Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Модель порушника






 

Як порушник розглядається особа, яка може отримати доступ до роботи з включеними до складу КС засобами.

Порушники класифікуються за рівнем можливостей, що надаються їм штатними засобами КС.

Виділяються чотири рівні цих можливостей. Класифікація є ієрархічною, тобто кожний наступний рівень містить функціональні можливості попереднього:

• перший рівень визначає найнижчий рівень можливостей проведення діалогу з КС — можливість запуску фіксованого набору завдань (програм), що реалізують заздалегідь передбачені функції опрацювання інформації;

• другий рівень визначається можливістю створення і запуску власних програм з новими функціями опрацювання інформації;

• третій рівень визначається можливістю управління функціонуванням КС, тобто впливом на базове програмне забезпечення системи та на склад і конфігурацію устаткування її;

• четвертий рівень визначається всім обсягом можливостей осіб, які здійснюють проектування, реалізацію та ремонт апаратних компонентів КС, аж до включення до складу КС власних засобів з новими функціями опрацювання інформації.

Припускається, що в своєму рівні порушник — це фахівець вищої кваліфікації, який має повну інформацію про КС і КЗЗ.

Така класифікація порушників є корисною для застосування для процесу оцінювання ризиків, аналізу вразливості системи, ефективності існуючих і планових заходів захисту.

 

9.13. Політика реалізації послуг безпеки інформації в КС Підприємства

 

Політика безпеки інформації в КС повинна поширюватися на об'єкти комп'ютерної системи, які безпосередньо чи опосередковано впливають на безпеку конфіденційної інформації.

До таких об'єктів належать:

— адміністратор безпеки та співробітники СЗІ;

— користувачі, яким надано повноваження інших адміністраторів;

— користувачі, яким надано право доступу до конфіденційної інформації або до інших видів інформації;

— слабо- та сильнозв'язані об'єкти, які містять конфіденційну інформацію або інші види інформації, що підлягають захисту;

— системне та функціональне програмне забезпечення, яке використовується в КС для опрацювання інформації або для забезпечення КЗЗ;

— технологічна інформація КСЗІ (дані щодо персональних ідентифікаторів та паролів користувачів, їхніх повноважень та прав доступу до об'єктів, встановлених робочих параметрів окремих механізмів або засобів захисту, інша інформація баз даних захисту, інформація журналів реєстрації дій користувачів тощо);

— засоби адміністрування та управління обчислювальною системою КС та технологічна інформація, яка при цьому використовується;

— окремі периферійні пристрої, задіяні в технологічному процесі опрацювання конфіденційної інформації;

— обчислювальні ресурси КС (наприклад, дисковий простір, тривалість сеансу користувача із засобами КС, час використання центрального процесора та ін.), безконтрольне використання яких або захоплення окремим користувачем може призвести до блокування роботи інших користувачів, компонентів КС або КС в цілому.

9.14. Комплекс засобів захисту та об'єкти комп'ютерної системи

 

Комплекс засобів захисту (КЗЗ) — це сукупність усіх програмно-апаратних засобів, зокрема програм ПЗП, задіяних під час реалізації політики безпеки. Частина КС, що складає КЗЗ, визначається розробником.

Будь-який компонент КС, який внаслідок якого-небудь впливу здатний спричинити порушення політики безпеки, повинен розглядатися як частина КЗЗ.

Комплекс засобів захисту розглядає ресурси КС як об'єкти і керує взаємодією цих об'єктів відповідно до політики безпеки інформації, що реалізується.

Як об'єкти ресурси характеризуються двома аспектами: логічне подання (зміст, семантика, значення) і фізичне (форма, синтаксис).

Об'єкт характеризується своїм станом, що, в свою чергу, характеризується атрибутами і поводженням, яке визначає способи зміни стану.

Для різних КС об'єкти можуть бути різні. Наприклад, для СУБД в якості об'єктів можна розглядати записи БД, а для операційної системи — процеси, файли, кластери, сектори дисків, сегменти пам'яті і т.ін. Все, що підлягає захисту відповідно до політики безпеки, має бути визначено як об'єкт.

При розгляді взаємодії двох об'єктів КС, що виступають як приймальники або джерела інформації, слід виділити пасивний об'єкт, над яким виконується операція, і активний об'єкт, який виконує або ініціює цю операцію.

Далі розглядаються такі типи об'єктів КС:

• об'єкти-користувачі,

• об'єкти-процеси і пасивні об'єкти.

Прийнятий у деяких зарубіжних документах термін «суб'єкт» є суперпозицією об'єкта-користувача і об'єкта-процеса.

Об'єкти-користувачі та об'єкти-процеси є такими тільки всередині конкретного домену — ізольованої логічної області, всередині якої об'єкти володіють певними властивостями, повноваженнями і зберігають певні відносини.

9.15. Планування захисту і керування системою захисту

 

Для забезпечення безпеки інформації під час її опрацювання в КС Підприємства створюється комплексна система захисту інформації (КСЗІ), процес управління якою повинен підтримуватися протягом всього життєвого циклу КС.

На стадії розробки метою процесу управління КСЗІ є створення засобів захисту, які могли б ефективно протистояти ймовірним загрозам і забезпечували б у подальшому дотримання політики безпеки під час опрацювання інформації.

На стадії експлуатації КС метою процесу управління КСЗІ є оцінка ефективності створеної КСЗІ і вироблення додаткових (уточнюючих) вимог для доробки КСЗІ з метою забезпечення її адекватності при зміні початкових умов (характеристик ОС, опрацьовуваної інформації, фізичного середовища, персоналу, призначення КС, політики безпеки і т.ін.).

На кожному етапі мають бути виконані збирання і підготовка даних, аналіз їх і прийняття рішення. При цьому результати виконаного на певному етапі аналізу і прийняті на підставі їх рішення нарівні з уточненими вимогами є вихідними даними для аналізу на наступному етапі.

На будь-якій стадії або на будь-якому етапі може постати необхідність уточнення початкових умов і повернення на більш ранні етапи.

Створення КСЗІ має починатися з аналізу об'єкта захисту і можливих загроз. Передусім мають бути визначені ресурси КС, що підлягають захисту.

Загрози мають бути визначені в термінах імовірності реалізації їх і величини можливих збитків.

На підставі аналізу загроз, існуючих в системі вразливостей, ефективності вже реалізованих заходів захисту для всіх ресурсів, що підлягають захисту, мають бути оцінені ризики.

Ризик являє собою функцію ймовірності реалізації певної загрози, виду і величини завданих збитків. Величина ризику може бути виражена в грошовому вимірі або у вигляді формальної оцінки (високий, низький і т.ін.).

На підставі виконаної роботи мають бути вироблені заходи захисту, перетворення яких в життя дозволило б знизити рівень остаточного ризику до прийнятного рівня. Підсумком даного етапу робіт повинна стати сформульована або скоригована політика безпеки.

На підставі проведеного аналізу ризиків сформульованої політики безпеки розробляється план захисту, який містить опис послідовності та змісту всіх стадій і етапів життєвого циклу КСЗІ, що мають відповідати стадіям і етапам життєвого циклу КС. Вартість заходів щодо захисту інформації має бути адекватною розміру можливих збитків.

 

9.16. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу

 

Згідно з Положенням про технічний захист інформації в Україні в КС, де опрацьовується інформація, яка є власністю держави або захист якої гарантується державою, повинні використовуватися засоби ТЗІ, які мають документ, що засвідчує відповідність їх вимогам нормативних документів з питань технічного захисту інформації (експертний висновок та/або сертифікат відповідності).

Склад засобів ТЗІ, що використовуються під час створення комплексу засобів захисту (КЗЗ) інформації, визначають власники КС, де опрацьовується інформація, яка підлягає захисту, або уповноважені ними суб'єкти системи ТЗІ з урахуванням того, що ці засоби повинні мати рівень гарантій коректності реалізації послуг безпеки (НД ТЗІ 2.5—004—99) не нижче^ніж рівень гарантій створюваного КЗЗ.

У КС класів «1» та «2» (НД ТЗІ 2.5—005—99) дозволяється використання засобів ТЗІ з рівнем гарантій на один нижче, ніж рівень гарантій створюваного КЗЗ, за умов реалізації в цих КС необхідного обсягу організаційних заходів. Обсяг цих заходів визначається моделями загроз та порушника, умовами експлуатації КС тощо.

Засоби криптографічних перетворень, які є складовою частиною засобів ТЗІ, повинні відповідати вимогам нормативних документів з питань криптографічного захисту інформації.

Створення та впровадження засобів ТЗІ здійснюють підприємства, установи та організації всіх форм власності, за умови наявності у них відповідної ліцензії на право провадження господарської діяльності в галузі ТЗІ.

Виробництво та впровадження апаратних і пррграмно-апаратних засобів ТЗІ здійснюється за наявності технічних умов (ТУ), які розробляються, оформляються та реєструються відповідно до вимог ДСТУ 1.3-98, ГОСТ 2.114-95 та цього НД ТЗІ.

Створення програмних засобів ТЗІ здійснюється з урахуванням вимог ДСТУ 3918-99, ГОСТ 19.101-77.

Впровадження програмних засобів ТЗІ здійснюється за наявності Формуляру, який розробляється відповідно до вимог ГОСТ 19.501-78.

З метою досягнення певного рівня гарантій реалізації функціональних послуг безпеки інформації розробники (впроваджувальні організації) засобів ТЗІ повинні взаємодіяти з Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі— Департамент).

Порядок взаємодії визначено в таблиці.

Перелік заходів Рівні гарантій
-2     -7
Узгодження з Департаментом ТЗ на створення засобу ТЗІ        
Узгодження з Департаментом переліку документації, який передбачено ЕСПД та/або ЕСКД, на засіб ТЗІ        
Узгодження з Департаментом звітної технічної документації окремих етапів створення засобу ТЗІ (етапи ескізного та/або технічного, та/або робочого проектів)        
Узгодження з Департаментом виду, програми та методики випробувань засобу ТЗІ        
Залучення представників Департаменту до складу приймальної комісії для участі у випробуваннях засобу ТЗІ        
Узгодження з Департаментом ТУ на апаратні та програмно-апаратні засоби ТЗІ        
Узгодження з Департаментом договору на супроводження засобу ТЗІ        

 

Експертне оцінювання засобів ТЗІ на відповідність нормативних документів з питань ТЗІ здійснюється в порядку, визначеному Положенням про державну експертизу в сфері технічного захисту інформації.

Рівень гарантії реалізації функціональних послуг безпеки визначається в процесі експертного оцінювання з урахуванням вимог цього НД ТЗІ.

Для забезпечення можливості досягнення 3—7-го рівня гарантій реалізації функціональних послуг безпеки розробник (впроваджувальна організація) повинен здійснювати супроводження засобу ТЗІ. Для цього розробник (впроваджувальна організація) укладає з користувачем договір на супроводження засобу ТЗІ.

Модернізація засобів ТЗІ в комп'ютерних системах здійснюється у відповідності з окремим ТЗ або доповненням до основного ТЗ на створення засобу ТЗІ. ТЗ (доповнення до основного ТЗ) розробляється та оформляється відповідно до чинних ДСТУ з урахуванням вимог НД ТЗІ 3.7-001-99.

9.17. Організація захисту інформації в КС від витоку каналами ПЕМВН

 

Роботи з технічного захисту інформації (ТЗІ) в 1C і ЗОТ передбачають:

— категоріювання об'єктів електронно-обчислювальної техніки (EOT);

— включення до технічних завдань на монтаж 1C і ЗОТ розділу з ТЗІ;

— монтаж 1C і ЗОТ відповідно до рекомендацій цього документа;

— обстеження (зокрема технічний контроль) об'єктів EOT;

— установлення (при необхідності) атестованих засобів захисту;

— технічний контроль за ефективністю вжитих заходів.

Для об'єктів EOT, що опрацьовують ІзОД, проводиться обов'язкове категоріювання згідно з чинним Положенням про категоріювання. Обсяг і зміст робіт із захисту цієї інформації визначаються присвоєною категорією.

Обстеження 1C і ЗОТ відповідно до рекомендацій цього документа проводиться структурними підрозділами ТЗІ, у віданні яких знаходиться об'єкт, або підприємствами, установами, організаціями і громадянами, які одержали в установленому порядку відповідні ліцензії Державної служби України з питань технічного захисту інформації.

Рекомендований алгоритм обстеження містить такі процедури:

— аналіз у технічних засобах (ТЗ) EOT потоків інформації з обмеженим доступом;

— визначення складу ОТЗ і ДТЗ на ОІД;

— визначення складу кабельних ліній, що виходять за межі КТ і мають паралельний пробіг з кабелями 1C і ЗОТ;

— виявлення комунікацій, що проходять через територію ОІД і мають вихід за межі КЗ;

— інструментальне вимірювання інформативних побічних електромагнітних випромінювань та наводок;

— оцінку відповідності рівнів сигналів і параметрів полів, які є носіями ІзОД, нормам ефективності захисту.

За результатами обстеження складається акт, в якому відбиваються:

• категорія ОІД;

• перелік ОТЗ (найменування, тип, заводський номер);

• перелік ДТЗ і комунікацій, що знаходяться на ОІД;

• оцінка відповідності монтажу цим рекомендаціям;

• пропозиції щодо застосування додаткових заходів захисту (при необхідності).

До акта додаються: схема розміщення технічних засобів ОІД і проходження комунікацій на ньому; протоколи вимірювань.


9.18.Рекомендації щодо захисту інформації від перехоплення випромінювань технічних засобів ОІД

Навколо ОТЗ повинна забезпечуватися контрольована територія, за межами якої відношення «інформативний сигнал/шум» не перевищує Норм. З цією метою ОТЗ рекомендується розташовувати у внутрішніх приміщеннях об'єкта, бажано на нижніх поверхах.

У випадку неможливості забезпечення цієї умови необхідно:

— замінити ОТЗ на захищені;

— провести часткове або повне екранування приміщень чи ОТЗ;

— установити системи просторового зашумлення;

— замінити незахищені ТЗ на захищені;

— застосувати завадозаглушувальні фільтри.

В екранованих приміщеннях (капсулах) рекомендується розміщувати високочастотні (ВЧ) ОТЗ. Як правило, до них відносяться процесори, запам'ятовувальні пристрої, дисплеї тощо.

9.19.Рекомендації щодо захисту інформації від перехоплення наводок на незахищені технічні засоби та ДТЗ, що мають вихід за межі КТ

 

У незахищених каналах зв'язку, лініях, проводах та кабелях ОТЗ і ДТЗ, що мають вихід за межі КТ, установлюються завадозаглушувальні фільтри.

Проводи й кабелі прокладаються в екранованих конструкціях.

Монтаж кіл ТЗ, що мають вихід за межі КТ, рекомендується проводити екранованим або прокладеним в екранувальних конструкціях симетричним кабелем.

Кабелі ОТЗ прокладаються окремим пакетом і не повинні утворювати петлі. Перехрещення кабелів ОТЗ і ДТЗ, що мають вихід за межі КТ, рекомендується проводити під прямим кутом, забезпечуючи відсутність електричного контакту екранувальних оболонок кабелів у місці перехрещення їх.

Незадіяні проводи і кабелі демонтуються або закорочуються та за-земляються.

 

9.20. Рекомендації щодо захисту інформації

від витоку колами заземлення

 

Система заземлення технічних засобів ОІД не повинна мати вихід за межі КТ і повинна розміщуватися на відстані не менше 10-15 м від них.

Заземлювальні проводи повинні бути виконані з мідного дроту (ка-беля) з перехідним опором з'єднань не більше 600 мкОм. Опір заземлення • не повинен перевищувати 4 Ом.

Не рекомендується використовувати для системи заземлення ТЗ ОІД природні заземлювачі (металеві трубопроводи, залізобетонні конструкції будинків тощо), які мають вихід за межі КТ.

Для усунення небезпеки витоку інформації металевими трубопроводами, що виходять за межі КТ, рекомендується використовувати струмонепровідні вставки (муфти) завдовжки не менше 1 м.

За наявності в ТЗ ОІД «схемної землі» окреме заземлення для них створювати не треба. Шина «схемна земля» повинна бути ізольованою від захисного заземлення та металоконструкцій і не повинна утворювати замкнену петлю.

При неможливості провести заземлення ТЗ ОІД допускається «за-нулення» їх.

 

9.21. Рекомендації щодо захисту інформації від витоку колами електроживлення

 

Найбільш ефективно гальванічну та електромагнітну розв'язку кабелів електроживлення ТЗ ОІД від промислової мережі забезпечує їхня розділова система типу «електродвигун-генератор». Електроживлення допускається також здійснювати через завадозаглушувальні фільтри.

Електроживлення повинно здійснюватись екранованим (броньованим) кабелем.

Кола електроживлення ТЗ ОІД на ділянці від ОТЗ до розділових систем чи завадозаглушувальних фільтрів рекомендується прокладати в жорстких екранувальних конструкціях.

Не допускається прокладання в одній екранувальній конструкції кабелів електроживлення, розв'язаних від промислової мережі, з будь-якими кабелями, що мають вихід за межі КТ.

Забороняється здійснювати електроживлення технічних засобів, що мають вихід за межі КТ, від захищених джерел електропостачання без установлення завадозаглушувальних фільтрів.

Для об'єктів 2—4-ї категорії допускається не проводити роботи із захисту кіл електроживлення, якщо всі пристрої та кабелі електропостачання ОІД, включаючи трансформаторну підстанцію низької напруги із заземлювальним пристроєм, розміщені у межах КТ.

9.22. Рекомендації щодо застосування системи просторового зашумлення ОІД

 

Пристрої просторового зашумлення застосовуються тоді, коли пасивні заходи не забезпечують необхідної ефективності захисту ОІД.

Установленню підлягають тільки сертифіковані Державною службою України з питань технічного захисту інформації (ДСТЗІ) засоби просторового зашумлення, до складу яких входять:

— надширокосмугові генератори електромагнітного поля шуму (генератор шуму);

— система рамкових антен;

— пульт сигналізації справності роботи системи.

Установлення генераторів шуму, монтаж антен, а також обслуговування їх в процесі експлуатації здійснюють підприємства, установи й організації, що мають відповідну ліцензію ДСТЗІ.

Живлення генераторів шуму повинно здійснюватися від того самого джерела, що й живлення ТЗ ОІД. Антени рекомендується розташовувати поза екранованим приміщенням.

 

9.23. Основні рекомендації з обладнання та застосування екранувальних конструкцій

 

Екранувальні кабельні конструкції разом з екранувальними конструкціями ТЗ ОІД повинні створювати екранувальний замкнений об'єм.

Виведення кабелів з екранувальних конструкцій і введення в них необхідно здійснювати через завадозаглушувальні фільтри.

Екранувальні кабельні конструкції можуть бути жорсткими і гнучкими. Основу жорстких конструкцій становлять труби, короби та коробки; основу гнучких конструкцій — металорукави, взяті в обплетення, і сітчасті рукави.

Для екранування проводів і кабелів застосовуються водогазопровідні труби. Рекомендується застосовувати сталеві тонкостінні оцинковані труби або сталеві електрозварені.

З'єднання нероз'ємних труб здійснюється зварюванням, а роз'ємних — за допомогою муфти та контргайки.

Для екранування проводів і кабелів застосовуються короби прямокутного перерізу. Переваги їх порівняно з трубами — можливість прокладання кабеля з роздільними роз'ємами.

Короби виготовляються з листової сталі. На кінцях секцій короба повинні бути фланці для з'єднання коробів між собою та з іншими ек-ранувальними конструкціями. Для отримання надійного електричного контакту поверхня фланців повинна мати антикорозійне струмопровід-не покриття.

Остаточний висновок про ефективність заходів щодо технічного захисту інформації дається за результатами інструментального контролю.

 

10. Захист конфіденційної інформації в КС Підприємства

Засади щодо захисту конфіденційної інформації визначаються Законами України «Про інформацію» і «Про захист інформації в комп'ютерних системах», іншими нормативно-правовими актами, виданими відповідно до цих законів, а також «Інструкцією про порядок обліку, зберігання й використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави».

Опрацювання в комп'ютерній системі конфіденційної інформації здійснюється з використанням захищеної технології.

Технологія опрацювання інформації є захищеною, якщо вона містить програмно-технічні засоби захисту та організаційні заходи, які забезпечують виконання загальних вимог щодо захисту інформації. Загальні вимоги передбачають:

— наявність переліку конфіденційної інформації, яка підлягає комп'ютерному опрацюванню; у разі необхідності можлива її класифікація в межах категорії за цільовим призначенням, ступенем обмеження доступу окремих категорій користувачів та іншими класифікаційними ознаками;

— наявність визначеного (створеного) відповідального підрозділу, якому надано повноваження щодо організації і впровадження технології захисту інформації, контролю за станом захищеності інформації;

— створення комплексної системи захисту інформації (далі — КСЗІ), яка являє собою сукупність організаційних та інженерно-технічних заходів, програмно-апаратних засобів, спрямованих на забезпечення захисту інформації під час функціонування КС;

— розроблення плану захисту інформації в КС, зміст якого визначено в Додатку до НД ТЗІ 1.4-001;

— наявність атестата відповідності КСЗІ в КС нормативним документам із захисту інформації;

— можливість визначення засобами КСЗІ кількох ієрархічних рівнів повноважень користувачів та кількох класифікаційних рівнів інформації;

— обов'язковість реєстрації в КС усіх користувачів та їхніх дій щодо конфіденційної інформації;

— можливість надання користувачам тільки за умови службової необхідності санкціонованого та контрольованого доступу до конфіденційної інформації, що опрацьовується в КС;

— заборону несанкціонованої та неконтрольованої модифікації конфіденційної інформації в КС;

— здійснення СЗІ обліку вихідних даних, отриманих під час вирішення функціональних задач у формі віддрукованих документів, що містять конфіденційну інформацію, у відповідності з «Інструкцією про порядок обліку, зберігання й використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави»;

— заборону несанкціонованого копіювання, розмноження, поширення конфіденційної інформації в електронному вигляді;

— забезпечення СЗІ контролю за санкціонованим копіюванням, розмноженням, поширення конфіденційної інформації в електронному вигляді;

— можливість здійснення однозначної ідентифікації та автентифі-кації кожного зареєстрованого користувача;

— забезпечення КСЗІ можливості своєчасного доступу зареєстрованих користувачів КС до конфіденційної інформації.


11. Захист державних інформаційних ресурсів в інформаційно-телекомунікаційних системах

 

Захист державних інформаційних ресурсів в комп'ютерних системах, що входять до складу інформаційно-телекомунікаційних систем (ІТС) повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі — КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.

Порядок створення та вимоги щодо КСЗІ в комп'ютерних системах під час створення їх, експлуатації та модернізації визначаються: Законом України «Про захист інформації в комп'ютерних системах»; Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27 вересня 1999 p. N 1229; Положенням про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президента України від 22 травня 1998 р. N 505/98; нормативно-правовими актами та нормативними документами систем технічного та криптографічного захисту інформації.

У КС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж.

Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник КС з використанням засобів та заходів з криптографічного захисту інформації або оператор ІТС за договором з власником КС.

Опрацювання державних інформаційних ресурсів у комп'ютерній системі, зокрема передавання їх з використанням ІТС, дозволяється тільки після одержання атестата відповідності КСЗІ вимогам із захисту інформації, який надається в установленому порядку Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 p. N 62 і зареєстрованим в Міністерстві юстиції України 24 січня 2000 р. за N 40/4261.

Дозвіл на опрацювання державних інформаційних ресурсів дається наказом керівника установи (підприємства, організації), яка є власником КС.

 

11.1. Забезпечення захисту державних інформаційних ресурсів у мережах передачі даних

Захист державних інформаційних ресурсів у ІТС повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення блокування її та/або модифікації.

Засоби захисту інформації, які використовуються в ІТС для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.

Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 p. N 329/32 і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за N 640/5831, а експертний висновок — згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 p. N 62 і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за N 40/4261.

У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ.

Передавання державних інформаційних ресурсів дозволяється тільки через вузли комутації, що мають атестат відповідності КСЗІ вимогам із захисту інформації, який надається в такому порядку, як і не КСЗІ в КС.

Особи, винні в порушенні порядку захисту державних інформаційних ресурсів у ІТС, несуть відповідальність згідно з чинним законодавством України.

 

11.2. Контроль за забезпеченням захисту державних інформаційних ресурсів в ІТС

Контроль за забезпеченням захисту державних інформаційних ресурсів у ІТС здійснюється Департаментом спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України полягає в перевірці виконання власниками КС та операторами ІТС вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.

У разі виявлення в ІТС порушень вимог щодо захисту державних інформаційних ресурсів ДСТСЗІ СБ України порушує у встановленому порядку питання про припинення функціонування КС або використання ІТС.

Власники КС та оператори ІТС повинні створювати необхідні умови для здійснення державного контролю за забезпеченням захисту державних інформаційних ресурсів.

Власники КС та оператори ІТС повинні повідомляти ДСТСЗІ СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів.

Оператори ІТС повинні надавати власнику КС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить.

Порядок організації та здійснення контролю за забезпеченням захисту державних інформаційних ресурсів в ІТС визначається відповідними нормативно-правовими актами.

 

12. Захист інформації WEB-сторінки

 

Підприємства від несанкціонованого доступу

Підприємство, під час створення WEB-сторінки та визначення операторів, вузли яких будуть використовуватися для підключення до мережі Інтернет, повинен керуватися законами України, іншими нормативно-правовими актами, що встановлюють вимоги з технічного захисту інформації.

WEB-сторінка Підприємства установи може бути розміщена на власному сервері або на сервері, що є власністю оператора. Власник сервера зобов'язаний гарантувати власнику інформації рівень захисту відповідно до вимог цього НД ТЗІ.

Функціонування WEB-сторінки забезпечується КС Підприємства, за допомогою якої здійснюється актуалізація розміщених на WEB-сторін-ці інформаційних ресурсів та керування доступом до них.

Для забезпечення захисту інформації WEB-сторінки в цій КС створюється КСЗІ, що є сукупністю організаційних та інженерно-технічних заходів, а також програмно-апаратних засобів, які забезпечують захист інформації.

Створення КСЗІ здійснюється відповідно до технічного завдання, розробленого згідно з НД ТЗІ 3.7—001.

КСЗІ підлягає державній експертизі в порядку, передбаченому Положенням про державну експертизу в сфері технічного захисту інформації.

Захист інформації на всіх етапах створення та експлуатації WEB-сторінки здійснюється відповідно до розробленого установою плану захисту інформації, зміст якого визначено НД ТЗІ 1.4—001. План захисту затверджується керівником установи, а у випадку використання сервера оператора — погоджується з власником сервера.

Перелік інформації, призначеної для публічного розміщення на WEB-сторінці, визначається з урахуванням вимог діючого законодавства та затверджується керівником установи, що є власником WEB-сторінки.

Організація робіт стосовно захисту інформації та забезпечення контролю за станом її захищеності на WEB-сторінці Підприємства здійснюється відповідальним підрозділом або відповідальною особою.

У випадку користування послугами оператора щодо розміщення, експлуатації та адміністрування WEB-сторінки власник інформації укладає з оператором договір (угоду), яким визначаються права та обов'язки сторін; умови підключення; розміщення інформації та забезпечення доступу до неї; інші питання, що вимагають урегулювання між власником інформації WEB-сторінки та оператором, виходячи з вимог законодавства у сфері захисту інформації та цього НД ТЗІ.

Окремі питання із захисту інформації можуть оформлятися у вигляді додатків, які є невід'ємною частиною договору.

 


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.026 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал