Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Нормативний документ

Нормативний документ




Сторінка1/18
Дата конвертації28.04.2017
Розмір2.04 Mb.
  1   2   3   4   5   6   7   8   9   ...   18






НОРМАТИВНИЙ ДОКУМЕНТ

СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ

Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах
НД ТЗІ 2.

Експерти́за (від лат. expertus - досвідчений, знавець) - розгляд, дослідження експертом-фахівцем якихось справ, питань, що потребують спеціальних знань. У найбільш загальному вигляді експертиза - це спосіб аналізу причинно-наслідкових зв'язків не тільки стосовно того, що вже відбулося, але й того, що очікується, має або може відбутися; це спосіб пізнання певної реальності у тих випадках, коли ця реальність не піддається прямому вимірюванню, обрахуванню і взагалі якому завгодно «об'єктивному дослідженню».

Інформаці́йна безпе́ка - це стан захищеності систем обробки і зберігання даних, при якому забезпечено конфіденційність, доступність і цілісність інформації, або комплекс заходів, спрямованих на забезпечення захищеності інформації від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки, запису чи знищення (у цьому значенні частіше використовують термін «захист інформації»).

Несанкціоно́ваний до́ступ до інформа́ції - доступ до інформації з порушенням посадових повноважень співробітника, доступ до закритої для публічного доступу інформації з боку осіб, котрі не мають дозволу на доступ до цієї інформації.

Техні́чний за́хист інформа́ції (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації.

6-001-11

Адміністрація Державної служби спеціального зв’язку

та захисту інформації України
Київ 2011


НОРМАТИВНИЙ ДОКУМЕНТ

СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ


ЗАТВЕРДЖЕНО

Наказ Адміністрації Державної

служби спеціального зв’язку

та захисту інформації України

25 березня 2011 року № 65

із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.

Адміністрáція - це: «державна адміністрація» у значенні певних органів державного управління. Розрізняють - А. центральну (Президент, Кабінет Міністрів, інші центральні відомства) та місцеву (решта органів державного управління); із запровадженням інституту президентства створено апарат при Президентові України, який має назву «Адміністрація Президента України».

Держа́вна слу́жба - професійна діяльність щодо практичного виконання завдань і функцій держави особами, які мають посади в державних органах та одержують заробітну плату за рахунок державних коштів.

2012 № 806





Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах
НД ТЗІ 2.6-001-11

Адміністрація Державної служби спеціального зв’язку

та захисту інформації України
Київ










Передмова

РОЗРОБЛЕНО Товариством з обмеженою відповідальністю "Інститут комп'ютерних технологій".

ВНЕСЕНО Департаментом з питань захисту інформації в інформаційно-телекомунікаційних системах Адміністрації Державної служби спеціального зв’язку та захисту інформації України.

Департа́мент (від фр. departement, фр. departir "розділяти") - в деяких країнах це є назва відомства міністерства (наприклад, державний Департамент США). Або адміністративно-територіальна одиниця Франції та деяких інших країн.

УВЕДЕНО ВПЕРШЕ.

Цей документ не може бути повністю чи частково відтворений, тиражований та розповсюджений без дозволу Адміністрації Державної служби спеціального зв’язку та захисту інформації України

Зміст

НД ТЗІ 2.6-001-11
Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах


Чинний від 2011-03-25

1 Галузь застосування


Цей нормативний документ (НД) містить опис загальних положень та порядку проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу (НСД) та комплексних систем захисту інформації (КСЗІ), оброблюваної в інформаційно-телекомунікаційних системах (ІТС), у сфері технічного захисту інформації (ТЗІ).

Нормативна документація - документи, які встановлюють правила, загальні принципи чи характеристики різних видів діяльності або їхніх результатів.

НД призначено для державних органів, органів місцевого самоврядування, органів управління Збройних Сил України, інших військових формувань, а також підприємств, установ і організацій всіх форм власності, які виконують роботи зі створення та проведення експертизи засобів технічного захисту інформації (ЗТЗІ) від НСД та КСЗІ в ІТС на відповідність вимогам НД системи ТЗІ в Україні.

Підприє́мство - самостійний суб'єкт господарювання, зареєстрований компетентним органом державної влади або органом місцевого самоврядування, для задоволення суспільних та особистих потреб шляхом систематичного здійснення виробничої, науково-дослідної, торговельної, іншої господарської діяльності в порядку, передбаченому Господарським кодексом України та іншими законами.

Організа́ція (від грец. ὄργανον - інструмент) - цільове об'єднання ресурсів для досягнення певної мети.

Форма власності - це стійка система економічних відносин і господарських зв'язків, що зумовлює відповідний спосіб та механізм поєднання працівника і засобів виробництва.

Військо́ве формува́ння - створені відповідно до законодавства будь-якої держави сукупності військових об'єднань, з'єднань, частин, підрозділів та органів управління ними, які комплектуються військовослужбовцями, мають постійну чи тимчасову організацію, належить до сухопутних (наземних), морських, повітряних або спеціальних військ (сил) цієї держави, оснащені зброєю та бойовою технікою і призначені для оборони країни, захисту їх суверенітету, державної незалежності і національних інтересів, територіальної цілісності і недоторканності у разі збройної агресії, збройного конфлікту чи загрози нападу шляхом безпосереднього ведення воєнних (бойових) дій.

Місце́ве самоврядува́ння - право та змога органів місцевого самоврядування в межах закону здійснювати регулювання й управління суттєвою часткою суспільних справ, які належать до їхньої компетенції, в інтересах місцевого населення.


2 Нормативні посилання


У цьому НД ТЗІ наведено посилання на такі нормативні документи:

Закон України "Про інформацію".

Положення про технічний захист інформації в Україні. Затверджено Указом Президента України від 27.09.99 № 1229.

Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах. Затверджено постановою Кабінету Міністрів України від 16.02.98 № 180.

Секрет (фр. secret від лат. secretum - таємниця) - те що не підлягає розголошенню, що приховується від інших обмеженим колом осіб або особою; (лат. secretus - виділенний) - утаєна від неозброєного ока речовина.

Автоматиза́ція - один з напрямів науково-технічного прогресу, спрямований на застосування саморегульованих технічних засобів, економіко-математичних методів і систем керування, що звільняють людину від участі в процесах отримання, перетворення, передачі і використання енергії, матеріалів чи інформації, істотно зменшують міру цієї участі чи трудомісткість виконуваних операцій.

Автоматизо́вана систе́ма (АС) (англ. automated system) - сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.

Обробка інформації́ - вся сукупність операцій (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних [6.

Держа́вна таємни́ця - інформація у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення якої може завдати шкоди національній безпеці держави і яка спеціально охороняється державою.

Ука́з Президе́нта Украї́ни - це правовий акт глави держави, який видається з найважливіших питань, віднесених до його компетенції. Укази можуть мати як нормативний, так і ненормативний (правозастосовний характер).

Постанова Кабінету Міністрів України Постанова Кабінету Міністрів України - нормативно-правовий акт Уряду України - Кабінету Міністрів.

Інструкція про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави. Затверджена постановою Кабінету Міністрів України від 28.11.98 № 1893.

Конфіденційність (англ. confidentiality, privacy) - властивість не підлягати розголосові; довірливість, секретність, суто приватність.

Вла́сність - результат привласнення[Джерело?], тобто ставлення людей до певних речей, як до своїх.

Конфіденці́йна інформ́ація - інформація про фізичну особу (персональні дані) або юридичну особу, доступ та поширення якої можливі лише за згодою її власників (тобто тих, кого ця інформація безпосередньо стосується) та на тих умовах, які вони вкажуть.

Носі́й інформа́ції (data medium) - матеріальний об'єкт , створений природою або ж навмисно людиною, за допомогою якого можна зберігати і передавати інформацію

Кабінет Міністрів України Кабіне́т Міні́стрів Украї́ни - вищий орган у системі органів виконавчої влади України. Кабінет Міністрів України відповідальний перед Президентом України та Верховною Радою України, підконтрольний і підзвітний Верховній Раді України у межах, передбачених Конституцією України.

Порядок організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях.

Органи місцевого самоврядування - «виборні та інші органи територіальних громад, наділені повноваженнями вирішувати питання місцевого значення».

Органи державної влади - це ланка (елемент) механізму держави, що бере участь у виконанні функцій держави й наділений при цьому владними повноваженнями.

Затверджений постановою Кабінету Міністрів України від 02.10.2003 № 1561-12.

Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. Затверджені постановою Кабінету Міністрів України від 29.03.2006 № 373.

ДСТУ 2851-94 Програмні засоби ЕОМ.

Телекомуніка́ції, також електрозв'язок (англ. Telecommunications) - передавання, випромінювання та/або приймання знаків, сигналів, письмового тексту, зображень та звуків або повідомлень будь-якого роду дротовими, радіо, оптичними або іншими електромагнітними системами.

Програ́мне забезпе́чення (програ́мні за́соби) (ПЗ; англ. software) - сукупність програм системи обробки інформації і програмних документів, необхідних для експлуатації цих програм.

Документування результатів випробувань.

Результат, пі́дсумок, (заст. ску́ток, вислід) - кінцевий наслідок послідовності дій. Можливі результати містять перевагу, незручність, вигоду, збитки, цінність і перемогу. Результат є етапом діяльності, коли визначено наявність переходу якості в кількість і кількості в якість.

Докуме́нт - базова теоретична конструкція, яка відноситься до всього, що може бути збережене або представлене, щоб служити як доказ для певної мети.

ДСТУ 2853-94 Програмні засоби ЕОМ. Підготовлення і проведення випробувань.

ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт.


ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни і визначення.

ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технологій. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій.

Звід відомостей, що становлять державну таємницю. Затверджений наказом Служби безпеки України від 12.08.2005 № 404.

Те́рмін (від лат. terminus - межа, кордон) - слово або словосполучення, застосоване для позначення деякого поняття.

Озна́чення, ви́значення чи дефіні́ція (від лат. definitio) - роз'яснення чи витлумачення значення (сенсу) терміну чи поняття. Слід зауважити, що означення завжди стосується символів, оскільки тільки символи мають сенс що його покликане роз'яснити означення.

Інформаці́йні техноло́гії, ІТ (використовується також загальніший / вищий за ієрархією термін інформаційно-комунікаційні технології (Information and Communication Technologies, ICT) - сукупність методів, виробничих процесів і програмно-технічних засобів, інтегрованих з метою збирання, опрацювання, зберігання, розповсюдження, показу і використання інформації в інтересах її користувачів.

Украї́на (МФА: [ukrɑˈjinɑ]опис файлу) - держава у Східній Європі та частково в Центральній Європі, у південно-західній частині Східноєвропейської рівнини. Площа становить 603 628 км². Найбільша за площею країна з тих, чия територія повністю лежить у Європі, друга на європейському континенті, якщо враховувати Росію.

Зареєстрований у Міністерстві юстиції України 17.08.

Міністе́рство юсти́ції Украї́ни (скорочено Мін'юст) - центральний орган виконавчої влади України, діяльність якого спрямовується і координується Кабінетом Міністрів України.

2005 за № 902/11182.

Положення про державну експертизу в сфері технічного захисту інформації. Затверджено наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16.05.2007 № 93. Зареєстровано в Міністерстві юстиції України 16.07.2007 за № 820/14087.

Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису.

Реєстра́ція - запис, фіксація фактів або явищ з метою обліку та надання їм статусу офіційно визнаних актів (реєстрація народження або шлюбу); внесення в список, в книгу обліку.

Криптогра́фія (від грецького kryptós - прихований і gráphein - писати) - наука про математичні методи забезпечення конфіденційності, цілісності і автентичності інформації. Розвинулась з практичної потреби передавати важливі відомості найнадійнішим чином.

Електро́нний цифрови́й пі́дпис (ЕЦП) (англ. digital signature) - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача.

Затверджено наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20.07.2007 № 141. Зареєстровано в Міністерстві юстиції України 30.07.2007 за № 862/14129.

Положення про порядок розроблення, виробництва та уведення в експлуатацію засобів криптографічного захисту конфіденційної інформації, що є власністю держави. Затверджено наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 22.04.2008 № 82/ДСК. Зареєстровано в Міністерстві юстиції України 16.05.2008 за № 418/15109.

НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.

Поло́ження - нормативно-правовий або локально-правовий акт, що визначає основні правила організації та діяльності державних органів, структурних підрозділів органу, а також установ, організацій і підприємств (філій), що їм підпорядковуються, тимчасово створюваних комісій, груп, бюро і т. ін.

НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.

НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення.

НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі.

НД ТЗІ 1.6-003-04 Створення комплексів технічного захисту інформації на об’єктах інформаційної діяльності. Правила розроблення, побудови, викладення та оформлення моделі загроз для інформації.

НД ТЗІ 2.1-002-07 Захист інформації на об’єктах інформаційної діяльності. Випробування комплексу ТЗІ. Основні положення.

НД ТЗІ 2.2-005-08 Технічний захист інформації. Захист інформації, яку обробляють засобами електронної обчислювальної техніки на об’єктах інформаційної діяльності, від витоку інформації за рахунок побічних електромагнітних випромінювань і наведень.

Електро́н (грец. Ηλεκτρόνιο, англ. electron, нім. Elektron) - стабільна, негативно заряджена елементарна частинка, що входить до складу всіх атомів. Має електричний заряд (-е= −1,6021892(46)×10−19 Кл) і масу (9,109554(906)×10−31 кг).

Норми ефективності захисту.

НД ТЗІ 2.3-014-08 Захист інформації на об’єктах інформаційної діяльності. Методика оцінки ефективності зашумлення ліній електроживлення технічних засобів.

НД ТЗІ 2.3-015-08 Захист інформації на об’єктах інформаційної діяльності. Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку за рахунок побічних електромагнітних випромінювань та наведень.

Інжене́рія (від лат. ingenium - здібність, винахідливість; син. - інжиніринг, рідше вживають «інженерна справа», ще рідше «інженерство») - галузь людської інтелектуальної діяльності по застосуванню досягнень науки до вирішення конкретних проблем людства.

Обчи́слювальна систе́ма (англ. computer system) - сукупність ЕОМ та їх програмного забезпечення, що призначені для організації ефективного обчислювального процесу;

Електромагн́ітне випром́інювання (англ. electromagnetic radiation) - взаємопов'язані коливання електричного (Е) i магнітного (B) полів, що утворюють електромагнітне поле а також, процес утворення вільного електро-магнітного поля при нерівномірному русі та взаємодії електричних зарядів.

Електро́нна обчи́слювальна маши́на (ЕОМ) - загальна назва для обчислювальних машин, що є електронними (починаючи з перших лампових машин, включаючи напівпровідникові тощо) на відміну від електромеханічних (на електричних реле тощо) та механічних обчислювальних машин.

Методика оцінки захищеності об’єкта ЕОТ від витоку секретної інформації лініями електроживлення без використання на них засобів захисту.

НД ТЗІ 2.3-016-08 Захист інформації на об’єктах інформаційної діяльності. Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку інформації за рахунок наведень побічних електромагнітних випромінювань на лінії та комунікації. Методика інструментального контролю ефективності захисту технічних засобів ЕОТ від витоку секретної інформації за рахунок ПЕМВН на лінії сигналізації та зв’язку, які виходять за межі контрольованої зони.

Інструме́нт (лат. instrumentum - знаряддя) - технологічне оснащення (знаряддя або пристрій), які в процесі праці безпосередньо стикаються з предметом праці з метою зміни чи контролю його форми, стану, властивостей тощо.

НД ТЗІ 2.4-007-08 Захист інформації на об’єктах інформаційної діяльності. Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку за рахунок побічних електромагнітних випромінювань та наведень. Рекомендації з використання мережевих фільтрів.

НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу.

Крите́рій (від лат. critērium, яке зводиться до грец. χριτήριον - здатність розрізнення; засіб судження, мірило, пов'язаного з грец. χρινω - розділяю, розрізняю) - мірило, вимоги, випробування для визначення або оцінки людини, предмета, явища; ознака, взята за основу класифікації.

НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.

НД ТЗІ 2.5-007-2007 Вимоги до комплексу засобів захисту інформації, що становить державну таємницю, від несанкціонованого доступу при її обробленні в автоматизованих системах класу "1".

НД ТЗІ 2.5-008-02 Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2.

НД ТЗІ 2.5-010-03 Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу.

НД ТЗІ 2.7-007-08 Захист інформації на об’єктах інформаційної діяльності. Методичні вказівки щодо зашумлення ліній електроживлення технічних засобів.

НД ТЗІ 2.7-009-09 Методичні вказівки з оцінювання функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу.

Оцінювання - (фр. evaluation від value ціна, вартість) оцінка, визначення ціни, вартості, визначення кількості, якості продукції, якості ресурсів, придатності тощо; аналіз даних, обстановки.

НД ТЗІ 2.7-010-09 Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу.

НД ТЗІ 3.1-001-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексів технічного захисту інформації. Передпроектні роботи.

НД ТЗІ 3.3-001-07 Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації.

НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу.

НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.

Модерні суспільства Модерніза́ція - перехід від традиційного аграрного суспільства до світського, міського й індустріального. Переважною більшістю теоретиків розглядається як соціальний та цивілізаційний процес спрямованої трансформації суспільств, який розгортався протягом XVI-ХХ ст.

Техні́чне завдання́ (ТЗ) (англ. scope statements та англ. statement of work; SOW) - документ, що встановлює основне призначення, показники якості, техніко- економічні та спеціальні вимоги до виробу, обсягу, стадії розроблення та складу конструкторської документації.

Комплексна система захисту інформації Комплексна система захисту інформації (КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації (ЗІ).

НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.

Тимчасове положення про категорування об`єктів (ТПКО-95).

ГОСТ 19.301-79 Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению.

ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.

РД 50-34.698-90 Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.


  1   2   3   4   5   6   7   8   9   ...   18



  • СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
  • 1 Галузь застосування
  • 2 Нормативні посилання