Про технічний захист інформації в Україні



Дата конвертації23.10.2017
Розмір445 b.
ТипЗакон



Постановою Кабінету Міністрів України від 9 вересня 1994 р. N 632 було затверджено положення "Про технічний захист інформації в Україні", яке визначало порядок технічного захисту інформації, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі, а також конфіденційної інформації, що є власністю держави.

  • Постановою Кабінету Міністрів України від 9 вересня 1994 р. N 632 було затверджено положення "Про технічний захист інформації в Україні", яке визначало порядок технічного захисту інформації, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі, а також конфіденційної інформації, що є власністю держави.



Дія цього Положення поширювалась на центральні та місцеві органи державної виконавчої влади, органи виконавчої влади Республіки Крим, місцеві Ради народних депутатів та їх органи, на військові частини всіх військових формувань, на підприємства, установи й організації всіх форм власності, представництва України за кордоном і громадян, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом.

  • Дія цього Положення поширювалась на центральні та місцеві органи державної виконавчої влади, органи виконавчої влади Республіки Крим, місцеві Ради народних депутатів та їх органи, на військові частини всіх військових формувань, на підприємства, установи й організації всіх форм власності, представництва України за кордоном і громадян, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом.

  • З метою контролю функціонування Положення було наказано державній службі з питань технічного захисту інформації разом із заінтересованими міністерствами і відомствами забезпечити вивчення практики застосування Положення про технічний захист інформації в Україні і в разі потреби подавати Кабінетові Міністрів України пропозиції про внесення змін і доповнень до цього Положення.



Конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;

  • Конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;

  • цілісність - властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення;

  • доступність - властивість інформації бути захищеною від несанкціонованого блокування;

  • технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;

  • інформаційна система - автоматизована система, комп'ютерна мережа або система зв'язку;

  • дозвіл - документ, що надає право на виконання робіт з технічного захисту інформації для власних потреб;

  • комплекс технічного захисту інформації - сукупність заходів та засобів, призначених для реалізації технічного захисту інформації в інформаційній системі або на об'єкті.



Суб’єктами системи технічного захисту інформації є: * Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України; органи, щодо яких здійснюється ТЗІ; * державні наукові, науково-дослідні та науково-виробничі підприємства, установи та організації, що належать до системи Служби безпеки України і виконують завдання технічного захисту інформації; * військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з технічного захисту інформації за відповідними дозволами або ліцензіями; * навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з технічного захисту інформації.

  • Суб’єктами системи технічного захисту інформації є: * Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України; органи, щодо яких здійснюється ТЗІ; * державні наукові, науково-дослідні та науково-виробничі підприємства, установи та організації, що належать до системи Служби безпеки України і виконують завдання технічного захисту інформації; * військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з технічного захисту інформації за відповідними дозволами або ліцензіями; * навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з технічного захисту інформації.



  • Основними завданнями органів, щодо яких здійснюється ТЗІ, є:

  • забезпечення технічного захисту інформації згідно з вимогами нормативно-правових актів з питань технічного захисту інформації;

  • видання у межах своїх повноважень нормативно-правових актів із зазначених питань;

  • здійснення контролю за станом технічного захисту інформації.



Органи, щодо яких здійснюється ТЗІ, відповідно до покладених на них завдань:

  • Органи, щодо яких здійснюється ТЗІ, відповідно до покладених на них завдань:

  • утворюють або визначають підрозділи, на які покладається забезпечення технічного захисту інформації та контроль за його станом, узгоджують основні завдання та функції цих підрозділів;

  • видають за погодженням з Департаментом та впроваджують нормативно-правові акти з питань технічного захисту інформації

  • погоджують з Департаментом проведення підприємствами, установами, організаціями тих науково-дослідних, дослідно-конструкторських і дослідно-технологічних робіт, спрямованих на розвиток нормативно-правової та матеріально-технічної бази системи технічного захисту інформації, які здійснюються за рахунок коштів державного бюджету;



створюють або визначають за погодженням з Департаментом підприємства, установи та організації, що забезпечують технічний захист інформації;

  • створюють або визначають за погодженням з Департаментом підприємства, установи та організації, що забезпечують технічний захист інформації;

  • забезпечують підготовку, перепідготовку та підвищення кваліфікації кадрів з технічного захисту інформації;

  • надають Департаменту за його запитами відомості про стан технічного захисту інформації.



Основними завданнями інших суб'єктів системи технічного захисту інформації є:

  • Основними завданнями інших суб'єктів системи технічного захисту інформації є:

  • дослідження загроз для інформації на об'єктах, функціонування яких пов'язано з інформацією, що підлягає охороні;

  • створення та виробництво засобів забезпечення технічного захисту інформації;

  • розроблення, впровадження, супроводження комплексів технічного захисту інформації;

  • підвищення кваліфікації фахівців з технічного захисту інформації.



Контроль у сфері технічного захисту інформації полягає в перевірці виконання вимог цього Положення, інших нормативно-правових актів з питань технічного захисту інформації та в оцінюванні захищеності інформації на об'єкті, де вона циркулюватиме або циркулює.

  • Контроль у сфері технічного захисту інформації полягає в перевірці виконання вимог цього Положення, інших нормативно-правових актів з питань технічного захисту інформації та в оцінюванні захищеності інформації на об'єкті, де вона циркулюватиме або циркулює.

  • Оцінювання захищеності інформації здійснюється шляхом атестації або експертизи комплексів технічного захисту інформації та інспекційних перевірок. За результатами атестації або експертизи комплексів технічного захисту інформації визначається можливість введення в експлуатацію об'єкта, де циркулюватиме інформація, охорона якої забезпечується державою.



Положення "Про державну експертизу в сфері технічного захисту" (від 24 січня 2000р.) інформації було розроблене й затверджене з метою удосконалення діяльності системи технічного захисту інформації в Україні в напрямах, які пов'язані з оцінкою ефективності заходів щодо технічного захисту інформації.

  • Положення "Про державну експертизу в сфері технічного захисту" (від 24 січня 2000р.) інформації було розроблене й затверджене з метою удосконалення діяльності системи технічного захисту інформації в Україні в напрямах, які пов'язані з оцінкою ефективності заходів щодо технічного захисту інформації.

  • Це Положення розроблене відповідно до Законів України "Про захист інформації в автоматизованих системах", "Про наукову і науково-технічну експертизу", "Положення про технічний захист інформації в Україні", затвердженого Указом Президента України від 27 вересня 1999 року N1229, Концепції технічного захисту інформації в Україні, затвердженої постановою Кабінету Міністрів України від 8 жовтня 1997 року N 1126, інших нормативно-правових актів та нормативних документів системи технічного захисту інформації в Україні й визначає порядок проведення експертизи в цій сфері.



Державна експертиза в сфері технічного захисту інформації проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в автоматизованих системах, комп'ютерних мережах, системах зв'язку, приміщеннях, інженерно-технічних спорудах тощо, та підготовки обгрунтованих висновків для прийняття відповідних рішень.

  • Державна експертиза в сфері технічного захисту інформації проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в автоматизованих системах, комп'ютерних мережах, системах зв'язку, приміщеннях, інженерно-технічних спорудах тощо, та підготовки обгрунтованих висновків для прийняття відповідних рішень.



Об'єктами експертизи є:

  • Об'єктами експертизи є:

  • комплексні системи захисту інформації (КСЗІ), кожна з яких є невід'ємною складовою частиною конкретного об'єкта інформаційної діяльності і поєднує організаційні та інженерні заходи, програмні й технічні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;

  • окремі технічні та програмні засоби, які реалізують функції технічного захисту інформації (засоби забезпечення технічного захисту інформації, ЗТЗІ).



Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.

  • Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.

  • Контрольна експертиза провадиться іншим організатором: з ініціативи замовника, за наявності в нього обгрунтованих претензій до висновку первинної експертизи, або з ініціативи Департаменту - для перевірки висновків первинної експертизи.



З метою координації заходів та прийняття рішень щодо проведення експертиз при Департаменті створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації, діяльність якої визначається відповідним положенням про цей орган.

  • З метою координації заходів та прийняття рішень щодо проведення експертиз при Департаменті створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації, діяльність якої визначається відповідним положенням про цей орган.

  • За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її організатора.

  • Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. Збільшення терміну проведення експертизи допускається лише за узгодженням з Департаментом у випадку значного обсягу експертних робіт.



Програма проведення експертизи узгоджується із замовником та Головним управлінням ТЗІ Департаменту, а окремі методики - з Головним управлінням ТЗІ Департаменту.

  • Програма проведення експертизи узгоджується із замовником та Головним управлінням ТЗІ Департаменту, а окремі методики - з Головним управлінням ТЗІ Департаменту.

  • Результати роботи оформлюються у вигляді протоколу за підписом експертів, які її виконували. Протокол затверджується організатором.

  • Результати робіт, визначених окремою методикою, узагальнюються організатором в експертному висновку. а результатами проведених робіт організатор складає "Експертний висновок" щодо відповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає до Департаменту.



Порядок надання "Експертного висновку" та "Атестата відповідності“

  • Порядок надання "Експертного висновку" та "Атестата відповідності“

  • "Експертний висновок" розглядається Експертною радою і в разі затвердження результатів експертизи реєструється та видається замовнику.

  • Наявність позитивного рішення щодо експертизи ЗТЗІ є підставою для включення цього засобу до переліку технічних засобів загального призначення, що дозволені Департаментом для використання з метою технічного захисту інформації.

  • На підставі позитивного рішення щодо експертизи КСЗІ замовнику видається зареєстрований "Атестат відповідності“, який підписується керівником (заступником керівника) Департаменту.

  • Департамент має право призупинити або анулювати дію "Експертного висновку" та "Атестата відповідності".







Зміст експертного висновку

  • Зміст експертного висновку

  • Загальні відомості щодо об'єкта інформаційної діяльності - тип, місцезнаходження, власник.

  • Загальна характеристика об'єкта експертизи (призначення, функції, можливості).

  • Вимоги нормативних документів системи ТЗІ в Україні, на відповідність яким оцінюється об'єкт експертизи.

  • Назва окремої методики, згідно з якою здійснювалася оцінка об'єкта експертизи, ким розроблена та затверджена, реєстраційний номер та дата затвердження.

  • Перелік документів і специфікації програмних та технічних засобів, які надано замовником організатору експертизи.

  • Результати робіт щодо кожного пункту окремої методики експертизи об'єкта.

  • Докладний висновок щодо відповідності об'єкта експертизи вимогам нормативних документів системи ТЗІ. !!!!!

  • Сфера використання (вимоги до умов експлуатації) об'єкта експертизи.

  • Термін дії експертного висновку. !!!!!

  • Особливі думки експертів, зафіксовані в протоколах.









Цей документ установлює порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення в Українській державній системі сертифікації продукції.

  • Цей документ установлює порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення в Українській державній системі сертифікації продукції.

  • Порядок є обов'язковим для акредитованих органів із сертифікації, випробувальних лабораторій або центрів, підприємств, установ й організацій усіх форм власності, які здійснюють діяльність у сфері технічного захисту інформації за дозволами або ліцензіями Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України, а також підприємств, установ й організацій, у тому числі іноземних, які виготовляють і (або) постачають засоби забезпечення технічного захисту інформації загального призначення в установи, де циркулює інформація, охорона якої забезпечується державою.



Порядок проведення робіт із сертифікації засобів забезпечення ТЗІ загального призначення (ЗЗ ТЗІ) передбачає:

  • Порядок проведення робіт із сертифікації засобів забезпечення ТЗІ загального призначення (ЗЗ ТЗІ) передбачає:

  • подання заявки на сертифікацію;

  • розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації;

  • обстеження чи атестацію виробництва ЗЗ ТЗІ, що сертифікуються, або сертифікацію (оцінку) системи якості, якщо це передбачено схемою сертифікації;

  • відбір зразків для випробувань;

  • ідентифікацію ЗЗ ТЗІ;

  • приймання зразків ЗЗ ТЗІ;

  • випробування зразків ЗЗ ТЗІ;

  • аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката відповідності;

  • видачу сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих ЗЗ ТЗІ до Реєстру Системи;

  • визнання результатів сертифікації, які підтверджують відповідність імпортних ЗЗ ТЗІ вимогам чинних в Україні нормативних документів і які видані на цю продукцію за кордоном;

  • технічний нагляд за сертифікованими ЗЗ ТЗІ під час їх виробництва;

  • інформування про результати робіт з сертифікації ЗЗ ТЗІ.



Заявником робіт із сертифікації ЗЗ ТЗІ можуть бути:

  • Заявником робіт із сертифікації ЗЗ ТЗІ можуть бути:

  • підприємство-виробник ЗЗ ТЗІ;

  • продавець ЗЗ ТЗІ, який має договірні відносини з виробником;

  • інші юридичні і фізичні особи, які діють за офіційним дорученням виробника (безпосередньо або через продавця);

  • замовник (наприклад, підрозділ державного органу виконавчої влади або недержавної установи, на який покладається забезпечення технічного захисту інформації).



До заявки додаються:

  • До заявки додаються:

  • копія нормативного документа виробника на продукцію;

  • технічний опис;

  • комплект експлуатаційної документації;

  • копія протоколів випробувань;

  • завірена копія контракту (договору) або інший документ, який підтверджує походження ЗЗ ТЗІ.





Атестація - процедура оцінки відповідності вимогам нормативних документі встану комплексів технічного захисту інформації

  • Атестація - процедура оцінки відповідності вимогам нормативних документі встану комплексів технічного захисту інформації

  • Дія цього нормативного документа (НД) поширюється на комплекси технічного захисту інформації (ТЗІ) від витоку технічними каналами на об'єктах інформаційної діяльності (ОІД).

  • НД встановлює загальні вимоги до організації атестації комплексів щодо повноти та якості робіт з ТЗІ відповідно до ДСТУ 3396.1-96 “Захист інформації. Технічний захист інформації. Порядок проведення робіт.” та визначає порядок проведення цієї атестації.



НД призначений для державних органів, органів місцевого самоврядування, органів управління Збройних Сил України, інших військових формувань, підприємств, організацій, установ, діяльність яких пов'язана з інформацією, необхідність охорони якої визначено законодавством України, а також виконавців робіт з ТЗІ.

  • НД призначений для державних органів, органів місцевого самоврядування, органів управління Збройних Сил України, інших військових формувань, підприємств, організацій, установ, діяльність яких пов'язана з інформацією, необхідність охорони якої визначено законодавством України, а також виконавців робіт з ТЗІ.

  • Атестація комплексу ТЗІ здійснюється за відповідними програмою і методиками випробувань.



На підставі результатів випробувань складається висновок щодо відповідності стану ТЗІ, який забезпечується комплексом, вимогам нормативних документів з ТЗІ.

  • На підставі результатів випробувань складається висновок щодо відповідності стану ТЗІ, який забезпечується комплексом, вимогам нормативних документів з ТЗІ.

  • Атестація може бути первинною, черговою та позачерговою.

  • Первинна атестація здійснюється після (або під час) приймання робіт із створення комплексу ТЗІ.

  • Термін проведення чергової атестації визначається технічним паспортом на комплекс ТЗІ або актом попередньої атестації.

  • Позачергову атестацію проводять у разі змін умов функціонування ОІД, що приводять до змін загроз для інформації, та за висновками органів, які контролюють стан ТЗІ.



Для визначення повноти та якості робіт з ТЗІ слід провести атестацію. Атестація виконується організаціями, які мають ліцензії на право діяльності в галузі ТЗІ.

  • Для визначення повноти та якості робіт з ТЗІ слід провести атестацію. Атестація виконується організаціями, які мають ліцензії на право діяльності в галузі ТЗІ.

  • Об`єктами атестації є системи забезпечення ІД та їхні окремі елементи, де циркулює інформація, що підлягає технічному захисту.

  • У ході атестації потрібно:

  • установити відповідність об`єкта, що атестується, вимогам ТЗІ;

  • оцінити якість та надійність заходів захисту інформації;

  • оцінити повноту та достатність технічної документації для об`єкта атес-тації;

  • визначити необхідність внесення змін і доповнень до організаційно-розпорядчих документів тощо.

  • Порядок атестації встановлюється нормативними документами системи ТЗІ.





Цей стандарт установлює об’єкт, мету, основні організаційно-технічні положення забезпечення технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також категорії нормативних документів системи ТЗІ.

  • Цей стандарт установлює об’єкт, мету, основні організаційно-технічні положення забезпечення технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також категорії нормативних документів системи ТЗІ.

  • Вимоги стандарту обов’язкові для підприємств та установ усіх форм власності і підпорядкування, громадян - суб’єктів підприємницької діяльності, органів державної влади, органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.



Об’єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження

  • Об’єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження

  • Метою ТЗІ є запобігання витоку або порушенню цілісності ІзОД.

  • Мета ТЗІ може бути досягнута побудовою системи захисту інформації, що є організованою сукупністю методів і засобів забезпечення ТЗІ. Технічний захист інформації здійснюється поетапно:

  • 1 етап - визначення й аналіз загроз;

  • 2 етап - розроблення системи захисту інформації;

  • 3 етап - реалізація плану захисту інформації;

  • 4 етап - контроль функціонування та керування системою захисту інформації.



1. Визначення й аналіз загроз

  • 1. Визначення й аналіз загроз

  • На першому етапі необхідно здійснити аналіз об’єктів ТЗІ, ситуаційного плану, умов функціювання підприємства, установи, організації, оцінити ймовірність прояву загроз та очікувану шкоду від їх реалізації, підготувати засадничі дані для побудови окремої моделі загроз.

  • Джерелами загроз може бути діяльність іноземних розвідок, а також навмисні або ненавмисні дії юридичних і фізичних осіб.

  • Загрози можуть здійснюватися:

  • технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо-, радіотехнічні, хімічні та інші канали;

  • каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;

  • несанкційованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.



2. Розроблення системи захисту інформації

  • 2. Розроблення системи захисту інформації

  • На другому етапі слід здійснити розроблення плану ТЗІ, що містить організаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначити зони безпеки інформації.

  • Організаційні заходи регламентують порядок інформаційної діяльності з урахуванням норм і вимог ТЗІ для всіх періодів життєвого циклу об’єкта ТЗІ.

  • Первинні технічні заходи передбачають захист інформації блокуванням загроз без використання засобів ТЗІ.

  • Основні технічні заходи передбачають захист інформації з використанням засобів забезпечення ТЗІ.

  • Для технічного захисту інформації слід застосовувати спосіб приховування або спосіб технічної дезінформації.

  • Заходи захисту інформації повинні:

  • бути відповідними загрозам;

  • бути розробленими з урахуванням можливої шкоди від їх реа-лізації і вартості захисних заходів та обмежень, що вносяться ними;

  • забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.



3. Реалізація плану захисту інформації

  • 3. Реалізація плану захисту інформації

  • На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні зони безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, технічних засобів захисту інформації, робочих місць (приміщень) на відповідність вимогам безпеки інформації.

  • Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації та контролю ефективності захисту, які мають cертифікат відповідності вимогам нормативних документів системи УкрСЕПРО або дозвіл на їх використання від уповноваженого Кабінетом Мі-ністрів України органу, а також застосуванням спеціальних інженернотехнічних споруд, засобів і систем.



4. Контроль функціювання та керування системою захисту інформації

  • 4. Контроль функціювання та керування системою захисту інформації

  • На четвертому етапі слід провести аналіз функціювання системи захисту інформації, перевірку виконання заходів ТЗІ, контроль ефективності захисту, підготувати та видати дані для керування системою захисту інформації.



5. Нормативні документи системи ТЗІ

  • 5. Нормативні документи системи ТЗІ

  • Нормативні документи повинні забезпечувати:

  • проведення єдиної технічної політики;

  • створення і розвиток єдиної термінологічної системи;

  • функціювання багаторівневих систем захисту інформації на основі взаємнопогоджених положень, правил, методик, вимог та норм;

  • функціювання систем сертифікації, ліцензування й атестації згідно з вимогами безпеки інформації;

  • розвиток сфери послуг у галузі ТЗІ;

  • установлення порядку розроблення, виготовлення, експлуатації засобів забезпечення ТЗІ та спеціальної контрольно-вимірювальної апаратури;

  • організацію проектування будівельних робіт у частині забезпечення ТЗІ;

  • підготовку та перепідготовку кадрів у системі ТЗІ.



Нормативні документи системи ТЗІ поділяються на:

  • Нормативні документи системи ТЗІ поділяються на:

  • нормативні документи із стандартизації у галузі ТЗІ;

  • державні стандарти та прирівняні до них нормативні документи;

  • нормативні акти міжвідомчого значення, що реєструються у Міністерстві юстиції України;

  • нормативні документи міжвідомчого значення технічного характеру, що реєструються уповноваженим Кабінетом Міністрів органом;

  • нормативні документи відомчого значення органів державної влади та органів місцевого самоврядування.

  • Порядок проведення робіт із стандартизації та нормування в галузі ТЗІ встановлюється ДСТУ 1.0, ДБН А.1.1-1, документами системи ТЗІ.

  • Порядок розроблення, оформлення, узгодження, затвердження, реєстрації, видання, впровадження, перевірки, перегляду, зміни та скасування нормативних документів установлюється ДСТУ 1.2, ДСТУ 1.3, ДСТУ 1.4, ДСТУ 1.5, ДБН А.1.1-2, документами системи ТЗІ.



Цей стандарт установлює вимоги до порядку проведення робіт з технічного захисту інформації (ТЗІ).

  • Цей стандарт установлює вимоги до порядку проведення робіт з технічного захисту інформації (ТЗІ).

  • Вимоги стандарту обов`язкові для підприємств та установ усіх форм власності й підпорядкування, громадян-суб`єктів підприємницької діяльності, органів державної влади, органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.



Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в ДСТУ 3396.0-96 етапам функціювання системи захисту інформації і полягає в:

  • Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в ДСТУ 3396.0-96 етапам функціювання системи захисту інформації і полягає в:

  • проведенні обстеження підприємства, установи, організації;

  • розробленні і реалізації організаційних, первинних технічних, основних технічних заходів з використанням засобів забезпечення ТЗІ;

  • прийманні робіт з ТЗІ;

  • атестації засобів (систем) забезпечення ІД на відповідність вимогам нормативних документів з ТЗІ.



Метою обстеження підприємства є вивчення його ІД, визначення об`єктів захисту - ІзОД, виявлення загроз, їхній аналіз та побудова окремої моделі загроз.

  • Метою обстеження підприємства є вивчення його ІД, визначення об`єктів захисту - ІзОД, виявлення загроз, їхній аналіз та побудова окремої моделі загроз.

  • Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і затверджується наказом керівника підприємства.

  • За результатами обстеження слід скласти акт, який повинен бути затверджений керівником підприємства.



У ході обстеження необхідно:

  • У ході обстеження необхідно:

  • провести аналіз умов функціювання підприємства, його розташування на місцевості (ситуаційного плану) для визначення можливих джерел загроз;

  • дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території;

  • вивчити схеми засобів і систем життєзабезпечення підприємства (електроживлення, уземлення, автоматизації, пожежної та охоронної сигналізацій), а також інженерних комунікацій та металоконструкцій;



дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, розповсюдження і зберігання (далі - оброблення) інформації і провести необхідні вимірювання;

  • дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, розповсюдження і зберігання (далі - оброблення) інформації і провести необхідні вимірювання;

  • визначити наявність та технічний стан засобів забезпечення ТЗІ;

  • перевірити наявність на підприємстві нормативних документів, які забезпечують функціювання системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД;



виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;

  • виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;

  • визначити технічні засоби і системи, застосування яких не обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;

  • визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ.



На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту інформації і скласти технічне завдання (ТЗ) на розроблення системи захисту інформації.

  • На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту інформації і скласти технічне завдання (ТЗ) на розроблення системи захисту інформації.

  • ТЗ повинно включати основні розділи:

  • - вимоги до системи захисту інформації;

  • - вимоги до складу проектної та експлуатаційної документації;

  • - етапи виконання робіт;

  • - порядок внесення змін і доповнень до розділів ТЗ;

  • - вимоги до порядку проведення випробування системи захисту.



Основою функціювання системи захисту інформації є план ТЗІ, що повинен містити такі документи:

  • Основою функціювання системи захисту інформації є план ТЗІ, що повинен містити такі документи:

  • перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також вказівки щодо їхнього застосування;

  • інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту;

  • інструкції, що встановлюють обов`язки, права та відповідальність персоналу;

  • календарний план ТЗІ.



Організаційні заходи захисту інформації - комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціювання засобів (систем) забезпечення ІД та засобів (систем) забезпечення ТЗІ.

  • Організаційні заходи захисту інформації - комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціювання засобів (систем) забезпечення ІД та засобів (систем) забезпечення ТЗІ.



У процесі розроблення і реалізації організаційних заходів потрібно:

  • У процесі розроблення і реалізації організаційних заходів потрібно:

  • визначити окремі задачі захисту ІзОД;

  • обгрунтувати структуру і технологію функціювання системи захисту інформації;

  • розробити і впровадити правила реалізації заходів ТЗІ;

  • визначити і встановити права та обов`язки підрозділів та осіб, що беруть участь в обробленні ІзОД;

  • придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними підприємство;



установити порядок упровадження захищених засобів оброблення інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ;

  • установити порядок упровадження захищених засобів оброблення інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ;

  • установити порядок контролю функціювання системи захисту інформації та її якісних характеристик;

  • визначити зони безпеки інформації;

  • установити порядок проведення атестації системи захисту інформації, її елементів і розробити програми атестаційного випробування;

  • забезпечити керування системою захисту інформації.



Оперативне вирішення задач ТЗІ досягається організацією керування системою захисту інформації, для чого необхідно:

  • Оперативне вирішення задач ТЗІ досягається організацією керування системою захисту інформації, для чого необхідно:

  • вивчати й аналізувати технологію проходження ІзОД у процесі ІД;

  • оцінювати схильність ІзОД до впливу загроз у конкретний момент часу;

  • оцінювати очікувану ефективність застосування засобів забезпечення ТЗІ;

  • визначати (за необхідності) додаткову потребу в засобах забезпечення ТЗІ;

  • здійснювати збирання, оброблення та реєстрацію даних, які відносяться до ТЗІ;

  • розробляти і реалізовувати пропозиції щодо коригування плану ТЗІ в цілому або окремих його елементів.



Блокування каналів витоку інформації може здійснюватися:

  • Блокування каналів витоку інформації може здійснюватися:

  • демонтуванням технічних засобів, ліній зв'язку, сигналізації та керування, енергетичних мереж, використання яких не пов'язано з життєзабезпеченням підприємства та обробленням ІзОД;

  • видаленням окремих елементів технічних засобів, які є середовищем поширення полів та сигналів, з приміщень, де циркулює ІзОД;

  • тимчасовим відключенням технічних засобів, які не беруть участі в обробленні ІзОД, від ліній зв'язку, сигналізації, керування та енергетичних мереж;

  • застосуванням способів та схемних рішень із захисту інформації, що не порушують основних технічних характеристик засобів забезпечення ІД.



У процесі реалізації первинних технічних заходів потрібно забезпечити:

  • У процесі реалізації первинних технічних заходів потрібно забезпечити:

  • блокування каналів витоку інформації;

  • блокування несанкційованого доступу до інформації чи її носіїв;

  • перевірку справності та працездатності технічних засобів забезпечення ІД.

  • Блокування несанкційованого доступу до інформації або її носіїв може здійснюватися:

  • створенням умов роботи в межах установленого регламенту;

  • унеможливленням використання програмних, програмно-апаратних засобів, що не пройшли перевірки (випробування).



Реалізація основних технічних заходів захисту

  • Реалізація основних технічних заходів захисту

  • У процесі реалізації основних технічних заходів захисту потрібно:

  • установити засоби виявлення та індикації загроз і перевірити їхню працездатність;

  • установити захищені засоби оброблення інформації, засоби ТЗІ та перевірити їхню працездатність;

  • застосувати програмні засоби захисту в засобах обчислювальної техніки, автоматизованих системах, здійснити їхнє функційне тестування і тестування на відповідність вимогам захищеності;

  • застосувати спеціальні інженерно-технічні споруди, засоби (системи).



Вибір засобів забезпечення ТЗІ зумовлюється фрагментарним або комплексним способом захисту інформації.

  • Вибір засобів забезпечення ТЗІ зумовлюється фрагментарним або комплексним способом захисту інформації.

  • Фрагментарний захист забезпечує протидію певній загрозі.

  • Комплексний захист забезпечує одночасну протидію безлічі загроз.

  • Засоби виявлення та індикації загроз застосовують для сигналізації та оповіщення власника (користувача, розпорядника) ІзОД про витік інформації чи порушення її цілісності.

  • Засоби ТЗІ застосовуються автономно або спільно з технічними засобами забезпечення ІД для пасивного або активного приховування ІзОД.

  • Для пасивного приховування застосовують фільтри-обмежувачі, лінійні фільтри, спеціальні абонентські пристрої захисту та електромагнітні екрани.

  • Для активного приховування застосовують вузькосмугові й широкосмугові генератори лінійного та просторового зашумлення.



Програмні засоби застосовуються для забезпечення:

  • Програмні засоби застосовуються для забезпечення:

  • ідентифікації та автентифікації користувачів, персоналу і ресурсів системи оброблення інформації;

  • розмежування доступу користувачів до інформації, засобів обчислювальної техніки і технічних засобів автоматизованих систем;

  • цілісності інформації та конфігурації автоматизованих систем;

  • реєстрації та обліку дій користувачів;

  • маскування оброблюваної інформації;

  • реагування (сигналізації, відключення, зупинення робіт, відмови у запиті) на спроби несанкційованих дій.

  • Спеціальні інженерно-технічні споруди, засоби та системи застосовуються для оптичного, акустичного, електромагнітного та іншого екранування носіїв інформації. До них належать спеціально обладнані світлопроникні, технологічні та санітарно-технічні отвори, а також спеціальні камери, перекриття, навіси, канали тощо.



За результатами виконання рекомендацій акта обстеження та реалізації заходів захисту ІзОД слід скласти у довільній формі акт приймання робіт з ТЗІ, який повинен підписати виконавець робіт, особа, відповідальна за ТЗІ, та затвердити керівник підприємства.

  • За результатами виконання рекомендацій акта обстеження та реалізації заходів захисту ІзОД слід скласти у довільній формі акт приймання робіт з ТЗІ, який повинен підписати виконавець робіт, особа, відповідальна за ТЗІ, та затвердити керівник підприємства.

  • Об`єктами атестації є системи забезпечення ІД та їхні окремі елементи, де циркулює інформація, що підлягає технічному захисту.

  • У ході атестації потрібно:

  • установити відповідність об`єкта, що атестується, вимогам ТЗІ;

  • оцінити якість та надійність заходів захисту інформації;

  • оцінити повноту та достатність технічної документації для об`єкта атестації;

  • визначити необхідність внесення змін і доповнень до організаційно-розпорядчих документів тощо.



Цей стандарт установлює терміни та визначення понять у сфері технічного захисту інформації (ТЗІ).

  • Цей стандарт установлює терміни та визначення понять у сфері технічного захисту інформації (ТЗІ).

  • Терміни, реґламентовані у цьому стандарті, обов'язкові для використання в усіх видах організаційної та нормативної документації, а також для робіт зі стандартизації, і рекомендовані для використання у довідковій та навчально-методичній літературі, що належить до сфери технічного захисту інформації.
















Поділіться з Вашими друзьями:


База даних захищена авторським правом ©wishenko.org 2017
звернутися до адміністрації

    Головна сторінка