Ксзи 1

ЗМІСТ
ЗАВДАННЯ........................................................................................................................................4
СПИСОК СКОРОЧЕНЬ.....................................................................................................................5
ЕТАП 1. ОБГРУНТУВАННЯ НЕОБХІДНОСТІ СТВОРЕННЯ КСЗІ..........................................6
ЕТАП 2. ОБСТЕЖЕННЯ СЕРЕДОВИЩА ФУНКЦІОНУВАННЯ АС........................................6
ЕТАП 3. ВИЗНАЧЕННЯ ПОТЕНЦІЙНИХ ЗАГРОЗ ДЛЯ ІНФОРМАЦІЇ, ЯКА БУДЕ
ЦИРКУЛЮВАТИ В АС.....................................................................................................................6
ЕТАП 4. РОЗРОБКА ПОЛІТИКИ БЕЗПЕКИ В АС........................................................................7
ЕТАП 5. РОЗРОБКА ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ В АС....................................................7
ЕТАП 6. РОЗРОБКА ТЕХНІЧНОГО ЗАВДАННЯ НА СТВОРЕННЯ КСЗІ В АС......................8
ЕТАП 7. РОЗРОБКА ТЕХНІЧНОГО ЗАВДАННЯ НА СТВОРЕННЯ КСЗІ В АС......................8
ЕТАП 8. ПІДГОТОВКА КСЗІ ДО ВВЕДЕННЯ В ДІЮ.................................................................8
ЕТАП 9. ПОПЕРЕДНІ ВИПРОБОВУВАННЯ КСЗІ.....................................................................10
ЕТАП 10. ДОСЛІДНА ЕКСПЛУАТАЦІЯ КСЗІ...........................................................................10
ЕТАП 11. ЕКСПЕРТИЗА КСЗІ.......................................................................................................10
ЕТАП 12. СУПРОВОДЖЕННЯ КСЗІ............................................................................................11
ВИСНОВКИ......................................................................................................................................12
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ........................................................................................13
ДОДАТОК А.....................................................................................................................................14
ДОДАТОК Б.....................................................................................................................................17
ДОДАТОК В.....................................................................................................................................20
ДОДАТОК Г.....................................................................................................................................29
ДОДАТОК Д.....................................................................................................................................35
ДОДАТОК Е.....................................................................................................................................47
ДОДАТОК Є.....................................................................................................................................58
ДОДАТОК Ж....................................................................................................................................67
ДОДАТОК З......................................................................................................................................73
ДОДАТОК И.....................................................................................................................................80
ДОДАТОК К.....................................................................................................................................85
ДОДАТОК Л.....................................................................................................................................90
ДОДАТОК М....................................................................................................................................92
ДОДАТОК Н.....................................................................................................................................94
ДОДАТОК П.....................................................................................................................................96
ДОДАТОК Р......................................................................................................................................97
ДОДАТОК С...................................................................................................................................103
ДОДАТОК Т...................................................................................................................................111
ДОДАТОК У...................................................................................................................................114
ДОДАТОК Ф...................................................................................................................................115
ДОДАТОК Х...................................................................................................................................118
ЗАВДАННЯ
1. Розробити комплексну систему захисту інформації для автоматизованої
системи класу «2» обраного за варіантом підприємство (дозволяється самостійно обрати
існуюче підприємство, попередньо узгодити з викладачем). Кожний етап побудови оформити
згідно нормативних документів.
2. Згідно останньої цифри залікової книжки обрати об’єкт інформаційної
діяльності.
3. Кількість поверхів обирається за сумою двох останніх цифр залікової книжки –
якщо сума парне число, тоді 2 поверхи, якщо непарне - 1 (Наприклад, Σ = 4, то поверхів 2,
якщо Σ = 5, то поверхів 1).
4. Обґрунтуйте вибір апаратних та програмних засобів захисту (засіб повинен
мати експертний висновок Держспецзв’язку України).
5. Курсова робота оформлюється згідно вимог ГОСТу до проектно-технічної
документації.
Всі документи розробляються згідно вимог нормативних документів Держспецзв’язку
України та ДСТУ.
ВАРІАНТИ
Остання
цифра Кількість Кількість
Об’єкт інформаційної діяльності
залікової приміщень ПК
книжки
0 5 20 Будівельна фірма
1 4 25 Страхова компанія
2 6 30 Конструкторське бюро
3 5 22 DATA-Центр
4 7 35 Банк
5 4 26 Туристична фірма
6 5 28 Торговельне підприємство
7 8 34 Фармацевтична компанія
8 4 21 Видавництво
9 8 33 Компанія з розробки систем захисту інформації
СПИСОК СКОРОЧЕНЬ
КСЗІ – комплексна система захисту інформації.
ОІД – об'єкт інформаційної діяльності.
ЗЗІ – засоби захисту інформації.
ТЗІ – технічний захист інформації.
АС – автоматизована система.
АСВТЗІ – автоматизована система класу 1 відділу технічного захисту інформації.
ІзОД – інформація з обмеженим доступом.
НСД – несанкціонований доступ.
ПЕМВН – побічні електромагнітні випромінювання і наводки.
ОІД – об’єкт інформаційної діяльності.
ОТЗ – основні технічні засоби.
ДТЗ – допоміжні технічні засоби.
ПМА – програма і методика випробувань.
ЖМД – жорсткий магнітний диск.
ГМД – гнучкий магнітний диск.
НСД – несанкціонований доступ.
НД ТЗІ – нормативний документ системи технічного захисту інформації.
КЗЗ – комплекс засобів захисту.
ЕТАП 1. ОБГРУНТУВАННЯ НЕОБХІДНОСТІ СТВОРЕННЯ КСЗІ
Комерційний банк «Кредокомбанк» був створений відповідно ЗУ «Про банки і
банківську діяльність» у вигляді акціонерного товариства.
Інформація, яка є результатом цієї діяльності, в цілому називається банківською
таємницею, захист якої забезпечується такими нормативними актами:
• ЗУ «Про кредитні спільноти»
• ЦКУ (ст.1076)
• ЗУ «Про банки і банківську діяльність»
Крім того, за розголошення банківської таємниці передбачена відповідальність, яка
прописана в статтях 231 і 232 КК України.
Підставою для визначення необхідності створення КСЗІ є норми та вимоги чинного
законодавства, які встановлюють обов’язковість обмеження доступу до певних видів
інформації або забезпечення її цілісності чи доступності, або прийняте власником інформації
рішення щодо цього, якщо нормативно-правові акти надають йому право діяти на власний
розсуд.
Вихідні дані для обґрунтування необхідності створення КСЗІ були отримані за
результатами: аналізу нормативно-правових актів ; визначення наявності у складі інформації,
яка підлягає автоматизованій обробці, таких її видів, що потребують обмеження доступу до
неї або забезпечення цілісності чи доступності відповідно до вимог нормативно-правових
актів; - оцінки можливих переваг (фінансово-економічних, соціальних і т.п.) експлуатації
ІТС у разі створення КСЗІ.
Комісія у складі генерального директора «Кредокомбанк», заступника генерального
директора та начальника відділу ТЗІ провела аналіз інформації, що циркулює в АС класу 2
«Кредокомбанка». За результатами комісії були складені наступні документи (додаток А):
1. Наказ про затвердження переліку відомостей, що відносяться до
конфіденційної інформації.
2. Перелік відомостей, що відносяться до конфіденційної інформації.
3. Акт визначення вищого ступеню обмеження доступу до інформації.
ЕТАП 2. ОБСТЕЖЕННЯ СЕРЕДОВИЩА ФУНКЦІОНУВАННЯ АС

Обстеження середовищ функціонування АС проводилось комісією. До складу комісії
входили особи, які мають відношення до життєдіяльності ОІД та інформаційну діяльність
АС, а саме: начальник спеціального відділу, начальник відділу технічного захисту
інформації, інженер з господарської діяльності, інженер автоматизованих систем управління.
За результатами проведення обстеження комісією було складено Акт обстеження середовищ
функціонування автоматизованої системи на об’єкті інформаційної діяльності ПАТ
«Кредокомбанк» (Додаток Б).
ЕТАП 3. ВИЗНАЧЕННЯ ПОТЕНЦІЙНИХ ЗАГРОЗ ДЛЯ ІНФОРМАЦІЇ, ЯКА БУДЕ

ЦИРКУЛЮВАТИ В АС
Визначення потенційних загроз для конфіденційної інформації, яка циркулюватиме в
АС, проводилось при використанні відомостей наведених в наступних документах:
1. Перелік відомостей, які відносяться до конфіденційної інформації ПАТ
Комерційного банку «Кредокомбанк»
2. Акт визначення вищого ступеню обмеження доступу інформації, яка
циркулюватиме на об’єкті інформаційної діяльності – приміщення № 1 відділу технічного
захисту інформації ПАТ Комерційного банку «Кредокомбанк»
3. Акт обстеження середовищ функціонування автоматизованої системи на
об’єкті інформаційної діяльності – приміщення № 1 відділу технічного захисту інформації
ПАТ Комерційного банку «Кредокомбанк»
4. Акті обстеження середовищ функціонування АС.
За результатами проведення визначення потенційних загроз начальником відділу ТЗІ
було складено документ «Модель загроз для інформації з обмеженим доступом, яка
планується до циркуляції в автоматизованій системі класу 2 на об’єкті інформаційної
діяльності – приміщення № 1 ПАТ Комерційного банку «Кредокомбанк», яка включає в себе
«модель порушника» (Додаток В).
ЕТАП 4. РОЗРОБКА ПОЛІТИКИ БЕЗПЕКИ В АС

Для можливості створення коректних та ефективних заходів захисту інформації в АС
начальником технічного захисту інформації та начальником спеціального відділу було
визначено набір вимог, правил, обмежень, та рекомендацій, які регламентують порядок
обробки конфіденційної інформації в АС та спрямовані на її захист. Всі ці визначені вимоги
було викладено в документі «Політика безпеки інформації, яка циркулює в автоматизованій
системі класу 2 ПАТ «Кредокомбанк» (Додаток Г).
Політика інформаційної безпеки — набір вимог, правил, обмежень, рекомендацій, які
регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і
підтримку стану інформаційної безпеки організації.
Політика безпеки інформації є частиною загальної політики безпеки організації і
повинна успадковувати основні її принципи.
Метою політики безпеки є впровадження та ефективне управління системою
забезпечення інформаційної безпеки, спрямованої на:
 захист інформаційних активів організації,
 забезпечення стабільної діяльності організації,
 мінімізації ризиків інформаційної безпеки,
 створення позитивних для організації інформаційних відносин з партнерами,
клієнтами та всередині організації.
Політика стосується всіх осіб, що мають відношення до вирішення питань щодо
забезпечення надійного та безпечного функціонування АС, службовців сторонніх
організацій, постачальників та розробників апаратних та програмних компонентів КСЗІ.
ЕТАП 5. РОЗРОБКА ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ В АС

План захисту інформації в АС є сукупністю документів, згідно з якими здійснюється
організація захисту інформації на всіх етапах життєвого циклу АС. Він включає в себе:
 класифікацію інформації АС;
 загальний опис компонентів АС;
 технології обробки інформації в АС;
 модель загроз АС.
За основу цього документу було використано рекомендації, які наведені в додатках НД
ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в автоматизованій
системі» та НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в комп’ютерних
системах від несанкціонованого доступу».
План захисту інформації в АС міститься в Додатку Д.
ЕТАП 6. РОЗРОБКА ТЕХНІЧНОГО ЗАВДАННЯ НА СТВОРЕННЯ КСЗІ В АС
Технічне завдання на створення КСЗІ в АС (ТЗ на КСЗІ) є засадничим організаційно-
технічним документом для виконання робіт щодо забезпечення захисту інформації в системі.
Технічне завдання на КСЗІ розроблене з урахуванням комплексного підходу до
побудови КСЗІ, який передбачає об'єднання в єдину систему всіх необхідних заходів і
засобів захисту від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу
АС.
В технічному завданні на КСЗІ викладені вимоги до функціонального складу і
порядку розробки і впровадження технічних засобів, що забезпечують безпеку інформації в
процесі її оброблення в обчислювальній системі АС. Додатково треба викласти викладені
вимоги до організаційних, фізичних та інших заходів захисту, що реалізуються поза
обчислювальною системою АС у доповнення до комплексу програмно-технічних засобів
захисту інформації.
Роботу з погодження проекту ТЗ на КСЗІ в АС було здійснено спільно Розробник ТЗ
на КСЗІ в АС і Замовник, кожен в своїй організації.
Технічне завдання складено відповідно вимог НД ТЗІ. В технічному завданні
викладено вимоги до заходів захисту конфіденційної інформації щодо блокування всіх
визначених в документі «Модель загроз для інформації з обмеженим доступом, яка
планується до циркуляції в автоматизованій системі класу 2 на об’єкті інформаційної
діяльності – приміщення ПАТ «Кредокомбанк» загроз.
Документ «Автоматизована система відділу технічного захисту інформації ПАТ
«Кредокомбанк» Комплексна система захисту інформації. Технічне завдання» (Додаток Е).
ЕТАП 7. РОЗРОБКА ТЕХНІЧНОГО ЗАВДАННЯ НА СТВОРЕННЯ КСЗІ В АС

В техпроекті викладено організаційні та технічні рішення, які необхідно впровадити в
АСВТЗІ, щодо впровадження вимог із захисту конфіденційної інформації, що наведено в
документі «Автоматизована система відділу технічного захисту інформації ПАТ
«Кредокомбанк» Комплексна система захисту інформації. Технічне завдання». Вибір заходів
захисту здійснювався колегіально з використанням вимог та рекомендацій, що наведено в
документах, які використовувались при складанні технічного завдання. Для складання
техпроекту використовувався НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки
технічного завдання на створення комплексної системи захисту інформації в
автоматизованій системі. Документ «Автоматизована система відділу технічного захисту
інформації ПАТ «Кредокомбанк» Комплексна система захисту інформації. Техпроект»
наведено в додатку Є.
ЕТАП 8. ПІДГОТОВКА КСЗІ ДО ВВЕДЕННЯ В ДІЮ

На виконання вимог документу «Автоматизована система відділу технічного захисту
інформації ПАТ «Кредокомбанк» Комплексна система захисту інформації. Техпроект» для
створення КСЗІ в АСВТЗІ було виконано організаційно-технічні заходи із захисту
конфіденційної інформації та будівельно-монтажні роботи .
Під час виконання організаційних заходів із захисту інформації було створено пакет
експлуатаційних документів на КСЗІ в АСВТЗІ, а саме:
 Паспорт-формуляр на автоматизовану систему класу 2 відділу технічного
захисту інформації ПАТ «Кредокомбанк» (додаток Ж);
 Положення про службу захисту інформації в автоматизованій системі класу 2
відділу технічного захисту інформації ПАТ «Кредокомбанк» (додаток З);
 Інструкція користувачу автоматизованої системи класу 2 відділу технічного
захисту інформації ПАТ «Кредокомбанк» (додаток И);
 Інструкція з режимних заходів щодо захисту інформації під час її обробки в
автоматизованій системі класу 2 відділу технічного захисту інформації ПАТ
«Кредокомбанк» (додаток К);
 Інструкція з адміністрування системи автоматизованої системи класу 2 відділу
технічного захисту інформації ПАТ «Кредокомбанк»; (додаток Л);
 Інструкція з правил видачі вилучення та зберігання персональних
ідентифікаторів користувачів автоматизованої системи класу 2 відділу технічного захисту
інформації ПАТ «Кредокомбанк» (додаток М);
 Інструкція по правилам управління паролями в автоматизованій системі класу
2 відділу технічного захисту інформації ПАТ «Кредокомбанк» (додаток Н);
 Інструкція про порядок оперативного відновлення функціонування
автоматизованої системи класу 2 відділу технічного захисту інформації ПАТ
«Кредокомбанк».
Всі технічні заходи передбачені в техноробочим проектом було виконано
співробітниками ПАТ «Кредокомбанк» та дані про виконання було занесене до Паспорта-
формуляру АСВТЗІ.
Всі будівельно-монтажні роботи було виконано робітниками ТОВ «Будмонтаж» в
повному обсязі. По закінченню вказаних робіт було складено Акт приймання робіт.
Для забезпечення завдань керування КСЗІ в АСВТЗІ та здійснення контролю за її
функціонуванням в ПАТ «Кредокомбанк» було створено службу захисту інформації в
АСВТЗІ до складу якої входять:
 керівник служби захисту інформації;
 адміністратор безпеки;
 системний адміністратор;
 адміністратор документів.
Вказана служба є позаштатним підрозділом ПАТ «Кредокомбанк».
У своїй діяльності служба захисту інформації в АСВТЗІ керується відповідним
положенням, що наведено у додатку К цієї роботи.
Для визначення кола осіб, які будуть допущені до роботи з конфіденційною
інформацією в АСВТЗІ начальником спеціального відділу було складено за затверджено у
директора ТОВ «ПАТ «Кредокомбанк» відповідний список користувачів
Для можливості функціонування КСЗІ в АСВТЗІ було проведено навчання
користувачів щодо забезпечення захисту конфіденційної інформації під час її обробки в
АСВТЗІ. По завершенню навчання у звичайних користувачів було прийнято відповідні
заліки зі знань вимог наступних документів:
 Інструкція користувачу автоматизованої системи класу 2 відділу технічного
захисту інформації ПАТ «Кредокомбанк»;
 Інструкція з режимних заходів щодо захисту інформації під час її обробки в
«Кредокомбанк»;
 Інструкція по правилам управління паролями в автоматизованій системі класу
2 відділу технічного захисту інформації ПАТ «Кредокомбанк»;
 Інструкція про порядок оперативного відновлення функціонування
 Інструкція з адміністрування системи автоматизованої системи класу 2 відділу
технічного захисту інформації ПАТ «Кредокомбанк»;
 Інструкція з правил видачі вилучення та зберігання персональних
ідентифікаторів користувачів автоматизованої системи класу 2 відділу технічного захисту
інформації ПАТ «Кредокомбанк».
ЕТАП 9. ПОПЕРЕДНІ ВИПРОБОВУВАННЯ КСЗІ

Після виконання всіх запланованих техпроектом заходів захисту інформації КСЗІ
підлягала попереднім випробуванням. Попередні випробування проводились комісією
визначеною наказом ПАТ «Кредокомбанк» (додаток П) відповідно складеного документа
«Автоматизована система відділу технічного захисту інформації ПАТ «Кредокомбанк».
Комплексна система захисту інформації. Програма та методики випробувань» (додаток Р).
Під час попередніх випробувань КСЗІ перевірялась ефективність всіх впроваджених заходів
захисту конфіденційної інформації в АСВТЗІ по кожній визначеній загрозі.
По закінченню попередніх випробувань особами, які в них брали участь, було
складено документ «Протокол попередніх випробувань комплексної системи захисту
інформації в автоматизованій системі класу 2 відділу технічного захисту інформації ПАТ
«Кредокомбанк» (додаток С).
Після проведення попередніх випробувань комісією було перевірено повнота
виконання всіх запланованих заходів із захисту конфіденційної інформації в АСВТЗІ під час
створення КСЗІ та складено документ «Акт повноти виконаних заходів із захисту
інформації при створенні комплексної системи захисту інформації в автоматизованій
системі класу 2 відділу технічного захисту інформації ТОВ «ПАТ «Кредокомбанк» (додаток
Т) в якому зроблено висновки щодо можливості передачі створеної КСЗІ в АСВТЗІ у
дослідну експлуатацію.
ЕТАП 10. ДОСЛІДНА ЕКСПЛУАТАЦІЯ КСЗІ

Після отримання позитивних результатів щодо захищеності конфіденційної
інформації в АСВТЗІ, які визначені в документах складених після проведення попередніх
випробувань, КСЗІ в АСВТЗІ була прийнята у дослідну експлуатацію. Прийняття КСЗІ в
АСВТЗІ у дослідну експлуатацію було засвідчено відповідним актом (додаток У).
Під час проведення дослідної експлуатації перевірялась робота КСЗІ в АСВТЗІ у всіх
режимах для удосконалення безперебійної роботи АСВТЗІ та сумісності всіх передбачених
заходів захисту конфіденційної інформації при одночасному їх використанні. Розроблені
організаційно-технічні заходи захисту спроможні унеможливлювати загрози ІзОД, які
можуть виникнути під час її циркуляції в АСВТЗІ.
По закінченню дослідної експлуатації було складено відповідний акт (додаток Ф) в
якому засвідчено можливість початку обробки конфіденційної інформації в АСВТЗІ та у разі
необхідності представленні КСЗІ в АСВТЗІ на експертизу.
ЕТАП 11. ЕКСПЕРТИЗА КСЗІ

1.Загальні відомості
Державна експертиза комплексної системи захисту інформації (КСЗІ) проводиться з
метою визначення відповідності КСЗІ технічному завданню, вимогам нормативних
документів із захисту інформації, визначення можливості введення КСЗІ у складі
інформаційно-телекомунікаційної системи (ІТС) в експлуатацію та є окремим етапом
приймальних випробувань ІТС. Державна експертиза КСЗІ в ІТС проводиться згідно з
положенням про державну експертизу в сфері технічного захисту інформації.
По завершенні державної експертизи надається атестат відповідності КСЗІ,
зареєстрований Держспецзв’язком України, та позитивний експертний висновок, якщо під
час проведення експертизи не було виявлено недоліків, які не було усунуто до її завершення.
Проведення державної експертизи в сфері технічного захисту інформації виконується
з метою оцінки захищеності інформації, яка обробляється або циркулює в інформаційно-
телекомунікаційних системах, комп'ютерних мережах, системах зв'язку, приміщеннях,
інженерно-технічних спорудах тощо, та підготовки обґрунтованих висновків для прийняття
відповідних рішень.
2.Результати
Результат виконання робіт - атестат відповідності КСЗІ (додаток Х).
ЕТАП 12. СУПРОВОДЖЕННЯ КСЗІ

Виконуються роботи з організаційного забезпечення функціонування КСЗІ та
управління засобами захисту інформації відповідно до Плану захисту та експлуатаційної
документації на компоненти КСЗІ, гарантійному і післягарантійному технічному
обслуговуванню засобів захисту інформації.
ВИСНОВКИ
В результаті виконання курсової роботи було проведено розробку комплексної
системи захисту інформації для ПАТ «Кредокомбанк». Відповідно було розроблено усю
супровідну документацію по впровадженню КСЗІ.
Комплексна система захисту інформації (КСЗІ) – взаємопов'язана сукупність
організаційних та інженерно-технічних заходів, засобів і методів захисту інформації (ЗІ).
Організаційні заходи захисту інформації – комплекс адміністративних та
обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом
регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення
ТЗІ. Вони являються обов’язковою складовою побудови КСЗІ. Інженерно-технічні заходи –
сукупність спеціальних технічних засобів та їх використання для захисту інформації. У разі
необхідності, в рамках проведення інженерно-технічних заходів, може здійснюватися
установка в приміщеннях систем охоронно-пожежної сигналізації, систем контролю і
управління доступом.
Діяльність з побудови КСЗІ відноситься до ліцензованих видів діяльності і
ліцензується службою Держспецзв’язку України.
Етапи побудови КСЗІ
В побудові КСЗІ можна виділити наступні етапи:
 Обґрунтування необхідності створення КСЗІ.
 Обстеження середовищ функціонування АС.
 Визначення потенційних загроз для інформації, яка буде циркулювати в АС.
 Розробка політики безпеки інформації в АС.
 Розробка плану захисту інформації в АС.
 Розробка технічного завдання на створення КСЗІ в АС.
 Складання техноробочого проекту створення КСЗІ.
 Підготовка КСЗІ до введення в дію.
 Попередні випробування КСЗІ в АС.
 Дослідна експлуатація КСЗІ.
 Експертиза КСЗІ.
 Супроводження КСЗІ.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Закон України “Про інформацію” від 2 жовтня 1992 року №2658-ХІІ;
2. Закон України “Про захист інформації в інформаційно-телекомунікаційних
системах” від 5 липня 1994 року № 80/94-ВР;
3. Положення про технічний захист інформації в Україні, затверджене Указом
Президента України від 27.09.99 р. № 1229/99;
4. ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні
положення;
5. ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок
проведення робіт;
6. ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та
визначення;
7. Тимчасове положення про категоріювання об’єктів (ТПКО-95). Затверджено
наказом Державної служби України з питань ТЗІ від 9 червня 1995р. № 25.
8. ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до
організації;
9. ДБН А.2.2-3-97 Проектування. Склад, порядок розробки, узгодження і
затвердження проектної документації для будівництва;
10. НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп’ютерних
системах від несанкціонованого доступу;
11. НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних
12. НД ТЗІ 1.1-004-99 Загальні положення щодо захисту інформації в комп'ютерних
13. НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності.
Створення комплексу технічного захисту інформації. Основні положення;
14. НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в
автоматизованій системі;
15. НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних
16. НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні
функціональні профілі захищеності оброблюваної інформації від несанкціонованого
доступу;
Створення комплексу технічного захисту інформації. Передпроектні роботи;
Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження
заходів із захисту інформації;
19. НД ТЗІ 3.6-001-2000 Порядок створення, впровадження, супроводження та
модернізації засобів технічного захисту інформації від несанкціонованого доступу;
20. НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи
захисту інформації в інформаційно-телекомунікаційній системі;
21. НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на
створення комплексної системи захисту інформації в автоматизованій системі;
22. Положення про забезпечення режиму секретності під час обробки інформації, що
становить державну таємницю, в автоматизованих системах. Затверджено постановою КМУ
від 16.02.98 № 180;
23. Положення про державну експертизу в сфері технічного захисту інформації.
Затверджено наказом Держспецзв’язку України від 16.05.07 № 93, зареєстроване в
Міністерстві юстиції України 16.07.2007 за № 820/14087;
ДОДАТОК А
ПАТ Комерційний банк «Кредокомбанк»

НАКАЗ
20.10.2015 м.Київ № 1/ТЗІ
Про затвердження Переліку відомостей,

що відносяться до конфіденційної інформації та
комерційної таємниці та якій надається гриф
обмеження доступу у комерційному банку «Кредокомбанк»
З метою недопущення розголошення конфіденційної інформації, власником якої

являється КБ «Кредокомбанк»
НАКАЗУЮ:
1. Затвердити Перелік відомостей, що відносяться до конфіденційної інформації
та комерційної таємниці КБ «Кредокомбанк» та якій надається гриф обмеження доступу
(надалі - Перелік), що додається.
2. Керівникам всіх відділів:
2.1. Довести цей Перелік до відому працівників яких він стосується.
2.2. Забезпечити необхідний контроль за використанням, збереженням,
передаванням, прийманням інформації з грифом обмеженого доступу «для службового
користування» та «конфіденційно» та «комерційна таємниця»
2.3. Контроль за роботою з документами, з грифом обмеженого доступу «для
службового користування» та «конфіденційно» та «комерційна таємниця» накладається на
керівника відділу діловодства.
3. Контроль за недопущенням розголошення конфіденційної інформації
покладається на керівника відділу технічного захисту інформації.
4. Контроль за виконанням цього наказу залишаю за собою.
Генеральний директор
Комерційного банку «Кредокомбанк»» О.С. Коваль
Перелік
відомостей, що відносяться до конфіденційної інформації та комерційної
таємниці та якій надається гриф обмеження доступу
Таблиця 1
№ Інформація Гриф обмеження доступу

п/п
1. Відомості про бази даних партнерів конфіденційно
2. Відомості про ефективність роботи підприємства конфіденційно
3. Відомості про напрямки діяльності підприємства конфіденційно
Відомості про облік, видачу печаток, штампів, конфіденційно
4.
ключів
5. Документи з технічного захисту інформації конфіденційно
Зведені відомості щодо паролів доступу до серверів конфіденційно
6.
та персональних комп’ютерів
7. Персональні дані про працівників конфіденційно
8. Відомості про фінансову діяльність підприємства комерційна таємниця
9. Тактичні й стратегічні плани розвитку підприємства комерційна таємниця
10. Аналітичні огляди конкурентоспроможності комерційна таємниця
11. Відомості про здійснюванні комерційні операції комерційна таємниця
Відомості про організацію та заходи реагування та для службового
12.
дії у разі виникнення аварій користування
Відомості про паролі доступу до серверів та для службового
13.
робочих станцій користування
Відомості про службу безпеки підприємства та для службового
14.
технічне забезпечення захисту інформації користування
Плани підприємства з нанесеними схемами мереж для службового
зв’язку, сигналізації, радіофікації, користування
15.
електроживлення, освітлення та комп’ютерних
систем
Політика безпеки підприємства, нормативна для службового
16.
документація користування
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________О.С. Коваль
«17» лютого 2016 року
АКТ
визначення вищого ступеню обмеження доступу інформації, яка циркулюватиме на
об’єкті інформаційної діяльності - приміщення № 2 відділу технічного захисту
інформації ПАТ «Кредокомбанк»
Комісія у складі:
голови: заступника генерального директора ПАТ «Кредокомбанк» Бондаровця С.С.;
членів: керівника відділу технічного захисту інформації Ковтун С.Ю. та заступника
керівника відділу технічного захисту інформації Степаненко І.В. відповідно до вимог НД
ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту
інформації в інформаційно-телекомунікаційній системі», провела визначення вищого
ступеню обмеження доступу інформації, яка циркулюватиме на об’єкті інформаційної
діяльності – приміщення № 2 відділу технічного захисту інформації ПАТ «Кредокомбанк»
(далі – ОІД).
Комісією встановлено:
Вищий гриф обмеження доступу інформації, яка планується до циркуляції на ОІД:
інформація на матеріальних носіях інформації - «конфіденційно».
мовна інформація загального характеру - без обмеження доступу.
мовна інформація, з конфіденційними відомостями – «конфіденційно»
Висновок:
Вищий гриф обмеження доступу інформації, яка циркулюватиме на ОІД
–«конфіденційно».
Голова комісії:
заступник генерального директора
ПАТ «Кредокомбанк» С.С. Бондаровець
Члени комісії:
керівник відділу технічного
захисту інформації С.Ю. Ковтун
заступник керівника відділу

технічного захисту інформації І.В. Степаненко
ДОДАТОК Б
________________ О.С. Коваль
АКТ
обстеження об'єкта інформаційної діяльності
1. Обстеження на ОІД проведено комісією у складі:

голови комісії: Лозінський І.Л. – відповідального за ТЗІ на ОІД;
членів комісії: Тимошенко В.О. – експерта із засобів ТЗІ;
Соколюк Б.М. – керівник з питань проектування систем ТЗІ; згідно з
наказом Коваль О.С. № 45 від 18.02.2015р., згідно із затвердженою програмою обстеження
рішення генерального директорка ПАТ «Кредокомбанк» Коваль О.С.
В період з 1 по 5 лютого провела обстеження та оцінку захищеності інформації від
витоку технічними каналами, а також від НСД до інформації, що обробляється і циркулює
в АС ОІД.
2. Комісією розглянуто та проаналізовано (додається):
 схему контрольованої зони (КЗ) ОІД;
 план ОІД;
 наявність НД ТЗІ;
 встановлене програмне забезпечення.
3. Комісія постановила:
 В робочому приміщенні, циркулює така інформація:
o Мовна інформація (під час робочого часу) вголос під час розмов між
співробітниками та партнерами цього підприємства. Гриф обмеження доступу
- конфіденційно.
o Інформація в ПЕОМ. Гриф обмеження доступу – конфіденційно.
 Підстанція електроживлення – за межами КЗ.
 Інженерні комунікації виходять за межі КЗ.
 Системи зв’язку - виходить за межі КЗ.
 У наявності всі НД ТЗІ.
 Програмне забезпечення – потребує оновлення.
Висновки:
- стан захищеності інформації на ОІД не відповідає нормативним документам.
Рекомендації:
1) розробити модель загроз для ІзОД;
2) розробити технічні вимоги та завдання з питань ТЗІ;
3) згідно моделі загроз виявити можливі канали витоку інформації та перекрити
їх.
Голова комісії І.Л. Лозінський
Члени комісії В.О. Тимошенко
Б.М. Соколюк
Ситуаційний план (поверх 1)
Ситуаційний план (поверх 2)

План мережі (поверх 1)
План мережі (поверх 2)

ДОДАТОК В
________________ О.С. Коваль
МОДЕЛЬ ЗАГРОЗ
для інформації з обмеженим доступом, яка планується до циркуляції в АС класу
2 на об’єкті інформаційної діяльності - приміщення ПАТ «Кредокомбанк»
1. Позначення і скорочення
В цій Моделі загроз для інформації, яка планується до циркуляції в автоматизованій

системі класу 2 на об’єкті інформаційної діяльності – приміщення ПАТ «Кредокомбанк»
використовуються такі позначення і скорочення:
АС – автоматизована система класу 2;
ГМД – гнучкий магнітний диск;
ДТЗ – допоміжні технічні засоби;
ЖМД – жорсткий магнітний диск;
ІзОД – інформація з обмеженим доступом;
КЗ – контрольована зона ПАТ «Кредокомбанк»
КЗЗ – комплекс засобів захисту.
КСЗІ – комплексна система захисту інформації;
НД ТЗІ – нормативний документ системи технічного захисту інформації;
НСД – несанкціонований доступ;
ОІД – об’єкт інформаційної діяльності з встановленою АС;
ОТЗ – основні технічні засоби;
ПЕМВН – побічні електромагнітні випромінювання і наведення;
ПМА – програма і методика атестаційних випробувань;
ТЗІ – технічний захист інформації.
2. Нормативні посилання
Ця Модель загроз створена відповідно вимог наступних нормативних документів:

ДСТУ 3396.1-96 “Захист інформації. Технічний захист інформації Порядок
проведення робіт»;
ДСТУ 3396.2-97 “Захист інформації. Технічний захист інформації. Терміни та
визначення»;
НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в
автоматизованій системі»;
НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи
захисту інформації в інформаційно-телекомунікаційній системі»
НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в комп’ютерних
системах від несанкціонованого доступу».
3. Загальні положення
В АС передбачається обробка інформації, яка не становить державної таємниці.

Модель загроз для інформації – це абстрактний формалізований опис методів та
засобів здійснення загроз для інформації в конкретних умовах функціонування АС.
Модель загроз складається з наступних основних розділів:
модель загроз для інформації, яка планується до циркуляції в автоматизованій
системі класу 2;
модель порушника для інформації, яка планується до циркуляції в автоматизованій
системі класу 2.
4. Модель загроз для інформації, що циркулює в АС класу 2

ПАТ «Кредокомбанк» розташований у окремій будівлі, яка займає два поверхи.
Загалом є 7 приміщень: відділ по роботі з клієнтами, відділ касових операцій, відділ ТЗІ,
фінансовий відділ, відділ по конфіденційній роботі, кабінет генерального директора та
заступника та серверна.
ОІД обладнано наступними системами інформаційного забезпечення та
життєзабезпечення:
 система міського телефонного зв’язку;
 система охоронної сигналізації;
 система пожежної сигналізації;
 система електроживлення;
 система опалення.
Характеристика ОІД:
1. зовнішні стіни – цегельні, товщина яких становить 500 мм;
2. внутрішні стіни – цегельні, товщина яких становить 450 мм;
3. підлога – залізобетонні плити, вкрита лінолеумом;
4. стеля – залізобетонні плити, вкрита лінолеумом;
5. вікно – пластикове з однокамерним склопакетом;
6. двері – дерев’яні, оббиті залізними листами, обладнані замковими пристроями
та датчиками охоронної сигналізації.
Електроживлення АС здійснюється від трансформаторної підстанції, яка знаходиться
на території та має сторонніх споживачів.
Опалення ОІД відбувається від котельні, яка знаходиться на території.
З ОІД за межі КЗ виходять:
 лінія електроживлення;
 труби системи опалення;
 лінія охоронної сигналізації;
 лінія пожежної сигналізації;
 лінія міського телефонного зв’язку.
Згідно відомостей, що наведені в Акті визначення вищого ступеню обмеження
доступу інформації, яка планується до циркуляції на ОІД від 12.04.05 на ОІД плануються такі
види інформаційної діяльності:
 обробка (перетворення, відображення, накопичення, друк) інформації з
обмеженим доступом за допомогою автоматизованої системи класу 2 з вищим грифом
обмеження доступу – «конфіденційно».
 робота з паперовими документами, що містять інформацію з вищим грифом
обмеження доступу – «конфіденційно».
5. Описи технічних каналів витоку та загроз ІзОД
5.1. Канал ПЕМВН

Канали витоку ІзОД за рахунок ПЕМВН розрізняються як за видом середовища
поширення, так і за причиною або фізичним явищем, завдяки яким небезпечний сигнал
потрапляє в це середовище. Цілком імовірним є утворення ПЕМВН за рахунок:
 електричних і магнітних випромінювань інформативного сигналу при
функціонуванні ОТЗ;
 паразитних радіовипромінювань генераторів (гетеродинів) ОТЗ та ДТЗС, які
промодульовані інформативним сигналом;
 електричних і магнітних випромінювань, що утворюються за рахунок наведень
на проводові лінії зв’язку, ланцюги електроживлення і заземлення тощо, а також за рахунок
нерівномірності споживання струму в мережі електроживлення;
 впливу на незахищені лінії (ланцюги), які виходять за межі КЗ, електричних та
магнітних полів ліній, у яких циркулює ІЗОД;
 за рахунок стікання (витоку) струмів інформативного сигналу в ланцюги
заземлення.
5.2. Радіотехнічний канал
Утворюється шляхом зняття несанкціоновано встановленими на ОІД засобами ТР
ІзОД (зображення об’єкта розвідки, а також сигналів, які циркулюють у ОТЗ та ДТЗС
(передавання, зберігання та обробка ІЗОД) з метою їх подальшого технічного аналізу,
обробки та декодування (демодуляції).
ІзОД, яка циркулює на ОІД, можливо отримати такими видами засобів ТР:
 закладні пристрої аудіо- та відеоспостереження;
 закладні пристрої перехоплення ІзОД у проводових та кабельних лініях
зв’язку;
 закладні пристрої зняття ІзОД з технічних засобів обробки, зберігання та
передавання інформації.
5.3. Візуально-оптичний канал
Візуально-оптичний канал витоку ІзОД утворюється за рахунок отримання
технічними засобами розвідки, що встановлюються за межами КЗ в зоні прямої видимості
ОІД в якому циркулює ІзОД у вигляді паперових носіїв, відображенні її на моніторах
автоматизованих систем тощо.
Отримання ІзОД може здійснюватися шляхом візуального спостереження,
фотозйомки, відеозйомки. Для вказаних шляхів отримання ІзОД існують засоби ТР, які
дають можливість отримання ІЗОД з відстаней до 3000 метрів. Тактико технічні
характеристики сучасних засобів цих ТР наведені в розділі 7 Моделі ТР-2015.
5.4. Несанкціонований доступ до ІзОД
Для ІзОД, яка циркулює на ОІД, ймовірно можливий несанкціонований доступ (далі –
НСД) до:
ІзОД, яка планується до обробки (обробляється) та зберігання в автоматизованих
системах;
ІзОД, яка зберігається на ОІД у будь якому вигляді.
5.4.1. НСД до ІзОД, яка обробляється та зберігається в автоматизованих системах,
можливий у двох випадках:
 помилки у програмно-апаратних засобах безпеки, що призводять до
виникнення можливості дій, які дозволяють їхній обхід;
 некоректно сформульованої або реалізованої політики безпеки для даної
конфігурації технічних і програмних засобів системи.
Основними видами НСД є:
 безпосереднє звернення до ІзОД, яка обробляється та зберігається в
автоматизованих системах;
 створення програмно-апаратних засобів, що виконують звертання до ІзОД в
обхід засобів захисту;
 модифікація засобів захисту, що дозволяє здійснити НСД до ІзОД;
 впровадження в комп’ютерні системи програмних або апаратних механізмів,
що порушують структуру і функції комп’ютерної системи і дозволяють здійснити НСД до
ІзОД.
5.4.2. НСД до ІзОД, яка зберігається на ОІД у вигляді паперових та магнітних носіїв
за рахунок несанкціонованого проникнення на ОІД сторонніх осіб з метою заволодіння,
знищення, корегування ІзОД та ін. можливий у випадках:
 огороджувальні конструкції, вікна, двері ОІД обладнані з порушеннями вимог
нормативних документів (наказів) до обладнання приміщень, у яких дозволяється зберігання
ІзОД;
 некоректно сформульовані або реалізовані організаційні, організаційно-
технічні та технічні заходи щодо порядку організації зберігання ІзОД на ОІД.
5.5. Загрози ІзОД
5.5.1. Випадкові загрози ІзОД природного походження:
зміна умов фізичного середовища – землетрус, ураган, вибух, пожежа або інщі
випадкові події. Ці загрози впливають на цілісність та доступність ІзОД;
зміна умов навколошнього середовища – вологість, запиленість, критичні зміни
температури. Ці загрози впливають на цілісність та доступність ІзОД.
5.5.2. Випадкові загрози ІзОД техногенного походження:
 ненавмисний (небажаний) вплив процесів навколишнього обладнання на АС, у
якій циркулюватиме ІзОД – вібрація, першкоди, електромагнітні випромінювання
(електромагнітна несумісність). Ці загрози впливають на цілісність та доступність ІзОД. Ці
загрози може створюватии обладнання, розташоване навколо середовища АС (дизельні
установки, вентиляційні установки, радіопередавачі середньої та великої потужності тощо);
 відмова та збої в роботі компонентів АС. Ці загрози впливають на
конфіденційність, цілісність, доступність ІзОД та спостережність (керованість) АС;
 відмова та збої роботи носіїв ІзОД. Ці загрози впливають на конфіденційність,
цілісність та доступність ІзОД;
 відмова та збої програмного забезпечення АС. Ці загрози впливають на
конфіденційність, цілісність, доступність ІзОД та спостережність (керованість) АС;
 аварії систем життєзабезпечення ОІД (опалення, водопостачання, каналізації
тощо). Ця загроза впливає на цілісність, доступність ІзОД та спостережність (керованість)
АС;
 відмови, збої систем електроживлення, систем забезпечення нормальних умов
роботи апаратури (електроживлення, охолодження та вентиляції, тощо). Ці загрози
впливають на цілісність, доступність ІзОД та спостережність (керованість) АС;
5.5.3. Випадкові загрози ІзОД суб’єктивного походження:
 випадкові (ненавмисні, помилкові) дії користувачів, обслуговуючого
персоналу, що можуть призвести до відмови АС (окремих її компонентів). Ці загрози
впливають на конфіденційність, цілісність, доступність ІзОД та спостережність (керованість)
АС;
 ненавмисне пошкодження користувачами носіїв інформації. Ця загроза впливає
на цілісність та доступність ІзОД;
 випадкові (ненавмисні, помилкові) дії користувачів, обслуговуючого
персоналу, що можуть призвести до неправомірної зміни режимів роботи АС (окремих її
компонентів, обладнання, програмного забезпечення, тощо) або технологічних процесів, які
здатні призвести до незворотних змін у системі АС (форматування носіїв інформації). Ці
загрози впливають на конфіденційність, цілісність, доступність ІзОД та спостережність
(керованість) АС;
 недбале зберігання та облік документів, носіїв інформації, систематичне
неправильне виконання своїх функціональних обов’язків користувачами. Ці загрози
впливають на конфіденційність, цілісність, доступність ІзОД та спостережність (керованість)
АС;
 невиконання або недбале виконання користувачами вимог до організаційних,
організаційно-технічних, технічних заходів захисту ІзОД та чинних розпорядчих документів
щодо АС. Ці загрози впливають на конфіденційність, цілісність, доступність ІзОД та
спостережність (керованість) АС;
 випадкові (ненавмисні, помилкові) дії, що можуть призвести до розголошення
конфіденційних відомостей, атрибутів розмежування доступу в АС, втрати персональних
ідентифікаторів. Ці загрози впливають на конфіденційність, цілісність, доступність ІзОД та
спостережність (керованість) АС;
 ненавмисне зараження програмного, програмно-апаратного забезпечення та
інформаційних масивів, на яких зберігається ІзОД користувачів, комп’ютерними вірусами.
Ці загрози впливають на конфіденційність, цілісність, доступність ІзОД та спостережність
(керованість) АС.
5.5.4. Навмисні загрози техногенного походження дистанційної дії:
 одержання ІзОД за рахунок ПЕМВН інформативних сигналів від компонентів
АС та наведень на лінії зв’язку, систем життєзабезпечення тощо. Ці загрози впливають на
конфіденційність ІзОД;
 одержання ІзОД за рахунок спеціального впливу на АС або його компоненти
(ВЧ-опромінення компонентів АС). Ці загрози впливають на конфіденційність ІзОД;
 зруйнування ІзОД засобами спеціального впливу (імпульсне електромагнітне
опромінення АС). Ці загрози впливають на цілісність ІзОД;
 одержання ІзОД по візуально-оптичному каналу (фотографування,
відеозйомка, тощо). Ці загрози впливають на конфіденційність ІзОД.
5.5.5. Навмисні загрози ІзОД техногенного походження контактної дії:
 навмисне відключення або виведення з ладу підсистем забезпечення
функціонування АС (систем життєзабезпечення, тощо). Ці загрози впливають на цілісність,
доступність ІзОД;
 навмисне порушення цілісності АС (окремих компонентів, пристроїв
обладнання, програмного забезпечення, носіїв ІзОД). Ці загрози впливають на цілісність,
доступність ІзОД та спостережність (керованість) АС.
5.5.6. Навмисні загрози ІзОД суб’єктивного походження:
 одержання залишкової ІзОД із запам’ятовуючих пристроїв компонентів АС. Ці
загрози впливають на конфіденційність ІзОД;
 читання ІзОД, яка виводиться на монітор, друкується друкувальним пристроєм
АС або яка залишилась без догляду на паперових носіях. Ці загрози впливають на
конфіденційність ІзОД;
 отримання конфіденційних відомостей, які відносяться до АС за рахунок
провокування розмов користувачів АС. Ці загрози впливають на конфіденційність ІзОД та
спостережливість АС;
 отримання ІзОД за рахунок копіювання вихідних документів, магнітних та
інших носіїв ІзОД під час проведення технічного обслуговування або проведення ремонтних
робіт АС. Ці загрози впливають на конфіденційність ІзОД;
 отримання ІзОД за рахунок розкрадання носіїв ІзОД (магнітних носіїв,
вихідних паперових документів, відбитків записів, виробничих відходів, необлікованих
копій). Ці загрози впливають на конфіденційність ІзОД;
 несанкціонований доступ до ІзОД за рахунок несанкціонованого одержання
паролів розмежування доступу в АС агентурним шляхом (шантаж, підкуп тощо) внаслідок
недбалості користувачів або підбором, імітацією паролю з подальшим доступом до ІзОД з
маскуванням під зареєстрованого користувача. Ці загрози впливають на конфіденційність,
цілісність ІзОД та спостережливість АС;
 несанкціонований доступ до ІзОД внаслідок обходу механізму (злому) захисту
ІзОД в АС. Ці загрози впливають на конфіденційність, цілісність ІзОД та спостережливість
АС;
 несанкціонований доступ до ІзОД за рахунок встановлення в АС різноманітних
програмних закладок (“троянський кінь», “бомба» тощо). Ці загрози впливають на
конфіденційність, цілісність, доступність ІзОД та спостережливість АС;
 несанкціонований доступ до ІзОД за рахунок похибок мов програмування
операційних систем, прикладних програм, параметрів систем захисту встановлених “за
умовчанням». Ці загрози впливають на конфіденційність, цілісність, доступність ІзОД та
спостережливість АС;
 несанкціонований доступ до ІзОД за рахунок підміни елементів програм,
масивів з ІзОД, компонентів АС, магнітних носіїв. Ці загрози впливають на
конфіденційність, цілісність, доступність ІзОД та спостережливість АС;
 навмисні дії щодо дезорганізації функціонування АС (зміна режимів роботи
пристроїв та програм, страйк, саботаж персоналу тощо). Ці загрози впливають на цілісність,
доступність ІзОД та спостережливість АС;
 отримання ІзОД за рахунок вербування користувачів або персоналу, який має
певні повноваження в АС. Ці загрози впливають на конфіденційність та цілісність ІзОД.
Таким чином, загрози інформації на ОІД наведені в таблиці 1.
Таблиця 1
Загрози інформації, що циркулює на АС класу 2 на ОІД
№ Наслідки
Джерело Природа Загроза порушення
К Ц Д С
1 Зовнішні Об’єктивна Стихійні явища + +
2 Збої та відмови + +
Зовнішні Об’єктивна системи
електроживлення
Внутрішні Об’єктивна обчислювальної
техніки
4 Збої, відмови та + +
Внутрішня Об’єктивна пошкодження
носіїв інформації
Внутрішня Об’єктивна програмного
забезпечення
6 Відмова в доступі +
санкціонованому
Внутрішня Об’єктивна користувачу АС в
результаті
помилки ПЗ
7 Ураження + + + +
програмного
Суб’єктивн Навмисна/
Зовнішня забезпечення
а ненавмисна
комп’ютерними
вірусами
8 Несанкціоноване + + +
внесення змін до
технічних засобів,
в програмне
Суб’єктивн Навмисна/
Внутрішня забезпечення, що
а ненавмисна
призводять до
зміни режиму
роботи чи
відмови АС
9 Порушення + + + +
Суб’єктивн Навмисна/ адміністратором
Внутрішня
а ненавмисна безпеки реалізації
ПРД
10 Втрата атрибутів + + +
Суб’єктивн
Внутрішня Ненавмисна розмежування
а
доступу
11 Неправомірне + + + +
впровадження і
Суб’єктивн використання
Внутрішня Навмисна
а забороненого
політикою
безпеки ПЗ
12 Використання з + + + +
Суб’єктивн корисливою
Зовнішня Навмисна
а метою персоналу
АС
13 Несанкціоновани + + + +
Зовнішня Навмисна й доступ до
а
приміщення АС
14 Вербування + +
Зовнішня Навмисна працівників
а
закладу
15 Розкрадання + +
Зовнішня/ Суб’єктивн
Навмисна матеріальних
Внутрішня а
16 Читання +
Внутрішня Навмисна залишеної
а
інформації
17 Ненавмисне +
Суб’єктивн псування
Внутрішня Ненавмисна
а матеріальних
З даної модель загроз можна зробити висновок, що для реалізації загрози порушник
може діяти через засоби зв’язку, технічні канали або безпосередньо (в тому числі шляхом
фізичного впливу) на елементи локальних мереж. В останньому випадку порушнику
необхідно отримати фізичний доступ до згаданих елементів локальних мереж (тобто
подолати заходи організаційного обмеження доступу та , при необхідності, охоронної
сигналізації). Ці обставини можуть суттєво вплинути на склад засобів захисту інформації.
6. Модель порушника
Під порушником розуміється особа, яка зробила спробу виконання заборонених
операцій помилково, не знаючи або навмисно зі злим помислом (корисним інтересом) або
без таких (заради гри, самоствердження), заради самоствердження або помсти,
використовуючи для цього різні способи і методи, можливості і засоби.
Порушником по відношенню до АС можуть бути особи з персоналу і користувачів
системи; сторонні особи.
Можливі внутрішні порушники :
 кінцеві користувачі (оператори системи); персонал;(перший рівень)
 особи, що обслуговують технічних засобів (третій рівень);
 співробітники відділу розробки і супроводження програмного забезпечення
(четвертий рівень);
 співробітники служби безпеки АС (перший рівень);
 керівники різних рівнів (перший рівень).
Можливі зовнішні порушники (сторонні особи):
 технічний персонал, обслуговуючий будівлю (перший рівень);
 клієнти (перший рівень);
 представники організацій-конкурентів (другий рівень);
 відвідувачі запрошені з будь-якого приводу (другий рівень).
Класифікація порушників:
 перший рівень визначає найнижчий рівень можливостей проведення діалогу з
КС – можливість запуску фіксованого набору завдань (програм), що реалізують заздалегідь
передбачені функції обробки інформації;
 другий рівень визначається можливістю створення і запуску власних програм
з новими функціями обробки інформації;
 третій рівень визначається можливістю управління функціонуванням КС,
тобто впливом на базове програмне забезпечення системи і на склад і конфігурацію її
устаткування;
 четвертий рівень визначається всім обсягом можливостей осіб, що
здійснюють проектування, реалізацію і ремонт апаратних компонентів КС, аж до включення
до складу КС власних засобів з новими функціями обробки інформації.
 Припускається, що в своєму рівні порушник – це фахівець вищої кваліфікації,
який має повну інформацію про КС і КЗЗ.
Порушник може здійснювати несанкціонований доступ до інформації або під час
роботи автоматизованої системи, або в період неактивності автоматизованої системи, або ж
суміщаючи робочий і не робочий час.
У КСЗІ на виділеному об’єкті передбачаються, розглядаються і розробляються усі
чотири рівні порушників (таблиця 2).
Таблиця 2.
Модель порушника
№ Користувач АС Рівень порушника
1. Внутрішні
1.1 А І
1.2 СА ІV
1.3 Персонал І
2. Зовнішні
2.1 Працівник служби охорони ІІІ
2.2 Працівник комунальних служб ІІІ
2.3 Конкуренти ІV
2.3 Клієнт ІІІ
ДОДАТОК Г
________________ О.С. Коваль
«13» березня 2016 року
Політика безпеки інформації,

яка циркулює в АС класу 2 ПАТ «Кредокомбанк»
1. Визначення політики безпеки
Під політикою безпеки інформації слід розуміти сукупність законів, правил,
обмежень, рекомендацій, інструкцій тощо, що регламентують порядок обробки інформації і
спрямовані на захист інформації від можливих загроз.
Політика інформаційної безпеки, є обов'язковою для дотримання всіма
співробітниками ПАТ «Кредокомбанк», які є користувачами АС.
2. Цілі політики безпеки
Основними цілями політики безпеки є гарантування:
 штатного функціонування АС;
 доступу до інформаційних об’єктів та ресурсів АС у відповідності до правил
розмежування доступу;
 спостереженості дій користувачів усіх категорій, які мають доступ до АС;
 захисту даних у кожному компоненті АС;
 достатності та ненадмірності захисту інформації у відповідності з вимогами
законодавства;
 забезпеченності користувачів усіх категорій відповідними організаційно-
розпорядчими документами, щодо захисту інформації;
 забезпеченності планами підтримки безперебійної роботи АС та планами її
відновлення;
 достатності впроваджених заходів та засобів для проведення службових
розслідувань в разі виявлення порушення політики безпеки АС.
3. Загальні вимоги політики безпеки
Інформація, яка обробляється в АС, не підлягає неконтрольованому та
несанкціонованому ознайомленню, розмноженню, розповсюдженню, копіюванню,
відновленню, а також неконтрольованій та несанкціонованій модифікації.
В основу політики безпеки АС покладений адміністративний принцип розмежування
доступу, який реалізується відповідно до принципу мінімуму повноважень, згідно з яким
право доступу може бути надане користувачеві лише за фактом службової необхідності.
Наявність службової необхідності визначається посадовими обов’язками користувачів.
З метою забезпечення необхідного режиму доступу до інформації повинен бути
визначений відповідальний підрозділ – служба захисту інформації, якому надаються
повноваження щодо організації та впровадження прийнятої політики безпеки в АС.
Всі працівники ПАТ «Кредокомбанк», які беруть участь в обробці інформації в АС,
повинні бути зареєстровані як користувачі в системних журналах АС.
Керування правами доступу користувачів до захищених об’єктів та параметрами КЗЗ
у складі АС повинен здійснювати спеціально уповноважений працівник– адміністратор
безпеки АС.
Надання доступу до інформації АС повинно здійснюватися тільки за умови
достовірного розпізнавання ідентифікаційних параметрів користувачів АС. Процедура
розпізнавання та надання повноважень здійснюється як організаційними заходами, так і з
використанням програмно-апаратних засобів розмежування доступу.
Машинні носії інформації повинні мати відповідні ідентифікаційні реквізити.
Спроби порушення встановленого порядку доступу до інформації повинні
блокуватись.
4. Реалізація політики безпеки комплексною системою захисту інформації
Реалізація політики безпеки здійснюється за допомогою комплексної системи захисту
інформації АС - взаємопов'язаній сукупності організаційних та інженерно-технічних заходів,
засобів і методів захисту інформації.
КСЗІ АС забезпечує реалізацію вимог із захисту інформації, які визначені у
Технічному завданні на створення КСЗІ в АС а саме щодо:
цілісності та доступності функціональної та технологічної інформації АС;
конфіденційності, цілісності та доступності технологічної інформації КСЗІ.
КСЗІ АС розглядається як сукупність взаємопов'язаних нормативно-правовових та
організаційних заходів і інженерно-технічних засобів щодо захисту інформації від НСД.
4.1. Нормативно-правові заходи захисту інформації
Комплекс нормативно-правових заходів захисту інформації АС:
1. створення системи документів нормативно-правового забезпечення робіт з
захисту інформації в АС;
2. впровадження заходів з забезпечення безпеки інформації в АС, виконання
правових та договірних вимог з захисту інформації, визначення відповідальності посадових
осіб, організаційної структури, комплектування і розподілу обов'язків співробітників служби
захисту інформації в АС;
3. доведення до персоналу і користувачів АС основних положень політики
безпеки інформації, їхнього навчання і підвищення кваліфікації з питань безпеки інформації;
4. запровадження системи контролю за своєчасністю, ефективністю і повнотою
реалізації в АС рішень з захисту інформації, дотриманням персоналом і користувачами
положень політики безпеки.
4.2. Організаційні заходи захисту інформації
Комплекс організаційних заходів захисту інформації в АС включає:
1. застосування режимних заходів на ОІД;
2. забезпечення фізичного захисту обладнання АС, носіїв інформації, інших
ресурсів;
3. організацію проведення обстеження середовищ функціонування АС;
4. виконання робіт з захисту інформації та взаємодії з цих питань з іншими
суб’єктами системи ТЗІ в Україні;
5. регламентацію доступу користувачів і персоналу до ресурсів АС;
6. здійснення профілактичних заходів щодо попередження ненавмисного
порушення політики безпеки, зокрема попередження появи вірусів та ін.
4.3. Інженерно-технічні засоби захисту інформації
Комплекс інженерно-технічних засобів захисту інформації - сукупність програмно-
апаратних засобів захисту призначено для:
1. розмежування доступу користувачів до інформації та інших ресурсів АС;
2. блокування несанкціонованих дій з інформацією та іншими ресурсами АС,
локалізації цих дій по відношенню до ресурсів та ліквідації їх наслідків;
3. забезпечення контролю та захисту потоків інформації, яка обробляється в АС;
4. забезпечення спостереженості за діями користувачів та персоналу АС,
реєстрації, збору, зберігання, обробки даних про події, які мають відношення до безпеки
інформації, сповіщення адміністратора безпеки про такі події;
5. підтримання цілісності критичних ресурсів системи захисту, середовища
виконання прикладних програм та інформації в ПТК;
6. забезпечення контролю за цілісністю об'єктів, що підлягають захисту;
7. організації обліку, зберігання та обігу матеріальних носіїв інформації;
8. забезпечення управління засобами КСЗІ та контролю за її функціонуванням.
5. Основні організаційні заходи

5.1. Організаційні заходи щодо керування доступом
Організаційні заходи щодо керування доступом повинні передбачати:
 визначення порядку доступу користувачів у захищене приміщення, до
технічних засобів, носіїв інформації, програмного та інформаційного забезпечення;
 визначення порядку внесення/вилучення даних щодо атрибутів доступу
користувача до АС установи банку.
5.2 Організаційні заходи щодо реєстрації та обліку МНІ та документів
Організаційні заходи щодо реєстрації та обліку повинні передбачати визначення
порядку:
 обліку, використання і зберігання машинних носіїв інформації (МНІ);
 організації зберігання, використання і знищення документів і носіїв, що містять
інформацію з обмеженим доступом, відповідно до вимог нормативних документів.
5.3 Організаційні заходи щодо забезпечення цілісності інформації

Організаційні заходи щодо забезпечення цілісності інформації повинні передбачати:
 резервне копіювання на МНІ еталонних копій операційних систем і
функціональних програм;
 облік, видачу, використання і зберігання МНІ, що містять еталонні і резервні
копії операційних систем і функціональних програм;
 контроль цілісності системного програмного забезпечення;
 контроль цілісності КЗЗ АС ПАТ «Кредокомбанк».
5.4 Організаційні заходи щодо антивірусного захисту інформації

Організаційні заходи антивірусного захисту інформації в АС ПАТ «Кредокомбанк»
повинні передбачати:
 використання ліцензійного антивірусного програмного забезпечення на всіх
ПК, що входять до складу АС філіалу;
 організацію постійного та своєчасного оновлення антивірусних баз.
5.5 Резервне копіювання, архівування та відновлення інформації
Для забезпечення відновлюваності інформації у випадку збоїв системи або помилок
користувачів в АС повинно здійснюватися періодичне резервне копіювання.
Резервному копіюванню підлягає:
 ІзОД, яка зберігається у файлах користувачів;
 ІзОД, яка зберігається у БД;
 настройки ОС, БД та КЗЗ;
 журнали реєстрації.
Експлуатаційні та організаційно - розпорядчі документи повинні визначати порядок
та періодичність резервного копіювання, архівування та відновлення інформації, місце
збереження резервних копій та відповідальних посадових осіб.
5.6. Розмежування інформаційних потоків
КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу
користувачів і захищених об'єктів. Розмежування доступу здійснюється на рівні надання
(встановлення заборони) користувачеві прав читати або модифікувати об'єкт.
КЗЗ повинен надавати можливість адміністратору системи та адміністратору безпеки
(відповідно до своїх повноважень) для кожного захищеного об'єкта визначити конкретних
користувачів (групи користувачів), які мають право читати або модифікувати об'єкт.
КЗЗ повинен здійснювати розмежування доступу до слабозв’язаних об’єктів на
підставі імені користувача (групи користувачів) і захищеного об'єкта та прав доступу.
КЗЗ повинен здійснювати розмежування доступу до сильнозв’язаних об’єктів на
підставі імені користувача та його ролі.
Розмежування доступу до ресурсів серверу управління базами даних повинно
здійснюватися за допомогою надання адміністратором БД користувачеві певної ролі.
Запити на зміну прав доступу (надання прав доступу, внесення користувача до певної
групи або надання певної ролі) повинні оброблятися КЗЗ тільки в тому випадку, якщо вони
надходять від адміністратора системи, адміністратора безпеки, адміністратора баз даних
(СКБД).
Обслуговуючий персонал має право створювати, модифікувати, вилучати, друкувати
та копіювати на МНІ файли з текстовими документи, за які вони відповідають, а також
працювати із файлами з документами, що створюються спільно з іншими користувачами,
відповідно до наданих прав.
Обслуговуючий персонал має право читати та модифікувати інформацію, що
міститься у БД в залежності від програмного комплекса, із яким він працює та прикладної
ролі, яку він виконує у цьому комплексі.
Обслуговуючий персонал має право на перегляд та запуск загальносистемного та
спеціального програмного забезпечення (право на запуск певного ПК надається відповідно
до його функціональних обов’язків).
Обслуговуючий персонал не повинен виконувати настройки конфігураціїї КЗЗ,
загальносистемного та програмного забезпечення, СКБД, змінювати їх склад та структуру,
коригувати права доступу, тобто виконувати функції будь-кого з Адміністраторів.
Адміністратори мають право працювати (створювати, модифікувати, вилучати,
друкувати та копіювати на МНІ) з електронними документами, за які вони відповідають, а
також працювати із файлами з документами, що створюються спільно з іншими
користувачами, відповідно до наданих прав.
Також адміністратор БД має право працювати з програмними комплексами, що
входять до складу спеціального програмного забезпечення (право на запуск певного ПК
надається відповідно до його функціональних обов’язків).
5.7. Вимоги до правил адміністрування КЗЗ і реєстрації дій користувачів
Щодо реєстрації дій користувачів КЗЗ повинен забезпечити реалізацію наступних
функцій (реєстрацію наступних подій, що мають відношення до безпеки):
1. реєстрація користувача в системі (вхід/вихід до/з системи);
2. зміна паролю користувачем ;
3. зміна прав та повноважень доступу до файлів та ресурсів;
4. створення, доступ та знищення файлів;
5. запуск програм, які мають доступ до ІзОД.
Обов’язковими параметрами реєстрації мають бути:
 дата, час, та назва події;
 ідентифікатор суб’єкта, що ініціював подію.
Реєстрація дій користувача, пов’язаних з виводом інформації на друк за допомогою
принтера, введення інформації за допомогою сканера та копіювання інформації на з’ємні
машинні носії повинна фіксуватися в паперовому “Журналі обліку роботи користувачів
банку”.
6. Середовище АС
6.1 Вимоги до заземлення:
 Усі металеві конструкції в приміщенні повинні бути заземлені;
 Система заземлення не повинна мати вихід за межі контрольованої території;
 Опір кіл заземлення від засобів філії до вузлів системи заземлення не повинен
перевищувати 4 Ом.
6.2 Вимоги до електроживлення
Електроживлення АС філії повинне здійснюватися від трансформаторної підстанції
низької напруги, розміщеної у межах контрольованої території. У випадку знаходження
трансформаторної підстанції за межами контрольованої території електроживлення повинно
здійснюватися через розділовий трансформатор.
Мережа електроживлення АС філії повинна бути відділена від мережі освітлення та
побутової мережі і забезпечувати безперебійну експлуатацію та працездатність АС.
Електроживлення повинно здійснюватися через протизавадні мережеві фільтри.
6.3 Вимоги до захисту інформації від витоку візуально-оптичним каналом
Для захисту інформації від витоку візуально-оптичним каналом вікна приміщень, де
розташована АС філії, повинні бути обладнані жалюзями або шторами.
7. Фізичне середовище АС
До компонентів фізичного середовища АС відносяться:
 територія, будівля та приміщення, де знаходяться компоненти АС;
 місця зберігання змінних, паперових та інших носіїв інформації;
 охорона території, будівлі, приміщень та режими доступу до цих компонентів;
 системи життєзабезпечення (електроживлення, заземлення, пожежної та
охоронної сигналізації), комунікацій і зв’язку (телефон, факс);
 проектна та експлуатаційна документація на компоненти фізичного
середовища.
7.1. Територія фізичного середовища
Територія, яка знаходиться під цілодобовою охороною.
7.2. Будівля, де розгорнута АС
Доступ працівників ПАТ «Кредокомбанк» в будівлю здійснюється за перепустками.
Доступ сторонніх осіб в будівлю контролюється черговим відповідного підрозділу і
здійснюється за узгодженням керівника ПАТ «Кредокомбанк». Співробітники, які
приймають в будинку сторонніх осіб, зустрічають їх при вході і супроводжують на вихід
після завершення візиту.
7.3. Приміщення де знаходяться компоненти АС
Приміщенню, в якому розміщуються компоненти АС, категорія об’єкта інформаційної
діяльності не надана, у зв’язку з тим, що в ньому не передбачається обробка інформації, яка
становить державну таємницю (у відповідності до вимог “Тимчасового положення про
категоріювання об’єктів” ДСТСЗІ від 10.07.95 за № 35).
Приміщення контролюються охороною. Доступ до приміщення, де знаходиться АС,
здійснюється посадовими особами, які мають на це право за характером своєї діяльності. Всі
співробітники отримують доступ лише в ті приміщення, які дозволені їм політикою безпеки.
Приміщення у позаслужбовий час опечатуються металевими печатками посадових
осіб, що в них працюють.
7.4. Місця зберігання носіїв інформації
Місця та порядок зберігання змінних носіїв інформації здійснюється згідно
відповідних інструкцій.
7.5. Системи життєзабезпечення, комунікацій та зв’язку
Системи життєзабезпечення: система електроживлення, система заземлення, система
пожежної та охоронної сигналізації повинна відповідати вимогам із захисту інформації.
7.6. Документація на компоненти фізичного середовища
Проектна та експлуатаційна документація на компоненти фізичного середовища
зберігається у спеціально відведеному місці. Відповідальність за її збереження несе
призначена для цього посадова особа структурного підрозділу ПАТ «Кредокомбанк».
Начальник відділу ТЗІ

ПАТ «Кредокомбанк» Ковтун С.Ю.
ДОДАТОК Д
________________ О.С. Коваль
АВТОМАТИЗОВАНА СИСТЕМА ВІДДІЛУ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ

ПАТ «Кредокомбанк» (шифр – «АСВТЗІ»)
КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ

(шифр – КСЗІ «АСВТЗІ»)
ПЛАН ЗАХИСТУ ІНФОРМАЦІЇ
Київ–2016
1. Завдання захисту інформації в АСВТЗІ
1.1. Загальні положення

План захисту інформації в АСВТЗІ (далі – План захисту), визначає політику ПАТ
«Кредокомбанк» в сфері захисту інформації в АСВТЗІ та організацію захисту інформації на
всіх етапах її життєвого циклу. Він розробляється на підставі проведеного аналізу технології
обробки інформації, аналізу ризиків, сформульованої політики безпеки інформації, визначає
і документально закріплює об’єкти захисту інформації в АСВТЗІ, основні завдання захисту,
загальні правила обробки інформації в АСВТЗІ, мету побудови та функціонування КСЗІ,
заходи із захисту інформації. План захисту фіксує на певний момент часу склад АСВТЗІ,
перелік оброблюваних відомостей, технологію обробки інформації, склад комплексу засобів
захисту інформації, склад необхідної документації відповідно вимог НД ТЗІ 1.4-001-2000.
План захисту повинен регулярно переглядатися та при необхідності змінюватися.
АСВТЗІ призначено для автоматизації процесів обробки інформації з обмеженим
доступом.
1.2. Основні завдання захисту інформації
Основними завданнями захисту інформації в АСВТЗІ є:
 забезпечення визначених політикою безпеки властивостей інформації
(цілісності, доступності, конфіденційності) під час експлуатації АСВТЗІ та його керованості;
 своєчасне виявлення та знешкодження загроз для ресурсів АСВТЗІ з
врахуванням її архітектури, причин та умов, які спричиняють або можуть привести до
порушення її функціонування та розвитку;
 створення механізму та умов оперативного реагування на загрози для безпеки
інформації, інші прояви негативних тенденцій у функціонуванні АСВТЗІ;
 керування засобами захисту інформації, керування доступом користувачів до
ресурсів АСВТЗІ, контроль за їхньою роботою з боку СЗІ, оперативне сповіщення про
спроби НСД;
 реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають
відношення до безпеки інформації;
 створення умов для максимально можливої локалізації джерел загроз, що
виникають внаслідок неправомірних дій фізичних та юридичних осіб, впливу зовнішнього
середовища та інших чинників негативного впливу на безпеку функціонування АСВТЗІ.
1.3. Об’єкти захисту
Виходячи з рекомендацій НД ТЗІ 1.4-001-2000, об’єктами захисту АСВТЗІ є:
 відомості, віднесені до інформації з обмеженим доступом, обробка яких
здійснюється в АСВТЗІ і які можуть знаходитись на паперових, магнітних та інших носіях;
 інформаційні масиви та бази даних, програмне забезпечення, інші інформаційні
ресурси;
 обладнання АСВТЗІ та інші матеріальні ресурси, включаючи технічні засоби та
системи, що не задіяні в обробці інформації, але знаходяться у контрольованій зоні, носії
інформації, процеси і технології її обробки;
 засоби та системи фізичної охорони матеріальних та інформаційних ресурсів,
організаційні заходи захисту;
 користувачі (персонал) АСВТЗІ та власники інформації.
1.4. Шляхи забезпечення безпеки інформації
Забезпечення безпеки інформації в АСВТЗІ досягається:
 організацією та впровадженням системи допуску посадових осіб (користувачів)
до роботи з інформацією;
 організацією обліку, зберігання, обігу інформації та її носіїв;
 здійсненням контролю за забезпеченням захисту інформації, яка обробляється
в АСВТЗІ, та за збереженням носіїв інформації;
 використанням програмно-технічних засобів комплексної системи захисту
інформації.
2. Класифікація інформації, що обробляється в АСВТЗІ

2.1 Склад інформації в АСВТЗІ
АСВТЗІ призначена для роботи з інформацією з обмеженим доступом, яка
представлена у вигляді текстових документів, електронних таблиць.
До інформації АСВТЗІ відносяться також загальне, функціональне та спеціальне
програмне забезпечення АСВТЗІ та дані захисту.
2.2 Класифікація інформації за режимом доступу та правовим режимом
За режимом доступу інформація, що обробляється в АСВТЗІ, поділяється на відкриту
інформацію та інформацію з обмеженим доступом.
Інформація з обмеженим доступом, яка обробляється в АСВТЗІ, є власністю ПАТ
«Кредокомбанк», і за своїм правовим режимом поділяється на такі категорії:
 конфіденційна інформація;
 комерцінйа таємниця;
 для службового користування.
В АСВТЗІ до інформації з обмеженим доступом відноситься інформація, яка
включена до «Переліку відомостей, що відносяться до конфіденційної інформації ПАТ
В АСВТЗІ до відкритої інформації відносяться всі види програмного забезпечення та
інформація, яка не визначена відповідними документами як конфіденційна.
2.3 Класифікація інформації за типом представлення в АСВТЗІ
У таблиці 2.3.1 для кожної з визначених у п. 2.2 категорій інформації вказано тип її
логічного та фізичного представлення.
Таблиця 2.3.1
Класификація інформації за типом представлення
№
Логічне Фізичне
п Інформація Місце зберігання
представлення представлення
п
Відкрита інформація
Загальне, функціональне та
Жорсткий диск
1 спеціальне програмне Програмний засіб Файл
комп’ютера
2 Програмні засоби захисту Програмний засіб Файл
Дистрибутиви ПЗ, у тому CD-ROM, Жорсткий
3 Дистрибутив Файл
числі ПЗ захисту диск комп’ютера
Текстовий Жорсткий диск
Документи, які містять
4 документ, Файл комп’ютера або змінні
відкриту інформацію
електронна таблиця диски
Конфіденційна інформація
5 Документи, яким Текстовий Файл Жорсткий диск
встановлений гриф документ, комп’ютера, гнучкі
“конфіденційно”, „цілком магнітні диски
електронна таблиця
конфіденційно” (дискети)
Таблиця БД
захисту, журнал Файл, параметр
6 Дані захисту захисту, параметр системного
конфігурації реєстру
системи
Таблиця БД
захисту, текстовий гнучкі магнітні диски
7 Резервні копії даних захисту Файл
документ, журнал (дискети)
захисту
3. Опис компонентів АСВТЗІ та технології оброки інформації
3.1 Компоненти АСВТЗІ

До компонентів АСВТЗІ відносяться такі:
 технічне забезпечення (ПЕОМ та технічні засоби захисту);
 програмне забезпечення;
 дані;
 користувачі АСВТЗІ та технічний персонал.
3.1.1 Технічне забезпечення

АСВТЗІ побудовано на базі одного автономного комп’ютера.
Склад технічних засобів АСВТЗІ наведено в Паспорті формулярі АСВТЗІ.
3.1.2 Програмне забезпечення

Програмне забезпечення АСВТЗІ поділяється на загальне, функціональне та
спеціальне.
Перелік програмного забезпечення наведено в Паспорті формулярі АСВТЗІ
3.1.3 Дані
За місцем зберігання дані АСВТЗІ поділяються на два види: дані на магнітних та
інших носіях та дані на паперових носіях.
Серед даних, що зберігаються на магнітних та інших носіях, розрізняють дані
постійного та тимчасового зберігання.
До даних, що зберігаються на паперових носіях, відносяться:
 друковані документи;
 документація на АСВТЗІ:
 Технічне завдання;
 Інструкція користувача АС 1;
 Інструкція з адміністрування системи;
 технічна документація на систему захисту інформації ЛОЗА-1;
 Паспорт-формуляр на АСВТЗІ;
 облікові картки користувачів АСВТЗІ;
 Положення про службу захисту інформації;
 План захисту інформації;
 Інструкція щодо забезпечення режимних заходів під час обробки
конфіденційної інформації в АСВТЗІ.
3.1.4 Користувачі АСВТЗІ та технічний персонал
Відповідно до рівня повноважень щодо доступу до секретної інформації, характеру
робіт, які виконуються в процесі функціонування АСВТЗІ, для користувачів АСВТЗІ
визначаються такі ролі:
 звичайний користувач;
 адміністратор документів;
 системний адміністратор.
Облікова картка користувача містить такі реквізити:
 ім’я користувача в АСВТЗІ;
 прізвище та ініціали, підрозділ і посада користувача;
 рівень допуску (найвищий гриф секретності інформації, з якою дозволено
працювати користувачеві);
 роль користувача в системі (або декілька ролей у випадку суміщення
адміністративних ролей);
Для кожного користувача, що буде працювати в АСВТЗІ, заповнюється одна або
декілька облікових карток – у залежності від ролей, які він виконує в системі. Кожна
облікова картка відповідає обліковому запису користувача в базі даних захисту. Роль
звичайного користувача не суміщається в одному обліковому записі з жодною з
адміністративних ролей, адміністративні ролі можна суміщати між собою. Тому в разі
виконання однією особою функцій адміністратора(ів) та звичайного користувача,
заповнюються щонайменше дві облікові картки (одна картка для ролі „звичайний
користувач” та хоча б одна картка для адміністративних ролей) з різними іменами для
реєстрації в системі.
Технічний персонал АСВТЗІ забезпечує роботоздатність технічних засобів АСВТЗІ та
обслуговування приміщень, де встановлені ці засоби.
3.1.5 Активні та пасивні об’єкти АСВТЗІ та їхня взаємодія

Активними об’єктами в технологічному процесі обробки інформації в АСВТЗІ є
користувачі АСВТЗІ, персонал, а також програмні засоби.
До пасивних об’єктів АСВТЗІ, які беруть участь у технологічному процесі обробки
інформації, відносяться: дані, програмні засоби та технічні засоби.
Таким чином, програмні засоби можуть бути як активними, так і пасивними
об’єктами. Активними вони є, коли представляють користувача, пасивними, коли користувач
звертається до них. Активні та пасивні об’єкти, з якими взаємодіє активний об’єкт,
представлені в таблиці 3.1.5.1. Оскільки програмні засоби, як активні об’єкти, не мають своїх
атрибутів доступу, у цій таблиці вони розглядаються тільки як пасивні об’єкти.
Таблиця 3.1.5.1.
Активні та пасинві об'єкти
№ Активний об’єкт Пасивні об’єкти
пп (суб’єкт)
1 Адміністратор 1 Технічні засоби: комп’ютер; 2 Програмні засоби: загальне, функціональне та
безпеки спеціальне ПЗ; 3 Дані: дані захисту, резервні копії, облікові картки
користувачів, проектні та експлуатаційні документи на АСВТЗІ
2 Системний 1 Технічні засоби: комп’ютер; 2 Програмні засоби: загальне та функціональне
адміністратор ПЗ, програмні засоби захисту; 3 Дані: дані захисту, резервні копії системних
даних, дистрибутиви ПЗ, експлуатаційні документи на АСВТЗІ
3 Адміністратор 1 Технічні засоби: комп’ютер; 2 Програмні засоби: загальне, функціональне та
документів спеціальне ПЗ; 3 Дані: текстові документи та електронні таблиці,
експлуатаційні документи на АСВТЗІ
4 Звичайний 1 Технічні засоби: комп’ютер; 2 Програмні засоби: загальне, функціональне та
користувач спеціальне ПЗ; 3 Дані: текстові документи та електронні таблиці,
експлуатаційні документи на АСВТЗІ
5 Технічний 1 Технічні засоби: комп’ютер; 2 Програмні засоби: загальне та функціональне
персонал ПЗ; 3 Дані: експлуатаційна документація на технічні засоби
3.2 Технологія обробки інформації
3.2.1 Організація роботи з інформацією обмеженого доступу

Звичайні користувачі працюють у системі з документами, які містять інформацію з
обмеженим доступом.
Інформація з обмеженим доступом зберігається на жорсткому магнітному диску
АСВТЗІ та на змінних носіях інформації (дискети, флеш накопичувачі).
Змінні носії інформації з ІзОД зберігаються в спеціальному відділі у металевому сейфі
та доступ до них регламентується розпорядчими документами ПАТ «Кредокомбанк».
Друк та експорт інформації з обмеженим доступом відбувається відповідно
розпорядчих документів ПАТ «Кредокомбанк».
3.2.2 Технологія роботи з документами

Документи зберігаються в базах документів, для яких встановлюється
адміністративне керування доступом. Керування доступом до документів здійснюють
адміністратори документів.
Безпосередньо з усіма документами працюють звичайні користувачі. Для
забезпечення можливості керування доступом адміністраторам документів надається
можливість читання документів, а також може надаватись можливість роботи з документами.
Нові документи створюються користувачами вручну або імпортуються з іншого носія.
Документи також можуть бути експортовані на інший носій.
4. Організаційні заходи захисту
4.1 Загальні підходи до забезпечення політики безпеки

Для забезпечення захисту інформації з обмеженим доступом в АСВТЗІ та належного
функціонування комплексної системи захисту інформації створюється служба захисту
Склад та функції служби захисту інформації в АСВТЗІ визначаються відповідно до
документа “Положення про службу захисту інформації”.
Повноваження користувачів встановлюються керівництвом ПАТ «Кредокомбанк»та
узгоджуються з спеціальним відділом. Облік користувачів АСВТЗІ здійснюється за
допомогою облікових карток, на підставі яких адміністратор безпеки вводить, змінює або
видаляє інформацію про користувача АСВТЗІ. Облікові картки заповнюються та
зберігаються в спеціальному відділі.
Питання організації навчання користувачів, які допускаються до роботи на АСВТЗІ, з
питань захисту інформації під час її обробки за допомогою АСВТЗІ, включаються до
Календарного плану основних заходів з технічного захисту інформації в ПАТ
Навчання повинно бути направлено на засвоєння всіма категоріями користувачів
вимог нормативних актів з питань захисту інформації та охорони державної таємниці.
Усі користувачі повинні знати вимоги основних документів щодо захисту інформації,
вимоги розпорядчих документів ПАТ «Кредокомбанк», які регламентують порядок
проведення робіт з ІзОД за допомогою АСВТЗІ.
Доведення до користувачів вимог діючих нормативних та організаційно-розпорядчих
документів щодо захисту інформації в АСВТЗІ здійснюється начальником спеціального
відділу.
До обробки інформації на АСВТЗІ допускаються лише особи, яки успішно здали
відповідні заліки та включені до затвердженого списку осіб, які допущені до обробки
інформації за допомогою АСВТЗІ.
Виконання робіт в АСВТЗІ дозволяється працівникам, які включені до списку
користувачів АСВТЗІ.
Начальник спеціального відділу забезпечує виконання вимог нормативних документів
щодо забезпечення режимних заходів під час роботи з ІзОД, а саме:
 облік друкованих документів;
 облік змінних носіїв інформації (дискет, флеш накопичувачів);
 облік технічних засобів, що пройшли спецдослідження;
 ведення облікових карток користувачів у частині, що його стосується.
Основні функції щодо забезпечення захисту інформації в АСВТЗІ покладаються на
службу захисту інформації в АСВТЗІ до складу якої входить начальник служби, системний
адміністратор та адміністратор безпеки. На службу захисту інформації в АСВТЗІ відповідно
адміністративних ролей в АСВТЗІ покладаються наступні основні функції:
Адміністратор безпеки:
 ведення облікових карток користувачів;
 ведення бази даних захисту;
 настройка системи;
 зміна, у разі необхідності, власника баз документів;
 спостереження за роботою системи;
 архівація баз документів;
 архівація даних захисту;
 настройка апаратного забезпечення;
 створення баз документів;
 керування доступом до документів.
Системний адміністратор:
 супроводження програмного забезпечення, у тому числі програмного
забезпечення КЗЗ;
 супроводження апаратного забезпечення (разом із технічним персоналом).
Усі дії, які прямо чи опосередковано можуть вплинути на захищеність інформації
(зміни дозволів на доступ до файлів та папок, очищення журналів операційної системи, зміни
настройок BIOS Setup тощо), адміністратори АСВТЗІ виконують з дозволу начальника
служби захисту інформації в АСВТЗІ.
Контроль за дотриманням персоналом та користувачами АСВТЗІ положень політики
безпеки покладається на відповідального за ТЗІ та службу захисту інформації в АСВТЗІ.
4.2 Порядок введення (видалення) користувачів в(з) АСВТЗІ та змін їхніх
повноважень
На підставі облікової картки адміністратор безпеки вводить у базу даних захисту
інформацію про користувача АСВТЗІ, після чого ознайомлює під розпис користувача з його
повноваженнями.
У випадку зміни повноважень користувача до облікової картки користувача вносяться
необхідні зміни. На цій підставі адміністратор безпеки вносить зміни до бази даних захисту
та ознайомлює з ними користувача.
При необхідності видалення користувача з АСВТЗІ (при звільненні з роботи, при
зміні посадових обов’язків та ін.) вноситься відповідний запис до облікової картки
користувача і на цій підставі адміністратор безпеки видаляє користувача з АСВТЗІ.
4.3 Керування системою та її компонентами

Керування системою здійснюють адміністратор безпеки та системний адміністратор.
Адміністратор безпеки вводить до системи нових користувачів та коригує відомості
про них (у тому числі атрибути доступу), має можливість змінювати стан системи та
значення параметрів конфігурації системи та ін. Адміністратор безпеки встановлює пароль
на доступ до апаратних настройок комп’ютерів (Bios Setup Supervisor Password).
Системний адміністратор здійснює супроводження програмного та апаратного
забезпечення. За необхідності він має можливість за узгодженням з адміністратором безпеки
змінювати стан системи та значення параметрів конфігурації, які безпосередньо не пов’язані
з керуванням доступом.
5. Модель загроз інформації

Модель загроз інформації з обмеженим доступом, яка циркулює в АС класу 2 ПАТ
«Кредокомбанк» представлена в Додатку В.
6. Модель порушника
Модель порушника представлена в Додатку В цього документу.
7. Фізичний захист інформації

Технічні засоби АСВТЗІ розташовано в приміщенні, яке знаходяться в межах
контрольованої зони ПАТ «Кредокомбанк». Охорону контрольованої зони та перепускний
режим до будівлі де розташовано приміщення з АСВТЗІ здійснює відомча охорона ТОВ
«Держохорона».
В неробочий час приміщення з АСВТЗІ опечатується та здається під охорону службі
охорони ТОВ «Держохорона».
Вхідні двері до приміщення № 1 з встановленою в ньому АСВТЗІ - залізні та
обладнані двома замками різних систем. Крім того приміщення обладнано системою
охоронної сигналізації.
Доступ до приміщення, у якому здійснюється обробка інформації з обмеженим
доступом, здійснюється обмежений колом осіб, які допущені до роботи в цьому приміщенні.
8. Захист інформації від витоку технічними каналами

У приміщенні, де розташовано АСВТЗІ, створено комплекс технічного захисту
інформації, який забезпечує блокування наступних технічних каналів витоку інформації:
 каналів ПЕМВН;
 радіотехнічний канал;
 візуально-оптичний.
Роботи по створенню комплексу технічного захисту інформації проведені власними
силами ПАТ «Кредокомбанк»
Відповідальний за захист інформації в АСВТЗІ організовує та координує роботи із
ТЗІ, як планові (відповідно до вимог Акту атестації КТЗІ), так і одноразові - при проведенні
заходів щодо змін та модернізації обладнання АСВТЗІ.
9. Архівація інформації
Для забезпечення схоронності інформації від випадків її пошкодження періодично

проводиться архівація даних. Архівацію виконує адміністратор безпеки або начальник ІТ-
відділу.
В АСВТЗІ передбачається архівація таких даних:
 бази документів;
 дані захисту (бази даних захисту, звіти про небезпечні події та копії журналу
захисту).
Для архівації використовуються спеціально призначені для цього змінні носії
інформації (оптичні диски, флеш накопичувачі). Змінні носії інформації з резервними копіями
повинні належним чином маркуватись та зберігатись в спеціальному відділі.
Періодичність проведення архівації залежить від інтенсивності внесення змін до баз
документів.
Архівація бази даних захисту виконується орієнтовно один раз на 2 місяці, архівація
звітів про небезпечні події та копій журналу захисту – один раз на 2 тижні. Змінні носії
інформації з архівом баз даних зберігаються у адміністратора безпеки.
Архівацію даних, необхідних для відновлення операційної системи та функціонального
програмного забезпечення, виконує системний адміністратор з дозволу начальника служби
захисту інформації в АСВТЗІ. Резервні копії зберігаються у нього.
10. Порядок модернізації компонентів системи
10.1. Модернізація обладнання

При змінах конфігурації технічних засобів АСВТЗІ чи їх модернізації роботи з ТЗІ
організовує та координує відповідальний за ТЗІ спільно з представниками служби захисту
інформації в АСВТЗІ. Після проведення необхідних заходів з ТЗІ представниками служби
захисту інформації в АСВТЗІ вносяться відповідні записи про зміні у складі АСВТЗІ в
Паспорті-формулярі на АСВТЗІ.
10.2. Модернізація програмного забезпечення
Модернізація програмного забезпечення проводиться в разі необхідності (наприклад,
у випадку надання розробниками сервісних пакетів, появи нових версій тощо). Поновлення
всього програмного забезпечення здійснює системний адміністратор за узгодженням з
начальником служби захисту інформації в АСВТЗІ та з відповідними відмітками в
«Паспорті-формулярі на АСВТЗІ».
10.3. Модернізація КЗЗ
Модернізація КЗЗ здійснюється відповідно до документа НД ТЗІ 3.6-001-2000 згідно з
окремим технічним завданням або додатком до основного технічного завдання.
11. Порядок проведення відновлювальних робіт і забезпечення безперервного

функціонування АСВТЗІ
У разі виникнення проблем у роботі технічного та програмного забезпечення АСВТЗІ
системний адміністратор має вжити заходів для відновлення працездатності системи.
Відновлювальні роботи потребують зміни стану системи.
Правила проведення відновлення працездатності технічних засобів АСВТЗІ наведені в
документі «Політика безпеки інформації в АСВТЗІ».
Відновлення програмного забезпечення АСВТЗІ проводиться під час перебування
системи в стані поновлення програмного забезпечення, відновлення КЗЗ – під час перебування
системи в стані відновлення.
При проведенні відновлення програмного забезпечення за необхідності
використовуються відповідні дистрибутиви. Відновлення операційної системи Windows
проводиться за допомогою стандартної процедури відновлення Windows.
12. Контроль за функціонуванням КСЗІ
Організація контролю за функціонуванням КСЗІ в АСВТЗІ покладається на

начальника служби захисту інформації в АСВТЗІ.
Він організовує відстеження адміністратором безпеки подій, які можуть вплинути на
безпеку інформації. У разі виникнення таких подій звіт із відповідними відомостями
автоматично зберігається у файлі, який створюється в папці LOZA\Security\Log\Report.
Виникнення файлу звіту на диску слугує адміністратору сигналом про можливе порушення
безпеки інформації.
Адміністратор безпеки має періодично переглядати вказану папку і аналізувати звіти,
які в ній з’являються. Він має з’ясувати причину виникнення кожної з небезпечних подій і за
необхідності вжити відповідних заходів.
У разі необхідності адміністратор безпеки може створити протокол друку, який
містить інформацію про друк документів, який проводився за допомогою програми.
Захищені документи, та протокол за вибором, для якого критерії відбору подій
визначаються довільним чином.
13. Порядок введення в експлуатацію КСЗІ
Обробка в АСВТЗІ інформації з обмеженим доступом дозволяється тільки після

отримання атестата відповідності КСЗІ вимогам нормативних документів із питань захисту
Дозвіл на обробку інформації з обмеженим доступом за допомогою АСВТЗІ дається
наказом директора ПАТ «Кредокомбанк» .
14. Система документів щодо забезпечення захисту інформації в АСВТЗІ
Захист інформації в АСВТЗІ регламентується такими документами:

Закон України “Про інформацію» від 2 жовтня 1992 року №2658-ХІІ;
Закон України “Про захист інформації в інформаційно-телекомунікаційних системах»
від 5 липня 1994 року № 80/94-ВР;
Положення про технічний захист інформації в Україні, затвердженого указом
Президента України від 27 вересня 1999 року № 1229;
Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів
України від 29 березня 2006 року N 373;
ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення;
ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних
НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах
від несанкціонованого доступу;
НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні
профілі захищеності оброблюваної інформації від несанкціонованого доступу;
НД ТЗІ 2.5-007-07 Вимоги до комплексу засобів захисту інформації, що становить
державну таємницю, від несанкціонованого доступу при її обробці в автоматизованих
системах класу «1»;
НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на
НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи
Положення про державну експертизу в сфері технічного захисту інформації,
затверджене наказом Адміністрації Державної служби спеціального зв’язку та захисту
інформації України від 16 травня 2007 року № 93;
Положення про забезпечення режиму секретності під час обробки інформації, що
становить державну таємницю, в автоматизованих системах, затверджене постановою
Кабінету Міністрів України від 16 лютого 1997 року № 180;
НД ТЗІ 2.1-002-07 Захист інформації на об’єктах інформаційної діяльності.
Випробовування комплексу технічного захисту інформації. Основні положення;
ТПКО–95 Тимчасове положення про категоріювання об’єктів;
ТР ЕОТ-95 Тимчасові рекомендації з технічного захисту інформації у засобах
обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних
електромагнітних випромінювань і наводок;
Інструкція щодо забезпечення режимних заходів щодо захисту інформації з
обмеженим доступом під час її обробки в АСВТЗІ;
Положення про службу захисту інформації в АСВТЗІ;
Технічна документація на систему захисту інформації ЛОЗА-2;
Технічне завдання на створення КСЗІ в АСВТЗІ;
Інструкція з адміністрування системи АСВТЗІ;
Інструкція користувача АСВТЗІ;
Інструкція по оперативному відновленню функціонування АС.
15. Календарний план із захисту інформації в АСВТЗІ
№ пп Назва заходу Термін Примітка

Організаційні заходи
Розробка документів (інструкцій, правил,

1 розпоряджень тощо) з різних напрямів захисту У разі необхідності
інформації в АСВТЗІ
Внесення змін та доповнень до чинних в АСВТЗІ
2 У разі необхідності
документів з урахуванням умов, що склалися
Координація робіт із ремонту технічних засобів
3 У разі збоїв або відмов
АСВТЗІ
Координація робіт із ремонту технічних засобів
4 У разі збоїв або відмов
захисту
Координація робіт із відновлення загального та
5 функціонального програмного забезпечення У разі збоїв або відмов
АСВТЗІ
Координація робіт із поновлення програмного Модернізація або
6
забезпечення комплексу засобів захисту розробка нового ПЗ
Розгляд результатів виконання затверджених
7 1 раз на місяць
заходів і робіт із захисту інформації
У разі змін у складі
8 Оновлення Плану захисту інформації в АСВТЗІ АСВТЗІ або умов її
функціонування
Контрольно-правові заходи
Контроль за виконанням користувачами та

9 технічним персоналом вимог відповідних 1 раз в квартал
інструкцій, розпоряджень, наказів
Відстеження небезпечних подій у журналі
10 1 раз на 2 тижні
захисту
Участь у контролі за наявністю на жорстких Відповідно до термінів
11 дисках комп’ютерів незахищеної секретної перевірок відповідальним
інформації за ТЗІ
Контроль за станом зберігання та використання
12 1 раз на місяць
носіїв інформації на робочих місцях
Профілактичні заходи
13 Поновлення вірусних баз 2 рази на місяць

Інженерно-технічні заходи
Організація та координація робіт з ТЗІ щодо Термін визначається в

14
блокування технічних каналів витоку інформації Акті атестації КТЗІ
Начальник відділу технічного захисту

інформації ПАТ «Кредокомбанк» Ковтун С.Ю.
ДОДАТОК Е
________________ О.С. Коваль


ТЕХНІЧНЕ ЗАВДАННЯ
Київ–2016
1. Загальні відомості
1.1. Повна назва системи та її умовне позначення
Повна назва: Комплексна система захисту інформації автоматизованої системи
відділу технічного захисту інформації пат «Кредокомбанк»
Умовне позначення: КСЗІ АСВТЗІ.
1.2. Шифр теми і реквізити договору
Розробка КСЗІ АСВТЗІ є складовою частиною робіт з впровадження АСВТЗІ в
діяльність, що виконуються між ПАТ «Кредокомбанк» та ТОВ «КСЗІінфо» відповідно вимог
Договору від 01.05.16 № 1АС/09 (далі - Договір).
1.3. Замовник
ПАТ «Кредокомбанк», м. Київ, вул. Гарманта, 50.
1.4. Виконавець
ТОВ «КСЗІінфо»
1.5. Планові терміни початку і закінчення роботи із створення КСЗІ
Терміни початку і закінчення робіт щодо створення КСЗІ АСВТЗІ визначаються
Договором.
1.6. Відомості про джерела та порядок фінансування робіт
Фінансування робіт із створення КСЗІ АСВТЗІ здійснюється ПАТ «Кредокомбанк»
1.7. Порядок оформлення та пред’явлення Замовнику результатів робіт
Технічне завдання оформлено згідно з вимогами НД ТЗІ 3.7-001-99 Методичні
вказівки щодо розробки технічного завдання на створення комплексної системи захисту
інформації в автоматизованій системі.
Порядок оформлення та пред’явлення Замовнику результатів виконання робіт зі
створення КСЗІ АСВТЗІ визначається вимогами:
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп’ютерних
НД ТЗІ 3.6-001-2000 Порядок створення, впровадження, супроводження та
модернізації засобів технічного захисту інформації від несанкціонованого доступу.
автоматизованій системі.
захисту інформації в інформаційно-телекомунікаційній системі.
РД 50-34.698-90. Автоматизированные системы. Требования к созданию документов.
Результатом роботи має бути КСЗІ АСВТЗІ, яка забезпечуватиме можливість обробки
в АСВТЗІ ІзОД. Замовник отримує дистрибутиви програмних засобів, а також комплект
документації відповідно до п. 5 цього ТЗ.
2. Мета створення і призначення КСЗІ

2.1. Мета створення КСЗІ АСВТЗІ
Комплексна система захисту інформації АСВТЗІ створюється для забезпечення
захисту від несанкціонованого доступу до інформації, а саме для:
 виявлення загроз безпеці інформації, що передається, обробляється та
зберігається в АСВТЗІ;
 унеможливлення реалізації загроз для інформації, порушення її
конфіденційності, цілісності та доступності в АСВТЗІ;
 забезпечення контролю за діями користувачів АСВТЗІ.
 КСЗІ АСВТЗІ повинна передбачати:
 організаційно-правові заходи регламентування діяльності користувачів
АСВТЗІ;
 організаційно-адміністративні заходи обмеження фізичного доступу до
технічних засобів обробки інформації;
 організаційно-технічні заходи і програмно-апаратні засоби захисту від
несанкціонованого доступу;
 захист інформації, що обробляється в АСВТЗІ від витоку технічними каналами;
 захист інформації, яка обробляється в АСВТЗІ від впливу комп’ютерних
вірусів та мережевих атак.
2.2. Функціональне призначення і особливості застосування КСЗІ АСВТЗІ
КСЗІ АСВТЗІ призначена для:
 забезпечення визначеної для АСВТЗІ політики безпеки інформації;
 розмежування доступу користувачів АСВТЗІ до інформації, що підлягає
захисту та інших ресурсів АС;
 блокування несанкціонованих дій з ІзОД;
 реєстрації спроб реалізації загроз інформації та сповіщення адміністраторів
безпеки про факти несанкціонованих дій з ІзОД;
 забезпечення спостережності інформації шляхом контролю за діями
користувачів АСВТЗІ та реєстрації подій, які мають відношення до безпеки інформації;
 підтримання цілісності критичних ресурсів АСВТЗІ;
 організації обліку, зберігання та обігу матеріальних носіїв інформації, які
використовуються в АСВТЗІ;
 забезпечення управління засобами захисту КСЗІ та контролю за її
функціонуванням.
 захисту ІзОД від її витоку технічними каналами.
Під час проектування КСЗІ АСВТЗІ необхідно забезпечити:
 заданий рівень захисту ІзОД, яка циркулюватиме в АСВТЗІ;
 економічну доцільність прийнятих рішень;
 забезпечення дотримання вимог режиму секретності під час проведення робіт
зі створення КСЗІ АСВТЗІ.
2.3. Нормативні посилання
КСЗІ розробляється відповідно до вимог, які зазначено в таких законодавчих та
нормативних документах із питань охорони державної таємниці та технічного захисту
інформації:
Закон України “Про інформацію” від 2 жовтня 1992 року №2658-ХІІ;
Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”
від 5 липня 1994 року № 80/94-ВР;
Закон України “Про державну таємницю” від 21 січня 1994 року №3856-ХІІ;
Положення про технічний захист інформації в Україні, затвердженого указом
Президента України від 27 вересня 1999 року № 1229;
Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів
України від 29 березня 2006 року N 373;
ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення;
ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та
Порядку захисту державних інформаційних ресурсів в інформаційно-
телекомунікаційних системах, затвердженого наказом ДСТСЗІ СБ України від 24 грудня
2001 року № 76.
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні
профілі захищеності оброблюваної інформації від несанкціонованого доступу;
НД ТЗІ 3.6-001-2000 Порядок створення, впровадження, супроводження та
модернізації засобів технічного захисту інформації від несанкціонованого доступу;
НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на
Положення про державну експертизу в сфері технічного захисту інформації,
затверджене наказом Адміністрації Державної служби спеціального зв’язку та захисту
інформації України від 16 травня 2007 року № 93;
Положення про забезпечення режиму секретності під час обробки інформації, що
становить державну таємницю, в автоматизованих системах, затверджене постановою
Кабінету Міністрів України від 16 лютого 1997 року № 180;
НД ТЗІ 2.1-002-2007. Захист інформації на об’єктах інформаційної діяльності.
Випробовування комплексу технічного захисту інформації. Основні положення;
НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності. Створення
комплексу технічного захисту інформації.. Основні положення;
комплексу технічного захисту інформації. Передпроектні роботи;
комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із
захисту інформації;
ТР ЕОТ-95 Тимчасові рекомендації з технічного захисту інформації у засобах
обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних
електромагнітних випромінювань і наводок.
3. Загальна характеристика АСВТЗІ та умов її функціонування

3.1 Характеристика АСВТЗІ
АСВТЗІ розроблено на базі автономного 35 комп’ютерів, укомплектованих
принтерами. Відповідно НД ТЗІ 2.5-005-99 за сукупністю характеристик (конфігурація
апаратних засобів операційної системи і їх фізичне розміщення, кількість різноманітних
категорій оброблюваної інформації, кількість користувачів і категорій користувачів) АСВТЗІ
відносяться до автоматизованої системи класу „2”
3.1.1 Структура АСВТЗІ
АСВТЗІ призначено для автоматизації процесів обробки інформації з обмеженим
доступом. Основним режимом роботи АСВТЗІ є робота в службовий час.
3.1.2. Обладнання АСВТЗІ
До складу АСВТЗІ входить наступне обладнання:
 системні блоки;
 монітори;
 графічні маніпулятори;
 клавіатури;
 принтери;
 ноутбуки;
 сервери.
3.1.3. Програмне забезпечення АСВТЗІ
До складу АСВТЗІ входить наступне програмне забезпечення:
 операційна система Windows 10/8.1;
 пакет прикладних програм Microsoft Office 2013;
 Microsoft Office Visio 2013;
 драйвери системних пристроїв;
 антивірусна програма NOD 32.
Детальний перелік програмного забезпечення, що використовується в АСВТЗІ буде
визначено в паспорті-формулярі на АСВТЗІ.
3.2 Характеристика фізичного середовища
Компоненти АСВТЗІ розміщуються в приміщенні відділу технічного захисту
інформації ПАТ «Кредокомбанк», що знаходиться в межах контрольованої зони ПАТ
«Кредокомбанк». Охорона контрольованої зони ПАТ «Кредокомбанк» здійснюється
цілодобово відомчою охороною ТОВ «Держохорона». Приміщення обладнано охоронною
сигналізацією. Двері приміщення дерев’яні, оббиті залізними листами, обладнані замковими
пристроями та охоронними сповіщувачами.
Режим допуску до приміщення, де розміщується АСВТЗІ, забезпечує неможливість
проникнення сторонніх осіб у приміщення та їх доступу до обладнання АСВТЗІ.
3.3 Характеристика персоналу
За рівнем повноважень щодо доступу до інформації та характером робіт, що
виконуються у процесі функціонування АСВТЗІ, особи, які мають доступ до АСВТЗІ,
поділяються на такі категорії:
1. адміністратор безпеки, який забезпечує виконання вимог політики безпеки ;
2. системний адміністратор, який забезпечує функціонування програмного та
апаратного забезпечення АСВТЗІ;
3. звичайний користувач, який виконує обробку інформації;
4. технічний обслуговуючий персонал який забезпечує належні умови
функціонування АСВТЗІ та не має безпосереднього доступу до інформації що обробляється
(прибиральниці, розробники прикладного ПЗ та ін.).
Всі користувачі АСВТЗІ повинні мати дозвіл керівника ПАТ «Кредокомбанк» на
доступ до приміщення в якому розташовано обладнання АСВТЗІ, згідно з службовими
обов’язками.
Користувачі категорій “1” - “3” повинні пройти процедуру реєстрації в системі і мати
власні унікальні імена, ідентифікатори та атрибути доступу відповідно до їх функціональних
обов'язків.
3.4 Характеристика інформації, що обробляється в АСВТЗІ
Інформація, що циркулюватиме в АСВТЗІ, за змістом вимог щодо захисту
підрозділяється на такі групи:
відкриту інформацію загального користування;
інформацію з обмеженим доступом (ІзОД) (гриф обмеження доступу – конфіденційно,
ДСК, комерційна таємниця).
Гриф обмеження доступу носія інформації повинен відповідати вищому ступеню
обмеження доступу даних, які на ньому зберігаються.
3.5 Характеристика технології обробки інформації
ІзОД зберігається на жорсткому магнітному диску або на гнучких магнітних дисках
(дискетах) та флеш накопичувачах в форматах: txt, doc, xls, vsd тощо.
Користувачі мають різні повноваження стосовно доступу до інформації з обмеженим
доступом, яка розміщується на носіях інформації.
На носіях інформації зберігаються дані різних ступенів обмеження доступу. Гриф
обмеження доступу носія інформації повинен відповідати вищому ступеню обмеження
доступу даних, які на ньому зберігаються.
Імпорт інформації в АСВТЗІ здійснюється за рахунок використанням дискет або флеш
накопичувачах.
Експорт інформації з АСВТЗІ здійснюється на паперових носіях та на дискетах або
флеш накопичувачах.
Документи, в яких містяться ІзОД, будуть друкуватися за допомогою принтера, який
входить до складу АСВТЗІ.
Носії інформації з ІзОД знаходяться на обліку та зберігаються в спеціальному відділі
ПАТ «Кредокомбанк» Доступ до них регламентується розпорядчими документами цього
підприємства.
Порядок копіювання файлів, стирання інформації, опрацювання документів
здійснюється згідно вимог розпорядчих документів ПАТ «Кредокомбанк».
3.6 Особливості функціонування АСВТЗІ
АСВТЗІ використовується для обробки ІзОД в час, визначений службовою
необхідністю. Надання машинного часу або устаткування в оренду стороннім організаціям
не передбачається.
Функціонування АСВТЗІ передбачає такі режими роботи:
 основний робочий режим роботи - функціонування АСВТЗІ в робочий час для
виконання визначених регламентом функціональних задач;
 режим адміністрування АСВТЗІ - підтримка інформаційних ресурсів в
актуальному стані;
 режим тестування системи та окремих її компонентів - забезпечення рішення
контрольних задач для перевірки роботоздатності АСВТЗІ;
 режим технічного обслуговування АСВТЗІ.
4. Вимоги до комплексної системи захисту інформації
4.1. Вимоги щодо організаційного забезпечення захисту
4.1.1. З метою забезпечення захисту ІзОД під час її обробки в АСВТЗІ наказом
директора ПАТ «Кредокомбанк» створюється служба захисту інформації в АСВТЗІ, якій
надаються повноваження щодо організації і впровадження КСЗІ, контролю за станом
захищеності інформації тощо. У своїй діяльності служба захисту інформації керується
документом „Положення про службу захисту інформації”.
4.1.2. Приміщення, в якому розташована АСВТЗІ, повинно відповідати наступним
вимогам:
 двері повинні бути обладнані двома замковими пристроями різної конфігурації;
 вікна повинні бути обладнані металевими гратами;
 вікна та двері повинні бути обладнані датчиками системи охоронної
сигналізації;
 в приміщенні повинен бути встановлений інфрачервоний сповіщувач руху.
4.1.3. Відповідно до рівня повноважень щодо доступу до ІзОД, характеру робіт, які
виконуються у процесі функціонування АСВТЗІ, організовується доступ осіб до АСВТЗІ з
наступними ролями:
 користувач АСВТЗІ;
Користувач АСВТЗІ повинен безпосередньо здійснювати обробку ІзОД в АСВТЗІ
відповідно вимог Інструкції користувача АСВТЗІ. Користувач АСВТЗІ повинен мати базові
навички роботи з обчислювальною технікою, з операційною системою Microsoft Windows,
текстовим редактором Microsoft Word та редактором електронних таблиць Microsoft Excel.
Адміністратор безпеки АСВТЗІ повинен безпосередньо здійснювати:
 ведення баз даних захисту;
 встановлення значень параметрів конфігурації системи, безпосередньо
пов’язаних із доступом до інформації;
 спостереження за роботою системи;
 заміну, у разі необхідності, власника баз документів та документів.
 Системний адміністратор АСВТЗІ повинен забезпечувати:
 безперебійну роботу операційної системи АСВТЗІ;
 справну роботу системних драйверів;
 встановлення необхідного програмного забезпечення та своєчасне його
оновлення;
 своєчасне оновлення баз антивірусного програмного забезпечення.
Кожну роль може виконувати один або декілька працівників.
Крім того, справну роботу компонентів АСВТЗІ забезпечує технічний персонал.
Усі дії, які прямо чи опосередковано можуть вплинути на захищеність інформації
(зміни дозволів на доступ до файлів та папок, очищення журналів ОС, зміни настройок BIOS
Setup тощо), системний адміністратор має узгоджувати з адміністратором безпеки. Порядок
узгодження повинен визначатись «Планом захисту інформації».
4.1.4. Контроль за друком та експортом інформації повинен здійснювати працівник
спеціального відділу ПАТ «Кредокомбанк».
4.1.5. Усі носії, які містять ІзОД, повинні мати належне маркування та зберігатись в
спеціальному відділу в окремому сейфі.
4.2. Вимоги щодо захисту інформації від несанкціонованого доступу
Згідно із специфікаціями, наведеними в документі НД ТЗІ 2.5-004-99. Критерії оцінки
захищеності інформації у комп’ютерних системах від несанкціонованого доступу, комплекс
засобів захисту (КЗЗ) від НСД має надавати певні послуги безпеки, зазначені в документі
«Моделі загроз» (додаток В).
4.3. Політика безпеки інформації
Політика безпеки описано в додатку Г цього документу.
4.4. Вимоги до КСЗІ у частині захисту інформації від витоку технічними каналами
Захист ІзОД, яка циркулюватиме в АСВТЗІ, від витоку технічними каналами повинен
досягатись шляхом створення на об’єкті інформаційної діяльності (приміщенні № 5), де
встановлена вказана автоматизована система, комплексу технічного захисту інформації, який
є невід’ємною складовою КСЗІ АСВТЗІ.
КТЗІ на ОІД необхідно створювати відповідно вимог нормативних документів,
перелік яких наведено в п. 2.3 цього Технічного завдання.
Захист інформації від витоку технічними каналами передбачає:
аналіз умов функціонування АСВТЗІ, її розташування на ОІД та відносно межі
контрольованої зони;
виявлення каналів можливого витоку інформації;
розробку заходів із технічного захисту інформації, обґрунтування та вибір технічних
рішень із ТЗІ, впровадження КТЗІ на ОІД, розробку необхідної документації;
проведення атестаційних випробувань КТЗІ.
4.4.1. Загальні вимоги до об’єктів, що захищаються
До об’єктів що захищаються повинні висуватися наступні вимоги:
 реалізація захищеності ІзОД повинна досягатись без застосування екранування
приміщення та активних засобів захисту інформації;
 використання пасивних засобів захисту ІзОД у разі виявлення наведених
інформативних сигналів у мережі електроживлення, лініях зв’язку і сигналізації та на інших
лініях, які мають вихід за межі контрольованої зони;
 забезпечення АСВТЗІ автономним контуром заземлення.
Роботи повинні проводитись відповідно до нормативно-правових актів та
нормативних документів з питань технічного захисту інформації, перелік яких наведено в п.
2.3.
Для захисту ІзОД від витоку технічними каналами повинні використовуватися
пасивні засоби ТЗІ згідно із Переліком засобів загального призначення, які дозволені для
забезпечення технічного захисту інформації, необхідність охорони якої визначено
законодавством України.
Всі технічні системи та засоби можуть встановлюватись на ОІД за умови сумісності із
існуючими засобами захисту та попереднього проведення спеціальних досліджень.
4.4.2. Вимоги до КТЗІ щодо захисту ІзОД від витоку каналами ПЕМВН
Для захисту ІзОД від її витоку каналами ПЕМВН необхідно передбачити наступні
технічні заходи захисту:
 на лінію електроживлення, від якої здійснюється електроживлення всіх
компонентів, встановлюється мережевий завадозаглушувальний фільтр та розподільчий
трансформатор. Вказані пристрої встановлюються відповідно вимог своєї технічної
документації на максимально можливі відстані від АСВТЗІ. Технічні характеристики
стосовно їх потужності повинні відповідати потужності споживання технічних засобів
підключених до них;
 обладнати всі компоненти АСВТЗІ та технічні засоби захисту окремим
контуром заземлення опір якого відповідно вимог ТР ЕОТ-95 повинен бути не більше 4 Ом;
 на ОІД видалити всі незадіяні лінійні комунікації;
 унеможливити проходження біля компонентів АСВТЗІ будь яких ліній та
комунікацій, які мають вихід за межі контрольованої зони, на відстані, яка не забезпечує
захищеність інформації від її витоку за рахунок наведень на них інформативних сигналів. У
разі неможливості видалення вказаних ліній та комунікацій, провести їх екранування. Екрани
повинні буди підключені до контуру заземлення;
4.3. Вимоги до КТЗІ щодо захисту ІзОД від витоку радіотехнічним каналом
Захист ІзОД від витоку радіотехнічним каналом повинен передбачати:
 унеможливлення організаційними та інженерно-технічними заходами
несанкціонованого проникнення на ОІД сторонніх осіб з метою встановлення пристроїв
технічної розвідки (відеопередавачів);
 встановлення на ОІД лише технічних засобів, які пройшли спеціальну
перевірку на предмет наявності в них приховано встановлених пристроїв технічної розвідки;
 унеможливлення встановлення на лінійно-кабельні комунікації, комунікації
життєзабезпечення, які виходять за межі ОІД пристроїв технічної розвідки;
 перевірки приміщення ОІД, лінійно-кабельних комунікацій, комунікацій
життєзабезпечення, які виходять за межі ОІД, на наявність приховано встановлених
пристроїв технічної розвідки (відеопередавачів);
 унеможливлення після створення КСЗІ та введення в дію АСВТЗІ
встановлення на ОІД будь яких технічних засобів, меблів та предметів інтер’єру, які
попередньої не пройшли спеціальної перевірки на наявність приховано встановлених
пристроїв технічної розвідки (відеопередавачів).
4.4. Вимоги до КТЗІ щодо захисту ІОДД від її витоку за рахунок візуально-оптичного
каналу
Блокування візуально-оптичного каналу повинно передбачати обладнання вікон ОІД
непрозорими шторами або жалюзями, які повинні унеможливити огляд ОІД ззовні незалежно
від поверху та наявності розташованих навпроти будинків.
4.5. Середовище функціонування
Вимоги до середовища функціонування викладено в розділі 3 цього ТЗ.
4.6. Вимоги до виявлення та блокування розповсюдження вірусів
Виявлення та блокування розповсюдження вірусів в АСВТЗІ необхідно реалізовувати
адміністративно-організаційними, апаратними, програмними та програмно-апаратними
способами. До адміністративно-організаційних слід віднести заборону можливості
встановлення та виконання програм, що не відносяться до складу АСВТЗІ.
Підсистема антивірусного захисту повинна забезпечувати:
 функціонування в автоматичному режимі;
 блокування проникнення комп’ютерних вiрусiв зі змінних носіїв інформації та
несанкцiоновано розповсюджуваних виконавчих файлів;
 лікування (або видалення) комп’ютерних вiрусів з занесенням iнформацiї про
це у відповідні протоколи КЗЗ;
 автоматичне оновлення антивірусного П3;
 блокування доступу користувачів до зараженої інформації.
5. Вимоги до складу проектної та експлуатаційної документації
За результатами виконання робіт зі створення КСЗІ має бути розроблено наступні
документи:
Автоматизована система відділу технічного захисту інформації ПАТ «Кредокмбанк».
Комплексна система захисту інформації. План захисту інформації;
Автоматизована система відділу технічного захисту інформації ПАТ «Кредокмбанк».
Комплексна система захисту інформації. Техноробочий проект;
Паспорт-формуляр на автоматизовану систему класу 2 відділу технічного захисту
інформації ПАТ «Кредокмбанк»;
Положення про службу захисту інформації в автоматизованій системі класу 2 відділу
технічного захисту інформації ПАТ «Кредокмбанк»;
Інструкція користувачу автоматизованої системи класу 2 відділу технічного захисту
інформації ПАТ «Кредокмбанк»;
Інструкція з адміністрування системи автоматизованої системи класу 2 відділу
технічного захисту інформації ПАТ «Кредокмбанк»;
Інструкція з режимних заходів щодо захисту інформації під час її обробки в
автоматизованій системі класу 2 відділу технічного захисту інформації ПАТ «Кредокмбанк»
(далі - Інструкція з режимних заходів);
Інструкція з правил видачі вилучення та зберігання персональних ідентифікаторів
користувачів автоматизованої системи класу 2 відділу технічного захисту інформації ПАТ
«Кредокмбанк»
Інструкція по правилам управління паролями в автоматизованій системі класу 2
відділу технічного захисту інформації ПАТ «Кредокмбанк»;
Інструкція про порядок оперативного відновлення функціонування автоматизованої
системи класу 2 відділу технічного захисту інформації ПАТ «Кредокмбанк»;
Автоматизована система відділу технічного захисту інформації ПАТ «Кредокомбанк».
Комплексна система захисту інформації. Програма та методики випробувань.
Деякі експлуатаційні документи на КСЗІ можуть бути замінені відповідними
документами, що входять до експлуатаційної документації на засоби захисту, що
застосовуються в КСЗІ.
6. Вимоги до забезпечення режимних заходів у процесі розробки КСЗІ

Під час виконання робіт зі створення та випробувань КСЗІ повинні забезпечуватись
заходи щодо унеможливлення ознайомлення зі змістом всіх робіт сторонніми особами, які не
будуть приймати участь в обробці ІзОД за допомогою АСВТЗІ.
7. Етапи виконання робіт

Етапи виконання робіт при створенні КСЗІ наведено в таблиці 7.1.
Таблиця 7.1.
№ Найменування робіт Виконавець
1 Розробка технічного завдання та його узгодження з
Державною службою спеціального зв’язку та захисту
інформації України
2 Проведення заходів щодо захисту інформації від
витоку технічними каналами
3 Проведення заходів щодо захисту інформації від
несанкціонованого доступу
4 Розробка експлуатаційної документації на КСЗІ
5 Розробка „Програми та методики випробувань”
6 Розробка експлуатаційних документів КСЗІ
7 Проведення попередніх випробувань і передача КСЗІ
в дослідну експлуатацію
8 Навчання користувачів
9 Дослідна експлуатація
10 Підготовка комплекта документів для проведення
експертизи КСЗІ
8. Порядок внесення змін і доповнень до технічного завдання

Зміни до затвердженого технічного завдання на створення КСЗІ в АСВТЗІ,
необхідність внесення яких виявлена в процесі виконання робіт, оформлюються окремим
доповненням, яке погоджується і затверджується в тому ж порядку і на тому ж рівні, що і
основний документ.
Доповнення до технічного завдання на створення КСЗІ складається із вступної
частини і змінених розділів. У вступній частині зазначається причина складання доповнення.
У змінених розділах наводяться номери та зміст змінених розділів та/або пунктів, що
скасовуються.
9. Порядок контролю та приймання КСЗІ
Приймання робіт повинно здійснюватись комісією, призначеною Замовником,
відповідно до узгодженої програми згідно з вимогами ГОСТ 34.201-89, РД-50-34.698-90.
9.1. Порядок проведення попередніх випробувань
Метою випробувань є встановлення відповідності досягнутого в АСВТЗІ рівня
захищеності інформації вимогам ТЗ та визначення готовності до експлуатації.
Порядок проведення випробувань КСЗІ АСВТЗІ має відповідати вимогам НД ТЗІ 2.1-
002-2007 та визначатись відповідними угодами між Замовником та Виконавцем.
Випробування здійснюється відповідно до програм та методик, що розроблюються
Виконавцем та затверджуються Замовником. Обсяг випробувань має бути достатнім для
вичерпної оцінки усіх показників захисту інформації.
Оцінку результатам випробувань дає комісія, яку призначає Замовник, за участю
Виконавця.
Після завершення випробувань затверджуються акт приймання до дослідної
експлуатації.
9.2. Експертиза КСЗІ
Експертиза КСЗІ може проводиться одночасно з попередніми випробуваннями.
Експертиза КСЗІ АСВТЗІ проводиться згідно з Положенням про державну експертизу
в сфері технічного захисту інформації.
ТЕХНІЧНЕ ЗАВДАННЯ СКЛАВ:
Найменування Посада виконавця Прізвище та ініціали Підпис Дата

організації
ДОДАТОК Є
________________ О.С. Коваль


ТЕХНОРОБОЧИЙ ПРОЕКТ
Київ–2016
1. Відомість проектної документації до Техноробочого проекту КСЗІ в АСВТЗІ
№ п/п Найменування Кількість Примітка

аркушів
1 Перелік відомостей, що відносяться до конфіденційної
інформації ПАТ «Кредокомбанк» та якій надається гриф 1
обмеження доступу
2 Акт визначення вищого ступеню обмеження доступу
інформації, яка циркулюватиме на об’єкті інформаційної
1
діяльності - приміщення № 5 відділу технічного захисту
3 Акт обстеження середовищ функціонування автоматизованої
системи на об’єкті інформаційної діяльності - приміщення № 5 3
відділу технічного захисту інформації ПАТ «Кредокомбанк»
4 Модель загроз для інформації, яка планується до циркуляції в
автоматизованій системі класу 2 на об’єкті інформаційної 9
діяльності - приміщення № 5 ПАТ «Кредокомбанк»
5 Політика безпеки інформації, яка циркулює в автоматизованій
7
системі класу 2 ПАТ «Кредокомбанк»
6 Автоматизована система відділу технічного захисту інформації
ПАТ «Кредокомбанк». Комплексна система захисту інформації. 12
План захисту інформації
Технічне завдання
Техноробочий проект
Програма та методики випробувань.
10 Протокол попередніх випробувань комплексної системи
захисту інформації в автоматизованій системі класу 1 відділу 3
технічного захисту інформації ПАТ «Кредокомбанк»
11 Акт повноти виконаних заходів із захисту інформації при
створенні комплексної системи захисту інформації в
4
автоматизованій системі класу 1 відділу технічного захисту
12 Акт про приймання комплексної системи захисту інформації в
автоматизованій системі класу 1 відділу технічного захисту 2
інформації ПАТ «Кредокомбанк» у дослідну експлуатацію
13 Акт про завершення дослідної експлуатації комплексної
системи захисту інформації в автоматизованій системі класу 1
2
відділу технічного захисту інформації ПАТ «Кредокомбанк» у
дослідну експлуатацію
2. Відомість експлуатаційної документації до Техноробочого проекту КСЗІ в
АСВТЗІ
№ Найменування Кількість Примітка

п/п аркушів
1 Паспорт-формуляр на автоматизовану систему класу 2 відділу
12аВ
2 Положення про службу захисту інформації в автоматизованій
системі класу 2 відділу технічного захисту інформації ПАТ 6
3 Інструкція користувачу автоматизованої системи класу 1 відділу
7
4 Інструкція з адміністрування системи автоматизованої системи
класу 2 відділу технічного захисту інформації ПАТ 10
5 Інструкція з режимних заходів щодо захисту інформації під час її
обробки в автоматизованій системі класу 2 відділу технічного 11
захисту інформації ПАТ «Кредокомбанк»
6 Інструкція з правил видачі вилучення та зберігання персональних
ідентифікаторів користувачів автоматизованої системи класу 2 10
7 Інструкція по правилам управління паролями в автоматизованій
системі класу 2 відділу технічного захисту інформації ПАТ 5
8 Інструкція про порядок оперативного відновлення функціонування
автоматизованої системи класу 2 відділу технічного захисту 4
3. Пояснювальна записка до Техноробочого проекту комплексної системи

захисту інформації автоматизованої системи класу 2 відділу технічного захисту
3.1 Загальні відомості
Повна назва: Комплексна система захисту в автоматизованій системі класу 2 об’єкту

інформаційної діяльності - приміщення № 5 відділу технічного захисту інформації ПАТ
Розробка КСЗІ в АСВТЗІ є складовою частиною робіт з впровадження АСВТЗІ в
діяльність, що виконуються між ПАТ «Кредокомбанк» і ТОВ «КСЗІінфо».
Замовник: ПАТ «Кредокомбанк».
Виконавець: ТОВ «КСЗІінфо».
Підставою для виконання робіт по створенню КСЗІ в АСВТЗІ є Технічне завдання на
створення КСЗІ в АСВТЗІ.
Організаційні та організаційно-технічні заходи щодо захисту інформації в АСВТЗІ що
зазначені в цьому Техпроекті здійснюються у період з 16.04.2011 року по 30.06.2011 року.
Фінансування робіт здійснюється за рахунок коштів передбачених для технічного
захисту інформації в ПАТ «Кредокомбанк».
Порядок оформлення та пред’явлення Замовнику результатів виконання робіт зі
створення КСЗІ в АСВТЗІ визначається вимогами:
НД ТЗІ 1.1-002-1999 „Загальні положення щодо захисту інформації в комп’ютерних
системах від несанкціонованого доступу”.
НД ТЗІ 1.1-003-1999 „Термінологія в галузі захисту інформації в комп’ютерних
системах від несанкціонованого доступу”.
НД ТЗІ 3.6-001-2000 „Порядок створення, впровадження, супроводження та
модернізації засобів технічного захисту інформації від несанкціонованого доступу”.
НД ТЗІ 1.4-001-2000 „Типове положення про службу захисту інформації в
автоматизованій системі”.
НД ТЗІ 3.7-003-2005 „Порядок проведення робіт із створення комплексної системи
захисту інформації в інформаційно-телекомунікаційній системі”.
КСЗІ в АСВТЗІ призначена для:
 розмежування доступу користувачів АСВТЗІ до інформації різних категорій
конфіденційності;
 забезпечення спостереженості інформації шляхом контролю за діями
користувачів АС 1 та реєстрації подій, які мають відношення до безпеки інформації;
 захисту ІзОД від витоку її технічними каналами.
Під час проектування КСЗІ в АС 1 необхідно забезпечити:
 заданий рівень захисту ІзОД, яка циркулюватиме в АСВТЗІ;
 економічну доцільність прийнятих рішень.
Під час розробки КСЗІ враховується інформація яка наведена в документах перелік
яких наведено в п. 1 цього Техноробочого проекту.
Відомості які зазначають структуру та склад АСВТЗІ, а саме:
 структура та обладнання, що використовується в АСВТЗІ;
 програмне забезпечення, що використовується в основних складових АСВТЗІ;
 характеристика інформації та технологія її обробки в АСВТЗІ (характеристика
інформаційного середовища);
 характеристики фізичного середовища АСВТЗІ;
 характеристики обслуговуючого персоналу АСВТЗІ;
 користувачі, об'єкти, процеси та їх атрибути в АСВТЗІ,
 наведені в Технічному завданні.
3.2. Основні технічні рішення та заходи при створенні КСЗІ в АСВТЗІ
3.2.1. Технічні заходи із захисту інформації в АСВТЗІ

Проведення інсталяції та перевірки робото здатності в АСВТЗІ наступного
програмного забезпечення:
операційної системи Microsoft 10/8.1;
драйвери системних пристроїв АСВТЗІ;
пакет прикладних програм Microsoft Office 2013;Office Visio 2013;
антивірусна програма NOD-32
Windows Comander 6.53;8.0.
Nero 8.0.
Відповідальний: ________________
Відмітка про виконання: ________________
Підпис виконавця: ________________
Встановлення на лінію електроживлення від якої здійснюється електроживлення всіх

компонентів АСВТЗІ мережевого протизавадного фільтра М-17.
Встановлення на лінію охоронної сигналізації протизавадного фільтра М-9.

Підключення всіх компонентів АСВТЗІ до контуру заземлення.

Проведення робіт щодо пошуку в приміщенні можливо потай встановлених пристроїв

технічної розвідки (відеопередавачів).
3.2.2 Будівельно-монтажні роботи із захисту інформації в АС

Обладнання віконного отвору металевими гратами відповідно вимог п.п 4.1.2
Технічного завдання на створення КСЗІ
Обладнання віконного отвору непрозорими шторами.

3.2.3 Організаційні заходи із захисту інформації в АС

Складання Інструкції користувачу АСВТЗІ в якій повинно бути відображено наступні
заходи:
порядок допуску осіб до проведення робіт з ІзОД в АСВТЗІ;
порядок дій користувача щодо обробки ІзОД за допомогою АСВТЗІ;
відповідальність користувача під час їх поводження з ІзОД.
Складання Інструкції з адміністрування системи АСВТЗІ в якій обов’язково повинно

бути зазначено:
порядок дій адміністратора безпеки;
порядок дій системного адміністратора;
порядок дій адміністратора документів
Складання Інструкції по правилам видачі, вилучення та обліку персональних

ідентифікаторів в якій повинно бути зазначено:
 порядок видачі персональних ідентифікаторів;
 порядок вилучення персональних ідентифікаторів;
 порядок обліку персональних ідентифікаторів;
 порядок зберігання персональних ідентифікаторів.
Складання Інструкції по правилам управління паролями в АСВТЗІ в який повинно

бути зазначено:
 порядок присвоєння реєстраційних (системних) імен користувачів;
 порядок видачі паролів користувачам;
 порядок зміни паролів та реєстраційних (системних) імен користувачів;
 порядок вилучення паролів;
 склад імен та паролів;
 обов’язки користувача під час поводження користувачів з паролями.
Складання Інструкції з режимних заходів захисту інформації під час її циркуляції в

АСВТЗІ в який повинно бути зазначено:
 загальні вимоги до організації обробки конфіденційної інформації в АСВТЗІ;
 порядок дій користувачів щодо забезпечення режимних заходів захисту
конфіденційної інформації;
 порядок друку і обліку користувачами документів, які містять ІзОД;
 порядок знищення або збереження ІзОД, яка міститься на машинних носіях;
 порядок обліку файлів які містять ІзОД, на машинному носії інформації;
 порядок обліку машинного носія інформації;
 відповідальність користувача.
Складання Інструкції про порядок оперативного відновлення функціонування
«Кредокомбанк» в який повинно бути зазначено:
 порядок дій користувачів, представників служби захисту інформації в АСВТЗІ
та начальника спеціального відділу під час збоїв програмного забезпечення АСВТЗІ;
 порядок дій користувачів, представників служби захисту інформації в АСВТЗІ
та начальника спеціального відділу під час ремонту, модернізації та технічного
обслуговування компонентів АСВТЗІ;
 порядок протидії комп’ютерним вірусам.
3.4 Показники захищеності АСВТЗІ від НСД
Відповідно відомостей наведених в Технічному завданні для АС необхідно

реалізувати функціональний профіль захищеності.
Реалізацію вказаного функціонального профілю буде здійснювати застосована
система захисту інформації, яка повинна реалізувати наступні основні функції:
 ідентифікацію та аутентифікацію користувачів під час завантаження
операційної системи з ЖМД та блокування використання АСВТЗІ сторонньою особою;
 блокування завантаження операційної системи АСВТЗІ з ГМД або CD-ROM;
 розмежування обов’язків користувачів та визначення декількох ролей
адміністраторів, які можуть виконувати різні функції адміністрування КЗЗ;
 розмежування доступу користувачів до каталогів та файлів, що в них
знаходяться;
 керування потоками інформації та блокування інформаційних потоків, що
призводять до втрати або знищення рівня конфіденційності інформації;
 контроль за друком документів;
 контроль за експортом інформації на змінні носії інформації;
 гарантоване видалення конфіденційної інформації шляхом затирання змісту
файлів при їх видаленні;
 розмежування доступу прикладних програм до виділених каталогів та до
файлів, які в них зберігаються;
 контроль цілісності програмного забезпечення та блокування завантаження
незареєстрованих програм і програм, цілісність яких порушена;
 контроль за використанням дискового простору користувачами;
 блокування пристроїв інтерфейсу користувача на час його відсутності;
 реєстрацію в спеціальних журнальних файлах таких подій, що мають
відношення до безпеки, як:
 завантаження операційної системи користувачем та завершення сеансу роботи;
 реєстрацію спроб несанкціонованих подій з ІзОД;
 запуск програм;
 доступ до ІзОД;
 відновлення функціонування КЗЗ після збоїв;
 адміністрування (реєстрацію користувачів, визначення захищених ресурсів та
прав доступу до них, обробку журнальних файлів тощо).
3.5 Порядок постачання засобів захисту інформації та/або розробки технічних вимог
(технічних завдань) на їх розробку
Організація постачання та впровадження в АСВТЗІ технічних засобів захисту

здійснюється відділом технічного захисту інформації ПАТ «Кредокомбанк».
3.6 Порядок проведення тестування, пусконалагоджувальних робіт та проведення

попередніх випробувань КСЗІ в АСВТЗІ
Пусконалагоджувальні роботи включають в себе виконання технічних та
організаційних заходів захисту інформації що передбачені в п.3 цієї Пояснювальної записки
до Техпроекту.
Попередні випробування проводяться після виконання в повному обсязі
пусконалагоджувальних робіт.
Попередні випробування проводяться згідно з програмою та методиками випробувань
КСЗІ. Програму й методики випробувань готує Виконавець та погоджує її з директором ПАТ
Попередні випробування організовується відділом технічного захисту інформації
ПАТ «Кредокомбанк».. Під час попередніх випробувань КСЗІ в АСВТЗІ проводиться
перевірка достатності вжитих організаційних, організаційно-технічних та технічних заходів
щодо блокування всіх виявлених технічних каналів витоку ІзОД, шляхів НСД до ІзОД та
загроз ІзОД в АСВТЗІ.
Спеціалістами відділу технічного захисту інформації ПАТ «Кредокомбанк» за
результатами попередніх випробувань оформляється Протокол випробувань, де міститься
висновок щодо можливості прийняття КСЗІ у дослідну експлуатацію, а також перелік
виявлених недоліків, необхідних заходів з їх усунення, і рекомендовані терміни виконання
цих робіт.
Після усунення недоліків у випадку їх наявності та коригування проектної, робочої,
експлуатаційної документації КСЗІ оформлюється акт про приймання КСЗІ у дослідну
експлуатацію.
3.7 Порядок адаптації засобів захисту до умов функціонування КСЗІ
Режим роботи всіх компонентів АСВТЗІ, пристроїв захисту повинен забезпечувати

надійну їх роботу та забезпечувати захист інформації з урахуванням фізичного та
кліматичного середовища розташування.
3.8 Схеми розміщення АСВТЗІ, кабельного обладнання, мереж живлення та систем

заземлення
Монтаж компонентів АСВТЗІ на ОІД повинен відповідати вимогам нормативних

документів з ТЗІ.
Встановлення (монтаж) біля АСВТЗІ будь яких технічних пристроїв (засобів) на
відстані менш ніж 1,5 метрів або прокладання будь-яких ліній та кабелів на відстані менш
ніж 1 метр - заборонено.
3.9 Заходи щодо підготовки КСЗІ до введення у дію
Для введення КСЗІ в дію необхідно виконати наступні заходи:

 провести налагодження всіх механізмів розмежування доступу користувачів до
інформації та апаратних ресурсів АСВТЗІ на ту кількість, яка визначена відповідними
списками;
 визначити порядок контролю за діями користувачів;
 визначити порядок контролю цілісності програмного забезпечення та баз даних
захисту в АСВТЗІ;
 визначити порядок навчання і підвищення кваліфікації персоналу, який має
доступ до АСВТЗІ;
 визначити заходи із перевірки кваліфікації користувачів та адміністраторів
безпеки АСВТЗІ.
3.10 Порядок проведення експертизи КСЗІ в АС 2
Експертиза КСЗІ в АСВТЗІ проводиться фірмою-ліцензіатом яка має відповідну

ліцензію на виконання вказаних робіт від Адміністрації Державної служби спеціального
зв’язку та технічного захисту інформації України.
Після проведеної експертизи на КСЗІ в АСВТЗІ відповідним чином видається Атестат
відповідності КСЗІ.
ДОДАТОК Ж
________________ О.С. Коваль
ПАСПОРТ-ФОРМУЛЯР
НА АВТОМАТИЗОВАНУ СИСТЕМУ 2 КЛАСУ ВІДДІЛУ ТЕХНІЧНОГО ЗАХИСТУ
ІНФОРМАЦІЇ ПАТ «КРЕДОКОМБАНК»
Київ–2016
1.1. Паспорт-формуляр (далі - Паспорт) на автоматизовану систему класу 2 відділу

технічного захисту інформації ПАТ «Кредокомбанк».
1.2. Безпосередня відповідальність за ведення Паспорту покладається на керівника
СЗІ в АСВТЗІ.
Заповнювати та вносити зміни до Паспорта мають право тільки представники СЗІ на
підставі звітних документів.
2. Загальні відомості про ОІД, на якому знаходиться АСВТЗІ
2.1. ОІД – приміщення № 1 ПАТ «Кредокомбанк» розташовано на 1-му поверсі

корпусу № 2 ПАТ «Кредокомбанк» адресою: м.Київ, . Київ, вул. Гарманта, 50.
2.2. Характеристика приміщення, у якому розташовано ОІД:
зовнішні стіни – цегельні, товщина яких становить 500 мм;
внутрішні стіни – цегельні, товщина яких становить 450 мм;
підлога – залізобетонні плити, вкрита лінолеумом;
стеля – залізобетонні плити;
кількість вікон – два;
кількість вхідних дверей – одні;
вікно – пластикове з однокамерним склопакетом;
двері – дерев’яні, оббиті залізними листами, обладнані замковими пристроями
та датчиками охоронної сигналізації.
2.3. Згідно з «Актом визначення вищого ступеню обмеження доступу інформації, яка
циркулюватиме на об’єкті інформаційної діяльності – приміщення № 1 відділу технічного
захисту інформації ПАТ «Кредокомбанк» від 08.03.15 на ОІД здійснюються такі види
інформаційної діяльності:
2.3.1. Обробка (перетворення, відображення, накопичення, друк) інформації з
обмеженим доступом за допомогою АСВТЗІ з вищим грифом обмеження доступу «цілком
конфіденційно».
2.3.2. Робота з паперовими документами, що містять інформацію з вищим грифом
обмеження доступу «конфіденційно»
2.4. ОІД обладнано такими системами життєзабезпечення:
 система міського телефонного зв’язку;
 система охоронної сигналізації; система пожежної сигналізації;
 система електроживлення;
 система опалення;
 система заземлення.
Лінія міського телефонного зв’язку прокладена по стінах неекранованими проводами і
має вихід за межі контрольованої зони ПАТ «Кредокомбанк» до приміщення АТЗ ПАТ
«Кредокомбанк» де вона підходить до АТЗ.
Лінія пожежної сигналізації прокладена постелі та стінах неекранованими проводами
до пульта пожежної сигналізації, який встановлено в службовому приміщенні охорони на
контрольно-пропускному пункті ПАТ «Кредокомбанк».
Лінія охоронної сигналізації прокладена по стінах неекранованими проводами до
пульта охоронної сигналізації, який встановлено в службовому приміщенні охорони на
контрольно-пропускному пункті ПАТ «Кредокомбанк».
Труби системи опалення встановлено під підвіконням та підводяться до внутрішньої
котельні ПАТ «Кредокомбанк».
Кабель системи заземлення підключено до електричних розеток та виведено до
контуру заземлення, який знаходиться в межах контрольованої зони ПАТ «Кредокомбанк».
Лінії електроживлення прокладено в стінах неекранованими мідними проводами та
виводяться до електричного розподільчого щита, який знаходиться в межах контрольованої
зони ПАТ «Кредокомбанк». Від розподільчого щита кабель електроживлення прокладено до
трансформаторної підстанції, яка знаходиться в межах контрольованої зони ПАТ
2.5. Схема розміщення ОІД в корпусі № 2 ПАТ «Кредокомбанк» та відносно межі
контрольованої зони ПАТ «Кредокомбанк» наведено в додатку Б.
2.6 Охорона корпусу № 2 та території ПАТ «Кредокомбанк» в цілому здійснює
відомча охорона відповідно розпоряджень та інструкцій ПАТ «Кредокомбанк».
2.7. Схема розміщення меблів інтер’єру, засобів технічного захисту, основних та
допоміжних технічних засобів, на ОІД, наведено в додатку Б.
3. Призначення комплексної системи захисту інформації в АСВТЗІ:

КСЗІ в АСВТЗІ призначена для:
 розмежування доступу користувачів АСВТЗІ до інформації різних категорій
конфіденційності;
 забезпечення спостереженості інформації шляхом контролю за діями
 захисту ІзОД від витоку її технічними каналами.
4. Відомості про закріплення АСВТЗІ під час експлуатації
Прізвище особи, Номер і дата наказу Підпис

Посада відповідальної за про про відповідальної
експлуатацію закріплення відкріплення особи
5. Технічні засоби, засоби технічного захисту

5.1. Основні технічні засоби
Дата і № Дата і №
Найменування
документа, на документа, на
№ та склад Заводський №,
Тип підставі якого підставі якого
з/п технічних інвентарний №
встановлено вилучено
засобів
пристрій пристрій
5.2. Склад програмного забезпечення АСВТЗІ
Дата і підпис посадової особи служби захисту Відмітки про

Найменування і
інформації в АС проведення
№ версія
перевірки
з/п програмного
про встановлення про вилучення програмного
продукту
5.3. Допоміжні технічні засоби
№ допоміжних Заводський
Тип Примітки
з/п технічних (інвентарний) №
засобів
5.4. Засоби технічного захисту інформації
Дата і № Дата і №
Заводський документа, на документа, на
№ та склад
Тип (інвентарний) підставі якого підставі якого
з/п технічних
№ встановлено вилучено
засобів
пристрій пристрій
6. Відповідальні за ОІД
№ наказу, дата
Посада Прізвище, ім’я, по батькові
про призначення про звільнення
7. Реєстрація проведених робіт (технічне обслуговування, модернізація, ремонт

тощо основних, допоміжних технічних засобів та засобів захисту)
Підстава Прізвище та
Дата проведення для ініціали особи,
технічного засобу та вид Підпис
робіт проведенн яка виконувала
проведених робіт
я робіт роботи
8. Відмітки про проведення перевірки складу програмного забезпечення АСВТЗІ
Посада, прізвище та ініціали

Дата
Результат перевірки особи, яка здійснювала Підпис
перевірки
перевірку
9. Періодичні, контрольні, інспекційні та інші перевірки стану комплексної

системи захисту інформації
Відмітки про
Дата, № Акту
Дата Вид перевірки Результати перевірки усунення
перевірки
недоліків
10. Картка-замісник пакета документів на КСЗІ в АСВТЗІ
Номер справи, у
№ Номер та дата
Найменування документа якій зберігається Примітка
з/п документа
документ
11. Особливі примітки

________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
ДОДАТОК З
________________ О.С. Коваль
«12» квітня 2016 року
ПОЛОЖЕННЯ ПРО СЛУЖБУ ЗАХИСТУ ІНФОРМАЦІЇ

В АВТОМАТИЗОВАНІЙ СИСТЕМІ КЛАСУ 2
ВІДДІЛУ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ ПАТ «КРЕДОКОМБАНК»
Київ–2016
1.1. Автоматизована система класу 2 розташована на об’єкті інформаційної діяльності

– приміщення № 1 відділу технічного захисту інформації ПАТ «Кредокомбанк» (далі –
АСВТЗІ).
Служба захисту в АСВТЗІ (далі – Служба) є позаштатним підрозділом ПАТ
«Кредокомбанк» і створюється з метою організаційного забезпечення завдань керування
комплексною системою захисту інформації (далі - КСЗІ) в АСВТЗІ та здійснення контролю
за її функціонуванням.
1.2. Одним із основних завдань Служби є забезпечення належного функціонування
КСЗІ в АСВТЗІ. На Службу покладається виконання робіт із визначення вимог із захисту
інформації в АСВТЗІ, проектування, розробки й модернізації КСЗІ, а також з експлуатації та
підтримки працездатності КСЗІ, контролю за станом захищеності інформації в АСВТЗІ.
1.3. Це положення є нормативним документом АСВТЗІ і визначає завдання, функції,
структуру Служби, обов’язки, права та відповідальність працівників Служби, взаємодію з
іншими підрозділами ПАТ «Кредокомбанк.
1.4. Правову основу для створення й діяльності Служби становлять:
 Закон України «Про захист інформації в інформаційно-телекомунікаційних
системах»,
 Положення про технічний захист інформації в Україні,
 Положення про забезпечення режиму секретності під час обробки інформації,
що становить державну таємницю, в автоматизованих системах,
 інші нормативно-правові документи з питань захисту інформації.
Свою діяльність Служба проводить згідно із затвердженим директором ПАТ
«Кредокомбанк» «Планом захисту інформації в АСВТЗІ» та іншими планами робіт.
У своїй роботі Служба взаємодіє з іншими підрозділами ПАТ «Кредокомбанк»,
діяльність яких пов’язана або впливає на технологію обробки інформації в АСВТЗІ.
У разі потреби до виконання робіт можуть залучатися зовнішні організації, які мають
ліцензії на відповідний вид діяльності у сфері захисту інформації. Істотні зміни до цього
Положення вносяться наказом директора ПАТ «Кредокомбанк».
2. Завдання Служби
Основними завданнями Служби є:

 участь у дослідженні технології обробки інформації в АСВТЗІ з метою
виявлення можливих каналів витоку інформації та інших загроз безпеці інформації,
формування моделі загроз, розробка політики безпеки інформації, визначення заходів,
спрямованих на її реалізацію;
 організація та координація робіт, пов’язаних із захистом інформації в АСВТЗІ,
необхідність захисту якої визначається чинним законодавством, підтримка необхідного рівня
захищеності інформації, ресурсів і технологій;
 організація робіт із створення, впровадження, технічного обслуговування та
використання КСЗІ на всіх етапах життєвого циклу АСВТЗІ;
 організація заходів з оперативного реагування на непередбачені ситуації (в
тому числі надзвичайні та аварійні) та поновлення функціонування АСВТЗІ;
 участь у розробці нормативних, розпорядчих, організаційно-технічних та
інших документів, згідно з якими повинен забезпечуватися захист інформації в АСВТЗІ;
 участь в організації навчання користувачів АСВТЗІ із питань захисту
інформації під час роботи в АСВТЗІ;
 формування у користувачів АСВТЗІ розуміння необхідності виконання вимог
нормативно-правових актів, нормативних і розпорядчих документів, що стосуються захисту
інформації в АСВТЗІ;
 організація проведення контрольних перевірок виконання користувачами
вимог нормативних і розпорядчих документів із питань захисту інформації в АСВТЗІ.
3. Функції Служби
3.1. Функції Служби на етапі створення КСЗІ

Під час створення КСЗІ Служба виконує такі функції:
 визначення переліків відомостей, які підлягають захисту під час їх обробки в
АСВТЗІ, та визначення об’єктів захисту в АСВТЗІ;
 класифікація інформації за режимом доступу та правовим режимом,
визначення необхідних рівнів захищеності інформації;
 визначення порядку введення (виведення) та використання інформації в
АСВТЗІ;
 участь у розробці моделі загроз, політики безпеки інформації в АСВТЗІ;
 формування вимог до КСЗІ, участь у проектних роботах під час створення
КСЗІ;
 участь у випробуваннях КСЗІ, проведенні її експертизи на відповідність
вимогам нормативних документів із питань захисту інформації, введенні АСВТЗІ в
експлуатацію;
 участь у розробці нормативних, розпорядчих, організаційно-технічних та
інших документів, чинних у межах АСВТЗІ, які встановлюють правила доступу користувачів
до ресурсів АСВТЗІ, визначають порядок, норми, правила щодо захисту інформації та
здійснення контролю за їх дотриманням.
3.2. Функції Служби на етапі експлуатації комплексної системи захисту

Під час експлуатації КСЗІ Служба виконує такі функції:
 керування роботою АСВТЗІ;
 ведення бази даних захисту;
 настройка системи;
 створення баз документів;
 керування доступом до документів;
 зміна, у разі необхідності, власника баз документів;
 архівація баз документів, та даних захисту;
 настройка апаратного забезпечення;
 контроль за функціонуванням КСЗІ та її компонентів, щоденний аналіз звітів
про небезпечні події з метою виявлення критичних подій;
 проводить розслідування випадків порушення політики безпеки, небезпечних
та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження
банку даних таких подій;
 забезпечення наявності актуальних копій програмних засобів КСЗІ, даних
захисту та баз документів;
 організація та проведення заходів оперативного відновлення функціонування
КСЗІ після збоїв, відмов, аварій АСВТЗІ;
 вжиття заходів у разі виявлення спроб несанкціонованого доступу до
інформації в АСВТЗІ, порушення правил експлуатації засобів захисту та інших порушень;
 здійснює контроль за доступом користувачів та обслуговуючого персоналу
АСВТЗІ до інформації щодо ключових дисків та паролів користувачів, їх повноважень та
прав доступу до об’єктів захисту, встановлених робочих параметрів окремих механізмів або
засобів захисту, іншої інформації баз даних захисту, інформації журналів реєстрації дій
користувачів, тощо;
 здійснює керування ролями (привілеями) користувачів АСВТЗІ;
 здійснює контроль за зміною статусу користувачів АСВТЗІ, які мають
відношення до програмних засобів та до інформаційних ресурсів АСВТЗІ;
 швидке реагування на вихід засобів захисту з ладу або порушення режимів
функціонування АСВТЗІ;
 здійснює спостереження (реєстрація і моніторинг подій в АСВТЗІ) за
функціонуванням КСЗІ та її компонентів;
 організація та координація, у разі необхідності, ремонтних робіт технічних
засобів з урахуванням вимог щодо забезпечення захисту інформації з обмеженим доступом;
 участь у роботах із модернізації АСВТЗІ, а саме: узгодження пропозицій щодо
введення до складу АСВТЗІ нових компонентів, нових функціональних задач і режимів
обробки інформації, заміни засобів обробки інформації тощо;
 контроль за виконанням персоналом і користувачами АСВТЗІ вимог щодо
захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі
контроль за забезпеченням режиму секретності у разі обробки в АСВТЗІ інформації, що
становить державну таємницю.
3.3. Функції Служби з організації навчання користувачів з питань забезпечення

захисту інформації
На цьому етапі до основних функцій Служби належать такі:
 розроблення планів навчання та підвищення кваліфікації спеціалістів Служби
та користувачів АСВТЗІ;
 проведення навчання користувачів і персоналу АСВТЗІ правилам роботи з
КСЗІ;
 взаємодія з державними органами, учбовими закладами з питань навчання та
підвищення кваліфікації.
4. Повноваження і відповідальність Служби
4.1. Права Служби
Служба має право:

 здійснювати контроль за діяльністю користувачів АСВТЗІ щодо дотримання
ними вимог нормативних та розпорядчих документів із питань захисту інформації під час
обробки інформації з обмеженим доступом;
 подавати керівництву ПАТ «Кредокомбанк» пропозиції щодо призупинення
процесу обробки інформації, заборони обробки, зміни режимів обробки тощо у випадку
виявлення порушення політики безпеки або та випадку виникнення реальної загрози
порушення безпеки;
 складати й подавати керівництву ПАТ «Кредокомбанк» акти щодо виявлених
порушень політики безпеки, готувати рекомендації щодо їх усунення;
 проводити службові розслідування у випадках виявлення порушень;
 готувати пропозиції щодо залучення на договірній основі до виконання робіт із
захисту інформації інших організацій, які мають ліцензію на відповідний вид діяльності;
 узгоджувати умови включення до складу АСВТЗІ нових компонентів та
подавати керівництву ПАТ «Кредокомбанк» пропозиції щодо заборони їх включення, якщо
вони порушують прийняту політику безпеки або рівень захищеності ресурсів АСВТЗІ;
 готувати пропозиції щодо забезпечення АСВТЗІ або КСЗІ необхідними
технічними та програмними засобами захисту інформації та іншою спеціальною технікою,
які дозволені для використання в Україні з метою захисту інформації;
 виходити до керівництва ПАТ «Кредокомбанк» з пропозиціями щодо подання
заяв до відповідних державних органів на проведення державної експертизи КСЗІ.
4.2. Обов’язки Служби
Служба зобов’язана:
1. відстежувати всі зміни у нормативно-законодавчій базі з питань захисту
інформації, перевіряти відповідність прийнятих в АСВТЗІ правил обробки інформації чинній
нормативно-законодавчій базі з питань захисту інформації;
2. забезпечувати та якісне виконання організаційно-технічних заходів щодо
захисту інформації в АСВТЗІ, проводити експлуатацію КСЗІ відповідно до експлуатаційних
документів;
3. здійснювати контрольні перевірки стану захищеності інформації в АСВТЗІ,
сприяти і, у разі необхідності, брати безпосередню участь у проведенні вищими органами
перевірок стану захищеності інформації в АСВТЗІ;
4. заповнювати облікові картки користувачів згідно з рішенням керівництва ПАТ
«Кредокомбанк» , щодо включення (вилучення) працівників ПАТ «Кредокомбанк» до
переліку користувачів АСВТЗІ та надання їм повноважень згідно зі службовою
необхідністю;
5. вчасно і в повному обсязі доводити до користувачів і персоналу АСВТЗІ
інформацію про зміни їх повноважень щодо доступу до інформації та зміни у нормативно-
законодавчій базі з питань захисту інформації у частині, що їх стосується;
6. формувати в базі даних захисту АСВТЗІ дані щодо повноважень користувачів
згідно з відповідними обліковими картками;
7. забезпечувати схоронність інформації з обмеженим доступом у разі
виникнення надзвичайних ситуацій;
8. негайно повідомляти керівництво про виявлені спроби несанкціонованого
доступу та викриття порушників;
9. забезпечувати конфіденційність робіт щодо монтажу, експлуатації та
технічного обслуговування встановлених засобів захисту інформації.
4.3. Відповідальність Служби

Керівництво та співробітники Служби за невиконання або неналежне виконання
службових обов’язків, допущені ними порушення встановленого порядку захисту інформації в
АСВТЗІ несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну
відповідальність згідно з законодавством України.
Відповідальність за діяльність Служби покладається на її керівника.
Керівник Служби несе відповідальність за:
 організацію робіт із захисту інформації в АСВТЗІ відповідно до чинних
нормативно-законодавчих документів;
 своєчасне розроблення й виконання «Плану захисту інформації»;
 якісне виконання співробітниками Служби завдань, функцій та обов’язків,
зазначених у цьому Положенні та планових заходів із захисту інформації в АСВТЗІ
затверджених керівництвом ПАТ «Кредокомбанк»;
 координацію діяльності підрозділів ПАТ «Кредокомбанк», які забезпечують
функціонування АСВТЗІ;
 виконання особисто з співробітниками Служби розпоряджень керівництва ПАТ
«Кредокомбанк», правил внутрішнього розпорядку, встановлених правил об’єктового та
пропускного режиму, охорони праці та протипожежної безпеки;
 здійснення експлуатації КСЗІ відповідно до її експлуатаційних документів;
 правильне оформлення та ведення службової документації КСЗІ;
 навчання користувачів АСВТЗІ із питань захисту інформації.
 Співробітники Служби (адміністратор безпеки, системний адміністратор)
відповідає за:
 додержання вимог нормативних документів, що визначають порядок
організації робіт з захисту інформації, інформаційних ресурсів та технологій в АСВТЗІ;
 повноту та якість розроблення і впровадження організаційно-технічних заходів
із захисту інформації в АСВТЗІ, точність та достовірність отриманих результатів і висновків
з питань, що належать до компетенції Служби;
 якість та правомірність документального оформлення результатів робіт
окремих етапів створення КСЗІ, документального оформлення результатів перевірок.
5. Взаємодія Служби з іншими підрозділами та сторонніми організаціями
Служба взаємодіє з організаціями, державними органами і установами, які

займаються питаннями захисту інформації.
Служба взаємодіє з керівниками підрозділів ПАТ «Кредокомбанк», працівники яких
приймають участь у роботі АСВТЗІ.
Керівниками структурних підрозділів ПАТ «Кредокомбанк» визначається перелік
користувачів та їх повноважень в АСВТЗІ відповідно до службової необхідності. На кожного
користувача заповнюється облікова картка користувача, яка погоджується з спеціальним
відділом. На підставі облікової картки адміністратор безпеки вносить дані про користувача
до АСВТЗІ.
Служба взаємодіє з спеціальним відділом, який забезпечує дотримання режиму вимог
режиму під час роботи з інформацією, яка є власністю ПАТ «Кредокомбанк».
Служба взаємодіє із зовнішніми організаціями та погоджує їх дії у частині, що
стосується комплексного захисту інформації в АСВТЗІ.
Роботи щодо проведення заходів із ТЗІ доручаються зовнішнім організаціям за
наявності ліцензій та дозволів на проведення відповідних видів робіт.
Служба взаємодіє з підрозділами ПАТ «Кредокомбанк» або сторонніми
організаціями, яким доручено роботи щодо супроводження загального й функціонального
програмного забезпечення та обслуговування технічних засобів.
6. Склад Служби
Служба захисту є позаштатним підрозділом ПАТ «Кредокомбанк».

Особовий склад та чисельність Служби визначається наказом директора ПАТ
Чисельність Служби повинна бути достатньою для виконання усіх завдань із захисту
інформації в АСВТЗІ.
Штат Служби комплектується спеціалістами, які мають технічну освіту (вищу,
середню спеціальну, спеціальні курси підвищення кваліфікації у галузі ТЗІ тощо), досвід
роботи на ПЕОМ із стандартними програмними засобами та вміння застосовувати
нормативно-правові документи з питань захисту інформації.
Включення до штату Служби позаштатних або тимчасових працівників
забороняється.
До складу Служби входять:
 начальник Служби;
 системний адміністратор;
 адміністратор документів.
Функції адміністратора безпеки, системного адміністратора, адміністратора
документів може виконувати одна особа.
На час відсутності керівника Служби (у зв’язку з відпусткою, службовими
відрядженнями, хворобою тощо) його обов’язки тимчасово виконує адміністратор безпеки.
Начальник відділу технічного захисту

інформації ПАТ «Кредокомбанк» С.Ю.Ковтун
ДОДАТОК И
________________ О.С. Коваль
Інструкція
користувачу щодо порядку обробки інформації з обмеженим доступом в
Інструкція користувача (далі – Інструкція) встановлює порядок обробки інформації з

обмеженим доступом (далі – ІзОД) в автоматизованій системі відділу технічного захисту
інформації ПАТ «Кредокомбанк»(далі – АСВТЗІ).
Ця Інструкція є невід’ємною складовою комплексної системи захисту інформації (далі
– КСЗІ) в АСВТЗІ.
2. Порядок допуску осіб для проведення робіт в АСВТЗІ
До роботи з обробки ІзОД в АСВТЗІ допускаються особи (користувачі), які включені

до списку осіб, що допущені для проведення робіт з ІзОД в АСВТЗІ, затвердженого
директором ПАТ «Кредокомбанк» та бути зареєстрованими в АСВТЗІ як користувач.
Користувачі повинні вміти працювати на АСВТЗІ та знати вимоги експлуатаційної
документації на КСЗІ в частині що їх стосується.
3. Організаційні вимоги до користувача щодо обробки ІзОД за допомогою

АСВТЗІ
Для входу до системи кожний користувач отримує від адміністратора безпеки ім’я,
пароль та один або два ключові диски.
Ім’я користувача не залежить від регістра і визначається адміністратором безпеки за
правилами, прийнятими у Windows:
 може містити до 20 символів за винятком таких:
"/\[]:;|=,+*?<>
 не може містити лиш крапки та пропуски.
Пароль для першого входу до системи визначається адміністратором безпеки. Під час
першого входу система пропонує користувачеві змінити пароль. Таким чином, пароль
користувача знатиме тільки він сам. Користувач повинен своєчасно (орієнтовно – раз на два
тижні) змінювати пароль.
Пароль має задовольняти таким обмеженням:
а) містити не менше 6 символів;
б) містити символи хоча б із трьох наборів із наведених чотирьох:
прописні літери латинського, російського та українського алфавітів: A,B,C…,Z, А, Б,
…Я;
строкові літери латинського, російського та українського алфавітів: a,b,c,d,…,z, а, б,…
я;
цифри: 0,1,2,3,…,9;
спеціальні символи: ~ ` ! @ # $ % ^ & * ( ) _ - + = | \ { } [ ] : ; » ’ < > , . ?
в) не містити в собі ім’я користувача чи частину його повного імені;
г) новий пароль повинен відрізнятись від двох попередніх паролів користувача.
Коли наближається термін зміни пароля, при реєстрації користувач отримує

повідомлення про це. Якщо пароль не буде змінений вчасно, система змусить користувача
зробити це під час чергового входу до системи.
Пароль не можна нікому сповіщати та записувати в місцях, доступних іншим
користувачам. Під час набору пароля на клавіатурі необхідно стежити, щоб інші користувачі
не спостерігали за цим процесом і таким чином не дізналися пароль.
В якості ключових дисків можуть використовуватись модулі пам’яті USB Flash або
дискети.
Користувач може мати один або два ключові диски, які є «рівноправними».
Ключовий диск ініціалізується адміністратором безпеки.
4. Порядок роботи користувача в системі

4.1 Дії користувача перед початком обробки ІзОД в АСВТЗІ
Користувач перед початком обробки ІзОД в АСВТЗІ повинен:

 отримати в спеціальному відділі необхідні для роботи та закріплені за
користувачем матеріальні носії інформації (дискети, аркуші паперу, ключовий диск тощо);
 видалити з ОІД осіб, які не мають допуску до ІзОД, яка буде циркулювати в
АСВТЗІ;
 ввімкнути АСВТЗІ;
 увійти в систему АСВТЗІ для чого після відповідного запрошення натиснути
клавіші, дно ввести своє ім’я та пароль, встановити ключовий диск та натиснути кнопку OK.
Після успішного входу до системи ключовий диск можна вилучити з дисковода (порту USB).
У випадку, коли пароль тричі вводиться невірно, обліковий запис користувача
блокується. Враховуються також невдалі спроби введення пароля під час розблокування
комп’ютера та зміни пароля. Розблокувати заблокований обліковий запис може тільки
адміністратор безпеки.
У разі використання для обробки ІзОД змінних носіїв інформації (дискет) обов’язково
перевірити їх за допомогою антивірусного програмного забезпечення на предмет наявності
на них вірусів та при виявленні вірусу провести її «лікування». Про факт виявлення вірусів
повідомити адміністратора безпеки АСВТЗІ.
4.2 Дії користувача під час обробки ІзОД в АСВТЗІ

4.2.1 Під час обробки ІзОД в АСВТЗІ користувач повинен:
 для обробки ІзОД в АСВТЗІ використовувати тільки зареєстровані матеріальні
носії інформації;
 зберігати ІзОД, що обробляється, тільки на закріплених відповідним чином за
користувачем гнучких магнітних дисках або в захищених базах документів на жорсткому
диску;
 друкуТОВи підготовлений документ, який містить ІзОД, тільки на ОІД;
 при виникненні відмов та збоїв в роботі програмного забезпечення та
компонентів АСВТЗІ припинити обробку ІзОД та негайно повідомити про це начальника
служби захисту інформації в АСВТЗІ;
 у разі необхідності залишити комп’ютер на короткий час, або появи в
приміщенні осіб, які не мають доступу до ІзОД, яка обробляється в АСВТЗІ, негайно
припинити обробку ІзОД та впровадити необхідні заходи щодо унеможливлення доступу
(ознайомлення) до ІзОД цих осіб, для цього слід натиснути клавіші Ctrl+Alt+Delete і у вікні,
що з’явиться на екрані – кнопку Блокування.
Після цього доступ до комп’ютера буде заблокований і робота на ньому стане
неможливою до зняття блокування.
Для того щоб зняти блокування необхідно натиснути клавіші Ctrl+Alt+Delete, а потім
ввести своє ім’я та пароль, встановити ключовий диск та натиснути кнопку OK. Після
розблокування комп’ютера ключовий диск можна вилучити з дисковода (порту USB).
4.2.2 При виникненні ситуацій щодо порушення нормальних умов функціонування
АСВТЗІ, спричинених аварією систем життєзабезпечення, катастрофою, стихійним лихом чи
іншою небезпечною подією, які можуть призвести до втрати ІзОД, користувач повинен:
 повідомити про вказані ситуації представника Служби захисту інформації в
АСВТЗІ;
 за можливості коректно завершити роботу в системі АСВТЗІ;
 відключити АСВТЗІ від системи електроживлення;
 здати в спеціальний відділ магнітні носії, друковані документи тощо, із якими
він працював;
 прийняти (за необхідності) активну участь в евакуації компонентів АСВТЗІ або
секретних носіїв інформації з приміщення.
4.2.3 Під час роботи в системі можуть з’явитися наступні повідомлення:

- Повідомлення про неможливість роботи із програмою
Під час запуску програми користувач може отримати повідомлення про неможливість
роботи в системі. У такому випадку для з’ясування ситуації необхідно звернутись до
адміністратора безпеки.
- Повідомлення про відмову в доступі
Під час роботи з документами та базами документів користувач може отримати
повідомлення про відмову в доступі до того чи іншого об’єкта.
У таких випадках для з’ясування ситуації необхідно звернутись до власника бази
документів або до адміністратора документів.
- Повідомлення про необхідність закінчити роботу
Під час роботи користувач може отримати повідомлення про необхідність закінчити
роботу в системі.Для того щоб не втратити дані, необхідно закінчити роботу у вказаний у
повідомленні час.
4.2.4 Для імпорту та експорту документів необхідна участь адміністратора безпеки.
При необхідності імпортувати документ із заблокованого диска (наприклад, дискети)
адміністратор безпеки копіює цей документ в папку для імпорту, користувач імпортує
документ в систему та видаляє його з папки для імпорту за допомогою утиліти
безповоротного видалення.
При необхідності експортувати документ на заблокований диск (наприклад, дискету)
користувач експортує цей документ в папку для експорту, адміністратор копіює його на цей
заблокований диск, після чого користувач видаляє його з папки для експорту за допомогою
утиліти безповоротного видалення.
4.3 Дії користувача по закінченню обробки ІзОД в АСВТЗІ
По закінченню обробки ІзОД в АСВТЗІ користувач повинен:
 зберегти документ (електронну версію) на носій інформації (за необхідності);
 завершити роботу на АСВТЗІ, для чого необхідно закінчити роботу всіх
програм і натиснути клавіші Ctrl+Alt+Delete. Після цього на екрані з’являється вікно, у
якому необхідно обрати спосіб завершення роботи (завершення сеансу, завершення роботи
та перезавантаження).
 переконатися у відсутності на робочому місці носіїв ІзОД (дискети, ключові
диски, будь яких записів на чернетках тощо);
 здати зареєстровані та закріплені за користувачем носії інформації до
спеціального відділу;
 здати до спеціального відділу відпрацьовані проекти документів на реєстрацію
та зіпсовані аркуші (чернетки, тощо) на знищення.
 4.4 Користувачу забороняється:
 використовувати на ОІД будь-які технічні пристрої, які незадіяні для обробки
ІзОД, в тому числі мобільні телефони;
 виконувати будь які дії в АСВТЗІ результатами яких може бути відмова в
роботі АСВТЗІ або будь яких її компонентів (наприклад спроби самостійного встановлення
або видалення програмного забезпечення);
 підключати до АСВТЗІ будь які нештатні блоки та пристрої;
 самовільно змінювати схему підключення блоків АСВТЗІ та розміщення
технічних засобів, меблів, предметів інтер’єру в приміщенні;
 набирати текст документу, який містить ІзОД, під диктовку, або озвучувати
його зміст;
 використовувати інфіковані комп’ютерними вірусами носії інформації;
 занижувати або завищувати гриф обмеження доступу документам, які містять
ІзОД;
 працювати з документами, які містять ІзОД, або відпрацьовуати їх в АСВТЗІ
при невиконанні на об’єкті інформаційної діяльності всіх передбачених організаційних,
організаційно-технічних та технічних заходів захисту ІзОД;
 вносити в приміщення будь-які предмети, технічні засоби тощо;
 вносити зміни в підключенні компонентів АСВТЗІ до системи
електроживлення та заземлення;
 копіювати ІзОД на незареєстровані носії інформації;
 самовільно передавати зареєстровані носії інформації та ключові диски будь-
яким особам;
 використовувати зареєстровані носії інформації на автоматизованих системах
не призначених для обробки ІзОД;
 розголошувати зміст інформації, яка зберігається на носіях інформації;
 надавати доступ до АСВТЗІ будь яким особам під своїм реєстраційним ім’ям та
паролем.
5. Відповідальність користувача
Користувач несе персональну відповідальність за:
 конфіденційність та цілісність інформації, яку він відпрацьовує в АСВТЗІ;
 невиконання вимог цієї Інструкції;
 надання доступу до ресурсів АСВТЗІ іншим особам під своїм персональним
ім’ям та паролем;
 розголошення свого персонального імені та паролю;
 невиконання встановлених вимог щодо забезпечення безпеки ІзОД під час
обробки ІзОД в АСВТЗІ.
Начальник відділу
технічного захисту інформації
ПАТ «Кредокомбанк» С.Ю.Ковтун
ДОДАТОК К
________________ О.С. Коваль
з режимних заходів щодо захисту інформації під час її обробки в автоматизованій
системі класу 2 відділу технічного захисту інформації ПАТ «Кредокомбанк»
Ця Інструкція визначає основи організації та порядок забезпечення режиму
конфіденційності під час обробки користувачами ІзОД за допомогою АСВТЗІ.
Виконання вимог цієї Інструкції покладається на начальника спеціального відділу та
користувачів АСВТЗІ.
2. Загальні вимоги до організації обробки конфіденційної інформації в АСВТЗІ

Відповідальність за забезпечення режиму конфіденційності в АСВТЗІ, своєчасне
впровадження необхідних заходів щодо цього покладається на:
 начальника спеціального відділу;
 користувачів АСВТЗІ;
 службу захисту інформації в АС.
Виконання робіт, пов’язаних з ІзОД, в АСВТЗІ дозволяється особам, які включені до
списку зареєстованих користувачів АСВТЗІ.
ІзОД у процесі обробки в АСВТЗІ не повинна підлягати неконтрольованому та
несанкціонованому ознайомленню, розмноженню, розповсюдженню, копіюванню,
відновленню тощо.
Виконання робіт з ІзОД можуть здійснювати користувачі лише за умови службової
необхідності.
ІзОД під час обробки в АСВТЗІ повинна мати атрибути з визначенням встановленого
грифу обмеження доступу.
Матеріальні носії інформації, на які зберігається ІзОД, повинні мати встановлені
реквізити спеціального відділу.
Спроби користувачами порушення встановленого порядку доступу до ІзОД в АСВТЗІ
підлягають реєстрації.
Обробка ІзОД в АСВТЗІ дозволяється після завершення робіт зі створення КСЗІ
АСВТЗІ, проведення державної експертизи та отримання Атестату відповідності.
3. Дії начальника спеціального відділу щодо забезпечення режиму

конфіденційності
Начальник спеціального відділу повинен допускати до роботи на АСВТЗІ тільки тих
користувачів, які віддані відповідним наказом та включені до затвердженого списку осіб, які
допущені для проведення робіт з ІзОД в АСВТЗІ.
Начальник спеціального відділу повинен:
 проводити інструктаж користувачів АСВТЗІ щодо порядку обробки ІзОД за
допомогою АСВТЗІ та забезпечення режиму конфіденційності;
 контролювати порядок обробки користувачами ІзОД за допомогою АСВТЗІ та
відповідність їх дій вимогам Інструкції користувачу АСВТЗІ;
 контролювати щоб друк документів з ІзОД здійснювався тільки за допомогою
друкуючого пристрою, що входить до складу АСВТЗІ;
 припиняти циркуляцію ІзОД в АСВТЗІ у разі:
 необхідності допуску на ОІД осіб, які не мають доступу до ІзОД, що циркулює
в АСВТЗІ (прибирання приміщення, ремонтні роботи тощо);
 виходу з ладу пристроїв технічного захисту ІзОД;
 невідповідній роботі програмного забезпечення;
 виходу з ладу апаратних компонентів АСВТЗІ;
 невиконання (порушення) користувачами вимог Інструкцій користувачу
АСВТЗІ.
4. Дії користувача щодо забезпечення режиму конфіденційності

Користувач повинен:
 суворо дотримуватись встановленого режиму доступу ІзОД в АСВТЗІ. Про всі
факти й спроби несанкціонованого доступу, випадки просочення та псування ІзОД негайно
інформувати представників Служби захисту інформації в АСВТЗІ та спеціального відділу;
 здавати для знищення в спеціальний відділ зіпсовані під час роботи носії
інформації (дискети, папір тощо);
 за першою вимогою Служби захисту інформації в АСВТЗІ та працівників
спеціального відділу пред’являти для перевірки всі наявні носії з ІзОД (документи та змінні
диски);
 не розголошувати особам, що не мають відношення до відповідних робіт,
відомості про склад та характеристики системи захисту інформації, характер
автоматизованої обробки ІзОД та зміст документів з ІзОД;
 своєчасно змінювати пароль і нікому його не повідомляти;
 забезпечувати схоронність ключового диска та негайно повідомляти
адміністратора безпеки в АСВТЗІ у випадку втрати цього диска;
 працювати з ІзОД тільки за допомогою призначених для цього прикладних
програм;
 експортувати ІзОД тільки на зареєстровані у секретному відділі змінні диски;
 повідомляти працівників Служби захисту інформації в АСВТЗІ про відмови
АСВТЗІ у наданні доступу до інформації, збійні ситуації під час роботи програмного
забезпечення та відмови в роботі компонентів АСВТЗІ;
 здійснювати збереження інформації тільки на зареєстровані магнітні носії
інформації;
 проводити друкування документів з ІзОД тільки на друкуючих пристроях, які
входять до складу АСВТЗІ;
 у разі виникнення позаштатної роботи АСВТЗІ, відмов або збоїв у роботі
магнітного носія, програмного забезпечення прийняти міри щодо збереження ІзОД та
припинити її обробку, про що негайно повідомити начальника спеціального відділу.
Під час експлуатації АСВТЗІ користувачу та персоналу ЗАБОРОНЕНО:
 залишати на робочих місцях ключові диски та МНІ із ІзОД у разі тимчасової
відсутності;
 повідомляти іншим особам свій пароль та передавати свій ключовий диск;
 проводити ремонтні та інші роботи під час обробки ІзОД без відома керівника
Служби захисту інформації в АСВТЗІ;
 працювати з ІзОД при виявленні ознак виходу з ладу технічних засобів
АСВТЗІ, засобів технічного захисту інформації, зараження програмного забезпечення
АСВТЗІ комп’ютерними вірусами;
 заходити до приміщення, де обробляється секретна інформація, з мобільними
телефонами;
 виконувати будь-які дії з АСВТЗІ, результатами яких може бути відмова в її
роботі або будь-яких її компонентів, пошкодження магнітного носія або знищення
інформації, яка зберігається на ньому, зміни роботи програмного забезпечення тощо;
 самовільно змінювати схему розміщення складових АСВТЗІ та її підключення
до системи електроживлення та заземлення, а також проводити підключення до АСВТЗІ
нештатних блоків (пристроїв, активного та пасивного мережевого обладнання тощо) та
інших засобів, яке не пройшло спецдослідження або заходів спецзахисту;
 вносити будь-які зміни в розміщення технічних засобів, меблів, предметів
інтер’єру на ОІД;
 проводити обговорювання (диктування тощо) ІзОД під час її формування в
АСВТЗІ (у т.ч. за допомогою технічних засобів);
 використовувати інфіковані комп’ютерними вірусами флеш накопичувачі;
 проводити копіювання або необґрунтоване зберігання ІзОД на магнітних
носіях для подальшого її перенесення або друку на іншій АС;
 проводити обробку ІзОД з порушенням передбачених організаційних,
організаційно-технічних та технічних заходів захисту ІзОД (допускати до обробки ІзОД
сторонніх осіб тощо);
 здійснювати збереження інформації на не зареєстрованих у спеціальному
відділі МНІ.
5. Дії користувачів АСВТЗІ та персоналу у випадку виникнення надзвичайних

ситуацій
З метою попередження виникнення надзвичайних ситуацій експлуатація АСВТЗІ
повинна проводитись з дотриманням правил техніки безпеки та протипожежної безпеки.
При виникненні надзвичайних ситуацій носії з ІзОД (змінні диски, друковані
документи тощо) підлягають евакуації. Відповідальними за здійснення заходів щодо цього є
начальник спеціального відділу та керівник Служби захисту інформації в АСВТЗІ.
При виникненні надзвичайної ситуації на ОІД начальник спеціального відділу
зобов’язаний:
 повідомити керівництво ПАТ «Кредокомбанк» про виникнення надзвичайної
ситуації;
 визначити необхідність евакуації носіїв з ІЗОД;
 визначити місце та терміни евакуації носіїв з ІзОД;
 організувати контроль за ходом проведення евакуації та за дотриманням
термінів евакуації.
Служба захисту інформації в АСВТЗІ зобов’язана:
 з метою запобігання надзвичайним ситуаціям проводити контроль дотримання
правил техніки безпеки та протипожежної безпеки під час роботи в АСВТЗІ;
 здійснити аварійне завершення роботи АСВТЗІ;
 забезпечити евакуацію системного блоку або жорсткого магнітного диску
АСВТЗІ;
 разом із начальником спеціального відділу, скласти та представити керівництву
ПАТ «Кредокомбанк» акт про заходи, вжиті для забезпечення схоронності ІзОД під час
виникнення надзвичайної ситуації.
Обов’язки користувачів АСВТЗІ:
 за можливості коректно завершити роботу в системі;
 відключити комп’ютер від електроживлення;
 носії інформації (дискети, друковані документи тощо), із якими працювали,
здати у спеціальний відділ або у місце, визначене для евакуації.
Усі роботи, що пов'язані з поновленням програмного забезпечення, відновленням
системи, а також ремонтні роботи необхідно фіксувати в «Журналі обслуговування
АСВТЗІ».
Налагодження та випробовування програмних засобів АСВТЗІ необхідно проводити із
застосуванням «умовної» інформації.
Ремонт АСВТЗІ повинен здійснюватись з відома Служби захисту інформації в
АСВТЗІ. Розкриття системного блоку здійснюється в присутності працівника спеціального
відділу. Ремонт здійснюють тільки спеціалісти, які мають відповідний дозвіл від керівництва
ПАТ «Кредокомбанк». У разі необхідності проведення ремонту поза межами ПАТ
«Кредокомбанк», необхідно вилучити жорсткий магнітний диск та здати його в спеціальний
відділ.
Після проведення ремонту необхідно провести повторне спецдослідження АСВТЗІ і
тільки після позитивних висновків поновити в ній обробку ІзОД.
6. Друк і облік документів, які містять ІзОД

Друкувати документи з ІзОД дозволяється тільки на принтері, що входить до складу
АСВТЗІ, в якій створена КСЗІ та отримано атестат відповідності.
Кожний надрукований примірник документа повинен мати відповідні реквізити (гриф
обмеження доступу, № примірника, розноску та номер попередньої реєстрації) та
оформлений у відповідності до вимог керівних документів з діловодства ПАТ
«Кредокомбанк» для подальшої реєстрації в спеціальному відділі.
7. Знищення або збереження ІзОД, яка міститься на магнітних носіях

Збереження інформації, яка відноситься до ІзОД здійснюється на зареєстрованих в
спеціальному відділі матеріальних носіях інформації з відповідним грифом обмеження
доступу.
Рішення на знищення інформації, яка відноситься до ІзОД, приймає користувач, за
умови коли користувач є виконавцем (власником) даного файлу. Критерієм для знищення
ІзОД може бути відсутність потреби у даному файлі (його друк, втратив чинність тощо) або
рішення безпосереднього начальника.
Рішення щодо збереження або знищення ІзОД (електронних проектів документів),
втрата якої може призвести до збитків або іншим не передбачувальним наслідкам приймає
тільки безпосередній начальник користувача.
8. Облік магнітного носія інформації
На магнітному носії з ІзОД позначається гриф обмеження доступу, реєстраційний
номер, підрозділ, що буде його використовувати, дату реєстрації, прізвище та ініціали
користувачів, які мають право доступу до інформації, що зберігаються на ньому. Позначення
наносяться на машинні носії секретної інформації таким чином, щоб виключити їх підробку.
9. Відповідальність користувача
Користувач несе персональну відповідальність за:
 конфіденційність та цілісність інформації, яку він відпрацьовує в АСВТЗІ та
зберігає на ГМД або флеш накопичувачах;
 виконання вимог цієї Інструкції;
 виконання встановлених вимог щодо забезпечення безпеки ІзОД та режиму
конфіденційності.
10. Дії начальника спеціального відділу щодо унеможливлення

несанкціонованого проникнення сторонніх осіб в приміщення в якому встановлено
АСВТЗІ
Начальник спеціального відділу повинен:
 допускати в приміщення осіб, які внесено до списків користувачів АСВТЗІ;
 у разі необхідності допуску в приміщення сторонніх осіб (обслуговуючий
приміщення персонал, технічний обслуговуючий персонал, відвідувачів тощо) бути особисто
присутнім з ними;
 по закінченню робочого часу опечатати приміщення та здати його під охорону
відомчій охороні ПАТ «Кредокомбанк».
У разі виявлення випадків несанкціонованого проникнення сторонніх осіб в
приміщення начальник спеціального відділу повинен:
 негайно повідомити про це директора ПАТ «Кредокомбанк» та начальника
служби захисту інформації в АСВТЗІ;
 організовувати службове розслідування стосовно виявленого факту із
залученням представників охорони ПАТ «Кредокомбанк»;
 ініціювати позачергові заходи, щодо проведення пошуку в приміщенні
можливо встановлених засобів технічної розвідки;
 перевірити цілісність контрольних стрічок, якими опломбовано компоненти
АСВЗІ;
 разом з представниками служби захисту інформації вдосконалитися в
цілісності інформації, яка зберігається в АСВТЗІ;
 за необхідністю ініціювати заміні атрибутів доступу користувачів до АСВТЗІ
та інформації, яка зберігається в ній.
Начальник спеціального відділу

ПАТ «Кредокомбанк» Т.М. Сапожнік
ДОДАТОК Л
________________ О.С. Коваль
Інструкція з адміністрування
системи автоматизованої системи класу 2 відділу технічного захисту інформації ПАТ
Ця Інструкція визначає основи адміністрування системи АСВТЗІ.
Виконання вимог цієї Інструкції покладається на адміністратора АСВТЗІ.
2. Інструкція адміністратора
Адміністратор:
1. Керує розробленням планів і графіків оброблення інформації і проведення
обчислювальних робіт у відповідності із замовленнями підрозділів підприємства,
договорами на виконання робіт для сторонніх установ (організацій) і технічних можливостей
обчислювальної (інформаційно-обчислювальної) мережі підприємства.
2. Здійснює вибір основного складу електронно-обчислювального устаткування,
проводить його обґрунтування, визначає форми і методи збору інформації, забезпечує
розроблення і узгодження з відповідними підрозділами підприємства, технологічних схем
оброблення інформації за задачами і технологічними процесами оброблення інформації
засобами обчислювальної техніки.
3. Забезпечує контроль за належним те безпечним використанням комп’ютерів на
підприємстві.
4. Забезпечує оновлення технічної бази та інформаційного обслуговування,
впровадження сучасних методів і засобів оброблення інформації в рамках реалізації єдиної
технології розвитку інформаційно-обчислювальних машин управління виробничою
діяльністю..
5. Проводить вивчення і аналіз ринку інформаційних послуг з метою
забезпечення виробництва і управління підприємством сучасними інформаційними
технологіями.
6. Здійснює керівництво проектуванням структури баз даних і механізмів доступу
до них, розробленням і забезпеченням регламенту роботи з даними системи, вивченням
можливих джерел інформації для забезпечення функціонування інформаційно-аналітичної
системи, плануванням захисту системи у відповідності до концепції забезпечення безпеки.
7. Забезпечує технічне обслуговування обчислювальних, апаратних засобів
локальних обчислювальних мереж і комунікаційного устаткування, супроводження
системного програмного забезпечення обчислювальних засобів, інструментальних і
прикладних програмних засобів.
8. Організовує проведення профілактичних робіт, усунення несправностей, які
виникають у процесі експлуатації засобів обчислювальної техніки.
9. Забезпечує зберігання і обслуговування бібліотеки стандартних програм,
додержання правил зберігання і експлуатації машинних носіїв, їх своєчасну заміну в разі
непридатності.
10. Бере участь в організації і проведенні навчання користувачів прикладних
додатків, проектуванні і розробленні автоматизованої системи безперервного навчання
робітників підприємства.
11. Організовує працю працівників підприємства на комп’ютерах відповідно до
вимог її безпеки і раціональної організації.
12. Постійно підвищує рівень своїх професійних знань.
13. Виконує доручення директора підприємства.
14. Забезпечує контроль за збереженням матеріальних цінностей. - Своєчасно
відповідати на запити користувачів, пов'язані з непрацездатністю ПО або електронного
устаткування.
15. Приймає заходи по запобіганню і ліквідації конфліктних ситуацій. - Розглядає
пропозиції, пов'язані з поліпшенням роботи, проводить необхідні організаційно-технічні
заходи.
16. Інформує керівництво про наявні недоліки або порушення правил поведінки з
інформацією, заходах, що приймаються, по їх ліквідації.
17. Забезпечувати регулярну архівацію даних, що зберігаються на серверах, в т.ч.
зняття копій БД: сюди також відноситься організація робіт по резервному копіюванню
призначених для користувача даних, які по якихось причинах не зберігаються на файл-
серверах.
3. Відповідальність адміністратора
Адміністратор несе персональну відповідальність за:
 конфіденційність та цілісність інформації, яку він відпрацьовує в АСВТЗІ;
 виконання вимог цієї Інструкції;
 виконання встановлених вимог щодо забезпечення безпеки ІзОД та режиму
конфіденційності.
ДОДАТОК М
________________ О.С. Коваль
Інструкція з правил видачі вилучення та зберігання персональних

ідентифікаторів користувачів автоматизованої системи класу 2 відділу технічного
Ця Інструкція визначає правила видачі, вилучення та зберігання песональних
ідентифікаторів користувачів АСВТЗІ.
Виконання вимог цієї Інструкції покладається на адміністратора системи АСВТЗІ.
2. Послідовність настройки механізмів контролю входу

Крок Процедура
Етап: Налаштування параметрів, загальних всім користувачів комп'ютера
1. Вказати ім'я користувача, які з вмовчанням вказуватиметься у діалозі
запиту та пароля перед входом користувачів до системи
2. Поставити інтервал часу, протягом якого користувач, здійснює вхід до
системи, може, розпочати введення своє ім'я замість імені,
запропонованого системою за умовчанням
3. Вказати число спроб, яке відводиться користувачеві для правильного
розпорядження свого імені Ілліча та пароля біля входу до систему
4. Ре6дактування системних файлиCONFIG.SYS іAUTOEXEC.BAT.
5. Визначити вимоги до паролю користувача: мінімальну довжину,
період, протягом якого дійсний поточний пароль, і навіть число старих
паролів, інформацію про яких зберігатиметься системою
Закінчення табл. 1
Крок Процедура
Етап: Налаштування параметрів, індивідуальних кожному за користувача комп'ютера
6. Налаштувати параметри аутентифікації користувача, такі як: «Запит
пароля перед входом», «Постійний пароль» і «>Автоввод пароля біля
входу до мережу»
7. Створити персональні версії системних файлівCONFIG.SYS
іAUTOEXEC.BAT, якщо це потрібно
8. Встановити значення параметра «Заборона роботи за зміні
конфігурації», з допомогою якого дозволити чи заборонити вхід
користувача до системи за зміни конфігурації комп'ютера
3. Управління персональними ідентифікаторами

Персональний ідентифікатор користувача – це апаратне засіб, призначене для
ідентифікації користувача і збереження необхідної службової інформації. У ідентифікаторі
може зберігатися пароль користувача, який зчитується автоматично за умови пред'явлення
ідентифікатора для входу до системи.
Видати ідентифікатор – це, зробити його доступним системі до виконання необхідних
операцій (наприклад, читання чи записи). Залежно від типу пристроїв цю процедуру
виконується по-різному. Ідентификатор TouchMemory слід витратити досчитивателю те щоб
з-поміж них був надійний контакт, а ідентифікаторeToken вставити безпосередньо чи через
подовжувач в розняттяUSB-порта комп'ютера. За виконання цієї процедури можуть бути
помилки, пов'язані, наприклад, з порушенням контакту зсчитивателем чи неправильним
форматом ідентифікатора. В усіх життєвих такі випадки система виведе на екран необхідні
повідомлення, рекомендаціям котрих необхідно слідувати.
Кожному користувачеві можна привласнити кілька ідентифікаторів різного чи однієї
й тієї типу. Не можна привласнити і той ж персональний ідентифікатор кільком
користувачам.
У системі передбачені такі операції з ідентифікаторами:
 ініціалізація вільного ідентифікатора;
 присвоєння ідентифікатора користувачеві чи видалення ідентифікатора з
переліку ідентифікаторів користувача;
 ·апис пароля в ідентифікатор чи видалення пароля з ідентифікатора.
При ініціалізації (форматуванні) ідентифікатора з пам'яті видаляється записана раніше
інформація, і виробляється розмітка носія інформації. Отже, виконується підготовка
ідентифікатора задля її подальшого використання.
Ініціалізувати можна тільки ідентифікатор, який нікому не належить.
ДОДАТОК Н
________________ О.С. Коваль
«5» травня 2016 року
по правилам управління паролями в автоматизованій системі класу 2 відділу
Ця Інструкція визначає правила управління паролями в АС класу 2 відділу ТЗІ ПАТ
"Кредобанк".
Виконання вимог цієї Інструкції покладається на адміністратора системи АСВТЗІ.
2. Управління паролями
2.1. Налаштування параметрів пароля

Налаштування параметрів пароля, загальних всім користувачів комп'ютера, ввозяться
вікні управління загальними параметрами. У діалогах цього вікна можна вказати мінімум
символів в пароль, періодичність зміни паролів користувачів, і навіть визначити вимоги до
унікальності паролів користувачів.
Для настройки параметрів необхідно:
1. Викликати на екран вікно управління загальними параметрами Secret Net.
2. Визначити мінімальну довжину пароля користувача на полі «Мінімальна кількість
символів в пароль». Цей параметр може приймати значення від 0 до 16 («0» означає -
дозволено використання порожніх паролів, тобто. паролів нульової довжини).
3. Визначити на полі «Періодичність зміни пароля (в днях)» період, протягом якого
дійсний поточний пароль користувача. Цей параметр приймає значення від 0 до 365 днів («0»
означає - термін дії пароля необмежений).
4. Визначити на полі «Кількість паролів,що запам’ятовуються системою» число
старих паролів кожного користувача, інформацію про яких зберігатиметься системою. Цей
параметр може приймати значення від 0 до 24 («0» означає, що користувач на зміну пароля
може вказати й у ролі нового будь-який, зокрема свій поточний пароль).
2.2. Правила визначення пароля

При визначенні пароля необхідно дотримуватися такі правила:
1.Пароль може містити лише латинські символи, цифри і службові символи (символи
латинської розкладки клавіатури). Забороняється використовувати символи кирилиці, і
навіть символ «прогалину».
2. Дозволяється використовувати різні регістри клавіатури.
3. Довжина пароля може бути менше встановленої мінімальної довжини не може
перевищувати 16-ти символів.
4. Новий пароль ні збігатися з тими старими паролями користувача, інформацію про
яких зберігається системи захисту.
3. Налаштування індивідуальних параметрів входу
Налаштування параметрів, що використовуються для аутентифікації користувача на
етапі входу до системи, виконується з вікна управління властивостями користувача.
Зміна пароля користувача
Змінити пароль користувача може лише адміністратор безпеки комп'ютера чи
користувач, який має привілеєм на адміністрування:
 «Рівень 1» чи найвище з групи привілеїв «Параметри своєї роботи» – зміни
свого пароля;
 «Рівень 3» із групи привілеїв «Параметри роботи інших користувачів» – зміни
паролів інших користувачів комп'ютера.
ДОДАТОК П
ПАТ Комерційний банк «Кредокомбанк»

НАКАЗ
09.05.2016 м.Київ № 1/ТЗІ
Про призначення комісії з

проведення попередніх
випробувань
З метою перевірки комплексної системи захисту інформації автоматизованої системи

класу 2 відділу технічного захисту інформації ПАТ «Кредокомбанк» на відповідність
вимогам технічного завдання на створення комплексної системи захисту інформації та
нормативних документів з питань захисту інформації
НАКАЗУЮ:
1. Провести попередні випробування КСЗІ АСВТЗІ в термін з «10» травня 2016

року по «16» травня 2016 року.
2. Для проведення попередніх випробувань створити комісію у складі:
 голова комісії: заступник директора ПАТ «Кредокомбанк» Бондаровець С.С.;
члени комісії: начальник відділу технічного захисту інформації Ковтун С.Ю.;
начальник спеціального відділу Сапожнік Т.М..
Генеральний директор
Комерційного банку «Кредокомбанк»» О.С. Коваль
ДОДАТОК Р
________________ О.С. Коваль


ПРОГРАМА ТА МЕТОДИКИ ВИПРОБУВАНЬ
Київ–2016
1. Об’єкт випробувань
Попереднім випробуванням за критеріями технічного захисту інформації (далі - ТЗІ)
підлягає комплексна система захисту інформації (далі - КСЗІ) в автоматизованій системі
класу 1 відділу технічного захисту інформації (далі - АСВТЗІ) ПАТ «Кредокомбанк», яка
знаходиться на об’єкті інформаційної діяльності - приміщення № 1 відділу технічного
захисту інформації ПАТ «Кредокомбанк» за адресою: м. Київ, вул. Гарманта, 50.
1.1. Комплектність об’єкта випробувань

Під час випробувань має дотримуватися як комплектність засобів, що відносяться
безпосередньо до КСЗІ, так і комплектність апаратних і програмних засобів, що не
відносяться до КСЗІ.
Результати випробувань КСЗІ в АСВТЗІ діють лише за умови відповідності
комплектності апаратних і програмних засобів, середовища користувачів, фізичного
середовища, інформаційного середовища (інформації, що обробляється, і технології її
обробки) - тим, що визначені у відповідних розділах цієї Програми та методики та
Технічному завданні на створення КСЗІ в АСВТЗІ (далі - Технічне завдання).
2. Мета випробувань
Метою попередніх випробувань є визначення:
 відповідності КСЗІ задачам, поставленим у Технічному завданні;
 ступеня виконання вимог з ТЗІ, зазначених у Технічному завданні;
 ступеня готовності АСВТЗІ, в якій створена КСЗІ, до експлуатації.
3.1. Перелік керівних документів з проведення випробувань:
1. НД ТЗІ 1.1-002-99 “Загальні положення щодо захисту інформації в
комп’ютерних системах від несанкціонованого доступу”;
2. НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних
системах від несанкціонованого доступу”;
3. НД ТЗІ 1.4-001-2000 “Типове положення про службу захисту інформації в
автоматизованій системі”;
4. НД ТЗІ 2.5-007-2001 “Вимоги до комплексу засобів захисту інформації, що
становить державну таємницю, від несанкціонованого доступу при її обробці в
автоматизованих системах класу 1”;
5. НД ТЗІ 3.7-003-2005 „Порядок проведення робіт із створення комплексної
системи захисту інформації в інформаційно-телекомунікаційній системі”;
6. Методика виявлення витоку мовної або видової інформації через закладні
пристрої на об’єктах інформаційної діяльності (розроблено ДП „Е-Консалтінг”, з
урахуванням апаратурного забезпечення) погоджено листом Держспецзв’язку України від
26.12.07. № 9/4-2585
3.2. Місце і тривалість випробувань

Випробування проводяться на об’єкті інформаційної діяльності ПАТ «Кредокомбанк»
яке є замовником створення КСЗІ у терміни визначені Техпроектом комплексної системи
захисту інформації в АСВТЗІ ТОВ.
3.3. Організації, що беруть участь у випробуваннях
Випробування КСЗІ в АСВТЗІ будуть проводити спеціалісти відділу технічного
захисту інформації я ПАТ «Кредокомбанк» та ТОВ «КСЗІінфо».
4. Обсяг випробувань
4.1. Етапи випробувань і перевірок
Перевірка КСЗІ на наявність функцій захисту інформації відповідно до Технічного
завдання, повинна включати:
 перевірку середовища функціонування АСВТЗІ;
 перевірка експлуатаційної документації КСЗІ;
 перевірку реалізації засобів захисту від витоку інформації з обмеженим
доступом (далі - ІзОД), яка планується до циркуляції в АСВТЗІ, за рахунок побічних
електромагнітних випромінювань та наведень (далі - ПЕМВН);
 перевірку реалізації організаційних та організаційно-технічних заходів щодо
блокування візуально-оптичного каналу витоку інформації;
 перевірку реалізації організаційних, організаційно-технічних та технічних
заходів щодо блокування радіотехнічного каналу витоку інформації;
 перевірку реалізації захисту ІзОД в АСВТЗІ засобами захисту від НСД та
блокування шляхів НСД до компонентів АСВТЗІ;
 перевірку реалізації організаційних заходів щодо унеможливлення
(блокування) загроз інформації, які можуть виникнути під час її циркуляції в АСВТЗІ.
4.1.1. Перевірка середовища функціонування АСВТЗІ
Перевірка середовища функціонування визначає повноту виконання вимог Технічного
завдання щодо:
фізичного середовища АСВТЗІ;
середовища користувачів АСВТЗІ;
технології обробки інформації в АСВТЗІ;
інформаційного середовища АСВТЗІ.
4.1.1.1.Перевірка фізичного середовища включає в себе:
 відповідність режиму доступу до приміщення № 5 вимогам Технічного
завдання;
 укомплектованість приміщення № 5 системами охоронної та пожежної
сигналізації, зв’язку, допоміжними технічними засобами, іншими системами
життєзабезпечення згідно вимог Технічного завдання.
4.1.1.2. Перевірка середовища користувачів визначає:
 відповідність категорії користувачів АСВТЗІ до категорій і повноважень
користувачів наведеним вимогам в Технічному завданні;
 відсутність доступу до АСВТЗІ осіб, які не належать до визначених категорій;
 наявність розроблених розпорядчих документів щодо правил пропускного
режиму на контрольовану зонуПАТ «Кредокомбанк», порядку доступу осіб в приміщення у
якому розташовано АСВТЗІ та порядку доступу до АСВТЗІ.
4.1.1.3. Перевірка обчислювальної системи визначає:
 відповідність комплектності, основних функціональних характеристик
програмного забезпечення, технічних засобів обробки інформації та обладнання АСВТЗІ
проектній та експлуатаційній документації КСЗІ в АСВТЗІ;
 наявність у засобів захисту інформації, інших технічних засобів та програмного
забезпечення АСВТЗІ, задіяних у складі КСЗІ, підтвердження їх відповідності нормативним
документам із захисту інформації (атестат, сертифікат відповідності, експертний висновок) і
відповідність їхнього використання вимогам, визначеним цими документами.
4.1.1.4. Перевірка технології обробки інформації за допомогою АСВТЗІ визначає:
 відповідність задекларованої в Технічному завданні технології обробки
інформації за допомогою АСВТЗІ впровадженому в експлуатаційній документації на КСЗІ
порядку обробки інформації;
 відповідність адміністрування операційної системи АСВТЗІ та комплексу
засобів захисту від НСД технології обробки інформації за допомогою АСВТЗІ.
4.1.1.5. Перевірка інформаційного середовища в АСВТЗІ:
 відповідність категорій оброблюваної інформації в АСВТЗІ тим, що зазначені в
Технічному завданні;
 відповідність форми представлення інформації в АСВТЗІ тій, що визначена в
Технічному завданні.
 Результати проведеної перевірки викласти в Акті повноти виконання заходів з
попередніх випробувань КСЗІ в АСВТЗІ.
4.1.2. Перевірка проектної та експлуатаційної документації на КСЗІ
Перевірка проектної та експлуатаційної документації на КСЗІ визначає перевірку
відповідності складених проектних та експлуатаційних документів на КСЗІ переліку
наведеному в Технічному завданні та Техпроекту КСЗІ;
перевірку повноти та вірності складених проектних та експлуатаційних документів
щодо запровадження організаційних, організаційно-технічних та технічних заходів захисту
інформації в АСВТЗІ відповідно вимог нормативних документів перелік яких наведено в п.п.
3.1.
Результати проведеної перевірки викласти в Акті повноти виконання заходів з
випробувань КСЗІ в АСВТЗІ.
4.1.3. Перевірка реалізації в КСЗІ організаційних, організаційно-технічних та
технічних заходів захисту від витоку технічними каналами
4.1.3.1. Перевірка реалізації в КСЗІ організаційних, організаційно-технічних та
технічних заходів захисту від витоку ІзОД, яка планується до циркуляції в АСВТЗІ, за
рахунок ПЕМВН визначає:
 перевірку відповідності монтажу всіх компонентів АСВТЗІ вимогам наведеним
в наведеним в Технічному завданні;
 перевірку роботоздатності системи заземлення та відповідності її опору
заземлення ТР ЕОТ-95;
 перевірку відповідності монтажу на лінію електроживлення від якої
здійснюється електроживлення АСВТЗІ завадозаглушувального фільтра М-17 вимогам, які
висуваються в технічній документації на вказаний пристрій;
 перевірку відповідності монтажу на лінію охоронної та пожежної сигналізації
завадозаглушувального фільтра М-9 вимогам, які висуваються в технічній документації на
вказаний пристрій;
Результати проведеної перевірки викласти в Протоколі випробувань КСЗІ в АСВТЗІ.
4.1.3.2. Перевірка реалізації організаційних, організаційно-технічних та технічних
заходів щодо блокування візуально-оптичного каналу.
Перевірка повинна визначити повноту виконання вимог Технічного завдання з
реалізації захисту ІзОД від її витоку за рахунок візуально-оптичного каналу, а саме
унеможливлення зняття інформації, яка виводиться на монітор АСВТЗІ, або яка циркулює на
ОІД у вигляді паперових носіїв, засобами технічної розвідки ззовні ОІД через віконний отвір.
Результати проведеної перевірки викласти в Акті повноти виконання заходів з
попередніх випробувань КСЗІ в АСВТЗІ.
4.1.3.3. Перевірка реалізації організаційних, організаційно-технічних та технічних
заходів щодо блокування радіотехнічного каналу.
Перевірка визначає повноту виконання організаційних та організаційно-технічних
заходів захисту інформації відповідно вимог Технічного завдання з реалізації захисту ІзОД
від витоку радіотехнічним каналом.
Перевірка приміщення № 5 на можливо встановлених в ньому засобів технічної
розвідки проводиться щодо виявлення можливо встановлених на ОІД мікровідеокамер, які
можуть перехоплювати видову ІзОД, що виводиться на монітор АСВТЗІ та циркулює у
вигляді паперових носіїв. Перевірка проводиться відповідно методики що наведена в п.п.3.1.
Результати проведеної перевірки викласти в Протоколі випробувань КСЗІ в АСВТЗІ.
4.1.4. Перевірка блокування шляхів НСД до компонентів АСВТЗІ
Перевірка визначає:
 відповідність впроваджених в експлуатаційних документах КСЗІ
організаційних та організаційно-технічних заходів щодо унеможливлення (блокування)
шляхів НСД сторонніх осіб до компонентів АСВТЗІ;
 роботоздатність охоронної сигналізації приміщення № 5.
Результати проведеної перевірки викласти в Протоколі попередніх випробувань КСЗІ.
4.1.5. Перевірка блокування шляхів НСД до ІзОД, яка циркулюватиме в АСВТЗІ
Перевірка блокування шляхів НСД до ІзОД, яка циркулюватиме в АСВТЗІ
передбачає:
 відповідність проведеного адміністрування впровадженого КЗЗ в АСВТЗІ
задекларованому в Технічному завданні функціональному профілю захищеності інформації в
АСВТЗІ.
 виконання множини послуг, що відповідають функціональному профілю
захищеності та рівню гарантії, наведеному в Технічному завданні. Перевірка проводиться
відповідно до вимог НД ТЗІ 1.1-002-99 “Загальні положення щодо захисту інформації в
комп’ютерних системах від несанкціонованого доступу” та НД ТЗІ 2.5-004-99 “Критерії
оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”.
4.1.6. Перевірка реалізації організаційних заходів щодо унеможливлення загроз ІзОД
в АСВТЗІ
Перевірка включає в себе перевірку вжитих в експлуатаційних документах КСЗІ
організаційних заходів щодо блокування (унеможливлення) загроз ІзОД під час її циркуляції
в АСВТЗІ.
5. Умови і порядок проведення випробувань

5.1. Умови проведення випробувань
Стан навколишнього середовища у процесі здійснення випробувань має бути в межах
допустимих значень, наведених у технічних умовах на обладнання, що використовується в
АСВТЗІ. Стан джерел енергозабезпечення має бути в межах допустимих значень, наведених
у технічних вимогах до енергозабезпечення АСВТЗІ.
5.2. Умови початку і завершення окремих етапів випробувань
Етапи випробувань визначаються у, послідовності наведеній у пункті 4 цієї Програми
та методики.
Умовою завершення етапу випробувань є успішне виконання в повному обсязі
перевірок, визначених цією Програмою і методикою. У разі виявлення суттєвих недоліків у
реалізації окремої підсистеми, етап подовжується до усунення недоліків або розробки і
впровадження рекомендацій щодо їх нейтралізації. Допускається паралельне виконання
частини перевірок, що віднесені до різних етапів.
6. Матеріально-технічне забезпечення випробувань

Для проведення пошуку пристроїв технічної розвідки буде використана наступна
апаратура спеціального призначення:
автоматизований комплекс „Акор 1ПК” зав. № 03703;
нелінійний локатор “NR-μ” зав. № 03.08.100;
оптико-електронний виявлювач мікровідеокамер “Алмаз” зав. № 40155.
7. Метрологічне забезпечення випробувань

Усі контрольно-вимірювальні прилади, які застосовуються при випробуванні
пройшли державну повірку у травні 2015 року.
8. Звітність
За підсумками попередніх випробувань оформлюються:
Протокол випробувань КСЗІ в АСВТЗІ;
Акт повноти виконаних заходів із захисту інформації при створенні КСЗІ в АСВТЗІ.
ДОДАТОК С
________________ О.С. Коваль
Протокол
попередніх випробувань комплексної системи захисту інформації в
автоматизованій системі класу 2
1. Представниками служби захисту інформації, спеціального відділу ПАТ

«Кредокомбанк» та представником ВАТ «Комплзахист». було проведено попередні
випробування створеної комплексної системи захисту інформації (далі – КСЗІ) в
автоматизованій системі класу 2 відділу технічного захисту інформації (далі – АСВТЗІ), яка
розміщена в приміщенні ПАТ «Кредокомбанк» (далі – ОІД).
Підставою для проведення випробувань є Технічне завдання на створення КСЗІ в
АСВТЗІ (далі – Технічне завдання).
2. Вихідні дані
Вихідними даними для проведення випробувань КСЗІ є:

Перелік відомостей, що відносяться до конфіденційної інформації ПАТ
«Кредокомбанк» та якій надається гриф обмеження доступу.
Акт визначення вищого ступеню обмеження доступу інформації, яка циркулюватиме
на об’єкті інформаційної діяльності – приміщення № 1 відділу технічного захисту інформації
ПАТ «Кредокомбанк».
Акт обстеження середовищ функціонування автоматизованої системи на об’єкті
інформаційної діяльності – приміщення № 1 відділу технічного захисту інформації ПАТ
Модель загроз для інформації, яка планується до циркуляції в автоматизованій
системі класу 2 на об’єкті інформаційної діяльності – приміщення ПАТ «Кредокомбанк».
Політика безпеки інформації, яка циркулює в автоматизованій системі класу 2 ПАТ
Комплексна система захисту інформації. План захисту інформації.
Комплексна система захисту інформації. Технічне завдання (далі – Технічне завдання).
Комплексна система захисту інформації. Техпроект (далі – Техноробочий проект).
інформації ПАТ «Кредокомбанк» (Паспорт-формуляр АСВТЗІ).
технічного захисту інформації ПАТ «Кредокомбанк» (далі – Положення про СЗІ).
інформації ПАТ «Кредокомбанк» (далі – Інструкція користувачу).
технічного захисту інформації ПАТ «Кредокомбанк» (далі – Інструкція з адміністрування).
«Кредокомбанк» (далі – Інструкція з режимних заходів).
«Кредокомбанк» (далі – Інструкція по ПІ).
відділу технічного захисту інформації ПАТ «Кредокомбанк» (далі – Інструкція управління
паролями).
системи класу 2 відділу технічного захисту інформації ПАТ «Кредокомбанк» (далі –
Інструкція з оперативного відновлення).
3. Методика проведення випробувань
Попередні випробування проводились відповідно документу «Автоматизована

система відділу технічного захисту інформації ПАТ «Кредокомбанк». Комплексна система
захисту інформації. Програма та методики випробувань» (далі – ПМА).
4. Виклад результатів попередніх випробувань КСЗІ
4.1. Перевірка середовища функціонування АСВТЗІ
Середовища функціонування АСВТЗІ на ОІД відповідають вимогам та описам

наведеним в Технічному завданні, а саме:
 охорону будівлі в якому знаходиться ОІД здійснює відомча охорона ТОВ «
Наві Груп» ;
 охорона ОІД здійснюється за допомогою системи охоронної сигналізації, пульт
якої встановлено в приміщенні охорони ТОВ « Наві Груп» ;
 ОІД обладнано системою пожежної сигналізації;
 доступ осіб на ОІД та до АСВТЗІ організовано відповідно списку,
затвердженому директором ПАТ «Кредокомбанк» та відповідно вимог Інструкції з
режимних заходів;
 склад та розміщення АСВТЗІ, допоміжних технічних засобів та систем, систем
життєзабезпечення ОІД відповідають перелікам наведеним в Паспорті-формулярі АСВТЗІ;
 особи, які будуть мати доступ до інформації в АСВТЗІ, визначені відповідним
списком користувачів АСВТЗІ;
 операційна система та склад програмного забезпечення АСВТЗІ відповідає
переліку наведеному в Паспорті-формулярі АСВТЗІ;
 організація порядку обробки конфіденційної інформації в АСВТЗІ та форма
представлення інформації з обмеженим доступом (далі – ІзОД) в АСВТЗІ відповідає
задекларованої в Технічному завданні технології обробки інформації;
 зареєстровані в АСВТЗІ користувачі відповідають списку осіб, які допущені до
роботи з конфіденційною інформацією в АСВТЗІ.
4.2. Перевірка експлуатаційної документації КСЗІ
Проектна та експлуатаційна документація КСЗІ в АСВТЗІ відповідає вимогам

Технічного завдання, а саме:
перелік проектних та експлуатаційних документів на КСЗІ в АСВТЗІ відповідає
переліку експлуатаційної документації наведеному в Технічному завданні;
зміст та об’єм інформації, що наведено в проектній та експлуатаційній документації,
щодо створення КСЗІ в АСВТЗІ, відповідає вимогам Техпроекту.
4.3. Перевірка заходів із захисту ІзОД від її витоку технічними каналами
4.3.1. Блокування каналу побічних електромагнітних випромінювань та наведень (далі

– ПЕМВН)
КСЗІ здійснює блокування витоку ІзОД, яка циркулюватиме в АСВТЗІ, за рахунок
ПЕМВН наступними заходами:
 електроживлення всіх компонентів АСВТЗІ здійснюється через мережевий
завадозаглушувальний фільтр М-17, що унеможливлює просочення ІзОД через лінію
електроживлення за рахунок наведень від компонентів АСВТЗІ інформативних сигналів на
вказану лінію;
 монтаж завадозаглушувального фільтру М-17 відповідає вимогам, що наведено
в пасорті на вказаний мережевий фільтр;
 на лінію охоронної та пожежної сигналізації встановлено
завадозаглушувальний фільтр М-9, що унеможливлює просочення ІзОД через ці лінії за
рахунок наведень на них від компонентів АСВТЗІ інформативних сигналів;
 всі компоненти ІТС підключено до контуру системи заземлення яка відповідає
вимогам п. 5.3 ТР ЕОТ 95, а саме:
 контур системи заземлення знаходиться в межах контрольованої зони ПАТ
«Кредокомбанк» ;
 в якості контуру заземлення використовується глибинний заземлювач;
 опір системи заземлення становить 1,4 Ом (Протокол виміру опору заземлення
від 07.06.09 № 34 ПАТ «Кредокомбанк» ).
4.3.2. Блокування радіотехнічного каналу
На ОІД проведено пошук можливо встановлених пристроїв технічної розвідки

(закладних пристроїв) які б могли передавати видову інформації по радіоканалу або
лінійними комунікаціями.
За результатами проведених робіт зроблено наступні висновки:
 при проведенні моніторингу радіоефіру за допомогою пошукового
комплексу DigiScan EX 2.1 у діапазоні частот 10 кГц – 3 ГГц радіовипромінювань, які б
свідчили про факт встановлених на ОІД пристроїв технічної розвідки не виявлено.
 при проведенні обстеження будівельних конструкцій (стін, підлоги, вікон та
дверей), технічних засобів, меблів та предметів інтер’єру приміщення за допомогою
індикатора поля RD-14 та частотоміра ACECO SC-1 радіовипромінювань, які б свідчили про
наявність закладних пристроїв не виявлено.
 при обстеженні будівельних конструкцій, меблів, предметів інтер’єру,
технічних засобів за допомогою приладу пошуку оптичних систем RAY – оптичних систем
(мікровідеокамер) не виявлено.
 при обстеженні будівельних конструкцій (стін, підлоги, стелі, віконних
конструкцій, дверей), меблів та предметів інтер’єру за допомогою портативного нелінійного
локатора «Обь-1» – закладних пристроїв не виявлено.
 КСЗІ здійснює захист інформації від її витоку за рахунок радіотехнічного
каналу витоку наступними заходами:
 організованими перепускним режимом контрольовану зону ПАТ
«Кредокомбанк» та порядком відвідування сторонніх осіб приміщень ПАТ «Кредокомбанк»
унеможливлюється встановлення пристроїв технічної розвідки на лінії, які виходять за межі
ОІД;
 виконання вимог що наведено в експлуатаційній документації на КСЗІ
стосовно порядку доступу осіб на ОІД, є достатніми щодо унеможливлення встановлення на
ОІД пристроїв технічної розвідки (відеопередавачів).
4.3.3. Блокування візуально-оптичного каналу
КСЗІ блокує візуально-оптичний канал витоку інформації наступними заходами:

 вікно ОІД обладнано непрозорими жалюзями;
 виконання вимог Інструкції користувача, є достатніми щодо блокування витоку
інформації за рахунок візуально-оптичного каналу.
4.4. Перевірка блокування шляхів несанкціонованого доступу (далі –НСД) до

компонентів АСВТЗІ
КСЗІ унеможливлює (блокує) несанкціонований доступ сторонніх осіб до

компонентів АСВТЗІ та на ОІД в цілому наступними заходами:
 ОІД обладнано системою охоронної сигналізації, яка знаходиться в робочому
стані;
 в Інструкції з режимних заходів впроваджено дії начальника спеціального
відділу щодо організації охорони ОІД в неробочий час та організацію режимних заходів на
ОІД, виконання яких є достатніми щодо унеможливлення шляхів НСД до компонентів
АСВТЗІ та на ОІД в цілому.
4.5. Перевірка блокування шляхів НСД до ІзОД, яка циркулюватиме в АСВТЗІ
КСЗІ унеможливлює (блокує) НСД до ІзОД в АСВТЗІ наступними заходами:

 в АСВТЗІ впроваджено систему захисту інформації від НСД «Лоза-2»;
 в Інструкції користувачу, Інструкції з адміністрування системи, Інструкції з
режимних заходів, Інструкції по оперативному відновленню впроваджено організаційні
заходи щодо унеможливлення НСД до ІзОД, яка обробляється та зберігається в АСВТЗІ;
 виконання користувачами АСВТЗІ вимог Інструкції по правилам управління
паролями та Інструкціїз ПІ забезпечують унікальність персональних даних користувача для
доступу до ІзОД в АСВТЗІ та унеможливлюють їх несанкціоноване заволодіння,
ознайомлення та підбір.
Система захисту інформації від НСД «Лоза-2 (далі – КЗЗ) здійснює:
 ідентифікацію та аутентифікацію користувачів АСВТЗІ;
 блокує завантаження операційної системи АСВТЗІ CD-ROM;
 здійснює розмежування доступу між користувачами АСВТЗІ до їх захищених
 здійснює контроль та цілісність програмного забезпечення в АСВТЗІ;
 реєструє дії користувачів в АСВТЗІ;
 блокує вікна (пристроїв) інтерфейсу користувачів, а саме здійснення гасіння
екрану монітору та блокування клавіатури з графічним маніпулятором за вибраною
комбінацією клавіш або заданого періоду часу бездіяльності користувачів;
 здійснює реєстрацію в спеціальних журнальних файлах спроби
несанкціонованого доступу до інформації, фактів запуску (завантаження) програм, які не
входять до баз даних операційної системи АСВТЗІ.
Встановлений та налагоджений в АСВТЗІ КЗЗ реалізує наступні послуги:
1) Базова адміністративна конфіденційність (КА-2):
 в АСВТЗІ надається можливість користувачам працювати з базами документів
та документами, які містять ІзОД, за допомогою програми «Захищені документи», яка
входить до складу КЗЗ;
 адміністратором документів в АСВТЗІ здійснюється керування доступом
користувачів АСВТЗІ до баз документів та документів з ІзОД на підставі атрибутів доступу
користувача та об’єкта згідно з правилами розмежування доступу, наведеними в Технічному
завданні;
 КЗЗ надає можливість змінювати атрибути доступу баз документів та
документів з ІзОД лише користувачу з роллю «Адміністратор документів»;
 атрибути доступу бази документів та документа з ІзОД встановлюються в
момент їх створення;
 забезпечується можливість автоматичного внесення рівня доступу документа
до тексту документа під час друку та збереження документа у файлі;
 захищає дані, які під час роботи знаходяться на екрані монітора (від
копіювання у системний буфер обміну, друкування тощо);
 КЗЗ надає можливість працювати з даними захисту тільки адміністратору
безпеки в АСВТЗІ;.
 КЗЗ реалізує правила розмежування доступу до даних захисту, наведених в
Технічному завданні;
 КЗЗ надає доступ до процесів (файлів, що виконуються), за допомогою яких
здійснюється обробка ІзОД, тільки користувачам АСВТЗІ.
здійснюється ведення бази даних захисту та перегляд журналу захисту, тільки
адміністратору безпеки та системному адміністратору;
 КЗЗ надає можливість змінювати атрибути доступу файлів лише
адміністратору безпеки та системному адміністратору.
 КЗЗ здійснює захист ІзОД, що міститься в тимчасових файлах, які створюються
під час роботи прикладних програм.
2) Повторне використання об’єктів (КО-0):
 встановлена в АСВТЗІ операційна система Windows 10/8.1 забезпечує при
взаємодії з КЗЗ очищення звільненої оперативної пам’яті під час її перерозподілу за рахунок
чого здійснюється безповоротне видалення тимчасових файлів, файлів, в яких зберігаються
бази документів, документи, резервні копії журналу захисту, та, можливо, інші об’єкти
доступу.
3) Мінімальна адміністративна цілісність (ЦА-1):
 КЗЗ надає користувачам АСВТЗІ можливість працювати з базами документів
та документами тільки за допомогою призначеного для цього процесу (процесів);
 КЗЗ здійснює керування доступом до баз документів та документів на підставі
атрибутів доступу користувача і документа згідно з правилами розмежування доступу
наведеними в Технічному завданні;
 КЗЗ надає можливість змінювати атрибути доступу баз документів та
документів лише користувачу з роллю «Адміністратор документів» та дозволяє йому
визначати користувачів і/або їх групи, які мають право модифікувати документ з ІзОД;
 КЗЗ надає можливість працювати з даними захисту тільки за допомогою
призначеного для цього процесу (процесів);
 КЗЗ надає доступ до даних захисту відповідно до ролі користувача;
 КЗЗ забезпечує права на читання та запис даних у базу даних захисту та право
на перегляд журналу захисту має лише адміністратор безпеки;
 КЗЗ надає право на читання та зміни значень параметрів своєї конфігурації,
безпосередньо пов’язаних із керуванням доступом, тільки адміністратору безпеки;
здійснюється обробка ІзОД, тільки користувачам АСВТЗІ.
здійснюється ведення бази даних захисту та перегляд журналу захисту, тільки
адміністратору безпеки та системному адміністратору (можливість запуску процесу не
означає можливості доступу до даних, для обробки яких призначений процес).
 КЗЗ надає можливість змінювати атрибути доступу файлів лише
адміністратору безпеки та системному адміністратору.
4) Гаряча заміна (ДЗ-1):
 у операційній системі АСВТЗІ забезпечується можливість поновлення всіх або
окремих її компонентів.
5) Ручне відновлення (ДВ-1)
 КЗЗ забезпечує порядок обробки помилок (збійних ситуацій), які виникають
під час роботи системи;
 програмні засоби КЗЗ надають можливість адміністратору вказати системі КЗЗ,
яким чином вона має реагувати на помилку, а саме:
 повторити дію, що викликала помилку (після усунення причин помилки);
 перевести КЗЗ у стан, призначений для відновлення.
6) Захищений журнал (НР-2):
 КЗЗ здійснює ведення журнал захисту та його захист від несанкціонованого
ознайомлення, модифікації та знищення;
 КЗЗ забезпечує реєстрацію таких подій:
 вхід/вихід користувача в АСВТЗІ;
 створення/видалення облікових записів користувачів;
 зміни облікових записів користувачів, у тому числі зміни атрибутів доступу;
 створення/видалення об’єктів доступу;
 зміни атрибутів доступу об’єктів доступу;
 спроби доступу до об’єктів доступу;
 зміни конфігурації КЗЗ;
 виявлення порушень цілісності програмного середовища;
 початок та закінчення роботи прикладних програм, призначених для роботи з
інформацією, що захищається;
 виведення інформації на зовнішні носії (друк та копіювання на знімні носії).
 дата, час і тип (у тому числі успішність чи неуспішність) події, а для подій
аудита (відстеження дій користувачів) – також про користувача, процес і об’єкт, пов’язані з
подією;
 адміністратор безпеки має можливість встановлювати політику аудита, яка
визначає події аудита які повинні реєструватись;
 доступ до журналу захисту надається тільки адміністратору безпеки;
 КЗЗ забезпечує автоматичну реєстрацію критичних події (виявлення порушень
цілісності програмного середовища).
7) Множинна ідентифікація і автентифікація (НИ-3):
 КЗЗ здійснює ідентифікацію користувачів на підставі введеного імені та
автентифікацію на підставі введеного користувачем пароля при використанні персонального
ідентифікатора користувача;
8) Однонаправлений достовірний канал (НК-1):
 КЗЗ забезпечує початкової ідентифікації і автентифікації користувача з
ініціативи користувача після натискання їм комбінації клавіш Ctrl-Alt-Del.
9) Розподіл обов’язків адміністраторів (НО-2):
В АСВТЗІ реалізуються наступні ролі користувачів:
 звичайний користувач;
 адміністратор документів;
 адміністративними заходами заборонено реалізовувати ролі «Звичайний
користувач» з адміністративними ролями та дозволено суміщення будь-яких
адміністративних ролей;
10) КЗЗ з гарантованою цілісністю (НЦ-2)
КЗЗ перевіряє цілісність таких об’єктів:
 програмні компоненти КЗЗ (тобто файли, що виконуються);
 параметри та розділи системного реєстру, в яких зберігаються важливі для захисту
дані;
 завантажувальні сектори жорстких дисків.
 облікові записи користувачів та груп користувачів Windows.
 КЗЗ забезпечує реєстрацію порушень цілісності у журналі відповідну подію та
переводить КЗЗ у стан відновлення;
 КЗЗ дозволяє поновлення та відновлення програмних засобів КЗЗ тільки
системному адміністратору за узгодженням з адміністратором безпеки.
11) Самотестування при старті (НТ-2)
КЗЗ перевіряє правильність функціонування програмних засобів, які входять до
складу КЗЗ та у разі виявлення під час ініціалізації порушень.
При використанні КЗЗ в АСВТЗІ та обов’язковому виконанні користувачами АСВТЗІ,
користувачів з адміністративними ролями організаційних заходів стосовно унеможливлення
НСД до ІзОД, яка циркулюватиме в АСВТЗІ, які викладені в Інструкції з режимних заходів,
Інструкції користувачі, Інструкції з адміністрування блокуються шляхи НСД сторонніх осіб
до ІзОД в АСВТЗІ та реалізується наступний функціональний профіль захищеності: КА-2,
КО-0, ЦА-1, ДЗ-1, ДВ-1, НР-2, НИ-3, НК-1, НО-2, НЦ-2, НТ-2.
Впроваджена в АСВТЗІ система захисту інформації «Лоза-2» має експертний
висновок ДСТСЗІ СБ України 21.03.06 № 73.
4.6. Перевірка реалізації організаційних заходів щодо унеможливлення загроз

ІзОД в АСВТЗІ
Виконання начальником спеціального відділу, користувачами АСВТЗІ,

представниками служби захисту інформації в АСВТЗІ організаційних заходів стосовно
унеможливлення загроз ІзОД, яка циркулюватиме в АСВТЗІ, які викладені в Інструкції з
режимних заходів та Інструкції користувача є достатніми щодо унеможливлення
(блокування) загроз ІзОД, які можуть виникати під час її циркуляції в АСВТЗІ.
5. Висновок:
КСЗІ в АСВТЗІ:
 забезпечує визначену для АСВТЗІ Політику безпеки інформації;
 здійснює розмежування доступу користувачів в АСВТЗІ до інформації різних
категорій конфіденційності;
 реєструє спроби реалізації загроз інформації та сповіщає адміністраторів
безпеки АСВТЗІ про факти несанкціонованих дій з ІзОД;
 забезпечує спостережність інформації шляхом контролю за діями користувачів
АСВТЗІ та реєстрацію подій, які мають відношення до безпеки інформації;
 підтримує цілісність критичних ресурсів АСВТЗІ;
 забезпечує організацію обліку, зберігання та обігу матеріальних носіїв
інформації, які використовуються в АСВТЗІ;
 забезпечує управління засобами захисту КСЗІ та контроль за її
функціонуванням;
 забезпечує захист ІзОД від її витоку технічними каналами;
 блокує НСД до ІзОД та несанкціоновані дії з ІзОД;
 блокує НСД до компонентів АСВТЗІ та на ОІД в цілому;
 унеможливлює загрози ІзОД, яка циркулюватиме в АСВТЗІ;
 забезпечує дотримання вимог режиму конфіденційності під час роботи
користувачів АСВТЗІ з ІзОД;
Створена КСЗІ в АСВТЗІ може бути передана для проведення дослідної експлуатації.
Начальник відділу технічного

захисту інформації – керівник
служби захисту інформації в АСВТЗІ С.Ю.Ковтун
Начальник спеціального відділу

Представник ПАТ «Кредкоомбанк» Т.М.Сапожнік
ДОДАТОК Т
________________ О.С. Коваль
АКТ
повноти виконаних заходів із захисту інформації при створенні комплексної
системи захисту інформації в автоматизованій системі класу 2 відділу технічного
1. Комісія у складі:
голова: заступник директораПАТ «Кредокомбанк» Бондаровець С.С.;

члени: начальник відділу технічного захисту інформації С.Ю.Ковтун, начальник
спеціального відділу Т.М.Сапожнік.
провела визначення повноти виконання заходів із захисту інформації в
автоматизованій системі класу 2 відділу технічного захисту інформації (далі – АСВТЗІ) на
об’єкті інформаційної діяльності – приміщення ПАТ «Кредокомбанк» (далі – ОІД).
2. Комісією встановлено:
2.1. Загрозами для конфіденційної інформації, яка циркулюватиме в АСВТЗІ, є:
 несанкціонований доступ до інформації в АСВТЗІ;
 несанкціонований доступ до компонентів АСВТЗІ;
 канал витоку інформації за рахунок побічних електромагнітних випромінювань
та наведень;
 радіотехнічний канал;
 візуально-оптичний канал;
 загрози, які можуть виникнути під час циркуляції інформації в АСВТЗІ.
2.2. Для блокування загроз в АСВТЗІ створена комплексна система захисту
інформації (далі – КСЗІ).
2.3. КСЗІ проектувалась відповідно вимог нормативно-правових документів з
технічного захисту інформації України та документа «Автоматизована система відділу
технічного захисту інформації ПАТ «Кредокомбанк». Комплексна система захисту
інформації. Технічне завдання».
2.4. КСЗІ впроваджувалась відповідно вимог документа Автоматизована система
відділу технічного захисту інформації ПАТ «Кредокомбанк». Комплексна система захисту
інформації. Техноробочий проект».
2.5. Під час створення КСЗІ в АСВТЗІ створено та впроваджено наступні проектні та
експлуатаційні документи:
Перелік відомостей, що відносяться до конфіденційної інформації ПАТ
«Кредокомбанк» та якій надається гриф обмеження доступу;
Акт визначення вищого ступеню обмеження доступу інформації, яка циркулюватиме
на об’єкті інформаційної діяльності – приміщення № 1 відділу технічного захисту інформації
ПАТ «Кредокомбанк»;
Акт обстеження середовищ функціонування автоматизованої системи на об’єкті
інформаційної діяльності – приміщення № 1 відділу технічного захисту інформації ПАТ
Модель загроз для інформації, яка планується до циркуляції в автоматизованій
системі класу 2 на об’єкті інформаційної діяльності – приміщення № 1 ПАТ
Політика безпеки інформації, яка циркулює в автоматизованій системі класу 2 ПАТ
Комплексна система захисту інформації. План захисту інформації;
Комплексна система захисту інформації. Технічне завдання (далі – Технічне завдання);
Комплексна система захисту інформації. Техпроект (далі – Техпроект);
інформації ПАТ «Кредокомбанк»;
інформації ПАТ «Кредокомбанк»;
відділу технічного захисту інформації ПАТ «Кредокомбанк»;
системи класу 2 відділу технічного захисту інформації ПАТ «Кредокомбанк».
2.6. Всі організаційні, організаційно-технічні та технічні заходи захисту інформації,
яка циркулюватиме в АСВТЗІ, виконано в повному обсязі (Протокол попередніх
випробувань комплексної системи захисту інформації в автоматизованій системі класу 2
відділу технічного захисту інформації ПАТ «Кредокомбанк»)
2.7. Для забезпечення виконання всіх заходів із захисту інформації в АСВТЗІ та
підтримки параметрів КСЗІ в робочому стані в ПАТ «Кредокомбанк» створена служба
захисту інформації в АСВТЗІ, яка у своїй діяльності керується Положенням про службу
захисту інформації в АСВТЗІ погодженим директором ПАТ «Кредокомбанк».
3. Висновок
КСЗІ в АСВТЗІ забезпечує захист ІзОД від її витоку технічними каналами,
унеможливлює шляхи НСД до ІзОД в АСВТЗІ та її компонентів, унеможливлює загрози
ІзОД, які виникатимуть під час її циркуляції в АСВТЗІ.
Створена КСЗІ в АСВТЗІ може бути передана для проведення дослідної експлуатації.
заступник директора ПАТ «Кредокомбанк» С.С.Бондаровець
начальник відділу технічного
захисту інформації С.Ю.Ковтун
начальник спеціального відділу Т.М.Сапожнік

ДОДАТОК У
________________ О.С. Коваль
АКТ
приймання комплексної системи захисту інформації автоматизованої системи класу 2
Комісією у складі:
голови: заступника директора ПАТ «Кредокомбанк» Бондаровця С.С.
членів: начальника відділу технічного захисту інформації Ковтун С.Ю., начальника
спеціального відділу Сапожнік Т.М..
було проведено приймання у дослідну експлуатацію комплексну систему захисту
інформації (далі – КСЗІ) яка створена в автоматизованій системі класу 2 відділу технічного
захисту інформації (далі – АСВТЗІ) ПАТ «Кредокомбанк».
Під час роботи комісії встановлено:
1. КСЗІ в АСВТЗІ створена відповідно вимог документу «Автоматизована система
відділу технічного захисту інформації ТОВ ПАТ «Кредокомбанк». Комплексна система
захисту інформації. Технічне завдання», а саме:
 вимог до захисту інформації від витоку технічними каналами;
 вимог до захисту інформації від несанкціонованого доступу до інформації в
АСВТЗІ, компонентів АСВТЗІ та на об’єкт інформаційної діяльності в цілому;
 вимог щодо унеможливлення загроз інформації, які можуть виникати під час
циркуляції в АСВТЗІ.
2. КСЗІ в АСВТЗІ пройшла попередні випробування та здійснює захист інформації в
АСВТЗІ про що свідчать позитивні висновки Протоколу попередніх випробувань
комплексної системи захисту інформації в автоматизованій системі класу 2 відділу
технічного захисту інформації ПАТ «Кредокомбанк» стосовно впроваджених в КСЗІ
організаційних, організаційно-технічних та технічних заходів захисту.
3. Комплект експлуатаційних документів КСЗІ в АС 2 є достатнім щодо можливості
прийняття КСЗІ у дослідну експлуатацію.
Висновок:
Враховуючи вище зазначену інформацію доцільно провести дослідну експлуатацію
КСЗІ в АСВТЗІ.
захисту інформації С.Ю.Котвун

ДОДАТОК Ф
________________ О.С. Коваль
«2» червня 2016 року
АКТ
завершення дослідної експлуатації комплексної системи захисту
інформації в автоматизованій системі класу 2 відділу технічного
Комісією у складі:
голови: заступника директора ПАТ «Кредокомбанк» Бондаровця С.С.;
членів: начальника відділу технічного захисту інформації Ковтун С.Ю., начальника
спеціального відділу Сапожнік Т.М.
було проведено дослідну експлуатацію комплексної системи захисту інформації (далі
– КСЗІ) яка створена в автоматизованій системі класу 2 відділу технічного захисту
інформації (далі – АСВТЗІ) об’єкту інформаційної діяльності – приміщення № 1 ПАТ
«Кредокомбанк» (далі – ОІД).
Підставою для проведення дослідної експлуатації КСЗІ в АСВТЗІ є:
«Автоматизована система відділу технічного захисту інформації ПАТ
«Кредокомбанк». Комплексна система захисту інформації. Технічне завдання» (далі –
Технічне завдання);
Протокол попередніх випробувань комплексної системи захисту інформації в
«Кредокомбанк» (далі – Протокол попередніх випробувань).
Під час проведення дослідної експлуатації комісією встановлено:

1. Всі компоненти АСВТЗІ працюють справно та без збоїв відповідно задекларованих
параметрів наведених в експлуатаційних документах.
2. Система заземлення, до якої підключено всі компоненти, в справному стані.
3. Система захисту інформації від несанкціонованого доступу роботоздатна та
адміністрування її програмного забезпечення відповідає задекларованої в Технічному
завданні технології обробки інформації за допомогою АСВТЗІ, а саме:
 здійснює ідентифікацію та аутентифікацію користувачів АСВТЗІ;
 блокує завантаження операційної системи АСВТЗІ з гнучкого диска та CD-
ROM;
 здійснює розмежування доступу між користувачами АСВТЗІ до їх захищених
 здійснює контроль та цілісність програмного забезпечення в АСВТЗІ;
 реєструє дії користувачів в АСВТЗІ;
 блокує вікна (пристроїв) інтерфейсу користувачів, а саме здійснення гасіння
екрану монітору та блокування клавіатури з графічним маніпулятором за вибраною
комбінацією клавіш або заданого періоду часу бездіяльності користувачів;
 здійснює реєстрацію в спеціальних журнальних файлах спроби
несанкціонованого доступу до інформації, фактів запуску (завантаження) програм, які не
входять до баз даних операційної системи АСВТЗІ.
 дає можливість управління потоками інформації.
4. При проведенні тестового оброблення інформації в АСВТЗІ відповідно технології
обробки інформації наведеної в Технічному завданні, а саме:
 створенні файлу з тестовою інформацією за допомогою програми «Захищені
документи» та зберіганні його на жорсткий магнітний диск, флеш накопичувач в створених
для цього базах документів;
 друкуванні файлу за допомогою принтеру АСВТЗІ;
 знищенні користувачем документів з тестовою інформацією ;
 здійсненні зчитування інформації з CD-ROM, флеш накопичувача;
 недоліків та збоїв не виникало.
5. Впроваджені в КСЗІ організаційні заходи захисту інформації в АСВТЗІ, а саме:
 порядок доступу користувачів до АСВТЗІ та інформації, яка в ній зберігається;
 порядок та зміст інструктажів користувачів АСВТЗІ;
 порядок обробки інформації користувачами за допомогою АСВТЗІ;
 порядок дій начальника спеціального відділу, користувачів АСВТЗІ та
представників служби захисту інформації в АСВТЗІ при виникненні загроз інформації, яка
обробляється в АСВТЗІ;
 порядок оперативного відновлення функціонування АСВТЗІ;
 порядок обліку та використання магнітних носіїв інформації;
 порядок видачі вилучення та зберігання персональних ідентифікаторів
користувачів АСВТЗІ та адміністраторів АСВТЗІ;
 правила управління паролями в АСВТЗІ;
 правила з забезпечення режиму конфіденційності під час обробки інформації в
АСВТЗІ;
 порядок організації фізичного та протипожежного захисту АСВТЗІ;
 порядок дій начальника спеціального відділу по підтримці внутрішньо
об’єктового режиму на ОІД;
 порядок блокування технічних каналів витоку інформації та шляхів
несанкціонованого доступу,не мають між своїх вимог розбіжностей, завдань, які б
неможливо було виконати та забезпечують вимоги Технічного завдання щодо захисту
інформації в АСВТЗІ.
6. Впроваджені в КСЗІ організаційно-технічні заходи стосовно захисту інформації від
її витоку технічними каналами відповідають умовам інформаційного середовища АСВТЗІ та
вимогам Технічного завдання.
7. Всі користувачі, які плануються до обробки інформації за допомогою АСВТЗІ,
здали заліки зі знань:
порядку обробки інформації за допомогою АСВТЗІ;
підтримання режиму конфіденційності під час обробки інформації за допомогою
АСВТЗІ;
порядку дій при виникненні загроз інформації.
8. За АСВТЗІ закріплено адміністратори які входять до складу створеної в ПАТ
«Кредокомбанк» служби захисту інформації в АСВТЗІ.
9. Комплект експлуатаційних документів КСЗІ в АСВТЗІ, перелік яких наведено в
Протоколі попередніх випробувань КСЗІ, є достатнім щодо організації захисту інформації в
АСВТЗІ та обробки ІзОД за допомогою АСВТЗІ.
10. АСВТЗІ повністю укомплектована та знаходиться в робочому стані.
Висновок
КСЗІ в АСВТЗІ:
 забезпечує визначену для АСВТЗІ системи політику безпеки інформації;
 здійснює розмежування доступу користувачів в АСВТЗІ до інформації різних
категорій конфіденційності;
 блокує несанкціоновані дії з ІзОД;
 реєструє спроби реалізації загроз інформації та сповіщає адміністраторів
безпеки інформаційно-телекомунікаційної системи про факти несанкціонованих дій з ІзОД;
 забезпечує спостереженість інформації шляхом контролю за діями
 підтримує цілісність критичних ресурсів АСВТЗІ;
 забезпечує організацію обліку, зберігання та обігу матеріальних носіїв
інформації, які використовуються в АСВТЗІ;
 забезпечує управління засобами захисту КСЗІ та контроль за її
функціонуванням;
 забезпечує захист ІзОД від її витоку технічними каналами;
 забезпечує дотримання вимог режиму конфіденційності під час роботи
користувачів в АСВТЗІ з ІзОД.
Під час проведення дослідної експлуатації КСЗІ в АСВТЗІ збоїв в роботі будь яких
компонентів АСВТЗІ, пристроїв захисту інформації, систем охоронної та протипожежної
сигналізації не виявлено.
Створена КСЗІ в АСВТЗІ може бути представлена на експертизу щодо отримання
атестату відповідності на КСЗІ в АСВТЗІ.
захисту інформації С.Ю.Котвун

ДОДАТОК Х
ДЕРЖАВНА СЛУЖБА СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ

ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
СИСТЕМА ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
АТЕСТАТ ВІДПОВІДНОСТІ
Зареєстровано
в Адміністрації Державної
служби спеціального зв'язку
та захисту інформації України
____ ______ 20_ за N______
Дійсний до ___ _______ 20_
________________________________________________________________________________
(назва державного органу, яким надано Атестат)
засвідчує, що комплексна система захисту інформації__________________________________
________________________________________________________________________________
( назва ІТС)
що належить_____________________________________________________________________
(назва державного органу /організації, підприємства, установи/ - власника/розпорядника ІТС,
________________________________________________________________________________
її місцезнаходження)
забезпечує захист інформації відповідно до вимог нормативних документів з технічного
захисту інформації.
Атестат видано на підставі Експертного висновку, який надано Організатором
експертизи – ____________________________________________________________________
(назва державного органу (організації, підприємства, установи), що є організатором експертизи)
Експертний висновок додається до цього Атестата та є його невід'ємною частиною.

Вимоги до умов експлуатації об'єкта експертизи визначено у відповідному розділі
Експертного висновку.
Керівник органу,
яким надано Атестат ___________ _____________________
(підпис) (ініціали, прізвище)

Ксзи 1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ксзи 1

Uploaded by

Copyright:

Available Formats

ЗМІСТ

ЕТАП 2. ОБСТЕЖЕННЯ СЕРЕДОВИЩА ФУНКЦІОНУВАННЯ АС

ЕТАП 3. ВИЗНАЧЕННЯ ПОТЕНЦІЙНИХ ЗАГРОЗ ДЛЯ ІНФОРМАЦІЇ, ЯКА БУДЕ

ЕТАП 4. РОЗРОБКА ПОЛІТИКИ БЕЗПЕКИ В АС

ЕТАП 5. РОЗРОБКА ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ В АС

ЕТАП 7. РОЗРОБКА ТЕХНІЧНОГО ЗАВДАННЯ НА СТВОРЕННЯ КСЗІ В АС

ЕТАП 8. ПІДГОТОВКА КСЗІ ДО ВВЕДЕННЯ В ДІЮ

ЕТАП 9. ПОПЕРЕДНІ ВИПРОБОВУВАННЯ КСЗІ

ЕТАП 10. ДОСЛІДНА ЕКСПЛУАТАЦІЯ КСЗІ

ЕТАП 11. ЕКСПЕРТИЗА КСЗІ

ЕТАП 12. СУПРОВОДЖЕННЯ КСЗІ

ПАТ Комерційний банк «Кредокомбанк»

Про затвердження Переліку відомостей,

З метою недопущення розголошення конфіденційної інформації, власником якої

№ Інформація Гриф обмеження доступу

заступник керівника відділу

1. Обстеження на ОІД проведено комісією у складі:

Ситуаційний план (поверх 2)

План мережі (поверх 2)

В цій Моделі загроз для інформації, яка планується до циркуляції в автоматизованій

Ця Модель загроз створена відповідно вимог наступних нормативних документів:

В АС передбачається обробка інформації, яка не становить державної таємниці.

4. Модель загроз для інформації, що циркулює в АС класу 2

5. Описи технічних каналів витоку та загроз ІзОД

5.1. Канал ПЕМВН

Політика безпеки інформації,

5. Основні організаційні заходи

5.3 Організаційні заходи щодо забезпечення цілісності інформації

5.4 Організаційні заходи щодо антивірусного захисту інформації

Начальник відділу ТЗІ

АВТОМАТИЗОВАНА СИСТЕМА ВІДДІЛУ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ

КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ

ПЛАН ЗАХИСТУ ІНФОРМАЦІЇ

1.1. Загальні положення

2. Класифікація інформації, що обробляється в АСВТЗІ

3. Опис компонентів АСВТЗІ та технології оброки інформації

3.1 Компоненти АСВТЗІ

3.1.1 Технічне забезпечення

3.1.2 Програмне забезпечення

3.1.5 Активні та пасивні об’єкти АСВТЗІ та їхня взаємодія

3.2 Технологія обробки інформації

3.2.1 Організація роботи з інформацією обмеженого доступу

3.2.2 Технологія роботи з документами

4. Організаційні заходи захисту

4.1 Загальні підходи до забезпечення політики безпеки

4.3 Керування системою та її компонентами

5. Модель загроз інформації

7. Фізичний захист інформації

8. Захист інформації від витоку технічними каналами

Для забезпечення схоронності інформації від випадків її пошкодження періодично

10. Порядок модернізації компонентів системи

10.1. Модернізація обладнання

11. Порядок проведення відновлювальних робіт і забезпечення безперервного

Організація контролю за функціонуванням КСЗІ в АСВТЗІ покладається на

13. Порядок введення в експлуатацію КСЗІ

Обробка в АСВТЗІ інформації з обмеженим доступом дозволяється тільки після

14. Система документів щодо забезпечення захисту інформації в АСВТЗІ

Захист інформації в АСВТЗІ регламентується такими документами:

№ пп Назва заходу Термін Примітка

Розробка документів (інструкцій, правил,

Контроль за виконанням користувачами та

13 Поновлення вірусних баз 2 рази на місяць

Організація та координація робіт з ТЗІ щодо Термін визначається в