Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інтелект-карта стандарту України ДСТУ 3396.0-96 Субота Роман КБ-21 -…
Інтелект-карта стандарту України ДСТУ 3396.0-96 Субота Роман КБ-21
Загальні положення
Об'єктом технічного захисту є інформація з обмеженим доступом (ІзОД).
Об'єкт, мету і завдання ТЗІ визначають особи, що мають доступ до інформації з обмеженим доступом (ІзОД), у межах наданих їм прав та повноважень законодавством України та нормативними актами системи ТЗІ.
Носіями ІзОД можуть бути фізичні поля, сигнали, хімічні речовини, утворені під час інформаційної діяльності, виробництва та експлуатації різної продукції.
Носії ІзОД можуть поширюватись через лінії зв'язку, сигналізації, енергетичні мережі, обладнання, комунікаційні споруди, будівельні конструкції, а також різні природні середовища, такі як повітря, вода, грунт і рослинність.
Витік або порушення цілісності IзОД (спотворення, модифікація, руйнування, знищення) можуть бути
результатом реалізації загроз безпеці інформації (далі - загроза).
Метою ТЗІ є запобігання витоку або порушенню цілісності ІзОД
Мета ТЗІ може бути досягнута побудовою системи захисту інформації, що є організованою
сукупністю методів і засобів забезпечення ТЗІ. Технічний захист інформації здійснюється поетапно
4 етап - контроль функціювання та керування системою захисту інформації.
3 етап - реалізація плану захисту інформації
2 етап - розроблення системи захисту інформації
1 етап - визначення й аналіз загроз
Побудова системи захисту інформації
Визначення й аналіз загроз
Загрози можуть здійснюватися
технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок,
акустичні, оптичні, радіо-, радіотехнічні, хімічні та інші канали
каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи
захисту або порушення цілісності інформації
Несанкціонований доступ може відбуватись через підключення до апаратури та ліній зв'язку, маскування під зареєстрованого користувача, подолання заходів захисту, застосування закладних пристроїв або програм, а також вкорінення комп'ютерних вірусів.
Джерелами загроз може бути діяльність іноземних розвідок, а також навмисні або ненавмисні дії
юридичних і фізичних осіб
На першому етапі необхідно проаналізувати об'єкти технічного захисту, ситуаційний план та умови функціонування організації, оцінити ймовірність загроз та потенційну шкоду, підготувати дані для створення моделі загроз.
Опис загроз і схематичне подання шляхів їх здійснення складають окрему модель загроз.
Розроблення системи захисту інформації
На другому етапі слід здійснити розроблення плану ТЗІ, що містить організаційні, первинні
технічні та основні технічні заходи захисту ІзОД, визначити зони безпеки інформації.
Для технічного захисту інформації слід застосовувати спосіб приховування або спосіб технічної
дезінформації.
Рівень захисту інформації означується системою кількісних та якісних показників, які
забезпечують розв’язання завдання захисту інформації на основі норм та вимог ТЗІ
Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і
фрагментарними заходами протидії найнебезпечнішій загрозі
Заходи захисту інформації повинні
бути відповідними загрозам
бути розробленими з урахуванням можливої шкоди від їх реа-лізації і вартості захисних заходів та
обмежень, що вносяться ними
забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу
обмеження доступу до неї або можливості здійснення загроз
Реалізація плану захисту інформації
На третьому етапі потрібно впровадити заходи організаційного та технічного захисту ІзОД, встановити зони безпеки, пройти атестацію технічних засобів та робочих місць на відповідність вимогам безпеки інформації.
Засоби ТЗІ можуть функціювати автономно або спільно з технічними засобами забезпечення
інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у них складових елементів.
Послуги з ТЗІ, атестація та обслуговування засобів ТЗІ можуть надавати особи, які мають ліцензію від уповноваженого органу Кабінету Міністрів України.
Технічний захист інформації здійснюється за допомогою захищених програм і технічних засобів, які мають сертифікат відповідності нормативним вимогам системи УкрСЕПРО, а також застосуванням спеціальних інженерно-технічних засобів і систем.
Контроль функціювання та керування системою захисту інформації
Керування системою захисту інформації полягає у адаптації заходів ТЗІ до поточного завдання
захисту інформації.
У разі потреби підвищення рівня захисту інформації необхідно виконати роботи, передбачені 1, 2
та 3 етапами побудови системи захисту інформації.
Порядок проведення перевірок і контролю ефективності захисту інформації встановлюється
нормативними документами.
Нормативні документи системи ТЗІ
Порядок проведення робіт із стандартизації та нормування в галузі ТЗІ встановлюється ДСТУ 1.0,
ДБН А.1.1-1, документами системи ТЗІ
Нормативні документи розробляються в ході проведення комплексу робіт із стандартизації та
нормування у галузі ТЗІ.
Нормативні документи системи ТЗІ поділяються на
нормативні документи із стандартизації у галузі ТЗІ
державні стандарти та прирівняні до них нормативні документи
нормативні акти міжвідомчого значення, що реєструються у Міністерстві юстиції України
Нормативні документи повинні забезпечувати
функціювання багаторівневих систем захисту інформації на основі взаємнопогоджених положень,
правил, методик, вимог та норм
розвиток сфери послуг у галузі ТЗІ
підготовку та перепідготовку кадрів у системі ТЗ
створення і розвиток єдиної термінологічної системи
проведення єдиної технічної політики