Мета і призначення комплексної системи захисту інформації

Метою створення комплексної системи захисту інформації є забезпечення безпеки критичної інформації в процесі оброблення її засобами АС ІзОД. Захист інформації повинен забезпечуватися на всіх технологічних етапах обробки критичної інформації і в усіх режимах функціонування.

 Процес оброблення інформації складається з таких технологічних етапів:

формалізації первинної інформації, одержаної від ТОВ Мегатрон та зберігання її в локальних базах даних у вигляді блоків даних;

використання формалізованої, накопиченої ТОВ Праймус

обміну блоками даних між окремими автоматизованими робочими місцями та локальними АС каналами структурованої кабельної системи передачі даних під час роботи

Для забезпечення безпеки інформації на всіх стадіях життєвого циклу АС комплексна система захисту інформації передбачає застосування таких заходів та засобів захисту інформації:

організаційні заходи, що реалізуються поза обчислювальною системою АС;

програмно-апаратні засоби захисту від несанкціонованого доступу;

запобігання витоку інформації технічними каналами;

захисту інформації під час передавання/приймання її каналами зв'язку;

КСЗІ в АС призначена для:

захисту інформації з обмеженим доступом від витоку її технічними каналами;

керування доступом користувачів до інформаційних ресурсів АС;

розмежування доступу користувачів АС до інформації різних категорій конфіденційності;

блокування несанкціонованих дій з критичною інформацією;

створення багаторівневого захисту інформаційних ресурсів АС від атак;

контролю та захисту внутрішніх і зовнішніх потоків інформації, яка обробляється розподіленою обчислювальною системою АС;

 реєстрації спроб реалізації загроз інформації та оперативного сповіщення адміністраторів безпеки про факти несанкціонованих дій з інформацією обмеженого доступу;

Нормативно-правовою базою щодо захисту інформації та створення КТЗІ АС 1 є Закони України "Про інформацію", "Про державну таємницю", "Про захист інформації в інформаційно-телекомунікаційних системах"

Нормативно-правові акти, затверджені Указами Президента України та постановами Кабінету Міністрів України:

· Положення про технічний захист інформації в Україні. Затверджено Указом Президента від 27.09.99 р. №1129;

· Концепція технічного захисту інформації в Україні. Затверджено постановою Кабінету Міністрів України від 8 жовтня 1997 року № 1126;

· Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах. Затверджено постановою Кабінету Міністрів України від 16.02.98 № 180;

· «Порядок організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях», затверджено постановою Кабінету Міністрів України від 2 жовтня 2003 р. № 1561-12.

Державні стандарти та інші нормативні документи з стандартизації:

· ДСТУ 3396.0-96. Технічний захист інформації. Основні положення.

· ДСТУ 3396.1-96. Технічний захист інформації. Порядок проведення робіт.

Нормативні документи системи технічного захисту інформації в Україні:

· ТПКО-95. Тимчасове положення про категоріювання об'єктів. Затверджено наказом ДСТЗІ від 10 липня 1995 року № 35;

· НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ від 28 квітня 1999 року № 22.

· НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ від 28 квітня 1999 року №22.

· НД ТЗІ 2.5-007-2001. Вимоги до комплексу засобів захисту інформації, що становить державну таємницю, від несанкціонованого доступу при її обробці в автоматизованих системах класу 1. Затверджено наказом ДСТСЗІ СБУ від 18 червня 2001 року № 05.

· НД ТЗІ 3.6-001-2000. Технічний захист інформації. Комп'ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ від 20 грудня 2000 року № 60.

· НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі. Затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. за №22.

· НД ТЗІ 2.1-001-2001 Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення. Затверджено наказом ДСТСЗІ СБУ від 9 лютого 2001 року № 2.

· НД ТЗІ 1.6-003-2004 Створення комплексів технічного захисту інформації на об’єктах інформаційної діяльності. Правила розробки, побудови, викладення та оформлення моделі загроз для інформації. Затверджено наказом ДСТСЗІ СБУ від 04 січня 2004 року.

· НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в АС, Затверджено наказом ДСТЗІ СБУ від 4 грудня 2000 року №53.

· НД ТЗІ 3.7-003-05. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі. Затверджено наказом ДСТСЗІ СБУ від 08 листопада 2005 року № 125.

· Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами ПЕМВН (ТР ЕОТ-95), затверджене наказом ДСТЗІ від 09.06.95 р. №25.

· Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою КМ від 29 березня 2006 р. № 373.