Нормативні документи щодо охорони інформації 2 страница

- провести часткове або повне екранування приміщень чи ОТЗ;

- установити системи просторового зашумлення;

- замінити незахищені ТЗ на захищені;

- застосувати завадозаглушувальні фільтри.

У незахищених каналах зв'язку, лініях, проводах та кабелях ОТЗ і ДТЗС,
що мають вихід за межі КТ, установлюються завадозаглушувальні фільтри.
Проводи і кабелі прокладаються в екранованих конструкціях.
Система заземлення ТЗ ОТЗ не повинна мати вихід за межі КТ і повинна
розміщуватися на відстані не менше 10-15 м від них.

Заземлювальні проводи повинні бути виконані з мідного дроту (кабеля) з
перехідним опором з'єднань не більше 600 мкОм. Опір заземлення не повинен
перевищувати 4 Ом.

Не рекомендується використовувати для систем заземлення ТЗ EOT при-
родні заземлювачі, які мають вихід до межі КТ.

Ефективну гальванічну та електромагнітну розв'язку кабелів електрожив-
лення ТЗ EOT від промислової мережі забезпечує їх розділова система типу
"електродвигун-генератор". Електроживлення допускається також здійснювати
через завадозаглушувальні фільтри.

Електроживлення повинно здійснюватись екранованим (броньованим) ка-
белем.

Пристрої просторового зашумлення застосовуються у випадках, коли па-
сивні заходи не забезпечують необхідної ефективності захисту об'єкта EOT.

Установленню підлягають тільки сертифіковані Службою безпеки України
засоби просторового зашумлення.

Установлення генераторів шуму, монтаж антен, а також їх обслуговування
в процесі експлуатації здійснюються підприємства установи й організації, що
мають відповідну ліцензію Служби безпеки України.

Екранувальні кабельні конструкції разом з екранувальними конструкціями
ТЗ EOT повинні створювати екранувальний замкнений об'єм.

Остаточний висновок про ефективність заходів щодо технічного захисту
інформації дається за результатами інструментального контролю.

Наступними нормативними документами є група НД 1.1 це НД ТЗІ 1.1-
001-99, НД ТЗІ 1.1-002-99, НД ТЗІ 1.1-003-99.

Першим з цих документів є НД ТЗІ 1.1-001-99 ТЗІ на програмно-керованих
АТС загального користування. Основні положення. Він був затверджений нака-
зом ДСТСЗІ СБ України №26 від 28.05.99 p., а став чинним від 01.07.99 р.

Цей документ установлює об'єкт, ціль та основні організаційно-технічні
положення ТЗІ на АТС, що призначені для функціонування на провідних теле-
фонних мережах загального користування та (або) на установчих (відомчих,
корпоративних) систем зв'язку.

Положення НД поширюються на програмно керовані АТС, у яких зберіга-
ється та циркулює інформація, що підлягає ТЗ згідно ДСТУ 3396.0-96.
Вимоги документа не поширюються на захист:

- міжстанційних каналів синхронізації, сигналізації та передачі абонент-
ської інформації;

- від зловмисних дій авторизованих користувачів у межах наданих їм по-
вноважень, що наносять збитки власникам інформативних ресурсів;

- елементів АТС від екстремізму і вандалізму авторизованих користува-
чів;

- телефонної мережі від некоректного вмикання в її структуру вперше за-
проваджених АТС або АТС, що модернізуються.

Нормативний документ має слідуючи розділи:

1.Галузь використання.

2. Нормативні посилання.

3. Визначення, позначення і скорочення.

4. Загальні положення.

5. Основні положення ТЗІ на АТС.

6. Структура програмно-керованих АТС із позиції ТЗІ.

7. Види загроз для інформації.

8. Шляхи реалізації загроз для інформації.

9. Моделі порушників.

10. Види забезпечення систем ТЗІ на АТС.

11. Функції системи захисту.

12. Функціональні послуги захисту на АТС.

13. Засоби і механізми захисту на АТС.

14. Порядок виконання робіт з ТЗІ на АТС.

15. Оцінка ефективності захисту.
Документ є методологічною базою нормативних і методичних документів,
спрямовані на розв'язання таких задач:

- розробка вимог щодо захисту інформації на АТС;

- створення захищених АТС;

- створення систем і засобів ТЗІ на АТС;

- створення систем керування комплексами засобів ТЗІ на АТС;

- оцінка захищеності інформації на АТС;

- оцінка ефективності систем і засобів ТЗІ на АТС.

Принцип комплексності захисту - захист АТС повинен забезпечуватися
комплексом взаємозв'язаних програмно-технічних засобів і організаційних за-
ходів. Між тим принцип безперервності захисту - захист АТС повинен забезпе-
чуватися на всіх технологічних етапах опрацювання викликів і у всіх режимах
функціонування і надання послуг, зокрема при проведенні ремонтних і регла-
ментних робіт.

У цьому документі визначені такі види загроз для інформації у АТС:

- порушення конфіденційності;

- порушення цілісності;

- порушення доступності або відмов в обслуговуванні;

- порушення спостереження або керованості;

- несанкціоноване користування інформаційними ресурсами станції.

У НД наведені загрози для інформації на АТС та моделі порушників. При-
чому приведений кодифікатор моделей порушників та описані рівні можливос-
тей порушників для кожної моделі.

Забезпечення систем ТЗІ на АТС здійснюється згідно НД;

- сукупністю технічних і (або) програмних підсистем захисту, що функ-
ціонують на стадії її промислової експлуатації;

- системою організаційно-технічних заходів;

- системою ліквідації наслідків реалізованих загроз для інформації на
АТС;

- системою керування засобами ТЗІ.
Підсистеми захисту на АТС класифікуються за способами здійснення за-
гроз і в сукупності повинні забезпечувати реалізацію на практиці обраної мо-
делі захисту.

Системи ТЗІ АТС виконують функції, що забезпечують реалізацію визна-
ченої номенклатури функціональних послуг захисту згідно з ISO 7498-2, за до-
помогою цілої низки підсистем. З метою оцінки захищеності АТС специфіку-
ються три рівні стійкості механізму захисту (базовий, середній і високий). Нор-
мовані специфікації рівнів стійкості механізмів захисту наведені в НД ТЗІ 2.5-
001-99.

Для одержання впевненості в тому, що інформаційні ресурси АТС захище-
ні з очікуваною якістю від витоку, спеціальних впливів і НСД, необхідно під-
твердження досягнутого рівня ефективності такого захисту з боку незалежно-
го оцінювача. Оцінка захищеності інформації на АТС робиться у двох напрям-
ках :- перший містить у собі оцінку коректності створеної на АТС системи
ТЗІ, вимагаючи оцінку коректності моделі захисту, реалізованого ком-
плексу засобів і механізмів захисту, результатів аналізу та відсутність
"слабких місць " у захисті;

- другий напрямок містить у собі оцінку рівня довіри до коректності реа-
лізованої на АТС системи ТЗІ. Така оцінка виконується на базі різної
повноти і глибини знань про середовище створення та експлуатації АТС,
а також про систему ТЗІ до неї.

Наступним важливим НД є НД ТЗІ 1.1-002-99 Загальні положення щодо
захисту інформації в комп'ютерних системах від несанкціонованого доступу.

Цей документ ТЗІ визначає методологічні основи (концепцію) вирішення
завдань захисту інформації в комп'ютерних системах і створення нормативних
і методологічних документів, регламентуючих питання:

- визначення вимог щодо захисту комп'ютерних систем від несанкціоно-
ваного доступу;

- створення захищених комп'ютерних систем і засобів їх захисту від не-
санкціонованого доступу;

- оцінки захищеності комп'ютерних систем і їх придатності для вирішен-
ня завдань споживача.

Цей документ став чинним від 01.07.99 р. і має слідуючи розділи:

1. Галузь використання.

2. Нормативні посилання.

3. Визначення.

4. Позначення і скорочення.

5. Постановка проблеми ЗІ в комп'ютерних системах від несанкціоновано-
го доступу.

6. Концепція забезпечення захисту інформації.

7. Основні принципи забезпечення захисту інформації.

8. Основні принципи реалізації програмно-технічних засобів.

Захист інформації, що обробляється в автоматизованих системах, полягає в
створенні і підтримці в дієздатному стані системи заходів, як технічних так і
нетехнічних, що дозволяють запобігти або ускладнити можливість реалізації
загроз, а також знизити потенційні збитки. Захист інформації спрямований на
забезпечення безпеки оброблюваної інформації і АС в цілому, тобто такого
стану, який забезпечує збереження заданих властивостей інформації і АС, що її
обробляє.

З точки зору методології в проблемі захисту інформації від НСД слід ви-
ділити два напрями:

- забезпечення і оцінка захищеності і інформації в АС, що функціонують;

- реалізація та оцінка засобів захисту, що входять до складу компонентів,
з яких будується обчислювальна система АС, поза конкретним середо-
вищем експлуатації.

У випадку, якщо в автоматизованій системі планується обробка інформа-
ції, порядок обробки і захисту якої регламентується законами України або ін-
шими нормативно-правовими актами, то для обробки такої інформації в цій си-
стемі необхідно мати дозвіл відповідного уповноваженого державного органу.
Підставою для видачі такого дозволу є висновок експертизи автоматизованої
системи, тобто перевірки відповідності реалізованої комплексної системи ЗІ
встановленим нормам.

Якщо порядок обробки і захисту інформації не регламентується законодав-
ством, експертиза може виконуватися в необов'язковому порядку за поданням
замовника. При аналізі проблеми захисту від НСД інформації, яка може цирку-
лювати в комп'ютерній системі, як правило, розглядається лише інформаційні
об'єкти, що служать приймальниками/джерелами інформації, і інформаційні
потоки.

Загрози оброблюваної в автоматизованій системі інформації залежать від
характеристик обчислювальної системи, характеристик середовища персоналу
і оброблювальної інформації. Загрози можуть мати або об'єктивну природу, або
суб'єктивну.

Із всієї множини способів класифікації загроз найпридатнішою для аналізу
є класифікація загроз за результатом їх впливу на інформацію, тобто порушен-
ня конфіденційності, цілісності і доступності інформації.

Загрози можуть впливати на інформацію не безпосередньо, а опосередко-
вано.

Політика безпеки інформації в автоматизованій системі є частиною загаль-
ної політики безпеки організації і може успадковувати положення державної
політики у галузі захисту інформації.

Комплекс засобів захисту - це сукупність всіх програмно-апаратних засо-
бів, задіяних під час реалізації політики безпеки.

Комплекс засобів захисту розглядає ресурси комп'ютерної системи як
об'єкти і керує взаємодією цих об'єктів відповідно до політики безпеки інфор-
мації, що реалізується.

До основних способів несанкціонованих доступів відносяться:

- безпосереднє звертання до об'єктів з метою одержання певного виду до-
ступу;

- створення програмно-апаратних засобів, що виконують звертання до
об'єктів в обхід засобів захисту;

- модифікація засобів захисту, що дозволяє здійснити несанкціонований
доступ;

- впровадження в комп'ютерну систему програмних або апаратних меха-
нізмів, що порушують структуру і функції системи і дозволяють здійс-
нити несанкціонований доступ.

Під захистом від несанкціонованого доступу слід розуміти діяльність,
спрямовану на забезпечення додержання правил розмежування доступу ство-
рення і підтримки в дієздатному стані систему заходів із захисту інформації.

Для забезпечення безпеки інформації під час її обробки в автоматизованих
системах створюється комплексна система ЗІ, процес управління якою повинен
підтримуватись протягом всього життєвого циклу системи. На стадії розробки
метою процесу управління комплексної системи ЗІ є створення засобів захисту,
які могли б ефективно протистояти ймовірним загрозам і забезпечувати б нада-
лі дотримання політики безпеки під час обробки інформації. На стадії експлуа-
тації автоматизованої системи метою процесу управління комплексною систе-
мою ЗІ є оцінка ефективності створеної системи і вироблення додаткових вимог
для розробки системи з метою забезпечення її адекватності при зміні початко-
вих умов.

Захист інформації повинен забезпечуватись протягом всього періоду її іс-
нування.

Кожний об'єкт комп'ютерної системи повинен мати певний набір атрибу-
тів доступу, який вимагає унікальний ідентифікатор та іншу інформацію, що
визначає його права доступу і/або права доступу до нього.

Адміністративне керування доступом - це таке керування, при якому засо-
би захисту дозволяють управляти потоками інформації між користувачами і
об'єктами тільки спеціально авторизованим користувачам.

Для реалізації функції захисту можуть використовуватись програмні або
апаратні засоби, криптографічні перетворення, різні методи перевірки повно-
важень і т. н. Вибір методів і механізмів практично завжди залишається за роз-
робником. Єдиною вимогою залишається те, щоб функції захисту були реалізо-
вані відповідно до декларованої політики безпеки і вимог гарантій.

До реалізації комплексу засобів захисту пред'являється ряд вимог.

По-перше, комплекс засобів захисту повинен забезпечувати безперервний
захист об'єктів комп'ютерної системи. По-друге, комплекс засобів захисту по-
винен мати модульну структуру.

При реалізації комплексу засобів захисту використовується концепція дис-
петчера доступу. Ця концепція не єдино можливий метод, проте є найбільш
опрацьованою теоретично і перевіреною на практиці. Що підтверджується цим
НД.

Диспетчер доступу характеризується трьома алгоритмами:

- забезпечує безперервний і повний захист;

- достовірний;

- має невеликі розміри.

Це означає, що диспетчер доступу має бути завжди активним і повинен
контролювати всі захисти на доступ до будь-якого захищеного об'єкта, який
піддається впливу.

НД ТЗІ !. 1-003-99 Термінологія в галузі захисту інформації в
комп'ютерних системах від несанкціонованого доступу. Цей документ встанов-
лює терміни та визначення понять у галузі захисту інформації в комп'ютерних
системах від несанкціонованого доступу. Приведені іноземні еквіваленти тер-
мінів, а також їх обертові покажчики. Цей НД затверджено наказом ДСТСЗІ СБ
України №22 від 28.04.1999 р. чинний від 01.07.1999 року.

НД ТЗІ 1.1- 005 - 07 затверджено наказом Адміністрації Державної служ-
би спеціального зв'язку та захисту інформації України №232 від 12 грудня
2007р. Цей НД системи ТЗІ визначає основи організації та етапи виконання ро-
біт щодо створення комплексу на об'єкті інформаційної органу державної вла-
ди, місцевого самоврядування військового формування, підприємства установи
та організації, який має забезпечувати захист від витоку інформації з обмеже-
ним доступом можливими технічними напрямами.

Створення комплексу ТЗІ містить у собі проведення організаційних, інже-
нерних і технічних заходів на об'єкті інформаційної діяльності (ОІД), де перед-
бачається:

- озвучення інформації з обмеженим доступом;

- здійснення обробки ІзОД технічними засобами;

- обіг іншої ІзОД при проектуванні, будівництві, експлуатації об'єктів,
виробництві технічних засобів тощо.

У створенні комплексу ТЗІ, відповідно до НД, беруть участь:

- установа, яка є замовником створення комплексу ТЗІ;

- виконавець проведення випробувань щодо створення комплексу ТЗІ;

- виконавець проведення атестації проведення комплексу ТЗІ.

Установа - замовник може бути виконавцем робіт з ТЗІ і виконавцем ви-
пробувань або може залучати до виконання таких робіт і випробувань суб'єктів
господарської діяльності, що мають ліцензії на проведення діяльності у сфері
ТЗІ.

Підрозділ - замовник створення комплексу ТЗІ разом з підрозділом ТЗІ го-
тує і подає на затвердження керівнику установи-замовника: протокол про ви-
значення вищого ступеня обмеження доступу до інформації та проект рішення
щодо створення комплексу ТЗІ на ОІД.

Установа-замовник також:

- готує пропозиції щодо термінів проведення обстеження на ОІД;

- створює модель загроз для ІзОД;

- організує розроблення технічних завдань щодо створення комплексу
ТЗІ на ОІД;

- узгоджує зміни до прийняття рішень з ТЗІ, якщо необхідність їх вне-
сення обгрунтування результатами випробувань комплексу ТЗІ;

- створює необхідні умови для виконання випробувань і проведення
атестації комплексу ТЗІ.

Виконавець робіт з ТЗІ та виконавець випробувань забезпечують:

- проведення заходів щодо недопущення встановлення закладних при-
строїв несанкціонованого отримання інформації під час виконання бу-
дівельних та монтажно-налагоджуваних робіт, прокладання нових ін-
женерних комунікацій, встановлення технологічного обладнання, за-
собів оргтехніки, елементів інтер'єру, меблів тощо;

- проведення випробувань з метою визначення повноти та достатності
виконання вимог щодо захисту від витоку ІзОД технічними каналами
на ОІД і формування рішень з ТЗІ;

- обгрунтування необхідності впровадження на ОІД заходів із захисту
від витоку інформації, технічними каналами, розроблення проектно-
кошторисної та конструкторської документації;

- розроблення проектів програм і методик випробувань;

- придбання технічних заходів забезпечення ТЗІ та іншого обладнання;

- впровадження на ОІД заходів з ТЗІ та інші.

Крім того, визначено, що створення комплексу ТЗІ на ОІД передбачає такі
основні етапи:

- виконання перед проектних робіт (1 етап);

- розроблення та впровадження заходів із захисту інформації (2етап);

- випробування та атестація комплексу ТЗІ (Зетап).

НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в
автоматизованій системі. Затверджено наказом ДСТСЗІ СБ України від
04.12.2000р. №53 та чинний вад 15.12.2000 року.

Цей документ встановлює вимоги до структури та змісту нормативного
документу, що регламентує діяльність служби захисту інформації в автомати-
зованій системі (АС).

Він складається із таких розділів:

- галузь використання;

- нормативні посилання;

- визначення;

- позначення і скорочення;

- загальні положення;

- головні завдання;

- функції служби захисту інформації в автоматизованій системі;

- права, обов'язки, відповідальність служби захисту інформації щодо за-
безпечення необхідного рівня захищеності інформації в автоматизованій
системі;

- взаємодія служби захисту інформації з іншими підрозділами та сторон-
німи організаціями;

- штатний розклад;

- трудові відносини;

- організація робіт служби захисту інформації в автоматизованій системі;

- фінансування.

Документ призначено для споживачів АС, які використовуються для обро-
бки інформації, що підлягає захисту згідно з нормативно-правовими актами, а
також розробників комплексних систем захисту інформації в автоматизованих
системах.

Застосування цього НД ТЗІ створює умови для запровадження єдиного пі-
дходу щодо визначення і формування завдань, функцій, структури, обов'язків
та прав служби захисту інформації, а також орг анізація її робіт з захисту інфо-
рмації впродовж всього життєвого циклу АС в державних органах, на підпри-
ємствах, в установах та організаціях усіх форм власності.

В залежності від конкретних завдань і умов функціонування служби захис-
ту інформації дозволяється у разі необхідності поєднувати у Положенні окремі
розділи в один, вводити нові розділи або вилучати розділи, які втратили свою
актуальність.

Положення про службу захисту інформації в АС визначає завдання, функ-
ції, штатну структуру, обов'язки, права та відповідальність служби захисту ін-
формації (СЗІ), порядок її взаємодії з іншими підрозділами організації та сто-
ронніми установами.

Свою діяльність СЗІ в АС проводить згідно з узгодженням з (РСО, служ-
бою безпеки організації, підрозділом ТЗІ) та затвердженим керівником органі-
зації "Планом захисту інформації в АС", календарним, поточним, перспектив-
ним та іншими планами робіт.

У своїй роботі СЗІ взаємодіє з РСО, службою безпеки організації, підроз-
ділом ТЗІ, іншими підрозділами, діяльність яких пов'язана або впливає на тех-
нологію обробки інформації в АС.

Головними завданнями СЗІ є:

- захист законних прав організації в цілому, окремих її структурних під-
розділів, персоналу в процесі інформаційної діяльності;

- дослідження технології обробки інформації в АС з метою виявлення
можливих каналів витоку та інших загроз безпеці інформації, формуван-
ня моделі загроз, розроблення політики безпеки інформації, визначення
заходів, спрямованих на її реалізацію;

- організація і координація робіт з забезпечення режиму секретності під
час роботи АС з інформацією, що становить державну таємницю:

- розроблення нормативно-правових і розпорядчих документів щодо захи-
сту інформації в АС;

- організація і координація робіт з створення і експлуатації комплексної
СЗІ на всіх етапах життєвого циклу АС;

- організація і забезпечення постійного контролю за станом захисту інфо-
рмації в АС;

- участь в організації професійної підготовки і підвищення кваліфікації
персоналу і користувачів АС з питань захисту інформації;

Функції служби захисту інформації в АС поділяються в залежності стану
використання АС:

- на етапі створення комплексної СЗІ;

- на етапі експлуатації комплексної СЗІ;

- щодо організації навчання та тренування персоналу;

Більш детально розглянемо ці етапи. На першому етапі на СЗІ накладають-
ся такі функції:

- визначення переліків відомостей, які підлягають захисту в процесі обро-
бки, класифікація інформації за ступенями її конфіденційності, необхід-
них рівнів захищеності інформації та інше;

- участь у розробці і коригуванні моделі загроз і моделі захисту інформа-
ції, політики безпеки інформації в АС;

- визначення і формування вимог до комплексної СЗІ в процесі проекту-
вання та розробки АС;

- організація, координація і участь у роботах пов'язаних з проектування,
розробкою, випробуванням, проведенням експертизи та введення в екс-
плуатацію комплексної СЗІ АС та самої АС;

- підготовка технічних пропозиції, рекомендації щодо блокування каналів
витоку та попередження спроб несанкціонованого доступу до інформації
під час створення ТЗІ;

- участь у розробці нормативних документів та інше.

Другий етап - дуже важливий етап експлуатації комплексної системи за-
хисту інформації. На цьому етапі на службу накладаються такі функції:

- керування процесом функціонування комплексної системи ЗІ;

- розслідування випадків порушення політики безпеки;

- вжити заходів у разі виявлення спроб несанкціонованого здобуття інфо-
рмації, порушення правил експлуатації засобів захисту;

- організація керуванням доступу до ресурсів АС;

- спостереження за функціонуванням комплексної системи ЗІ та її компо-
нентів;

- організація та проведення заходів щодо модернізації, тестування, опера-
тивного відновлення функціонування комплексної системи ЗІ після, збо-
їв, відмов, аварій;

- проведення аналітичної оцінки побічного стану безпеки інформації в

АС;
аналіз відомостей щодо технічних засобів захисту інформації нового по-
коління, обгрунтування пропозицій щодо їх придбання;

- інші функції, які визначені цим НД.

Функції служби захисту інформації щодо організації навчання та трену-
вання персоналу слідуючи:

- розроблення планів навчання і підвищення кваліфікації спеціалістів;

- розроблення спеціальних програм навчання;

- участь в організації і проведенні навчання керуючого, інженерно-
технічного персоналу організації з питань захисту інформації;

- забезпечення навчального процесу необхідною матеріальною базою, ме-
тодичною літературою, тощо;

- взаємодія з учбовими закладами, іншими організаціями з питань навчан-
ня та підвищення кваліфікації тощо.

У восьмому розділі "Права, обов'язки, відповідальність служби захисту
інформації щодо забезпечення необхідного рівня захищеності інформації в АС"
сформульовані права, обов'язки та відповідальність СЗІ.
Головними з їх є слідуючи права:

- здійснювати контроль за діяльністю будь-якого структурного підрозділу
щодо виконання ним вимог безпеки інформації;

- складати і подавати керівництву організації щодо виявлених порушень
політики безпеки, готувати рекомендації щодо їх усунення;

- доступу до робіт та документів структурних підрозділів, необхідних для
оцінки прийнятих заходів щодо захисту інформації;

- отримувати у встановленому порядку, дозволи або ліцензії на виконання
робіт у галузі захисту інформації, які входять до компетенції служби;

- готувати пропозиції щодо забезпечення АС необхідними і програмними
засобами захисту інформації, тощо що зазначено в НД.

Слідуючи обов'язки:

- сумлінно виконувати завдання та функції, що передбачені цим НД;

- забезпечувати повноту та якісне виконання організаційноОтехнічних за-
ходів з захисту інформації в АС;

- забезпечувати конфіденційність робіт щодо монтажу, експлуатації та те-
хнічного обслуговування засобів ЗІ, встановлених в АС та інші
обов'язки сформульовані у цьому НД.

Крім того цей документ визначає відповідальність, яка полягає у наступ-
ному:

- керівник та співробітники СЗІ за допущені правопорушення, пов'язані з
виконанням службових обов'язків, персональну відповідальність згідно
з чинним законодавством;

- персональна відповідальність керівника та співробітників СЗІ визнача-
ється посадовими інструкціями;

- відповідальність за діяльність СЗІ накладається на її керівника;

- СЗІ також несе колективну відповідальність згідно вимог цього НД.

Інші питання персональної відповідальності, які покладені на керівника та

співробітників СЗІ у відповідальності з специфікою та особливостями діяльнос-
ті АС.

СЗІ проводить свою діяльність у взаємодії з науковими, виробничими та
іншими організаціями, державними органами і установами, що займаються пи-
таннями захисту інформації.

Заходи щодо захисту інформації в АС повинні бути узгоджені СЗІ з захо-
дами охоронної та режимно-секретної діяльності інших структурних підрозді-
лів організації.

СЗІ є самостійним структурним підрозділом організації з підпорядкуван-
ням безпосередньо керівнику організації або його заступнику, що відповідає за
забезпечення безпеки інформації, або структурною одиницею організації.

З метою ефективного функціонування і керування захистом інформації в
АС СЗІ має штатний розклад, який вимагає перелік функціональних обов'язків
всіх співробітників, необхідних вимог до рівня їх знань та навичок.

Штатна структура СЗІ, її склад і чисельність визначається фактичними по-
требами АС організації.

Штат СЗІ комплектується спеціалістами, які мають спеціальну технічну
освіту та володіють досвідом і навичками з розробки, впровадження, експлуа-
тації засобів захисту інформації.

Цей документ визначає, які спеціалісти можуть входити до складу СЗІ та
на які категорії поділяються співробітники СЗІ.

Трудові відносини в СЗІ будуються на основі чинних вимог, викладених у
Кодексі законів про працю та іншими законодавчими актами.

Співробітники СЗІ працюють на конкретній основі, яка здійснюється шля-
хом укладання ними індивідуального договору чи контракту, згідно статуту ор-
ганізації.

СЗІ здійснює свою роботу з реалізації основних організаційних та органі-
заційно-технічних заходів щодо створення і забезпечення функціонування ком-
плексної системи ЗІ у відповідності з планами робіт. До планів вимагають захо-
ди: разові, постійно виконувані, періодично виконувані, виконувані за необхід-
ністю.

Основними видами планів робіт СЗІ можуть бути:

- календарний план робіт;

- план заходів з оперативного реагування на передбачені ситуації та по-
новлення функціонування АС;

- поточний план робіт;

- перспективний план розвитку та удосконалення діяльності СЗІ з питань
захисту інформації (до 5 років);

- план заходів щодо забезпечення безпеки інформації під час виконання
окремих важливих робіт;

- бізнес-план створення і функціонування СЗІ;

- інші.

Матеріально-технічну базу для забезпечення діяльності СЗІ складають на-
лежні йому засоби захисту інформації, технічне і інженерне обладнання, засоби

вимірювань і контролю, відповідна документація, а також інші засоби і облад-
нання, які необхідні для виконання СЗІ покладених на неї задач.

СЗІ фінансується за рахунок:

- коштів, що виділяються в організації на утримання органів управління;

Наши рекомендации