Комплексні системи захисту інформації. Проектування, впровадження, супровід

Для створення КСЗІ, яка е власнiстю держави, або ІзОД, вимога щодо захисту якоi встановлена законом, використовуються засоби захисту iнформацii, якi мають сертифiкат вiдповiдностi або позитивний експертний висновок за результатами державноi експертизи у сферi технiчного та/або криптографiчного захисту iнформацii. Пiдтвердження вiдповiдностi та проведення державноi експертизи цих засобiв здiйснюються в порядку, встановленому законодавством.

Стаття 9. Забезпечення захисту iнформацii в системi

Вiдповiдальнiсть за забезпечення захисту iнформацii в системi покладаеться на власника системи.

Власник системи, в якiй обробляеться iнформацiя, яка е власнiстю держави, або iнформацiя з обмеженим доступом, вимога щодо захисту якоi встановлена законом, утворюе службу захисту iнформацii або призначае осiб, на яких покладаеться забезпечення захисту iнформацii та контролю за ним.

Про спроби та/або факти несанкцiонованих дiй у системi щодо iнформацii, яка е власнiстю держави, або ІзОД, вимога щодо захисту якоi встановлена законом, власник системи повiдомляе вiдповiдно спецiально уповноважений центральний орган виконавчоi влади з питань органiзацii спецiального зв'язку та захисту iнформацii або пiдпорядкований йому регiональний орган.

Стаття 10. Повноваження державних органiв у сферi захисту iнформацii в системах

Вимоги до забезпечення захисту iнформацii, яка е власнiстю держави, або ІзОД, вимога щодо захисту якоi встановлена законом, встановлюються Кабiнетом Мiнiстрiв Украiни.

Спецiально уповноважений центральний орган виконавчоi влади з питань органiзацii спецiального зв'язку та захисту iнформацii:

– розробляе пропозицii щодо державноi полiтики у сферi захисту iнформацii та забезпечуе ii реалiзацiю в межах своеi компетенцii;

– визначае вимоги та порядок створення КСЗІ, яка е власнiстю держави, або iнформацii з обмеженим доступом, вимога щодо захисту якоi встановлена законом;

– органiзовуе проведення державноi експертизи КСЗІ, експертизи та пiдтвердження вiдповiдностi засобiв технiчного i криптографiчного захисту iнформацii;

– здiйснюе контроль за забезпеченням захисту iнформацii, яка е власнiстю держави, або ІзОД, вимога щодо захисту якоi встановлена законом;

– здiйснюе заходи щодо виявлення загрози державним iнформацiйним ресурсам вiд несанкцiонованих дiй в ІТС та дае рекомендацii з питань запобiгання такiй загрозi.

Державнi органи в межах своiх повноважень за погодженням вiдповiдно iз спецiально уповноваженим центральним органом виконавчоi влади з питань органiзацii спецiального зв'язку та захисту iнформацii або пiдпорядкованим йому регiональним органом встановлюють особливостi захисту iнформацii, яка е власнiстю держави, або ІзОД, вимога щодо захисту якоi встановлена законом.

Особливостi захисту iнформацii в системах, якi забезпечують банкiвську дiяльнiсть, встановлюються Нацiональним банком Украiни.

Закон Украiни «Про Державну службу спецiального зв'язку та захисту iнформацii Украiни» (2006)

Згiдно цього закону ДСТСЗІ СБУ вийшов зi складу СБУ та був реорганiзоваий у Державну службу спецiального зв'язку та захисту iнформацii Украiни (скорочено – Держспецзв'язку), яка е спецiально уповноваженим центральним органом виконавчоi влади з питань органiзацii спецiального зв'язку та захисту iнформацii.

Стаття 16. На Держспецзв'язку згiдно визначених завдань покладаються такi обов'язки:

3) розроблення порядку та вимог щодо захисту державних iнформацiйних ресурсiв* в ІТС, криптографiчного та технiчного захисту iнформацii, яка е власнiстю держави, або

iнформацii з обмеженим доступом, вимога щодо захисту якоi встановлена законом;

* державнi iнформацiйнi ресурси – систематизована iнформацiя, що е доступною за допомогою iнформацiйних технологiй, право на володiння, використання або розпорядження якою належить державним органам, вiйськовим формуванням, утвореним вiдповiдно до законiв Украiни, державним пiдприемствам, установам та органiзацiям, а також iнформацiя, створення якоi передбачено законодавством та яка обробляеться фiзичними або юридичними особами вiдповiдно до наданих iм повноважень суб’ектами владних повноважень.

У «Положеннi про Реестр ІТС органiв виконавчоi влади, а також пiдприемств, установ i органiзацiй, що належать до сфери iх управлiння», затвердженому постановою Кабiнету Мiнiстрiв Украiни вiд 03.08.2005 №688:

державнi електроннi iнформацiйнi ресурси – вiдображена та задокументована в електронному виглядi iнформацiя, необхiднiсть захисту якоi визначено законодавством.

11) накопичення та аналiз даних про вчинення та/або спроби вчинення несанкцiонованих дiй щодо державних iнформацiйних ресурсiв в ІТС, а також про iх наслiдки, iнформування правоохоронних органiв для вжиття заходiв iз запобiгання та припинення кримiнальних правопорушень у зазначенiй сферi; оцiнка стану захищеностi державних iнформацiйних ресурсiв в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах, надання вiдповiдних рекомендацiй;

13) погодження проектiв створення ІТС, в яких оброблятиметься iнформацiя, яка е власнiстю держави, або iнформацiя з обмеженим доступом, вимога щодо захисту якоi

встановлена законом, проведення iх експертноi оцiнки i визначення можливостi введення в експлуатацiю;

16) встановлення порядку i вимог щодо використання ІТС, у тому числi загального користування, органами державноi влади, органами мiсцевого самоврядування, пiдприемствами, установами i органiзацiями незалежно вiд форм власностi, якi збирають, обробляють, зберiгають та передають iнформацiю, яка е власнiстю держави, або iнформацiю з обмеженим доступом, вимога щодо захисту якоi встановлена законом;

32) видача атестата вiдповiдностi комплексних систем захисту iнформацii ІТС, iз застосуванням яких обробляеться iнформацiя, яка е власнiстю держави, або iнформацiя з обмеженим доступом, вимога щодо захисту якоi встановлена законом, вимогам нормативних документiв з питань технiчного захисту iнформацii.

Інструкцiя про порядок облiку, зберiгання i використання документiв, справ, видань та iнших матерiальних носiiв iнформацii, якi мiстять службову iнформацiю (затверджена ПКМУ вiд 27.11.98 №1893)

18. Використання ІТС для друкування документiв з грифом «Для службового користування» та обробки конфiденцiйноi iнформацii, що е власнiстю держави, може здiйснюватися тiльки пiсля створення в нiй КСЗІ та пiдтвердження вiдповiдностi створеноi системи вимогам нормативних документiв з питань технiчного захисту iнформацii в порядку, встановленому законодавством.

Дозвiл на використання ІТС iз зазначеною метою надаеться згiдно з наказом керiвника органiзацii за наявностi атестата вiдповiдностi КСЗІ.

Основний керiвний нормативно-правовий акт:

Правила забезпечення захисту iнформацii в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах (далi – Правила 373) (затвердженi ПКМУ вiд 29.03.2006 №373 з останнiми змiнами згiдно №938 вiд 07.09.2011)

3. У Правилах наведенi нижче термiни вживаються у такому значеннi:

– автентифiкацiя – процедура встановлення належностi користувачевi iнформацii в системi (далi – користувач) пред'явленого ним iдентифiкатора (пароль);

– iдентифiкацiя – процедура розпiзнавання користувача в системi як правило за допомогою наперед визначеного iменi (iдентифiкатора) або iншоi апрiорноi iнформацii про нього, яка сприймаеться системою (логiн).

4. Захисту в системi пiдлягае:

– вiдкрита iнформацiя, яка належить до державних iнформацiйних ресурсiв, а також вiдкрита iнформацiя про дiяльнiсть суб'ектiв владних повноважень, вiйськових формувань, яка оприлюднюеться в Інтернетi, iнших глобальних iнформацiйних мережах i системах або передаеться телекомунiкацiйними мережами (далi – вiдкрита iнформацiя);

– конфiденцiйна iнформацiя, яка перебувае у володiннi розпорядникiв iнформацii, визначених Законом Украiни «Про доступ до публiчноi iнформацii»;

– службова iнформацiя;

– iнформацiя, яка становить державну або iншу передбачену законом таемницю (далi – таемна iнформацiя);

– iнформацiя, вимога щодо захисту якоi встановлена законом.

5. Вiдкрита iнформацiя пiд час обробки в системi повинна зберiгати цiлiснiсть, що забезпечуеться шляхом захисту вiд несанкцiонованих дiй, якi можуть призвести до ii випадковоi або умисноi модифiкацii чи знищення.

Усiм користувачам повинен бути забезпечений доступ до ознайомлення з вiдкритою iнформацiею. Модифiкувати або знищувати вiдкриту iнформацiю можуть лише iдентифiкованi та автентифiкованi користувачi, яким надано вiдповiднi повноваження.

Спроби модифiкацii чи знищення вiдкритоi iнформацii користувачами, якi не мають на це повноважень, неiдентифiкованими користувачами або користувачами з не пiдтвердженою пiд час автентифiкацii вiдповiднiстю пред'явленого iдентифiкатора повиннi блокуватися.

6. Пiд час обробки службовоi i таемноi iнформацii повинен забезпечуватися ii захист вiд несанкцiонованого та неконтрольованого ознайомлення, модифiкацii, знищення, копiювання, поширення.

7. Доступ до службовоi iнформацii надаеться тiльки iдентифiкованим та автентифiкованим користувачам. Спроби доступу до такоi iнформацii неiдентифiкованих осiб чи користувачiв з не пiдтвердженою пiд час автентифiкацii вiдповiднiстю пред'явленого iдентифiкатора повиннi блокуватися.

У системi забезпечуеться можливiсть надання користувачевi права на виконання однiеi або кiлькох операцiй з обробки конфiденцiйноi iнформацii або позбавлення його такого права.

11. У системi здiйснюеться обов'язкова реестрацiя:

– результатiв iдентифiкацii та автентифiкацii користувачiв;