Тема № 1

Заняття № 1

Основні засади організації технічного

захисту інформації в Україні.

1
Питання:

1. Концепція та положення про технічний захист

інформації в Україні.

2. Захист державних інформаційних ресурсів.

2
ИНФОРМАЦИОННЫЕ
МЕРЫ ЗАЩИТЫ
РЕСУРСЫ
ТЕХНИЧЕСКИЕ
ГОСУДАРСТВО

Инженерные
Проникновение –
реализованная
угроза Программно-
аппаратные
Проникновение Угроза (атака)
Предприятия
НЕТЕХНИЧЕСКИЕ Угроза – любое
обстоятельство или
Организационные событие, которое
может быть
причиной
Правовые нарушения
Физические
политики
лица
безопасности
информации и/или
нанесения ущерба
ОИД
3
Питання:

1. Концепція та положення про технічний захист

інформації в Україні.

2. Захист державних інформаційних ресурсів.

4
 Поняття технічного захисту інформації.

Технічний захист інформації (ТЗІ) - це діяльність,

спрямована на забезпечення інженерно-технічними
заходами порядку доступу, цілісності та доступності
(унеможливлення блокування) інформації, яка
становить державну та іншу передбачену законом
таємницю, конфіденційної інформації, а також
цілісності та доступності відкритої інформації,
важливої для особи, суспільства і держави.

5
Поняття технічного захисту інформації.

юєіцазіларебіл
ат хиньліпсус
хинважреджім
нисондів

ьтсіндіхбоен єачанзив
вібосаз мяннеришоп Зростання

ІЗТ уктивзор
огонавоноіцкнасен мивозирк
од упутсод
ат їіцамрофні
загроз для монатс
икімоноке
їен ан увилпв інформації

хинчінхет мяннавусотсаз
яннелборбо вібосаз
вібосаз ат їіцамрофні
огонмезоні укзя'вз
автцинборив
6
Поняття технічного захисту інформації.

ІЗТ уктивзор имярпаН

гясьтюутнур
ясьтююлвомубо їововарп хадасаз ан
ютсіндіхбоен їончитаркомед
яттижв огонсачєовс од ондівопдів иважред
хинтавкеда ,відохаз віткє'бус варп
ялд зоргаз мабатшсам хинйіцамрофні
їіцамрофні од путсод ан нисондів
тсихаз її ат їіцамрофні

7
Поняття технічного захисту інформації.

Система технічного захисту інформації

сукупність суб'єктів, об'єднаних цілями

та завданнями захисту інформації
інженерно-технічними заходами (далі -
організаційні структури)

нормативно-правова
база

матеріально-технічна
база

8
 Поняття технічного захисту інформації.

воварПа основа забезпечення ТЗІ в Україні

инїаркУ инокаЗ
орП"
,"юіцамрофні
ін-онвитамрон іш
тсихаз орП" а ,итка івоварп
яіцпецноК в їіцамрофні індоранжім жокат
яіцутитсноК їоньланоіцан хинавозитамотва ,инїаркУ ировогод
,"хаметсис
инїаркУ икепзеб ясьтюусотс ощ
ирефс
инїаркУ унважред орП"
,"юцинмєат хинйіцамрофні
нисондів
-овокуан орП"
унчінхет
"юіцамрофні

9
Поняття технічного захисту інформації.

Основні види забезпечення системи ТЗІ

10
 Поняття технічного захисту інформації.

Нормативно-правове забезпечення - сукупність взаємозв’язаних

нормативно-правових актів та нормативних документів, які
регламенують діяльність у сфері ТЗІ. Згідно з існуючими організаційно-
технічними принципами, порядок здійснення заходів з ТЗІ, порядок
контролю у цій сфері, характеристики загроз для інформації, норми та
вимоги з ТЗІ, порядок атестації та державної експертизи комплексів
(систем) технічного захисту інформації визначаються нормативно-
правовими актами.

Матеріальне-технічне забезпечення - сукупність матеріальних засобів

(в тому числі, фінансових), заходів і засобів організаційного та
інженерно-технічного забезпечення захисту інформації на об’єктах
інформаційної діяльності та в інформаційно-телекомунікаційних
системах, а також засобів і систем забезпечення функціонування й
управління системою ТЗІ.

Математичне забезпечення - сукупність математичних моделей,

методів та алгоритмів, необхідних для вирішення завдань ТЗІ.
11
Поняття технічного захисту інформації.

Програмне забезпечення - сукупність програмних засобів, програмно-

технічної документації, складених на основі математичного
забезпечення системи ТЗІ і призначених для реалізації процедур
прогнозування, планування, проектування, створення та
впровадження засобів і заходів (систем і комплексів) захисту
інформації на об’єктах інформаційної діяльності і в інформаційно-
телекомунікаційних системах.

Інформаційне забезпечення - сукупність відомостей, поданих у

нормативно-правових актах, нормативних та довідкових документах
системи ТЗІ, відповідних базах даних і знань, закономірності, а
також правила здійснення заходів ТЗІ. Рівень інформаційного
забезпечення характеризується накопиченим досвідом у сфері ТЗІ -
типовими знаннями, а саме моделями, методиками, інженерними і
технічними рішеннями з ТЗІ тощо.

12
 УКАЗ ПРЕЗИДЕНТА УКРАЇНИ від 27 вересня 1999 року
№ 1229/99 { Із змінами від 11.04.2008 }

ПОЛОЖЕННЯ ПРО ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ В

УКРАЇНІ

Це Положення визначає правові та організаційні засади

технічного захисту важливої для держави, суспільства і особи
інформації, охорона якої забезпечується державою відповідно до
законодавства.
Державна політика технічного захисту інформації формується згідно
із законодавством і реалізується Державною службою спеціального
зв'язку та захисту інформації України (далі Держспецзв'язку України)
у взаємодії з органами, щодо яких здійснюється ТЗІ.

13
Організація технічного захисту інформації в органах, щодо
яких здійснюється ТЗІ, покладається на їх керівників.
Суб'єктами системи технічного захисту інформації є:
Держспецзв'язку України;
органи, щодо яких здійснюється ТЗІ;
науково-дослідні та науково-виробничі установи
Держспецзв'язку України, державні підприємства, що
перебувають в управлінні Держспецзв'язку України та
виконують завдання з питань ТЗІ;
військовічастини, підприємства, установи та організації всіх
форм власності й громадяни-підприємці, які провадять
діяльність з технічного захисту інформації за відповідними
дозволами або ліцензіями;
навчальні заклади з підготовки, перепідготовки та
підвищення кваліфікації фахівців з ТЗІ. 14
Органи, щодо яких здійснюється ТЗІ, відповідно до
покладених на них завдань:
створюють або визначають підрозділи, на які покладається
забезпечення ТЗІ та контроль за його станом, узгоджують
основні завдання та функції цих підрозділів;
видають за погодженням з Адміністрацією Держспецзв'язку
України та впроваджують нормативно-правові акти з питань
технічного захисту інформації;
створюють або визначають за погодженням з Адміністрацією
Держспецзв'язку України підприємства, установи та
організації, що забезпечують технічний захист інформації;
забезпечують підготовку, перепідготовку та підвищення
кваліфікації кадрів з технічного захисту інформації;
надають Адміністрації Держспецзв'язку України за його
запитами відомості про стан технічного захисту інформації.
15
Основними завданнями інших суб'єктів системи технічного
захисту інформації є:
дослідження загроз для інформації на об'єктах,
функціонування яких пов'язано з інформацією, що підлягає
охороні;
створення та виробництво засобів забезпечення технічного
захисту інформації;
розроблення, впровадження, супроводження комплексів
технічного захисту інформації;
підвищення кваліфікації фахівців з технічного захисту
інформації.

16
Матеріально-технічна база системи технічного захисту
інформації складається з:
технічних засобів загального призначення
спеціальних технічних засобів.

Технічні засоби загального призначення повинні мати

документ, що засвідчує їх відповідність вимогам
нормативно-правових актів з технічного захисту інформації,
одержаний у порядку, що встановлюється Адміністрацією
Держспецзв'язку України.

Під час розроблення і впровадження заходів з технічного

захисту інформації використовуються засоби, дозволені
Адміністрацією Держспецзв'язку України для застосування
та включені до відповідних переліків.
17
 Контроль у сфері технічного захисту інформації полягає в
перевірці виконання вимог цього Положення, інших
нормативно- правових актів з питань технічного захисту
інформації та в оцінюванні захищеності інформації на
об'єкті, де вона циркулюватиме або циркулює.
 Оцінювання захищеності інформації здійснюється
шляхом атестації або експертизи комплексів технічного
захисту інформації та інспекційних перевірок.
 Розроблення, впровадження, атестація та експлуатація
комплексів технічного захисту інформації для власних
потреб здійснюються відповідними підрозділами органів,
щодо яких здійснюється ТЗІ, або організаціями, на які
покладено забезпечення ТЗІ, за наявності у них
відповідного дозволу.
 До виконання цих робіт можуть бути залучені суб'єкти
підприємницької діяльності, що мають відповідні ліцензії.
18
Питання:

1. Концепція та положення про технічний захист

інформації в Україні.

2. Захист державних інформаційних ресурсів.

19
 Порядок захисту державних інформаційних ресурсів у
інформаційно-телекомунікаційних системах (Наказ
Департаменту спеціальних телекомунікаційних систем та
захисту інформації Служби безпеки України від 24 грудня
2001 року № 76)
Державні інформаційні ресурси - інформація, яка є власністю
держави та (або) необхідність захисту якої визначено
законодавством.
 Порядок оцінки стану захищеності державних
інформаційних ресурсів в інформаційних,
телекомунікаційних та інформаційно-телекомунікаційних
системах (Наказ Адміністрації державної служби
спеціального зв'язку та захисту інформації України від 02
грудня 2012 року № 660)
 Порядок сканування на предмет вразливості державних
інформаційних ресурсів, розміщених в Інтернеті (Наказ
Адміністрації державної служби спеціального зв'язку та
захисту інформації України від 15 січня 2016 року № 20)
 Захист державних інформаційних ресурсів

Загрози
Інформаційно-
телекомунікаційні мережі
- НСД Державні органів держвлади 1
- цілісність інформаційні .
-доступність
-достовірність ресурси .
.
.
Бази даних .
Підключення до
.
мережі Інтернет
Реєстр Державних
.
інформаційні ресурсів Інформаційно-
N
телекомунікаційні мережі
ція органів держвлади
орма
Ін

ін ф
ита
т

р
ер

Відк
н

Відкри
ет

та інфо
рмація

Захищений вузол Інтернет

доступу
Питання щодо захисту ДІР в ІТС, які ще не розглянуті
або потребують подальшого вдосконалення:
• не чітко визначено загрози різним видам інформації ДІР;
• не розроблено стандарт та інші НД ТЗІ щодо визначення
понятий ДІР і КСЗ ДІР та все, що їх охоплює;
• не визначено перелік повноважних суб’єктів діяльності із
захисту інформаційних ресурсів держави;
• не розроблено положення про модель порушника ДІР;
• не в повній мірі розроблена політика безпеки спрямовану
на захист ДІР від певних загроз;
• наявна адміністративна відповідальність не охоплює всі
аспекти відносин у сфері дії режиму захисту ДІР, наприклад
порушення правил експлуатації ДІР та ін.
Модель захисту ДІР
СТРУКТУРА КСЗІ ЄАІС ДЕРЖМИТСЛУЖБИ
 Функціональна схема інтеграції
веб - сайтів ОВВ до Єдиного Веб – порталу КМУ

Єдиний Веб-портал
АРМ інтеграції до Єдиного
веб-порталу ОВВ

Головний
Кабінет комутаційний
Міністрів України центр
(ГКЦ)
АРМ інтеграції до Єдиного
веб-порталу ОВВ
Захищений
Вузол Інтернет-
доступу Транспортна мережа
СІТС

АРМ інтеграції до Єдиного

веб-порталу ОВВ
Інтернет
З метою оптимізації дій щодо недопущення реалізації загроз
інформаційним ресурсам держави необхідно здійснювати
проведення оцінювання (аудиту) стану захищеності
ДІР в ІТС, зокрема тих, що мають доступ до мережі Інтернет:
утворено Реєстр інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних систем органів виконавчої
влади;
введений порядок правових та організаційних засад
проведення оцінки стану захищеності ДІР в ІТС;
затверджений порядок сканування на предмет вразливості
ДІР, розміщених в Інтернеті.

Подальшим кроком має стати розроблення та видання

відповідних нормативно-правових актів та нормативних
документів, які б, з урахуванням міжнародного досвіду,
дозволили детальніше описати цей процес, оптимізувати
вироблення єдиних критеріїв та порядку такого оцінювання.