Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка належить до державних інформаційних ресурсів, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством. Якщо в ІТС обробляються інші види інформації, то вимоги цього нормативного документа суб’єкти системи ТЗІ можуть використовувати як рекомендації.
Порядок створення КСЗІ в ІТС є єдиним незалежно від того, створюється КСЗІ в ІТС, яка проектується, чи в діючій ІТС, якщо виникла необхідність забезпечення захисту інформації або модернізації вже створеної КСЗІ.
Процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів, спрямованих на розроблення і впровадження інформаційної технології, яка забезпечує обробку інформації в ІТС згідно з вимогами, встановленими нормативно-правовими актами та НД у сфері захисту інформації.
Порядок створення КСЗІ в ІТС розглядається цим НД як сукупність впорядкованих у часі, взаємопов’язаних, об’єднаних в окремі етапи робіт, виконання яких необхідне й достатньє для КСЗІ, що створюється.
Створення КСЗІ повинно виконуватись у комплексі із заходами, щодо забезпечення режиму секретності, протидії технічним розвідкам, а також з режимними заходами щодо охорони інформації з обмеженим доступом, яка не є державною таємницею.
До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:
– витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;
– несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм, використання комп’ютерних вірусів тощо;
– спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.
Для кожної конкретної ІТС склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом та умовами експлуатації ІТС.
Створення комплексів технічного захисту інформації від витоку технічними каналами здійснюється, якщо в ІТС обробляється інформація, що становить державну таємницю, або коли необхідність цього визначено власником інформації.
Створення комплексу засобів захисту від несанкціонованого доступу (далі – КЗЗ) здійснюється в усіх ІТС, де обробляється інформація, яка належить до державних інформаційних ресурсів, належить до державної чи іншої таємниці або до окремих видів інформації, необхідність захисту якої визначено законодавством, а також в ІТС, де така необхідність визначена власником інформації.
Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на інформацію приймається власником інформації в кожному випадку окремо.
Роботи зі створення КСЗІ виконуються організацією-власником (розпорядником) ІТС з дотриманням вимог нормативно-правових актів щодо провадження діяльності у сфері захисту інформації.
Після прийняття рішення про необхідність створення КСЗІ в ІТС для організації цих робіт створюється Служба захисту інформації (далі – СЗІ) в ІТС.
Цей НД ТЗІ визначає такі етапи створення КСЗІ та її документів:
1. Формування вимог до КСЗІ в ІТС
1.1. Обґрунтування необхідності створення КСЗІ і призначення СЗІ:
– наказ про порядок проведення робіт зі створення КСЗІ
– наказ про створення СЗІ
– положення про СЗІ
– перелік інформації, що підлягає обробленню в ІТС та потребує захисту
1.2. Категоріювання ІТС:
– наказ про призначення комісії з категоріювання
– акт категоріювання
1.3. Обстеження середовищ функціонування ІТС:
– наказ про призначення комісії з обстеження
– акт обстеження
– формуляр ІТС
1.4. Опис моделі порушника політики безпеки інформації: модель порушника
1.5. Опис моделі загроз для інформації: модель загроз
1.6. Формування завдання на створення КСЗІ: звіт за результатами проведення аналізу ризиків та формування завдань на створення КСЗІ
2. Розробка політики безпеки інформації в ІТС
2.1. Вибір варіанту КСЗІ
2.2. Складання політики безпеки
2.3. Складання плану захисту
2.4. Складання календарного плану робіт із захисту інформації
3. Розробка Технічного завдання на створення КСЗІ:
– складання технічного завдання та погодження його з органами Держспецзв’язку
4. Проектування КСЗІ:
– складання документів ескізного проекту КСЗІ
– складання документів технічного проекту КСЗІ
– складання документів робочого проекту КСЗІ
5. Введення КСЗІ в дію та оцінка захищеності інформації в ІТС
5.1. Підготовка КСЗІ до введення в дію:
– інструкція про порядок введення в експлуатацію КСЗІ
5.2. Навчання користувачів:
– інструкція адміністратора безпеки в ІТС
– інструкція системного адміністратора ІТС
– інструкція користувача ІТС
– правила управління паролями в ІТС
– правила видачі, вилучення та обміну персональних ідентифікаторів, інших атрибутів розмежування доступу в ІТС
5.3. Комплектування КСЗІ
5.4. Будівельно-монтажні роботи:
– наказ про призначення комісії з приймання робіт
– акт приймання робіт
5.5. Пуско-налагоджувальні роботи:
– акт інсталяції та налагоджування АВПЗ і КЗЗ від НСД
– акт оцінки відповідності проведених робіт вимогам експлуатаційних документів
5.6. Попередні випробування КСЗІ:
– наказ про створення комісії з проведення випробувань
– програма та методика попередніх випробувань
– протокол про проведення попередніх випробувань
– акт про приймання КСЗІ у дослідну експлуатацію
5.7. Дослідна експлуатація КСЗІ:
– наказ про введення ІТС в дослідну експлуатацію
– акт про завершення дослідної експлуатації
– акт про завершення робіт зі створення КСЗІ
5.8. Державна експертиза КСЗІ:
– заявка на проведення державної експертиза КСЗІ
– експертний висновок щодо відповідності КСЗІ вимогам НД ТЗІ
– атестат відповідності КСЗІ вимогам НД ТЗІ
– наказ про дозвіл на обробку в ІТС інформації, яка підлягає захисту
6. Супровід КСЗІ:
– наказ про порядок забезпечення захисту інформації в ІТС
– інструкція щодо забезпечення правил обробки ІзОД в ІТС
– інструкція з антивірусного захисту інформації в ІТС
– інструкція про порядок використання засобів КЗІ в ІТС
– інструкція про порядок обліку та використання машинних носіїв інформації
– інструкція з правил управління паролями в ІТС
– інструкція про порядок створення і зберігання резервних копій інформаційних ресурсів ІТС
– інструкція про порядок проведення контролю режиму обробки та захисту інформації в ІТС
– інструкція про порядок супроводу та модернізації КСЗІ в ІТС
– інструкція про порядок відновлювальних та ремонтних робіт ІТС
– інші іструкції.
3. 1-й етап – формування вимог до КСЗІ
1-й етап – формування вимог до КСЗІ в ІТС – складається з таких заходів:
– обґрунтування необхідності створення КСЗІ і призначення СЗІ;
– категоріювання ІТС;
– обстеження середовищ функціонування ІТС;
– опис моделі порушника політики безпеки інформації;
– опис моделі загроз для інформації;
– формування завдання на створення КСЗІ.
Підставою для визначення необхідності створення КСЗІ є норми та вимоги чинного законодавства, які встановлюють обов’язковість обмеження доступу до певних видів інформації або забезпечення її цілісності чи доступності, або прийняте власником інформації рішення щодо цього, якщо нормативно-правові акти надають йому право діяти на власний розсуд.