 |
|
Визначення й аналіз загроз
На першому етапі слід зробити аналіз об'єктів ТЗІ, ситуаційного плану, умов функціонування Підприємства; оцінити ймовірність прояву загроз та очікувану шкоду від реалізації їх, підготувати дані для побудови окремої моделі загроз.
Джерелами загроз може бути діяльність іноземних розвідок, а також навмисні або ненавмисні дії юридичних і фізичних осіб.
Опис загроз і схематичне подання шляхів здійснення їх складають окрему модель загроз.
Загрози можуть здійснюватися:
• технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, а також акустичні, оптичні, радіо-, радіотехнічні, хімічні та ін.;
• каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
•несанкціонованим доступом шляхом підключення до апаратури та ліній зв'язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав'язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп'ютерних вірусів.
3.2. Розроблення плану захисту інформації
На другому етапі розробляється план ТЗІ, що містить організаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначення зони безпеки інформації.
Організаційні заходи регламентують порядок інформаційної діяльності з урахуванням норм і вимог ТЗІ для всіх періодів життєвого циклу ОІД.
Первинні технічні заходи передбачають захист інформації блокуванням загроз без використання засобів ТЗІ.
Основні технічні заходи передбачають захист інформації з використанням засобів забезпечення ТЗІ.
Заходи захисту інформації повинні:
• бути відповідними загрозам;
• бути розробленими з урахуванням можливої шкоди від реалізації їх і вартості захисних заходів та обмежень, що вносяться ними;
•забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.
Рівень захисту інформації визначається системою кількісних та якісних показників, які забезпечують розв'язання завдання захисту інформації на основі норм та вимог ТЗІ.
Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпечнішій загрозі.
Підвищення рівня захисту інформації досягається нарощуванням технічних заходів протидії безлічі загроз.
Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізації заходів ТЗІ, розрахунку ефективності захисту та порядок атестації технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщень) установлюються нормативними документами системи ТЗІ.
3.2. Реалізація плану захисту інформації
3.3.
На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні зони безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, технічних засобів захисту інформації, робочих місць (приміщень) на відповідність вимогам безпеки інформації.
Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації (далі — засоби ТЗІ) та контролю ефективності захисту, які мають сертифікат відповідності вимогам нормативних документів системи УкрСЕПРО або дозвіл на використання їх від уповноваженого Кабінетом Міністрів України органу, а також застосуванням спеціальних інженєрно-технічних споруд, засобів і систем (далі — засоби забезпечення ТЗІ).
Засоби ТЗІ можуть функціонувати автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у них складових елементів.
Склад засобів забезпечення ТЗІ, перелік їхніх постачальників, а також послуг з установлення, монтажу, налагодження та обслуговування визначаються особами, що володіють, користуються й розпоряджаються ІзОД самостійно або за рекомендаціями спеціалістів з ТЗІ, згідно з нормативними документами системи ТЗІ.
Надання послуг з ТЗІ, атестацію та сервісне обслуговування засобів забезпечення ТЗІ можуть здійснювати юридичні й фізичні особи, що мають ліцензію на право проведення цих робіт, видану органом, уповноваженим Кабінетом Міністрів України.