Слайд 1НТУ
Тема: ДСТУ 3396.0-96
ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ
Захист інформації
Технічний захист інформації
Основні
положення
Слайд 2Цей стандарт установлює об’єкт, мету, основні організаційнотехнічні положення забезпечення технічного
захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди
громадянам, організаціям (юридичним особам) та державі, а також категорії нормативних документів системи ТЗІ.
Слайд 3Вимоги стандарту обов’язкові для підприємств та установ усіх форм власності
і підпорядкування, громадян - суб’єктів підприємницької діяльності, органів державної влади,
органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.
Слайд 4 Об’єктом технічного захисту є інформація, що становить державну або
іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною
власністю чи передана державі у володіння, користування, розпорядження (далі - інформація з обмеженим доступом, ІзОД).
Слайд 5Об’єкт, мету і завдання ТЗІ визначають і встановлюють особи, які
володіють, користуються, розпоряджаються ІзОД у межах прав і повноважень, наданих
законами України, підзаконними актами та нормативними документами системи ТЗІ.
Слайд 6Носіями ІзОД можуть бути фізичні поля, сигнали, хімічні речовини, що
утворюються в процесі інформаційної діяльності, виробництва й експлуатації продукції різного
призначення (далі - інформаційна діяльність).
Слайд 7Середовищем поширення носіїв ІзОД можуть бути лінії зв’язку, сигналізації, керування,
енергетичні мережі, прикінцеве і проміжне обладнання, інженерні комунікації і споруди,
відгороджувальні будівельні конструкції, а також світлопроникні елементи будинків і споруд (отвори), повітряне, водне та інші середовища, грунт, рослинність тощо.
Слайд 8Витік або порушення цілісності IзОД (спотворення, модифікація, руйнування, знищення) можуть
бути результатом реалізації загроз безпеці інформації (далі - загроза).
Слайд 9Метою ТЗІ є запобігання витоку або порушенню цілісності ІзОД.
Мета
ТЗІ може бути досягнута побудовою системи захисту інформації, що є
організованою сукупністю методів і засобів забезпечення ТЗІ. Технічний захист інформації здійснюється поетапно:
1 етап - визначення й аналіз загроз;
2 етап - розроблення системи захисту інформації;
3 етап - реалізація плану захисту інформації;
4 етап - контроль функціювання та керування системою захисту інформації.
Слайд 10Побудова системи захисту інформації
Визначення й аналіз загроз
Слайд 11На першому етапі необхідно здійснити аналіз об’єктів ТЗІ, ситуаційного плану,
умов функціювання підприємства, установи, організації, оцінити ймовірність прояву загроз та
очікувану шкоду від їх реалізації, підготувати засадничі дані для побудови окремої моделі загроз.
Слайд 12Джерелами загроз може бути діяльність іноземних розвідок, а також навмисні
або ненавмисні дії юридичних і фізичних осіб.
Слайд 13Загрози можуть здійснюватися:
- технічними каналами, що включають канали побічних
електромагнітних випромінювань і наводок, акустичні, оптичні, радіо-, радіотехнічні, хімічні та
інші канали;
- каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
- несанкційованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.
Слайд 14Опис загроз і схематичне подання шляхів їх здійснення складають окрему
модель загроз.
Слайд 15Розроблення системи захисту інформації
Слайд 16На другому етапі слід здійснити розроблення плану ТЗІ, що містить
організаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначити
зони безпеки інформації.
Організаційні заходи регламентують порядок інформаційної діяльності з урахуванням норм і вимог ТЗІ для всіх періодів життєвого циклу об’єкта ТЗІ.
Первинні технічні заходи передбачають захист інформації блокуванням загроз без використання засобів ТЗІ.
Основні технічні заходи передбачають захист інформації з використанням засобів забезпечення ТЗІ.
Слайд 17Для технічного захисту інформації слід застосовувати спосіб приховування або спосіб
технічної дезінформації.
Слайд 18Заходи захисту інформації повинні:
- бути відповідними загрозам;
- бути розробленими
з урахуванням можливої шкоди від їх реа-лізації і вартості захисних
заходів та обмежень, що вносяться ними;
- забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.
Слайд 19Рівень захисту інформації означується системою кількісних та якісних показників, які
забезпечують розв’язання завдання захисту інформації на основі норм та вимог
ТЗІ.
Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпечнішій загрозі.
Підвищення рівня захисту інформації досягається нарощуванням технічних заходів протидії безлічі загроз.
Слайд 20 Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізації
заходів ТЗІ, розрахунку ефективності захисту та порядок атестації технічних засобів
забезпечення інформаційної діяльності, робочих місць (приміщень) установлюються нормативними документами системи ТЗІ.
Слайд 21Реалізація плану захисту інформації
Слайд 22На третьому етапі слід реалізувати організаційні, первинні технічні та основні
технічні заходи захисту ІзОД, установити необхідні зони безпеки інформації, провести
атестацію технічних засобів забезпечення інформаційної діяльності, технічних засобів захисту інформації, робочих місць (приміщень) на відповідність вимогам безпеки інформації.
Слайд 23Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів
забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації (далі
- засоби ТЗІ) та контролю ефективності захисту, які мають cертифікат відповідності вимогам нормативних документів системи УкрСЕПРО або дозвіл на їх використання від уповноваженого Кабінетом Мі-ністрів України органу, а також застосуванням спеціальних інженернотехнічних споруд, засобів і систем (далі - засоби забезпечення ТЗІ).
Слайд 24Засоби ТЗІ можуть функціювати автономно або спільно з технічними засобами
забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у
них складових елементів.
Слайд 25Склад засобів забезпечення ТЗІ, перелік їх постачальників, а також послуг
з установлення, монтажу, налагодження та обслуговування визначаються особами, що володіють,
користуються і розпоряджаються ІзОД самостійно або за рекомендаціями спеціалістів з ТЗІ згідно з нормативними документами системи ТЗІ.
Слайд 26Надання послуг з ТЗІ, атестацію та сервісне обслуговування засобів забезпечення
ТЗІ можуть здійснювати юридичні і фізичні особи, що мають ліцензію
на право проведення цих робіт, видану уповноваженим Кабінетом Міністрів України органом.
Слайд 27Контроль функціювання та керування системою захисту інформації
Слайд 28На четвертому етапі слід провести аналіз функціювання системи захисту інформації,
перевірку виконання заходів ТЗІ, контроль ефективності захисту, підготувати та видати
засадничі дані для керування системою захисту інформації.
Слайд 29Керування системою захисту інформації полягає у адаптації заходів ТЗІ до
поточного завдання захисту інформації.
За фактами зміни умов здійснення або
виявлення нових загроз заходи ТЗІ реалізуються у найкоротший строк.
Слайд 30У разі потреби підвищення рівня захисту інформації необхідно виконати роботи,
передбачені 1, 2 та 3 етапами побудови системи захисту інформації.
Слайд 31 Порядок проведення перевірок і контролю ефективності захисту інформації встановлюється
нормативними документами.
Слайд 32Нормативні документи системи ТЗІ
Слайд 33Нормативні документи розробляються в ході проведення комплексу робіт із стандартизації
та нормування у галузі ТЗІ.
Слайд 34Нормативні документи повинні забезпечувати:
- проведення єдиної технічної політики;
-
створення і розвиток єдиної термінологічної системи;
- функціювання багаторівневих систем
захисту інформації на основі взаємнопогоджених положень, правил, методик, вимог та норм;
- функціювання систем сертифікації, ліцензування й атестації згідно з вимогами безпеки інформації;
Слайд 35 - розвиток сфери послуг у галузі ТЗІ;
- установлення
порядку розроблення, виготовлення, експлуатації засобів забезпечення ТЗІ та спеціальної контрольно-вимірювальної
апа-ратури;
- організацію проектування будівельних робіт у частині забезпечення ТЗІ;
- підготовку та перепідготовку кадрів у системі ТЗІ.
Слайд 36Нормативні документи системи ТЗІ поділяються на:
- нормативні документи із
стандартизації у галузі ТЗІ;
- державні стандарти та прирівняні до
них нормативні документи;
- нормативні акти міжвідомчого значення, що реєструються у Міністерстві юстиції України;
- нормативні документи міжвідомчого значення технічного характеру, що реєструються уповноваженим Кабінетом Міністрів органом;
- нормативні документи відомчого значення органів державної влади та органів місцевого самоврядування.
Слайд 37Порядок проведення робіт із стандартизації та нормування в галузі ТЗІ
встановлюється ДСТУ 1.0, ДБН А.1.1-1, документами системи ТЗІ.
Порядок розроблення,
оформлення, узгодження, затвердження, реєстрації, видання, впровадження, перевірки, перегляду, зміни та скасування нормативних документів установлюється ДСТУ 1.2, ДСТУ 1.3, ДСТУ 1.4, ДСТУ 1.5, ДБН А.1.1-2, документами системи ТЗІ.