1   2   3   4   5
Ім'я файлу: ПРАКТИЧНА РОБОТА №4 Звіт.docx
Розширення: docx
Розмір: 151кб.
Дата: 10.05.2022
скачати
Пов'язані файли:
вторгнення.docx

2. Основні засади технічного захисту інформації в Україні. 

ПОЛОЖЕННЯ

про технічний захист інформації в Україні

1. Це Положення  визначає  правові  та  організаційні  засади технічного  захисту  важливої  для  держави,  суспільства  і особи інформації,  охорона якої забезпечується  державою  відповідно  до законодавства.

Технічний захист   інформації   здійснюється   щодо   органів державної  влади,  органів   місцевого   самоврядування,   органів управління  Збройних  Сил  України  та інших військових формувань, утворених   згідно   із   законодавством   України,    відповідних підприємств,  установ,  організацій  (далі  -  органи,  щодо  яких здійснюється ТЗІ).

2. Ужиті в цьому Положенні терміни мають таке значення:

  • конфіденційність - властивість інформації бути захищеною  від несанкціонованого ознайомлення;

  • цілісність -   властивість   інформації  бути  захищеною  від несанкціонованого спотворення, руйнування або знищення;

  • доступність -  властивість  інформації  бути  захищеною   від несанкціонованого блокування;

  • технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення   інженерно-технічними заходами   конфіденційності, цілісності та доступності інформації;

  • інформаційна система  -  автоматизована система,  комп'ютерна мережа або система зв'язку;

  • дозвіл - документ,  що  надає  право  на  виконання  робіт  з технічного захисту інформації для власних потреб;

  • комплекс технічного  захисту  інформації - сукупність заходів та  засобів,  призначених  для   реалізації   технічного   захисту інформації в інформаційній системі або на об'єкті.

3. Правову  основу  технічного  захисту  інформації в Україні становлять Конституція України (  254к/96-ВР ),  закони  України, акти   Президента   України   та   Кабінету   Міністрів   України, нормативно-правові  акти  Служби  безпеки  України,  Адміністрації Державної   служби  спеціального  зв'язку  та  захисту  інформації України,  інших  державних  органів,  міжнародні договори України, згода  на  обов'язковість  яких  надана Верховною Радою України, з питань технічного захисту інформації, а також це Положення.

4. Державна політика технічного захисту інформації формується згідно   із   законодавством   і  реалізується  Державною  службою спеціального   зв'язку  та  захисту  інформації  України  (далі  - Держспецзв'язку   України)  у  взаємодії  з  органами,  щодо  яких здійснюється ТЗІ.

5. Організація технічного захисту інформації в органах,  щодо яких здійснюється ТЗІ, покладається на їх керівників.

6. Організаційно-технічні   принципи,   порядок    здійснення заходів  з  технічного захисту інформації,  порядок контролю у цій сфері,  характеристики загроз для інформації,  норми та  вимоги  з

технічного  захисту  інформації,  порядок  атестації та експертизи комплексів    технічного    захисту    інформації     визначаються нормативно-правовими  актами,  прийнятими  в установленому порядку відповідними органами.

Нормативно-правові акти з  технічного  захисту  інформації  є обов'язковими  для  виконання  всіма суб'єктами системи технічного захисту інформації.

7. Розроблення,  видання нормативно-правових актів  з  питань технічного   захисту  інформації,  а  також  роботи,  пов'язані  з розробленням  і  виконанням  загальнодержавних  програм   розвитку системи  технічного  захисту  інформації,  здійснюються за рахунок коштів  державного  бюджету  та  інших  джерел  фінансування,   не заборонених законодавством.

8. Суб'єктами системи технічного захисту інформації є:

  • Держспецзв'язку  України;

  • органи, щодо яких здійснюється ТЗІ;

  • науково-дослідні      та      науково-виробничі      установи Держспецзв'язку  України,  державні підприємства, що перебувають в управлінні  Держспецзв'язку України та виконують завдання з питань технічного  захисту  інформації; 

  • військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці,  які провадять діяльність з технічного   захисту  інформації  за  відповідними  дозволами  або ліцензіями;

  • навчальні заклади з підготовки,  перепідготовки та підвищення кваліфікації фахівців з технічного захисту інформації.

9. Основними завданнями органів, щодо яких здійснюється ТЗІ,є:

  • забезпечення технічного  захисту інформації згідно з вимогами нормативно-правових актів з питань технічного захисту інформації;

  • видання у межах своїх повноважень  нормативно-правових  актів із зазначених питань;

  • здійснення контролю за станом технічного захисту інформації.

10. Органи,   щодо   яких  здійснюється  ТЗІ,  відповідно  допокладених на них завдань:

  • створюють або  визначають  підрозділи,  на  які  покладається забезпечення  технічного  захисту  інформації  та контроль за його станом, узгоджують основні завдання та функції цих підрозділів;

  • видають   за  погодженням  з  Адміністрацією  Держспецзв'язку України   та   впроваджують   нормативно-правові   акти  з  питань технічного захисту інформації;

  • погоджують з Адміністрацією   Держспецзв'язку   України проведення  підприємствами,    установами,   організаціями тих науково-дослідних, дослідно-конструкторських і дослідно-технологічних робіт,    спрямованих    на    розвиток нормативно-правової    та   матеріально-технічної   бази   системи технічного  захисту інформації, які здійснюються за рахунок коштів державного бюджету;

  • створюють  або  визначають  за  погодженням  з Адміністрацією Держспецзв'язку  України підприємства, установи та організації, що забезпечують технічний захист інформації;

  • забезпечують підготовку,   перепідготовку    та    підвищення кваліфікації кадрів з технічного захисту інформації;

  • надають   Адміністрації   Держспецзв'язку   України  за  його запитами відомості про стан технічного захисту інформації.

11. Основними завданнями інших суб'єктів  системи  технічногозахисту інформації є:

  • дослідження загроз для інформації на об'єктах, функціонування яких пов'язано з інформацією, що підлягає охороні;

  • створення та  виробництво  засобів  забезпечення   технічного захисту інформації;

  • розроблення, впровадження,      супроводження      комплексів технічного захисту інформації;

  • підвищення кваліфікації   фахівців   з   технічного   захисту інформації.

12. Суб'єкти  системи  технічного  захисту  інформації  мають право співробітничати з підприємствами,  установами, організаціями іноземних держав,  які здійснюють аналогічну діяльність, на основі міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України, та інших актів законодавства України.

13. Матеріально-технічна   база  системи  технічного  захисту інформації складається з технічних засобів загального  призначення та спеціальних технічних засобів.

Технічні засоби загального призначення повинні мати документ, що засвідчує їх відповідність вимогам нормативно-правових актів  з технічного   захисту   інформації,   одержаний   у   порядку,   що встановлюється  Адміністрацією Держспецзв'язку України і Державним комітетом  України  з  питань  технічного регулювання та споживчої політики. 

14. Техніко-економічне обгрунтування, проектуваннябудівництва  та  реконструкції   об'єктів,   проведення   наукових досліджень  та  створення інформаційних систем,  зразків озброєнь, військової  та  спеціальної  техніки,  критичних   і   небезпечних технологій виконуються за завданнями, до яких включаються вимоги з технічного захисту інформації, якщо під час виконання передбачених завданням  робіт  та у процесі функціонування зазначених об'єктів, систем,  зразків і технологій  циркулюватиме  інформація,  охорона якої забезпечується державою.

Під час   віднесення   замовником  таких  робіт  до  особливо важливих  та  створення  інформаційних  систем  державних  органів завдання   та   результати  приймання  їх  етапів  погоджуються  з Адміністрацією Держспецзв'язку України. Фінансування створення цих систем здійснюється після такого погодження.

Витрати на заходи з технічного захисту інформації включаються до кошторисної вартості робіт.

15. Під час розроблення і впровадження заходів  з  технічного захисту     інформації    використовуються    засоби,    дозволені Адміністрацією   Держспецзв'язку   України   для  застосування  та включені до відповідних переліків.

16. Контроль  у сфері технічного захисту інформації полягає в перевірці    виконання    вимог     цього     Положення,     інших нормативно-правових актів  з  питань технічного захисту інформації та в  оцінюванні  захищеності  інформації  на  об'єкті,  де   вона циркулюватиме або циркулює.

Оцінювання захищеності    інформації    здійснюється   шляхом атестації або експертизи комплексів технічного захисту  інформації та   інспекційних   перевірок.   За   результатами  атестації  або експертизи комплексів технічного захисту  інформації  визначається можливість  введення  в  експлуатацію  об'єкта,  де  циркулюватиме інформація, охорона якої забезпечується державою.

17. Порядок експертизи та інспекційних перевірок  захищеності інформації визначається відповідними нормативно-правовими актами.

18. Розроблення,   впровадження,  атестація  та  експлуатація комплексів  технічного  захисту  інформації  для  власних   потреб здійснюються   відповідними   підрозділами   органів,   щодо  яких здійснюється  ТЗІ,  або  військовими  частинами,   підприємствами, установами,   організаціями,   на   які  в  установленому  порядку покладено забезпечення технічного захисту інформації, за наявності у них відповідного дозволу.

До виконання   цих   робіт   можуть  бути  залучені  суб'єкти підприємницької діяльності, що мають відповідні ліцензії.

Результати атестації  на державних об'єктах, віднесених замовником  до  особливо  важливих,  погоджуються з Адміністрацією Держспецзв'язку України.

19. Роботи  з  технічного захисту інформації в органах,  щодо яких  здійснюється  ТЗІ,  здійснюються  за  рахунок   коштів,   що виділяються   на  їх  утримання,  прибутку  та  інших  джерел,  не заборонених законодавством.

Керівники зазначених  органів  створюють  належні  умови  для контролю за забезпеченням технічного захисту інформації.

20. У  разі  порушення  вимог  щодо  забезпечення  технічного захисту   інформації   посадові   особи   та   громадяни    несуть відповідальність згідно із законодавством України.


3. Контроль за функціонуванням системи технічного захисту інформації

Положення

про контроль за функціонуванням системи технічного захисту інформації

1. Положення   про   контроль   за   функціонуванням  системи технічного захисту інформації (далі Положення) визначає  правові та   організаційні  засади  контролю  за  функціонуванням  системи технічного  захисту  інформації,  який   здійснюється   згідно   з Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27 вересня 1999 р. N 1229/99.

Положення поширюється  на  всі  суб'єкти  системи  технічного захисту інформації.

2. Ужиті в цьому Положенні терміни мають таке значення:

технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення   інженерно-технічними   заходами   конфіденційності, цілісності та доступності інформації;

система ТЗІ  -  сукупність  суб'єктів,  об'єднаних  цілями та завданнями  захисту  інформації   інженерно-технічними   заходами, нормативно-правова та їхня матеріально-технічна база;

    суб'єкти системи ТЗІ:

  • Департамент спеціальних  телекомунікаційних систем та захисту інформації Служби безпеки України;

  • органи державної   влади,  органи  місцевого  самоврядування, органи  управління  Збройних  Сил  України  та  інших   військових формувань,   утворених   згідно   із   законодавством,  відповідні підприємства,  установи та організації (далі - органи,  щодо  яких здійснюється ТЗІ);

  • державні наукові,   науково-дослідні   та   науково-виробничі підприємства,  установи  та  організації,  що  належать до системи Служби безпеки України і виконують завдання ТЗІ;

  • військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці,  які провадять діяльність з ТЗІ за відповідними дозволами або ліцензіями;

  • навчальні заклади з підготовки,  перепідготовки та підвищення кваліфікації фахівців з ТЗІ;

контрольована зона  -  територія,  на  якій  унеможливлюється несанкціоноване перебування сторонніх осіб;

модель загроз  -  формалізований  опис  методів  та   засобів здійснення загроз для інформації;

інформаційна система -  автоматизована  система,  комп'ютерна мережа або система зв'язку;

виділені приміщення - приміщення,  в яких циркулює інформація з обмеженим доступом;

контрольно-інспекційна робота  з  питань  ТЗІ  -  діяльність, спрямована на визначення та вдосконалення стану ТЗІ органів,  щодо яких здійснюється ТЗІ,  та на проведення  контролю  за  виконанням суб'єктами системи ТЗІ завдань або проведенням діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями;

атестація  виділених  приміщень  -  комплекс  спрямованих  на реалізацію  заходів з ТЗІ робіт, метою яких є приведення виділених приміщень у відповідність до вимог нормативних документів з ТЗІ та визначення   відповідності   захищеності виділеного   приміщення встановленій категорії;

порушення з ТЗІ - невиконання вимог нормативно-правових актів з  питань ТЗІ,  яке створює умови або реальну можливість порушення конфіденційності, цілісності або доступності інформації.

3. Контроль  за  функціонуванням  системи  ТЗІ здійснюється з метою визначення й удосконалення стану ТЗІ в  органах,  щодо  яких здійснюється  ТЗІ,  виявлення  та  запобігання  порушенням з ТЗІ в інформаційних системах та об'єктах.

4. Контроль   за   функціонуванням   системи  ТЗІ  в  державі здійснюється Департаментом спеціальних  телекомунікаційних  систем та  захисту  інформації  Служби  безпеки України (далі - ДСТСЗІ СБ України) шляхом організації та проведення  контрольно-інспекційної роботи з питань ТЗІ стосовно суб'єктів системи ТЗІ.

5. Контрольно-інспекційна  робота  з   питань   ТЗІ   включає планування  та проведення перевірок з ТЗІ (далі - перевірок) стану ТЗІ в органах,  щодо яких здійснюється ТЗІ,  проведення аналізу та надання рекомендацій щодо вдосконалення заходів з ТЗІ в зазначених органах та перевірок  з  ТЗІ  інших  суб'єктів  системи  ТЗІ  щодо виконання  ними завдань або провадження діяльності в цій галузі за відповідними дозволами та ліцензіями.

6. Перевірки  поділяються на комплексні,  цільові (тематичні) та контрольні.

При комплексній перевірці вивчається та оцінюється стан ТЗІ в органах, щодо яких здійснюється ТЗІ.

При цільовій   (тематичній)   перевірці   вивчаються   окремі напрямки  ТЗІ,  перевіряється  виконання   рішень (розпоряджень, наказів, вказівок) органів державної влади з питань ТЗІ в органах, щодо яких здійснюється  ТЗІ,  виконання  завдань  або  провадження діяльності  в  галузі  ТЗІ за відповідними дозволами та ліцензіями суб'єктами системи ТЗІ.

При контрольній  перевірці  перевіряється усунення недоліків, які були виявлені під час проведення попередньої  комплексної  або цільової  перевірки  (контрольні перевірки проводяться за потреби, як правило, не раніше ніж через рік після попередньої перевірки).

Зазначені перевірки можуть бути  планові  та  позапланові,  з попередженням та раптові.

7. Позапланова   перевірка    здійснюється    за    вказівкою керівництва ДСТСЗІ СБ України в разі виникнення потреби визначення повноти  та  достатності  заходів  з  ТЗІ  в  органі,  щодо  якого здійснюється   ТЗІ,   стану виконання  завдань  або  провадження діяльності в галузі ТЗІ за відповідними  дозволами  та  ліцензіями іншими  суб'єктами  системи  ТЗІ,  за  наявності  відомостей  щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ.

8. Перевірки  здійснюються  комісіями  підрозділу  ДСТСЗІ  СБ України,  на який  покладено  виконання  завдань  щодо  здійснення контролю за функціонуванням системи ТЗІ.

9. Керівництво суб'єкта системи ТЗІ,  щодо якого здійснюється перевірка,  повідомляється  про проведення перевірки за десять діб до її початку (за винятком проведення раптової перевірки).

10. Підставою  для  допуску  членів  комісії  до  перевірки є наявність   відповідних   документів   (приписів) за    підписом керівництва ДСТСЗІ СБ України.

У тексті зазначених документів вказуються підстави проведення перевірки,   кількість   членів   комісії   та  ступінь  таємності інформації, до якої вони допускаються для ознайомлення.

11. При  проведенні  перевірки  стану ТЗІ контролю підлягають організаційні,  організаційно-технічні,  технічні заходи з  ТЗІ  у виділених приміщеннях,  інформаційних системах і об'єктах, повнота та достатність робіт з атестації виділених приміщень.

12. Контроль  організаційних  заходів  з  ТЗІ в органі,  щодо якого здійснюється ТЗІ, включає перевірку:

    - переліку відомостей, що підлягають технічному захисту;

    - окремої  моделі  загроз  для  інформаційної   системи   або об'єкта;

    - плану контрольованої зони органу,  щодо якого  здійснюється ТЗІ;

    - переліку   виділених   приміщень   органу,    щодо    якого здійснюється ТЗІ, інформаційних систем та об'єктів;

    - проведення категоріювання виділених приміщень та об'єктів.

Організаційні заходи   з   ТЗІ  виконуються  власними  силами органу, щодо якого здійснюється ТЗІ.

Контроль організаційно-технічних і технічних заходів щодо ТЗІ у  виділених  приміщеннях,  інформаційних  системах  та  об'єктах, повноти  та  достатності  робіт  з  атестації  виділених приміщень включає  перевірку  відповідності   виконання   цих   заходів   до нормативно-правових актів з питань ТЗІ.

Організаційно-технічні й технічні заходи з  ТЗІ  у  виділених приміщеннях,   інформаційних   системах   та  об'єктах,  роботи  з атестації виділених приміщень виконуються власними силами  органу, щодо   якого  здійснюється  ТЗІ,  або  суб'єктами  підприємницької діяльності в галузі ТЗІ.

13. За    результатами    комплексної    перевірки   комісією складається  акт  перевірки  стану  та  ефективності заходів   з технічного   захисту   інформації   (додається), а  цільової  та контрольної перевірки - довідка (за довільною формою).

Ознайомлення керівника   суб'єкта   системи   ТЗІ   з   актом (довідкою) здійснюється під розпис.

14. Керівник    органу,    щодо   якого   здійснюється   ТЗІ, зобов'язаний ужити невідкладних заходів щодо усунення недоліків  і реалізації     пропозицій     комісії    відповідно    до    вимог нормативно-правових актів з питань ТЗІ. Повідомлення про виконання пропозицій  і усунення недоліків надсилається до підрозділу ДСТСЗІ СБ України,  на якого покладено виконання завдань щодо контролю за функціонуванням   системи   ТЗІ,  у  строки,  встановлені  в  акті (довідці) перевірки.

15. Порушення встановлених норм та вимог з ТЗІ,  виявлені підчас проведення перевірок, поділяються на три категорії:

    - перша  -  невиконання норм та вимог з ТЗІ,  внаслідок якого створюється   реальна   можливість   порушення   конфіденційності, цілісності  й  доступності  інформації  або  її  витоку технічними каналами;

    - друга  -  невиконання норм та вимог з ТЗІ,  внаслідок якого створюються передумови для порушення конфіденційності,  цілісності і доступності інформації або її витоку технічними каналами;

    - третя - невиконання інших вимог з ТЗІ.

16. У  разі  виявлення  порушення  першої  категорії вживаютьтаких заходів:

    - голова  комісії негайно доповідає керівництву органу,  щодо якого здійснюється  ТЗІ,  для  прийняття  рішення  про  припинення робіт,  які проводились з порушенням норм і вимог ТЗІ, та про факт порушення повідомляє ДСТСЗІ СБ України;

    - здійснюються   заходи   з   усунення  порушень  у  терміни, погоджені з підрозділом, на який покладено забезпечення ТЗІ;

    - організовується   в   установленому  порядку  розслідування причин,  які призвели  до  порушень,  з  метою  недопущення  їх  у подальшому   і   притягнення   осіб,   які   припустили  порушення нормативно-правових актів з питань ТЗІ, до відповідальності згідно із законодавством України;

    - повідомляються ДСТСЗІ СБ України та вищий орган, щодо якого здійснюється ТЗІ, про заходи, вжиті з метою усунення порушення.

17. Дозвіл на відновлення робіт,  під час виконання яких були виявлені порушення норм і вимог ТЗІ першої категорії, дає керівник органу,  щодо якого здійснюється ТЗІ,  за погодженням з ДСТСЗІ  СБ України   після   усунення  порушень  і  перевірки  достатності  й ефективності вжитих заходів з ТЗІ.

18. Керівництво   органу,   щодо   якого   здійснюється  ТЗІ, зобов'язано   надавати   комісії   повну    інформацію    стосовно впроваджених заходів з ТЗІ та сприяти проведенню їх перевірки.

19. В  органах,  щодо  яких  здійснюється  ТЗІ,  відповідними підрозділами,  на які покладається забезпечення ТЗІ в цих органах, здійснюється відомчий контроль заходів з ТЗІ.

Відповідальність за  організацію  та контроль заходів з ТЗІ в органах,  щодо  яких  здійснюється   ТЗІ,   покладається   на   їх керівників.

20. В органах, щодо яких здійснюється ТЗІ, контроль стану ТЗІ організується   відповідно  до  планів,  затверджених  керівниками зазначених органів, шляхом проведення перевірок.

Перевірки стану ТЗІ здійснюються безпосередньо комісіями підрозділів, на які покладається забезпечення ТЗІ.

Організація проведення перевірок стану ТЗІ, заходи з ТЗІ, які підлягають контролю,  висновки та  рекомендації  визначаються  цим Положенням та іншими нормативно-правовими актами з питань ТЗІ.

21.  ДСТСЗІ СБ України за результатами перевірок здійснюється аналіз та узагальнення стану ТЗІ в державі.

22. Керівництво суб'єкта системи ТЗІ, щодо якого здійснюється перевірка,  має  право  оскарження результатів перевірки згідно із законодавством України.


1   2   3   4   5

скачати

© Усі права захищені
написати до нас