11.3. Політика послуг безпеки ФПЗ
Опис послуг безпеки ФПЗ наведений в НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу».
Розподіл завдань захисту інформації між ФПЗ, організаційними (ОЗ) та інженерно-технічними заходами (ІТЗ), що можуть бути застосовані в АС, наведено в таблиці. Знаком «+» позначено необхідність впровадження заходів, визначених відповідними нормативно-правовими актами щодо захисту інформації, знаком «=» позначено необхідність впровадження заходів, визначених в експлуатаційній документації, що супроводжує впроваджений в АС КЗЗ. Для порівняння взяті дві ОС «Windows», які на даний час мають позитивний експертний висновок відповідності вимогам НД ТЗІ.
| № | Загальні вимоги щодо захисту інформації | І Т З | О З | ФПЗ | Windows 8 Pro-fessional | Windows Server 2012 R2 | |
| 1. | Захист від несанкціонованого | | | | | | |
| ознайомлення | + | = | КА-1 КО-1 ДВ-1 | - КО-1 ДВ-2 | - КО-1 ДВ-2 | ||
| розмноження | | + | | | | ||
| розповсюдження | + | + | | | | ||
| копіювання | + | + | | | | ||
| відновлення | | + | | | | ||
| спотворення | + | = | ЦА-1 | - | - | ||
| 2. | Надання доступу до ІзОД за умови достовірного розпізнавання користувачів | | = | НК-1 НИ-2 | НК-1 НИ-2 | НК-1 НИ-2 | |
| з урахуванням наданих згідно з службовою необхідністю повноважень | | = | КА-1 НО-1 | - НО-3 | - НО-3 | ||
| 3. | Надання можливості своєчасного доступу зареєстрованих користувачів АС до ІзОД | | = | НЦ-1 НТ-1 ДВ-1 | НЦ-2 НТ-2 ДВ-2 | НЦ-2 НТ-2 ДВ-2 | |
| 4. | Контроль цілісності КЗЗ, а у разі її порушення припиняти обробку інформації | | = | НЦ-1 | НЦ-2 | НЦ-1 | |
| 5. | Забезпечення реєстрації дій всіх користувачів АС щодо обробки ІзОД | | = | НР-2 | НР-2 | НР-2 | |
| Забезпечення захисту реєстраційних даних від модифікації користувачами, які не мають адмін. повноважень | | = | НР-2 НО-1 | НР-2 НО-3 | НР-2 НО-3 | ||
| 6. | Блокування доступу до ІзОД у разі порушення політики безпеки | | = | НК-1 НИ-2 | НК-1 НИ-2 | НК-1 НИ-2 | |
| 7. | Встановлення ступеня обмеження ІзОД під час її обробки в АС | | + | | | | |
| 8. | Встановлення адміністратором обмежень на використання ресурсів користувачами | | = | ДР-1 | ДР-1 | ДР-1 | |
| 9. | Можливість модифікації та знищення ІзОД користувачами, яким надано відповідні повноваження | | = | ЦА-1 НИ-2 | - НИ-2 | - НИ-2 | |
| 10 | Контроль цілісності ПЗ, що забезпечує обробку ІзОД, запобігання його несанкціонованій модифікації та ліквідація наслідків такої модифікації | | = | НТ-1 ЦО-1 ДВ-1 | НТ-2 ЦО-1 ДВ-2 | НТ-2 ЦО-1 ДВ-2 | |
| 12 | Забезпечення рівня гарантій реалізації ПБ | | | Г2 | Г2 | Г2 | |
Здійснивши порівняльний аналіз послуг безпеки ФПЗ АС-1 та механізмів захисту ОС «Windows», можна зробити такі висновки:
- КЗЗ обох ОС «Windows» нічим не відрізняються;
- ОС «Windows» може забезпечити захист відкритої інформації лише за умов впровадження ІТЗ і ОЗ;
- для забезпечення захисту службової інформації ОС «Windows» потребує використання додаткового КЗЗ (для забезпечення послуг КА-1 і ЦА-1).
12. Особливості захисту секретної інформації в АС класу 1
Інформація, що становить державну таємницю та оброболяється технічними засобами (у тому числі АС), згідно вимог НД ТЗІ підлягає захисту від витоку технічними каналами. Захист іншої ІзОД від витоку технічними каналами здійснюється за рішенням власника або розпорядника цієї інформації.
12.1. Загальна|спільна| характеристика технічних каналів витоку
інформації, що обробляється в АС
Витік інформації по технічних каналах треба розуміти як неконтрольоване поширення|розповсюдження| інформативного сигналу від його джерела через фізичне середовище|середу| до технічного засобу|кошту|, який здійснює перехоплення інформації.
Перехоплення інформації - це неправомірне отримання|здобуття| інформації з використанням технічного засобу|кошту|, який здійснює її виявлення та|та| обробку. В результаті|внаслідок,унаслідок| перехоплення інформації можливе неправомірне ознайомлення з|із| нею або неправомірний запис її на носій|носія|.
Разом з|поряд| технічними засобами|коштами| АС у приміщеннях|поміщеннях|, де вони встановлені|установлені|, як правило, знаходяться|перебувають| ще інші технічні засоби|кошти| і|та| системи, які в обробці інформації безпосередньої участі не беруть. До них відносяться: системи і|та| засоби|кошти| автоматичного телефонного зв'язку; відеонагляду та|та| сигналізації; сповіщення та|та| кондиціонування; прийому програм радіомовлення і|та| телебачення; засоби|кошти| електронної оргтехніки тощо.
Через приміщення|поміщення|, де встановлені|установлені| технічні засоби|кошти| АС, можуть проходити|минати,спливати| проводи|проводи| та|та| кабелі, що не відносяться до АС, та|та| інші струмопровідні металоконструкції (металеві труби систем опалювання, водопостачання тощо), які називаються сторонніми провідниками.
Електроживлення технічних засобів|кошти| здійснюється від розподільчих пристроїв|устроїв| і|та| силових щитів, які спеціальними кабелями з'єднуються з|із| трансформаторною підстанцією міської електромережі.
Усі технічні засоби|кошти|, що живляться|харчуються| від електромережі та мають металевий корпус, повинні бути заземлені. Типова система заземлення включає загальний|спільний| пристрій та кабель заземлення|, шини і|та| дроти|проводи|, що з'єднують пристрій заземлення| з|із| технічними засобами|коштами|.
З'єднувальні лінії АС, сторонні провідники, а також лінії електроживлення та|та| заземлення можуть виходити за межі контрольованої зони об'єкту (далі - КЗ), під якою розуміється простір (територія, будівля, частина|частка| будівлі), де виключено неконтрольоване перебування сторонніх осіб|лиць,облич| (відвідувачів|візитерів|, працівників комунальних служб тощо) та транспортних засобів.
Межею|кордоном| КЗ може бути периметр території організації, що охороняється, а також огороджувальні конструкції будівлі або частини|частки| будівлі, що охороняється, якщо вона розміщена на території, що не охороняється.
При розгляді АС, як об'єкту захисту від витоку інформації по технічних каналах, його необхідно|треба| розглядати|розглядувати| як об'єкт, що включає :
- технічні засоби|кошти|, що безпосередньо обробляють інформацію, разом з їх з'єднувальними лініями (під ними розуміють сукупність дротів|проводів| і|та| кабелів, що прокладаються між окремими елементами АС);
- допоміжні технічні засоби|кошти| і|та| системи разом з їх з'єднувальними лініями;
- сторонні провідники;
- систему електроживлення;
- систему заземлення.
Сукупність джерела інформативного сигналу, технічного засобу|кошту|, що здійснює перехоплення інформації, і|та| фізичного середовища|середи|, в якому поширюється|розповсюджується| інформативний сигнал, називається технічним каналом витоку інформації (далі - ТКВІ).
Залежно від природи утворення інформативного сигналу ТКВІ можна розділити на:
- природні;
-|та| спеціально створювані.
Природні ТКВІ утворюються ненавмисно за рахунок побічних електромагнітних випромінювань і наведень (далі - ПЕМВН) АС. Вони складаються з електромагнітних та електричних ТКВІ.
Електромагнітні ТКВІ утворюються за рахунок побічних електромагнітних випромінювань (далі - ПЕМВ), що виникають при обробці інформації в АС.
Електричні ТКВІ утворюються внаслідок|унаслідок| наведень інформативних сигналів в лініях електроживлення, з'єднувальних лініях АС і|та| сторонніх провідниках.
Спеціально створювані ТКВІ утворюються навмисно шляхом впровадження в АС «закладних» електронних пристроїв перехоплення інформації та|та| шляхом високочастотного (далі - ВЧ) опромінення|опромінювання| АС.
Електромагнітні ТКВІ
Головними причинами виникнення електромагнітних ТКВІ в АС є:
- ПЕМВ, що виникають внаслідок|унаслідок| протікання інформативних сигналів по елементах АС;
- модуляція інформативним сигналом ПЕМВ генераторних або підсилювальних блоків АС із-за|через| паразитних зв'язків.
ПЕМВ виникають при таких|таких| режимах обробки інформації в АС:
- виведення даних на екран монітора;
- введення даних з клавіатури;
- запис даних на накопичувачі;
- зчитування даних з накопичувачів;
- обмін даними по каналах зв'язку;
- виведення даних на принтер;
- запис даних від сканера тощо.
При кожному режимі роботи АС виникають ПЕМВ, що мають свої характерні особливості. Діапазон можливих частот ПЕМВ АС може бути від 10 кГц| до 2 ГГц.
Для перехоплення ПЕМВ АС використовуються спеціальні стаціонарні, транспортні або ручні прийомні комплекси||устрої|, які називаються технічними засобами|коштами| розвідки побічних електромагнітних випромінювань і|та| наведень (далі - ТЗР ПЕМВН).
Типовий комплекс ТЗР ПЕМВН включає: спеціальний приймальний пристрій|устрій|, ноутбук, спеціальне програмне|програмове| забезпечення і|та| широкодіапазонну спрямовану|направлену| антену. Він може встановлюватися в будівлях або машинах, розташованих|схильних| за межами КЗ.
Найбільш небезпечним з точки зору|з| витоку інформації режимом роботи АС є виведення інформації на екран монітора. Враховуючи широкий спектр ПЕМВ відеосистеми АС (більше 100 Мгц) і|та| їх незначний рівень, перехоплення зображень, виводимих на екран монітора, є досить важким|скрутним| завданням|задачею|.
Дальність перехоплення ПЕМВ сучасних АС, як правило, не перевищує 50 метрів. Якість перехопленого зображення значно гірше якості зображення, що виводиться на екран монітора. Особливо важке|скрутне| завдання|задача| - перехоплення тексту, що виводиться на екран монітора та|та| написаний дрібним|мілким| шрифтом.
Простір навкруги|довкола,навколо| АС, за межами якого напруженість електромагнітного поля (далі - ЕМП) не перевищує допустимого (нормованого) значення, називається небезпечною зоною R2. Вона визначається інструментально-розрахунковим методом після спеціальних досліджень АС на наявність ПЕМВ і|та| вказується|указує| в приписі|розпорядженні| на її експлуатацію або сертифікаті відповідності.
Таким чином, для перехоплення електромагнітного ТКВІ АС необхідно, щоб відстань від АС до межі|кордону| КЗ була менше зони R2, в межах якої встановлений ТЗР ПЕМВ.
Електричні ТКВІ
Причинами виникнення електричних каналів витоку інформації є наведення інформативних сигналів, під якими розуміються струм|токи| і|та| напруга|напруження| в струмопровідних елементах, що викликаються|спричиняти,визивати| ПЕМВ, ємнісними та|та| індуктивними зв'язками.
Наведення інформативних сигналів за рахунок ПЕМВ можуть виникнути у:
- лініях електроживлення АС і|та| інших технічних засобів;
- лініях|цепах| заземлення АС|та|;
- з'єднувальних лініях АС і|та| інших технічних засобів;
- сторонніх провідниках (металевих трубах систем опалювання, водопостачання, металоконструкціях будівлі тощо).
Залежно від причин можливі наведення інформативних сигналів у:
- електричних колах|цепах| АС, викликані|спричиняти,визивати| ПЕМВ АС;
- з'єднувальних лініях технічних засобів і|та| сторонніх провідниках, викликані|спричиняти,визивати| ПЕМВ АС;
- електричних колах|цепах| АС, викликані|спричиняти,визивати| внутрішніми ємнісними та/або індуктивними зв'язками («витік» інформативних сигналів у колі|цепі| електроживлення через блоки живлення|харчування| АС);
- колах|цепах| заземлення АС, викликані|спричиняти,визивати| ПЕМВ АС, а також гальванічним зв'язком «схемної землі» та|та| блоків АС.
Різні|різноманітні| допоміжні технічні засоби|кошти|, їх з'єднувальні лінії, а також лінії електроживлення, сторонні провідники та|та| лінії|цепи| заземлення виконують роль випадкових антен, при підключенні ТЗР до яких можливе перехоплення наведених інформативних сигналів.
Випадкові антени можуть бути зосередженими та|та| розподіленими.
Зосереджена випадкова антена є компактним технічним засобом|коштом| (телефонний апарат, гучномовець оповіщення, датчик охоронної сигналізації, камера відеонагляду тощо), підключеним до лінії, що виходить за межі КЗ.
До розподілених випадкових антен відносяться кабелі, дроти|проводи|, металеві труби та|та| інші струмопровідні комунікації, що виходять за межі КЗ. Рівень сигналів, що наводяться в них, значною мірою|в| залежить не лише|не| від потужності випромінюваних сигналів, але йі відстані до них від засобів АС.
Простір навкруги|довкола,навколо| АС, за межами якого рівень наведеного від АС інформативного сигналу в зосереджених антенах не перевищує допустимого (нормованого) значення, називається небезпечною зоною r1, а в розподілених антенах - небезпечною зоною r1'.
На відміну від зони R2 розмір зони r1/r1' залежить не лише|не| від рівня ПЕМВ АС, але й від довжини випадкової антени (від приміщення|поміщення|, де встановлена|установлений| АС, до місця можливого підключення ТЗР).
Зони r1 і|та| r1' для кожної АС визначаються інструментально-розрахунковим методом, і|та| їх значення вказуються|указують| в приписі|розпорядженні| на експлуатацію АС.
Для виникнення електричного ТКВІ необхідно, щоб:
- відстань від АС до випадкової антени була менше зони r1/r1';
- випадкова антена виходила за межі КЗ і мала гальванічне підключення ТЗР.
Спеціально створювані ТКВІ
Разом з|поряд| пасивними способами перехоплення інформації, що обробляється АС, розглянутими|розглядувати| вище, можливе використання і|та| активних способів, зокрема, способу ВЧ опромінення|опромінювання|, при якому АС опромінюється спрямованим потужним|могутнім| ВЧ сигналом. Для цих цілей використовується ВЧ генератор із|із| спрямованою|направленою| антеною, що має вузьку діаграму спрямованості. При взаємодії опромінюючого ЕМП з|із| елементами АС відбувається|походить| модуляція інформативним сигналом вторинного|повторного| ВЧ випромінювання АС. Приймальний пристрій ТЗР приймає перевипромінений ВЧ сигнал і виділяє з нього інформативний сигнал.
Для перехоплення інформації, що обробляється в АС, можливо також використання «закладних» електронних пристроїв перехоплення інформації|устро, потайно|скритний| впроваджених|упроваджувати| в технічні засоби|кошти| АС.
Перехоплена за допомогою «закладних» пристроїв|устроїв| інформація або безпосередньо передається по каналу зв'язку на приймальний пристрій ТЗР, або записується|занотовує| в спеціальний запам'ятовуючий пристрій|устрій|, та передається тільки|лише| за сигналом дистанційного керування.
Для передачі інформації на приймальний пристрій можуть використовуватися радіоканал, оптичний (інфрачервоний) канал або лінії електроживлення АС.
«Закладні» пристрої|устрої| впроваджуються|упроваджують| в АС для перехоплення інформації, що:
- вводиться|запроваджує| з клавіатури;
- виводиться на екран монітора;
- виводиться на принтер;
- записується на жорсткий диск.
«Закладні» пристрої|устрої|, як правило, складаються з|із| блоків перехоплення, обробки, передавання, дистанційного керування та|та| живлення|харчування| (перетворювача AC/DC). Блок дистанційного керування призначений для прийому сигналів дистанційного включення|вмикання,приєднання| й|та| виключення «закладки»|закладення| та|та| встановлення параметрів роботи передавального блоку. Приймальний комплекс ТЗР ПЕМВН складається з|із| радіоприймального пристрою|устрою|, модему, ноутбука і|та| спеціального програмного|програмового| забезпечення.
Апаратна «закладка»|закладення| для перехоплення зображень з екрану монітора потайно|скритний| встановлюється, як правило, в корпусі монітора (можливе встановлення|настанова| і|та| в системному блоці) та|та| контактно підключається до кабелю монітора.
Перехоплена інформація (відеозображення) в цифровому вигляді|вигляді| передається по радіоканалу, лінії електромережі або виділеній лінії на приймальний комплекс ТЗР, де перехоплене зображення відновлюється та|та| відображається на екрані комп'ютера в реальному масштабі часу, створюючи «копію» екрану, а додаткова інформація може записуватися|занотовувати| на жорсткий диск для подальшої|дальшої| обробки.
Апаратна «закладка»|закладення| для перехоплення інформації, що вводиться|запроваджує| з клавіатури (далі - кейлогер|), потайно|скритний| встановлюється в корпусі клавіатури або всередині|всередині| системного блоку та|та| підключається до інтерфейсу клавіатури. Вона є найпоширенішою «закладкою»|закладення| та|та| призначена в основному для перехоплення паролів користувачів і|та| текстових документів, що набирають на клавіатурі. Перехоплена інформація може передаватися по радіоканалу або записуватися|занотовувати| на флеш-пам’ять|.
Кейлогер з|із| передачею інформації по радіоканалу складається з|із| блоку перехоплення, передавального або запам'ятовуючого блоку та|та| блоку управління. Живлення|харчування| кейлогера| здійснюється від інтерфейсу клавіатури. Він має невеликі розміри і|та| важить декілька грам.
Блок перехоплення здійснює перехоплення сигналів, що передаються з клавіатури до системного блоку при натисненні клавіші. Перехоплені сигнали в цифровому вигляді|вигляді| передаються по радіоканалу (наприклад, Bluetooth) на приймальний комплекс ТЗР, де в реальному масштабі часу відновлюються та|та| відображаються на екрані комп'ютера у вигляді символів, що набираються на клавіатурі.
Апаратні кейлогери|, що здійснюють запис перехопленої інформації на флеш-пам’ять |, складаються з|із| датчика перехоплення сигналів, що передаються з клавіатури до системного блоку при натисненні клавіші, мікроконтроллера|мікроконтролера| та|та| флеш-пам’яті |.
Вони працюють під управлінням будь-якої операційної системи та|та| не вимагають додаткового живлення, оскільки|харчування| живл|харчування|яться від клавіатури АС. При об'ємі|обсязі| пам'яті 1 МГб забезпечується запис до двох мільйонів натиснень клавіш або 500 сторінок тексту. Записана на флеш-пам’ять інформація шифрується з використанням 128-бітового ключа|джерела|.
Кейлогери випускаються у вигляді перехідних роз'ємів або подовжувачів, що підключаються в розрив кабелів, які з’єднують|з'єднують| клавіатуру та|та| системний блок. Їх встановлення|настанова| не вимагає спеціальних навичок|навиків| і|та| може бути зроблено|виробляти,справляти,проводити| за декілька секунд. За наявності великої кількості різних|різноманітних| кабелів, підключених до системного блоку, виявити факт встановлення |настанови| кейлогера| досить важко.
Апаратна «закладка»|закладення| для перехоплення інформації, що виводиться на принтер, встановлюється в корпусі принтера та|та| за принципом роботи аналогічна «закладкам»|закладення||закладенням|, розглянутим|розглядувати| вище.
Апаратна «закладка»|закладення| для перехоплення інформації, що записується на жорсткий диск, є найбільш складною з|із| розглянутих|розглядувати| вище. Вона потайно|скритний| встановлюється в системному блоці та|та| контактно підключається через блок перехоплення до інтерфейсу, що з’єднує|з'єднує| жорсткий диск з|із| материнською платою.
Перехоплені сигнали поступають|надходять| у блок обробки, що включає спеціалізований процесор, де здійснюється їх обробка за спеціальною програмою. Файли з|із| заданим розширенням (наприклад, *.doc) записуються|занотовують| в оперативну або флеш-пам’ять.
За сигналом дистанційного керування записана в пам'яті інформація в цифровому вигляді|вигляді| по радіоканалу або лінії електромережі|сіті| передається на приймальний комплекс ТЗР, де у вигляді окремих файлів записується|занотовує| на жорсткий диск для подальшої|дальшої| обробки.
Таким чином, перехоплення інформації, що обробляється в АС, може здійснюватися шляхом|дорогою,колією|:
- перехоплення ПЕМВ, що виникають при роботі АС;
- перехоплення наведень інформативних сигналів з ліній електроживлення та|та| заземлення АС;
- перехоплення наведень інформативних сигналів із з’єднувальних ліній технічних засобів і|та| сторонніх провідників у приміщенні, де розташована АС;
- ВЧ опромінення засобів|опромінювання|»» АС;
- встановлення в засобах АС «закладних» пристроїв|устроїв|.
12.2. Захист інформації в АС від витоку каналами ПЕМВН
Для організації захисту ІзОД, що обробляється в АС, від витоку каналами ПЕМВН в Україні у 1995 році був розроблений нормативний документ ТР ЕОТ - 95 «Тимчасові рекомендації з ТЗІ у засобах обчислювальної техніки, АС і мережах від витоку каналами ПЕМВН», в якому вказані рекомендації щодо захисту від перехоплення:
- випромінювань технічних засобів АС;
- наведень на системи, що мають вихід за межі КЗ;
- колами заземлення;
- колами електроживлення.
Крім того, ТР ЕОТ - 95 надає рекомендації щодо застосування:
- екранувальних конструкцій;
- системи просторового зашумлення.
У 2007 році в Україні були розроблені нормативні документи серії «Захист інформації на об’єктах інформаційної діяльності (далі - ОІД)» щодо створення комплексу ТЗІ:
- НД ТЗІ 1.1-005-07 Створення комплексу ТЗІ. Основні положення;
- НД ТЗІ 2.1-002-07 Випробування комплексу ТЗІ. Основні положення;
- НД ТЗІ 3.1-001-07 Створення комплексу ТЗІ. Передпроектні роботи;
- НД ТЗІ 3.3-001-07 Створення комплексу ТЗІ. Порядок розроблення та впровадження заходів із захисту інформації.
Ці НД ТЗІ вимагають застосування у складі комплексу ТЗІ лише тих засобів захисту інформації, які мають сертифікат відповідності Системи УкрСЕПРО вимогам НД ТЗІ або позитивний висновок державної експертизи у сфері ТЗІ.
Застосування імпортних засобів захисту інформації можливе лише за умови відсутності вітчизняних аналогів за умови наявності відповідних техніко-економічних обґрунтувань і проведення їх сертифікації або одержання позитивного експертного висновку.
12.3. Створення комплексу технічного захисту інформації
Основні вимоги до порядку створення комплексу ТЗІ виписані у НД ТЗІ 1.1-005-07 «Захист інформації на ОІД. Створення комплексу ТЗІ. Основні положення».
Замовник (підрозділ установи) на створення комплексу ТЗІ разом із СЗІ готує та подає на затвердження керівнику установи-замовника:
- протокол про визначення вищого ступеня обмеження доступу до інформації;
- проект рішення щодо створення комплексу ТЗІ.
Створення комплексу ТЗІ передбачає такі основні етапи:
1) передпроектні роботи;
2) впровадження заходів захисту;
3) випробування комплексу ТЗІ.
1-й етап: передпроектні роботи
Він здійснюється згідно вимог НД ТЗІ 3.1-001-07 «Захист інформації на ОІД. Створення комплексу ТЗІ. Передпроектні роботи».
2-й етап: впровадження заходів захисту
Він здійснюється згідно вимог НД ТЗІ 3.3-001-07 «Захист інформації на ОІД. Створення комплексу ТЗІ. Порядок розроблення та впровадження заходів із захисту інформації».
3-й етап: випробування комплексу ТЗІ
Він здійснюється згідно вимог НД ТЗІ 2.1-002-07 «Захист інформації на ОІД. Випробування комплексу ТЗІ. Основні положення». Цей етап передбачає спочатку проведення випробувань, а після їх завершення - атестації комплексу ТЗІ.
Перший варіант обладнання для комплексу ТЗІ в АС класу 1
| Найменування обладнання | Вартість, грн. |
| Генератор ВЧ шуму комп’ютерний «РІАС-1К» | 7260 |
| Фільтр захисний протизавадний «ФЗП 103-2» | 5526 |
| Засіб захисту інформації від НСД «Рубіж-РСО» | 2730 |
| Всього | 13516 |
Другий варіант обладнання для комплексу ТЗІ в АС класу 1
| Найменування обладнання | Вартість, грн. |
| Генератор ВЧ шуму комп’ютерний «Базальт-5ГЕШ» | 7506 |
| Фільтр захисний протизавадний «ФЗП 103-1» | 6174 |
| Засіб захисту інформації від НСД «Лоза-1» | 2880 |
| Всього | 16560 |
Семестр 8 Модуль 2
13. 2-й етап - розробка політики безпеки інформації в ІТС
Під час другого етапу створення КСЗІ складаються такі документи:
- політика безпеки інформації;
- план захисту інформації;
- календарний план робіт із захисту інформації.
Виходячи з міжнародного досвіду та вимог міжнародних стандартів в області інформаційної безпеки розрізняють три типи політики безпеки.
1. Програмна політики безпеки є політикою вищої ланки управління в організації. Об’єктом є організація в цілому, за розробку і здійснення програмної політики несе відповідальність керівництво організації. Програмна політика визначає стратегічні напрямки забезпечення інформаційної безпеки.
2. Системно - орієнтована політика – це структура, склад, вимоги до окремих компонентів, процедур і функцій ІТС, етапу документування, які визначені вітчизняними нормативними документами.
3. Проблемно - орієнтована політика спрямована на вирішення окремих проблем або завдань в області забезпечення інформаційної безпеки. Існує ряд областей діяльності організації, для яких необхідно розробити окремі політики: фізичної безпеки, керування доступом, адміністрування, криптозахисту, антивірусного захисту, інтернет-доступу тощо.
Опис політики безпеки інформації в ІТС здійснюється згідно вимог додатку «Методичні вказівки щодо структури та змісту Плану захисту інформації в АС» до НД ТЗІ 1.4-001-2000 «Типове положення про СЗІ в АС», затверджується керівником організації-власника (розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту та Технічного завдання на створення КСЗІ.
На підставі Плану захисту складається «Календарний план робіт із захисту інформації в ІТС», який містить такі заходи:
організаційні;
контрольно-профілактичні;
інженерно-технічні;
кадрові.
Організаційні заходи - це комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення завдань захисту інформації шляхом регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення інформаційної діяльності та засобів (систем) забезпечення захисту інформації. До плану можуть включатись заходи щодо:
розробки документів (інструкцій, методик, правил, розпоряджень тощо) з різних напрямів захисту інформації в АС;
внесення змін та доповнень до чинних в АС документів з урахуванням зміни умов (обставин);
розробки та впровадження нових організаційних заходів з захисту інформації;
обгрунтування необхідності застосування та впровадження нових засобів захисту інформації;
координації робіт та взаємодії з іншими підрозділами організації або зовнішніми організаціями на всіх етапах життєвого циклу ІТС;
розгляду результатів виконання затверджених заходів та робіт з захисту інформації;
інші.
До контрольних заходів можуть бути віднесені:
контроль за виконанням персоналом (користувачами) вимог відповідних інструкцій, розпоряджень, наказів;
контроль за виконанням заходів, розроблених за результатами попередніх перевірок;
контроль за станом зберігання та використання носіїв інформації на робочих місцях;
інші.
До профілактичних слід відносити заходи, спрямовані на формування у персоналу (користувачів) мотивів поведінки, які спонукають їх до безумовного виконання у повному обсязі вимог режиму, правил проведення робіт тощо, а також на формування відповідного морально-етичного стану в колективі.
До інженерно-технічних слід відносити заходи, спрямовані на налагодження, випробування і введення в експлуатацію, супроводження і технічне обслуговування КЗЗ від НСД, засобів захисту інформації від загроз її витоку технічними каналами, інженерне обладнання споруд і приміщень, в яких розміщуються засоби обробки інформації, у тому числі в процесі капітального будівництва тощо.
Планування роботи з кадрами включає заходи з підбору та навчання персоналу (користувачів) встановленим правилам безпеки інформації, новим методам захисту інформації, підвищення їхньої кваліфікації. Навчання персоналу (користувачів) може здійснюватись власними силами, з залученням спеціалістів зовнішніх організацій або в інших організаціях. Навчання повинно здійснюватися за програмою, затвердженою керівництвом організації. Навчальні програми повинні мати теоретичний і практичний курси. Доцільність і необхідність включення до програм окремих розділів визначається особливостями ІТС і технологіями захисту інформації, що використовуються в ній, функціональними завданнями спеціалістів, що входять до складу навчальних груп та іншими чинниками.
1 ... 6 7 8 9 10 11 12 13 ... 26