Комплексная система защиты информации (КСЗИ) - взаимосвязанная совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации

 
Направления защиты информации в КСЗИ:
  • Техническая защита информации
    • ТЗИ от НСД на прикладном и программном уровне
    • ТЗИ от НСД на аппаратном уровне
    • ТЗИ на сетевом уровне
    • Средства и меры ТЗИ
  • Криптографическая защита информации
  • Организационные мероприятия защиты информации
  • Нормативно-методическое обеспечение КСЗИ
Лекционные материалы и семинары
  • Семінар 1 "Основні поняття та визначення КСЗІ"
Понятійний апарат захисту інформації, об’єктів інформаційної діяльності
  1. Визначення інформації. Властивості інформації. Визначення поняття документ, електронний документ.
  2. Основні поняття та визначення в Законі України "Про захист інформації в інформаційно-телекомунікаційних системах"
  3. Основні поняття та визначення згідно НД ТЗІ 1.1-003-99 "Термінологія в галузі захисту інформації в  комп’ютерних системах від несанкціонованого доступу". Автоматизовані системи класу 1, 2, 3. 
  4. Захист інформації. Інформаційна безпека. Методи захисту. Засоби захисту.
  5. Вимоги до системи захисту інформації.
  6. Види забезпечення системи захисту інформації.
  7. Принципи створення комплексної системи захисту інформації (КСЗІ)
  8. Концептуальна модель безпеки інформації.
  9. Класиіфікація загроз безпекці інформаціїї.
  • Семінар 2 "Нормативно-правове забезпечення КСЗІ"
Нормативно-правове регулювання захисту інформації в Україні
  1. Детальна класифікація загроз безпеки інформації.
  2. Структура законодавства України в галузі захисту інформації.
  3. Класифікація інформації за режимом доступу. Класифікація інформації з обмеженим доступом.
  4. Визначення конфіденційної інформації (Згідно Закону України «Про інформацію») Визначення комерційної таємниці.
  5. Основні параметри комерційної таємниці (об’єкт, суб’єкт, характеристики та ін..) Основні напрями державної інформаційної політики.
  6. Державна таємниця. Законодавство щодо державної таємниці. Інформація, що може бути віднесена до державної таємниці. Ступені секретності. Основні організаційно-правові заходи щодо охорони державної таємниці. (Закон України «Про державну таємницю).
  7. Загрози національним інтересам і національній безпеці України в інформаційній сфері згідно Закоу України «Про основи національної безпеки України». Аналіз сучасного стану.
  8. Закон України "Про захист інформації в інформаційно-телекомунікаційних системах". Об'єкти захисту в системі. Суб'єкти відносин, пов'язаних із захистом інформації в системах. Вимоги до створення КСЗІ. Визначення відповідності вимогам. Відповідальність та функції власника.
  9. Характеристика статей Кримінального кодексу України, що стосуються інформаційної безпеки.
  10. Основні положення Указу Президента України «Про Положення про технічний захист інформації в Україні» (від 27 вересня 1999 р. № 1229/99). Правова основа ТЗІ, суб’єкти системи ТЗІ, основні завдання органів, щодо яких здійснюється ТЗІ.
  11. Основні положення Указу Президента України «Про Положення про порядок здійснення криптографічного захисту інформації в Україні» (від 22 травня 1998 р. № 505/98)
  12. Постанова Кабінету міністрів України «Про затвердження Концепції технічного захисту інформації в Україні» (від 8 жовтня 1997 р. № 1126). Визначення ТЗІ, основні положення, причини загроз безпеці інформації, основні функції організаційних структур системи ТЗІ, основні напрями державної політики у сфері ТЗІ.
  13. Основні положення ДСТУ 3396.0-96. «Захист інформації. Технічний захист інформації. Основні положення», ДСТУ 3396.1-96. «Захист інформації. Технічний захист інформації. Порядок проведення робіт», ДБH А.2.2-2-96. «Проектування. Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва».
  • Семінар 3 "Методи та засоби стеганографічного захисту інформаціїї"
  1. Визначення стеганографії. Історія стеганографічного захисту інформації. Приклади методів традиційної (класичної) стеганографії. 
  2. Класифікація методів традиційної (класичної) стеганографії.
  3. Визначення та принципи комп'ютерної стеганографії. Стеганографічна система. Принцип дії. Термінологія.
  4. Види стегосистем. Вимоги до стегосистем. Види контейнерів. Напрями використання стеганографії. Методи комп'ютерної стеганографії.
  5. Основні алгоритми комп'ютерної стеганографії. Мережева стеганографія. Цифрові водяні знаки.
  6. Стійкість стегосистем. Основні атаки на стегосистеми. Огляд стеганографічного програмного забезпечення.
  • Семінар 4 "Криптографічний захист інформації"
  1. Історія та основні поняття криптографії. 
    • Визначення криптографії.
    • Приклади історичних шифрів.
    • Розвиток криптографії.
    • Поняття криптології, криптографії, ключа і т.і.
  2. Питання криптоаналізу.
    • Визначення криптоаналізу.
    • Поняття компроментації ключа.
    • Поняття стійкості шифру.
    • Види атак на криптосистеми.
    • Умови існування абсолютно стійкої криптосистеми.
  3. Симетричні алгоритми шифрування. 
    • Визначення симетричної криптосистеми.
    • Принципіальна схема роботи симетричної криптосистеми.
    • Класифікація симетричних шифрів.
    • Стандарти симетричних алгоритмів та приклади.
  4. Криптосистеми з відкритим ключем. 
    • Історія створення криптосистем з відкритим ключем.
    • Принцип роботи та схема криптосистеми з відкритим ключем.
    • Основні алгоритми шифрування з відкритим ключем.
  5. Цифровий підпис. 
    • Визначення, історія, застосування.
    • Основні алгоритми.
    • Хеш-функція.
    • Нормативна база.
  6. Квантова криптографія. 
  7. Стійкість криптосистем.
    • Визначення стікості.
    • Фактори, що впливають на стійкість криптосистем.
    • Законодавство різних країн щодо стіікості.
    • ГОСТ 28147-89
  • Модульний контроль № 1
  1. Визначення інформації. Властивості інформації. Визначення поняття документ, електронний документ.
  2. Визначення: власник інформації, захист інформації в системі, інформаційна (автоматизована) система, інформаційно-телекомунікаційна система, телекомунікаційна система, технічний захист інформації, комплексна система захисту інформації, 
  3. Визначення: порушник, політика безпеки, ідентифікація, автентифікація, автоматизовані системи класу 1, 2, 3. 
  4. Визначення: захист інформації, інформаційна безпека, методи захисту, засоби захисту, об’єкт захисту.
  5. Вимоги до системи захисту інформації, види забезпечення системи захисту інформації, принципи створення комплексної системи захисту інформації (КСЗІ)
  6. Класифікація загроз безпеці інформації.
  7. Структура законодавства України в галузі захисту інформації.
  8. Класифікація інформації за режимом доступу. 
  9. Визначення комерційної таємниці. Основні параметри комерційної таємниці (об’єкт, суб’єкт, характеристики та ін..)
  10. Основні напрями державної інформаційної політики. 
  11. Державна таємниця. Законодавство щодо державної таємниці. Ступені секретності. 
  12. Стисла характеристика загроз національним інтересам і національній безпеці України в інформаційній сфері. 
  13. Визначення стеганографії. Класифікація методів традиційної (класичної) стеганографії.
  14. Визначення та принципи комп'ютерної стеганографії. Стеганографічна система. Термінологія.
  15. Види стегосистем. Вимоги до стегосистем. Види контейнерів. Напрями використання стеганографії. Методи комп'ютерної стеганографії.
  16. Визначення криптографії. Основні поняття криптографії. Умови існування абсолютно стійкої криптосистеми.
  17. Визначення та принципи симетричної криптосистеми. Класифікація симетричних шифрів.
  18. Основні принципи криптосистем з відкритим ключем. Цифровий підпис. 
  19. Завдання, вирішуються на першому етапі створення КСЗІ. 
  20. Дайте характеристику другого етапу створення КСЗІ.
  21. Яка послідовність розробки технічного завдання на створення КСЗІ і що обов’язково має в ньому відображатись?
  22. Дайте характеристику і назвіть складові ескізного, технічного та робочого проекту з створення КСЗІ. 
  23. Які етапи введення КСЗІ в дію існують і як оцінюється захищеність інформація в ІТС?
  24. Охарактеризуйте шостий етап створення КСЗІ.
  • Семінар 5 "Порядок проведення робіт зі створення КСЗІ"
Перелік та детальна характеристика кожного етапу робіт зі створення КСЗІ згідно НД ТЗІ 3.7-003 -2005
  • Питання для підготовки до іспиту
Теоретичні питання
  1. Визначення інформації. Властивості інформації. Види інформації.
  2. Загрози безпеці інформації, їх класифікація.
  3. Визначення захисту інформації. Види захисту інформації. Механізми, засоби та заходи захисту інформації.
  4. Нормативне регулювання захисту інформації.
  5. Визначення несанкціонованого доступу до інформації. Причини НСД. Класифікація методів НСД. 
  6. Нормативне регулювання захисту від НСД . Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. НД ТЗІ 1.1-002-99
  7. Основні принципи забезпечення захисту інформації від НСД. Особливості захисту від НСД в АС класу 1, АС класу 2, АС класу 3.
  8. Основні атаки на WEB-ресурси. Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу. НД ТЗІ 2.5-010-03 
  9. Поняття технічного захисту інформації. Нормативне регулювання захисту інформації від витоку та руйнування технічними каналами..
  10. Загрози витоку інформації технічними каналами. Джерела загроз, згідно ДСТУ 3396.0-96. Класифікація технічних каналів.
  11. Основні визначення згідно ДСТУ 3396.2-97 (закладка, програмна закладка, спеціальний вплив, технічна розвідка, модель технічної розвідки, технічний канал, штучний та самочинний канали).
  12. Визначення основних технічних засобів, допоміжних технічних засобів, технічних засобів пересилання, оброблення, зберігання, відображення інформації, згідно ТР ТЗІ - ПЕМВН-95. Їх склад.
  13. Виток каналами побічних електромагнітних випромінювань та наводок. Методи та засоби захисту від ПЕМВН. ТР ТЗІ - ПЕМВН-95. Склад робіт із захисту інформації від витоку ПЕМВН.
  14. ТЗІ на програмному, апаратному та мережевому рівнях.
  15. Поняття КСЗІ. Нормативне регулювання проведення робіт зі створення КСЗІ. Основні визначення (інформаційна, телекомунікаційна, інтегрована, інформаційно-телекомунікаційна системи), згідно НД ТЗІ 3.7-003 -2005
  16. Послідовність створення КСЗІ. Етапи створення КСЗІ та їх характеристика.
  17. Служба захисту інформації. Основні її функції. НД 1.4-001-2000
  18. Загальних вимоги до КСЗІ. Обґрунтування необхідності створення КСЗІ.
  19. Обстеження середовища функціонування ІТС. Складання акту обстеження. ДСТУ 3396.1.
  20. Етапи формування завдання на створення КСЗІ, згідно НД ТЗІ 3.7-003 -2005
  21. Етапи розробка політики безпеки в ІТС. Оформлення політики безпеки. План захисту. НД ТЗІ 1.1-002. НД ТЗІ 1.4-001.
  22. Зміст технічного завдання на створення КСЗІ. Загальні вимоги до розробки технічного завдання. НД ТЗІ 3.7-001 та ГОСТ 34.602. 
  23. Розробка проекту КСЗІ, згідно НД ТЗІ 3.7-003 -2005. Характеристика ескізного, технічного та робочого проектів.
  24. Етапи введення КСЗІ в дію, оцінка захищеності інформації та супровід КСЗІ.
  25. Особливості створення КСЗІ для ДТ, службової інформації, персональних даних.
  26. Визначення політики безпеки. Загальні принципи розробки політики безпеки. 
  27. Аналіз загроз інформації в ІТС. Модель загроз. Модель порушника.
  28. План та організація проведення відновлювальних робіт і забезпечення неперервного функціонування АС.
  29. Документальне оформлення політики безпеки. Правила розмежування доступу.
  30. Введення КСЗІ в дію. Основні поняття (верифікація, випробування, інформаційна модель процесу, оцінювання та інші), згідно НД ТЗІ 2.6-001-11.
  31. Порядок проведення випробувань КСЗІ та навчання персоналу СЗІ.
  32. Комплекс робіт при попередньому випробуванню КСЗІ. Порядок проведення та оформлення попереднього випробування (РД 50-34.698). Методи, що використовуються в попередньому випробуванні.
  33. Порядок проведення дослідної експлуатації КСЗІ.
  34. Державна експертиза КСЗІ. Етапи проведення. НД ТЗІ 2.6-001-11.
  35. Основні захисні механізми операційної системи MS Windows.
Приклади практичних завдань для підготовки до іспиту:
  1. Скласти акт обстеження об'єкту інформаційної діяльності.
  2. Скласти модель загроз інформації для конкретного об'єкту.
  3. Скласти модель порушника.
  4. Визначити правила розмежування доступу для АС класу 1.
  5. В рамках розробки політики безпеки, визначити заходи захисту від НСД.
Допоміжні
  • КЛАСИФІКАЦІЯ ЗАГРОЗ БЕЗПЕКИ ІНФОРМАЦІЇ
Відповідно до визначень НД ТЗІ 1.1-003-99 “Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу” модель загроз це - абстрактний формалізований чи неформалізований опис методів і засобів здійснення загроз (рос.: Модель угроз, англ.: Model of threats).
Для кожної окремої автоматизованої системи модель загроз інформації - це опис методів та засобів здійснення загроз для інформації в конкретних умовах функціонування цієї системи.
Формування моделі загроз інформації є одним з головних чинників забезпечення її безпеки, оскільки безпосередньо пов'язано з вибором необхідного переліку послуг безпеки, заходів і засобів захисту, що реалізуються в АС. Всебічність та повнота аналізу загроз дає необхідну впевненість, що враховані всі суттєві загрози безпеки інформації.
Конструктивним шляхом створення моделі загроз є формування окремих моделей загроз для кожного компонента автоматизованої системи. Формування окремих моделей загроз повинно здійснюватися на підставі загальної класифікації загроз інформації та загальної моделі порушника.
Протягом життєвого циклу кожної АС модель загроз необхідно переглядати у зв'язку з модернізацією та розвитком АС, а також періодично, у зв'язку з удосконаленням технічних та програмних засобів подолання механізмів захисту.
Згідно з нормативними документами системи ТЗІ (НД ТЗІ 1.1-002-99 “Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу”, НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу” і НД ТЗІ 1.4-001-2000 “Типове положення про службу захисту інформації в автоматизованій системі”) загрози для інформації можливо класифікувати наступним чином.
 
За результатом впливу на інформацію та систему її обробки загрози підрозділяються на чотири класи:
  • порушення конфіденційності інформації (отримання інформації користувачами або процесами всупереч встановленим правилам доступу);
  • порушення цілісності інформації (повне або часткове знищення, викривлення, модифікація, нав’язування хибної інформації);
  • порушення доступності інформації (втрата часткова або повна працездатності системи, блокування доступу до інформації);
  • втрата спостереженості або керованості системи обробки (порушення процедур ідентифікації та автентифікації користувачів та процесів, надання їм повноважень, здійснення контролю за їх діяльністю, відмова від отримання або пересилання повідомлень).
За можливими способами здійснення:
  • технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо та радіотехнічні, хімічні та інші канали;
  • каналами  спеціального  впливу  шляхом  формування полів і сигналів  з метою руйнування системи захисту або порушення цілісності інформації;
  • несанкціонованим  доступом  шляхом підключення до апаратури та  ліній зв’язку, маскування під зареєстрованого користувача, подолання  заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів. 
За природою виникнення:
  • об'єктивні чи природні загрози (загрози, що викликані впливами на АС та її компоненти об’єктивних фізичних процесів або стихійних природних явищ, що не залежать від людини);
  • суб’єктивні загрози (загрози, що викликані діяльністю людини).
Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та навмисні.
 
Випадковими загрозами суб’єктивної природи (дії, які здійснюються персоналом або користувачами по неуважності, недбалості, незнанню тощо, але без навмисного наміру) можуть бути:
  • дії, що призводять до відмови АС (окремих компонентів), руйнування апаратних, програмних, інформаційних ресурсів (обладнання, каналів зв’язку, видалення даних, програм та ін.);
  • ненавмисне пошкодження носіїв інформації;
  • неправомірна зміна режимів роботи АС (окремих компонентів, обладнання, ПЗ тощо),  ініціювання тестуючих або технологічних процесів, які здатні призвести до незворотних змін у системі (наприклад, форматування носіїв інформації);
  • неумисне зараження ПЗ комп’ютерними вірусами;
  • невиконання вимог до організаційних заходів захисту  чинних в АС розпорядчих документів;
  • помилки під час введення даних в систему, виведення даних за невірними адресами пристроїв, внутрішніх і зовнішніх абонентів тощо; 
  • будь-які дії, що можуть призвести до розголошення конфіденційних відомостей, атрибутів розмежування доступу, втрати атрибутів тощо;
  • неправомірне впровадження і використання забороненого політикою безпеки ПЗ (наприклад, навчальні та ігрові програми, системне і прикладне забезпечення та ін.);
  • наслідки некомпетентного застосування засобів захисту, та інші.
Навмисними загрозами суб’єктивної природи, спрямованими на дезорганізацію роботи АС (окремих компонентів) або виведення її з ладу, проникнення в систему і одержання можливості несанкціонованого доступу до її ресурсів, можуть бути:
  • порушення фізичної цілісності АС (окремих компонентів, пристроїв, обладнання, носіїв інформації);
  • порушення режимів функціонування (виведення з ладу) систем життєзабезпечення АС (електроживлення, уземлення, охоронної сигналізації, вентиляції та ін.);
  • порушення режимів функціонування АС (обладнання і ПЗ);
  • впровадження і використання комп’ютерних вірусів, закладних (апаратних і програмних) і підслуховуючих пристроїв, інших засобів розвідки;
  • використання засобів перехоплення побічних електромагнітних випромінювань і наводів, акусто-електричних перетворень інформаційних сигналів;
  • використання (шантаж, підкуп тощо) з корисливою метою персоналу АС;
  • крадіжки носіїв інформації, виробничих відходів (роздруків, записів, тощо);
  • несанкціоноване копіювання носіїв інформації;
  • читання залишкової інформації з оперативної пам’яті ЕОМ, зовнішніх накопичувачів;
  • одержання атрибутів доступу з наступним їх використанням для маскування під зареєстрованого користувача (“маскарад”);
  • неправомірне підключення до каналів зв’язку, перехоплення даних, що передаються, аналіз трафіку тощо;
  • впровадження і використання забороненого політикою безпеки ПЗ або несанкціоноване використання ПЗ, за допомогою якого можна одержати доступ до критичної інформації (наприклад, аналізаторів безпеки мереж), та інші.
За місцем розміщення джерела загроз відносно автоматизованої системи навмисні загрози поділяються:
  • дистанційні загрози – джерело яких знаходиться за межами контрольованої території.
  • контактні загрози  –  які здійснюються в межах контрольованої зони, як правило при проникненні у приміщення, де розташовано засоби обробки та збереження інформації.
  • МОДЕЛЬ НАРУШИТЕЛЯ
У кожному конкретному випадку, виходячи з технології обробки інформації, визначається модель порушника, яка повинна бути адекватна реальному порушнику для даної АС. Модель порушника —  абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час та місце дії  та інше. 
Порушник – це особа, яка помилково, внаслідок необізнаності, або цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
При визначені моделі порушника необхідно виходити з мети, яку він перед собою визначає, з рівня його можливостей і знань,  за використовуваними методами і способами отримання інформації та його місця знаходження відносно АС.
 
Метою порушника можуть бути:
  • отримання необхідної інформації у потрібному обсязі та асортименті;
  • мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами (інтересами, планами);
  • нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.
За рівнем можливостей, що надаються їм засобами АС: 
  • перший рівень визначає найнижчий рівень можливостей ведення діалогу з АС  —  можливість запуску фіксованого набору завдань (програм), що реалізують заздалегідь передбачені функції  обробки інформації; 
  • другий рівень визначається можливістю створення і запуску власних програм з новими функціями  обробки iнформації; 
  • третій рівень визначається можливістю управління функціонуванням АС, тобто впливом на базове програмне забезпечення системи і на склад і конфігурацію її устаткування; 
  • четвертий рівень визначається повним обсягом можливостей осіб, що здійснюють проектування, реалізацію, впровадження, супроводження програмно-апаратного забезпечення АС, аж до включення до складу АС власних засобів з новими функціями  обробки інформації.
За рівнем знань про АС усіх порушників можна класифікувати як таких, що:
  • володіють інформацією про функціональні особливості АС, основні закономірності формування в ній масивів даних та потоків запитів до них, вміють користуватися штатними засобами; 
  • володіють високим рівнем знань та досвідом роботи з технічними засобами системи та їхнього обслуговування;
  • володіють високим рівнем знань у галузі обчислювальної техніки та програмування, проектування та експлуатації АС;
  • володіють інформацією про функції та механізм дії засобів захисту.
За використовуваними методами і способами порушників можна класифікувати як таких, що:
  • використовують виключно агентурні методи одержання відомостей;
  • використовують пасивні технічні засоби перехоплення інформаційних сигналів;
  • використовують виключно штатні засоби АС або недоліки проектування КСЗІ для реалізації спроб НСД;
  • використовують способи і засоби активного впливу на АС, що змінюють конфігурацію системи (підключення додаткових або модифікація штатних технічних засобів, підключення до каналів передачі даних, впровадження і використання спеціального ПЗ тощо).
За місцем здійснення дії можуть класифікуватись:
  • без одержання доступу на контрольовану територію організації (АС);
  • з одержанням доступу на контрольовану територію, але без доступу до технічних засобів АС;
  • з одержанням доступу до робочих місць кінцевих (у тому числі віддалених) користувачів АС;
  • з одержанням доступу до місць накопичення і зберігання даних (баз даних, архівів, АРМ відповідних адміністраторів тощо);
  • з одержанням доступу до засобів адміністрування АС і засобів керування КСЗІ.
Визначені в додатку НД ТЗІ 1.4-001-2000 моделі порушника не являються вичерпаними. Визначення конкретних значень характеристик можливих порушників у значній мірі суб’єктивно. Модель порушника, яка побудована з урахуванням особливості конкретної предметної галузі та технології обробки інформації, може бути визначена переліком декількох варіантів його обліку.
  • Етапи створення КСЗІ
  1. Формування загальних вимог до КСЗІ в ІТС
    • Обґрунтування необхідності створення КСЗІ
      • аналіз нормативно-правових актів на підставі яких може встановлюватися обмеження доступу, або визначатися необхідність забезпечення захисту інформації; 
      • визначення наявності у складі інформації видів, що потребують обмеження доступу; 
      • оцінки можливих переваг (фінансово-економічних, соціальних і т.п.) експлуатації ІТС у разі створення КСЗІ.
    • Обстеження середовищ функціонування ІТС
      • загальна структурна схема і склад (перелік і склад обладнання, технічних і програмних засобів, їхні зв'язки, особливості конфігурації, архітектури й топології, програмні і програмно-апаратні засоби захисту інформації, взаємне розміщення засобів тощо);
      • види і характеристики каналів зв'язку;
      • особливості взаємодії окремих компонентів, їх взаємний вплив один на одного;
      • можливі обмеження щодо використання засобів та ін.
      • Фізичне середовище:
      • територіальне розміщення компонентів ІТС; 
      • наявність охорони території та перепускний режим;
      • наявність категорійованих приміщень, в яких мають розміщуватися компоненти ІТС;
      • режим доступу до компонентів фізичного середовища ІТС;
      • вплив чинників навколишнього середовища, захищеність від засобів технічної розвідки;
      • наявність елементів комунікацій, систем життєзабезпечення і зв’язку, що мають вихід за межі контрольованої зони;
      • наявність та технічні характеристики систем заземлення;
      • умови зберігання магнітних, оптико-магнітних, паперових та інших носіїв інформації;
      • наявність проектної  та експлуатаційної документації на компоненти фізичного середовища.
      • При обстеженні середовища користувачів здійснюється аналіз:
      • функціонального та кількісного складу користувачів, їхніх функціональних обов’язків та  рівня кваліфікації;
      • повноважень користувачів щодо допуску до відомостей, які обробляються в ІТС, доступу до ІТС та її окремих компонентів;
      • повноважень користувачів щодо управління КСЗІ;
      • рівня можливостей різних категорій користувачів, що надаються (можуть бути доступними) їм засобами ІТС.
      • наявності СЗІ в ІТС.
    • Формування завдання на створення КСЗІ
      • визначаються завдання захисту інформації в ІТС, мета створення КСЗІ, варіант вирішення задач захисту;
      • здійснюється аналіз ризиків (вивчення моделі загроз і моделі порушника, можливих наслідків від реалізації потенційних загроз, величини можливих збитків та ін.) і визначається перелік суттєвих загроз;
      • визначаються загальна структура та склад КСЗІ, вимоги до можливих заходів, методів та засобів захисту 
  2. Розробка політики безпеки інформації в ІТС
    • Вивчення об’єкта, на якому створюється КСЗІ, проведення науково-дослідних робіт.
    • Вибір варіанту КСЗІ
    • Оформлення політики безпеки
      • вибір основних рішень з протидії всім суттєвим загрозам, формування загальних вимог, правил, обмежень, рекомендацій і т.п., які регламентують використання захищених технологій обробки інформації в ІТС, окремих заходів і засобів захисту інформації, діяльність користувачів всіх категорій;
      • документальне оформлення політики безпеки інформації.
  3. Розробка технічного завдання на створення КСЗІ
    • ТЗ на створення КСЗІ в ІТС є засадним організаційно-технічним документом, який визначає:
      • вимоги із захисту оброблюваної в ІТС інформації; 
      • порядок створення КСЗІ; 
      • порядок проведення всіх видів випробувань КСЗІ;
      • введення КСЗІ в експлуатацію в складі ІТС.
    • ТЗ на створення КСЗІ  розробляється при створюванні ІТС, а також під час модернізації вже існуючих ІТС. Виходячи з цього ТЗ може бути виконано у вигляді:
      • окремого розділу ТЗ на створення ІТС;
      • окремого (часткового) ТЗ;
      • доповнення до ТЗ на створення ІТС.
  4. Розробка проекту КСЗІ
    • При розробки КСЗІ складається: 
      • ескізний проект;
        • функції КСЗІ в цілому та функції її окремих складових частин; 
        • склад комплексів технічного захисту інформації від витоку технічними каналами та від спеціальних впливів; 
        • склад заходів протидії технічним розвідкам, організаційних, правових та інших заходів захисту; 
        • склад КЗЗ; 
        • узагальнена структура КСЗІ та схема взаємодії складових частин.
      • технічний проект;
        • проектні рішення;
        • документація на КСЗІ;
        • завдання на проектування в суміжних частинах
      • Робочий проект передбачає розроблення, оформлення та затвердження робочої та експлуатаційної документації КСЗІ та, у разі необхідності, її окремих складових частин.
  5. Введення КСЗІ в дію та оцінка захищеності інформації в ІТС
    • підготовку КСЗІ до введення в дію;
      • положення про захист інформації в АС, положення про службу захисту інформації в АС, інші документи, що входять до Плану захисту інформації.;
      • інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту, інструкції про порядок  введення в експлуатацію КСЗІ, про порядок її модернізації, про порядок обробки ІзОД в АС, про порядок використання криптографічних засобів та ін.;
      • правила управління паролями в АС, правила видачі, вилучення та обміну персональних ідентифікаторів, інших атрибутів розмежування доступу;
      • інструкції, що встановлюють повноваження та відповідальність персоналу і користувачів;
      • плани виконання робіт або здійснення окремих заходів з захисту інформації в АС.
    • навчання користувачів;
    • комплектування КСЗІ;
    • будівельно-монтажні роботи;
    • пусконалагоджувальні роботи;
      • монтаж обладнання і атестація комплексу технічного захисту інформації від витоку технічними каналами;
      • встановлення і налагодження КЗЗ;
      • перевірку працездатності засобів захисту інформації в автономному режимі та при їх комплексній взаємодії.
    • попередні випробування;
    • дослідну експлуатацію;
      • відпрацьовуються технології оброблення інформації, обігу машинних носіїв інформації, керування засобами захисту, розмежування доступу користувачів до ресурсів ІТС та автоматизованого контролю за діями користувачів;
      • співробітники СЗІ та користувачі ІТС набувають практичних навичок з використання технічних та програмно-апаратних засобів захисту інформації, засвоюють вимоги організаційних та розпорядчих документів з питань розмежування доступу до технічних засобів та інформаційних ресурсів;
      • здійснюється (за необхідністю) доопрацювання програмного забезпечення, додаткове налагоджування та конфігурування КЗЗ;
      • здійснюється (за необхідністю) коригування робочої та експлуатаційної документації.
    • державну експертизу КСЗІ.
  6. Супроводження КСЗІ


Приклади документів
 
Теми для доповідей
  1. Аналіз нормативної бази щодо обробки персональних даних в організаціях та установах. 
  2. Типовий порядок захисту персональних даних на підприємствах та установах та пакети документів, що необхідно складати при обробці персональних даних.
  3. Основні зміни в порядку захисту персональних даних, згідно Закону України "Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних"
  4. Відповідальність за неналежний захист персональних даних. Комплекс робіт із захисту персональних даних. Порядок перевірки.
  5. Огляд ринку послуг в сфері захисту персональних даних в Україні.
  6. Детектори брехні по голосу. Технології функціонування, аналіз ринку. Аналіз законодавства щодо законності.
  7. Аналіз законодавства щодо встановлення камер спостереження в приватних та службових приміщеннях. Вимоги до легального встановлення.
  8. Розподіленні обчислення. Огляд найбільш популярних, класифікація. Можливе використання для атаки на захищені системи.
  9. Види атак на WEB-ресурси. Класифікація, приклади найбільш поширених.
  10. Принцип відновлення видаленої інформації на магнітних носіях. Гарантії неможливості відновлення. Огляд методів та засобів.
  11. Огляд та порівняльна характеристика захищеності різних операційних систем.

Закони України в сфері захисту інформації 
Нижче наводиться список НПА щодо інформаційної безпеки (в значенні захисту інформації) в Україні, список не повний (до нього не входять НПА з обмеженим доступом та деякі НПА). Актуальні зміни на сайті Державної служби спецзв'язку та захисту інформації
Укази Президента України
 
 
Постанови Кабінету міністрів України
 
Про забезпечення захисту інформації в ІС, ТС та ІТС
 
Нормативні документи
Нормативні документи в галузі технічного захисту інформації та державні стандарти України (ДСТУ) стосовно створення і функціонування комплексної системи захисту інформації
 
Нормативні документи ТЗІ
Стандарти
Державні будівельні норми
Документи стандартизації
 

 


ВІДГУКИ

  • ITS - Директор

    Компанія IJI IT GROUP не тільки розробила CRM-систему, а і провела тренінги для персоналу, підготувала Інструкції, надала інформаційну підтримку.

  • Газинвестпроект - Директор

    Ми получили полный комплекс услуг, связанный с созданием веб-сайта "с нуля".

  • Альянс Енерго Трейд - Директор

    Рекомендуємо компанію IJI IT GROUP як виконавця робіт, пов’язаних з розробкою і модернізацією сайтів.

 Контакти

ТОВ «АйДжейАй ІТ Груп»

Телефони:
Україна
+380 (63) 205-84-81
+380 (50) 380-14-56

E-mail: inbox@ijigroup.com

Додатково...

 На мапі



Наверх