виключати чи об’єднувати їх.
7.5.1 Розділ “Загальні відомості” містить:
– короткий опис, дислокацію ОІД;
– підстави для виконання робіт;
– мету проведення робіт та головні завдання;
– дані про замовника і виконавців робіт;
– терміни виконання робіт.
7.5.2 У розділі “Вихідні дані для виконання робіт” наводять:
– відомості про результати проведення обстеження на ОІД, визначення загроз безпеці ІзОД, проведення категорування об'єктів, ступінь обмеження доступу до ІзОД, що озвучуватиметься та/або оброблятиметься технічними засобами тощо;
– основні технологічні, будівельні та архітектурно-планувальні рішення щодо ОІД;
– схеми (опис) систем опалення, вентиляції, електроживлення, інших систем життєзабезпечення, комунікацій, що виходять за межі контрольованої зони (КЗ), тощо.
7.5.3 У розділі “Технічні вимоги до комплексу ТЗІ” наводять основні вимоги до захисту ІзОД на ОІД, вимоги до проведення випробувань і атестації комплексу ТЗІ.
Вимоги до комплексу ТЗІ мають відповідати сучасному рівню розвитку науки й техніки, зокрема сфери ТЗІ, та не повинні обмежувати розробника в реалізації найбільш ефективних техніко-економічних рішень.
7.5.3.1 У підрозділі “Загальні вимоги” наводять:
– перелік основних нормативно-правових актів і НД з питань ТЗІ, за вимогами яких розроблятиметься комплекс ТЗІ;
– вимоги до вибору засобів забезпечення ТЗІ, в тому числі забезпечення їх безперебійного електроживлення та заземлення;
– перелік інформаційно-телекомунікаційних систем (автоматизованих систем, систем міського та внутрішнього телефонного зв'язку, радіотрансляції, телебачення тощо), засобів та систем життєзабезпечення (систем електроживлення обладнання, освітлення приміщень, заземлення, охоронної і пожежної сигналізації, опалення, вентиляції, кондиціювання) тощо, що функціонуватимуть на ОІД;
– встановлені межі КЗ, межі зон безпеки ІзОД на ОІД для кожного можливого технічного каналу витоку інформації;
– вимоги щодо взаємодії з іншими комплексами (системами) інформаційної безпеки установи.
7.5.3.2 У підрозділах “Вимоги щодо стійкості до зовнішніх впливів”, “Вимоги з безпеки експлуатації”, “Вимоги до метрологічного забезпечення” вказують відповідні вимоги чинних в Україні нормативних документів (ГОСТ, ДСТУ тощо).
Засоби вимірювальної техніки, що використовуються при проведенні робіт з ТЗІ, мають пройти повірку згідно з вимогами законодавства України.
7.5.3.3 У підрозділі “Вимоги щодо забезпечення охорони державної таємниці” вказують вимоги відповідних нормативно-правових документів.
7.5.3.4 У підрозділі “Вимоги щодо технічного забезпечення виконання робіт” вказується, що роботи проводяться виконавцем із застосуванням власної матеріально-технічної бази, необхідної для виконання робіт, або інше.
7.5.3.5 У підрозділі “Вимоги щодо забезпечення безпеки при виконанні робіт” вказують про обов'язковість дотримання вимог техніки безпеки, охорони праці та пожежної безпеки при виконанні робіт.
7.5.4 У розділі “Вимоги до документації” наводять перелік документів, які необхідно розробити для створення комплексу ТЗІ, наприклад:
– пояснювальна записка з ТЗІ;
– завдання на розроблення (коригування) архітектурно-будівельної частини та інженерно-технічного забезпечення споруди з урахуванням вимог з ТЗІ;
– проектна документація щодо заходів ТЗІ, а також на будівельні закладні конструкції для монтажу засобів ТЗІ, засобів зв’язку, комп’ютерних мереж, телекомунікаційних систем, мереж електроживлення технічних засобів, електроосвітлення приміщень тощо, а також розділ “Заходи ТЗІ” загальної пояснювальної записки (ДБН А.2.2-2);
– план розміщення засобів захисту;
– кошторис на опрацювання, впровадження заходів з ТЗІ, а також проведення випробувань і атестації комплексу ТЗІ;
– проект технічного паспорта на комплекс ТЗІ, форми паспортів на приміщення, де ІзОД озвучується та/або обробляється технічними засобами, інструкції з експлуатації комплексу ТЗІ (за необхідності).
Проектна та експлуатаційна документація мають бути розроблені відповідно до положень чинних в Україні нормативних документів.
Виконавець забезпечує проведення експертизи проектної документації в частині ТЗІ згідно з ДБН А2.2-2 та іншими НД.
Вимоги до розроблення документації можуть уточнюватися і доповнюватися за погодженням між замовником і виконавцями робіт.
7.5.5 У розділі “Етапи виконання робіт та порядок їх приймання” наводять етапи виконання робіт (у т.ч. проведення випробувань і атестації комплексу ТЗІ), терміни виконання робіт, порядок їх приймання та здійснення будівельно-монтажних та налагоджувальних робіт (можливе посилання на календарні графіки щодо виконання робіт).

 

Додаток А

АКТ
обстеження на об’єкті інформаційної діяльності

---------------------------------------------------------------------------------------------------
(назва, належність об'єкта інформаційної діяльності)


1 Обстеження на ОІД проведено комісією (вказати склад), призначеною наказом (розпорядженням) по установі від … № …, згідно із затвердженою програмою обстеження (рішення керівника установи від … № …).
2 Вказують такі відомості:
2.1 Характеристика ОІД.
Схема, дислокація, результати аналізу умов функціонування ОІД (витяг із затвердженого Протоколу про визначення вищого ступеня обмеження доступу до інформації).
Вказати: ОІД – це інженерно-технічна споруда, її частина або декілька споруд, приміщення, транспортний засіб тощо.
2.2 Характеристика складових ОІД.
Дані про приміщення, де може здійснюватися інформаційна діяльність, пов’язана з озвученням, обробленням тощо ІзОД (позначення, призначення, місце розташування, розміри, поверх, площа, висота стелі, суміжні приміщення тощо).
Архітектурно-будівельні особливості приміщень:
– огороджувальні будівельні конструкції: стеля, підлога, стіни, перегородки (матеріал, товщина);
– підвісна стеля (конструкція, матеріал);
– вікна, двері, інші отвори (кількість, матеріал, розміри).
Вказують складові ОІД, що можуть впливати на показники ефективності захищеності ІзОД і які можуть бути середовищем поширення за межі КЗ її носіїв (інженерні комунікації, обладнання, оргтехніка, засоби ТЗІ (за наявності), пожежна, охоронна сигналізації, телебачення, системи зв’язку, радіофікації, часофікації, автоматизації, керування, електроживлення, заземлення, газо-, водопостачання, опалення, вентиляції, кондиціонування повітря, водостоку, каналізації, технологічне обладнання, огороджувальні будівельні конструкції, світлопроникні отвори приміщень, будинків, споруд, салонів транспортних засобів тощо).
2.3 Схеми розміщення комунікацій, обладнання систем електроживлення, у т.ч. трансформаторної підстанції.
Вказують, які складові ОІД виходять за межу КЗ або її перетинають, застосування яких не обґрунтовано виробничою необхідністю і які підлягають демонтуванню, у подальшому застосуванні яких відсутня необхідність (із посиланням на відповідні витяги з планів, схем тощо).
2.4 Опис систем заземлення.
Наводять перелік технічних засобів, що підлягають заземленню.
2.5 Результати аналізу наявності в установі:
– затвердженої схеми КЗ, в межах якої розташований ОІД;
– даних про можливі місця розміщення зовні КЗ засобів технічної розвідки тривалого перехоплення;
– затвердженої моделі загроз для ІзОД;
– даних за результатами проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які обробляють ІзОД);
– засобів забезпечення ТЗІ, у т.ч. таких, що вже функціонують;
– технічної (проектно-кошторисної, конструкторської, експлуатаційної) документації щодо впроваджених заходів з ТЗІ (архівні, інвентарні, реєстраційні номери, місця знаходження документації);
– даних про виконавців робіт з ТЗІ на інших ОІД установи;
– даних про проектні, будівельно-монтажні установи, які були задіяні для проектування і будівництва інших ОІД установи;
– систем безпеки по установі, до яких може бути інтегрований комплекс ТЗІ.
3 Пропозиції щодо необхідності:
– отримання додаткових даних про можливі місця розміщення засобів технічної розвідки (загроз для ІзОД, у т.ч. засобів тривалого перехоплення);
– розроблення нової або уточнення затвердженої в установі моделі загроз для ІзОД;
– проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які оброблятимуть ІзОД);
– розроблення технічних вимог та завдань з питань ТЗІ;
– застосування організаційних, інженерно-технічних заходів захисту (у т.ч. застосування засобів оброблення ІзОД, інших технічних засобів у захищеному виконанні);
– залучення до виконання робіт зі створення комплексу ТЗІ суб’єктів господарської діяльності в галузі ТЗІ, проектних, будівельно-монтажних установ, а також розроблення проектно-кошторисної документації в частині ТЗІ згідно з вимогами державних будівельних норм України, інших НД.
4 Висновки щодо терміну проведення категорування об'єктів та подання на затвердження актів із категорування.

Додатки.
Перелік протоколів та інших документів щодо обстеження.

Голова комісії ____________ ______________________
(підпис) (ініціали, прізвище)
Члени комісії: ____________ _______________________
(підпис) (ініціали, прізвище)