Указ No 19/2008 Кол.
Указ про внесення змін до Указу No 528/2005, про фізичну безпеку та сертифікацію технічних засобів
Чинний
Замовити
Чинний від 15.02.2008
Версії тексту:
15.02.2008
05.02.2008
19 мар
ВИЗНАЧЕННЯ
від 25 січня 2008
внесення змін до Указу No 528 / 2005 Coll, про фізичну безпеку та сертифікацію технічних засобів
Відповідно до статті 33 та 53 (c), (d), (f) та (j) Акту No 412 / 2005 Coll., про захист позначеної інформації та про можливості безпеки:
Указ No 528 / 2005 Coll., про фізичну безпеку та сертифікацію технічних засобів, поправки вносяться наступним чином:
1. У статті 2, в кінці точки (л), точка замінюється комою і додається наступна точка (м):
"(m) атакуючий є природною особою, яка діє з метою подолання технічних засобів та інших перешкод для захисту інформації.";
2. У статті 3 вводиться наступний пункт 7 після абзацу 6:
"(7) З метою забезпечення захисту зон безпеки Категорія Заповідні, сертифіковані або несертифіковані технічні засоби. -;
Публікації 7 до 11 повинні бути нумеровані пункти 8 до 12.
3. У статті 3 (8) слова «Доступні та вищі категорії будуть вставлятися після слів» Захищені ділянки».
4. Параграф 3 (9) читати далі:
"(9) Визначена інформація буде зберігатися в захищеному місці, або в приміщенні зберігання, де його значення наноситься в проект фізичної безпеки для відповідної безпечної зони. ";
5. Умань
Безпека технічного обладнання
(1) Технічний пристрій, що містить інформацію про конфіденційність, буде зберігатися в захищеному місці. За межами цієї закріпленої площі і її класифікації в відповідній категорії і класу визначається оператором будівлі. Об'єктний ліміт визначається оператором об'єкта.
(2) Безпека захищеної території та межі приміщень, зазначених в пункті 1, забезпечується поєднанням фізичних заходів безпеки відповідно до пунктів 3 до 10 або статті 3 (2).
(3) Сфера та спосіб використання технічних засобів та інших перешкод для захисту від позначеної інформації в технічному обладнанні визначені оператором приміщень таким чином, щоб забезпечити, що охоронні охоронці поінформовані про порушення атаки та уповільнення його на шляху до класифікації інформації в технічному обладнанні.
(4) Сертифіковані та несертифіковані технічні засоби можуть бути використані для забезпечення захисту закріпленої ділянки та будівлі, зазначених у пункті 1. Як правило, найбільш міцні технічні засоби розміщуються поруч з технічним обладнанням.
(5) Для нагляду за технічним об'єктом, що містить інформацію про конфіденційність, тип 4 безпеки або вище встановлюється відповідно до Додаток 1 до цього Регламенту. Для спостереження за технічним пристроєм, що містить позначену інформацію класифікаційного рівня, тип 4 безпеки встановлюється з регулярними раундами за інтервалами не більше 4 годин або з рівнем безпеки вище зазначеного в додатку 1 до цього Регламенту. Для спостереження за технічним пристроєм, що містить інформацію класифікованої класифікації, встановленої в додатку 1 типу 5, встановлюється в додатку 1 до цього Регламенту.
(6) Оператор об'єкта встановлює обмеження часу на відеоспостереження, які повинні бути пов'язані з тим, як пересуватися від атаки на підставі кількості та типу індивідуальних технічних засобів та інших перешкод, які повинні подолати атаки при поїзді до класифікації інформації в технічному обладнанні.
(7) Порушення безпеки на атакуючого агента здійснюється принаймні двома фізичними особами в будь-якому місці в об'єкті або зоні безпеки, де захист позначеної інформації був порушений в технічному об'єкті або оголошенні тривожного або аварійного сигналу без ослаблення захисту позначеної інформації в іншому місці.
(8) Захисний охоронець зобов'язаний проти атаки в межах ліміту часу, встановленого оператором об'єкта відповідно до пункту 9 для запобігання нападника з отримання позначеної інформації в технічному обладнанні. На основі нових фактів необхідно регулярно переглядати ліміти часу.
(9) Обмеження часу вказані оператором об'єкта в рамках проекту фізичної безпеки. У цьому випадку таблиця оцінки заходів фізичної безпеки в захищеному районі, встановленому ч. 14.3.1 Додаток No1 до цього Указу не обробляється.
(10) Проект фізичного забезпечення захищеної площі, в якій зберігаються технічні установки, затверджуються відповідальною особою або директором з безпеки.
(11) У випадках, коли технічне обладнання закріплюється відповідно до пункту 3 (2), точкові значення технічного обладнання встановлюються в додатку 1 до цього Указу.
6. У статті 8 (2) слова «захищені ділянки, ділянки процедур і складських приміщень» заміщуються словом «архів процедури, а також безпечним майданчиком і складом зберігання, де позначена інформація зберігається на рівні класифікованої класифікації, що вимагає спеціального режиму лікування, а також позначеної інформації на конфіденційність або вищому рівні»;
7. У пункті 8, наступний пункт 3 вставляється після пункту 2:
"(3) Режим обробки та ідентифікації даних для безпечної зони та сховища, де позначена інформація зберігається, визначається оператором об'єкта. ";
Публіки 3 і 4 повинні бути занурені абзаци 4 і 5.
8. У Додаток No 1 вводиться наступний пункт 1.1.10 після пункту 1.1.9:
| „1.1.10. Úschovný objekt typ 0: | |
| S1 = 0 bodů |
Об'єкт зберігання Type-0 - це тверда конструкція (наприклад, коробка, офісні меблі) і оснащена замком, яка закривається. Вони не демонструють ознаки пошкодження або зносу, які не змогли виявити спроб у несанкціонованому в'їзді. Об'єкт зберігання Type-0 не сертифікований Офісом.
Комплаєнс властивостей цих об'єктів зберігання з вищезазначеними вимогами підтверджується оператором об'єкта в проекті фізичної безпеки.
9. У додатку No 1 вводиться наступний пункт 2.1.5 після точки 2.1.4:
| „2.1.5. Zabezpečená oblast typ 0: | |
| SS3 = 0 bodů |
Стіни, підвісні отвори, підлоги і стелі - це світлові конструкції, виготовлені з матеріалів, таких як:
- гіпсокартон,
- легка цегляна конструкція,
- дерево, ДСП,
- пластикові затверджені матеріали,
- профільований або гофрований лист,
- скло.
Протікання отворів не потрібно закріплювати механічними засобами, які забезпечують однаковий ступінь стійкості, як і інші частини зони безпеки типу 0, але повинні дозволити контролювати рух осіб і транспортних засобів.
Механічні пристрої не демонструють ознаки пошкодження або зносу, які не змогли виявити спроби несанкціонованого входу.
Відповідність вищезазначених вимог підтверджується оператором будівлі в проекті фізичної безпеки.
10. У додатку No 1 вводиться наступний пункт 2.2.5 після точки 2.2.4.:
| „2.2.5. Uzamykací systém typ 0: | |
| SS4 = 0 bodů |
Система блокування Type-0 не сертифікована Офісом.
11. У додатку No 1 вводиться наступний пункт 3,5 після точки 3.4:
| „3.5. Objekt typ 0: | |
| S3 = 0 bodů |
Об'єкт має в'язкість визначений кордон, в межах якого є можливість перевірки окремих осіб і транспортних засобів.
12. У додатку 1, в замітці на точку 5.1, вирок «Використання технічного пристрою, що містить позначену інформацію, зберігається в безпечному місці під розділом 5 Указу, втручання безпеки здійснюється в межах ліміту часу, встановленого оператором приміщень (розділ 5 (9)), незалежно від місця розташування постійного відеоспостереження.
13. У Додаток 1, пункт 11, в тому числі заголовок, читати:
«11. УМОВИ ВИКОРИСТАННЯ ТЕХНОЛОГІЇ ТЕХНІЧНОГО ОБЛАДНАННЯ ПЕРІОДУ ЇХ СЕРТИФІКАТІВ
Після закінчення сертифікату, технічні засоби захисту відвідної інформації не будуть придбані та переоцінені.
Цей технічний засіб може продовжувати бути розгорнутий тільки якщо він продемонстрував, що він був придбаний і розгорнутий протягом терміну дії свідоцтва з тим же органом державної, юридичної особи або фізичної особи, для якої здійснюється подальше розгортання. подальше розгортання є подальшим умовним на виконання функціонального тесту технічного пристрою на дату розгортання; запис результату функціонального тесту буде зберігатися оператором об'єкта.
Після закінчення сертифікату, технічні засоби можуть бути використані, що вони повністю функціональні. Це буде перевірено функціональним тестом. У разі механічних засобів та обладнання для фізичного знищення інформації, функціональний тест підтримується реєстрацією, підписаною оператором об’єкта або особою, яка її авторизація. Для інших технічних пристроїв функціональний тест буде продемонстрований тестовим протоколом або записом у робочій книзі. Часові інтервали встановлюються в розділі 10 Указу.
14. У додатку 1, пункт 12.1, четвертий стіл читає:
| „ZABEZPEČENÁ OBLAST KATEGORIE Vyhrazené sloužící k ukládání utajované informace, která vyžaduje zvláštní režim nakládání (např. KRYPTO) | |
| Povinné: (S1) + (S2) + (S3) | 2 |
| Nepovinné : (S4) + (S5) + (S6) | 1 |
| Celkový výsledek | 3“. |
15. У додатку 1, пункт 12.1, наступний стіл вставляється після четвертого столу:
| „ZABEZPEČENÁ OBLAST KATEGORIE Vyhrazené |
| S1 = Úschovný objekt typu 0 |
| S2 = Zabezpečená oblast typu 0 a Uzamykací systém typu 0 |
| S3 = Objekt typu 0“. |
16. У додатку No 1, в примітці до пункту 12.1, після тексту «Дизайнований об'єкт, безпечна зона може використовуватися тільки для заходів, пов'язаних з захистом позначеної інформації одним органом державної, юридичної або юридичної особи. «, новий текст» Для надійної площі категорії Заброньований - тільки один з зазначених умов (S1), (S2) або (S3) не потрібно впровадити на окрему лінію. Де будуть реалізовані межі закріпленої ділянки і об'єкта, заходи, викладені на безпечній площі; в цьому випадку не допускається здійснення заходів по об'єкту зберігання.';
17. У Додаток No 1, в замітці до пункту 12.1, вирок "Щоб один з значень (S1), (S2) або (S3) може бути дорівнює 0. «Замінюється наступним чином:» Для забезпечення безпеки категорії Зарезервовані для зберігання інформації, що вимагає спеціального режиму завантаження і для безпечної зони категорії Конфіденційно і вище - тільки одна з значень (S1), (S2) або (S3) може бути дорівнює 0.'
18. в Додаток 1, заголовок пункту 13.2.3 Читає: "13.2.3. Подрібнювач даних ".
19. в додатку 1, пункт 13.2.3, слова «Вимагати для знищення дисків і компактних дисків:
- вимоги до обладнання, призначених виключно для фізичного знищення дисків і компактних дисків, для всіх класичних сортів: «замінити за допомогою:
«Вимагачі для обладнання, призначені виключно для фізичного знищення дисків і компактних дисків, для всіх рівнів класифікації:
| 13.2.4. Skartace nosičů dat typ PC: | |
| bez bodového hodnocení“. |
20. в додатку 1, п. 13.2.3, слова "- вимоги до руйнування магнітних стрічок, чіпів пам'яті та жорстких дисків:" замінювати слова:
"Вимагає знищення магнітних стрічок, чіпів пам'яті і жорстких дисків:
| 13.2.5. Skartace nosičů dat typ PC1: | |
| bez bodového hodnocení“. |
21. У додатку No 1, у заголовку ч. 14 після слова «САФЕТИ», слова» У СПРАВЛІННЯ В УМОВИХ КАТЕГОРІЙ КАТЕГОРІЇ КОНФІДЕНЦІЙНОГО ТА ВИЩОГО» вставляється після слова «СЕСТУРНІСТЬ».
22. У додатку 1, Частина 14, вилучена замітка на пункт 14.
23. У додатку 1 частина 15 додається після ч. 14, включаючи назву:
ФІЗИЧНА БЕЗПЕКА ПРОЕКТУ У СПРАВАХ, ЩО ПРОТЕКЦІЙНІ КАТЕГОРІЇ КАТЕГОРІЙ ФІЛІЗОВАНІ
15.1. ВИЗНАЧЕННЯ ОБ’ЄКТІВ, БЕЗПЕКИ ЗАБЕЗПЕЧЕННЯ ЇХ ЗАМОВЛЕННЯ ТА КЛАСУ БЕЗПЕКИ
Створення меж будівлі (розміщення на місці / будівництво, в'їзди, висота вікна, постійне положення безпеки).
Щоб намалювати об'єкт кордон в розділ креслення технічної документації фізичної безпеки (Анекс 15.2).
· Визначення безпечних зон, що знаходяться в будівлі та їх класі. Необхідно відрізнити від класичного зберігання інформації, робочих місць інформаційних систем, постійної присутності працівників або комбінацій цих типів.
Визначення меж закріплених територій (розміщення в будівлі, міцність стін, вводи, висота нижнього краю отворних отворів над навколишнім рельєфом) і накреслення секції креслення Технічної документації фізичної безпеки (застібка 15.2. Додаток).
15.2. ТЕХНІЧНА ДОКУМЕНТАЦІЯ ФІЗИЧНОЇ БЕЗПЕКИ
Ця документація буде розбита на наступні частини:
Документація, яка включає в себе, зокрема, маркування об'єкта будівлі, межі окремих зон безпеки та розгортання технічних засобів для захисту від позначеної інформації в будівлі та зонах безпеки.
До технічних засобів відносяться, зокрема, анумуляція (ім'я, номер і, у випадку декількох видів одного виду технічного пристрою і розташування) і основні дані:
(a) Сертифіковані технічні засоби - копії свідоцтва та анексу з часу встановлення (якщо не анексовано, тип та оцінка технічних засобів).
(b) Несертифіковані технічні засоби - реєстрація оцінки відповідності з часом установки (вкажіть специфікацію та метод використання).
Перевірка функціональності технічних засобів в умовах, викладених оператором будівлі.
Примітка до абзацу 15:
У разі безпечної площі, де класифікована інформація зберігається на рівні, зарезервованої, яка вимагає спеціального режиму завантаження, таблиці для оцінки фізичних заходів безпеки закріпленої ділянки, додатково обробляється відповідно до пункту 14.3.1. ";
Еффіфікація
Цей Указ діє на 15 лютого 2008 року.
Директор:
Інг.
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Указ No 19 / 2008 Coll., поправка Указу No 528 / 2005 Coll., про фізичну безпеку та сертифікацію технічних засобів |
|---|---|
| Тип нормативного акту | Замовити |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 05.02.2008 |
|---|---|
| Чинний від | 15.02.2008 |
| Чинний до | - |
| Стан | Чинний |
Текст нормативного акту має інформаційний характер.
Коментарі 0