2.2 Організаційно-технічні засоби захисту інформації
2.2. Організаційно-технічні засоби захисту інформації
Організаційно-технічні засоби захисту інформації регулюються ДСТУ 3396.0-96.
Об'єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю або передана державі у володіння, використання, розпорядження (далі – інформація з обмеженим доступом, ІзОД) [4].
Об'єкт, мета й завдання технічного захисту інформації (ТЗІ) визначають і встановлюють особи, які володіють, користуються, розпоряджаються ІзОД у границях прав і повноважень, наданих законами України, підзаконними актами й нормативними документами системи ТЗІ.
Носіями ІзОД можуть бути фізичні поля, сигнали, хімічні речовини, які утворяться в процесі інформаційної діяльності, виробництва й експлуатації продукції різного призначення (далі – інформаційна діяльність).
Середовищем поширення носіїв ІзОД можуть бути лінії зв'язку, сигналізації, керування, енергетичні мережі, кінечне й проміжне устаткування, інженерні комунікації й споруди, огороджувальні будівельні конструкції, а також світлопроникні елементи будинків і споруд, повітряного, водного й іншого середовища, ґрунт, рослинність тощо.
Витік або порушення цілісності ІзОД (перекручування, модифікація, руйнування, знищення) можуть бути результатом реалізації погроз безпеки інформації (далі – погроза).
Метою ТЗІ є запобігання витоку або порушенню цілісності ІзОД.
Дана мета може бути досягнута побудовою системи захисту інформації, що є організованою сукупністю методів і засобів забезпечення ТЗІ. Технічний захист інформації здійснюється поетапно:
1 етап – визначення й аналіз погроз;
2 етап – розробка системи захисту інформації;
3 етап – реалізація плану захисту інформації;
4 етап – контроль функціонування й керування системою захисту інформації.
Етапи технічного захисту інформації проілюстровано за допомогою рис. 2.2.
1. Визначення й аналіз погроз
2. Розробка системи захисту інформації
3. Реалізація плану захисту інформації
4. Контроль функціонування й керування системою захисту інформації
Рис. 2.2. Етапи технічного захисту інформації
2.3. Рівні захисту, класифікація автоматизованих систем і вимоги до захисту інформації
Виділяється чотири рівні захисту інформації [3]:
Перший рівень визначає найнижчий рівень можливостей ведення діалогу в автоматизованих системах (АС) – запуск завдань (програм) з фіксованого набору, що реалізують заздалегідь передбачені функції з обробки інформації (наприклад АС, що надає порушникові описане коло можливостей, можна привести систему обробки формалізованих поштових повідомлень).
Другий рівень визначається можливістю створення й запуску власних програм з новими функціями з обробки інформації (наприклад, у цьому випадку передбачається, що порушник може виступати в ролі "звичайного" користувача ОС).
Третій рівень визначається можливістю керування функціонуванням АС, тобто впливом на базове програмне забезпечення системи й на склад і конфігурацію її устаткування (наприклад, до даного класу відноситься порушник, що впровадив у систему безпеки АС програмну закладку).
Ч
етвертий
рівень визначається всім обсягом
можливостей осіб, що здійснюють
проектування, реалізацію й ремонт
технічних засобів АС, аж до включення
до складу СВТ власних технічних засобів
з новими функціями з обробки інформації
(наприклад, відомі випадки, коли в АС
впроваджувалися "тимчасові бомби",
що виводять систему з ладу після
закінчення строку гарантійного ремонту).
Р
Четвертий рівень
визначається всім обсягом можливостей
осіб, що здійснюють проектування,
реалізацію й ремонт технічних засобів
АС, аж до включення до складу СВТ власних
технічних засобів з новими функціями
з обробки інформації
Третій рівень
визначається можливістю керування
функціонуванням АС
Другий рівень
визначається можливістю створення й
запуску власних програм з новими
функціями з обробки інформації
Перший рівень
визначає найнижчий рівень можливостей
ведення діалогу в автоматизованих
системах (АС) – запуск завдань (програм)
з фіксованого набору
Рис. 2.3. Рівні захисту інформації
Класифікація АС по ступені захищеності:
наявність в АС інформації різного рівня конфіденційності;
рівень повноважень суб'єктів доступу АС на доступ до конфіденційної інформації,
режим обробки даних в АС: колективний або індивідуальний.
Вимоги до захисту інформації:
1. Захист від несанкціонованого доступу до інформації.
2. Захист засобів обчислювальної техніки (ЗОТ) і АС від несанкціонованого доступу до інформації.
3 Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимоги до захисту інформації.
4. Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від НСД до інформації.
5. Тимчасове положення з організації розробки, виготовлення й експлуатації програмних і технічних засобів захисту інформації від НСД в автоматизованих системах і засобах обчислювальної техніки.