Закон України "Про захист інформації в інформаційно-телекомунікаційних системах", стаття 8: Закон України "



Дата конвертації02.01.2017
Розмір445 b.
ТипЗакон



Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”, стаття 8:

  • Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”, стаття 8:

    • “Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.”


Основний керівний документ:

  • Основний керівний документ:

  • НД ТЗІ 3.7-003-05

  • “Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі”

  • Роботи з побудови КСЗІ може виконувати виключно організація, яка має відповідну ліцензію на проведення таких робіт



Формування вимог до КСЗІ

  • Формування вимог до КСЗІ

  • Розробка політики безпеки

  • Розробка ТЗ на створення КСЗІ

  • Розробка проекту КСЗІ

  • Введення КСЗІ в дію та оцінка захищеності інформації в ІТС

  • Супроводження КСЗІ



1.1. Обґрунтування необхідності створення КСЗІ



1.1. Обґрунтування необхідності створення КСЗІ

  • 1.1. Обґрунтування необхідності створення КСЗІ

    • аналіз нормативно-правових актів, на підставі яких може встановлюватися обмеження доступу до певних видів інформації, або, навпаки, заборона такого обмеження


1.2. Обстеження середовищ функціонування ІТС

  • 1.2. Обстеження середовищ функціонування ІТС

    • обчислювальна система
    • фізичне середовище
    • середовище користувачів
    • інформація, що обробляється, та технологія її обробки
  • Процес обстеження призваний виявити у середовищах ті їхні складові та їхні поєднання, які прямо чи непрямо впливають на безпеку інформації

  • На основі цих даних затверджується перелік об’єктів захисту, потенційних загроз інформації, а також розробляється модель загроз та модель порушника



1.3. Формування завдання на створення КСЗІ

  • 1.3. Формування завдання на створення КСЗІ

  • Мають бути визначені:

    • завдання захисту інформації в інформаційній системі
    • мета створення КСЗІ
    • рішення задач захисту відповідно до ДСТУ 3396.1
    • напрями забезпечення захисту
  • Здійснюється аналіз ризиків – вивчаються можливі загрози, ймовірність їхнього здійснення та величина фінансових втрат в разі їх потенційної реалізації

  • Визначається перелік умов, обмежень, в узгодженні з якими має створюватись КСЗІ



Методологія розроблення політики безпеки включає в себе наступні роботи:

  • Методологія розроблення політики безпеки включає в себе наступні роботи:

    • розробка концепції безпеки інформації в ІТС;
    • аналіз ризиків;
    • визначення вимог до заходів, методів та засобів захисту;
    • вибір основних рішень з забезпечення безпеки інформації;
    • організація виконання відновлювальних робіт і забезпечення неперервного функціонування ІТС;
    • документальне оформлення політики безпеки.
  • Детальні рекомендації з розробки політики безпеки наведені в НД ТЗІ 1.4-001-2000



Технічне завдання на створення КСЗІ – організаційно-технічний документ, що має виняткове значення у процедурі розробки і впровадження КСЗІ

  • Технічне завдання на створення КСЗІ – організаційно-технічний документ, що має виняткове значення у процедурі розробки і впровадження КСЗІ

  • Порядок розробки ТЗ на створення КСЗІ, його зміст, порядок погодження та затвердження регламентуються НД ТЗІ 3.7-001-99

  • ТЗ на створення КСЗІ погоджується ДССЗЗІ України



Проект розробляється на підставі ТЗ і має відповідати вимогам цього ТЗ

  • Проект розробляється на підставі ТЗ і має відповідати вимогам цього ТЗ

  • Виділяють наступні стадії проекту:

    • ескізний
    • технічний
    • робочий
  • Стадія ескізного проекту може бути вилучена, а технічний та робочий етапи проекту можуть бути поєднані у єдиний етап техноробочого проекту



5.1. Підготовка організаційних заходів

  • 5.1. Підготовка організаційних заходів

  • 5.2. Комплектація КСЗІ

  • 5.3. Будівельно-монтажні роботи (якщо такі передбачені)

  • 5.4. Інсталяція та налагодження комплексу засобів захисту

  • 5.5. Перевірка працездатності укомплектованої системи

  • 5.6. Попередні випробування КСЗІ

  • 5.7. Дослідна експлуатація

  • 5.8. Державна експертиза



5.1. Підготовка організаційних заходів

  • 5.1. Підготовка організаційних заходів

    • навчання користувачів,
    • забезпечення готовності функціонування організаційно-адміністративних заходів: перепускних режимів, порядку доступу до інформаційної системи та ін.,
    • розробка документів, які регламентують діяльність по забезпеченню захисту інформації в інформаційній системі


5.6. Попередні випробування КСЗІ

  • 5.6. Попередні випробування КСЗІ

    • Здійснюються за програмою та методиками випробувань, які має підготувати розробник КСЗІ
    • Програми та методики випробувань узгоджуються замовником
    • Головує випробуваннями спеціально створена комісія, голова якої є представником замовника
    • Результати попередніх випробувань заносяться до протоколу, у якому надається висновок щодо готовності КСЗІ до дослідної експлуатації
    • Акт про прийняття КСЗІ до дослідної експлуатації оформлюється після усунення виявлених недоліків


5.7. Дослідна експлуатація КСЗІ

  • 5.7. Дослідна експлуатація КСЗІ

    • Дослідна експлуатація дає змогу користувачам та СЗІ набути навичок роботи по використанню засобів КСЗІ
    • При наявності недоліків чи зауважень з боку замовника – розробник під час дослідної експлуатації усуває їх, здійснює конфігурування, налагодження, та коригує за необхідності робочу та експлуатаційну документацію
    • За результатами дослідної експлуатації робиться висновок щодо можливості (неможливості) представлення КСЗІ на державну експертизу


5.8. Державна експертиза КСЗІ

  • 5.8. Державна експертиза КСЗІ

    • В ході державної експертизи визначається відповідність КСЗІ технічному завданню, вимогам нормативних документів із захисту інформації, та визначається можливість введення КСЗІ в складі ІТС в експлуатацію.
    • Державна експертиза КСЗІ в ІТС проводиться згідно з Положенням про державну експертизу в сфері технічного захисту інформації


Взаємодія організацій суб’єктів виконання робіт з державної експертизи КСЗІ

  • Взаємодія організацій суб’єктів виконання робіт з державної експертизи КСЗІ



Послідовність робіт

  • Послідовність робіт

  • Передача замовником необхідних документів на КСЗІ організатору експертизи

  • Розробка програми та методик випробувань

  • Узгодження програми випробувань замовником

  • Узгодження програми та методик випробувань ДССЗЗІ України

  • Проведення випробувань

  • Оформлення результатів випробувань, передача в ДССЗЗІ проекту експертного висновку

  • Розгляд на експертній раді ДССЗЗІ результатів експертизи та проекту експертного висновку

  • Видача Замовнику Атестата відповідності КСЗІ

  • Передача ІТС у промислову експлуатацію



Етап супроводження КСЗІ передбачає:

  • Етап супроводження КСЗІ передбачає:

  • Гарантійне та післягарантійне технічне обслуговування

  • Забезпечення нормального функціонування КСЗІ



Для організації робіт по створенню та супроводженню КСЗІ в ІТС створюється служба захисту інформації (СЗІ)

  • Для організації робіт по створенню та супроводженню КСЗІ в ІТС створюється служба захисту інформації (СЗІ)

  • Зазвичай така служба формується із числа штатних співробітників організації-замовника, для інформаційних потреб якої будується система захисту

  • Порядок створення, завдання, функції, структура та повноваження СЗІ визначені в НД ТЗІ 1.4-001-2000

  • СЗІ рекомендується створювати на першому етапі створення КСЗІ, але не пізніше, ніж на початку етапу введення КСЗІ в дію



Досвід створення КСЗІ складних гетерогенних систем свідчить:

  • Досвід створення КСЗІ складних гетерогенних систем свідчить:

    • Рекомендується розробити спеціальний нормативний документ “Порядок розробки, державної експертизи і введення в дію КСЗІ корпоративної автоматизованої системи ... ”
    • Такий нормативний документ узгоджується всіма організаціями суб’єктами виконання робіт із створення і державної експертизи КСЗІ




Каталог: 1%20курс
1%20курс -> Паразитизм
1%20курс -> Згідно з визначенням Королівського австралійського Коледжу родинних лікарів родинна медицина є невід’ємною частиною австралійської системи охорони здоров’я, яка переважно забезпечується приватними лікарями, котрі надають усебічну медичну допомогу окремим
1%20курс -> Лекція № Тема лекції: Історія медсестринства та перспективи розвитку. Поняття про медсестринські теорії та процес Проф. Пасєчко Н. В


Поділіться з Вашими друзьями:


База даних захищена авторським правом ©pres.in.ua 2019
звернутися до адміністрації

    Головна сторінка