Cover

Ю. Є. Яремчук, П. В. Павловський, В. С. Катаєв, В. В. Сінюгін

Комплексні системи захисту інформації

Навчальний посібник

Каталог посібників Видавництво ВНТУ
← Назад ↑ Зміст → Вперед

РОЗДІЛ 4 АТЕСТАЦІЯ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ

Атестація комплексу ТЗІ (далі – атестація) здійснюється за відповідними програмою і методиками випробувань.

На підставі результатів випробувань складається висновок щодо відповідності стану ТЗІ, який забезпечується комплексом, вимогам нормативних документів з ТЗІ.

Атестація може бути первинною, черговою та позачерговою.

Первинна атестація здійснюється після (або під час) приймання робіт із створення комплексу ТЗІ.

Термін проведення чергової атестації визначається технічним паспортом на комплекс ТЗІ або актом попередньої атестації.

Позачергову атестацію проводять у разі змін умов функціонування ОІД, що приводять до змін загроз для інформації, та за висновками органів, які контролюють стан ТЗІ.

Етапи атестації:

– визначення організації-виконавця атестації та оформлення відповідних організаційних документів;

– аналіз умов функціонування ОІД, технічної документації на комплекс ТЗІ та розроблення і оформлення Програми і методик атестації (ПМА);

– проведення випробувань відповідно до ПМА та оформлення протоколів випробувань і підсумкового документа – акта атестації.

Суб'єкти атестації:

– Державна служба спеціального зв’язку та захисту інформації України (далі – Держспецзв’язок);

– організації-замовники атестації;

– організації-виконавці атестації.

Державна служба спеціального зв’язку та захисту інформації України:

– організує розроблення та вдосконалення нормативних документів з атестації;

– контролює виконання вимог щодо атестації та розглядає апеляції;

– узгоджує вибір організації-виконавця атестації, ПМА та результати атестації на особливо важливих ОІД.

Витрати на проведення атестації вносять до кошторису на проектування, будівництво та експлуатацію (утримання) ОІД.

4.1 Порядок організації та проведення атестації

Організація-замовник на засадах, передбачених законодавством щодо закупівель послуг за рахунок державних коштів, визначає організацію-виконавця атестації.

Організацією-виконавцем атестації може бути підприємство, установа чи організація, які мають відповідну ліцензію або дозвіл на провадження діяльності в галузі ТЗІ, одержані у встановленому законодавством порядку.

Відносини між організацією-замовником та організацією-виконавцем, яка є ліцензіатом, регламентуються укладеним між ними договором.

У разі проведення атестації на особливо важливих ОІД визначення організації-виконавця атестації узгоджується з Дерспецзв’язку.

Організація-виконавець за результатами аналізу відомостей, наданих організацією-замовником, та, за необхідності, за результатами аналізу умов функціонування ОІД і загроз для інформації безпосередньо на ОІД розробляє проект ПМА та подає його на узгодження організації-замовнику.

Узгоджений організацією-замовником проект ПМА затверджує організація-виконавець.

У разі атестації комплексу ТЗІ на особливо важливих ОІД проект ПМА узгоджується також з Держспецзв’язку.

Організація-замовник створює умови проведення атестації, передбачені договором та ПМА.

Організація-виконавець проводить випробування відповідно до ПМА та оформляє акт атестації у 2-х примірниках (1й надається організації-замовнику, 2й – зберігається в організації-виконавця).

До акта атестації додаються протоколи випробувань, передбачених ПМА.

За результатами атестації заповнюється технічний паспорт на комплекс ТЗІ.

У разі проведення атестації на особливо важливих ОІД матеріали з атестації у 5-денний термін організація-виконавець надає Держспецзв’язку. Держспецзв’язку у 2-тижневий термін розглядає результати атестації, приймає рішення щодо можливості їх узгодження, реєструє акт атестації та надсилає його організації-замовнику, одночасно інформуючи про це організацію-виконавця.

4.2 Контроль функціонування та керування системою захисту інформації

Контроль за функціонуванням системи ТЗІ на об’єктах інформаційної діяльності підприємства здійснюється з метою визначення й удосконалення стану ТЗІ в підрозділах підприємства, щодо яких здійснюється ТЗІ, виявлення та запобігання порушенням з ТЗІ в інформаційних системах та об'єктах.

Контроль стану ТЗІ в підрозділах підприємства організується відповідно до планів, затверджених керівниками зазначених органів, шляхом проведення перевірок.

Перевірки стану ТЗІ здійснюються безпосередньо комісіями, на які покладається забезпечення ТЗІ.

Організація проведення перевірок стану ТЗІ, заходи з ТЗІ, які підлягають контролю, висновки та рекомендації визначаються нормативно-правовими актами з питань ТЗІ.

Контрольно-інспекційна робота з питань ТЗІ охоплює планування та проведення перевірок стану ТЗІ в підрозділах підприємства, щодо яких здійснюється ТЗІ, проведення аналізу та надання рекомендацій щодо вдосконалення заходів з ТЗІ.

Перевірки поділяються на комплексні, цільові (тематичні) та контрольні.

При комплексній перевірці вивчається та оцінюється стан ТЗІ в підрозділах підприємства, щодо яких здійснюється ТЗІ.

При цільовій (тематичній) перевірці вивчаються окремі напрямки ТЗІ, перевіряється виконання рішень (розпоряджень, наказів, вказівок) органів державної влади з питань ТЗІ в підрозділах, щодо яких здійснюється ТЗІ, виконання завдань або провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями суб'єктами системи ТЗІ.

При контрольній перевірці перевіряється усунення недоліків, які були виявлені під час проведення попередньої комплексної або цільової перевірки.

Зазначені перевірки можуть бути планові та позапланові, з попередженням та раптові.

Позапланова перевірка здійснюється за вказівкою керівництва підприємства в разі виникнення потреби визначення повноти та достатності заходів з ТЗІ за наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ.

Перевірки здійснюються комісіями підприємства, на які покладено виконання завдань щодо здійснення контролю за функціонуванням системи ТЗІ.

При проведенні перевірки стану ТЗІ контролю підлягають організаційні, організаційно-технічні, технічні заходи з ТЗІ в виділених приміщеннях, інформаційних системах і об'єктах, повнота та достатність робіт з атестації виділених приміщень.

Необхідно провести аналіз функціонування системи захисту інформації, перевірку виконання заходів ТЗІ, контроль ефективності захисту, підготувати та видати дані для керування системою захисту інформації.

Керування системою захисту інформації полягає у адаптації заходів ТЗІ до поточного завдання захисту інформації. За фактами зміни умов здійснення або виявлення нових загроз заходи ТЗІ реалізуються у найкоротший строк.

Контроль організаційних заходів з ТЗІ в підрозділах підприємства складається з перевірки:

• переліку відомостей, що підлягають технічному захисту;

• окремої моделі загроз для інформаційної системи або об'єкта;

• плану контрольованої зони органу, щодо якого здійснюється ТЗІ;

• переліку виділених приміщень органу, щодо якого здійснюється ТЗІ, інформаційних систем та об'єктів;

• проведення категоріювання виділених приміщень та об'єктів.

Контроль організаційно-технічних і технічних заходів щодо ТЗІ у виділених приміщеннях, інформаційних системах та об'єктах, повноти та достатності робіт з атестації виділених приміщень містить перевірку відповідності виконання цих заходів нормативно-правовим актам з питань ТЗІ.

Організаційно-технічні й технічні заходи з ТЗІ у виділених приміщеннях, інформаційних системах та об'єктах, роботи з атестації виділених приміщень виконуються власними силами або суб'єктами підприємницької діяльності в галузі ТЗІ.

За результатами комплексної перевірки комісією складається акт перевірки стану та ефективності заходів з технічного захисту інформації, а цільової та контрольної перевірки – довідка за довільною формою. Ознайомлення керівника суб'єкта системи ТЗІ з актом (довідкою) здійснюється під розпис.

Керівник підрозділу зобов'язаний вжити невідкладних заходів щодо усунення недоліків і реалізації пропозицій комісії відповідно до вимог нормативно-правових актів з питань ТЗІ.

Порушення встановлених норм та вимог з ТЗІ, виявлені під час проведення перевірок, поділяються на три категорії:

• перша – невиконання норм та вимог з ТЗІ, внаслідок чого створюється реальна можливість порушення конфіденційності, цілісності й доступності інформації або її витоку технічними каналами;

• друга – невиконання норм та вимог з ТЗІ, внаслідок чого створюються передумови для порушення конфіденційності, цілісності і доступності інформації або її витоку технічними каналами;

• третя – невиконання інших вимог з ТЗІ.

У разі виявлення порушення першої категорії вживають таких заходів:

– голова комісії негайно доповідає керівництву підприємства про факт порушення для прийняття рішення про припинення робіт, які проводились з порушенням норм і вимог ТЗІ;

– здійснюються заходи з усунення порушень у терміни, погоджені з підрозділом, на який покладено забезпечення ТЗІ;

– організовується в установленому порядку розслідування причин, які призвели до порушень, з метою недопущення їх у подальшому і притягнення осіб, які допустили порушення нормативно-правових актів з питань ТЗІ, до відповідальності згідно з законодавством України.

Дозвіл на відновлення робіт, під час виконання яких були виявлені порушення норм і вимог ТЗІ першої категорії, дає керівник підприємства за погодженням з підрозділом, на який покладено забезпечення ТЗІ після усунення порушень і перевірки достатності та ефективності вжитих заходів з ТЗІ.

Керівництво підприємства зобов'язано надавати комісії повну інформацію стосовно впроваджених заходів з ТЗІ та сприяти проведенню їх перевірки.

4.3 Порядок контролю за станом технічного захисту інформації

Метою контролю є виявлення можливих технічних каналів витоку інформативного (небезпечного) сигналу (проведення спецдосліджень), вироблення заходів, що забезпечують його приховування, оцінювання достатності й ефективності вжитих заходів захисту, оперативний контроль за станом технічного захисту каналів витоку інформативного сигналу.

Технічний канал витоку вважається захищеним, якщо сигнал не перевищує встановленого нормативною документацією відношення "інформативний сигнал/шум".

Пристрої захисту і захищені технічні засоби вважаються справними, якщо їх параметри відповідають вимогам експлуатаційних документів.

Контроль за виконанням організаційних та підготовчих технічних заходів щодо захисту інформації здійснюється візуальним оглядом прокладання проводів і кабелів, що виходять за межі об`єкта захисту, а також технічних засобів захисту та захищеної техніки.

У ході перевірки визначаються:

– наявність електромагнітного зв`язку між лініями ОТЗ та ДТЗ (проходження в одному кабелі чи джгуті), між різними видами ОТЗ та ДТЗ (спільне прокладання проводів систем пожежно-охоронної сигналізації, часофікації, радіотрансляції);

– наявність виходів ліній зв`язку, сигналізації, часофікації, радіотрансляції за межі виділених приміщень;

– наявність незадіяних ОТЗ, ДТЗ, проводів, кабелів;

– можливість відключення ОТЗ на період проведення конфіденційних переговорів або важливих нарад;

– рознесення джерел електромагнітних та акустичних полів на максимально можливу відстань у межах виділених приміщень;

– виконання заземлення апаратури, яке унеможливлює утворення петель з проводів та екранів;

– рознесення кабелів електроживлення ОТЗ та ДТЗ з метою усунення  наводок небезпечних сигналів;

– виконання розведення кіл електроживлення екранованим або крученим кабелем;

– наявність можливості відключення електроживлення ОТЗ під час знеструмлення мережі; відхилення параметрів електроживлення від норм, заданих в ТУ, під час появи несправностей у колах живлення.

У процесі проведення спецдосліджень, перевірки ефективності технічних заходів захисту підлягають інструментальному контролю ОТЗ і лінії зв`язку.

У ході контролю перевіряються електромагнітні поля інформативних (небезпечних) сигналів у широкому діапазоні частот біля апаратури та кабельних з`єднань ОТЗ, наявність інформативних (небезпечних) сигналів у колах, проводах електроживлення та заземленні ОТЗ та ДТЗ.

Під час спецдосліджень визначається радіус, за межами якого відношення "інформативний сигнал/шум" менше гранично допустимої величини. Проводяться вимірювання і розрахунок параметрів інформативного (небезпечного) сигналу, виявляється можливість його витоку каналами ПЕМВН, визначаються фактичні значення його параметрів у каналах витоку, проводиться порівняння фактичних параметрів з нормованими.

У випадку перевищення допустимих значень розробляються захисні заходи, використовуються засоби захисту (екранування джерел випромінювання, встановлення фільтрів, стабілізаторів, засобів активного захисту). Для екранування небезпечних місць можуть використовуватись різноманітні матеріали [11, 12].

Після проведення спецдосліджень, вироблення та впровадження засобів захисту проводиться контроль за ефективністю застосованих технічних засобів захисту.

У процесі роботи технічних засобів і захищеної техніки, у міру необхідності, проводиться оперативний контроль за ефективністю захисту каналів витоку інформативного (небезпечного) сигналу.

Результати контролю (спецдосліджень) оформляються актом, складеним у довільній формі, підписуються перевіряючим та затверджуються керівником підприємства.

4.4 Визначення на підприємстві інформаційних і технічних ресурсів, а також об'єктів інформаційної діяльності, що підлягають захисту

Об’єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, ІзОД, що є державною власністю чи передана державі у володіння, користування, розпорядження (далі – інформація з обмеженим доступом, ІзОД).

4.5 Категоріювання об'єктів інформаційної діяльності підприємства

Категоріюванню підлягають об'єкти, в яких обговорюється, є в наявності, пересилається, приймається, перетворюється, накопичується, обробляється, відображається й зберігається (дали – циркулює) інформація з обмеженим доступом.

До об'єктив, що підлягають категорiюванню, відносяться:

– інформаційні системи (ІС) та засоби обчислювальною техніки (ЗОТ), що діють й проектуються;

– технічні засоби, яки призначені для роботи з ІзОД та не належать до ІС, за винятком тих, що засновані на криптографічних методах захисту;

– приміщення, призначені для проведення нарад, конференцій, обговорень тощо з використанням ІзОД;

– приміщення, в яких розміщені ІС, ЗОТ, інші технічні засоби, призначені для роботи з ІзОД, у тому числи й основані на криптографічних методах захисту.

Категоріювання проводиться з метою вживання обґрунтованих заходів щодо технічного захисту ІзОД, яка циркулює на об`єктах, від витоку каналами побічних електромагнiтних випромінювань й наводок, а також акустичних (вiброакустичних) полів.

Установлюються чотири категорії об'єктів залежно від правового режиму доступу до інформації, що циркулює в них:

– до першої категорії відносять об'єкти, в яких циркулює інформація, що містить відомості, яки становлять державну таємницю, для якої встановлено гриф обмеження доступу "особливої важливості";

– до другої категорії відносять об’єкти, в яких циркулює інформація, що містить відомості, якї становлять державну таємницю, для якї встановлено гриф секретностi "цілком таємно";

– до третьої категорії відносять об'єкти, в яких циркулює інформація, що містить відомості, яки становлять державну таємницю, для якої встановлено гриф секретностi "таємно", а також інформація, що містить відомості, які становлять іншу передбачену законом таємницю, розголошення якої завдає шкоди особї, суспільству й державі;

– до четвертої категорії відносять об'єкти, в яких циркулює службова інформація та ІзОД.

4.6 Порядок проведення робіт з категоріювання об'єктів

Для проведення робіт з категорiювання об`єктів інформаційної діяльності підприємства наказом керівника підприємства призначається комісія. У наказі визначається мета створення комісії, її склад, об'єкти, що підлягають категоріюванню, строки подання результатів.

Комісія з категорiювання визначає:

– вищий гриф обмеження доступу до інформації, що циркулює на об'єкті;

– підставу для категоріювання (первинне, планове, у зв`язку зі змінами).

За результатами роботи комісії складається акт, в якому наводяться зазначені відомості, раніше встановлена категорія та прийняте рішення про категоріювання. Акти затверджуються керівником підприємства.

Під час проведення робіт з категоріювання об`єктів підприємства, на яких циркулює інформація, що містить державну таємницю, враховуються додаткові вимоги та складаються відповідні акти.

Повторне категоріювання об'єкта проводиться у випадку зміни грифа секретностi інформації, що циркулює на об'єкті, і (або) умов розміщення технічних засобів, але не рідше одного разу в 5 років [13, 14].

4.7 Засекречування та розсекречування матеріальних носіїв інформації

Перелік посад, які дають право посадовим особам, що їх займають, надавати матеріальним носіям секретної інформації грифи обмеження доступу, затверджується керівником органу державної влади, що провадить діяльність, пов'язану з державною таємницею.

Засекречування матеріальних носіїв інформації здійснюється шляхом надання відповідному документу, виробу або іншому матеріальному носію інформації гриф обмеження доступу.

Реквізити кожного матеріального носія секретної інформації мають містити гриф обмеження доступу, який відповідає ступеню обмеження доступу до інформації, встановленому рішенням державного експерта з питань таємниць, – "особливої важливості", "цілком таємно", "таємно", дату та строк засекречування матеріального носія секретної інформації, що встановлюється з урахуванням передбачених статтею 13 Закону України «Про державну таємницю» строків дії рішення про віднесення інформації до державної таємниці, підпис, його розшифрування та посаду особи, яка надала зазначений гриф, а також посилання на відповідний пункт (статтю) Зводу відомостей, що становлять державну таємницю.

Якщо реквізити, зазначені у частині другій цієї статті, неможливо нанести безпосередньо на матеріальний носій секретної інформації, вони мають бути зазначені у супровідних документах.

Забороняється надавати грифи обмеження доступу, передбачені цим Законом, матеріальним носіям іншої таємної інформації, яка не становить державної таємниці, або ІзОД.

Ступені обмеження доступу науково-дослідних, дослідно-конструкторських і проектних робіт, які виконуються в інтересах забезпечення національної безпеки та оборони держави, встановлюються державним експертом з питань таємниць, який виконує свої функції у сфері діяльності замовника, разом з підрядником.

Звід відомостей, що становлять державну таємницю, формує та публікує в офіційних виданнях Служба безпеки України на підставі рішень державних експертів з питань таємниць.

На підставі та в межах Зводу відомостей, що становлять державну таємницю, з метою конкретизації та систематизації даних про секретну інформацію на підприємстві можуть створюватися розгорнуті переліки відомостей, що становлять державну таємницю.

Розгорнуті переліки відомостей, що становлять державну таємницю, не можуть суперечити Зводу відомостей, що становлять державну таємницю.

У разі внесення до Зводу відомостей, що становлять державну таємницю, або до розгорнутих переліків цих відомостей інформації, яка не відповідає категоріям і вимогам, передбаченим статтею 8 Закону України «Про державну таємницю», або порушує встановлений порядок віднесення інформації до державної таємниці, зацікавлені громадяни та юридичні особи мають право оскаржити відповідні рішення. З метою недопущення розголошення державної таємниці судовий розгляд скарг може проводитися в закритих засіданнях відповідно до Закону України «Про державну таємницю».