ПРАВИЛА ПОБУДОВИ,ОФОРМЛЕННЯ ТА ПОЗНАЧЕННЯ НОРМАТИВНИХ ДОКУМЕНТІВ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ. Звіт до лабораторної роботи з Захист інформації. Робота № 530807

Перехід до торгівельного партнера Binance

ПРАВИЛА ПОБУДОВИ,ОФОРМЛЕННЯ ТА ПОЗНАЧЕННЯ НОРМАТИВНИХ ДОКУМЕНТІВ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

ІКТА

Факультет:

УІ

Кафедра:

ЗІ

Інформація про роботу

Рік:

2019

Тип роботи:

Звіт до лабораторної роботи

Предмет:

Захист інформації

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» ІКТА Кафедра ЗІ / З В І Т до лабораторної роботи №3 з курсу «Комплексні системи захисту інформації» на тему: «ПРАВИЛА ПОБУДОВИ,ОФОРМЛЕННЯ ТА ПОЗНАЧЕННЯ НОРМАТИВНИХ ДОКУМЕНТІВ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ» Варіант 15 Мета роботи: Ознайомитися з основними правилами побудови нормативного документа системи технічного захисту інформації. ТЕОРЕТИЧНИЙ ВСТУП Нормативна документація —документи, які встановлюють правила, загальні принципи чи характеристики різних видів діяльності або їхніх результатів. Документи, що загалом складають нормативну документацію, містять вимоги безпеки, правила, загальні принципи, характеристики, які стосуються визначених видів діяльності або їх результатів і доступні широкому колу споживачів (користувачів). Основними відмінностями від нормативно-правового акту є:•відсутність у нормативному документі правових норм;•вимоги та положення нормативних актів, на відміну від вимог та положень нормативно-правових актів, носять не обов'язковий, а рекомендаційний характер (якщо протилежне не встановлене відповідними законодавчими чи нормативно-правовими актами);•порядок розроблення, узгодження, введення в дію та ряд інших відмінностей. Види нормативних документів Комплекс нормативних документів(НД)Національної стандартизації України включає різноманітні НД, в яких установлені вимоги до конкретних об'єктів стандартизації. Залежно від об'єкта стандартизації, положень, які містить документ, та процедур надання йому чинності, розрізняють такі НД: стандарти, кодекси усталеної практики, технічні умови, державні класифікатори. 4Термін НД є родовим терміном, що охоплює такі поняття, як "стандарт", "технічні умови", "настанови (правила)" та "регламент. Лабораторне завдання Відповідно до правил побудови нормативних документів розробити: Нормативний документ «План захисту інформації в автоматизованій системі класу А2» Текст нормативного документа Зміст 1 Галузь використання 1 2 Нормативні посилання 1 3 Визначення 2 4 Позначення та скорочення 2 5 Призначення та структура 2 6 Загальні положення 3 7 Завдання служби захисту інформації 4 8 Функції служби захисту інформації 4 8.1 Функції під час створення комплексної системи захисту інформації: 4 8.2 Функції під час експлуатації комплексної системи захисту інформації: 5 8.3 Функції з організації навчання персоналу з питань забезпечення захисту інформації: 6 9 Повноваження та відповідальність служби захисту інформації 6 9.1 Права 6 9.2 Обов’язки 7 9.3 Відповідальність 7 10 Взаємодія служби захисту інформації з іншими підрозділами організації та зовнішніми організаціями 8 11 Штатний розклад та структура служби захисту інформації 8 12 Організація робіт служби захисту інформації 10 13 Фінансування служби захисту інформації 11 Додаток 12 1 Завдання захисту інформації в АС 12 2 Класифікація інформації, що обробляється в АС 13 3 Опис компонентів АС та технології обробки інформації 14 4 Загрози для інформації в АС 14 5 Політика безпеки інформації в АС 17 6 Система документів з забезпечення захисту інформації в АС 24 7 Календарний план робіт з захисту інформації в АС 25 НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі Чинний від 2000-12-15 1 Галузь використання Цей нормативний документ системи технічного захисту інформації (НД ТЗІ) встановлює вимоги до структури та змісту нормативного документу, що регламентує діяльність служби захисту інформації в автоматизованій системі - “Положення про службу захисту інформації в автоматизованій системі”. НД ТЗІ призначений для суб’єктів відносин (власників або розпорядників АС, користувачів), діяльність яких пов’язана з обробкою в автоматизованих системах інформації, що підлягає захисту згідно з нормативно-правовими актами, а також для розробників комплексних систем захисту інформації в автоматизованих системах. Використання цього НД ТЗІ створює умови для запровадження єдиного підходу щодо визначення і формування завдань, функцій, структури, повноважень служби захисту інформації, а також організації її робіт з захисту інформації впродовж всього життєвого циклу автоматизованих систем в державних органах, на підприємствах, в установах та організаціях усіх форм власності (далі – організаціях). 2 Нормативні посилання У цьому НД ТЗІ наведено посилання на такі нормативні документи: Закон України “Про інформацію”; Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”; Закон України “Про державну таємницю”; Кодекс законів про працю України (КЗпП); Концепція технічного захисту інформації в Україні, затверджена постановою Кабінету Міністрів України від 08.10.97 р., № 1126; - Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27.09.99 р. №1229; Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, затверджене постановою Кабінету Міністрів України від 16.02.98 р. № 180; НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22; НД ТЗІ 1.1-003-99. Термінологія у галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22; НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22; НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22; 3 Визначення У цьому НД ТЗІ використовуються терміни і визначення, що відповідають встановленим НД ТЗІ 1.1-003-99. 4 Позначення та скорочення АС — автоматизована система; АРМ — автоматизоване робоче місце; ДКР — дослідно-конструкторська робота; ЕОМ — електронно-обчислювальна машина; ІзОД — інформація з обмеженим доступом; КЗпП України— Кодекс законів про працю України; КС — комп'ютерна система; КСЗІ — комплексна система захисту інформації; НД — нормативний документ; НД ТЗІ — нормативний документ системи технічного захисту інформації; НДР — науково-дослідна робота; НСД — несанкціонований доступ; ОС — обчислювальна система; ПЗ — програмне забезпечення; ПРД — правила розмежування доступу; РСО — режимно-секретний орган; СЗІ — служба захисту інформації; СКБД — система керування базами даних; ТЗІ — технічний захист інформації. 5 Призначення та структура 5.1 Метою цього НД ТЗІ є надання організаціям, що володіють, користуються, розпоряджаються інформацією, що підлягає захисту згідно з нормативно-правовими актами, нормативно-методологічної бази для розроблення “Положення про службу захисту інформації в автоматизованій системі” (далі - Положення). 5.2 Цей НД ТЗІ передбачає під час розроблення Положення врахування специфіки діяльності організації, в АС якої створюється і функціонує служба захисту інформації, обсяги обробки інформації, встановлені в організації вимоги до конфіденційності, цілісності та доступності інформації, що обробляється, а також особливості технології її обробки. Під час розроблення Положення використовуються тільки ті положення цього НД ТЗІ, які відповідають вимогам і умовам, притаманним для даної організації (АС). 5.3 В загальному випадку Положення повинно складатись з таких розділів: загальні положення; завдання служби захисту інформації; функції служби захисту інформації; повноваження і відповідальність служби захисту інформації; взаємодія служби захисту інформації з іншими підрозділами організації та зовнішніми підприємствами, установами, організаціями; штатний розклад та структура служби захисту інформації; організація робіт служби захисту інформації; фінансування служби захисту інформації. В залежності від конкретних завдань і умов функціонування служби захисту інформації дозволяється, у разі необхідності, поєднувати окремі розділи в один, вводити нові розділи (підрозділи) або вилучати розділи, що не є актуальними. 5.4 Положення має бути погоджене з юрисконсультом та керівниками підрозділів (служби безпеки, РСО, підрозділу ТЗІ) організації. Положення затверджується наказом керівника організації або підрозділу, до якого структурно входить СЗІ. Зміни суттєвого характеру вносяться до Положення на основі розпорядження або наказу керівника організації (підрозділу, до якого структурно входить СЗІ). 6 Загальні положення 6.1 Положення є нормативним документом організації (АС) і визначає завдання, функції, штатну структуру СЗІ, повноваження та відповідальність співробітників служби, взаємодію з іншими підрозділами організації та зовнішніми організаціями. 6.2 СЗІ є штатним підрозділом організації (АС). Або: СЗІ є позаштатним підрозділом організації (АС). СЗІ є самостійним структурним підрозділом з безпосередньою підпорядкованістю керівнику (заступнику керівника) організації. Або: СЗІ є структурною одиницею ( підрозділу ТЗІ, служби безпеки, …) організації. В організаціях, де штатним розкладом не передбачено створення СЗІ, заходи щодо забезпечення захисту інформації в АС здійснюють призначені наказом керівника організації працівники. У цьому випадку посадові (функціональні) обов’язки цих працівників повинні включати положення, які б передбачали виконання ними вимог щодо діяльності СЗІ. 6.3 Метою створення СЗІ є організаційне забезпечення завдань керування комплексною системою захисту інформації (КСЗІ) в АС та здійснення контролю за її функціонуванням. На СЗІ покладається виконання робіт з визначення вимог з захисту інформації в АС, проектування, розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в АС. 6.4 Правову основу для створення і діяльності СЗІ становлять Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”, Положення про технічний захист інформації в Україні, Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах. 6.5 СЗІ у своїй діяльності керується Конституцією України, законами України, нормативно-правовими актами Президента України і Кабінету Міністрів України, іншими нормативно-правовими актами з питань захисту інформації, державними і галузевими стандартами, розпорядчими та іншими документами організації, а також цим Положенням. 6.6 Для проведення окремих заходів з захисту інформації в АС, які пов’язані з напрямком діяльності інших підрозділів організації, керівник організації своїм наказом визначає перелік, строки виконання та підрозділи для виконання цих робіт. 6.7 У своїй роботі СЗІ взаємодіє з підрозділами організації (РСО, службою безпеки, підрозділом ТЗІ та ін.), а також з державними органами, установами та організаціями, що займаються питаннями захисту інформації. 7 Завдання служби захисту інформації Завданнями СЗІ є: захист законних прав щодо безпеки інформації організації, окремих її структурних підрозділів, персоналу в процесі інформаційної діяльності та взаємодії між собою, а також у взаємовідносинах з зовнішніми вітчизняними і закордонними організаціями; дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію; організація та координація робіт, пов’язаних з захистом інформації в АС, необхідність захисту якої визначається її власником або чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій; розроблення проектів нормативних і розпорядчих документів, чинних у межах організації, згідно з якими повинен забезпечуватися захист інформації в АС; організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу АС; участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів АС з питань захисту інформації; формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів, що стосуються сфери захисту інформації; 8 Функції служби захисту інформації 8.1 Функції під час створення комплексної системи захисту інформації: визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об’єктів захисту в АС, класифікація інформації за вимогами до її конфіденційності або важливості для організації, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в АС; розробка та коригування моделі загроз і моделі захисту інформації в АС, політики безпеки інформації в АС; визначення і формування вимог до КСЗІ; організація і координація робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ; підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ; організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи; вибір організацій-виконавців робіт з створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт з захисту інформації, у взаємодії з підрозділом ТЗІ (РСО, службою безпеки організації) погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт та ін.); участь у розробці нормативних документів, чинних у межах організації і АС, які встановлюють дисциплінарну відповідальність за порушення вимог з безпеки інформації та встановлених правил експлуатації КСЗІ; участь у розробці нормативних документів, чинних у межах організації і АС, які встановлюють правила доступу користувачів до ресурсів АС, визначають порядок, норми, правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій та ін.). 8.2 Функції під час експлуатації комплексної системи захисту інформації: організація процесу керування КСЗІ; розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій; вжиття заходів у разі виявлення спроб НСД до ресурсів АС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів; забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування; організація керування доступом до ресурсів АС (розподілення між користувачами необхідних реквізитів захисту інформації – паролів, привілеїв, ключів та ін.); супроводження і актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об’єктів, ідентифікатори користувачів тощо); спостереження (реєстрація і аудит подій в АС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів; підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в АС, впровадження нових технологій захисту і модернізації КСЗІ; організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій АС або КСЗІ; участь в роботах з модернізації АС - узгодженні пропозицій з введення до складу АС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо; забезпечення супроводження і актуалізації еталонних, архівних і резервних копій контроль за виконанням персоналом і користувачами АС вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі контроль за забезпеченням режиму секретності у разі обробки в АС інформації, що становить державну таємницю; контроль за забезпеченням охорони і порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту; 8.3 Функції з організації навчання персоналу з питань забезпечення захисту інформації: розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу АС; розроблення спеціальних програм навчання, які б враховували особливості технології обробки інформації в організації (АС), необхідний рівень її захищеності та ін.; участь в організації і проведенні навчання користувачів і персоналу АС правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами; взаємодія з державними органами, учбовими закладами, іншими організаціями з питань навчання та підвищення кваліфікації; участь в організації забезпечення навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, нормативними документами, методичною літературою та ін. 9 Повноваження та відповідальність служби захисту інформації 9.1 Права ЗІ має право: - здійснювати контроль за діяльністю будь-якого структурного підрозділу організації (АС) щодо виконання ним вимог нормативно-правових актів і нормативних документів з захисту інформації; подавати керівництву організації пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки, тощо у випадку виявлення порушень політики безпеки або у випадку виникнення реальної загрози порушення безпеки; складати і подавати керівництву організації акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення; проводити службові розслідування у випадках виявлення порушень; отримувати доступ до робіт та документів структурних підрозділів організації (АС), необхідних для оцінки вжитих заходів з захисту інформації та підготовки пропозицій щодо їхнього подальшого удосконалення; готувати пропозиції щодо залучення на договірній основі до виконання робіт з захисту інформації інших організацій; узгоджувати умови включення до складу АС нових компонентів та подавати керівництву пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів АС; надавати висновки з питань, що належать до компетенції СЗІ, які необхідні для здійснення виробничої діяльності організації, особливо технологій, доступ до яких обмежено, інших 9.2 Обов’язки СЗІ зобов’язана: організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів з захисту інформації в АС; вчасно і в повному обсязі доводити до користувачів і персоналу АС інформацію про зміни в галузі захисту інформації, які їх стосуються; перевіряти відповідність прийнятих в АС (організації) правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог; здійснювати контрольні перевірки стану захищеності інформації в АС; забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС (організації); сприяти (технічними та організаційними заходами) створенню і дотриманню умов збереження інформації, отриманої організацією на договірних, контрактних або інших підставах від організацій-партнерів, постачальників, клієнтів та приватних осіб; періодично, не рідше одного разу на місяць (інший термін), подавати керівництву організації звіт про стан захищеності інформації в АС і дотримання користувачами та персоналом АС встановленого порядку і правил захисту інформації; 9.3 Відповідальність 9.3.1 Керівництво та співробітники СЗІ за невиконання або неналежне виконання службових обов’язків, допущені ними порушення встановленого порядку захисту інформації в АС несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність згідно з законодавством України. Персональна відповідальність керівника та співробітників СЗІ визначається посадовими (функціональними) інструкціями. 9.3.2 Відповідальність за діяльність СЗІ покладається на її керівника. Керівник СЗІ відповідає за: організацію робіт з захисту інформації в АС, ефективність захисту інформації відповідно до діючих нормативно-правових актів; своєчасне розроблення і виконання “Плану захисту інформації в автоматизованій системі”; якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у цьому Положенні, посадових інструкціях, а також планових заходів з захисту інформації, затверджених керівником організації; координацію планів діяльності підрозділів та служб АС (організації) з питань захисту інформації; створення системи навчання співробітників, користувачів, персоналу АС з питань захисту інформації; 9.3.3 Співробітники СЗІ відповідають за: додержання вимог нормативних документів, що визначають порядок організації робіт з захисту інформації, інформаційних ресурсів та технологій; повноту та якість розроблення і впровадження організаційно-технічних заходів з захисту інформації в АС, точність та достовірність отриманих результатів і висновків з питань, що належать до компетенції СЗІ; дотримання термінів проведення контрольних, інспекційних, перевірочних та інших заходів з оцінки стану захищеності інформації в АС, які включені до плану робіт СЗІ; якість та правомірність документального оформлення результатів робіт окремих етапів створення КСЗІ, документального оформлення результатів перевірок; 10 Взаємодія служби захисту інформації з іншими підрозділами організації та зовнішніми організаціями 10.1 СЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, що займаються питаннями захисту інформації. 10.2 Заходи з захисту інформації в АС повинні бути узгоджені СЗІ з заходами охоронної та режимно-секретної діяльності інших підрозділів організації. СЗІ взаємодіє, узгоджує свою діяльність та встановлює зв’язки з: РСО організації; підрозділом ТЗІ організації; адміністрацією АС та іншими підрозділами організації, виробнича діяльність яких пов’язана з захистом інформації або її автоматизованою обробкою; службою безпеки організації; зовнішніми організаціями, які є партнерами, користувачами, постачальниками, виконавцями робіт; 10.3 СЗІ координує свою діяльність з аудиторською службою під час проведення аудиторських перевірок. 10.4 Взаємодію з іншими підрозділами організації з питань, що безпосередньо не пов’язані з захистом інформації, СЗІ здійснює у відповідності з наказами та (або) розпорядженнями керівника організації. 11 Штатний розклад та структура служби захисту інформації 11.1 СЗІ є штатним підрозділом організації безпосередньо підпорядкованим керівнику організації або його заступнику, що відповідає за забезпечення безпеки інформації. Або: СЗІ є структурною (штатною або позаштатною) одиницею підрозділу ТЗІ (служби безпеки) організації. Штатність чи позаштатність СЗІ в організації визначається рішенням загальних зборів акціонерів або керівництвом організації. 11.2 Структура СЗІ, її склад і чисельність визначається фактичними потребами АС для виконання вимог політики безпеки інформації та затверджується керівництвом організації. Чисельність і склад СЗІ мають бути достатніми для виконання усіх завдань з захисту інформації в АС. 11.3 З метою ефективного функціонування і керування захистом інформації в АС СЗІ має штатний розклад, який включає перелік функціональних обов’язків усіх співробітників, необхідних вимог до рівня їхніх знань та навичок. 11.4 Безпосереднє керівництво роботою СЗІ здійснює її керівник. У випадку, коли СЗІ є структурною одиницею підрозділу ТЗІ (служби безпеки організації) – керівник цього підрозділу (заступник керівника). Призначення і звільнення з посади керівника СЗІ здійснюється керівництвом організації за узгодженням з особами, що відповідають за забезпечення безпеки інформації (керівник підрозділу ТЗІ, керівник служби безпеки та ін.). На час відсутності керівника СЗІ (у зв’язку з відпусткою, службовим відрядженням, хворобою тощо) його обов’язки тимчасово виконує заступник керівника СЗІ. 11.5 Штат СЗІ комплектується спеціалістами, які мають спеціальну технічну освіту (вищу, середню спеціальну, спеціальні курси підвищення кваліфікації у галузі ТЗІ тощо) та практичний досвід роботи, володіють навичками з розробки, впровадження, експлуатації 11.6 Функціональні обов’язки співробітників визначаються переліком і характером завдань, які покладаються на СЗІ керівництвом АС (організації). 11.7 В залежності від обсягів і особливостей завдань СЗІ до її складу можуть входити спеціалісти (групи спеціалістів, підрозділи та ін.) різного фаху: спеціалісти з питань захисту інформації від витоку технічними каналами; спеціалісти з питань захисту каналів зв’язку і комутаційного обладнання, налагодження і керування активним мережевим обладнанням; спеціалісти з питань захищених технологій обробки інформації. 11.8 За посадами співробітники СЗІ поділяються на такі категорії (за рівнем ієрархії): керівник СЗІ; адміністратори захисту АРМ (безпеки баз даних, безпеки системи тощо); спеціалісти служби захисту. 11.9 Зміна структури СЗІ здійснюється за рішенням загальних зборів акціонерів або керівництва організації і затверджується наказом (розпорядженням) керівника організації. 12 Організація робіт служби захисту інформації 12.1 Трудові відносини в СЗІ будуються на основі законодавства України з урахуванням положень статуту організації, правил внутрішнього трудового розпорядку та встановлених в організації норм техніки безпеки праці, гігієни і санітарії, інших розпорядчих документів організації. 12.2 СЗІ здійснює свою роботу з реалізації основних організаційних та організаційно-технічних заходів з створення і забезпечення функціонування КСЗІ у відповідності з планами робіт. Підставою для розроблення планів робіт є “План захисту інформації в АС” (див. додаток). До планів включаться наступні основні заходи: разові (одноразово виконувані, необхідність у повторенні яких виникає за умови повного перегляду прийнятих рішень з захисту інформації); постійно виконувані (заходи, що потребують виконання неперервно або дискретно у випадковий чи заданий час); періодично виконувані (з заданим інтервалом часу); виконувані за необхідності (заходи, що потребують виконання під час здійснення або виникнення певних змін в АС чи зовнішньому середовищі). при проведенні нарад, укладенні договорів, угод тощо; бізнес-план створення і функціонування СЗІ. Плани робіт складаються керівником СЗІ після обговорення на виробничій нараді СЗІ організаційно-технічних питань, що належать до її компетенції, і затверджуються керівником організації або керівником підрозділу, до складу якого входить СЗІ. 12.3 Реорганізація або ліквідація СЗІ здійснюється за рішенням загальних зборів акціонерів або керівництва організації. Реорганізаційна або ліквідаційна процедура здійснюється відповідною комісією, яка створюється за наказом (розпорядженням) керівника організації. 12.4 З метою забезпечення конфіденційності робіт, які виконуються співробітниками СЗІ, при прийомі на роботу (звільненні з роботи) вони дають письмові зобов’язання щодо нерозголошення відомостей, що становлять службову, комерційну або іншу таємницю, і які стали їм відомими в період роботи в організації. 12.5 Матеріально-технічну базу для забезпечення діяльності СЗІ складають належні їй на правах власності (оперативного управління, повного господарського відання) засоби захисту інформації, ПЗ, технічне і інженерне обладнання, засоби вимірювань і контролю, відповідна документація, а також інші засоби і обладнання, які необхідні для виконання СЗІ покладених на неї завдань. Співробітники СЗІ відповідають за збереження майна, що є власністю або знаходиться у розпорядженні служби. 13 Фінансування служби захисту інформації СЗІ фінансується за рахунок: коштів, що виділяються в організації на утримання органів управління; прибутку організації (АС) та інших коштів за рішенням керівництва організації або рішенням загальних зборів акціонерів; коштів, отриманих за виконання СЗІ договірних робіт та надання послуг; інших джерел фінансування, не заборонених законодавством. Додаток (рекомендований) Методичні вказівки щодо структури та змісту Плану захисту інформації в автоматизованій системі План захисту інформації в АС є сукупністю документів, згідно з якими здійснюється організація захисту інформації на всіх етапах життєвого циклу АС. В окремих випадках план захисту інформації в АС може оформлятися одним документом. План захисту інформації в АС (далі – План захисту) розробляється на підставі проведеного аналізу технології обробки інформації, аналізу ризиків, сформульованої політики безпеки інформації. План захисту визначає і документально закріплює об’єкт захисту інформації в АС, основні завдання захисту, загальні правила обробки інформації в АС, мету побудови та функціонування КСЗІ, заходи з захисту інформації. План захисту має фіксувати на певний момент часу склад АС, перелік оброблюваних відомостей, технологію обробки інформації, склад комплексу засобів захисту інформації, склад необхідної документації та ін. План захисту повинен регулярно переглядатися та при необхідності змінюватись. Зміни та доповнення до Плану захисту затверджуються на тому ж рівні та в тому ж порядку, що і основний документ. Для АС, в яких обробляється інформація, що становить державну або іншу встановлену законом таємницю, службова інформація, інформація, яка належить до державних інформаційних ресурсів, або інформація, необхідність захисту якої встановлено законом, План захисту є обов’язковим документом. Склад і зміст Плану захисту для таких АС встановлено Положенням про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах і Правилами забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. План захисту рекомендується розробляти і для всіх інших АС, в яких обробляється інформація, що підлягає захисту згідно з законодавством України, користуючись зазначеними вимогами до його складу і змісту. План захисту повинен складатись з наступних розділів: завдання захисту інформації в АС; класифікація інформації, що обробляється в АС; опис компонентів АС та технології обробки інформації; загрози для інформації в АС; політика безпеки інформації в АС; система документів з забезпечення захисту інформації в АС. 1 Завдання захисту інформації в АС Повинні бути визначені основні завдання і мета захисту інформації, об’єкти захисту. 1.1 Завданнями захисту інформації можуть бути: забезпечення визначених політикою безпеки властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації АС; своєчасне виявлення та знешкодження загроз для ресурсів АС, причин та умов, які спричиняють (можуть привести до) порушення її функціонування та розвитку; створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні АС; реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації; створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків порушення безпеки на функціонування АС. 1.2 Політика безпеки, яка реалізується КСЗІ для захисту інформації від потенційних внутрішніх та зовнішніх загроз, повинна поширюватись на наступні об’єкти захисту: відомості (незалежно від виду їхнього представлення), віднесені до інформації з обмеженим доступом (ІзОД) або інших видів інформації, що підлягають захисту, обробка яких здійснюється в АС і які можуть знаходитись на паперових, магнітних, оптичних та інших носіях; інформаційні масиви та бази даних, програмне забезпечення, інші інформаційні ресурси; обладнання АС та інші матеріальні ресурси, включаючи технічні засоби та системи, не задіяні в обробці ІзОД, але знаходяться у контрольованій зоні, носії інформації, процеси і технології її обробки. Технічні області, в яких необхідно захищати інформаційне та програмне забезпечення - робоча станція, комунікаційні канали (фізична мережа) та комутаційне 1.3 Забезпечення безпеки інформації в АС досягається: організацією та впровадженням системи допуску співробітників (користувачів) до роботи з інформацією, яка потребує захисту; організацією обліку, зберігання, обігу інформації, яка потребує захисту, та її носіїв; організацією і координацією робіт з захисту інформації, яка обробляється та передається засобами АС; здійсненням контролю за забезпеченням захисту інформації, яка обробляється засобами АС, та за збереженням конфіденційних документів (носіїв). 2 Класифікація інформації, що обробляється в АС 2.1 Повинні бути класифіковані всі відомості за режимом доступу, за правовим режимом, а також за типом їхнього представлення в АС. Класифікація є підставою для визначення власником (розпорядником) інформації або АС методів і способів захисту кожного окремого виду інформації. 2.2 За режимом доступу інформація в АС має бути поділена на: відкриту; з обмеженим доступом. Відкриту інформацію слід поділити на відкриту, яка не потребує захисту, або захист якої забезпечувати недоцільно, та відкриту, яка такого захисту потребує. До другої слід відносити інформацію, важливу для особи, суспільства і держави (відповідно до Концепції технічного захисту інформації в Україні), відкриту інформацію, вимога щодо захисту якої встановлена законом важливі для організації відомості, порушення цілісності або доступності яких може призвести до моральних чи матеріальних збитків. 2.3 За правовим режимом інформація з обмеженим доступом повинна бути поділена на таємну, службову, конфіденційну, іншу інформацію, необхідність захисту якої встановлено законом. До таємної інформації має бути віднесена інформація, що містить відомості, які становлять державну, а також іншу, передбачену законом таємницю. Інформація, що становить державну таємницю, в свою чергу, поділяється на категорії відповідно до Закону України “Про державну таємницю”. Правила доступу до службової інформації та інформації, вимога щодо захисту якої встановлена законом, встановлюється її власником згідно з вимогами нормативно-правових актів.Правила доступу до конфіденційної інформації встановлюють фізичні та юридичні особи, у володінні яких вона перебуває 2.5 Для встановлення правил взаємодії активних і пасивних об’єктів АС інформація повинна бути класифікована за типом її представлення в АС (для кожної з визначених категорій встановлюються типи пасивних об’єктів комп’ютерної системи, якими вона може бути представлена). 3 Опис компонентів АС та технології обробки інформації 3.1 Повинна бути проведена інвентаризація усіх компонентів АС і зафіксовані всі активні і пасивні об’єкти, які беруть участь у технологічному процесі обробки і тим чи іншим чином впливають на безпеку інформації. Для кожного активного об’єкту АС має бути визначено перелік пасивних об’єктів, які з ним взаємодіють. До об'єктів, що підлягають інвентаризації, можуть бути віднесені: обладнання - ЕОМ та їхні складові частини (процесори, монітори, термінали, робочі станції та ін.), периферійні пристрої; програмне забезпечення - вихідні, завантажувальні модулі, утиліти, СКБД, операційні системи та інші системні програми, діагностичні і тестові програми тощо; дані - тимчасового і постійного зберігання, на магнітних носіях, друковані, архівні і резервні копії, системні журнали, технічна, експлуатаційна і розпорядча документація та ін.; персонал і користувачі АС. 3.2 Окрім компонентів АС, необхідно дати опис технології обробки інформації в АС, що потребує захисту, тобто способів і методів застосування засобів обчислювальної техніки під час виконання функцій збору, зберігання, обробки, передачі і використання даних, або алгоритмів окремих процедур. Опис (як в цілому, так і для окремих компонентів) може бути неформальним або формальним. 4 Загрози для інформації в АС 4.1 Основою для проведення аналізу ризиків і формування вимог до КСЗІ є розробка моделі загроз для інформації та моделі порушника. 4.2 Для створення моделі загроз необхідно скласти перелік суттєвих загроз, описати методи і способи їхнього здійснення. 4.2.1 Необхідно визначити, якими з можливих способів можуть здійснюватися загрози в АС: технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо- та радіотехнічні, хімічні та інші канали; каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації; несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів. 4.2.2 Загрози для інформації, що обробляється в АС, залежать від характеристик ОС, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну природу. Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та навмисні. Мають бути визначені основні види загроз для безпеки інформації, які можуть бути реалізовані стосовно АС і повинні враховуватись у моделі загроз, наприклад: збої і відмови у роботі обладнання та технічних засобів АС; 4.2.3 Необхідно визначити перелік можливих загроз і класифікувати їх за результатом впливу на інформацію, тобто на порушення яких властивостей вони спрямовані (конфіденційності, цілісності та доступності інформації), а також порушення спостережності та керованості АС. 4.2.4 Випадковими загрозами суб’єктивної природи (дії, які здійснюються персоналом або користувачами по неуважності, недбалості, незнанню тощо, але без навмисного наміру) можуть бути: дії, що призводять до відмови АС (окремих компонентів), руйнування апаратних, програмних, інформаційних ресурсів (обладнання, каналів зв’язку, видалення даних, програм та ін.); ненавмисне пошкодження носіїв інформації; неправомірна зміна режимів роботи АС (окремих компонентів, обладнання, ПЗ тощо), ініціювання тестуючих або технологічних процесів, які здатні призвести до незворотних змін у системі (наприклад, форматування носіїв інформації); неумисне зараження ПЗ комп’ютерними вірусами; невиконання вимог до організаційних заходів захисту чинних в АС розпорядчих документів; помилки під час введення даних в систему, виведення даних за невірними адресами пристроїв, внутрішніх і зовнішніх абонентів тощо; будь-які дії, що можуть призвести до

Звіт до лабораторної роботи Захист інформації

AndryxaUa

21.03.2019 00:03-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись