Комплексні системи захисту інформації. Проектування, впровадження, супровід

1. Інформацiею з обмеженим доступом (далi – ІзОД) е конфiденцiйна, таемна та службова iнформацiя.

2. Конфiденцiйною е iнформацiя про фiзичну особу, а також iнформацiя, доступ до якоi обмежено фiзичною або юридичною особою, крiм суб'ектiв владних повноважень.

Закон Украiни «Про доступ до публiчноi iнформацii» (2011)

Стаття 7. Конфiденцiйна iнформацiя

1. Конфiденцiйна iнформацiя – iнформацiя, доступ до якоi обмежено фiзичною або юридичною особою, крiм суб'ектiв владних повноважень, та яка може поширюватися у визначеному ними порядку за iхнiм бажанням вiдповiдно до передбачених ними умов.

2. Розпорядники iнформацii, якi володiють конфiденцiйною iнформацiею, можуть поширювати ii лише за згодою осiб, якi обмежили доступ до iнформацii, а за вiдсутностi такоi згоди – лише в iнтересах нацiональноi безпеки, економiчного добробуту та прав людини.

Стаття 8. Таемна iнформацiя

1. Таемна iнформацiя – iнформацiя, розголошення якоi може завдати шкоди особi, суспiльству i державi. Таемною визнаеться iнформацiя, яка мiстить державну, професiйну, банкiвську таемницю, таемницю досудового розслiдування та iншу передбачену законом таемницю.

Стаття 9. Службова iнформацiя

1. До службовоi може належати така iнформацiя:

1) що мiститься в документах суб'ектiв владних повноважень, якi становлять внутрiвiдомчу службову кореспонденцiю, доповiднi записки, рекомендацii, якщо вони пов'язанi з розробкою напряму дiяльностi установи або здiйсненням контрольних, наглядових функцiй органами державноi влади, процесом прийняття рiшень i передують публiчному обговоренню та/або прийняттю рiшень;

2) зiбрана в процесi оперативно-розшуковоi, контррозвiдувальноi дiяльностi, у сферi оборони краiни, яку не вiднесено до державноi таемницi.

2. Документам, що мiстять iнформацiю, яка становить службову iнформацiю, присвоюеться гриф «для службового користування».

Закон Украiни «Про захист персональних даних» (2010)

Стаття 5. Об'екти захисту

1. Об'ектами захисту е персональнi данi.

2. Персональнi данi, крiм знеособлених персональних даних, за режимом доступу е iнформацiею з обмеженим доступом.

Закон Украiни «Про електроннi документи та електронний документообiг» (2003)

Стаття 15. Обiг електронних документiв, що мiстять iнформацiю з обмеженим доступом

В iнформацiйних, телекомунiкацiйних, iнформацiйно-телекомунiкацiйних системах, якi забезпечують обмiн електронними документами, що мiстять iнформацiю, яка е власнiстю держави, або ІзОД, повинен забезпечуватися захист цiеi iнформацii вiдповiдно до законодавства.

Таким чином, потрiбно захищати ІзОД та iнформацiю, що е власнiстю держави та циркулюе в iнформацiйно-телекомунiкацiйних системах.

Види захисту iнформацii

1. Органiзацiйний – попередження доступу на об'ект iнформацiйноi дiяльностi стороннiх осiб за допомогою органiзацiйних заходiв (охорона, пропускний режим, регламентацiя доступу тощо).

2. Інженерний – попередження доступу на об'ект iнформацiйноi дiяльностi стороннiх осiб та руйнування об’екту захисту внаслiдок навмисних дiй або природного впливу iнженерно-технiчними засобами (обмежуючi конструкцii доступу, вiдеоспостереження, охоронно-пожежна сигналiзацiя тощо).

3. Технiчний (ТЗІ) – забезпечення обмеження доступу до iнформацii апаратно-технiчними засобами (зашумлення, маршрутизатори, антивiруси, фаерволи, смарт-карти тощо):

– захист вiд витоку технiчними каналами;

– захист вiд НСД.

4. Криптографiчний (КЗІ) – попередження доступу до iнформацii за допомогою математичних перетворень:

– попередження несанкцiонованоi модифiкацii;

– попередження несанкцiонованого розголошення.

Закон Украiни «Про захист iнформацii в автоматизованих системах» визначив термiн захист iнформацii: це сукупнiсть органiзацiйно-технiчних заходiв i правових норм для запобiгання заподiянню шкоди iнтересам власника iнформацii чи АС та осiб, якi користуються iнформацiею. Разом з тим, у законi ще не застосовувалось таке поняття як комплексна система захисту iнформацii.

Також вiн визначив термiн автоматизована система (далi – АС): це система, що здiйснюе автоматизовану обробку даних i до складу якоi входять технiчнi засоби iх обробки (засоби обчислювальноi технiки та зв'язку), а також методи i процедури, програмне забезпечення.

Згiдно ДСТУ 2226—93 «Автоматизованi системи. Термiни та визначення»:

АС – органiзацiйно-технiчна система, що складаеться iз засобiв автоматизацii певного виду (чи кiлькох видiв) дiяльностi людей та персоналу, що здiйснюе цю дiяльнiсть.

Згiдно НД ТЗІ 1.1-003-99 «Термiнологiя в галузi захисту iнформацii в комп’ютерних системах вiд несанкцiонованого доступу»:

– АС – органiзацiйно-технiчна система, що реалiзуе iнформацiйну технологiю та поеднуе у собi: обчислювальну систему, фiзичне середовище, персонал та iнформацiю, яка обробляеться.

– захист iнформацii в АС – дiяльнiсть, спрямована на забезпечення безпеки оброблюваноi в АС iнформацii та системи у цiлому, що дае змогу запобiгти реалiзацii загроз або унеможливити ii, та зменшити ймовiрнiсть завдання збиткiв вiд реалiзацii загроз.

– комплексна система захисту iнформацii (далi – КСЗІ) – це сукупнiсть органiзацiйних i iнженерних заходiв, програмно-апаратних засобiв, якi забезпечують захист iнформацii в АС.

Наступним етапним документом став Закон Украiни «Про захист iнформацii в iнформацiйно-телекомунiкацiйних системах», який був прийнятий у 2005 роцi на замiну Закону «Про захист iнформацii в АС». Вiн визначив багато нових термiнiв, зокрема, такi:

– КСЗІ – взаемопов'язана сукупнiсть органiзацiйних та iнженерно-технiчних заходiв, засобiв i методiв захисту iнформацii;

– захист iнформацii в системi – дiяльнiсть, спрямована на запобiгання несанкцiонованим дiям щодо iнформацii в системi;

– iнформацiйна (автоматизована) система – органiзацiйно-технiчна система, в якiй реалiзуеться технологiя обробки iнформацii з використанням технiчних i програмних засобiв;

– телекомунiкацiйна система – органiзацiйно-технiчна система, що реалiзуе технологiю iнформацiйного обмiну за допомогою технiчних i програмних засобiв шляхом передавання та приймання iнформацii у виглядi сигналiв, знакiв, звукiв, зображень чи iншим чином;

– iнформацiйно-телекомунiкацiйна система (далi – ІТС) – сукупнiсть iнформацiйних та телекомунiкацiйних систем, якi у процесi обробки iнформацii дiють як едине цiле;

– iнформацiйний ресурс – будь-якi данi в електронному виглядi, якi обробляються або зберiгаються в iнформацiйно-телекомунiкацiйнiй системi.

Закон Украiни «Про захист iнформацii в ІТС»

Стаття 2. Об'екти захисту в системi

Об'ектами захисту в системi е iнформацiя, що обробляеться в нiй, та програмне забезпечення, яке призначено для обробки цiеi iнформацii.

Стаття 8. Умови обробки iнформацii в системi

Інформацiя, яка е власнiстю держави, або ІзОД, вимога щодо захисту якоi встановлена законом, повинна оброблятися в системi iз застосуванням КСЗІ з пiдтвердженою вiдповiднiстю. Пiдтвердження вiдповiдностi здiйснюеться за результатами державноi експертизи в порядку, встановленому законодавством.