Комплексні системи захисту

інформації: проектування,
впровадження, супровід
Лектор: Доц. Каф. ІБ Стьопочкіна Ірина Валеріївна, практичні Кіфорчук Кирило
Олегович

Звітність: 8 лабораторних,
МКР, залік

Організація: чат в телеграм для координації дій, захисту практикумів

платформа Сікорський для контрольних заходів та метод. матеріалів

S
РСО
Порядок робіт зі створення КСЗІ

S Законодавча база
Закон України «Про інформацію»
Закон України «Про державну таємницю»
«Про захист інформації в інформаційно-телекомунікаційних системах» (ст. 8)

«Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої
встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту
інформації з підтвердженою відповідністю. Підтвердження відповідності комплексної системи
захисту інформації здійснюється за результатами державної експертизи, яка проводиться з
урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому
законодавством.»

Закон України «Про захист персональних даних»

Закон про електронний документообіг

Закон про електронні довірчі послуги (2017)

Закон про електронне декларування (2017) +

 Призначення КСЗІ

S для захисту інформації від: витоку технічними каналами (канали побічних

електромагнітних випромінювань і наведень, акустично-електричні та інші
канали, що утворюються під впливом фізичних процесів під час
функціонування засобів обробки інформації, інших технічних засобів і
комунікації); несанкціонованих дій з інформацією, у тому числі з
використанням комп'ютерних вірусів; спеціального впливу на засоби
обробки інформації, який здійснюється шляхом формування фізичних
полів і сигналів та може призвести до порушення її цілісності та
несанкціонованого блокування.
 Створення КСЗІ

S Створення КСЗІ в ІС здійснюється відповідно до нормативних документів з

технічного захисту інформації (НД ТЗІ)

S НД ТЗІ 3.7-003-05 "Порядок проведення робіт із створення комплексної системи

захисту інформації в інформаційно-телекомунікаційній системі" на підставі
технічного завдання (далі - ТЗ),

S НД ТЗІ 3.7-001-99 "Методичні вказівки щодо розробки технічного завдання на

створення комплексної системи захисту інформації в автоматизованій системі".

S НД ТЗІ 2.5-005-99 «Класифікація автоматизованих систем» - створення

комплексної системи захисту інформації (КСЗІ) в автоматизованих системах
(АС) 1-ого, 2-ого та 3-ого класу

Див https://cip.gov.ua/ Нормативна база

 Класифікація інформації:

S Відкрита
S ІзОД:
S а) конфіденційна, Sensitive в країнах НАТО (5
S б) службова категорій, 3 вищі –
S в) таємна відповідають державній
(особливої важливості, таємниці у нас)
цілком таємно, таємно)
Конфіденційною є
- інформація про фізичну особу,
- інформація, доступ до якої обмежено фізичною або юридичною особою, крім
суб'єктів владних повноважень.

? Які види інформації повинна захищати КСЗІ

 Види інформації
S Конфіденційною інформацією є інформація, доступ до якої обмежено фізичною
або юридичною особою, крім суб’єктів владних повноважень, та яка може
поширюватися у визначеному ними порядку за їхнім бажанням відповідно до
передбачених ними умов. Не може бути віднесена до конфіденційної інформація,
що була отримана або створена розпорядниками інформації.

S Таємною інформацією є інформація, доступ до якої обмежується виключно в

інтересах національної безпеки, територіальної цілісності або громадського
порядку з метою запобігання заворушенням чи злочинам, для охорони здоров’я
населення, для захисту репутації або прав інших людей, для запобігання
розголошенню інформації, одержаної конфіденційно, або для підтримання
авторитету і неупередженості правосуддя, розголошення якої може завдати шкоди
особі, суспільству і державі. Таємною визнається інформація, яка містить
державну, професійну, банківську таємницю, таємницю слідства та іншу
передбачену законом таємницю.

S Службовою інформацією є інформація, що міститься в документах суб’єктів

владних повноважень, які становлять внутрівідомчу службову кореспонденцію,
доповідні записки, рекомендації, якщо вони пов’язані з розробкою напряму
діяльності установи або здійсненням контрольних, наглядових функцій органами
державної влади, процесом прийняття рішень і передують публічному
обговоренню та/або прийняттю рішень, а також інформація зібрана в процесі
оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни,
яку не віднесено до державної таємниці.
 Особливості

Не належать до інформації з обмеженим

доступом: декларації про доходи осіб та
членів їхніх сімей, які претендують на
зайняття чи займають виборну посаду в
органах влади та обіймають посаду
державного службовця, службовця
органу місцевого самоврядування
першої або другої категорії.
Відповідно до статті 5 Закон
України "Про захист персональних
даних" об'єктами захисту є
персональні дані. Персональні
дані можуть бути віднесені до
конфіденційної інформації про
особу законом або відповідною
особою.

Прізвище, ім'я, по батькові, адреса, номер

телефону, паспортні дані, інформація про
етнічне походження, освіту, сімейний стан,
належність до релігійних організацій, стан
здоров'я, дата і місце народження і так далі.
Вичерпного переліку не існує — якщо за
якимось даними можна ідентифікувати
людину, ці дані персональні.
 … подробиці

До конфіденційної НЕ може бути віднесено: про стан довкілля, якість харчових

продуктів і предметів побуту;
про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися
або можуть статися і загрожують безпеці громадян;
про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло,
медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні
показники, стан правопорядку, освіти і культури населення;
стосовно стану справ із правами і свободами людини і громадянина, а також фактів їх
порушень; про незаконні дії органів державної влади, та ін.
 СУІБ як альтернатива

S ISO/IEC 27001 – база

S Функції: моніторинг, ревізія, супровід, вдосконалення

інформаційної безпеки

S Включає: організаційну структуру, політики,

планування, розподіл обов’язків, методики, процедури
та ресурси

S Орієнтація на міжнародні вимоги

Етапи функціонування СУІБ
S 1.Планування процедур СУІБ:

S рішення про створення системи управління керівництвом компанії;

S вибір області дії системи;

S інвентаризація і категоріювання інформаційних активів;

S оцінка рівня захищеності інформаційної системи (ІС) - визначення

вразливостей і загроз ІБ;

S аналіз інформаційних ризиків;

S розробка Положення про застосування;

S вибір заходів щодо зниження інформаційних ризиків;

S розробка бази нормативних документів по ІБ.

Етапи функціонування СУІБ

S 2.Впровадження процедур СУІБ:

S впровадження заходів щодо зниження інформаційних ризиків;

S визначення методів оцінки ефективності впроваджених заходів;

S підвищення кваліфікації співробітників компанії в області ІБ;

S впровадження системи управління інцидентами ІБ.

Етапи функціонування СУІБ

S 3.Моніторинг та аналіз процедур СУІБ:

S регулярні перевірки ефективності процедур системи управління;

S регулярний перегляд результатів аналізу інформаційних ризиків;

S реєстрація записів системи управління з метою оцінки її ефективності.

S 4. Удосконалення СУІБ:

S виконання коригувальних і превентивних дій;

S забезпечення ефективності вжитих заходів вдосконалення СУІБ.

 ЖЦ КСЗІ

S Обстеження середовищ функціонування, визначення потенційних загроз;

S Проектування та розробка (ТЗ, ескізний проект, техно-робочий проект);

S Впровадження КСЗІ (встановлення, попередні випробування, дослідна

експлуатація, надання керівництв адміністратора; користувача, інструктування
та налагодження роботи персоналу по використанню КСЗІ);

S Експертиза КСЗІ;

S Супровід (ліквідація помилок, апгрейди, модифікації на вимогу власника);

S Ліквідація КСЗІ (видалення таємної інформації, знищення носіїв таємної

інформації).

! ЖЦ - лінійний
 ЖЦ СУІБ

S Модель PDCA.

Умова сертифікації –
хоча б 1 пройдений
цикл

! ЖЦ циклічний
 КСЗІ vs СУІБ
S Статичність S Динамічність

S Немає управління S Є управління безпекою

безпекою та удосконалення

S Вимоги НД ТЗІ, законів S ISO/IEC 2700x

S Орієнтація на загрози S Орієнтація на ризики

S Задовольняє державу S Задовольняє бізнес

 Схожі риси у КСЗІ та СУІБ
S Обстеження S Plan
середовищ;

S Проектування та
розробка S Do

S Впровадження КСЗІ

S Експертиза КСЗІ; S Check

S Супровід;

S Ліквідація КСЗІ. S Act (Adjust)

 Склад КСЗІ

S - КЗЗ від витоку технічними каналами, до яких відносяться канали побічних

електромагнітних випромінювань і наведень, акустоелектричних та інших
каналів – програмно-апаратні, технічні засоби, організаційні заходи;

S - КЗЗ від несанкціонованих дій та несанкціонованого доступу до інформації, які

можуть здійснюватися шляхом підключення до апаратури та ліній зв'язку,
маскування під зареєстрованого користувача, подолання заходів захисту з
метою використання інформації або нав'язування хибної інформації,
застосування закладних пристроїв чи програм, використання комп'ютерних
вірусів і т.п . – програмні, програмно-апаратні, криптографічні засоби;
організаційні заходи

S - КЗЗ захисту від спеціального впливу на інформацію, що може здійснюватися

шляхом формування полів і сигналів з метою порушення цілісності інформації
або руйнування системи захисту – програмно- апаратні, організаційні.
 Принципи побудови системи
захисту

S Простота та інтуїтивна зрозумілість • Захист пам’яті

S Постійність захисту • Реєстрація та журналювання

S Неперервність захисту • Механізми захисту від К,Ц,Д,С, та

нав’язування інф.
S Всебічний контроль
• Модульність
S Відкритість проектування.
• Гнучкість
S Ідентифікація та розділення повноважень
• Комплексність, багатогранність
S Контроль доступа
• Адекватність
S Надійність
• Персональна відповідальність
S Автономність
• Професіоналізм персоналу, СЗІ
 Рівні захисту

S Рівень захисту від НСД (ідентифікація-автентифікація, шифрування,

керування доступом, контроль справжності інформації, знищення
залишкових даних, антивірусний захист (АВЗ));

S Рівень захисту від НСВ (квотування, контроль складу засобів, захист

програм від дослідження, модифікації, несанкціонованого запуску);

S Рівень захисту від НКВ (ізоляція ділянок памяті, підтримка цілісності

та несуперечності даних, попередження користувача не виконувати
небезпечні дії);

S Рівень внесення інформаційної та функціональної надлишковості

(тестування, самотестування, резервування, відновлення,
самовідновлення, архівування, дублювання компонентів).
Д/з до попереднього слайду:
заповнити таблицю

Рівні Мережа ОС СКБД Застосунки

S Заповнити таблицю
захисту
Захист від
НСД
Захист від
НСВ
Захист від
НКВ
Внесення
надлишково
сті
Принцип Defence-in-Depth
 Захист інфраструктури
Фізичний Технічний Адміністративний
Файрволи (NGFW
Організаційні Політика
UTM)
заходи (приклади Sophos UTM, Cisco Firepower, Fortinet підприємства
FortiGate, Checkpoint, Palo Alto )
Моніторинг та аналіз (SIEM Splunk, Посадові інструкції
Arcsight, IBM QRadar)
User and Entity Behavior Analytics (UEBA)
Захист від витоку (DLP) Вимоги до
----- кібергігієни
IDS/IPS
Antivirus, Sandboxes, Honeypots СЗІ
DPI
Захист пошти (Cisco IronPort ESA, Kaspersky
Security для почтового сервера, Eset Email Security)
СУД (контролер домена + Active Directory)
Cканери вразливостей
Резервне копіювання
 Підсистеми КСЗІ

S Підсистема адміністрування безпеки;

S Підсистема керування доступом;

S Підсистема ідентифікації-автентифікації;

S Підсистема забезпечення цілісності (взаємодпоєднана із ПсАЗ)

S Криптографічна підсистема;

S Підсистема антивірусного захисту (ПсАЗ);

S Підсистема реєстрації та аудиту.

 Функції підсистем КСЗІ
S Підсистема керування доступом:
S Ідентифікація й автентифікація
суб'єктів
S Автентифікація об'єктів
S Керування доступом суб'єкта до
об'єкта
S Підсистема реєстрації й обліку:
S Реєстрація й облік подій у
системі
S Реєстрація дій адміністратора
S Організація допомоги в
синхронізації подій
Підсистема забезпечення
цілісності:
• Контроль цілісності всіх
інформаційних ресурсів
• Сигналізація про
порушення цілісності і
надання засобів для
відновлення засобів
системи захисту від НСД
Криптографічна підсистема:
• Шифрування-
дешифрування
• Хешування
• Генерація ключів
• ЕЦП