Захисту податкової інформації в автоматизованій інформаційній системі дпс україни як єдиний комплекс



Сторінка6/9
Дата конвертації15.11.2016
Розмір0.97 Mb.
1   2   3   4   5   6   7   8   9

6 Календарний план робіт з захисту інформації в АІС

На підставі Плану захисту інформації в АІС складається календарний план робіт з реалізації заходів захисту інформації в АІС, який може мати такі розділи:



  • організаційні заходи;

  • контрольно-правові заходи;

  • профілактичні заходи;

  • інженерно-технічні заходи.

  • робота з кадрами.

Організаційні заходи з захисту інформації - це комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення завдань захисту інформації шляхом регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення інформаційної діяльності та засобів (систем) забезпечення захисту інформації. До плану можуть включатись заходи щодо:

- розробки документів (інструкцій, методик, правил, розпоряджень тощо) з різних напрямів захисту інформації в АІС;

- внесення змін та доповнень до чинних в АІС документів з урахуванням зміни умов (обставин);

- розробки та впровадження нових організаційних заходів з захисту інформації;

- обгрунтування необхідності застосування та впровадження нових засобів захисту інформації;

- координації робіт та взаємодії з іншими підрозділами органу ДПС або зовнішніми організаціями на всіх етапах життєвого циклу АІС;

- розгляду результатів виконання затверджених заходів та робіт з захисту інформації;


  • інші.

До контрольно-правових заходів можуть бути віднесені:

  • контроль за виконанням персоналом (користувачами) вимог відповідних інструкцій, розпоряджень, наказів;

  • контроль за виконанням заходів, розроблених за результатами попередніх перевірок;

  • контроль за станом зберігання та використання носіїв інформації на робочих місцях;

  • інші.

До профілактичних слід відносити заходи, спрямовані на формування у персоналу (користувачів) мотивів поведінки, які спонукають їх до безумовного виконання у повному обсязі вимог режиму, правил проведення робіт та ін., а також на формування відповідного морально-етичного стану в колективі.

До інженерно-технічних слід відносити заходи, спрямовані на налагодження, випробування і введення в експлуатацію, супроводження і технічне обслуговування апаратних і програмних засобів захисту інформації від НСД, засобів захисту інформації від загроз її витоку технічними каналами, інженерне обладнання споруд і приміщень, в яких розміщуються засоби обробки інформації, у тому числі в процесі капітального будівництва тощо.



Планування роботи з кадрами включає заходи з підбору та навчання персоналу (користувачів) встановленим правилам безпеки інформації, новим методам захисту інформації, підвищення їхньої кваліфікації. Навчання персоналу (користувачів) може здійснюватись власними силами, з залученням спеціалістів зовнішніх організацій або в інших організаціях. Навчання повинно здійснюватися згідно з програмою, затвердженою керівництвом органу ДПС. Навчальні програми повинні мати теоретичний і практичний курси. Доцільність і необхідність включення до програм окремих розділів визначається особливостями АІС і технологіями захисту інформації, що використовуються в ній, функціональними завданнями спеціалістів, що входять до складу навчальних груп та іншими чинниками.
7. Нормативна база України в сфері технічного захисту інформації
7.1. Ліцензування в галузях технічного і криптографічного захисту інформації та у галузі голографічного захисту
ЗАКОН УКРАЇНИ “Про ліцензування певних видів господарської діяльності”

Стаття 9. Види господарської діяльності, що підлягають ліцензуванню

Відповідно до цього Закону ліцензуванню підлягають такі види господарської діяльності:

13) розроблення, виготовлення спеціальних технічних засобів для зняття інформації з каналів зв'язку, інших засобів негласного отримання інформації, торгівля спеціальними технічними засобами для зняття інформації з каналів зв'язку, іншими засобами негласного отримання інформації;

14) розроблення, виробництво, використання, експлуатація, сертифікаційні випробування, тематичні дослідження, експертиза, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівля криптосистемами і засобами криптографічного захисту інформації;

15) розроблення, виробництво, впровадження, сертифікаційні випробування, ввезення, вивезення голографічних захисних елементів;

16) розроблення, виробництво, впровадження, обслуговування, дослідження ефективності систем і засобів технічного захисту інформації, надання послуг в галузі технічного захисту інформації;


Криптографічний захист інформації.

Види робіт, що зазначені в “Ліцензійних умовах провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації (КЗІ), надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації”, затверджених наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України 29.12.2000 № 88/66 та зареєстрованих в Міністерстві юстиції України 20 січня 2001 р. за № 49/5240.

1. Розробка апаратних, апаратно-програмних засобів КЗІ та криптосистем.

2. Розробка програмних засобів КЗІ та криптосистем.

3. Виробництво апаратних, апаратно-програмних засобів КЗІ та криптосистем.

4. Виробництво програмних засобів КЗІ та криптосистем.

5. Використання, експлуатація засобів КЗІ та криптосистем.

6. Сертифікаційні випробування, експертиза криптосистем та засобів КЗІ.

7. Тематичні дослідження засобів КЗІ та криптосистем.

8. Надання послуг в галузі КЗІ.

9. Ввезення, вивезення засобів КЗІ та криптосистем.

10. Торгівля засобами КЗІ та криптосистемами.


Технічний захист інформації.

ПЕРЕЛІК видів робіт, що здійснюються в межах діяльності даного виду.

1. Розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг.

2. Розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг.

3. Розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг.

4. Виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об’єктах інформаційної діяльності, надання консультативних послуг.

5. Виробництво засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля.

6. Виробництво засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали.

7. Розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини, надання консультативних послуг.



Довідка

Ліцензії на господарську діяльність в галузі технічного захисту інформації видано відповідно до Закону України “Про ліцензування певних видів господарської діяльності” від 1 червня 2000 року № 1775-ІІІ та “Ліцензійних умов провадження господарської діяльності, пов’язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації”, затверджених наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України 29.12.2000 № 89/67 та зареєстрованих в Міністерстві юстиції України 20 січня 2001 р. за № 50/5241.

Ліцензії, в обліковій позначці про які присутні літери "ТА", надають право провадження діяльності з технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю.

Ліцензії, в обліковій позначці про які присутні літери "ТВ", надають право провадження діяльності з технічного захисту інформації, що не містить відомостей, які становлять державну таємницю.


7.2. Дозвільний порядок проведення робіт в області технічного захисту інформації для власних потреб
Наказ ДСТСЗІ від 23.02.2002 р. № 9 "Про затвердження Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб."

Положення визначає види та умови проведення робіт з технічного захисту інформації (далі - роботи з ТЗІ) для власних потреб, які виконуються за дозволами ДСТСЗІ СБУ, встановлює порядок надання дозволів, контроль та відповідальність під час проведення визначених видів робіт.

Вимоги Положення поширюються на органи державної влади, органи місцевого самоврядування (далі - державні органи), які мають намір проводити роботи з технічного захисту інформації для власних потреб, необхідність охорони якої визначена законодавством.

За відсутності у державного органу дозволу на проведення робіт з ТЗІ для власних потреб зазначені роботи повинні виконуватись із залученням організацій, які мають ліцензії на право провадження господарської діяльності у галузі ТЗІ.



Види робіт з ТЗІ для власних потреб, які виконуються за дозволами ДСТСЗІ СБУ

Розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля.

Розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали.

Розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу.

Виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності.
Умови проведення робіт з ТЗІ для власних потреб

Для одержання дозволу на проведення робіт з ТЗІ для власних потреб державний орган повинен мати:

- призначених наказом керівника державного органу спеціалістів для проведення обраних видів робіт, які мають вищу освіту відповідного професійного спрямування або пройшли перепідготовку та підвищення кваліфікації у галузі інформаційної безпеки чи мають стаж роботи відповідного професійного спрямування не менше 3 років, а також мають оформлені у встановленому порядку допуски до державної таємниці;

- нормативно-правові акти та нормативні документи з технічного захисту інформації, що необхідні для проведення обраного виду роботи;

- власні або орендовані, повірені в установленому порядку засоби вимірювань і контролю та (або) засоби електронно-обчислювальної техніки в обсязі, що забезпечує проведення обраного виду роботи;

- приміщення та (або) об'єкти електронно-обчислювальної техніки, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації (за потреби);

- спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею.

Під час проведення робіт відповідно до одержаного дозволу державний орган зобов'язаний:

- застосовувати технічні засоби забезпечення технічного захисту інформації (технічні засоби з захистом інформації, засоби технічного захисту інформації, засоби контролю за ефективністю технічного захисту інформації), які дозволені встановленим порядком для використання та включені до відповідних переліків;

- терміново інформувати ДСТСЗІ СБУ про виявлення закладних пристроїв (не пізніше наступного дня після виявлення);

- щорічно (до 20 грудня) надавати до ДСТСЗІ СБУ відомості щодо виконаних протягом цього року робіт з ТЗІ для власних потреб.
Порядок надання дозволів на проведення робіт з ТЗІ для власних потреб

Для одержання дозволу державний орган подає до ДСТСЗІ СБУ заяву про видачу дозволу на проведення робіт з ТЗІ для власних потреб.

ДСТСЗІ СБУ у місячний термін після прийняття заяви перевіряє відомості, що містяться у поданих матеріалах, створені умови для проведення заявлених видів робіт та приймає рішення про видачу дозволу або відмову у його видачі. Повідомлення про відмову у видачі дозволу надсилається державному органу в письмовій формі.

Підставою для прийняття рішення про відмову у видачі дозволу за результатами перевірки є виявлення відсутності умов для проведення заявлених видів робіт, що встановлені цим Положенням.

При проведенні кількох видів робіт видається один дозвіл.

У разі зміни місцезнаходження державного органу відповідна інформація подається до ДСТСЗІ СБУ у 10-денний термін з дня настання такої зміни.

Державний орган повинен одержати новий дозвіл у порядку, установленому цим Положенням, якщо він має намір проводити інші види робіт з ТЗІ, крім зазначених у наданому дозволі. У разі припинення державним органом своєї діяльності дія дозволу закінчується.

Видача дозволів здійснюється безоплатно.


Контроль за дотриманням умов проведення робіт з ТЗІ для власних потреб

Контроль за дотриманням умов проведення робіт з ТЗІ для власних потреб здійснює ДСТСЗІ СБУ під час проведення за встановленим порядком планових і позапланових перевірок.

У разі виявлення порушень умов проведення робіт з ТЗІ державний орган зобов'язаний вжити невідкладних заходів щодо їх усунення та в установленому порядку повідомити ДСТСЗІ СБУ про усунення порушень.
Анулювання дозволу на проведення робіт з ТЗІ для власних потреб

Підставою для анулювання дозволу є невиконання заходів щодо усунення порушень умов проведення робіт з ТЗІ.

Розгляд питань про анулювання дозволу здійснюється ДСТСЗІ СБУ з обов'язковим запрошенням представників державного органу.

ДСТСЗІ СБУ приймає рішення про анулювання дозволу протягом десяти робочих днів з дати встановлення ним підстави для анулювання дозволу. Про прийняте рішення не пізніше трьох робочих днів з дати його прийняття ДСТСЗІ СБУ у письмовій формі повідомляє державний орган із зазначенням підстави для анулювання.

Рішення про анулювання дозволу набирає чинності через 10 днів з моменту його прийняття. Це рішення може бути оскаржено згідно з чинним законодавством України.

Державний орган після отримання офіційного рішення про анулювання дозволу повинен у десятиденний термін повернути його до ДСТСЗІ СБУ.



Заява про одержання нового дозволу після анулювання попереднього розглядається за умови усунення порушень на загальних засадах, але не раніше ніж через рік.
1   2   3   4   5   6   7   8   9


База даних захищена авторським правом ©lecture.in.ua 2016
звернутися до адміністрації

    Головна сторінка