Повноваження та відповідальність служби захисту інформації.

ЗІ має право: здійснювати контроль за діяльністю будь-якого структурного підрозділу організації (АС); подавати керівництву організації пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки, тощо; проводити службові розслідування у випадках виявлення порушень; отримувати доступ до робіт та документів структурних підрозділів організації (АС);

СЗІ зобов’язана: перевіряти відповідність прийнятих в АС правил, інструкцій щодо обробки інформації; здійснювати контрольні перевірки стану захищеності інформації в АС; брати участь у проведенні вищими органами перевірок стану захищеності інформації в АС; негайно повідомляти керівництво АС про виявлені атаки та викритих порушників;

Відповідальність

Відповідальність за діяльність СЗІ покладається на її керівника. Керівник СЗІ відповідає за: організацію робіт з захисту інформації в АС, ефективність захисту інформації відповідно до діючих нормативно-правових актів; своєчасне розроблення і виконання “Плану захисту інформації в автоматизованій системі”;

Співробітники СЗІ відповідають за: додержання вимог нормативних документів; повноту та якість розроблення і впровадження організаційно-технічних заходів з захисту інформації в АС; дотримання термінів проведення контрольних, інспекційних, перевірочних та інших заходів з оцінки стану захищеності інформації в АС;

Завдання захисту інформації в АС: забезпечення визначених політикою безпеки властивостей інформації під час створення та експлуатації АС; своєчасне виявлення та знешкодження загроз для ресурсів АС; створення механізму та умов оперативного реагування на загрози для безпеки інформації; ефективне знешкодження (попередження) загроз для ресурсів АС; керування засобами захисту інформації, керування доступом користувачів до ресурсів АС; реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації; створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб.

План захисту інформації в автоматизованій системі (НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі). Класифікація інформації, що обробляється та опис компонентів АС і технології обробки інформації. Загрози інформації в АС. Модель порушника в АС. Політика безпеки інформації в АС.

План захисту інформації в АС є сукупністю документів, згідно з якими здійснюється організація захисту інформації на всіх етапах життєвого циклу АС. В окремих випадках план захисту інформації в АС може оформлятися одним документом.

Класифікація інформації, що обробляється в АС

1.За режимом доступу інформація в АС має бути поділена на: відкриту; з обмеженим доступом. Відкриту інформацію слід поділити на відкриту, яка не потребує захисту або захист якої забезпечувати недоцільно, та відкриту, яка такого захисту потребує. До другої слід відносити інформацію, важливу для особи, суспільства і держави (відповідно до Концепції технічного захисту інформації в Україні), важливі для організації відомості, порушення цілісності або доступності яких може призвести до моральних чи матеріальних збитків.

2.За правовим режимом інформація з обмеженим доступом повинна бути поділена на таємну та конфіденційну. До таємної інформації має бути віднесена інформація, що містить відомості, які становлять державну, а також іншу, передбачену законом таємницю. Інформація, що становить державну таємницю, в свою чергу, поділяється на категорії відповідно до Закону України “Про державну таємницю”.

3.За типом її представлення в АС (для кожної з визначених категорій встановлюються типи пасивних об’єктів комп’ютерної системи, якими вона може бути представлена).

Опис компонентів АС та технології обробки інформації

1.Повинна бути проведена інвентаризація усіх компонентів АС і зафіксовані всі активні і пасивні об’єкти, які беруть участь у технологічному процесі. До об'єктів, що підлягають інвентаризації, можуть бути віднесені: обладнання - ЕОМ та їхні складові частини, периферійні пристрої; програмне забезпечення; дані - тимчасового і постійного зберігання; персонал і користувачі АС.

2.Необхідно дати опис технології обробки інформації в АС, що потребує захисту, тобто способів і методів застосування засобів обчислювальної техніки.

Загрози для інформації в АС

Загрози для інформації, що обробляється в АС, залежать від характеристик ОС, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну природу. Необхідно визначити перелік можливих загроз і класифікувати їх за результатом впливу на інформацію, тобто на порушення яких властивостей вони спрямовані (конфіденційності, цілісності та доступності інформації).

Модель порушника повинна визначати: можливу мету порушника; категорії осіб, з числа яких може бути порушник; припущення про кваліфікацію порушника; припущення про характер його дій. Метою порушника можуть бути: отримання необхідної інформації у потрібному обсязі та асортименті; мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами; нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.

Політика безпеки інформації в АС Під політикою безпеки інформації слід розуміти набір вимог, правил, обмежень, рекомендацій, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Під час розробки політики безпеки повинні бути враховані технологія обробки інформації, моделі порушників і загроз, особливості ОС, фізичного середовища та інші чинники. В АС може бути реалізовано декілька різних політик безпеки, які істотно відрізняються. Методологія розроблення політики безпеки включає в себе наступні роботи: розробка концепції безпеки інформації в АС; аналіз ризиків; визначення вимог до заходів, методів та засобів захисту; вибір основних рішень з забезпечення безпеки інформації; організація виконання відновлювальних робіт і забезпечення неперервного функціонування АС; документальне оформлення політики безпеки.

НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. Класифікація автоматизованих систем. Підкласи автоматизованих систем. Семантика профілю. Критерії конфіденційності, цілісності, доступності та спостереженості. Критерії гарантій.

Мета введення класифікації АС і стандартних функціональних профілів захищеності — полегшення задачі співставлення вимог до КЗЗ обчислювальної системи АС з характеристиками АС.

Клас «1» — одномашинний однокористувачевий комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності. Істотні особливості: в кожний момент часу з комплексом може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька, але всі вони повинні мати однакові повноваження (права) щодо доступу до інформації, яка оброблюється; технічні засоби (носії інформації і засоби У/В) з точки зору захищеності відносяться до однієї категорії і всі можуть використовуватись для збереження і/або У/В всієї інформації. Приклад — автономна персональна ЕОМ, доступ до якої контролюється з використанням організаційних заходів.

Клас «2» — локалізований багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього класу — наявність користувачів з різними повноваженнями по доступу і/або технічних засобів, які можуть одночасно здійснювати обробку інформації різних категорій конфіденційності. Приклад — ЛОМ.

Клас «3» — розподілений багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього класу — необхідність передачі інформації через незахищене середовище або, в загальному випадку, наявність вузлів, що реалізують різну політику безпеки. Приклад — глобальна мережа.

В кожному класі АС виділяються такі підкласи:

автоматизована система, в якій підвищені вимоги до — забезпечення конфіденційності оброблюваної інформації (підкласи «х. К»);

автоматизована система, в якій підвищені вимоги до — забезпечення цілісності оброблюваної інформації (підкласи «х.Ц»);

автоматизована система, в якій підвищені вимоги до — забезпечення доступності оброблюваної інформації (підкласи «х.Д»);

автоматизована система, в якій підвищені вимоги до — забезпечення конфіденційності і цілісності оброблюваної інформації (підкласи» х.КЦ»);

автоматизована система, в якій підвищені вимоги до — забезпечення конфіденційності і доступності оброблюваної інформації (підкласи «х.КД»);

автоматизована система, в якій підвищені вимоги до — забезпечення цілісності і доступності оброблюваної інформації (підкласи «х.ЦД»).

автоматизована система, в якій підвищені вимоги до — забезпечення конфіденційності, цілісності і доступності оброблюваної інформації (підкласи «х.КЦД»).

Семантика профілю

Опис профілю складається з трьох частин: буквено-числового ідентифікатора, знака рівності і переліку рівнів послуг, взятого в фігурні дужки. Ідентифікатор у свою чергу включає: позначення класу АС (1, 2 або 3), буквену частину, що характеризує види загроз, від яких забезпечується захист (К, і/або Ц, і/або Д), номер профілю і необов’язкове буквене позначення версії. Всі частини ідентифікатора відділяються один від одного крапкою. Наприклад, 2.К.4 — функціональний профіль номер чотири, що визначає вимоги до АС класу 2, призначених для обробки інформації, основною вимогою щодо захисту якої є забезпечення конфіденційності. Перелік функціональних послуг безпеки та рівнів гарантій, їх структура і семантичне позначення наведені в НД ТЗІ “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”.

Критерії конфіденційності Для того, щоб КС могла бути оцінена на предмет відповідності критеріям конфіденційності, КЗЗ оцінюваної КС повинен надавати послуги з захисту об'єктів від несанкціонованого ознайомлення з їх змістом (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні.

Критерії цілісності Для того, щоб КС могла бути оцінена на предмет відповідності критеріям цілісності, КЗЗ оцінюваної КС повинен надавати послуги з захисту оброблюваної інформації від несанкціонованої модифікації. Цілісність забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні.

Критерії доступності Для того, щоб КС могла бути оцінена на відповідність критеріям доступності, КЗЗ оцінюваної КС повинен надавати послуги щодо забезпечення можливості використання КС в цілому, окремих функцій або оброблюваної інформації на певному проміжку часу і гарантувати спроможність КС функціонувати у випадку відмови її компонентів. Доступність може забезпечуватися в КС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.

Критерії спостереженості Для того, щоб КС могла бути оцінена на предмет відповідності критеріям спостереженості, КЗЗ оцінюваної КС повинен надавати послуги з забезпечення відповідальності користувача за свої дії і з підтримки спроможності КЗЗ виконувати свої функції. Спостереженість забезпечується в КС такими послугами: реєстрація (аудит), ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація і автентифікація при обміні, автентифікація відправника, автентифікація отримувача

Критерії гарантій Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки, послідовності розробки, середовища функціонування, документації і випробувань КЗЗ. В цих критеріях вводиться сім рівнів гарантій, які є ієрархічними. Вимоги викладаються за розділами. Для того, щоб КС одержала певний рівень гарантій (якщо вона не може одержати більш високий), повинні бути задоволені всі вимоги, визначені для даного рівня в кожному з розділів.

Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу (НД ТЗІ 1.1 – 002 – 99). Постановка проблеми захисту інформації в комп'ютерних системах від несанкціонованого доступу. Основні загрози інформації.

Цей нормативний документ технічного захисту інформації (НД ТЗІ) визначає методологічні основи (концепцію) вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, регламентуючих питання:

- визначення вимог щодо захисту комп'ютерних систем від несанкціонованого доступу;

- створення захищених комп'ютерних систем і засобів їх захисту від несанкціонованого доступу;

- оцінки захищеності комп'ютерних систем і їх придатностi для вирішення завдань споживача.

Документ призначено для постачальників (розробників), споживачів (замовників, користувачів) комп'ютерних систем, які використовуються для обробки (в тому числі збирання, зберігання, передачі і т. д.) критичної інформації (інформації, що вимагає захисту), а також для державних органів, що здійснюють функції контролю за обробкою такої інформації.