Professional Documents
Culture Documents
Ксзи 1
Ксзи 1
ЗАВДАННЯ........................................................................................................................................4
СПИСОК СКОРОЧЕНЬ.....................................................................................................................5
ЕТАП 1. ОБГРУНТУВАННЯ НЕОБХІДНОСТІ СТВОРЕННЯ КСЗІ..........................................6
ЕТАП 2. ОБСТЕЖЕННЯ СЕРЕДОВИЩА ФУНКЦІОНУВАННЯ АС........................................6
ЕТАП 3. ВИЗНАЧЕННЯ ПОТЕНЦІЙНИХ ЗАГРОЗ ДЛЯ ІНФОРМАЦІЇ, ЯКА БУДЕ
ЦИРКУЛЮВАТИ В АС.....................................................................................................................6
ЕТАП 4. РОЗРОБКА ПОЛІТИКИ БЕЗПЕКИ В АС........................................................................7
ЕТАП 5. РОЗРОБКА ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ В АС....................................................7
ЕТАП 6. РОЗРОБКА ТЕХНІЧНОГО ЗАВДАННЯ НА СТВОРЕННЯ КСЗІ В АС......................8
ЕТАП 7. РОЗРОБКА ТЕХНІЧНОГО ЗАВДАННЯ НА СТВОРЕННЯ КСЗІ В АС......................8
ЕТАП 8. ПІДГОТОВКА КСЗІ ДО ВВЕДЕННЯ В ДІЮ.................................................................8
ЕТАП 9. ПОПЕРЕДНІ ВИПРОБОВУВАННЯ КСЗІ.....................................................................10
ЕТАП 10. ДОСЛІДНА ЕКСПЛУАТАЦІЯ КСЗІ...........................................................................10
ЕТАП 11. ЕКСПЕРТИЗА КСЗІ.......................................................................................................10
ЕТАП 12. СУПРОВОДЖЕННЯ КСЗІ............................................................................................11
ВИСНОВКИ......................................................................................................................................12
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ........................................................................................13
ДОДАТОК А.....................................................................................................................................14
ДОДАТОК Б.....................................................................................................................................17
ДОДАТОК В.....................................................................................................................................20
ДОДАТОК Г.....................................................................................................................................29
ДОДАТОК Д.....................................................................................................................................35
ДОДАТОК Е.....................................................................................................................................47
ДОДАТОК Є.....................................................................................................................................58
ДОДАТОК Ж....................................................................................................................................67
ДОДАТОК З......................................................................................................................................73
ДОДАТОК И.....................................................................................................................................80
ДОДАТОК К.....................................................................................................................................85
ДОДАТОК Л.....................................................................................................................................90
ДОДАТОК М....................................................................................................................................92
ДОДАТОК Н.....................................................................................................................................94
ДОДАТОК П.....................................................................................................................................96
ДОДАТОК Р......................................................................................................................................97
ДОДАТОК С...................................................................................................................................103
ДОДАТОК Т...................................................................................................................................111
ДОДАТОК У...................................................................................................................................114
ДОДАТОК Ф...................................................................................................................................115
ДОДАТОК Х...................................................................................................................................118
ЗАВДАННЯ
1. Розробити комплексну систему захисту інформації для автоматизованої
системи класу «2» обраного за варіантом підприємство (дозволяється самостійно обрати
існуюче підприємство, попередньо узгодити з викладачем). Кожний етап побудови оформити
згідно нормативних документів.
2. Згідно останньої цифри залікової книжки обрати об’єкт інформаційної
діяльності.
3. Кількість поверхів обирається за сумою двох останніх цифр залікової книжки –
якщо сума парне число, тоді 2 поверхи, якщо непарне - 1 (Наприклад, Σ = 4, то поверхів 2,
якщо Σ = 5, то поверхів 1).
4. Обґрунтуйте вибір апаратних та програмних засобів захисту (засіб повинен
мати експертний висновок Держспецзв’язку України).
5. Курсова робота оформлюється згідно вимог ГОСТу до проектно-технічної
документації.
Всі документи розробляються згідно вимог нормативних документів Держспецзв’язку
України та ДСТУ.
ВАРІАНТИ
Остання
цифра Кількість Кількість
Об’єкт інформаційної діяльності
залікової приміщень ПК
книжки
0 5 20 Будівельна фірма
1 4 25 Страхова компанія
2 6 30 Конструкторське бюро
3 5 22 DATA-Центр
4 7 35 Банк
5 4 26 Туристична фірма
6 5 28 Торговельне підприємство
7 8 34 Фармацевтична компанія
8 4 21 Видавництво
9 8 33 Компанія з розробки систем захисту інформації
СПИСОК СКОРОЧЕНЬ
КСЗІ – комплексна система захисту інформації.
ОІД – об'єкт інформаційної діяльності.
ЗЗІ – засоби захисту інформації.
ТЗІ – технічний захист інформації.
АС – автоматизована система.
АСВТЗІ – автоматизована система класу 1 відділу технічного захисту інформації.
ІзОД – інформація з обмеженим доступом.
НСД – несанкціонований доступ.
ПЕМВН – побічні електромагнітні випромінювання і наводки.
ОІД – об’єкт інформаційної діяльності.
ОТЗ – основні технічні засоби.
ДТЗ – допоміжні технічні засоби.
ПМА – програма і методика випробувань.
ЖМД – жорсткий магнітний диск.
ГМД – гнучкий магнітний диск.
НСД – несанкціонований доступ.
НД ТЗІ – нормативний документ системи технічного захисту інформації.
КЗЗ – комплекс засобів захисту.
ЕТАП 1. ОБГРУНТУВАННЯ НЕОБХІДНОСТІ СТВОРЕННЯ КСЗІ
Комерційний банк «Кредокомбанк» був створений відповідно ЗУ «Про банки і
банківську діяльність» у вигляді акціонерного товариства.
Інформація, яка є результатом цієї діяльності, в цілому називається банківською
таємницею, захист якої забезпечується такими нормативними актами:
• ЗУ «Про кредитні спільноти»
• ЦКУ (ст.1076)
• ЗУ «Про банки і банківську діяльність»
Крім того, за розголошення банківської таємниці передбачена відповідальність, яка
прописана в статтях 231 і 232 КК України.
Підставою для визначення необхідності створення КСЗІ є норми та вимоги чинного
законодавства, які встановлюють обов’язковість обмеження доступу до певних видів
інформації або забезпечення її цілісності чи доступності, або прийняте власником інформації
рішення щодо цього, якщо нормативно-правові акти надають йому право діяти на власний
розсуд.
Вихідні дані для обґрунтування необхідності створення КСЗІ були отримані за
результатами: аналізу нормативно-правових актів ; визначення наявності у складі інформації,
яка підлягає автоматизованій обробці, таких її видів, що потребують обмеження доступу до
неї або забезпечення цілісності чи доступності відповідно до вимог нормативно-правових
актів; - оцінки можливих переваг (фінансово-економічних, соціальних і т.п.) експлуатації
ІТС у разі створення КСЗІ.
Комісія у складі генерального директора «Кредокомбанк», заступника генерального
директора та начальника відділу ТЗІ провела аналіз інформації, що циркулює в АС класу 2
«Кредокомбанка». За результатами комісії були складені наступні документи (додаток А):
1. Наказ про затвердження переліку відомостей, що відносяться до
конфіденційної інформації.
2. Перелік відомостей, що відносяться до конфіденційної інформації.
3. Акт визначення вищого ступеню обмеження доступу до інформації.
Генеральний директор
Комерційного банку «Кредокомбанк»» О.С. Коваль
Перелік
відомостей, що відносяться до конфіденційної інформації та комерційної
таємниці та якій надається гриф обмеження доступу
Таблиця 1
АКТ
визначення вищого ступеню обмеження доступу інформації, яка циркулюватиме на
об’єкті інформаційної діяльності - приміщення № 2 відділу технічного захисту
інформації ПАТ «Кредокомбанк»
Комісія у складі:
голови: заступника генерального директора ПАТ «Кредокомбанк» Бондаровця С.С.;
членів: керівника відділу технічного захисту інформації Ковтун С.Ю. та заступника
керівника відділу технічного захисту інформації Степаненко І.В. відповідно до вимог НД
ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту
інформації в інформаційно-телекомунікаційній системі», провела визначення вищого
ступеню обмеження доступу інформації, яка циркулюватиме на об’єкті інформаційної
діяльності – приміщення № 2 відділу технічного захисту інформації ПАТ «Кредокомбанк»
(далі – ОІД).
Комісією встановлено:
Вищий гриф обмеження доступу інформації, яка планується до циркуляції на ОІД:
інформація на матеріальних носіях інформації - «конфіденційно».
мовна інформація загального характеру - без обмеження доступу.
мовна інформація, з конфіденційними відомостями – «конфіденційно»
Висновок:
Вищий гриф обмеження доступу інформації, яка циркулюватиме на ОІД
–«конфіденційно».
Голова комісії:
заступник генерального директора
ПАТ «Кредокомбанк» С.С. Бондаровець
Члени комісії:
керівник відділу технічного
захисту інформації С.Ю. Ковтун
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«17» лютого 2016 року
АКТ
обстеження об'єкта інформаційної діяльності
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«26» лютого 2016 року
МОДЕЛЬ ЗАГРОЗ
для інформації з обмеженим доступом, яка планується до циркуляції в АС класу
2 на об’єкті інформаційної діяльності - приміщення ПАТ «Кредокомбанк»
1. Позначення і скорочення
2. Нормативні посилання
З даної модель загроз можна зробити висновок, що для реалізації загрози порушник
може діяти через засоби зв’язку, технічні канали або безпосередньо (в тому числі шляхом
фізичного впливу) на елементи локальних мереж. В останньому випадку порушнику
необхідно отримати фізичний доступ до згаданих елементів локальних мереж (тобто
подолати заходи організаційного обмеження доступу та , при необхідності, охоронної
сигналізації). Ці обставини можуть суттєво вплинути на склад засобів захисту інформації.
6. Модель порушника
Під порушником розуміється особа, яка зробила спробу виконання заборонених
операцій помилково, не знаючи або навмисно зі злим помислом (корисним інтересом) або
без таких (заради гри, самоствердження), заради самоствердження або помсти,
використовуючи для цього різні способи і методи, можливості і засоби.
Порушником по відношенню до АС можуть бути особи з персоналу і користувачів
системи; сторонні особи.
Можливі внутрішні порушники :
кінцеві користувачі (оператори системи); персонал;(перший рівень)
особи, що обслуговують технічних засобів (третій рівень);
співробітники відділу розробки і супроводження програмного забезпечення
(четвертий рівень);
співробітники служби безпеки АС (перший рівень);
керівники різних рівнів (перший рівень).
Можливі зовнішні порушники (сторонні особи):
технічний персонал, обслуговуючий будівлю (перший рівень);
клієнти (перший рівень);
представники організацій-конкурентів (другий рівень);
відвідувачі запрошені з будь-якого приводу (другий рівень).
Класифікація порушників:
перший рівень визначає найнижчий рівень можливостей проведення діалогу з
КС – можливість запуску фіксованого набору завдань (програм), що реалізують заздалегідь
передбачені функції обробки інформації;
другий рівень визначається можливістю створення і запуску власних програм
з новими функціями обробки інформації;
третій рівень визначається можливістю управління функціонуванням КС,
тобто впливом на базове програмне забезпечення системи і на склад і конфігурацію її
устаткування;
четвертий рівень визначається всім обсягом можливостей осіб, що
здійснюють проектування, реалізацію і ремонт апаратних компонентів КС, аж до включення
до складу КС власних засобів з новими функціями обробки інформації.
Припускається, що в своєму рівні порушник – це фахівець вищої кваліфікації,
який має повну інформацію про КС і КЗЗ.
Порушник може здійснювати несанкціонований доступ до інформації або під час
роботи автоматизованої системи, або в період неактивності автоматизованої системи, або ж
суміщаючи робочий і не робочий час.
У КСЗІ на виділеному об’єкті передбачаються, розглядаються і розробляються усі
чотири рівні порушників (таблиця 2).
Таблиця 2.
Модель порушника
№ Користувач АС Рівень порушника
1. Внутрішні
1.1 А І
1.2 СА ІV
1.3 Персонал І
2. Зовнішні
2.1 Працівник служби охорони ІІІ
2.2 Працівник комунальних служб ІІІ
2.3 Конкуренти ІV
2.3 Клієнт ІІІ
ДОДАТОК Г
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«13» березня 2016 року
6. Середовище АС
6.1 Вимоги до заземлення:
Усі металеві конструкції в приміщенні повинні бути заземлені;
Система заземлення не повинна мати вихід за межі контрольованої території;
Опір кіл заземлення від засобів філії до вузлів системи заземлення не повинен
перевищувати 4 Ом.
6.2 Вимоги до електроживлення
Електроживлення АС філії повинне здійснюватися від трансформаторної підстанції
низької напруги, розміщеної у межах контрольованої території. У випадку знаходження
трансформаторної підстанції за межами контрольованої території електроживлення повинно
здійснюватися через розділовий трансформатор.
Мережа електроживлення АС філії повинна бути відділена від мережі освітлення та
побутової мережі і забезпечувати безперебійну експлуатацію та працездатність АС.
Електроживлення повинно здійснюватися через протизавадні мережеві фільтри.
6.3 Вимоги до захисту інформації від витоку візуально-оптичним каналом
Для захисту інформації від витоку візуально-оптичним каналом вікна приміщень, де
розташована АС філії, повинні бути обладнані жалюзями або шторами.
7. Фізичне середовище АС
До компонентів фізичного середовища АС відносяться:
територія, будівля та приміщення, де знаходяться компоненти АС;
місця зберігання змінних, паперових та інших носіїв інформації;
охорона території, будівлі, приміщень та режими доступу до цих компонентів;
системи життєзабезпечення (електроживлення, заземлення, пожежної та
охоронної сигналізації), комунікацій і зв’язку (телефон, факс);
проектна та експлуатаційна документація на компоненти фізичного
середовища.
7.1. Територія фізичного середовища
Територія, яка знаходиться під цілодобовою охороною.
7.2. Будівля, де розгорнута АС
Доступ працівників ПАТ «Кредокомбанк» в будівлю здійснюється за перепустками.
Доступ сторонніх осіб в будівлю контролюється черговим відповідного підрозділу і
здійснюється за узгодженням керівника ПАТ «Кредокомбанк». Співробітники, які
приймають в будинку сторонніх осіб, зустрічають їх при вході і супроводжують на вихід
після завершення візиту.
7.3. Приміщення де знаходяться компоненти АС
Приміщенню, в якому розміщуються компоненти АС, категорія об’єкта інформаційної
діяльності не надана, у зв’язку з тим, що в ньому не передбачається обробка інформації, яка
становить державну таємницю (у відповідності до вимог “Тимчасового положення про
категоріювання об’єктів” ДСТСЗІ від 10.07.95 за № 35).
Приміщення контролюються охороною. Доступ до приміщення, де знаходиться АС,
здійснюється посадовими особами, які мають на це право за характером своєї діяльності. Всі
співробітники отримують доступ лише в ті приміщення, які дозволені їм політикою безпеки.
Приміщення у позаслужбовий час опечатуються металевими печатками посадових
осіб, що в них працюють.
7.4. Місця зберігання носіїв інформації
Місця та порядок зберігання змінних носіїв інформації здійснюється згідно
відповідних інструкцій.
7.5. Системи життєзабезпечення, комунікацій та зв’язку
Системи життєзабезпечення: система електроживлення, система заземлення, система
пожежної та охоронної сигналізації повинна відповідати вимогам із захисту інформації.
7.6. Документація на компоненти фізичного середовища
Проектна та експлуатаційна документація на компоненти фізичного середовища
зберігається у спеціально відведеному місці. Відповідальність за її збереження несе
призначена для цього посадова особа структурного підрозділу ПАТ «Кредокомбанк».
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«16» березня 2016 року
Київ–2016
1. Завдання захисту інформації в АСВТЗІ
3.1.3 Дані
За місцем зберігання дані АСВТЗІ поділяються на два види: дані на магнітних та
інших носіях та дані на паперових носіях.
Серед даних, що зберігаються на магнітних та інших носіях, розрізняють дані
постійного та тимчасового зберігання.
До даних, що зберігаються на паперових носіях, відносяться:
друковані документи;
документація на АСВТЗІ:
Технічне завдання;
Інструкція користувача АС 1;
Інструкція з адміністрування системи;
технічна документація на систему захисту інформації ЛОЗА-1;
Паспорт-формуляр на АСВТЗІ;
облікові картки користувачів АСВТЗІ;
Положення про службу захисту інформації;
План захисту інформації;
Інструкція щодо забезпечення режимних заходів під час обробки
конфіденційної інформації в АСВТЗІ.
3.1.4 Користувачі АСВТЗІ та технічний персонал
Відповідно до рівня повноважень щодо доступу до секретної інформації, характеру
робіт, які виконуються в процесі функціонування АСВТЗІ, для користувачів АСВТЗІ
визначаються такі ролі:
звичайний користувач;
адміністратор безпеки;
адміністратор документів;
системний адміністратор.
Облікова картка користувача містить такі реквізити:
ім’я користувача в АСВТЗІ;
прізвище та ініціали, підрозділ і посада користувача;
рівень допуску (найвищий гриф секретності інформації, з якою дозволено
працювати користувачеві);
роль користувача в системі (або декілька ролей у випадку суміщення
адміністративних ролей);
Для кожного користувача, що буде працювати в АСВТЗІ, заповнюється одна або
декілька облікових карток – у залежності від ролей, які він виконує в системі. Кожна
облікова картка відповідає обліковому запису користувача в базі даних захисту. Роль
звичайного користувача не суміщається в одному обліковому записі з жодною з
адміністративних ролей, адміністративні ролі можна суміщати між собою. Тому в разі
виконання однією особою функцій адміністратора(ів) та звичайного користувача,
заповнюються щонайменше дві облікові картки (одна картка для ролі „звичайний
користувач” та хоча б одна картка для адміністративних ролей) з різними іменами для
реєстрації в системі.
Технічний персонал АСВТЗІ забезпечує роботоздатність технічних засобів АСВТЗІ та
обслуговування приміщень, де встановлені ці засоби.
6. Модель порушника
Модель порушника представлена в Додатку В цього документу.
9. Архівація інформації
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«20» березня 2016 року
ТЕХНІЧНЕ ЗАВДАННЯ
Київ–2016
1. Загальні відомості
1.1. Повна назва системи та її умовне позначення
Повна назва: Комплексна система захисту інформації автоматизованої системи
відділу технічного захисту інформації пат «Кредокомбанк»
Умовне позначення: КСЗІ АСВТЗІ.
1.2. Шифр теми і реквізити договору
Розробка КСЗІ АСВТЗІ є складовою частиною робіт з впровадження АСВТЗІ в
діяльність, що виконуються між ПАТ «Кредокомбанк» та ТОВ «КСЗІінфо» відповідно вимог
Договору від 01.05.16 № 1АС/09 (далі - Договір).
1.3. Замовник
ПАТ «Кредокомбанк», м. Київ, вул. Гарманта, 50.
1.4. Виконавець
ТОВ «КСЗІінфо»
1.5. Планові терміни початку і закінчення роботи із створення КСЗІ
Терміни початку і закінчення робіт щодо створення КСЗІ АСВТЗІ визначаються
Договором.
1.6. Відомості про джерела та порядок фінансування робіт
Фінансування робіт із створення КСЗІ АСВТЗІ здійснюється ПАТ «Кредокомбанк»
1.7. Порядок оформлення та пред’явлення Замовнику результатів робіт
Технічне завдання оформлено згідно з вимогами НД ТЗІ 3.7-001-99 Методичні
вказівки щодо розробки технічного завдання на створення комплексної системи захисту
інформації в автоматизованій системі.
Порядок оформлення та пред’явлення Замовнику результатів виконання робіт зі
створення КСЗІ АСВТЗІ визначається вимогами:
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп’ютерних
системах від несанкціонованого доступу;
НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах
від несанкціонованого доступу;
НД ТЗІ 3.6-001-2000 Порядок створення, впровадження, супроводження та
модернізації засобів технічного захисту інформації від несанкціонованого доступу.
НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в
автоматизованій системі.
НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи
захисту інформації в інформаційно-телекомунікаційній системі.
РД 50-34.698-90. Автоматизированные системы. Требования к созданию документов.
Результатом роботи має бути КСЗІ АСВТЗІ, яка забезпечуватиме можливість обробки
в АСВТЗІ ІзОД. Замовник отримує дистрибутиви програмних засобів, а також комплект
документації відповідно до п. 5 цього ТЗ.
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«20» березня 2016 року
ТЕХНОРОБОЧИЙ ПРОЕКТ
Київ–2016
1. Відомість проектної документації до Техноробочого проекту КСЗІ в АСВТЗІ
3.5 Порядок постачання засобів захисту інформації та/або розробки технічних вимог
(технічних завдань) на їх розробку
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«30» березня 2016 року
ПАСПОРТ-ФОРМУЛЯР
НА АВТОМАТИЗОВАНУ СИСТЕМУ 2 КЛАСУ ВІДДІЛУ ТЕХНІЧНОГО ЗАХИСТУ
ІНФОРМАЦІЇ ПАТ «КРЕДОКОМБАНК»
Київ–2016
1. Загальні положення
Найменування
№ допоміжних Заводський
Тип Примітки
з/п технічних (інвентарний) №
засобів
Дата і № Дата і №
Найменування
Заводський документа, на документа, на
№ та склад
Тип (інвентарний) підставі якого підставі якого
з/п технічних
№ встановлено вилучено
засобів
пристрій пристрій
6. Відповідальні за ОІД
№ наказу, дата
Посада Прізвище, ім’я, по батькові
про призначення про звільнення
Підстава Прізвище та
Найменування
Дата проведення для ініціали особи,
технічного засобу та вид Підпис
робіт проведенн яка виконувала
проведених робіт
я робіт роботи
Номер справи, у
№ Номер та дата
Найменування документа якій зберігається Примітка
з/п документа
документ
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«12» квітня 2016 року
Київ–2016
1. Загальні положення
2. Завдання Служби
3. Функції Служби
Служба зобов’язана:
1. відстежувати всі зміни у нормативно-законодавчій базі з питань захисту
інформації, перевіряти відповідність прийнятих в АСВТЗІ правил обробки інформації чинній
нормативно-законодавчій базі з питань захисту інформації;
2. забезпечувати та якісне виконання організаційно-технічних заходів щодо
захисту інформації в АСВТЗІ, проводити експлуатацію КСЗІ відповідно до експлуатаційних
документів;
3. здійснювати контрольні перевірки стану захищеності інформації в АСВТЗІ,
сприяти і, у разі необхідності, брати безпосередню участь у проведенні вищими органами
перевірок стану захищеності інформації в АСВТЗІ;
4. заповнювати облікові картки користувачів згідно з рішенням керівництва ПАТ
«Кредокомбанк» , щодо включення (вилучення) працівників ПАТ «Кредокомбанк» до
переліку користувачів АСВТЗІ та надання їм повноважень згідно зі службовою
необхідністю;
5. вчасно і в повному обсязі доводити до користувачів і персоналу АСВТЗІ
інформацію про зміни їх повноважень щодо доступу до інформації та зміни у нормативно-
законодавчій базі з питань захисту інформації у частині, що їх стосується;
6. формувати в базі даних захисту АСВТЗІ дані щодо повноважень користувачів
згідно з відповідними обліковими картками;
7. забезпечувати схоронність інформації з обмеженим доступом у разі
виникнення надзвичайних ситуацій;
8. негайно повідомляти керівництво про виявлені спроби несанкціонованого
доступу та викриття порушників;
9. забезпечувати конфіденційність робіт щодо монтажу, експлуатації та
технічного обслуговування встановлених засобів захисту інформації.
6. Склад Служби
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«15» квітня 2016 року
Інструкція
користувачу щодо порядку обробки інформації з обмеженим доступом в
автоматизованій системі класу 2 відділу технічного захисту інформації ПАТ
«Кредокомбанк»
1. Загальні положення
Для входу до системи кожний користувач отримує від адміністратора безпеки ім’я,
пароль та один або два ключові диски.
Ім’я користувача не залежить від регістра і визначається адміністратором безпеки за
правилами, прийнятими у Windows:
може містити до 20 символів за винятком таких:
"/\[]:;|=,+*?<>
не може містити лиш крапки та пропуски.
Пароль для першого входу до системи визначається адміністратором безпеки. Під час
першого входу система пропонує користувачеві змінити пароль. Таким чином, пароль
користувача знатиме тільки він сам. Користувач повинен своєчасно (орієнтовно – раз на два
тижні) змінювати пароль.
Пароль має задовольняти таким обмеженням:
а) містити не менше 6 символів;
б) містити символи хоча б із трьох наборів із наведених чотирьох:
прописні літери латинського, російського та українського алфавітів: A,B,C…,Z, А, Б,
…Я;
строкові літери латинського, російського та українського алфавітів: a,b,c,d,…,z, а, б,…
я;
цифри: 0,1,2,3,…,9;
спеціальні символи: ~ ` ! @ # $ % ^ & * ( ) _ - + = | \ { } [ ] : ; » ’ < > , . ?
в) не містити в собі ім’я користувача чи частину його повного імені;
г) новий пароль повинен відрізнятись від двох попередніх паролів користувача.
5. Відповідальність користувача
Користувач несе персональну відповідальність за:
конфіденційність та цілісність інформації, яку він відпрацьовує в АСВТЗІ;
невиконання вимог цієї Інструкції;
надання доступу до ресурсів АСВТЗІ іншим особам під своїм персональним
ім’ям та паролем;
розголошення свого персонального імені та паролю;
невиконання встановлених вимог щодо забезпечення безпеки ІзОД під час
обробки ІзОД в АСВТЗІ.
Начальник відділу
технічного захисту інформації
ПАТ «Кредокомбанк» С.Ю.Ковтун
ДОДАТОК К
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«19» квітня 2016 року
Інструкція
з режимних заходів щодо захисту інформації під час її обробки в автоматизованій
системі класу 2 відділу технічного захисту інформації ПАТ «Кредокомбанк»
1. Загальні положення
Ця Інструкція визначає основи організації та порядок забезпечення режиму
конфіденційності під час обробки користувачами ІзОД за допомогою АСВТЗІ.
Виконання вимог цієї Інструкції покладається на начальника спеціального відділу та
користувачів АСВТЗІ.
9. Відповідальність користувача
Користувач несе персональну відповідальність за:
конфіденційність та цілісність інформації, яку він відпрацьовує в АСВТЗІ та
зберігає на ГМД або флеш накопичувачах;
виконання вимог цієї Інструкції;
виконання встановлених вимог щодо забезпечення безпеки ІзОД та режиму
конфіденційності.
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«25» квітня 2016 року
Інструкція з адміністрування
системи автоматизованої системи класу 2 відділу технічного захисту інформації ПАТ
«Кредокомбанк»
1. Загальні положення
Ця Інструкція визначає основи адміністрування системи АСВТЗІ.
Виконання вимог цієї Інструкції покладається на адміністратора АСВТЗІ.
2. Інструкція адміністратора
Адміністратор:
1. Керує розробленням планів і графіків оброблення інформації і проведення
обчислювальних робіт у відповідності із замовленнями підрозділів підприємства,
договорами на виконання робіт для сторонніх установ (організацій) і технічних можливостей
обчислювальної (інформаційно-обчислювальної) мережі підприємства.
2. Здійснює вибір основного складу електронно-обчислювального устаткування,
проводить його обґрунтування, визначає форми і методи збору інформації, забезпечує
розроблення і узгодження з відповідними підрозділами підприємства, технологічних схем
оброблення інформації за задачами і технологічними процесами оброблення інформації
засобами обчислювальної техніки.
3. Забезпечує контроль за належним те безпечним використанням комп’ютерів на
підприємстві.
4. Забезпечує оновлення технічної бази та інформаційного обслуговування,
впровадження сучасних методів і засобів оброблення інформації в рамках реалізації єдиної
технології розвитку інформаційно-обчислювальних машин управління виробничою
діяльністю..
5. Проводить вивчення і аналіз ринку інформаційних послуг з метою
забезпечення виробництва і управління підприємством сучасними інформаційними
технологіями.
6. Здійснює керівництво проектуванням структури баз даних і механізмів доступу
до них, розробленням і забезпеченням регламенту роботи з даними системи, вивченням
можливих джерел інформації для забезпечення функціонування інформаційно-аналітичної
системи, плануванням захисту системи у відповідності до концепції забезпечення безпеки.
7. Забезпечує технічне обслуговування обчислювальних, апаратних засобів
локальних обчислювальних мереж і комунікаційного устаткування, супроводження
системного програмного забезпечення обчислювальних засобів, інструментальних і
прикладних програмних засобів.
8. Організовує проведення профілактичних робіт, усунення несправностей, які
виникають у процесі експлуатації засобів обчислювальної техніки.
9. Забезпечує зберігання і обслуговування бібліотеки стандартних програм,
додержання правил зберігання і експлуатації машинних носіїв, їх своєчасну заміну в разі
непридатності.
10. Бере участь в організації і проведенні навчання користувачів прикладних
додатків, проектуванні і розробленні автоматизованої системи безперервного навчання
робітників підприємства.
11. Організовує працю працівників підприємства на комп’ютерах відповідно до
вимог її безпеки і раціональної організації.
12. Постійно підвищує рівень своїх професійних знань.
13. Виконує доручення директора підприємства.
14. Забезпечує контроль за збереженням матеріальних цінностей. - Своєчасно
відповідати на запити користувачів, пов'язані з непрацездатністю ПО або електронного
устаткування.
15. Приймає заходи по запобіганню і ліквідації конфліктних ситуацій. - Розглядає
пропозиції, пов'язані з поліпшенням роботи, проводить необхідні організаційно-технічні
заходи.
16. Інформує керівництво про наявні недоліки або порушення правил поведінки з
інформацією, заходах, що приймаються, по їх ліквідації.
17. Забезпечувати регулярну архівацію даних, що зберігаються на серверах, в т.ч.
зняття копій БД: сюди також відноситься організація робіт по резервному копіюванню
призначених для користувача даних, які по якихось причинах не зберігаються на файл-
серверах.
3. Відповідальність адміністратора
Адміністратор несе персональну відповідальність за:
конфіденційність та цілісність інформації, яку він відпрацьовує в АСВТЗІ;
виконання вимог цієї Інструкції;
виконання встановлених вимог щодо забезпечення безпеки ІзОД та режиму
конфіденційності.
Начальник відділу
технічного захисту інформації
ПАТ «Кредокомбанк» С.Ю.Ковтун
ДОДАТОК М
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«30» квітня 2016 року
1. Загальні положення
Ця Інструкція визначає правила видачі, вилучення та зберігання песональних
ідентифікаторів користувачів АСВТЗІ.
Виконання вимог цієї Інструкції покладається на адміністратора системи АСВТЗІ.
Начальник відділу
технічного захисту інформації
ПАТ «Кредокомбанк» С.Ю.Ковтун
ДОДАТОК Н
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«5» травня 2016 року
Інструкція
по правилам управління паролями в автоматизованій системі класу 2 відділу
технічного захисту інформації ПАТ «Кредокомбанк»
1. Загальні положення
Ця Інструкція визначає правила управління паролями в АС класу 2 відділу ТЗІ ПАТ
"Кредобанк".
Виконання вимог цієї Інструкції покладається на адміністратора системи АСВТЗІ.
2. Управління паролями
Начальник відділу
технічного захисту інформації
ПАТ «Кредокомбанк» С.Ю.Ковтун
ДОДАТОК П
НАКАЗУЮ:
Генеральний директор
Комерційного банку «Кредокомбанк»» О.С. Коваль
ДОДАТОК Р
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«17» травня 2016 року
Київ–2016
1. Об’єкт випробувань
Попереднім випробуванням за критеріями технічного захисту інформації (далі - ТЗІ)
підлягає комплексна система захисту інформації (далі - КСЗІ) в автоматизованій системі
класу 1 відділу технічного захисту інформації (далі - АСВТЗІ) ПАТ «Кредокомбанк», яка
знаходиться на об’єкті інформаційної діяльності - приміщення № 1 відділу технічного
захисту інформації ПАТ «Кредокомбанк» за адресою: м. Київ, вул. Гарманта, 50.
2. Мета випробувань
Метою попередніх випробувань є визначення:
відповідності КСЗІ задачам, поставленим у Технічному завданні;
ступеня виконання вимог з ТЗІ, зазначених у Технічному завданні;
ступеня готовності АСВТЗІ, в якій створена КСЗІ, до експлуатації.
3. Загальні положення
3.1. Перелік керівних документів з проведення випробувань:
1. НД ТЗІ 1.1-002-99 “Загальні положення щодо захисту інформації в
комп’ютерних системах від несанкціонованого доступу”;
2. НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних
системах від несанкціонованого доступу”;
3. НД ТЗІ 1.4-001-2000 “Типове положення про службу захисту інформації в
автоматизованій системі”;
4. НД ТЗІ 2.5-007-2001 “Вимоги до комплексу засобів захисту інформації, що
становить державну таємницю, від несанкціонованого доступу при її обробці в
автоматизованих системах класу 1”;
5. НД ТЗІ 3.7-003-2005 „Порядок проведення робіт із створення комплексної
системи захисту інформації в інформаційно-телекомунікаційній системі”;
6. Методика виявлення витоку мовної або видової інформації через закладні
пристрої на об’єктах інформаційної діяльності (розроблено ДП „Е-Консалтінг”, з
урахуванням апаратурного забезпечення) погоджено листом Держспецзв’язку України від
26.12.07. № 9/4-2585
4. Обсяг випробувань
4.1. Етапи випробувань і перевірок
Перевірка КСЗІ на наявність функцій захисту інформації відповідно до Технічного
завдання, повинна включати:
перевірку середовища функціонування АСВТЗІ;
перевірка експлуатаційної документації КСЗІ;
перевірку реалізації засобів захисту від витоку інформації з обмеженим
доступом (далі - ІзОД), яка планується до циркуляції в АСВТЗІ, за рахунок побічних
електромагнітних випромінювань та наведень (далі - ПЕМВН);
перевірку реалізації організаційних та організаційно-технічних заходів щодо
блокування візуально-оптичного каналу витоку інформації;
перевірку реалізації організаційних, організаційно-технічних та технічних
заходів щодо блокування радіотехнічного каналу витоку інформації;
перевірку реалізації захисту ІзОД в АСВТЗІ засобами захисту від НСД та
блокування шляхів НСД до компонентів АСВТЗІ;
перевірку реалізації організаційних заходів щодо унеможливлення
(блокування) загроз інформації, які можуть виникнути під час її циркуляції в АСВТЗІ.
4.1.1. Перевірка середовища функціонування АСВТЗІ
Перевірка середовища функціонування визначає повноту виконання вимог Технічного
завдання щодо:
фізичного середовища АСВТЗІ;
середовища користувачів АСВТЗІ;
технології обробки інформації в АСВТЗІ;
інформаційного середовища АСВТЗІ.
4.1.1.1.Перевірка фізичного середовища включає в себе:
відповідність режиму доступу до приміщення № 5 вимогам Технічного
завдання;
укомплектованість приміщення № 5 системами охоронної та пожежної
сигналізації, зв’язку, допоміжними технічними засобами, іншими системами
життєзабезпечення згідно вимог Технічного завдання.
4.1.1.2. Перевірка середовища користувачів визначає:
відповідність категорії користувачів АСВТЗІ до категорій і повноважень
користувачів наведеним вимогам в Технічному завданні;
відсутність доступу до АСВТЗІ осіб, які не належать до визначених категорій;
наявність розроблених розпорядчих документів щодо правил пропускного
режиму на контрольовану зонуПАТ «Кредокомбанк», порядку доступу осіб в приміщення у
якому розташовано АСВТЗІ та порядку доступу до АСВТЗІ.
4.1.1.3. Перевірка обчислювальної системи визначає:
відповідність комплектності, основних функціональних характеристик
програмного забезпечення, технічних засобів обробки інформації та обладнання АСВТЗІ
проектній та експлуатаційній документації КСЗІ в АСВТЗІ;
наявність у засобів захисту інформації, інших технічних засобів та програмного
забезпечення АСВТЗІ, задіяних у складі КСЗІ, підтвердження їх відповідності нормативним
документам із захисту інформації (атестат, сертифікат відповідності, експертний висновок) і
відповідність їхнього використання вимогам, визначеним цими документами.
4.1.1.4. Перевірка технології обробки інформації за допомогою АСВТЗІ визначає:
відповідність задекларованої в Технічному завданні технології обробки
інформації за допомогою АСВТЗІ впровадженому в експлуатаційній документації на КСЗІ
порядку обробки інформації;
відповідність адміністрування операційної системи АСВТЗІ та комплексу
засобів захисту від НСД технології обробки інформації за допомогою АСВТЗІ.
4.1.1.5. Перевірка інформаційного середовища в АСВТЗІ:
відповідність категорій оброблюваної інформації в АСВТЗІ тим, що зазначені в
Технічному завданні;
відповідність форми представлення інформації в АСВТЗІ тій, що визначена в
Технічному завданні.
Результати проведеної перевірки викласти в Акті повноти виконання заходів з
попередніх випробувань КСЗІ в АСВТЗІ.
4.1.2. Перевірка проектної та експлуатаційної документації на КСЗІ
Перевірка проектної та експлуатаційної документації на КСЗІ визначає перевірку
відповідності складених проектних та експлуатаційних документів на КСЗІ переліку
наведеному в Технічному завданні та Техпроекту КСЗІ;
перевірку повноти та вірності складених проектних та експлуатаційних документів
щодо запровадження організаційних, організаційно-технічних та технічних заходів захисту
інформації в АСВТЗІ відповідно вимог нормативних документів перелік яких наведено в п.п.
3.1.
Результати проведеної перевірки викласти в Акті повноти виконання заходів з
випробувань КСЗІ в АСВТЗІ.
4.1.3. Перевірка реалізації в КСЗІ організаційних, організаційно-технічних та
технічних заходів захисту від витоку технічними каналами
4.1.3.1. Перевірка реалізації в КСЗІ організаційних, організаційно-технічних та
технічних заходів захисту від витоку ІзОД, яка планується до циркуляції в АСВТЗІ, за
рахунок ПЕМВН визначає:
перевірку відповідності монтажу всіх компонентів АСВТЗІ вимогам наведеним
в наведеним в Технічному завданні;
перевірку роботоздатності системи заземлення та відповідності її опору
заземлення ТР ЕОТ-95;
перевірку відповідності монтажу на лінію електроживлення від якої
здійснюється електроживлення АСВТЗІ завадозаглушувального фільтра М-17 вимогам, які
висуваються в технічній документації на вказаний пристрій;
перевірку відповідності монтажу на лінію охоронної та пожежної сигналізації
завадозаглушувального фільтра М-9 вимогам, які висуваються в технічній документації на
вказаний пристрій;
Результати проведеної перевірки викласти в Протоколі випробувань КСЗІ в АСВТЗІ.
4.1.3.2. Перевірка реалізації організаційних, організаційно-технічних та технічних
заходів щодо блокування візуально-оптичного каналу.
Перевірка повинна визначити повноту виконання вимог Технічного завдання з
реалізації захисту ІзОД від її витоку за рахунок візуально-оптичного каналу, а саме
унеможливлення зняття інформації, яка виводиться на монітор АСВТЗІ, або яка циркулює на
ОІД у вигляді паперових носіїв, засобами технічної розвідки ззовні ОІД через віконний отвір.
Результати проведеної перевірки викласти в Акті повноти виконання заходів з
попередніх випробувань КСЗІ в АСВТЗІ.
4.1.3.3. Перевірка реалізації організаційних, організаційно-технічних та технічних
заходів щодо блокування радіотехнічного каналу.
Перевірка визначає повноту виконання організаційних та організаційно-технічних
заходів захисту інформації відповідно вимог Технічного завдання з реалізації захисту ІзОД
від витоку радіотехнічним каналом.
Перевірка приміщення № 5 на можливо встановлених в ньому засобів технічної
розвідки проводиться щодо виявлення можливо встановлених на ОІД мікровідеокамер, які
можуть перехоплювати видову ІзОД, що виводиться на монітор АСВТЗІ та циркулює у
вигляді паперових носіїв. Перевірка проводиться відповідно методики що наведена в п.п.3.1.
Результати проведеної перевірки викласти в Протоколі випробувань КСЗІ в АСВТЗІ.
4.1.4. Перевірка блокування шляхів НСД до компонентів АСВТЗІ
Перевірка визначає:
відповідність впроваджених в експлуатаційних документах КСЗІ
організаційних та організаційно-технічних заходів щодо унеможливлення (блокування)
шляхів НСД сторонніх осіб до компонентів АСВТЗІ;
роботоздатність охоронної сигналізації приміщення № 5.
Результати проведеної перевірки викласти в Протоколі попередніх випробувань КСЗІ.
4.1.5. Перевірка блокування шляхів НСД до ІзОД, яка циркулюватиме в АСВТЗІ
Перевірка блокування шляхів НСД до ІзОД, яка циркулюватиме в АСВТЗІ
передбачає:
відповідність проведеного адміністрування впровадженого КЗЗ в АСВТЗІ
задекларованому в Технічному завданні функціональному профілю захищеності інформації в
АСВТЗІ.
виконання множини послуг, що відповідають функціональному профілю
захищеності та рівню гарантії, наведеному в Технічному завданні. Перевірка проводиться
відповідно до вимог НД ТЗІ 1.1-002-99 “Загальні положення щодо захисту інформації в
комп’ютерних системах від несанкціонованого доступу” та НД ТЗІ 2.5-004-99 “Критерії
оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”.
Результати проведеної перевірки викласти в Протоколі попередніх випробувань КСЗІ.
4.1.6. Перевірка реалізації організаційних заходів щодо унеможливлення загроз ІзОД
в АСВТЗІ
Перевірка включає в себе перевірку вжитих в експлуатаційних документах КСЗІ
організаційних заходів щодо блокування (унеможливлення) загроз ІзОД під час її циркуляції
в АСВТЗІ.
Результати проведеної перевірки викласти в Протоколі попередніх випробувань КСЗІ.
8. Звітність
За підсумками попередніх випробувань оформлюються:
Протокол випробувань КСЗІ в АСВТЗІ;
Акт повноти виконаних заходів із захисту інформації при створенні КСЗІ в АСВТЗІ.
ДОДАТОК С
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«20» травня 2016 року
Протокол
попередніх випробувань комплексної системи захисту інформації в
автоматизованій системі класу 2
відділу технічного захисту інформації ПАТ «Кредокомбанк»
2. Вихідні дані
5. Висновок:
КСЗІ в АСВТЗІ:
забезпечує визначену для АСВТЗІ Політику безпеки інформації;
здійснює розмежування доступу користувачів в АСВТЗІ до інформації різних
категорій конфіденційності;
реєструє спроби реалізації загроз інформації та сповіщає адміністраторів
безпеки АСВТЗІ про факти несанкціонованих дій з ІзОД;
забезпечує спостережність інформації шляхом контролю за діями користувачів
АСВТЗІ та реєстрацію подій, які мають відношення до безпеки інформації;
підтримує цілісність критичних ресурсів АСВТЗІ;
забезпечує організацію обліку, зберігання та обігу матеріальних носіїв
інформації, які використовуються в АСВТЗІ;
забезпечує управління засобами захисту КСЗІ та контроль за її
функціонуванням;
забезпечує захист ІзОД від її витоку технічними каналами;
блокує НСД до ІзОД та несанкціоновані дії з ІзОД;
блокує НСД до компонентів АСВТЗІ та на ОІД в цілому;
унеможливлює загрози ІзОД, яка циркулюватиме в АСВТЗІ;
забезпечує дотримання вимог режиму конфіденційності під час роботи
користувачів АСВТЗІ з ІзОД;
Створена КСЗІ в АСВТЗІ може бути передана для проведення дослідної експлуатації.
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«25» травня 2016 року
АКТ
повноти виконаних заходів із захисту інформації при створенні комплексної
системи захисту інформації в автоматизованій системі класу 2 відділу технічного
захисту інформації ПАТ «Кредокомбанк»
1. Комісія у складі:
2. Комісією встановлено:
2.1. Загрозами для конфіденційної інформації, яка циркулюватиме в АСВТЗІ, є:
несанкціонований доступ до інформації в АСВТЗІ;
несанкціонований доступ до компонентів АСВТЗІ;
канал витоку інформації за рахунок побічних електромагнітних випромінювань
та наведень;
радіотехнічний канал;
візуально-оптичний канал;
загрози, які можуть виникнути під час циркуляції інформації в АСВТЗІ.
2.2. Для блокування загроз в АСВТЗІ створена комплексна система захисту
інформації (далі – КСЗІ).
2.3. КСЗІ проектувалась відповідно вимог нормативно-правових документів з
технічного захисту інформації України та документа «Автоматизована система відділу
технічного захисту інформації ПАТ «Кредокомбанк». Комплексна система захисту
інформації. Технічне завдання».
2.4. КСЗІ впроваджувалась відповідно вимог документа Автоматизована система
відділу технічного захисту інформації ПАТ «Кредокомбанк». Комплексна система захисту
інформації. Техноробочий проект».
2.5. Під час створення КСЗІ в АСВТЗІ створено та впроваджено наступні проектні та
експлуатаційні документи:
Перелік відомостей, що відносяться до конфіденційної інформації ПАТ
«Кредокомбанк» та якій надається гриф обмеження доступу;
Акт визначення вищого ступеню обмеження доступу інформації, яка циркулюватиме
на об’єкті інформаційної діяльності – приміщення № 1 відділу технічного захисту інформації
ПАТ «Кредокомбанк»;
Акт обстеження середовищ функціонування автоматизованої системи на об’єкті
інформаційної діяльності – приміщення № 1 відділу технічного захисту інформації ПАТ
«Кредокомбанк»;
Модель загроз для інформації, яка планується до циркуляції в автоматизованій
системі класу 2 на об’єкті інформаційної діяльності – приміщення № 1 ПАТ
«Кредокомбанк»;
Політика безпеки інформації, яка циркулює в автоматизованій системі класу 2 ПАТ
«Кредокомбанк»;
Автоматизована система відділу технічного захисту інформації ПАТ «Кредокомбанк».
Комплексна система захисту інформації. План захисту інформації;
Автоматизована система відділу технічного захисту інформації ПАТ «Кредокомбанк».
Комплексна система захисту інформації. Технічне завдання (далі – Технічне завдання);
Автоматизована система відділу технічного захисту інформації ПАТ «Кредокомбанк».
Комплексна система захисту інформації. Техпроект (далі – Техпроект);
Паспорт-формуляр на автоматизовану систему класу 2 відділу технічного захисту
інформації ПАТ «Кредокомбанк»;
Положення про службу захисту інформації в автоматизованій системі класу 2 відділу
технічного захисту інформації ПАТ «Кредокомбанк»;
Інструкція користувачу автоматизованої системи класу 2 відділу технічного захисту
інформації ПАТ «Кредокомбанк»;
Інструкція з адміністрування системи автоматизованої системи класу 2 відділу
технічного захисту інформації ПАТ «Кредокомбанк»;
Інструкція з режимних заходів щодо захисту інформації під час її обробки в
автоматизованій системі класу 2 відділу технічного захисту інформації ПАТ
«Кредокомбанк»;
Інструкція з правил видачі вилучення та зберігання персональних ідентифікаторів
користувачів автоматизованої системи класу 2 відділу технічного захисту інформації ПАТ
«Кредокомбанк»;
Інструкція по правилам управління паролями в автоматизованій системі класу 2
відділу технічного захисту інформації ПАТ «Кредокомбанк»;
Інструкція про порядок оперативного відновлення функціонування автоматизованої
системи класу 2 відділу технічного захисту інформації ПАТ «Кредокомбанк».
2.6. Всі організаційні, організаційно-технічні та технічні заходи захисту інформації,
яка циркулюватиме в АСВТЗІ, виконано в повному обсязі (Протокол попередніх
випробувань комплексної системи захисту інформації в автоматизованій системі класу 2
відділу технічного захисту інформації ПАТ «Кредокомбанк»)
2.7. Для забезпечення виконання всіх заходів із захисту інформації в АСВТЗІ та
підтримки параметрів КСЗІ в робочому стані в ПАТ «Кредокомбанк» створена служба
захисту інформації в АСВТЗІ, яка у своїй діяльності керується Положенням про службу
захисту інформації в АСВТЗІ погодженим директором ПАТ «Кредокомбанк».
3. Висновок
КСЗІ в АСВТЗІ забезпечує захист ІзОД від її витоку технічними каналами,
унеможливлює шляхи НСД до ІзОД в АСВТЗІ та її компонентів, унеможливлює загрози
ІзОД, які виникатимуть під час її циркуляції в АСВТЗІ.
Створена КСЗІ в АСВТЗІ може бути передана для проведення дослідної експлуатації.
Голова комісії:
заступник директора ПАТ «Кредокомбанк» С.С.Бондаровець
Члени комісії:
начальник відділу технічного
захисту інформації С.Ю.Ковтун
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«30» травня 2016 року
АКТ
приймання комплексної системи захисту інформації автоматизованої системи класу 2
відділу технічного захисту інформації ПАТ «Кредокомбанк»
Комісією у складі:
голови: заступника директора ПАТ «Кредокомбанк» Бондаровця С.С.
членів: начальника відділу технічного захисту інформації Ковтун С.Ю., начальника
спеціального відділу Сапожнік Т.М..
було проведено приймання у дослідну експлуатацію комплексну систему захисту
інформації (далі – КСЗІ) яка створена в автоматизованій системі класу 2 відділу технічного
захисту інформації (далі – АСВТЗІ) ПАТ «Кредокомбанк».
Під час роботи комісії встановлено:
1. КСЗІ в АСВТЗІ створена відповідно вимог документу «Автоматизована система
відділу технічного захисту інформації ТОВ ПАТ «Кредокомбанк». Комплексна система
захисту інформації. Технічне завдання», а саме:
вимог до захисту інформації від витоку технічними каналами;
вимог до захисту інформації від несанкціонованого доступу до інформації в
АСВТЗІ, компонентів АСВТЗІ та на об’єкт інформаційної діяльності в цілому;
вимог щодо унеможливлення загроз інформації, які можуть виникати під час
циркуляції в АСВТЗІ.
2. КСЗІ в АСВТЗІ пройшла попередні випробування та здійснює захист інформації в
АСВТЗІ про що свідчать позитивні висновки Протоколу попередніх випробувань
комплексної системи захисту інформації в автоматизованій системі класу 2 відділу
технічного захисту інформації ПАТ «Кредокомбанк» стосовно впроваджених в КСЗІ
організаційних, організаційно-технічних та технічних заходів захисту.
3. Комплект експлуатаційних документів КСЗІ в АС 2 є достатнім щодо можливості
прийняття КСЗІ у дослідну експлуатацію.
Висновок:
Враховуючи вище зазначену інформацію доцільно провести дослідну експлуатацію
КСЗІ в АСВТЗІ.
Голова комісії:
заступник директора ПАТ «Кредокомбанк» С.С.Бондаровець
Члени комісії:
начальник відділу технічного
захисту інформації С.Ю.Котвун
ЗАТВЕРДЖУЮ
Генеральний директор ПАТ
«Кредокомбанк»
________________ О.С. Коваль
«2» червня 2016 року
АКТ
завершення дослідної експлуатації комплексної системи захисту
інформації в автоматизованій системі класу 2 відділу технічного
захисту інформації ПАТ «Кредокомбанк»
Комісією у складі:
голови: заступника директора ПАТ «Кредокомбанк» Бондаровця С.С.;
членів: начальника відділу технічного захисту інформації Ковтун С.Ю., начальника
спеціального відділу Сапожнік Т.М.
було проведено дослідну експлуатацію комплексної системи захисту інформації (далі
– КСЗІ) яка створена в автоматизованій системі класу 2 відділу технічного захисту
інформації (далі – АСВТЗІ) об’єкту інформаційної діяльності – приміщення № 1 ПАТ
«Кредокомбанк» (далі – ОІД).
Підставою для проведення дослідної експлуатації КСЗІ в АСВТЗІ є:
«Автоматизована система відділу технічного захисту інформації ПАТ
«Кредокомбанк». Комплексна система захисту інформації. Технічне завдання» (далі –
Технічне завдання);
Протокол попередніх випробувань комплексної системи захисту інформації в
автоматизованій системі класу 2 відділу технічного захисту інформації ПАТ
«Кредокомбанк» (далі – Протокол попередніх випробувань).
Висновок
КСЗІ в АСВТЗІ:
забезпечує визначену для АСВТЗІ системи політику безпеки інформації;
здійснює розмежування доступу користувачів в АСВТЗІ до інформації різних
категорій конфіденційності;
блокує несанкціоновані дії з ІзОД;
реєструє спроби реалізації загроз інформації та сповіщає адміністраторів
безпеки інформаційно-телекомунікаційної системи про факти несанкціонованих дій з ІзОД;
забезпечує спостереженість інформації шляхом контролю за діями
користувачів АСВТЗІ та реєстрації подій, які мають відношення до безпеки інформації;
підтримує цілісність критичних ресурсів АСВТЗІ;
забезпечує організацію обліку, зберігання та обігу матеріальних носіїв
інформації, які використовуються в АСВТЗІ;
забезпечує управління засобами захисту КСЗІ та контроль за її
функціонуванням;
забезпечує захист ІзОД від її витоку технічними каналами;
забезпечує дотримання вимог режиму конфіденційності під час роботи
користувачів в АСВТЗІ з ІзОД.
Під час проведення дослідної експлуатації КСЗІ в АСВТЗІ збоїв в роботі будь яких
компонентів АСВТЗІ, пристроїв захисту інформації, систем охоронної та протипожежної
сигналізації не виявлено.
Створена КСЗІ в АСВТЗІ може бути представлена на експертизу щодо отримання
атестату відповідності на КСЗІ в АСВТЗІ.
Голова комісії:
заступник директора ПАТ «Кредокомбанк» С.С.Бондаровець
Члени комісії:
начальник відділу технічного
захисту інформації С.Ю.Котвун
________________________________________________________________________________
(назва державного органу, яким надано Атестат)
засвідчує, що комплексна система захисту інформації__________________________________
________________________________________________________________________________
( назва ІТС)
що належить_____________________________________________________________________
(назва державного органу /організації, підприємства, установи/ - власника/розпорядника ІТС,
________________________________________________________________________________
її місцезнаходження)
забезпечує захист інформації відповідно до вимог нормативних документів з технічного
захисту інформації.
Атестат видано на підставі Експертного висновку, який надано Організатором
експертизи – ____________________________________________________________________
(назва державного органу (організації, підприємства, установи), що є організатором експертизи)
Керівник органу,
яким надано Атестат ___________ _____________________
(підпис) (ініціали, прізвище)