- •Закон України "Про інформацію". Основна мета та призначення.
- •Закон України "Про інформацію". Поняття інформації. Класифікація інформації відповідно до зу. Порядок віднесення інформації до державної таємниці.
- •Закон України "Про державну таємницю". Рішення державного експерта з питань таємниць. Засекречування та розсекречування матеріальних носіїв інформації.
- •Закон України "Про державну таємницю". Порядок проведення діяльності, пов'язаної з державною таємницею. Режим секретності. Права режимно-секретних відділів.
- •Загрози інформаційній безпеці України згідно Концепції інформаційної безпеки України
- •Зу «Національна система конфіденційного зв’язку». Основна мета та призначення.
- •Основна мета та призначення зу: «Про радіочастотний ресурс».
- •Основна мета та призначення зу: «Про зв’язок ».
- •Основні положення Закону України "Про радіочастотний ресурс України".
- •Закон України "Про радіочастотний ресурс України". Управління у сфері радіочастотного ресурсу України.
- •Основні положення «Концепції технічного захисту інформації в Україні».
- •Задачі та функції «Положення про технічний захист інформації в Україні та контроль за його функціонуванням».
- •Основні положення Закону України "Про захист інформації в автоматизованих системах".
- •Відповідальність
- •5 Постановка проблеми захисту інформації в комп'ютерних системах від несанкціонованого доступу
- •5.1 Загальні положення
- •5.2 Основні напрями захисту
- •6.1 Основні загрози інформації
- •Основні положення Закону України "Про електронний цифровий підпис".
- •Порядок здійснення криптографічного захисту інформації в Україні.
- •Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації. Загальні положення.
- •Мета та напрями ліцензування господарської діяльності у сфері криптографічного захисту інформації (кзі).
- •Нормативно-правові умови надання послуг в сфері торгівлі криптосистемами і засобами криптографічного захисту інформації. Нормативно-правові основи та порядок сертифікації засобів кзі.
- •5. Порядок проведення сертифікації засобів криптографічного захисту інформації
- •1. Галузь використання
- •2. Нормативні посилання
- •3. Терміни та визначення
- •4. Загальні положення
- •Цей документ містить у собі:
- •4 Загальні положення
- •5 Специфікації гарантій безпеки середовища персоналу
- •6 Специфікації гарантій стандартизації технологічного середовища
- •7 Специфікації гарантій забезпечення спостережності
- •4 Загальні положення
- •8 Специфікації гарантій забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища
- •9 Специфікації гарантій якості документації
- •1 Галузь використання
- •4 Загальні положення
Відповідальність
Відповідальність за діяльність СЗІ покладається на її керівника. Керівник СЗІ відповідає за: організацію робіт з захисту інформації в АС, ефективність захисту інформації відповідно до діючих нормативно-правових актів; своєчасне розроблення і виконання “Плану захисту інформації в автоматизованій системі”;
Співробітники СЗІ відповідають за: додержання вимог нормативних документів; повноту та якість розроблення і впровадження організаційно-технічних заходів з захисту інформації в АС; дотримання термінів проведення контрольних, інспекційних, перевірочних та інших заходів з оцінки стану захищеності інформації в АС;
Завдання захисту інформації в АС: забезпечення визначених політикою безпеки властивостей інформації під час створення та експлуатації АС; своєчасне виявлення та знешкодження загроз для ресурсів АС; створення механізму та умов оперативного реагування на загрози для безпеки інформації; ефективне знешкодження (попередження) загроз для ресурсів АС; керування засобами захисту інформації, керування доступом користувачів до ресурсів АС; реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації; створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб.
План захисту інформації в автоматизованій системі (НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі). Класифікація інформації, що обробляється та опис компонентів АС і технології обробки інформації. Загрози інформації в АС. Модель порушника в АС. Політика безпеки інформації в АС.
План захисту інформації в АС є сукупністю документів, згідно з якими здійснюється організація захисту інформації на всіх етапах життєвого циклу АС. В окремих випадках план захисту інформації в АС може оформлятися одним документом.
Класифікація інформації, що обробляється в АС
1.За режимом доступу інформація в АС має бути поділена на: відкриту; з обмеженим доступом. Відкриту інформацію слід поділити на відкриту, яка не потребує захисту, та відкриту, яка такого захисту потребує.
2.За правовим режимом інформація з обмеженим доступом повинна бути поділена на таємну та конфіденційну. До таємної інформації має бути віднесена інформація, що містить відомості, які становлять державну, а також іншу, передбачену законом таємницю. Інформація, що становить державну таємницю, в свою чергу, поділяється на категорії відповідно до Закону України “Про державну таємницю”.
3.За типом її представлення в АС (для кожної з визначених категорій встановлюються типи пасивних об’єктів комп’ютерної системи, якими вона може бути представлена).
Опис компонентів АС та технології обробки інформації
1.Повинна бути проведена інвентаризація усіх компонентів АС і зафіксовані всі активні і пасивні об’єкти, які беруть участь у технологічному процесі. До об'єктів, що підлягають інвентаризації, можуть бути віднесені: обладнання - ЕОМ та їхні складові частини, периферійні пристрої; програмне забезпечення; дані - тимчасового і постійного зберігання; персонал і користувачі АС.
2.Необхідно дати опис технології обробки інформації в АС, що потребує захисту, тобто способів і методів застосування засобів обчислювальної техніки.
Загрози для інформації в АС
Загрози для інформації, що обробляється в АС, залежать від характеристик ОС, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну природу. Необхідно визначити перелік можливих загроз і класифікувати їх за результатом впливу на інформацію, тобто на порушення яких властивостей вони спрямовані (конфіденційності, цілісності та доступності інформації).
Модель порушника повинна визначати: можливу мету порушника; категорії осіб, з числа яких може бути порушник; припущення про кваліфікацію порушника; припущення про характер його дій. Метою порушника можуть бути: отримання необхідної інформації у потрібному обсязі та асортименті; мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами; нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.
Політика безпеки інформації в АС Під політикою безпеки інформації слід розуміти набір вимог, правил, обмежень, рекомендацій, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Під час розробки політики безпеки повинні бути враховані технологія обробки інформації, моделі порушників і загроз, особливості ОС, фізичного середовища та інші чинники. В АС може бути реалізовано декілька різних політик безпеки, які істотно відрізняються. Методологія розроблення політики безпеки включає в себе наступні роботи: розробка концепції безпеки інформації в АС; аналіз ризиків; визначення вимог до заходів, методів та засобів захисту; вибір основних рішень з забезпечення безпеки інформації; організація виконання відновлювальних робіт і забезпечення неперервного функціонування АС; документальне оформлення політики безпеки.
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. Класифікація автоматизованих систем. Підкласи автоматизованих систем. Семантика профілю. Критерії конфіденційності, цілісності, доступності та спостереженості. Критерії гарантій.
В цьому документі за сукупністю характеристик АС виділено три ієрархічні класи АС, вимоги до функціонального складу КЗЗ яких істотно відрізняються.
Клас «1» — одномашинний однокористувачевий комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності. Істотні особливості: в кожний момент часу з комплексом може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька, але всі вони повинні мати однакові повноваження (права) щодо доступу до інформації, яка оброблюється; технічні засоби (носії інформації і засоби У/В ) з точки зору захищеності відносяться до однієї категорії і всі можуть використовуватись для збереження і/або У/В всієї інформації. Приклад — автономна персональна ЕОМ, доступ до якої контролюється з використанням організаційних заходів.
Клас «2» — локалізований багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього класу — наявність користувачів з різними повноваженнями по доступу і/або технічних засобів, які можуть одночасно здійснювати обробку інформації різних категорій конфіденційності. Приклад — ЛОМ.
Клас «3» — розподілений багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього класу — необхідність передачі інформації через незахищене середовище або, в загальному випадку, наявність вузлів, що реалізують різну політику безпеки. Приклад — глобальна мережа.
В кожному класі АС виділяються такі підкласи:
автоматизована система, в якій підвищені вимоги до — забезпечення конфіденційності оброблюваної інформації (підкласи «х. К»);
автоматизована система, в якій підвищені вимоги до — забезпечення цілісності оброблюваної інформації (підкласи «х.Ц»);
автоматизована система, в якій підвищені вимоги до — забезпечення доступності оброблюваної інформації (підкласи «х.Д»);
автоматизована система, в якій підвищені вимоги до — забезпечення конфіденційності і цілісності оброблюваної інформації (підкласи» х.КЦ»);
автоматизована система, в якій підвищені вимоги до — забезпечення конфіденційності і доступності оброблюваної інформації (підкласи «х.КД»);
автоматизована система, в якій підвищені вимоги до — забезпечення цілісності і доступності оброблюваної інформації (підкласи «х.ЦД»).
автоматизована система, в якій підвищені вимоги до — забезпечення конфіденційності, цілісності і доступності оброблюваної інформації (підкласи «х.КЦД»).
Семантика профілю
Опис профілю складається з трьох частин: буквено-числового ідентифікатора, знака рівності і переліку рівнів послуг, взятого в фігурні дужки. Ідентифікатор у свою чергу включає: позначення класу АС (1, 2 або 3), буквену частину, що характеризує види загроз, від яких забезпечується захист (К, і/або Ц, і/або Д), номер профілю і необов’язкове буквене позначення версії. Всі частини ідентифікатора відділяються один від одного крапкою. Наприклад, 2.К.4 — функціональний профіль номер чотири, що визначає вимоги до АС класу 2, призначених для обробки інформації, основною вимогою щодо захисту якої є забезпечення конфіденційності. Перелік функціональних послуг безпеки та рівнів гарантій, їх структура і семантичне позначення наведені в НД ТЗІ “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”.
Критерії конфіденційності Для того, щоб КС могла бути оцінена на предмет відповідності критеріям конфіденційності, КЗЗ оцінюваної КС повинен надавати послуги з захисту об'єктів від несанкціонованого ознайомлення з їх змістом (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні.
Критерії цілісності Для того, щоб КС могла бути оцінена на предмет відповідності критеріям цілісності, КЗЗ оцінюваної КС повинен надавати послуги з захисту оброблюваної інформації від несанкціонованої модифікації. Цілісність забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні.
Критерії доступності Для того, щоб КС могла бути оцінена на відповідність критеріям доступності, КЗЗ оцінюваної КС повинен надавати послуги щодо забезпечення можливості використання КС в цілому, окремих функцій або оброблюваної інформації на певному проміжку часу і гарантувати спроможність КС функціонувати у випадку відмови її компонентів. Доступність може забезпечуватися в КС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.
Критерії спостереженості Для того, щоб КС могла бути оцінена на предмет відповідності критеріям спостереженості, КЗЗ оцінюваної КС повинен надавати послуги з забезпечення відповідальності користувача за свої дії і з підтримки спроможності КЗЗ виконувати свої функції. Спостереженість забезпечується в КС такими послугами: реєстрація (аудит), ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація і автентифікація при обміні, автентифікація відправника, автентифікація отримувача
Критерії гарантій Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки, послідовності розробки, середовища функціонування, документації і випробувань КЗЗ. В цих критеріях вводиться сім рівнів гарантій, які є ієрархічними. Вимоги викладаються за розділами. Для того, щоб КС одержала певний рівень гарантій (якщо вона не може одержати більш високий), повинні бути задоволені всі вимоги, визначені для даного рівня в кожному з розділів.
Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу (НД ТЗІ 1.1 – 002 – 99). Постановка проблеми захисту інформації в комп'ютерних системах від несанкціонованого доступу. Основні загрози інформації.
Цей нормативний документ технічного захисту інформації (НД ТЗІ) визначає методологічні основи (концепцію) вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, регламентуючих питання:
- визначення вимог щодо захисту комп'ютерних систем від несанкціонованого доступу;
- створення захищених комп'ютерних систем і засобів їх захисту від несанкціонованого доступу;
- оцінки захищеності комп'ютерних систем і їх придатностi для вирішення завдань споживача.
Документ призначено для постачальників (розробників), споживачів (замовників, користувачів) комп'ютерних систем, які використовуються для обробки (в тому числі збирання, зберігання, передачі і т. д.) критичної інформації (інформації, що вимагає захисту), а також для державних органів, що здійснюють функції контролю за обробкою такої інформації.