Порядок здійснення захисту інформації на об'єктах інформаційної діяльності

Технічний захист інформації здійснюється поетапно:

• 1 етап — визначення й аналіз загроз;

• 2 етап — розроблення системи захисту інформації;

• 3 етап — реалізація плану захисту інформації;

• 4 етап — контроль функціонування та керування системою захисту інформації.

На першому етапі слід зробити аналіз об'єктів ТЗІ, ситуаційного плану, умов функціонування Підприємства; оцінити ймовірність прояву загроз та очікувану шкоду від реалізації їх, підготувати дані для побудови окремої моделі загроз.

Джерелами загроз може бути діяльність іноземних розвідок, конкуренти з господарської діяльності, а також навмисні або ненавмисні дії юридичних і фізичних осіб.

Опис загроз і схематичне подання шляхів здійснення їх складають окрему модель загроз.

— бути відповідними загрозам;

— бути розробленими з урахуванням можливої шкоди від реалізації їх і вартості захисних заходів та обмежень, що вносяться ними;

— забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.

Рівень захисту інформації визначається системою кількісних та якісних показників, які забезпечують розв'язання завдання захисту інформації на основі норм та вимог ТЗІ.

Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпечнішій загрозі.

Підвищення рівня захисту інформації досягається нарощуванням технічних заходів протидії безлічі загроз.

Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізації заходів ТЗІ, розрахунку ефективності захисту та порядок атестації технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщень) установлюються нормативними документами системи ТЗІ.

На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні зони безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, технічних засобів захисту інформації, робочих місць (приміщень) на відповідність вимогам безпеки інформації.

Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації (далі — засоби ТЗІ) та контролю ефективності захисту, які мають сертифікат відповідності вимогам нормативних документів системи УкрСЕПРО або дозвіл на використання їх від уповноваженого Кабінетом Міністрів України органу, а також застосуванням спеціальних інженєрно-технічних споруд, засобів і систем (далі — засоби забезпечення ТЗІ).

Засоби ТЗІ можуть функціонувати автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у них складових елементів.

Склад засобів забезпечення ТЗІ, перелік їхніх постачальників, а також послуг з установлення, монтажу, налагодження та обслуговування визначаються особами, що володіють, користуються й розпоряджаються ІзОД самостійно або за рекомендаціями спеціалістів з ТЗІ, згідно з нормативними документами системи ТЗІ.

Надання послуг з ТЗІ, атестацію та сервісне обслуговування засобів забезпечення ТЗІ можуть здійснювати юридичні й фізичні особи, що мають ліцензію на право проведення цих робіт, видану органом, уповноваженим Кабінетом Міністрів України.

Метою обстеження об'єктів інформаційної діяльності Підприємства є вивчення його ІД, визначення об'єктів захисту — ІзОД; виявлення загроз, їхній аналіз та побудова окремої моделі загроз.

Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і затверджується наказом Керівника Підприємства.

У ході обстеження необхідно:

— провести аналіз умов функціонування ОІД Підприємства, розташування їх на місцевості (ситуаційного плану) для визначення можливих джерел загроз;

— дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території;

— вивчити схеми засобів і систем життєзабезпечення ОІД (електроживлення, заземлення, автоматизації, пожежної та охоронної сигналізації), а також інженерних комунікацій та металоконструкціє

— дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, поширення й зберігання (далі — опрацювання) інформації і провести необхідні вимірювання;

— визначити наявність і технічний стан засобів забезпечення ТЗІ;

— перевірити наявність на ОІД нормативних документів, які забезпечують функціонування системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД;

— виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;

— визначити технічні засоби і системи, застосування яких не обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;

— визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ.

За результатами обстеження слід скласти акт, який повинен бути затверджений Керівником Підприємства.

Матеріали обстеження необхідно використовувати під час розроблення окремої моделі загроз, яка повинна включати:

— генеральний та ситуаційний плани Підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території;

— схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкціонованого доступу до ІзОД;

— оцінку шкоди, яка передбачається від реалізації загроз.