Побудова комплексної системи захисту інформації

 

 

 

Згідно Закону України "Про захист інформації в інформаційно-телекомунікаційних системах"від 31.05.2005 р. - Комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації. Згідно статті 8 цього Закону, Умови обробки інформації в системі.

Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.

Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

У 2006 році 29 березня Постановою Кабінету Міністрів України №373, були затверджені "Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", в яких визначається, що - (пт. 16) для забезпечення захисту інформації в системі створюється комплексна система захисту інформації (далі - система захисту), яка призначається для захисту інформації від:

• витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;
• несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;
• спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.

 

 

Захист інформації від витоку технічними каналами забезпечується в системі у разі, коли в ній обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності такого захисту прийнято власником (розпорядником) інформації.

Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах.

Захист інформації від спеціального впливу на засоби обробки інформації забезпечується в системі, якщо рішення про необхідність такого захисту прийнято власником (розпорядником) інформації.

Існує також нормативний документ, "Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі"НД ТЗІ 3.7-003-05, який визначає, (пт.5.3) процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів, спрямованих на розроблення і впровадження інформаційної технології, яка забезпечує обробку інформації в інформаційно-телекомунікаційній системі (ITC) згідно з вимогами, встановленими нормативно-правовими актами та нормативними документами (НД) у сфері захисту інформації.

До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:

• витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;
• несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв'язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав'язування хибної інформації, застосування закладних пристроїв чи програм, використання комп'ютерних вірусів та ін;
• спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.

 

 

Для кожної конкретної ITC склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом автоматизованої системи та умовами експлуатації ITC. (пт. 5.8) Створення комплексів технічного захисту інформації від витоку технічними каналами здійснюється, якщо в ITC обробляється інформація, що становить державну таємницю, або коли • необхідність цього визначено власником інформації.

Створення КЗЗ здійснюється в усіх ITC, де обробляється інформація, що є власністю держави, належить до державної чи іншої таємниці або до окремих видів інформації, необхідність захисту якої визначено законодавством, а також в ITC, де така необхідність визначена власником інформації.

Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на інформацію приймається власником інформації в кожному випадку окремо.

 

 

ПОЗНАЧЕННЯ І СКОРОЧЕННЯ

АС - автоматизована система;

КС - комп'ютерна система;

КЗЗ - комплекс засобів захисту;

НСД - несанкціонований доступ;

ОС - обчислювальна система;

ПЗ - програмне забезпечення;

Позначення послуг:

КД - довірча конфіденційність;

КА - адміністративна конфіденційність;

КО - повторне використання об'єктів;

КК - аналіз прихованих каналів;

ЦД - довірча цілісність;

ЦА - адміністративна цілісність;

ЦО - відкат;

ДР - використання ресурсів;

ДВ - стійкість до відмов;

ДЗ - гаряча заміна;

ДВ - відновлення після збоїв;

НР - реєстрація;

НИ - ідентифікація і автентифікація;

НК - достовірний канал;

НО - розподіл обов'язків;

НЦ - цілісність КЗЗ;

НТ - самотестування;

ПОСЛУГИ, ЩО ВИКОНУЮТЬСЯ В АС КЛАССУ 2

Мета введення класифікації АС і стандартних функціональних профілів захищеності - полегшення задачі співставлення вимог до КЗЗ обчислювальної системи АС з характеристиками АС.

Автоматизована система являє собою організаційно-технічну систему, що об’єднує ОС, фізичне середовище, персонал