ДСТУ 3396.1-96. Защита информации. Техническая защита информации. Порядок проведения работ (61151)

ДСТУ 3396.1-96






ГОСУДАРСТВЕННЫЙ СТАНДАРТ УКРАИНЫ

Защита информации

ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Порядок проведения работ

Яздянме официальное

Киев
ГОССТАНДАРТ УКРАИНЫ
1997

дстузюал—м

ПРЕДИСЛОВИЕ

  1. РАЗРАБОТАН И ВНЕСЕН Государственной службой Украины во ■опросам технической защиты информации '

  2. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Госстандарта Украины от 19 декабря 1996 г. N» 51

  3. В настоящем стандарте реаляаоваим нормы Законов Украины «Об информации», «О государственной тайне», «О защите информации в автоматизированных системах»

  4. ВВЕДЕН ВПЕРВЫЕ

  5. РАЗРАБОТЧИКИ: А- Баранов, канд. техн, наук, В. Дюпнн, А. Новиченко, В. Гелевера, И. Арутюнова

Наспмщя* стандарт не может быть иолмоелно или частично аоспронзесдеи,
тиражирован и распространен в ычестве офнцвалмюго оданма без разрешение
Госстандарта Украии

мДСГУЗЭМ.І—н

СОДЕРЖАНИЕ

с.

  1. Область применения 1

  2. Нормативные ссылки 1

ббвоаепоимжети 2

4 Оргакнмцня проведения обследования 3

3 Организация разработки системы защиты информации 4

  1. Реализация организационных мер защиты .5

  2. Реализация первичных технических мер защиты 6

  3. Реализация основных технических мер защиты 7

  4. Приемка, определение полноты и качества работ 8

Приложение А. Состав средств обеспечения технической защиты информации 10ДСТУ 3396.1-96

ГОСУДАРСТВЕННЫЙ СТАНДАРТ УКРАИНЫ

ЗАЩИТА ИНФОРМАЦИИ
ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Порядок проведения работ

ЗАХИСТ ІНФОРМАЦІЇ
ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ
Порядок проведення робіт

INFORMATION PROTECTION
TECHNICAL PROTECTION OF INFORMATION
Order of carry in( oul the works

ДЯИ введення 1997—07—01

  1. ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящий стандарт устанавливает требования к порядку проведе­ния работ по технической защите информации (ТЗИ).

Требования стандарта обязательны для предприятий и учреждений всех форм собственности и подчинения, граждан-субъектов предпринима- ■ельской деятельности, органов государственной власти, органов местного амоу правления, войсковых частей всех воинских формирований, пред­ставительств Украины за рубежом, которые владеют, пользуются и распо­ряжаются информацией, подлежащей технической защите.

  1. НОРМАТИВНЫЕ ССЫЛКИ

  2. настоящем стандарте приведены ссылки ./а следующий стандарт;

ДСТУ 3396.0—96 Защита информации. Техническая защита информации. Основные положения.

И&ишис официальное

3 ОБЩИЕ ПОЛОЖЕНИЯ

  1. Информация с ограниченным доступом (ИсОД) а процессе информационной деятельности (ИД), основными «идами которой является получение, использование, распространение и хранение ИсОД может под­вергаться воздействию угроз ее безопасности (далее—угроза), в результат/ чего может произойти утечка или нарушение целостности информации.

Подверженность ИсОД воздействию угроз определяет ее уязви­мость.

Способность системы защиты информации противостоять воздейст­вию угроз определяет защищенность ИсОД.

  1. Возможны следующие варианты постановки задач защиты ин­формации:

  • достижение необходимого уровня защиты ИсОД при минималь­ных затратах и допустимом уровне ограничений видов ИД;

  • достижение наиболее возможного уровня защиты ИсОД при до­пустимых затратах и заданном уровне ограничений видов ИД;

  • достижение максимального уровня защиты ИсОД при необходи­мых затратах и минимальном уровне ограничений ьидов ИД.

Защита информации, нс являющейся государственной тайной, обес­печивается, как правило, использованием первого или второго варианта.

Защита информации, составляющей государственную тайну, обес­печивается, как правило, использованием третьего варианта.

  1. Содержание и последовательность работ по противодействии^ угрозам или их нейтрализации должны соответствовать указанным ДСТУ 3396.0—96 этапам функционирования системы защиты информа ции и заключаются в:

  • проведении обследования предприятия, учреждения, организа­ции (далее — предприятие);

  • разработке и реализации организационных, первичных техниче­ских, основных технических мер с использованием средств обеспечения ТЗИ (приложение А);

  • приемке работ по ТЗИ;

  • аттестации средств (систем) обеспечения информационной дея­тельности на соответствие требованиям нормативных документов системы ТЗИ (НДТЗИ).

3.4 Порядок проведения работ по ТЗИ или отдельных их этапов устанавливается приказом (распоряжением) руководителя предприятия.Работы должны выполняться силами предприятия под руководством специалистов по ТЗИ.

Для участия в работах, оказания методической помощи, оценки полноты и качества реализации мер зашиты могут привлекаться специа­листы по ТЗИ других организаций, имеющих лицензию уполномоченного Кабинетом Министров Украины органа.

4 ОРГАНИЗАЦИЯ ПРОВЕДЕНИЯ ОБСЛЕДОВАНИЯ

  1. Целью обследования предприятия является изучение его ИД, определение объектов защиты — ИсОД, выявление угроз, их анализ и построение частной модели угроз.

  2. Обследование должно быть проведено комиссией, состав которой определяется ответственным за ТЗИ лицом и утверждается приказом руководителя предприятия.

  3. В ходе обследования необходимо:

  • провести анализ условий функционирования предприятия, его расположения на местности (ситуационного плана) для определения воз­можных источников угроз;

  • исследовать средства обеспечения ИД, имеющиё выход за пре­делы контролируемой территории;

  • изучить схемы средств и систем жизнеобеспечения предприятия (электропитания, заземления, автоматизации, пожарной и охранной сиг­нализации), а также инженерных коммуникаций и металлоконструкций;

  • исследовать информационные потоки и технологические пронес­ла обработки информации;

  • определить наличие и техническое состояние средств обеспече­ния ТЗИ:

  • проверить наличие на предприятии нормативных документов, обеспечивающих функционирование системы защиты информации, орга­низацию проектирования строительных работ с учетом требований по ТЗИ, а также нормативной и эксплуатационной документации, обеспечи­вающей ИД;

  • выявить наличие транзитных, нсзадсйствованных (воздушных, настенных, наружных и заложенных в канализацию) кабелей, цепей и проводов;

  • определить технические средства и системы, применение кото­рых не обосновано служебной или производственной необходимостью и которые подлежат демонтажу;

  • определить технические средства, требующие переоборудования (перемонтажа) и установки средств ТЗИ.

  1. По результатам обследования следует составить акт, который должен быть утвержден руководителем предприятия. .

  2. Материалы обследования необходимо использовать при рмр|йж ботке частной модели угроз, которая должна включать: ‘

  • генеральный и ситуационный планы прсдрнитмя, схемы располо­жения средств и систем обеспеченна ИД, а также инженерных коммуни­каций, выходящих за пределы контролируемой территории;

  • схемы и описания каналов утечки информации, каналов специ­ального воздействии и путей несанкционированного доступа к ИсОД;

  • оценку предполагаемого ущерба от реализации угроз.

3 ОРГАНИЗАЦИЯ РАЗРАБОТКИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

  1. На основании материалов обследования и частной модели угроз необходимо определить главные задачи защиты информации и составить техническое задание (ТЗ) на разработку системы защиты информации.

  2. ТЗ должно включать основные разделы:

  • требования к системе защиты информации;

  • требования к составу проектной и эксплуатационной документа­ции;

  • этапы выполнения работ;

  • порядок внесения изменений и дополнений к разделам ТЗ;

  • требования к порядку проведения испытаний системы защиты

  1. Основой функционирования системы защиты информации явля­ется план ТЗИ, который должен включать следующие документы:

  • перечень распорядительных, организационно-методических, НД ТЗИ н указания по их применению;

  • инструкции о порядке реализации организационных, первичных технических и основных технических мер защиты;

  • инструкции, устанавливающие обязанности, права и ответствен­ность персонала;

  • календарный план ТЗИ.

  1. ТЗ н план ТЗИ разрабатывают специалисты по ТЗИ, согласуют с заинтересованными подразделениями (организациями). Утверждает их руководитель предприятия.РЕАЛИЗАЦИЯ ОРГАНИЗАЦИОННЫХ МЕР ЗАЩИТЫ

    1. Организационные меры защиты информации — комплекс адми­нистративных и ограничительных мер, направленных на оперативное решение задач защиты путем регламентации деятельности персонала и рядка функционирования средств (систем) обеспечения ИД и средств 'Систем) обеспечения ТЗИ.

    2. В процессе разработки и реализации организационных мер необ­ходимо:

  • определить частные задачи защиты ИсОД; ,

  • обосновать структуру и технологию функционирования системы защиты информации;

  • разработать н внедрить правила реализации мер ТЗИ;

  • определить и установить права и обязанности подразделений и лиц, участвующих в обработке ИсОД;

  • приобрести средства обеспечения ТЗИ и нормативные документы и обеспечить ими предприятие;

  • установить порядок внедрения защищенных средств обработки информации, программных и технических средств защиты информации, а также средств контроля ТЗИ; .

  • установить порядок контроля функционирования системы защи­ты информации и ее качественных характеристик;

  • определить зоны безопасности информации;

  • установить порядок проведения аттестации системы технической ващиты информации, се элементов и разработать программы аттестзцион- ых испытаний;

  • обеспечить управление системой зашиты информации.

  1. Оперативное решение задач ТЗИ достигается организацией управления системой защиты информации, для чего необходимо:

  • изучать п анализировать технологию прохождения ИсОД я про­цессе ИД;

  • оценивать подверженность ИсОД воздействию угроз в конкрет­ный момент времени; ■

  • оценивать ожидаемую эффективность применения средств обес­печения ТЗИ;

  • определять (при необходимости) дополнительную потребность в средствах обеспечения ТЗИ;

  • осу ществл ять сбор, обработку и регистраци ю данных, относяши х- ся к ТЗИ;

дстузэмл—м

  • раврабатывать и реализовывать предложение по корректировке плана ТЗИ в целом или отдельных его элементов,

  1. РЕАЛИЗАЦИЯ ПЕРВИЧНЫХ ТЕХНИЧЕСКИХ МЕР ЗАЩИТЫ

    1. В процессе реализации первичных технических мер защиты требуете* обеспечил»:

  • блокирование канале* утечки информации;

  • б.цокчром нис иосанкцмонмроваымого доступа к информ* эдпт или се носителям;

  • проверку исправности ■ работоспособность технических средств обеспечения ИД. .

  1. Блокирование каналов утечки информации может осуществ­ляться:

  • демонтажом технических средств, линий связи, сигнализации и управления, энергетических сетей, использование которых не связано с жизнеобеспечением предприятия и обработкой ИсОД;

  • удалением отдельных элементов технических средств, являю­щихся средой распространения долей и сигналов, из помещений, где цир­кулирует ИсОД; *

  • временным отключением технических средств, не участвующих в обработке ИсОД, от линий связи, сигнализации, управления и энергети­ческих сетей;

  • применением способов и схемных решений но защите информа ции, не нарушающих основные технические характеристики средств обес печения ИД.

  1. Блокирование несанкционированного доступа к информации или се носителям может осуществляться:

созданием условий работы в пределах установленного регламен­та;

исключением возможности использования не прошедших провер­ку (ирпытания) программных, программно-апцдратхых средств- 1

Проверку исправности и работоспособности технических средств и систем обеспечения ИД необходимо проводить в соответствии С эксплу­атационными документами. ’Выявленные неисправные блоки и элементы могут способствовать утечке или нарушению целостности информации и подлежат немедленной замене (демонтажу).

Скачать бесплатно
Предыдущий документ
Следующий документ
Следующая страница


Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

Правила пожежної безпеки в україні Лісовий кодекс україни ДСТУ 3961-2000 Аптечка медична автомобільна. Загальні вимоги / Аптечка медицинская автомобильная. Общие требования 2013 Інструкція з охорони праці для прибиральника службових приміщень ГОСТ 23360-78 Основные нормы взаимозаменяемости. Соединения шпоночные с призматическими шпонками. Размеры шпонок и сечений пазов. Допуски и посадки Закон України "Про ліцензування певних видів господарської діяльності" ДСТУ Б Д.1.1-1:2013 Правила визначення вартості будівництва Закон України Про професійні спілки, їх права та гарантії діяльності ДБН Б.2.2-1-01 Містобудування. планування і забудова населених пунктів ГОСТ 25346-89 Единая система допусков и посадок
Методические рекомендации по составлению сметных расчетов (смет) на строительные и монтажные работы ресурсным методом СТОРІНКА: 5 ДСТУ Б В.2.7-112-2002 Цементы. Общие технические условия СТОРІНКА: 2 ГОСТ 19487-74 ОСТ 19487-74. Пигменты и наполнители неорганические. Термины и определения СТОРІНКА: 2 ГОСТ 4860.2-83* Сальники для электрических кабелей и проводов. Конструкция и основные размеры СТОРІНКА: 2 ДБН Д.2.3-9-99 Сборник 9. Электрические печи СТОРІНКА: 3 ГОСТ 24068-80 Основные нормы взаимозаменяемости. Соединения шпоночные с клиновыми шпонками. Размеры шпонок и сечений пазов. Допуски и посадки СТОРІНКА: 3 НПАОП 93.0-1.07-97 Правила охорони праці для перукарень СТОРІНКА: 3 ГОСТ 1425-93 Рессоры листовые для подвижного состава железных дорог. Технические условия СТОРІНКА: 2 ГОСТ 9.401-91 ОСТ 9.401-91. ЕСЗКС. Покрытия лакокрасочные. Общие требования и методы ускоренных испытаний на стойкость к воздействию климатических факторов СТОРІНКА: 6 ГОСТ 28434-90 Краны-штабелеры мостовые. Общие технические условия СТОРІНКА: 5
Смотрите также
ГОСТ 21.406-88* СПДС. Проводные средства связи. Обозначения условные графические на схемах и планахГОСТ 5614-74 ОСТ 5614-74. Машины для термической резки металлов. Типы, основные параметры и размерыПриказ 1340 Об утверждении Положения о внештатном (общественного) инспекторе государственного архитектурно-строительного контроляДБН В.2.3-14~2006 Споруди транспорту. мости та тр(додатки)