НД ТЗІ 2.1-002-07

Захист інформації на об’єктах інформаційної діяльності. Випробування комплексу технічного захисту інформації.

 

Основні положення

 

 1 Галузь використання

Цей нормативний документ (НД) системи технічного захисту інформації (ТЗІ) визначає загальні вимоги до організації проведення на об'єкті інформаційної діяльності (ОІД) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі – установа) випробувань щодо створення комплексу ТЗІ, який має забезпечувати захист від витоку інформації з обмеженим доступом (ІзОД) технічними каналами.

НД встановлює засади щодо проведення випробувань з метою перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на ОІД,  атестації комплексу ТЗІ, а також вимоги до розроблення висновків за результатами випробувань та їх програм і методик.

 

2 Нормативні посилання

У цьому НД є посилання на такі нормативні документи:

ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення.

НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення.

НД ТЗІ 3.3-001-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації.

 

3 Визначення

У цьому НД використовують терміни відповідно до ДСТУ 3396.2, НД ТЗІ 1.1-005-07, НД ТЗІ 3.3-001-07.

 

4 Позначення

У цьому НД використовують такі позначення:

ІзОД – інформація з обмеженим доступом;

ОІД – об'єкт інформаційної діяльності;

ТЗІ – технічний захист інформації.

  

5 Загальні положення

5.1 Етап “Випробування та атестація комплексу ТЗІ” є третім етапом створення комплексу, який передбачає:

– затвердження програм і методик випробувань;

– проведення випробувань відповідно до затверджених програм і методик, оформлення протоколів випробувань;

– підготовка документа “Висновки за результатами випробувань комплексу ТЗІ”;

– підготовка пропозицій і вимог до вибору (уточнення) рішень щодо впровадження необхідних заходів із захисту ІзОД на ОІД (за необхідності);

– проведення атестації комплексу ТЗІ, оформлення протоколів (за необхідності), актів атестації;

– заповнення паспорта на комплекс ТЗІ (в т.ч. паспортів на приміщення, де ІзОД озвучується та/або обробляється технічними засобами).

5.2 У “Висновках за результатами випробувань комплексу ТЗІ” вказують:

– мету, призначення, вид, обсяг випробувань, місце і термін їх проведення;

– дані про затверджені програми і методики випробувань;

– склад технічних засобів, обладнання, необхідних для випробувань;

– результати випробувань щодо їх відповідності вимогам НД з питань ТЗІ.

Документ “Висновки за результатами випробувань комплексу ТЗІ” затверджує керівник установи, яка виконувала випробування, підписують їх виконавці.

5.3 При проведенні випробувань необхідне матеріально-технічне і метрологічне забезпечення здійснюють їх виконавці.

Засоби вимірювальної техніки мають відповідати вимогам методик випробувань (не допускається застосовувати засоби, які не пройшли метрологічну атестацію або термін повірки прострочено).

5.4 Установа-замовник створення комплексу ТЗІ забезпечує умови проведення його атестації.

5.5 Виконавець атестації комплексу ТЗІ аналізує дані про його створення на ОІД, висновки за результатами випробувань, інші відомості.

5.6 У процесі проведення випробувань і атестації комплексів ТЗІ їх виконавці заповнюють відповідні паспорти, порядок розроблення та оформлення яких наведено в НД ТЗІ 3.3-ххх-07.

 

6 Порядок розроблення та оформлення програм і методик випробувань

6.1 Програми і методики випробувань узгоджує керівник установи-замовника створення комплексу ТЗІ та затверджує керівник установи, яка виконувала випробування.

6.2 Залежно від особливостей створення комплексу ТЗІ на ОІД, обсягу робіт, умов проведення випробувань, програми і методики можуть бути оформлені у вигляді двох самостійних документів – “Програми випробувань …” та “Методики випробувань …”. Допускається об’єднувати або вилучати окремі розділи за умови викладення їх змісту в документах, а також вносити до них додаткові розділи (за необхідності).

6.3 Програми і методики випробувань можуть містити такі розділи:

1) Загальні положення.

2) Обсяг робіт.

3) Методики випробувань.

4) Умови та порядок проведення випробувань.

5) Матеріально-технічне і метрологічне забезпечення.

6) Аналіз і оцінка результатів випробувань.

7) Вимоги щодо забезпечення охорони державної таємниці та іншої інформації з обмеженим доступом.

Нижче наведено зміст розділів програм і методик випробувань.

6.3.1 У розділі “Загальні положення” наводять:

– повну назву установи, підрозділу, ОІД, де створюється комплекс ТЗІ;

– підстави для проведення випробувань;

– відомості про виконавців випробувань;

– мету і основні завдання;

– види інформації (ІзОД, що озвучується та/або обробляється технічними засобами тощо), для яких впроваджуються відповідні заходи із захисту від витоку інформації технічними каналами;

– терміни проведення випробувань.

6.3.2 Обсяг робіт.

Під час проведення випробувань здійснюють перевірку повноти та достатності реалізованих заходів із захисту інформації на ОІД (перевірку виконання вимог щодо захисту від витоку ІзОД можливими технічними каналами).

Обсяг випробувань та посилання на відповідні методики можуть бути викладені у вигляді таблиці 1.

Таблиця 1

№ з/п

Найменування робіт

Вимоги, норми

(відповідний документ)

Методики за п. 6.3.3 цього НД

При-мітки

1

2

3

4

5

 

6.3.3 У розділі “Методики випробувань” наводять відомості про методи проведення випробувань.

6.3.4 Умови та порядок проведення випробувань:

– умови щодо початку і завершення робіт з випробувань;

– послідовність проведення перевірок комплексу ТЗІ на відповідність вимогам НД з питань ТЗІ;

– особливості функціонування складових частин комплексу ТЗІ, що підлягають випробуванню;

– заходи, що забезпечують безпеку проведення випробувань.

6.3.5 У розділі “Матеріально-технічне і метрологічне забезпечення” наводять:

– перелік заходів з метрологічного забезпечення випробувань із розподілом завдань і відповідальності підрозділів, що беруть участь у випробуваннях;

– склад засобів вимірювальної техніки із зазначенням ознак їх придатності до застосування, вимоги до них;

– перелік необхідної конструкторської  та іншої документації;

– порядок підготовки і використання матеріально-технічних засобів у процесі випробувань.

Дані про вимірювальне обладнання можуть бути викладені у вигляді  таблиці 2.

Таблиця 2

№ з/п

Найменування вимірювального

обладнання

Тип

Заводський номер

Виробник

Дані про повірку

1

2

3

4

5

6

 

6.3.6 У розділі “Аналіз і оцінка результатів випробувань” наводять:

– обсяг вихідних даних, які необхідні для оцінки результатів випробувань;

– показники та критерії, за якими комплекс ТЗІ вважається таким, що пройшов випробування.

За результатами випробувань складаються протоколи, де надаються висновки про відповідність вимогам НД з питань ТЗІ. Висновки повинні містити конкретні формулювання, що забезпечують їх однозначне трактування.

6.3.7 У розділі “Вимоги щодо забезпечення охорони державної таємниці та іншої інформації з обмеженим доступом” вказують організаційні заходи, які мають бути проведені при виконанні робіт з випробувань.

 

7 Атестація комплексів ТЗІ

7.1 Атестація комплексу ТЗІ проводиться з метою визначення відповідності вимогам НД з питань ТЗІ виконаних робіт зі створення комплексу ТЗІ на ОІД та повноти проведених випробувань.

Атестація може проводитися окремо щодо кожного виду ІзОД, що підлягає технічному захисту (ІзОД, що озвучуватиметься та/або оброблятиметься технічними засобами тощо). Вимоги щодо проведення атестації мають бути передбачені у технічному завданні на створення комплексу ТЗІ.

7.2 Атестація комплексу ТЗІ може бути первинною, черговою та позачерговою.

Термін проведення чергової атестації вказується в акті атестації та паспорті на комплекс ТЗІ (строк дії акта атестації не повинен перевищувати два роки).

Позачергову атестацію, а також необхідні випробування проводять у разі змін умов функціонування ОІД, що приводять до змін загроз для ІзОД, яка озвучуватиметься та/або оброблятиметься технічними засобами тощо, та за висновками органів, які контролюють стан ТЗІ.

7.3 Основні етапи атестації комплексу ТЗІ:

– визначення виконавця атестації;

– аналіз умов функціонування ОІД, технічної документації на комплекс ТЗІ, результатів випробувань;

– аналіз та оцінка відповідності проектної, конструкторської, експлуатаційної та іншої технічної документації на комплекс ТЗІ вимогам НД з питань ТЗІ;

– перевірка відповідності вихідних даних щодо створення комплексу ТЗІ реальним умовам розміщення ОІД;

– перевірка складу комплексу ТЗІ на відповідність даним, зазначеним у проектній, конструкторській, експлуатаційній та іншій технічній документації;

– перевірка наявності сертифікатів або експертних висновків на засоби забезпечення ТЗІ загального призначення;

– перевірка відповідності монтажу та умов експлуатації засобів забезпечення ТЗІ вимогам експлуатаційної документації;

– перевірка оформлення проекту паспорта на комплекс ТЗІ і паспорта на кожне приміщення;

– розгляд висновків за результати випробувань;

– оформлення підсумкового документа – акта атестації комплексу ТЗІ;

– оформлення актів пломбування.

7.4 Акт атестації комплексу ТЗІ має містити:

– підстави для проведення атестації;

– дані про виконавця атестації;

– дату проведення атестації;

– результати атестації;

– зауваження і рекомендації (додаткові умови, яких потрібно дотримуватися під час експлуатації ОІД);

– висновки щодо відповідності комплексу ТЗІ вимогам технічних завдань і НД з питань ТЗІ;

– термін проведення чергової атестації (строк дії акта атестації);

– перелік додатків.

Виконавець атестації оформляє акт атестації комплексу ТЗІ, який затверджує керівник установи-виконавця атестації.

7.5 Виконавцем атестації комплексу ТЗІ може бути установа, яка має відповідну ліцензію або дозвіл на провадження діяльності в галузі ТЗІ, одержані у встановленому законодавством порядку.

Відносини між замовником створення та виконавцем атестації комплексу ТЗІ регламентуються укладеним між ними договором.