- •Кафедра засобів захисту інформації
- •Дипломний проект
- •Випускника освітньо-кваліфікаційного рівня
- •Перелік використаних скорочень
- •2 Нормативні посилання
- •1. Закон України «Про інформацію».
- •2. Закон України «Про доступ до публічної інформації»
- •3. Закон України «Про основи національної безпеки України»
- •4. Закон України «Про державну таємницю»
- •3. Канали витоку інформації
- •4. Оптимальне розподілення технічних ресурсів
- •Висновки
- •Перелік посилань
3. Закон України «Про основи національної безпеки України»
Загрози національним інтересам і національній безпеці України в інформаційній сфері:
прояви обмеження свободи слова та доступу громадян до інформації;
поширення засобами масової інформації культу насильства, жорстокості, порнографії;
комп'ютерна злочинність та комп'ютерний тероризм;
розголошення інформації, яка становить державну та іншу, передбачену законом, таємницю, а також конфіденційної інформації, що є власністю держави або спрямована на забезпечення потреб та національних інтересів суспільства і держави;
намагання маніпулювати суспільною свідомістю, зокрема, шляхом поширення недостовірної, неповної або упередженої інформації.
Зміст дипломної роботи направлений на ослаблення четвертої загрози.
4. Закон України «Про державну таємницю»
Цей Закон регулює суспільні відносини, пов'язані з віднесенням інформації до державної таємниці, засекречуванням, розсекречуванням її матеріальних носіїв та охороною державної таємниці з метою захисту національної безпеки України.
Стаття 18. Основні організаційно-правові заходи щодо охорони державної таємниці
З метою охорони державної таємниці впроваджуються:
єдині вимоги до виготовлення, користування, збереження, передачі, транспортування та обліку матеріальних носіїв секретної інформації;
обмеження оприлюднення, передачі іншій державі або поширення іншим шляхом секретної інформації;
обмеження щодо перебування та діяльності в Україні іноземців, осіб без громадянства та іноземних юридичних осіб, їх доступу до державної таємниці, а також розташування і переміщення об'єктів і технічних засобів, що їм належать;
режим секретності державних органів, органів місцевого самоврядування, підприємств, установ і організацій, що провадять діяльність, пов'язану з державною таємницею;
спеціальний порядок допуску та доступу громадян до державної таємниці;
технічний та криптографічний захисти секретної інформації.
5. Закон України «Про Державну службу спеціального зв'язку та захисту інформації України» (далі ДССЗЗІ)
Цей Закон відповідно до Конституції України визначає правові основи організації та діяльності ДССЗЗІ України. Основними завданнями ДССЗЗІ є забезпечення функціонування безпеки та розвитку:
Урядового зв’язку;
Конфіденційного зв’язку;
Державних інформаційних ресурсів в ІТС;
КЗІ та ТЗІ.
Стаття 2. Статус Державної служби спеціального зв'язку та захисту інформації України
1. Державна служба спеціального зв'язку та захисту інформації України є державним органом, який призначений для забезпечення функціонування і розвитку державної системи урядового зв'язку, Національної системи конфіденційного зв'язку, захисту державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації.
6. «Про Положення про технічний захист інформації в Україні»
1. Це Положення визначає правові та організаційні засади технічного захисту важливої для держави, суспільства і особи інформації, охорона якої забезпечується державою відповідно до законодавства.
4. Державна політика технічного захисту інформації формується згідно із законодавством і реалізується Державною службою спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку України) у взаємодії з органами, щодо яких здійснюється ТЗІ.
8. Суб'єктами системи технічного захисту інформації є:
1. Держспецзв'язку України;
2. органи, щодо яких здійснюється ТЗІ;
3. науково-дослідні та науково-виробничі установи Держспецзв'язку України, державні підприємства, що перебувають в управлінні Держспецзв'язку України та виконують завдання з питань технічного захисту інформації;
4. військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з технічного захисту інформації за відповідними дозволами або ліцензіями;
5. навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з технічного захисту інформації.
7. «Концепції технічного захисту інформації в Україні»
Загальні положення
Ця Концепція визначає основи державної політики у сфері захисту інформації інженерно-технічними заходами. Технічний захист інформації (далі - ТЗІ) є складовою частиною забезпечення національної безпеки України.
2. Концепція має забезпечити єдність принципів формування і проведення такої політики в усіх сферах життєдіяльності особи, суспільства та держави (соціальній, політичній, економічній, військовій, екологічній, науково-технологічній, інформаційній тощо) і служити підставою для створення програм розвитку сфери ТЗІ.
ТЗІ - це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності (унеможливлення блокування) інформації з обмеженим доступом, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави.
3. Система ТЗІ - це сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами (далі - організаційні структури), нормативно-правова та матеріально-технічна база.
4. Основні напрями державної політики у сфері ТЗІ
Першочерговими заходами щодо реалізації державної політики у сфері ТЗІ є:
створення правових засад реалізації державної політики у сфері ТЗІ, визначення послідовності та порядку розроблення відповідних нормативно-правових актів;
налагодження згідно з визначеною номенклатурою виробництва засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку із захистом інформації, інших вітчизняних засобів забезпечення ТЗІ;
завершення створення та розвиток системи сертифікації вітчизняних та закордонних засобів забезпечення ТЗІ;
визначення реальних потреб системи ТЗІ у фахівцях, розвиток та вдосконалення системи підготовки, перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ.
8. ДСТУ 3396 0-96. Державний стандарт України «Захист інформації. Технічний захист інформації. Основні положення»
Цей стандарт установлює об'єкт захисту, мету, основні організаційно-технічні положення технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям(юридичним особам) та державі, а також категорії нормативних документів з ТЗІ.
Мета ТЗІ може бути досягнута побудовою системи захисту інформації, що є організованою сукупністю методів і засобів забезпечення ТЗІ.
3 Загальні положення
3.1 Об’єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження (далі - інформація з обмеженим доступом, ІзОД).
3.3 Носіями ІзОД можуть бути фізичні поля, сигнали, хімічні речовини, що утворюються в процесі інформаційної діяльності, виробництва й експлуатації продукції різного призначення (далі - інформаційна діяльність).
3.5 Витік або порушення цілісності IзОД (спотворення, модифікація, руйнування, знищення) можуть бути результатом реалізації загроз безпеці інформації (далі - загроза).
3.6 Метою ТЗІ є запобігання витоку або порушенню цілісності ІзОД.
3.7 Мета ТЗІ може бути досягнута побудовою системи захисту інформації, що є організованою сукупністю методів і засобів забезпечення ТЗІ. Технічний захист інформації здійснюється поетапно:
1 етап - визначення й аналіз загроз;
2 етап - розроблення системи захисту інформації;
3 етап - реалізація плану захисту інформації;
4 етап - контроль функціонування та керування системою захисту інформації.
9. ДСТУ 3396.1-96 від 01.07.1997 р. Державний стандарт України «Захист інформації. Технічний захист інформації. Порядок проведення робіт»
Цей стандарт установлює вимоги до порядку проведення робіт з технічного захисту інформації (ТЗІ).
Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в ДСТУ 3396.0-96 етапам функціювання системи захисту інформації і полягає в:
проведенні обстеження підприємства, установи, організації (далі - підприємство);
розробленні і реалізації організаційних, первинних технічних, основних технічних заходів з використанням засобів забезпечення ТЗІ (додаток А);
прийманні робіт з ТЗІ;
атестації засобів (систем) забезпечення ІД на відповідність вимогам нормативних документів з ТЗІ.
4.5 Матеріали обстеження необхідно використовувати під час розроблення окремої моделі загроз, яка повинна включати:
генеральний та ситуаційний плани підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території;
схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкційованого доступу до ІзОД;
оцінку шкоди, яка передбачається від реалізації загроз.
10. НД ТЗІ 2.3-016-08 «Захист інформації на об'єктах інформаційної діяльності. Технічний захист інформації, яка обробляється засобами обчислювальної техніки, від витоку інформації за рахунок наведень побічних електромагнітних випромінювань на лінії та комунікації. Методика інструментального контролю ефективності захисту технічних засобів ЕОТ від витоку секретної інформації за рахунок наведень побічних електромагнітних випромінювань на лінії сигналізації та зв'язку, які виходять за межі контрольованої зони».
11. НД ТЗІ 3.1-001-07 «Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи».
Визначає основні положення щодо проведення передпроектних робіт при створенні на ОІД органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації комплексу ТЗІ, який має забезпечувати захист від витоку ІзОД технічними каналами. НД встановлює порядок та зміст проведення передпроектних робіт на ОІД, які вже функціонують або будуються (модернізуються), вимоги до оформлення акта обстеження на ОІД, а також вимоги до порядку розроблення та оформлення технічного завдання на створення комплексу ТЗІ.
12. НД ТЗІ 3.3-001-07 «Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації».
Цей документ визначає порядок проведення робіт під час створення комплексу ТЗІ на об'єкті інформаційної діяльності (ОІД) органу державної влади, місцевого самоврядування, військового формування, підприємства, установи та організації (далі - установа) на етапі розроблення (проектування) та впровадження заходів із захисту від витоку ІзОД технічними каналами.
Нормативний документ встановлює вимоги до розроблення пояснювальної записки з ТЗІ, паспорта на комплекс ТЗІ та паспортів (як складових паспорта на комплекс ТЗІ) на приміщення, де ІзОД озвучується та/або обробляється технічними засобами.
13. НД ТЗІ 2.3-002-01 «Технічний захист мовної інформації в симетричних абонентських аналогових телефонних лініях. Засоби пасивного приховування мовної інформації. Нелінійні атенюатори та загороджувальні фільтри. Методика випробувань.»
Цей нормативний документ визначає методи випробувань засобів технічного захисту мовної інформації з обмеженим доступом від її витоку через кінцеве обладнання симетричної аналогової абонентської телефонної лінії. Вимоги цього НД є обов`язковими для замовників, розробників, виготовлювачів, постачальників цих засобів та для випробувальних лабораторій (центрів), що здійснюють оцінку їх якості. Ця методика охоплює порядок проведення випробувань тільки тих параметрів ЗТЗІ, які стосуються захисту інформації.
14. НД ТЗІ Р-001-00 «Засоби активного захисту мовної інформації з акустичними та віброакустичними джерелами випромінювання. Класифікація та загальнi технічні вимоги».
Дія цих рекомендацій поширюється на технічні засоби активного захисту мовної інформації від витоку акустичним та вiброакустичним каналами, рекомендації містять класифікацію засобів та загальні технiчнi вимоги до них. Рекомендації призначені для організацій на етапі розроблення засобів та їх експлуатації, а також для випробувальних лабораторій.