ДСТУ 3396.0-96
ДСТУ 3396.0-96 визначає основні організаційно-технічні положення технічного захисту інформації (ТЗІ) в Україні. Стандарт регулює захист від неправомірного доступу до даних, що можуть завдати шкоди державі, юридичним особам або громадянам.
Спеціалісту з ОП варто враховувати ці вимоги при розробці інструкцій щодо роботи з конфіденційною інформацією та персональними даними працівників. Необхідно інтегрувати організаційні заходи ТЗІ в загальну систему безпеки підприємства.
Скачать документ
Формат .docx · доступно зарегистрированным пользователям
Захист інформації
Основні положення
Видання офіційне
Київ
1996
1 РОЗРОБЛЕНО І ВНЕСЕНО Державною службою України з питань технічного захисту інформації
2 ЗАТВЕРДЖЕНО \ ВВЕДЕНО В ДІЮ наказом Держстандарту України від 11 жовтня І996 р. № 423
3 У цьому стандарті реалізовано норми законів України «Про інформацію», «Про державну таємницю», «Про захист інформації в автоматизованих системах»
5 РОЗРОБНИКИ: О. Баранов, А. Новіченко, Б. Гелевера, 1. Арутюнова
© Держспоживстандарт України, 1996
Цей стандарт не може бути повністю чи частково «відтворений, тиражований і розповсюджений як офіційне видання без дозволу Держстандярту України
с.
1 Галузь використання 1
2 Нормативні посилання 2
3 Загальні положення 2
4 Побудова системи захисту інформації З
4.1 Визначення й аналіз загроз З
4.2 Розроблення системи захисту інформації 4
4.3 Реалізація плану захисту інформації 4
4.4 Контроль функціювання та керування системою захисту інформації. ...... 5
5 Нормативні документи з ТЗІ 5
Основні положення
Основные положения
Чинний від 1997—01—01
Цей стандарт установлює об'єкт захисту, мету, основні організаційно-технічні положення технічного захисту інформації (ТЗІ), непра- омірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також категорії нормативних документів зТЗІ.
Вимоги стандарту обов'язкові для підприємств та установ усіх форм власності і підпорядкування, громадян — суб'єктів підприємницькоїдіяль- ності, органів державної влади, органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.
Видання офіційне
У цьому стандарті наведено посилання на такі документи:
ДСТУ 1.0—93 Державна система стандартизації України. Основні положення;
ДСТУ 1.2—93 Державна система стандартизації України. Порядок розроблення державних стандартів;
ДСТУ 1.3—93 Державна система стандартизації України. Порядок розроблення, побудови, викладу, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов;
ДСТУ 1.4—93 Державна система стандартизації України. Стандарт підприємства. Основні положення;
ДСТУ 1.5—93 Державна система стандартизації України. Загальні вимоги до побудови, викладу, оформлення і змісту стандартів;
ДБН А. 1.1 — і—93 Система стандартизації та нормування в будівництві. Основні положення;
ДБН А.1.1—2—93 Система стандартизації та нормування в будівництві. Порядок розробки, вимоги до побудови, викладу та оформлення нормативних документів.
3.1 Об'єктом технічного захисту с інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження (далі— інформація з обмеженим доступом — ІзОД).
3.2 Об'єкт захисту, мету і завдання ТЗІ визначають і встановлюють особи, які володіють, користуються, розпоряджаються ІзОД у межах прав і повноважень, наданих законами України, підзаконними актами та нормативними документами з ТЗІ.
3.3 Носіями ІзОД можуть бути фізичні поля, сигнали, хімічні речовини, що утворюються в процесі інформаційної діяльності, виробництва й експлуатації продукції різного призначення (далі— інформаційна діяльність).
3.4 Середовищем поширення носіїв ІзОД можуть бути лінії зв'язку, сигналізації, керування, енергетичні мережі, прикінцевеі проміжне обладнання, інженерні комунікації і споруди, відгороджувалі ні будівельні конструкції, а також світлопроникні елементи будинків і споруд (отвори), повітряне, водне та інше середовища, грунт, рослинність тощо.
3.5 Витік або порушення цілісності ІзОД (спотворення, модифікація, руйнування, знищення) можуть бути результатом реалізації загроз безпеці інформації (далі—загроза).
3.6 Метою ТЗІ с запобігання витоку або порушенню цілісності ІзОД.
3.7 Мста ТЗІ може бути досягнута побудовою системи захисту інформації, що є організованою сукупністю методів і засобів забезпечення ТЗІ.
Технічний захист інформації здійснюється поетапно:
1 етап — визначення й аналіз загроз;
2 етап — розроблення системи захисту інформації;
3 етап — реалізація плану захисту інформації;
4 етап — контроль фукціювання та керування системою захисту інформації.
1.1.1 Визначення й аналіз загроз
4.1.1 На першому етапі необхідно здійснити аналіз об'єктів захисту, ситуаційного плану, умов функціюпання підприємства, установи, організації, оцінити ймовірність прояву загроз та очікувану шкоду під їх реалізації, підготувати засадничі дані для побудови окремої моделі загроз.
4.1.2 Джерелами загроз може бути діяльність іноземних розвідок, а також навмисні або ненавмисні дії юридичних і фізичних осіб.
4.1.3 Загрози можуть здійснюватися:
• технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо-, радіотехнічні, хімічні та інші канали;
• каналами спеціального впливу шляхом формування полів і сигналів з мстою руйнування системи захисту або порушення цілісності інформації; .
• несанкційованнм доступом шляхом підключення до апаратури та ліній зв'язку, маскування під зарссстрованого користувача, подолання заходів захисту для використання інформації або нав'язування хибної інформації, застосування підкладних пристроїв чи програм та вкорінення комп'ютерних вірусів.
4.1.4 Опис загроз і схематичне подання шляхів їх здійснення складають окрему модель загроз.
1.1.2 Розроблення системи захисту інформації
1.1.3 2.1 На другому етапі слід здійснити розроблення плану ТЗІ, що
містить організаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначити зони безпеки інформації.
Організаційні заходи регламентують порядок інформаційної діяльності з урахуванням норм і вимог ТЗІ для всіх періодів життевого циклу об'єкта захисту.
Первинні технічні заходи передбачають захист інформації блокуванням загроз без використання засобів ТЗІ.
Основні технічні заходи передбачають захист інформації з використанням засобів забезпечення ТЗІ.
4.2.2 Для технічного захисту інформації слід застосовувати спосіб приховування або спосіб технічної дезінформації.
4.2.3 Заходи захисту інформації повинні:
• бути відповідними загрозам;
• бути розробленими з урахуванням можливої шкоди від їх реалізації і вартості захисних заходів та обмежень, що вносяться ними;
• забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.
4.2.4 Рівень захисту інформації означується системою кількісних та якісних показників, які забезпечують розв'язання завдання захисту інформації на основі норм та вимог ТЗІ.
4.2.5 Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпеч- нішій загрозі.
Підвищення рівня захисту інформації досягається нарощуванням технічних заходів протидії безлічі загроз.
4.2.6 Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізації заходів ТЗІ, розрахунку ефективності захисту та порядок атестації технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщень) установлюються нормативними документами з ТЗІ
4.3 Реалізація плану захисту інформації
4.3.1 На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні он» Безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщені.) на відповідність вимогам безпеки інформації.
4.3.2 Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації (далі — засоби ТЗІ) та засобів контролю, які мають сертифікат відповідності вимогам нормативних документів з технічного захисту системи УкрСЕПРО або дозпіл на їх використання від органу, уповноваженого Кабінетом Міністрів України, а також застосуванням спеціальних інженерно-технічних споруд, засобів і систем (далі— засоби забезпечення ТЗІ).
4.3.3 Засоби ТЗІ можуть функціюватн автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у них складових елементів.
4.3.4 Склад засобів забезпечення ТЗІ, перелік їх постачальників, а також послуг з установлення, монтажу, налагодження та обслуговування визначаються особами, які володіють, користуються і розпоряджаються ІзОД самостійно або за рекомендаціями спеціалістів з ТЗІ згідно з нормативними документами з ТЗІ.
4.3.5 Надання послуг з ТЗІ, атестацію та сервісне обслуговування засобів забезпечення ТЗІ можуть здійснювати юридичні і фізичні скоби, які мають ліцензію на право проведення цих робіт, видану органом, уповноваженим Кабінетом Міністрів України.
4.4 Контроль функціювання та керування системою захисту ін формації
4.4.1 На четвертому етапі слід провести аналіз функціювання системи захисту інформації, перевірку виконання заходів ТЗІ, контроль ефективності захисту, підготувати та видати засадничі дані для керування системою захисту інформації.
4.4.2 Керування системою захисту інформації полягає у адаптації заходів ТЗІ до поточного завдання захисту інформації.
За фактами зміни умов здійснення або виявлення нових загроз заходи ТЗІ реалізуються у найкоротший строк.
4.4.3 У разі потреби підвищення рівня захисту інформації необхідно виконати роботи, передбачені 1, 2 та 3 етапами побудови системи захисту інформації.
4.4.4 Порядок проведення перевірок і контролю ефективності захисту і
