Правові основи безпеки та оцінки безпеки інформаційної інфраструктури україни

 

В Україні створена розвинена система нормативно-правових актів галузі технічного захисту інформації (ТЗІ), які обов’язкові для органів державної влади та органів місцевого самоврядування, що здійснюють технічний захист інформації, необхідність охорони якої визначена законодавством. Відносно захисту конфіденційної інформації, яка перебуває у приватній власності та режим якої визначається її власником, положення більшості нормативно-правових актів з ТЗІ мають для них рекомендаційний характер.

Роботи з ТЗІ проводяться організаціями, які мають ліцензії на право провадження господарської діяльності у цій галузі. Також передбачена можливість здійснення робіт з ТЗІ для власних потреб органами державної влади та місцевого самоврядування у дозвільному порядку. Ліцензування господарської діяльності з ТЗІ, а також надання дозволів на проведення таких робіт для власних потреб здійснюється Державною службою спеціального зв’язку та захисту інформації (Держспецзв’язок) України.

Також встановлено класифікацію основних видів робот з ТЗІ, які виконуються за дозволами Держспецзв’язку. Ця класифікація побудована з урахуванням основних можливих шляхів витоку інформації, що захищається, та стосується систем щодо:

– захисту інформації, носіями якої є акустичні поля;

– захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;

– захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу;

– виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об’єктах інформаційної діяльності.

Значна увага також приділяється експертно-контрольній діяльності у сфері ТЗІ. Ця робота являє собою діяльність, направлену на визначення та вдосконалення стану ТЗІ органів, щодо яких здійснюється ТЗІ, та на проведення контролю за виконанням суб’єктами системи ТЗІ завдань або проведенням діяльності у галузі ТЗІ за відповідними дозволами та ліцензіями.

Перевірки бувають трьох видів: комплексні, цільові (тематичні) та контрольні. Під час перевірок контролю підлягають організаційні, організаційно-технічні, технічні заходи з ТЗІ у виділених приміщеннях, інформаційних системах й об’єктах, повнота та достатність робіт із атестації виділених приміщень.

Атестація виділених приміщень, у рамках якої здійснюється комплекс направлених на реалізацію заходів з ТЗІ, має метою приведення виділених приміщень у відповідність до вимог нормативних документів з ТЗІ та визначення відповідності захищеності виділеного приміщення встановленій категорії.

Для об’єктів електронно-обчислювальної техніки (ЕОТ), на яких циркулює інформація, що становить державну таємницю, є обов’язковим створення та атестація комплексу технічного захисту інформації (КТЗІ), який має забезпечувати захист інформації з обмеженим доступом (ІзОД) від витоку технічними каналами, а саме каналам побічних електромагнітних випромінювань та наведень (ПЕМВН).

Для визначення необхідних заходів захисту інформації від витоку технічними каналами проводиться спеціальне дослідження персональної електронно-обчислювальної машини (ПЕОМ) по каналах ПЕМВН, за якого визначаються можливі канали витоку інформації. За результатами спеціального дослідження приймається рішення щодо необхідності встановлення активних та/або пасивних засобів захисту. Після цього проводиться оцінка захищеності інформації з обмеженим доступом від витоку технічними каналами на об’єкті ЕОТ (атестація комплексу ТЗІ).

Під час створення комплексу ТЗІ на об’єкті ЕОТ встановлюється обладнання з Переліку засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність захисту якої визначено законодавством України.

В Україні діє Державна експертиза у сфері технічного захисту інформації, яка проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в автоматизованих системах, комп’ютерних мережах, системах зв’язку, приміщеннях, інженерно-технічних спорудах, та підготовки обґрунтованих висновків для прийняття відповідних рішень.

Важливим інструментом державного управління технічним захистом інформаційних систем є, також, їхня стандартизація та сертифікація.

Іншим напрямом підвищення безпеки інформаційних систем є криптографічний захист інформації, що обробляється за їхньою допомогою.

Тому, організаційно захист інформації поділяють на технічний захист інформації (ТЗІ) та криптографічний захист інформації (КЗІ). Загальним принципом діяльності у сфері захисту інформації є максимум ефективності за допустимого ризику не нижче від зафіксованого ризику, коли оперативний ризик є мінімальним.

Методики контролю заходів криптографічного захисту інформації розглядаються у частині 2 цього навчального посібника та в інших курсах.

У технічному плані мета захисту інформації полягає у виконанні норм, заходів і дій, направлених на запобігання шкоді і/або збитків у разі реалізації атак і загроз інформації. Захист здійснюється комплексною системою захисту інформації (КСЗІ), яка складається з правового, організаційно-методичного, технічного, програмного, інформаційного та математичного забезпечень, які запобігають реалізаціям загроз або суттєво ускладнюють реалізацію атак.

Комплекс засобів захисту розглядається як набір функціональних послуг, які у сукупності створюють необхідний функціональний профіль захисту. Кожна послуга є набором із одної або декількох функцій, які дозволяють протистояти певній множині загроз.

У створенні КСЗІ, як правило, обов’язкова участь трьох сторін:

– замовника (він же власник), який приймає рішення щодо захисту інформації, затверджує технічне завдання на побудову КСЗІ, замовляє проект КСЗІ, доручає за договором будівництво КСЗІ, приймає побудовану КСЗІ й експлуатує її після отримання атестату відповідності КСЗІ вимогам нормативних документів сфери ТЗІ;

– виконавця, який проектує та будує КСЗІ (це можуть бути різні організації), проводить її випробування та здає КСЗІ замовнику;

– контролюючого органу, який організує та проводить державну експертизу КСЗІ (це також можуть бути дві різні організації за своєю спеціалізацією) на відповідність вимогам нормативних документів сфери ТЗІ та надає дозволи на експлуатацію КСЗІ.

Характер відносин між учасниками створення КСЗІ показано у табл. 1.2.

Таблиця 1.2 – Відносини між учасниками створення КСЗІ

№ з/п	Характеристика відносин	Замовник КСЗІ	Виконавець КСЗІ	Контролюючий орган
	Сфера діяльності	Технічний захист інформації та інформаційних ресурсів
	Предмет відносин	Створення КСЗІ
	Основні задачі	Створення та експлуатація КСЗІ	Проектування та будівництво КСЗІ	Забезпечення єдності оцінки та відповідності вимогам
	Основні технології	Технічна експлуатація, аудит, оцінка захищеності	Технічне проектування та засоби будівництва	Атестація, державна експертиза, контроль та оцінка захищеності
	Основний інструментарій	Методика експлуатації, контролю, оцінки захищеності	Засоби проектування та будівництва	Програма та методика атестації КЗЗ та державної експертизи КСЗІ
	Документація	Експлуатаційна документація, журнали подій, правила взаємодії з правоохороною	Технічний, робочий проекти, програма та методика випробувань	Акти контролю, атестати відповідності
	Спільна документація для взаємодії	1. Нормативно-правова база технічного захисту інформації. 2. «Функціональний профіль захисту» або «Основні завдання захисту + профіль захисту + проект інформаційної безпеки»

 

Побудова комплексних систем захисту інформації (КСЗІ) здійснюється у відповідності до Української законодавчої та нормативної бази. Роботи з оцінки інформаційної захищеності проводяться на всіх етапах цих робіт:

– обстеження об’єкта/об’єктів автоматизації, аналіз наявної документації, аналіз загроз та інформаційних ризиків;

– створення технічного завдання на КСЗІ та узгодження з Держспецзв’язку;

– розробка технічного проекту КСЗІ;

– закупівля необхідного обладнання, програмного забезпечення, виконання робіт із монтажу, налагодження;

– розробка експлуатаційної документації на КСЗІ (настанови персоналу, конфігураційні налагодження тощо);

– розробка програми та методики попередніх випробувань;

– проведення попередніх випробувань, передача КСЗІ у дослідну експлуатацію;

– підтримка атестації комплексу технічних засобів захисту інформації;

– підтримка державної експертизи КСЗІ та передача КСЗІ у промислову експлуатацію