- •Нормативно-правове забезпечення інформаційної безпеки збірник лекцій
- •Нормативно-правові акти, які закріплюють концептуальні положення інформаційної безпеки України
- •Види таємниць особистого життя з урахуванням чинного законодавства
- •Контрольні питання
- •2. Нормативно-правові акти, які закріплюють визначальні положення щодо забезпечення інформаційної безпеки України
- •Згідно п.4 Положення Держінформнауки відповідно до покладених на нього завдань:
- •Контрольні питання
- •3. Нормативно-правові акти, які визначають порядок охорони державної таємниці в Україні
- •- Загальних положень щодо захисту секретної інформації в ас класу «1»;
- •Контрольні питання
- •4. Нормативно-правові акти з інформаційної безпеки телекомунікаційних систем
- •Контрольні питання
- •5. Закони України про електронний документообіг та цифровий підпис
- •Контрольні питання
- •6. Підзаконні нормативні акти щодо електронного документообігу та цифрового підпису
- •Контрольні питання
- •7. Нормативно-правові акти, які визначають порядок технічного захисту інформації в Україні
- •Національні стандарти розробляються у відповідності до вимог:
- •- Дсту 1.2-2003 Національна стандартизація. Порядок розроблення національних нормативних документів;
- •- Дсту 1.5:2003 Національна стандартизація. Правила побудови, викладання, оформлення та вимоги до змісту нормативних документів;
- •- Дсту 1.7-2001 Національна стандартизація. Правила і методи прийняття та застосування міжнародних і регіональних стандартів.
- •Організація проведення обстеження
- •Організація розроблення системи тзі
- •Реалізація організаційних заходів тзі
- •Реалізація первинних технічних заходів захисту
- •Реалізація основних технічних заходів захисту
- •Приймання, визначення повноти та якості робіт
- •Основні напрями розробки нд тзі
- •1. Тзі на об’єктах інформаційної діяльності:
- •2. Тзі в комп'ютерних системах:
- •3. Тзі на програмно-керованих атс:
- •Контрольні питання
- •8. Нормативно-правові акти у сфері захисту державних електронних інформаційних ресурсів України
- •Контрольні питання
Реалізація основних технічних заходів захисту
У процесі реалізації основних технічних заходів захисту потрібно:
- установити засоби виявлення та індикації загроз і перевірити їхню працездатність;
- установити захищені засоби оброблення інформації, засоби ТЗІ та перевірити їхню працездатність;
- застосувати програмні засоби захисту в засобах обчислювальної техніки, автоматизованих системах, здійснити їхнє функційне тестування і тестування на відповідність вимогам захищеності;
- застосувати спеціальні інженерно-технічні споруди, засоби (системи).
Вибір засобів забезпечення ТЗІ зумовлюється фрагментарним або комплексним способом захисту інформації. Фрагментарний захист забезпечує протидію певній загрозі. Комплексний захист забезпечує одночасну протидію безлічі загроз.
Засоби виявлення та індикації загроз застосовують для сигналізації та оповіщення власника (користувача, розпорядника) ІзОД про витік інформації чи порушення її цілісності.
Засоби ТЗІ застосовуються автономно або спільно з технічними засобами забезпечення ІД для пасивного або активного приховування ІзОД.
Для пасивного приховування застосовують фільтри-обмежувачі, лінійні фільтри, спеціальні абонентські пристрої захисту та електромагнітні екрани.
Для активного приховування застосовують вузькосмугові й широкосмугові генератори лінійного та просторового зашумлення.
Програмні засоби застосовуються для забезпечення:
- ідентифікації та автентифікації користувачів, персоналу і ресурсів системи оброблення інформації;
- розмежування доступу користувачів до інформації, засобів обчислювальної техніки і технічних засобів автоматизованих систем;
- цілісності інформації та конфігурації автоматизованих систем;
- реєстрації та обліку дій користувачів;
- маскування оброблюваної інформації;
- реагування (сигналізації, відключення, зупинення робіт, відмови у запиті) на спроби несанкційованих дій.
Спеціальні інженерно-технічні споруди, засоби та системи застосовуються для оптичного, акустичного, електромагнітного та іншого екранування носіїв інформації. До них належать спеціально обладнані світлопроникні, технологічні та санітарно-технічні отвори, а також спеціальні камери, перекриття, навіси, канали тощо.
Розміщення, монтування та прокладання спеціальних інженерно-технічних засобів і систем, серед них систем уземлення та електроживлення засобів забезпечення ІД, слід здійснювати відповідно до вимог нормативних документів з ТЗІ.
Приймання, визначення повноти та якості робіт
За результатами виконання рекомендацій акта обстеження та реалізації заходів захисту ІзОД слід скласти у довільній формі акт приймання робіт з ТЗІ, який повинен підписати виконавець робіт, особа, відповідальна за ТЗІ, та затвердити керівник підприємства.
Для визначення повноти та якості робіт з ТЗІ слід провести атестацію. Атестація виконується організаціями, які мають ліцензії на право діяльності в галузі ТЗІ.
Об`єктами атестації є системи забезпечення ІД та їхні окремі елементи, де циркулює інформація, що підлягає технічному захисту.
У ході атестації потрібно:
- установити відповідність об`єкта, що атестується, вимогам ТЗІ;
- оцінити якість та надійність заходів захисту інформації;
- оцінити повноту та достатність технічної документації для об`єкта атестації;
- визначити необхідність внесення змін і доповнень до організаційно-розпорядчих документів тощо.
Починаючи з 1999 року, в Україні розробляються нормативні документи системи ТЗІ – НД ТЗІ, які регламентують організаційно-технічні аспекти захисту інформації та оцінки його ефективності під час всіх етапів життєвого циклу ІТС, об'єктів ІД, озброєння, військової та спеціальної техніки, небезпечних чи критичних технологій, а також містять вихідні дані для визначення потенційних загроз для інформації, розроблення комплексів (систем) її захисту тощо.
На даний час це здійснює Адміністрація Держспецзв’язку згідно «Положення про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації», затвердженого наказом Адміністрації Держспецзв’язку від 22 березня 2007 року № 36, зареєстрованим в Міністерстві юстиції України 4 квітня 2007 року за № 312/13579.