Лекція №5 Захист інформації у автоматизованих системах (АС)



Скачати 47,75 Kb.
Дата конвертації14.02.2017
Розмір47,75 Kb.

Лекція №5

Закон України "Про захист інформації в автоматизованих системах" від 05.07.1994 року (внесені зміни, 2005, Закон України «Про внесення змін до Закону України "Про захист інформації в автоматизованих системах»).

  • Метою цього Закону є встановлення основ регулювання правових відносин щодо захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію та права доступу до неї, права власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації. Дія Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.

Закон визначає:

  • Закон визначає:
  • Відносини між суб'єктами в процесі обробки інформації в АС.
  • Загальні вимоги щодо захисту інформації в АС.
  • Організація захисту інформації в АС.
  • Відповідальність за порушення закону про захист інформації в АС.
  • Міжнародну діяльність в галузі захисту інформації в АС.

Автоматизована система (АС) - система, що здійснює автоматизовану обробку даних і до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення;

  • Автоматизована система (АС) - система, що здійснює автоматизовану обробку даних і до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення;
  • Інформація в АС - сукупність усіх даних і програм, які використовуються в АС незалежно від засобу їх фізичного та логічного представлення;
  • Обробка інформації - вся сукупність операцій (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних;
  • Захист інформації - сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи АС та осіб, які користуються інформацією;
  • Несанкціонований доступ - доступ до інформації, що здійснюється з порушенням встановлених в АС правил розмежування доступу;
  • Розпорядник АС - фізична або юридична особа, яка має право розпоряджання АС за угодою з її власником або за його дорученням;

Персонал АС - фізичні особи, яких власник АС або уповноважена ним особа чи розпорядник АС визначили для здійснення функцій управління та обслуговування АС; користувач АС - фізична або юридична особа, яка має право використання АС за угодою із розпорядником АС;

  • Персонал АС - фізичні особи, яких власник АС або уповноважена ним особа чи розпорядник АС визначили для здійснення функцій управління та обслуговування АС; користувач АС - фізична або юридична особа, яка має право використання АС за угодою із розпорядником АС;
  • Порушник - фізична або юридична особа, яка навмисно чи ненавмисно здійснює неправомірні дії щодо АС та інформації в ній;
  • Витік інформації - результат дій порушника, внаслідок яких інформація стає відомою (доступною) суб'єктам, що не мають права доступу до неї;
  • Втрата інформації - дія, внаслідок якої інформація в АС перестає існувати для фізичних або юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі;
  • Підробка інформації - навмисні дії, що призводять до перекручення інформації, яка повинна оброблятися або зберігатися в АС;
  • Блокування інформації - дії, наслідком яких є припинення доступу до інформації;
  • Порушення роботи АС -- дії або обставини, які призводять до спотворення процесу обробки інформації

Об'єктами захисту є інформація, що обробляється в АС, права власників цієї інформації та власників АС, права користувача. Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.

  • Об'єктами захисту є інформація, що обробляється в АС, права власників цієї інформації та власників АС, права користувача. Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.
  • Суб'єктами відносин, пов'язаних з обробкою інформації в АС, є:
  • власники інформації чи уповноважені ними особи;
  • власники АС чи уповноважені ними особи;
  • користувачі інформації;
  • користувачі АС.

Захист інформації в АС забезпечується шляхом:

  • Захист інформації в АС забезпечується шляхом:
  • дотримання суб'єктами правових відносин норм, вимог та правил організаційного і технічного характеру щодо захисту оброблюваної інформації;
  • використання засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку і АС в цілому, засобів захисту інформації, які відповідають встановленим вимогам щодо захисту інформації (мають відповідний сертифікат);
  • перевірки відповідності засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку і АС в цілому встановленим вимогам щодо захисту інформації (сертифікація засобів обчислювальної техніки, засобів зв'язку і АС);
  • здійснення контролю щодо захисту інформації.
  • Встановлення вимог і правил щодо захисту інформації
  • Вимоги і правила щодо захисту інформації, яка є власністю держави, або інформації, захист якої гарантується державою, встановлюються державним органом, уповноваженим Кабінетом Міністрів України.

Умови обробки інформації

  • Умови обробки інформації
  • Інформація, яка є власністю держави, або інформація, захист якої гарантується державою, повинна оброблятись в АС, що має відповідний сертифікат (атестат) захищеності, в порядку, який визначається уповноваженим Кабінетом Міністрів України органом.
  • У процесі сертифікації (атестації) цих АС здійснюються також перевірка, сертифікація (атестація) розроблених засобів захисту інформації.

Політика в галузі захисту інформації в АС визначається Верховною Радою України.

Уповноважений Кабінетом Міністрів України орган здійснює управління захистом інформації шляхом:

  • проведення єдиної технічної політики щодо захисту інформації;
  • розроблення концепції, вимог, нормативно-технічних документів і науково-методичних рекомендацій щодо захисту інформації в АС;
  • затвердження порядку організації, функціонування та контролю за виконанням заходів, спрямованих на захист оброблюваної в АС інформації, яка є власністю держави, а також рекомендацій щодо захисту інформації - власності юридичних та фізичних осіб;

організації випробувань і сертифікації засобів захисту інформації в АС, в якій здійснюється обробка інформації, яка є власністю держави;

  • організації випробувань і сертифікації засобів захисту інформації в АС, в якій здійснюється обробка інформації, яка є власністю держави;
  • створення відповідних структур для захисту інформації в АС;
  • проведення атестації сертифікаційних (випробувальних) органів, центрів і лабораторій, видачі ліцензії на право проведення сервісних робіт в галузі захисту інформації в АС;

здійснення контролю захищеності оброблюваної в АС інформації, яка є власністю держави;

  • здійснення контролю захищеності оброблюваної в АС інформації, яка є власністю держави;
  • визначення порядку доступу осіб і організацій зарубіжних держав до інформації в АС, яка є власністю держави, або до інформації - власності фізичних та юридичних осіб, щодо поширення і використання якої державою встановлено обмеження.

Типове положення про службу захисту інформації в автоматизованій системі НД ТЗІ 1.4-001-2000 Положення є нормативним документом організації (АС) і визначає завдання, функції, штатну структуру СЗІ, повноваження та відповідальність співробітників служби, взаємодію з іншими підрозділами організації та зовнішніми організаціями

Положення складається з таких розділів:

  • Положення складається з таких розділів:
  • загальні положення;
  • завдання служби захисту інформації;
  • функції служби захисту інформації;
  • повноваження і відповідальність служби захисту інформації;
  • взаємодія служби захисту інформації з іншими підрозділами організації та
  • зовнішніми підприємствами, установами, організаціями;
  • штатний розклад та структура служби захисту інформації;
  • організація робіт служби захисту інформації;
  • фінансування служби захисту інформації.

Метою створення СЗІ є організаційне забезпечення завдань керування комплексною системою захисту інформації (КСЗІ) в АС та здійснення контролю за її функціонуванням.

  • Метою створення СЗІ є організаційне забезпечення завдань керування комплексною системою захисту інформації (КСЗІ) в АС та здійснення контролю за її функціонуванням.
  • На СЗІ покладається виконання робіт з визначення вимог з захисту інформації в АС, проектування, розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в АС.

Правову основу

  • Правову основу
  • для створення і діяльності СЗІ становлять
  • Закон України «Про захист інформації в автоматизованих системах»,
  • «Положення про технічний захист інформації в Україні»,
  • «Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах».

Завданнями СЗІ є:

  • Завданнями СЗІ є:
  • захист законних прав щодо безпеки інформації організації, окремих її структурних підрозділів, персоналу в процесі інформаційної діяльності та взаємодії між собою, а також у взаємовідносинах з зовнішніми вітчизняними і закордонними організаціями;
  • дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;
  • організація та координація робіт, пов’язаних з захистом інформації в АС, необхідність захисту якої визначається її власником або чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;
  • розроблення проектів нормативних і розпорядчих документів, чинних у межах організації, згідно з якими повинен забезпечуватися захист інформації в АС;

організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу АС;

  • організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу АС;
  • участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів АС з питань захисту інформації;
  • формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів, що стосуються сфери захисту інформації;
  • організація забезпечення виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів з захисту інформації в АС та проведення контрольних перевірок їх виконання.

Функції служби захисту інформації

  • Функції служби захисту інформації
  • Функції під час створення комплексної системи захисту інформації:
  • визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об’єктів захисту в АС, класифікація інформації за вимогами до її конфіденційності або важливості для організації, необхідних рівнів захищеності інформації,
  • визначення порядку введення (виведення), використання та розпорядження інформацією в АС;
  • розробка та коригування моделі загроз і моделі захисту інформації в АС, політики безпеки інформації в АС;
  • визначення і формування вимог до КСЗІ;
  • організація і координація робіт з проектування та розробки КСЗІ,
  • безпосередня участь у проектних роботах з створення КСЗІ.

Функції під час експлуатації комплексної системи захисту інформації:

  • Функції під час експлуатації комплексної системи захисту інформації:
  • організація процесу керування КСЗІ;
  • розслідування випадків порушення політики безпеки ,небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій;
  • вжиття заходів у разі виявлення спроб НСД до ресурсів АС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;
  • забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

організація керування доступом до ресурсів АС (розподілення між користувачами необхідних реквізитів захисту інформації – паролів, привілеїв, ключів та ін.);

  • організація керування доступом до ресурсів АС (розподілення між користувачами необхідних реквізитів захисту інформації – паролів, привілеїв, ключів та ін.);
  • супроводження і актуалізація бази даних захисту інформації (матриці доступу,класифікаційні мітки об’єктів, ідентифікатори користувачів тощо);
  • спостереження (реєстрація і аудит подій в АС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;
  • підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в АС, впровадження нових технологій захисту і модернізації КСЗІ.

Функції з організації навчання персоналу з питань забезпечення захисту інформації:

  • Функції з організації навчання персоналу з питань забезпечення захисту інформації:
  • розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу АС;
  • розроблення спеціальних програм навчання, які б враховували особливості технології обробки інформації в організації (АС), необхідний рівень її захищеності та ін.;
  • участь в організації і проведенні навчання користувачів і персоналу АС правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами;
  • взаємодія з державними органами, учбовими закладами, іншими організаціями з питань навчання та підвищення кваліфікації;
  • участь в організації забезпечення навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, нормативними документами, методичною літературою та ін.

Відповідальність за діяльність СЗІ покладається на її керівника.

  • Відповідальність за діяльність СЗІ покладається на її керівника.
  • Керівник СЗІ відповідає за:
  • організацію робіт з захисту інформації в АС, ефективність захисту інформації відповідно до діючих нормативно-правових актів;
  • своєчасне розроблення і виконання “Плану захисту інформації в автоматизованій системі”;
  • якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у Положенні, посадових інструкціях, а також планових заходів з захисту інформації, затверджених керівником організації;
  • координацію планів діяльності підрозділів та служб АС (організації) з питань захисту інформації;
  • створення системи навчання співробітників, користувачів, персоналу АС з питань захисту інформації;
  • виконання особисто та співробітниками СЗІ розпоряджень керівника організації, правил внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та протипожежної охорони.

Штатний розпис та структура СЗІ

  • В залежності від обсягів і особливостей завдань СЗІ до її складу можуть входити спеціалісти (групи спеціалістів, підрозділи та ін.) різного фаху:
  • спеціалісти з питань захисту інформації від витоку технічними каналами;
  • спеціалісти з питань захисту каналів зв’язку і комутаційного обладнання,
  • спеціалісти з налагодження і керування активним мережевим обладнанням;
  • спеціалісти з питань адміністрування засобів захисту, керування базами даних захисту;
  • спеціалісти з питань захищених технологій обробки інформації.

За посадами співробітники СЗІ поділяються на такі категорії (за рівнем ієрархії):

  • За посадами співробітники СЗІ поділяються на такі категорії (за рівнем ієрархії):
    • керівник СЗІ;
    • адміністратори захисту (безпеки баз даних, безпеки системи тощо);
    • спеціалісти служби захисту.

Додаток (рекомендований) Методичні вказівки щодо структури та змісту Плану захисту інформації в автоматизованій системі

План захисту інформації в АС розробляється на підставі проведеного аналізу технології обробки інформації, аналізу ризиків, сформульованої політики безпеки інформації.

  • План захисту інформації в АС розробляється на підставі проведеного аналізу технології обробки інформації, аналізу ризиків, сформульованої політики безпеки інформації.
  • План захисту визначає і документально закріплює об’єкт захисту інформації в АС, основні завдання захисту, загальні правила обробки інформації в АС, мету побудови та функціонування КСЗІ, заходи з захисту інформації.
  • План захисту має фіксувати на певний момент часу склад АС, перелік оброблюваних відомостей, технологію обробки інформації, склад комплексу засобів захисту інформації, склад необхідної документації та ін.

План захисту повинен складатись з наступних розділів:

  • План захисту повинен складатись з наступних розділів:
  • завдання захисту інформації в АС;
  • класифікація інформації, що обробляється в АС;
  • опис компонентів АС та технології обробки інформації;
  • загрози для інформації в АС;
  • політика безпеки інформації в АС;
  • система документів з забезпечення захисту інформації в АС.

Завдання захисту інформації в АС

  • забезпечення визначених політикою безпеки властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації АС;
  • своєчасне виявлення та знешкодження загроз для ресурсів АС, причин та умов, які спричиняють (можуть привести до) порушення її функціонування та розвитку;
  • створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні АС;
  • ефективне знешкодження (попередження) загроз для ресурсів АС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;

керування засобами захисту інформації, керування доступом користувачів до ресурсів АС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби НСД до ресурсів АС;

  • керування засобами захисту інформації, керування доступом користувачів до ресурсів АС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби НСД до ресурсів АС;
  • реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації;
  • створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків порушення безпеки на функціонування АС.

Класифікація інформації, що обробляється в АС

  • За режимом доступу інформація в АС має бути поділена на:
  • відкриту;
  • з обмеженим доступом.
  • За правовим режимом інформація з обмеженим доступом повинна бути поділена на
  • таємну;
  • конфіденційну.

Опис компонентів АС та технології обробки інформації

  • обладнання - ЕОМ та їхні складові частини (процесори, монітори, термінали,робочі станції та ін.), периферійні пристрої;
  • програмне забезпечення - вихідні, завантажувальні модулі, утиліти, СКБД, операційні системи та інші системні програми, діагностичні і тестові програми тощо;
  • дані - тимчасового і постійного зберігання, на магнітних носіях, друковані, архівні і резервні копії, системні журнали, технічна, експлуатаційна і розпорядча документація та ін.;
  • персонал і користувачі АС.

Загрози для інформації в АС

  • Необхідно визначити, якими з можливих способів можуть здійснюватися загрози в АС:
  • технічними каналами, що включають канали побічних електромагнітних
  • випромінювань і наводок, акустичні, оптичні, радіо - та радіотехнічні, хімічні та інші канали;
  • каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
  • несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.

Способи здійснення загроз в АС

Загрози для інформації, що обробляється в АС, залежать від характеристик ОС, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну природу. Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та навмисні.

  • Загрози для інформації, що обробляється в АС, залежать від характеристик ОС, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну природу. Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та навмисні.
  • Типи загроз
  • зміна умов фізичного середовища (стихійні лиха і аварії, як землетрус, повінь, пожежа або інші випадкові події);
  • збої і відмови у роботі обладнання та технічних засобів АС;
  • наслідки помилок під час проектування та розробки компонентів АС (технічних засобів, технології обробки інформації, програмних засобів, засобів захисту, структур даних тощо);
  • помилки персоналу (користувачів) АС під час експлуатації;
  • навмисні дії (спроби) потенційних порушників.

Класифікація загроз в АС

Модель порушника повинна визначати:

  • Модель порушника повинна визначати:
  • можливу мету порушника та її градацію за ступенями небезпечності для АС;
  • категорії осіб, з числа яких може бути порушник;
  • припущення про кваліфікацію порушника;
  • припущення про характер його дій.

Політика безпеки інформації в АС

  • Під політикою безпеки інформації слід розуміти набір вимог, правил, обмежень, рекомендацій і т. ін., які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.

Принципи реалізації політики безпеки в АС

Роботи по розробленню політики безпеки

Система документів з забезпечення захисту інформації в АС

  • законами України, іншими нормативно-правовими актами України;
  • державними стандартами та іншими нормативними документами з стандартизації;
  • нормативно-правовими актами і нормативними документами системи технічного захисту інформації в Україні;
  • нормативними документами, що містять вимоги з захисту інформації в АС міністерств та інших центральних органів виконавчої влади, чинність яких поширюється на сферу управління цього органу;
  • нормативними, організаційно-розпорядчими та іншими документами, чинними у межах АС або організації.

На підставі Плану захисту інформації в АС складається календарний план робіт з реалізації заходів захисту інформації в АС, який може мати такі розділи:

  • На підставі Плану захисту інформації в АС складається календарний план робіт з реалізації заходів захисту інформації в АС, який може мати такі розділи:
  • організаційні заходи;
  • контрольно-правові заходи;
  • профілактичні заходи;
  • інженерно-технічні заходи.
  • робота з кадрами.

КАБІНЕТ МІНІСТРІВ УКРАЇНИ ПОСТАНОВА від 4 лютого 1998 р. N 121 Етапи робіт під час проектування, впровадження та експлуатації систем і засобів автоматизованої обробки та передачі даних

Техніко-економічне обґрунтування необхідності створення системи або розробки засобу автоматизованої обробки та передачі даних.

  • Техніко-економічне обґрунтування необхідності створення системи або розробки засобу автоматизованої обробки та передачі даних.
  • Розробка технічного завдання на створення системи або засобу автоматизованої обробки та передачі даних.
  • Розробка технічного проекту системи або технічної і нормативної документації на засіб автоматизованої обробки та передачі даних.
  • Підготовка персоналу, який повинен забезпечувати функціонування системи.
  • Виконання пусконалагоджувальних робіт.
  • Проведення випробувань з приймання системи.
  • Виконання робіт відповідно до гарантійних зобов'язань.
  • Післягарантійне обслуговування системи.


База даних захищена авторським правом ©vaglivo.org 2016
звернутися до адміністрації

    Головна сторінка