08. Нормативно-правові акти з технічного захисту інформації

Зростання загроз для інформації, спричинене лібералізацією суспільних та міждержавних відносин, кризовим станом економіки, застосуванням технічних засобів оброблення інформації та засобів зв'язку іноземного виробництва, поширенням засобів несанкціонованого доступу до інформації та впливу на неї, визначає необхідність розвитку технічного захисту інформації(далі - ТЗІ). ТЗІ є складовою частиною забезпечення інформаційної безпеки України.

8 жовтня 1997 року постановою Кабінету Міністрів України № 1126 була затверджена «Концепція ТЗІ в Україні» (далі - Концепція), яка визначає основи державної політики у сфері захисту інформації інженерно-технічними заходами. Концепція має забезпечити єдність принципів формування і проведення відповідної політики в усіх сферах життєдіяльності особи, суспільства та держави і служити підставою для створення програм розвитку сфери ТЗІ.

ТЗІ - це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності інформації з обмеженим доступом, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави.

Напрями розвитку ТЗІ обумовлюються необхідністю своєчасного вжиття заходів, адекватних масштабам загроз для інформації, і ґрунтуються на засадах правової демократичної держави відповідно до прав суб'єктів інформаційних відносин на доступ до інформації та її захист. Приведення інформаційних відносин у сфері ТЗІ у відповідність з міжнародними стандартами сприятиме утвердженню України у світі як демократичної правової держави.

Загрози безпеці інформації та стан її технічного захисту

Впровадження в усі сфери життєдіяльності особи, суспільства та держави інформаційних технологій зумовило поширення великих масивів інформації в обчислювальних та інформаційних мережах на значних територіях. За відсутності вітчизняних конкуренто-спроможних інформаційних технологій надається перевага технічним засобам оброблення інформації та засобам зв'язку іноземного та спільного виробництва, які здебільшого не забезпечують захист інформації.

Комунікаційне обладнання іноземного виробництва, яке використовується у мережах зв'язку, передбачає дистанційний доступ до його апаратних та програмних засобів, у тому числі з-за кордону, що створює умови для несанкціонованого впливу на їх функціонування і контролю за організацією зв'язку та змістом повідомлень, які пересилаються.

Прогрес у різних галузях науки і техніки призвів до створення компактних та високоефективних технічних засобів, за допомогою яких можна легко підключатись до ліній телекомунікацій та різноманітних технічних засобів оброблення інформації вітчизняного та іноземного виробництва з метою здобування, пересилання та аналізу розвідувальних даних. Для цього може використовуватись апаратура радіо-, радіотехнічної, оптико-електронної, радіотеплової, акустичної, хімічної, магнітометричної, сейсмічної та радіаційної розвідок.

За таких умов створилися можливості витоку інформації, порушення її цілісності та блокування. Витік інформації, яка становить державну та іншу передбачену законом таємницю, службової інформації, - це одна з основних можливих загроз національній безпеці України в інформаційній сфері.

Загрози безпеці інформації в Україні зумовлені:
- не виваженістю державної політики в галузі інформаційних технологій, що може призвести до безконтрольного та неправомочного доступу до інформації та її використання;
- діяльністю інших держав, спрямованою на одержання переваги в зовнішньополітичній, економічній, військовій та інших сферах;
- недосконалістю організації в Україні міжнародних виставок апаратури різного призначення (особливо пересувних) та заходів екологічного моніторингу, що може використовуватися для здобування інформації розвідувального характеру;
- діяльністю політичних партій, суб'єктів підприємницької діяльності, окремих фізичних осіб, спрямованою на одержання переваги у політичній боротьбі та конкуренції;
- злочинною діяльністю, спрямованою на протизаконне одержання інформації з метою досягнення матеріальної вигоди або нанесення шкоди юридичним чи фізичним особам;
- використанням інформаційних технологій низького рівня, що призводить до впровадження недосконалих технічних засобів із захистом інформації, засобів контролю за ефективністю ТЗІ та засобів ТЗІ (далі - засоби забезпечення ТЗІ);
- недостатністю документації на засоби забезпечення ТЗІ іноземного виробництва, а також низькою кваліфікацією технічного персоналу у сфері ТЗІ.

Стан ТЗІ зумовлюється:
- недосконалістю правового регулювання в інформаційній сфері, зокрема у сфері захисту таємниць (крім державної), конфіденційної інформації та відкритої інформації, важливої для особи, суспільства та держави;
-недостатністю нормативно-правових актів і нормативних документів з питань проведення досліджень, розроблення та виробництва засобів забезпечення ТЗІ;
- незавершеністю створення системи сертифікації засобів забезпечення ТЗІ;
- недосконалістю системи атестації на відповідність вимогам ТЗІ об'єктів, робота яких пов'язана з інформацією, що підлягає технічному захисту;
- недостатньою узгодженістю чинних в Україні нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України.

Система ТЗІ

Система ТЗІ - це сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами (далі - організаційні структури), нормативно-правова та матеріально-технічна база.

Принципами формування і проведення державної політики у сфері ТЗІ є:
- додержання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність;
- єдність підходів до забезпечення ТЗІ, які визначаються загрозами безпеці інформації та режимом доступу до неї;
- комплексність, повнота та безперервність заходів ТЗІ;
- відкритість нормативно-правових актів та нормативних документів з питань ТЗІ, які не містять відомостей, що становлять державну таємницю;
- узгодженість нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України;
- обов'язковість захисту інженерно-технічними заходами інформації, яка становить державну та іншу передбачену законом таємницю, службової інформації, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, в державних установах і організаціях (далі - організації);
- виконання на власний розсуд суб'єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації, що не належить державі, та відкритої інформації, важливої для особи та суспільства, якщо остання циркулює поза межами організацій;
- покладення відповідальності за формування та реалізацію державної політики у сфері ТЗІ на спеціально уповноважений центральний орган виконавчої влади;
- ієрархічність побудови організаційних структур системи ТЗІ та керівництво їх діяльністю у межах повноважень, визначених нормативно-правовими актами;
- методичне керівництво спеціально уповноваженим центральним органом виконавчої влади у сфері ТЗІ діяльністю організаційних структур системи ТЗІ;
- скоординованість дій та розмежування сфер діяльності організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки;
- фінансова забезпеченість системи ТЗІ за рахунок Державного бюджету України, місцевих бюджетів та інших джерел.

Основними функціями організаційних структур системи ТЗІ є:
- оцінка стану ТЗІ в державі, визначення пріоритетних напрямів його розвитку;
- розвиток правових засад удосконалення системи ТЗІ;
- виявлення та прогнозування загроз безпеці інформації;
- забезпечення інженерно-технічними заходами захисту інформації, що підлягає технічному захисту;&
- створення умов для ТЗІ, що здійснюється суб'єктами інформаційних відносин на власний розсуд;
- формування та забезпечення реалізації державної політики щодо створення та впровадження вітчизняних засобів забезпечення ТЗІ;
- створення національної системи стандартизації та нормування у сфері ТЗІ;
- організація фундаментальних і прикладних науково-дослідних робіт та розробок у сфері ТЗІ;
- забезпечення взаємодії організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки;
- організація створення та виконання програм розвитку ТЗІ;
- забезпечення ліцензування підприємницької діяльності в сфері ТЗІ;
- організація контролю за якістю засобів забезпечення ТЗІ шляхом їх сертифікації;
- організація контролю за відповідністю вимогам ТЗІ об'єктів, діяльність яких пов'язана з інформацією, що підлягає технічному захисту, шляхом їх атестації;
- організація контролю за ефективністю ТЗІ на об'єктах, діяльність яких пов'язана з інформацією, що підлягає технічному захисту;
- забезпечення підготовки фахівців для роботи у сфері ТЗІ;
- сприяння залученню інвестицій і вітчизняного товаровиробника у сферу ТЗІ;
- організація міжнародного співробітництва в сфері ТЗІ, представлення інтересів України у відповідних міжнародних організаціях;
- забезпечення (кадрове, фінансове, нормативне, матеріально-технічне, інформаційне тощо) життєдіяльності складових організаційних структур системи ТЗІ.

Основні напрями державної політики у сфері ТЗІ

Державна політика у сфері ТЗІ визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень цієї Концепції, а також програм розвитку ТЗІ та окремих проектів.

Основними напрямами державної політики у сфері ТЗІ є такі заходи:
- організаційне та нормативно-правове забезпечення;
- удосконалення чинних та розроблення нових НД ТЗІ;
- науково-технічна та виробнича діяльність.

Організаційне забезпечення складається з таких заходів:
- забезпечення створення підрозділів ТЗІ в організаціях всіх форм власності, діяльність яких пов'язана з інформацією, що підлягає технічному захисту;
- створення головної у сфері ТЗІ, головних (базових) за напрямами ТЗІ організацій, а також лабораторій системи сертифікації засобів забезпечення ТЗІ;
- підготовка кадрів для роботи у сфері ТЗІ;
- залучення до розв'язання проблем ТЗІ вітчизняних вчених та висококваліфікованих спеціалістів;
- розвиток міжнародного співробітництва в сфері ТЗІ.

Нормативно-правове забезпечення складається з таких заходів:
- удосконалення чинних та створення нових нормативно-правових актів щодо захисту інформації, яка становить державну та іншу передбачену законом таємницю, службової інформації;
- розроблення нормативно-правових актів щодо захисту відкритої інформації, важливої для особи, суспільства та держави;
- удосконалення правових механізмів організаційного забезпечення ТЗІ;
- удосконалення нормативно-правових актів щодо умов і правил провадження діяльності у сфері ТЗІ;
- розроблення нормативно-правових актів щодо визначення статусу головної у сфері ТЗІ, головних (базових) за напрямами ТЗІ організацій;
- удосконалення нормативно-правових актів щодо здійснення контролю за імпортом з метою впровадження в Україні іноземних інформаційних технологій з захистом інформації та засобів забезпечення ТЗІ;
- розроблення нормативних документів з питань формування та розвитку моделі загроз для інформації;
- розроблення нормативних документів з питань сертифікації засобів забезпечення ТЗІ та атестації на відповідність вимогам ТЗІ об'єктів, робота яких пов'язана з інформацією, що підлягає технічному захисту.

Удосконалення чинних та розроблення нових НД ТЗІ:
- у засобах обчислювальної техніки, в автоматизованих системах, оргтехніці, мережах зв'язку, комп'ютерних мережах та приміщеннях, де циркулює інформація, що підлягає технічному захисту;
- під час створення, експлуатації та утилізації зразків озброєнь, військової та спеціальної техніки;
- під час проектування, будівництва і реконструкції військово-промислових, екологічно небезпечних та інших особливо важливих об'єктів.

Науково-технічна та виробнича діяльність складається з таких заходів:
- моніторинг і оцінка стану ТЗІ, підготовка аналітичних матеріалів і пропозицій щодо стратегії його розвитку;
- створення інформаційно-аналітичних моделей загроз для інформації та методології їх прогнозування;
- обгрунтування критеріїв та показників рівнів ТЗІ;
- створення методології синтезу систем багаторівневого захисту інформації, адекватних масштабам загроз безпеці інформації та режиму доступу до неї;
- створення методології, призначеної для визначення зниження ефективності продукції, зумовленої витоком інформації про неї, порушенням її цілісності чи блокуванням, та методології обгрунтування заходів ТЗІ;
- системне і поетапне розроблення сучасних засобів забезпечення ТЗІ;
- пріоритетне створення вітчизняних конкурентоспроможних інформаційних технологій та розвиток виробництва засобів забезпечення ТЗІ;
- створення умов для забезпечення головної у сфері ТЗІ, головних (базових) за напрямами ТЗІ організацій, а також лабораторій системи сертифікації засобів забезпечення ТЗІ науковим, контрольно-вимірювальним, випробувальним та виробничим обладнанням.

Першочерговими заходами щодо реалізації державної політики у сфері ТЗІ є:
- створення правових засад реалізації державної політики у сфері ТЗІ, визначення послідовності та порядку розроблення відповідних нормативно-правових актів;
- визначення перспективних напрямів розроблення нормативних документів з питань ТЗІ на основі аналізу стану відповідної вітчизняної та зарубіжної нормативної бази, розроблення зазначених нормативних документів;
- визначення номенклатури вітчизняних засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку, призначених для оброблення інформації з обмеженим доступом інших засобів забезпечення ТЗІ в органах державної влади та органах місцевого самоврядування, Збройних Силах, інших військових формуваннях, органах внутрішніх справ;
- налагодження згідно з визначеною номенклатурою виробництва засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку із захистом інформації, інших вітчизняних засобів забезпечення ТЗІ;
- завершення створення та розвиток системи сертифікації вітчизняних та закордонних засобів забезпечення ТЗІ;
- визначення реальних потреб системи ТЗІ у фахівцях, розвиток та вдосконалення системи підготовки, перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ.

27 вересня 1999 року Указом Президента України № 1229 було затверджено «Положення про технічний захист інформації в Україні» (далі - Положення), яке визначає правові та організаційні засади технічного захисту важливої для держави, суспільства і особи інформації, охорона якої забезпечується державою відповідно до законодавства.

Ужиті в цьому Положенні терміни мають таке значення:
- конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;
- цілісність - властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення;
- доступність - властивість інформації бути захищеною від несанкціонованого блокування;
- інформаційна система - автоматизована система, комп'ютерна мережа або система зв'язку;
- ТЗІ - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;
- комплекс ТЗІ - сукупність заходів та  засобів для реалізації ТЗІ в інформаційній системі або на об'єкті.

Державна політика технічного захисту інформації реалізується Державною службою спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку) у взаємодії з  органами, щодо яких здійснюється ТЗІ.

Згідно п.5 Положення організація ТЗІ в установах покладається на їх керівників. Згідно п.6 Положення нормативно-правові акти з ТЗІ є обов'язковими для виконання всіма суб'єктами системи ТЗІ.

Згідно п.8 Положення суб'єктами системи технічного захисту інформації є:
- Держспецзв'язку;
- органи, щодо яких здійснюється ТЗІ;
- науково-дослідні та науково-виробничі установи Держспецзв'язку, державні підприємства, що перебувають в управлінні Держспецзв'язку та виконують завдання з ТЗІ;
- організації всіх форм власності й громадяни-підприємці, які провадять діяльність з ТЗІ  за відповідними дозволами або ліцензіями;
- навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з ТЗІ.

Згідно п.11 Положення основними завданнями організацій є:
- забезпечення ТЗІ згідно з вимогами нормативно-правових актів з питань ТЗІ;
- видання у межах своїх повноважень нормативно-правових актів із зазначених питань;
- здійснення контролю за станом ТЗІ.

Згідно п.12 Положення організації відповідно до покладених на них завдань:
- створюють або визначають підрозділи, на які покладається забезпечення ТЗІ та контроль за його станом, узгоджують основні завдання та функції цих підрозділів;
- видають за погодженням з Адміністрацією Держспецзв'язку та впроваджують нормативно-правові акти з питань ТЗІ;
- погоджують з Адміністрацією Держспецзв'язку проведення організаціями тих науково-дослідних, дослідно-конструкторських і дослідно-технологічних робіт, спрямованих на розвиток нормативно-правової та матеріально-технічної бази системи ТЗІ, які здійснюються за рахунок коштів державного бюджету;
- створюють або визначають за погодженням з Адміністрацією Держспецзв'язку організації, що забезпечують ТЗІ;
- забезпечують підготовку, перепідготовку та підвищення кваліфікації кадрів з ТЗІ;
- надають Адміністрації Держспецзв'язку за його запитами відомості про стан ТЗІ.

Згідно п.13 Положення основними завданнями інших суб'єктів системи ТЗІ є:
- дослідження загроз для інформації на об'єктах, функціонування яких пов'язано з інформацією, що підлягає охороні;
- створення та виробництво засобів забезпечення ТЗІ;
- розроблення, впровадження, супроводження комплексів ТЗІ;
- підвищення кваліфікації фахівців з ТЗІ.

Згідно п.15 Положення матеріально-технічна база системи ТЗІ складається з технічних засобів загального призначення та спеціальних технічних засобів. Технічні засоби загального призначення повинні мати документ, що засвідчує їх відповідність вимогам нормативно-правових актів з ТЗІ, одержаний у порядку, що встановлюється Адміністрацією Держспецзв'язку та Державним комітетом України з питань технічного регулювання та споживчої політики.

Згідно п.16 Положення техніко-економічне обгрунтування, проектування будівництва та реконструкції об'єктів, проведення наукових досліджень та створення інформаційних систем, зразків озброєнь, військової та спеціальної техніки, критичних і небезпечних технологій виконуються за завданнями, до яких включаються вимоги з ТЗІ, якщо під час виконання передбачених завданням  робіт та у процесі функціонування зазначених об'єктів, систем, зразків і технологій циркулюватиме інформація, охорона якої забезпечується державою.

Під час віднесення замовником таких робіт до особливо важливих та створення інформаційних систем державних органів завдання та результати приймання їх етапів погоджуються з Адміністрацією Держспецзв'язку. Фінансування створення цих систем здійснюється після такого погодження. Витрати на заходи з ТЗІ включаються до кошторисної вартості робіт.

Згідно п.17 Положення під час розроблення та впровадження заходів з ТЗІ використовуються засоби, дозволені Адміністрацією Держспецзв'язку для застосування та включені до відповідних переліків.

Згідно п.18 Положення контроль у сфері ТЗІ полягає в перевірці виконання вимог Положення, інших нормативно-правових актів з питань ТЗІ та в оцінюванні захищеності інформації на об'єкті, де вона циркулюватиме або циркулює.

Оцінювання захищеності інформації здійснюється шляхом атестації або експертизи комплексів ТЗІ та інспекційних перевірок. За результатами атестації або експертизи комплексів ТЗІ визначається можливість введення в експлуатацію об'єкта, де циркулюватиме інформація, охорона якої забезпечується державою.

Згідно п.20 Положення розроблення, впровадження, атестація та експлуатація ТЗІ для власних потреб здійснюються відповідними підрозділами організацій, на які в установленому порядку покладено забезпечення ТЗІ, за наявності у них відповідного дозволу. До виконання цих робіт можуть бути залучені суб'єкти підприємницької діяльності, що мають відповідні ліцензії.

Починаючи з 1996 року, в Україні у сфері ТЗІ були розроблені державні будівельні норми ДБН А.2.2-2-96 «ТЗІ. Загальні вимоги до організації проектування і проектної документації для будівництва» та державні (національні) стандарти:
- ДСТУ 3396.0-96 ТЗІ. Основні положення;
- ДСТУ 3396.1-96 ТЗІ. Порядок проведення робіт;
- ДСТУ 3396.2-97 ТЗІ. Терміни та визначення.

Національний стандарт ДСТУ 3396.0-96 «ТЗІ. Основні положення» установлює об’єкт, мету, основні організаційно-технічні положення забезпечення ТЗІ, неправомірний доступ до якої може завдати шкоди громадянам, організаціям та державі, а також категорії нормативних документів системи ТЗІ.

Метою ТЗІ є запобігання витоку або порушенню цілісності ІзОД. Мета ТЗІ може бути досягнута побудовою системи захисту інформації, що є організованою сукупністю методів і засобів забезпечення ТЗІ.

ТЗІ здійснюється поетапно:
- 1 етап - визначення й аналіз загроз;
- 2 етап - розроблення системи захисту інформації;
- 3 етап - реалізація плану захисту інформації;
- 4 етап - контроль функціювання та керування системою захисту інформації.

На першому етапі необхідно здійснити аналіз об’єктів ТЗІ, ситуаційного плану, умов функціювання підприємства, установи, організації, оцінити ймовірність прояву загроз та очікувану шкоду від їх реалізації, підготувати засадничі дані для побудови окремої моделі загроз.

Джерелами загроз може бути діяльність іноземних розвідок, а також навмисні або ненавмисні дії юридичних і фізичних осіб. Опис загроз і схематичне подання шляхів їх здійснення складають окрему модель загроз.

Загрози можуть здійснюватися:
- технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо-, радіотехнічні, хімічні та інші канали;
- каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
- несанкційованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.

На другому етапі слід здійснити розроблення плану ТЗІ та визначення зон безпеки інформації.

Розроблення плану ТЗІ містить такі заходи захисту ІзОД:
- організаційні;
- первинні технічні;
- основні технічні.

Організаційні заходи регламентують порядок інформаційної діяльності з урахуванням норм і вимог ТЗІ для всіх періодів життєвого циклу об’єкта ТЗІ. Первинні технічні заходи передбачають захист інформації блокуванням загроз без використання засобів ТЗІ. Основні технічні заходи передбачають захист інформації з використанням засобів ТЗІ. Для ТЗІ слід застосовувати спосіб приховування або технічної дезінформації.

 Заходи захисту інформації повинні:
- бути відповідними загрозам;
- бути розробленими з урахуванням можливої шкоди від їх реалізації і вартості захисних заходів та обмежень, що вносяться ними;
- забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.

Рівень захисту інформації означується системою кількісних та якісних показників, які забезпечують розв’язання завдання захисту інформації на основі норм та вимог ТЗІ. Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпечнішій загрозі. Підвищення рівня захисту інформації досягається нарощуванням технічних заходів протидії безлічі загроз.

На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні зони безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, технічних засобів захисту інформації, робочих місць (приміщень) на відповідність вимогам безпеки інформації.

ТЗІ забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації (далі - засоби ТЗІ) та контролю ефективності захисту, які мають cертифікат відповідності вимогам нормативних документів системи УкрСЕПРО або дозвіл на їх використання від уповноваженого Кабінетом Міністрів України органу, а також застосуванням спеціальних інженерно-технічних споруд, засобів і систем (далі - засоби забезпечення ТЗІ).

Засоби ТЗІ можуть функціонувати автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у них складових елементів.

Склад засобів забезпечення ТЗІ, перелік їх постачальників, а також послуг з установлення, монтажу, налагодження та обслуговування визначаються особами, що володіють, користуються і розпоряджаються ІзОД самостійно або за рекомендаціями спеціалістів з ТЗІ згідно з нормативними документами системи ТЗІ.

Національний стандарт ДСТУ 3396.1-96 «ТЗІ. Порядок проведення робіт» установлює вимоги до порядку проведення робіт з ТЗІ.

Можливі такі варіанти захисту інформації:
- мінімальний - досягнення необхідного рівня захисту ІзОД за мінімальних затрат і допустимого рівня обмежень видів інформаційної діяльності (далі – ІД);
- оптимальний - досягнення необхідного рівня захисту ІзОД за допустимих затрат і заданого рівня обмежень видів ІД;
- максимальний - досягнення максимального рівня захисту ІзОД за необхідних затрат і мінімального рівня обмежень видів ІД.

Захист інформації, яка не є державною таємницею, забезпечується, як правило, застосуванням мінімального чи оптимального варіанту.

Захист інформації, яка становить державну таємницю, забезпечується, як правило, застосуванням максимального варіанту.

Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в ДСТУ 3396.0-96 етапам і полягає в:
- проведенні обстеження підприємства, установи, організації (далі - підприємство);
- розробленні і реалізації організаційних, первинних технічних, основних технічних заходів з використанням засобів забезпечення ТЗІ;
- прийманні робіт з ТЗІ;
- атестації засобів (систем) забезпечення ІД на відповідність вимогам НД ТЗІ.

Порядок проведення робіт з ТЗІ на підприємстві установлюється наказом керівника підприємства. Роботи повинні виконуватися силами підприємства під керівництвом спеціалістів з ТЗІ.

Організація проведення обстеження

Метою обстеження підприємства є визначення об`єктів захисту, виявлення загроз для них, їх аналіз та побудова моделі загроз. Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і затверджується наказом керівника підприємства.

У ході обстеження необхідно:
- провести аналіз умов функціонування підприємства, його розташування на місцевості  (ситуаційного плану) для визначення можливих джерел загроз;
- дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території;
- вивчити схеми засобів і систем життєзабезпечення підприємства (електроживлення, заземлення, автоматизації, пожежної та охоронної сигналізацій), а також інженерних комунікацій та металоконструкцій;
- дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, розповсюдження і зберігання (далі - оброблення) інформації і провести необхідні вимірювання;
- визначити наявність та технічний стан засобів забезпечення ТЗІ;
- перевірити наявність на підприємстві нормативних документів, які забезпечують функціонування системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД;
- виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;
- визначити технічні засоби і системи, застосування яких не обгрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;
- визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ.

За результатами обстеження слід скласти акт, який повинен бути затверджений керівником підприємства.

Матеріали обстеження необхідно використовувати під час розроблення моделі загроз, яка повинна включати:
- генеральний та ситуаційний плани підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території;
- схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкціонованого доступу до ІзОД;
- оцінку шкоди, яка передбачається від реалізації загроз.

Організація розроблення системи ТЗІ

На підставі матеріалів обстеження та моделі загроз необхідно визначити головні задачі захисту інформації і скласти технічне завдання (ТЗ) на розроблення системи захисту інформації.

ТЗ повинно включати основні розділи:
- вимоги до системи захисту інформації;
- вимоги до складу проектної та експлуатаційної документації;
- етапи виконання робіт;
- порядок внесення змін і доповнень до розділів ТЗ;
- вимоги до порядку проведення випробування системи захисту.

Основою функціонування системи захисту інформації є план ТЗІ, що повинен містити такі документи:
- перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також вказівки щодо їхнього застосування;
- інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту;
- інструкції, що встановлюють обов`язки, права та відповідальність персоналу;
- календарний план ТЗІ.

ТЗ і план ТЗІ розробляють спеціалісти з ТЗІ, узгоджують із зацікавленими підрозділами (організаціями). Затверджує їх керівник підприємства.

Реалізація організаційних заходів ТЗІ

Організаційні заходи захисту інформації - комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення ІД та засобів (систем) забезпечення ТЗІ.

У процесі розроблення і реалізації організаційних заходів потрібно:
- визначити окремі задачі захисту ІзОД;
- обгрунтувати структуру і технологію функціонування системи захисту інформації;
- розробити і впровадити правила реалізації заходів ТЗІ;
- визначити і встановити права та обов`язки підрозділів та осіб, що беруть участь в обробленні ІзОД;
- придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними підприємство;
- установити порядок упровадження захищених засобів оброблення інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ;
- установити порядок контролю функціонування системи захисту інформації та її якісних характеристик;
- визначити зони безпеки інформації;
- установити порядок проведення атестації системи захисту інформації, її елементів і розробити програми атестаційного випробування;
- забезпечити керування системою захисту інформації.

Оперативне вирішення задач ТЗІ досягається організацією керування системою захисту інформації, для чого необхідно:
- вивчати й аналізувати технологію проходження ІзОД у процесі ІД;
- оцінювати схильність ІзОД до впливу загроз у конкретний момент часу;
- оцінювати очікувану ефективність застосування засобів забезпечення ТЗІ;
- визначати (за необхідності) додаткову потребу в засобах забезпечення ТЗІ;
- здійснювати збирання, оброблення та реєстрацію даних, які відносяться до ТЗІ;
- розробляти і реалізовувати пропозиції щодо коригування плану ТЗІ в цілому або окремих його елементів.

Реалізація первинних технічних заходів захисту

У процесі реалізації первинних технічних заходів потрібно забезпечити:
- блокування каналів витоку інформації;
- блокування НСД до інформації;
- перевірку справності засобів ТЗІ.

Блокування каналів витоку інформації може здійснюватися:
- демонтуванням технічних засобів, ліній зв'язку, сигналізації та керування, енергетичних мереж, використання яких не пов'язано з життєзабезпеченням підприємства та обробленням ІзОД;
- видаленням окремих елементів технічних засобів, які є середовищем поширення полів та сигналів, з приміщень, де циркулює ІзОД;
- тимчасовим відключенням технічних засобів, які не беруть участі в обробленні ІзОД, від ліній зв'язку, сигналізації, керування та енергетичних мереж;
- застосуванням способів та схемних рішень із захисту інформації, що не порушують основних технічних характеристик засобів забезпечення ІД.

Блокування несанкційованого доступу до інформації може здійснюватися:
- створенням умов роботи в межах установленого регламенту;
- унеможливленням використання програмних, програмно-апаратних засобів, що не пройшли перевірки (випробування).

Перевірку справності та працездатності засобів ТЗІ необхідно проводити відповідно до експлуатаційних документів. Виявлені несправні блоки й елементи можуть сприяти витоку або порушенню цілісності інформації і підлягають негайній заміні (демонтуванню).

Реалізація основних технічних заходів захисту

У процесі реалізації основних технічних заходів захисту потрібно:
- установити засоби виявлення та індикації загроз і перевірити їхню працездатність;
- установити захищені засоби оброблення інформації, засоби ТЗІ та перевірити їхню працездатність;
- застосувати програмні засоби захисту в засобах обчислювальної техніки, автоматизованих системах, здійснити їхнє функційне тестування і тестування на відповідність вимогам захищеності;
- застосувати спеціальні інженерно-технічні споруди, засоби (системи).

Вибір засобів забезпечення ТЗІ зумовлюється фрагментарним або комплексним способом захисту інформації. Фрагментарний захист забезпечує протидію певній загрозі. Комплексний захист забезпечує одночасну протидію безлічі загроз. Засоби виявлення та індикації загроз застосовують для сигналізації та оповіщення власника (користувача, розпорядника) ІзОД про витік інформації чи порушення її цілісності.

Засоби ТЗІ застосовуються автономно або спільно з технічними засобами забезпечення ІД для пасивного або активного приховування ІзОД. Для пасивного приховування ІзОД застосовують фільтри, лінійні пристрої захисту та електромагнітні екрани. Для активного приховування ІзОД застосовують генератори лінійного та просторового зашумлення.

Програмні засоби застосовуються для забезпечення:
- ідентифікації та автентифікації користувачів, персоналу і ресурсів системи оброблення інформації;
- розмежування доступу користувачів до інформації, засобів обчислювальної техніки і технічних засобів автоматизованих систем;
- цілісності інформації та конфігурації автоматизованих систем;
- реєстрації та обліку дій користувачів;
- маскування оброблюваної інформації;
- реагування (сигналізації, відключення, зупинення робіт, відмови у запиті) на спроби несанкційованих дій.

Спеціальні інженерно-технічні споруди, засоби та системи застосовуються для оптичного, акустичного, електромагнітного та іншого екранування носіїв інформації. До них належать спеціально обладнані світлопроникні, технологічні та санітарно-технічні отвори, а також спеціальні камери, перекриття, навіси, канали тощо.

Розміщення, монтування та прокладання спеціальних інженерно-технічних засобів і систем, серед них систем уземлення та електроживлення засобів забезпечення ІД, слід здійснювати відповідно до вимог НД ТЗІ.

Приймання, визначення повноти та якості робіт

За результатами виконання реалізації заходів захисту ІзОД слід скласти у довільній формі акт приймання робіт з ТЗІ, який повинен підписати виконавець робіт, особа, відповідальна за ТЗІ, та затвердити керівник підприємства. Для визначення повноти та якості робіт з ТЗІ слід провести атестацію. Атестація виконується організаціями, які мають ліцензії на право діяльності в галузі ТЗІ. Об`єктами атестації є системи забезпечення ІД та їхні окремі елементи, де циркулює інформація, що підлягає технічному захисту.

У ході атестації потрібно:
- установити відповідність об`єкта, що атестується, вимогам ТЗІ;
- оцінити якість та надійність заходів захисту інформації;
- оцінити повноту та достатність технічної документації для об`єкта атестації;
- визначити необхідність внесення змін і доповнень до організаційно-розпорядчих документів тощо.

Починаючи з 1999 року, в Україні розробляються нормативні документи системи ТЗІ - НД ТЗІ, які регламентують організаційно-технічні аспекти захисту інформації та оцінки його ефективності під час всіх етапів життєвого циклу ІТС, об'єктів ІД, озброєння, військової та спеціальної техніки, небезпечних чи критичних технологій, а також містять  вихідні дані для визначення потенційних загроз для інформації, розроблення комплексів (систем) її захисту тощо.

На даний час це здійснює Адміністрація Держспецзв’язку згідно «Положення про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації», затвердженого наказом Адміністрації Держспецзв’язку від 22 березня 2007 року № 36, зареєстрованим в Міністерстві юстиції України 4 квітня 2007 року за № 312/13579.

Основні напрями розробки НД ТЗІ
1. ТЗІ в комп'ютерних системах.
2. ТЗІ на об’єктах інформаційної діяльності.
3. ТЗІ на програмно-керованих АТС.

1. ТЗІ в комп'ютерних системах
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу
НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу
НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від НСД
НД ТЗІ 2.5-007-2007 Вимоги до комплексу засобів захисту інформації, що становить державну таємницю, від несанкціонованого доступу при її обробці в автоматизованих системах класу «1» (таємно)
НД ТЗІ 2.5-008-2002 Вимоги із захисту службової інформації від НСД під час оброблення в автоматизованих системах класу «2»
НД ТЗІ 2.5-010-2003 Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу
НД ТЗІ 3.6-001-2000 Порядок створення, впровадження, супроводження та модернізації засобів ТЗІ від НСД
НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі
НД ТЗІ 3.7-003-2005 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі

2. ТЗІ на об’єктах інформаційної діяльності
НД ТЗІ 1.1-004-2003 Протидія технічним розвідкам. Терміни та визначення
НД ТЗІ 1.1-005-2007 Створення комплексу ТЗІ. Основні положення
НД ТЗІ 1.6-003-04 Створення комплексів ТЗІ на об’єктах інформаційної діяльності. Правила розроблення, побудови, викладення та оформлення моделі загроз для інформації (таємно)
НД ТЗІ 1.6-005-2013 Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці
НД ТЗІ 2.1-002-2007 Випробування комплексу ТЗІ. Основні положення
НД ТЗІ 2.7-002-99 Методичні вказівки з використання засобів копіювально-розмножувальної техніки
НД ТЗІ 2.7-007-08 Методичні вказівки щодо зашумлення ліній електроживлення технічних засобів
НД ТЗІ 2.7-008-08 Вимоги та рекомендації із забезпечення захисту мовної інформації від витоку акустичним та віброакустичним каналами. Методичні вказівки
НД ТЗІ 2.7-011-2012 Методичні вказівки з розробки Методики виявлення закладних пристроїв
НД ТЗІ 3.1-001-2007 Створення комплексу ТЗІ. Передпроектні  роботи
НД ТЗІ 3.3-001-2007 Створення комплексу ТЗІ. Порядок розроблення та впровадження заходів із захисту інформації
НД ТЗІ Р-001-2000 Засоби активного захисту мовної інформації з акустичними та віброакустичним джерелами випромінювання. Класифікація та загальні технічні вимоги. Рекомендації

3. ТЗІ на програмно-керованих АТС
НД ТЗІ 1.1-001-99 Основні положення
НД ТЗІ 2.5-001-99 Специфікації функціональних послуг захисту
НД ТЗІ 2.5-002-99 Специфікації гарантій захисту
НД ТЗІ 2.5-003-99 Специфікації довірчих оцінок коректності реалізації захисту
НД ТЗІ 2.7-001-99 Порядок виконання робіт
НД ТЗІ 3.7-002-99 Методика оцінки захищеності інформації (базова)

Адміністрація Держспецзв’язку веде фонд нормативних документів у сфері захисту інформації згідно «Положення про фонд нормативних документів у сфері технічного та криптографічного захисту інформації», затвердженого наказом Адміністрації Держспецзв’язку від 8 серпня 200 року № 131.

На даний час Адміністрацією Держспецзв’язку надано право на розмноження та розповсюдження нормативних документів у сфері захисту інформації таким організаціям:
- Національний університет «Львівська політехніка»;
- ТОВ «НікС» (Київ);
- ТОВ «Науково-технічний центр "Євроконтакт"» (Київ).

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика