1. Головні принципи та етапи захисту від загроз. Номативно-правове забезпечення захисту інформації
Загальний аналіз проблем організовування захисту від будь-яких загроз дає можливість визначити 4 головні принципи та етапи заходів:
1) організація зовнішніх рубежів безпеки з метою своєчасного виявлення загроз;
2) організація протидії загрозам та їх блокування, тобто зупинення та локалізації загроз під час їх реалізації;
3) забезпечення нейтралізації та ліквідації загроз, а також подолання наслідків загроз, які не вдалося блокувати;
4) попередження загроз, тобто аналіз відомих загроз та впровадження відповідних запобіжних заходів.
Стосовно автоматизованих (комп’ютерних) систем (далі — АС) ці принципи та етапи дають можливість також визначити 4 етапи та види захисту від загроз для електронних інформаційних ресурсів АС, які циклічно повторюються з метою постійного оновлення та підвищення ефективності заходів і засобів захисту.
Виявлення ► Зупинення ► Нейтралізація ► Попередження
1. Етап виявлення
На організаційному рівні — це забезпечення пропускного режиму, цілодобової охорони та контролю периметра безпеки, а також контррозвідувальних заходів служби безпеки установи.
На інженерно-технічному рівні — це використання інженерних споруд і технічних засобів пропускного режиму, охоронної сигналізації та відеоспостереження.
2. Етап зупинення
Ці заходи забезпечують апаратно-програмне блокування спроб несанкціонованого доступу (далі — НСД) порушника (хакера) до інформації в АС або ураження системи вірусами за допомогою спеціальних апаратних комплексів та програмних засобів захисту інформації. Для цього в АС встановлюються міжмережові екрани, файерволи (брандмауери), антивірусні програмні засоби та спеціальні комплекси засобів захисту інформації від НСД.
Зазначимо, що ці заходи можуть бути спрямовані на документування методів НСД до АС для наступного дослідження їх; збереження слідів правопорушення; взаємодію (у разі необхідності) з державними правоохоронними органами щодо виявлення та розкриття правопорушення (в тому числі за готування до злочину і за замах на злочин); сприяння притягненню винних до відповідної відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).
3. Етап нейтралізації
На організаційно-правовому рівні — це дисциплінарне або адміністративне (кримінальне) розслідування правопорушення (злочину) та притягнення винних до відповідальності.
На апаратно-програмному рівні — це подолання наслідків реалізації загроз у разі порушень:
— технологічих процесів — їх відновлення за допомогою плану аварійного відновлення та проведення ремонтних заходів;
— операційної системи та програмних засобів — їх відновлення за допомогою інсталяційних файлів (дисків);
— інформаійних ресурсів — їх відновлення за допомогою резервних і архівних копій, які зберігаються на зовнішніх носіях.
4. Етап попередження
На організаційному рівні — це проведення аналізу відомих загроз, прогнозування нових загроз і пошук відповідних запобіжних заходів, дезінформаційне легендування об’єктів захисту, розширення периметру безпеки, періодичне оновлення політики безпеки та плану захисту, постійне навчання та тренування персоналу.
На інженерно-технічному рівні — це застосування пасивних засобів захисту: закриття вікон та встановлення на них грат і штор (жалюзі), закриття та опечатування дверей, пломбування системних блоків, роз’ємів технічних засобів АС тощо, використання систем екранування, заземлення та зашумлення, а також модернізація наявної системи захисту та впровадження нових засобів ТЗІ.
Номативно-правові акти України, які визначають необхідність створення КСЗІ в ІТС
Історія захисту інформації в Україні розпочалася з Закону України «Про захист інформації в автоматизованих системах», прийнятого постановою Верховної Ради України №81/94-ВР від 5 липня 1994 року.
У тому же році постановою Кабінету Міністрів України (далі — ПКМУ) від 9 вересня 1994 року №632 було затверджене «Положення про технічний захист інформації в Україні» (далі — ТЗІ), згідно якого була створена Державна служба України з питань ТЗІ.
Через 3 роки постановою КМУ від 8 жовтня 1997 року №1126 була затверджена «Концепція ТЗІ в Україні». Вона визначає поняття ТЗІ таким чином: це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності інформації з обмеженим доступом, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави.
А вже через 2 роки з’явилося нове «Положення про ТЗІ в Україні», затверджене Указом Президента України від 27 вересня 1999 року №1229. Пов’язане це було з тим, що питання ТЗІ були покладені на Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (скорочено — ДСТСЗІ СБУ), до складу якого і увійшла Державна служба з питань ТЗІ. Старе положення втратило чинність згідно постанови КМУ від 13 березня 2002 року №281.
«Положення про ТЗІ в Україні» визначає поняття ТЗІ таким чином: це діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності важливої для держави, суспільства і особи інформації.
Воно визначає також такі терміни:
— конфіденційність — властивість інформації бути захищеною від несанкціонованого ознайомлення;
— цілісність — властивість інформації бути захищеною від несанкціонованого руйнування або знищення;
— доступність — властивість інформації бути захищеною від несанкціонованого блокування;
— інформаційна система — автоматизована система, комп'ютерна мережа або система зв'язку.
Тепер з'ясуємо, яку інформацію треба захищати:
Закон України «Про інформацію» (1992)
Стаття 20. Доступ до інформації
1. За порядком доступу інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом.
2. Будь-яка інформація є відкритою, крім тієї, що віднесена законом до інформації з обмеженим доступом.
Стаття 21. Інформація з обмеженим доступом
1. Інформацією з обмеженим доступом (далі — ІзОД) є конфіденційна, таємна та службова інформація.
2. Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень.
Закон України «Про доступ до публічної інформації» (2011)
Стаття 7. Конфіденційна інформація
1. Конфіденційна інформація — інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов.
2. Розпорядники інформації, які володіють конфіденційною інформацією, можуть поширювати її лише за згодою осіб, які обмежили доступ до інформації, а за відсутності такої згоди — лише в інтересах національної безпеки, економічного добробуту та прав людини.
Стаття 8. Таємна інформація
1. Таємна інформація — інформація, розголошення якої може завдати шкоди особі, суспільству і державі. Таємною визнається інформація, яка містить державну, професійну, банківську таємницю, таємницю досудового розслідування та іншу передбачену законом таємницю.
Стаття 9. Службова інформація
1. До службової може належати така інформація:
1) що міститься в документах суб'єктів владних повноважень, які становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов'язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню та/або прийняттю рішень;
2) зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці.
2. Документам, що містять інформацію, яка становить службову інформацію, присвоюється гриф «для службового користування».
Закон України «Про захист персональних даних» (2010)
Стаття 5. Об'єкти захисту
1. Об'єктами захисту є персональні дані.
2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
Закон України «Про електронні документи та електронний документообіг» (2003)
Стаття 15. Обіг електронних документів, що містять інформацію з обмеженим доступом
В інформаційних, телекомунікаційних, інформаційно-телекомунікаційних системах, які забезпечують обмін електронними документами, що містять інформацію, яка є власністю держави, або ІзОД, повинен забезпечуватися захист цієї інформації відповідно до законодавства.
Таким чином, потрібно захищати ІзОД та інформацію, що є власністю держави та циркулює в інформаційно-телекомунікаційних системах.
Види захисту інформації
1. Організаційний — попередження доступу на об'єкт інформаційної діяльності сторонніх осіб за допомогою організаційних заходів (охорона, пропускний режим, регламентація доступу тощо).
2. Інженерний — попередження доступу на об'єкт інформаційної діяльності сторонніх осіб та руйнування об’єкту захисту внаслідок навмисних дій або природного впливу інженерно-технічними засобами (обмежуючі конструкції доступу, відеоспостереження, охоронно-пожежна сигналізація тощо).
3. Технічний (ТЗІ) — забезпечення обмеження доступу до інформації апаратно-технічними засобами (зашумлення, маршрутизатори, антивіруси, фаєрволи, смарт-карти тощо):
— захист від витоку технічними каналами;
— захист від НСД.
4. Криптографічний (КЗІ) — попередження доступу до інформації за допомогою математичних перетворень:
— попередження несанкціонованої модифікації;
— попередження несанкціонованого розголошення.
Закон України «Про захист інформації в автоматизованих системах» визначив термін захист інформації: це сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи АС та осіб, які користуються інформацією. Разом з тим, у законі ще не застосовувалось таке поняття як комплексна система захисту інформації.
Також він визначив термін автоматизована система (далі — АС): це система, що здійснює автоматизовану обробку даних і до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки та зв'язку), а також методи і процедури, програмне забезпечення.
Згідно ДСТУ 2226—93 «Автоматизовані системи. Терміни та визначення»:
АС — організаційно-технічна система, що складається із засобів автоматизації певного виду (чи кількох видів) діяльності людей та персоналу, що здійснює цю діяльність.
Згідно НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу»:
— АС — організаційно-технічна система, що реалізує інформаційну технологію та поєднує у собі: обчислювальну систему, фізичне середовище, персонал та інформацію, яка обробляється.
— захист інформації в АС — діяльність, спрямована на забезпечення безпеки оброблюваної в АС інформації та системи у цілому, що дає змогу запобігти реалізації загроз або унеможливити її, та зменшити ймовірність завдання збитків від реалізації загроз.
— комплексна система захисту інформації (далі — КСЗІ) — це сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.
Наступним етапним документом став Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», який був прийнятий у 2005 році на заміну Закону «Про захист інформації в АС». Він визначив багато нових термінів, зокрема, такі:
— КСЗІ — взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
— захист інформації в системі — діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
— інформаційна (автоматизована) система — організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
— телекомунікаційна система — організаційно-технічна система, що реалізує технологію інформаційного обміну за допомогою технічних і програмних засобів шляхом передавання та приймання інформації у вигляді сигналів, знаків, звуків, зображень чи іншим чином;
— інформаційно-телекомунікаційна система (далі — ІТС) — сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
— інформаційний ресурс — будь-які дані в електронному вигляді, які обробляються або зберігаються в інформаційно-телекомунікаційній системі.
Закон України «Про захист інформації в ІТС»
Стаття 2. Об'єкти захисту в системі
Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Стаття 8. Умови обробки інформації в системі
Інформація, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням КСЗІ з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення КСЗІ, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Стаття 9. Забезпечення захисту інформації в системі
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, власник системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкований йому регіональний орган.
Стаття 10. Повноваження державних органів у сфері захисту інформації в системах
Вимоги до забезпечення захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, встановлюються Кабінетом Міністрів України.
Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації:
— розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
— визначає вимоги та порядок створення КСЗІ, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
— організовує проведення державної експертизи КСЗІ, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
— здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом;
— здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від несанкціонованих дій в ІТС та дає рекомендації з питань запобігання такій загрозі.
Державні органи в межах своїх повноважень за погодженням відповідно із спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкованим йому регіональним органом встановлюють особливості захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом.
Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.
Закон України «Про Державну службу спеціального зв'язку та захисту інформації України» (2006)
Згідно цього закону ДСТСЗІ СБУ вийшов зі складу СБУ та був реорганізоваий у Державну службу спеціального зв'язку та захисту інформації України (скорочено — Держспецзв'язку), яка є спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації.
Стаття 16. На Держспецзв'язку згідно визначених завдань покладаються такі обов'язки:
3) розроблення порядку та вимог щодо захисту державних інформаційних ресурсів* в ІТС, криптографічного та технічного захисту інформації, яка є власністю держави, або
інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
* державні інформаційні ресурси — систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень.
У «Положенні про Реєстр ІТС органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління», затвердженому постановою Кабінету Міністрів України від 03.08.2005 №688:
державні електронні інформаційні ресурси — відображена та задокументована в електронному вигляді інформація, необхідність захисту якої визначено законодавством.
11) накопичення та аналіз даних про вчинення та/або спроби вчинення несанкціонованих дій щодо державних інформаційних ресурсів в ІТС, а також про їх наслідки, інформування правоохоронних органів для вжиття заходів із запобігання та припинення кримінальних правопорушень у зазначеній сфері; оцінка стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, надання відповідних рекомендацій;
13) погодження проектів створення ІТС, в яких оброблятиметься інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої
встановлена законом, проведення їх експертної оцінки і визначення можливості введення в експлуатацію;
16) встановлення порядку і вимог щодо використання ІТС, у тому числі загального користування, органами державної влади, органами місцевого самоврядування, підприємствами, установами і організаціями незалежно від форм власності, які збирають, обробляють, зберігають та передають інформацію, яка є власністю держави, або інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законом;
32) видача атестата відповідності комплексних систем захисту інформації ІТС, із застосуванням яких обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, вимогам нормативних документів з питань технічного захисту інформації.
Інструкція про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію (затверджена ПКМУ від 27.11.98 №1893)
18. Використання ІТС для друкування документів з грифом «Для службового користування» та обробки конфіденційної інформації, що є власністю держави, може здійснюватися тільки після створення в ній КСЗІ та підтвердження відповідності створеної системи вимогам нормативних документів з питань технічного захисту інформації в порядку, встановленому законодавством.
Дозвіл на використання ІТС із зазначеною метою надається згідно з наказом керівника організації за наявності атестата відповідності КСЗІ.
Основний керівний нормативно-правовий акт:
Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі — Правила 373) (затверджені ПКМУ від 29.03.2006 №373 з останніми змінами згідно №938 від 07.09.2011)
3. У Правилах наведені нижче терміни вживаються у такому значенні:
— автентифікація — процедура встановлення належності користувачеві інформації в системі (далі — користувач) пред'явленого ним ідентифікатора (пароль);
— ідентифікація — процедура розпізнавання користувача в системі як правило за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою (логін).
4. Захисту в системі підлягає:
— відкрита інформація, яка належить до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами (далі — відкрита інформація);
— конфіденційна інформація, яка перебуває у володінні розпорядників інформації, визначених Законом України «Про доступ до публічної інформації»;
— службова інформація;
— інформація, яка становить державну або іншу передбачену законом таємницю (далі — таємна інформація);
— інформація, вимога щодо захисту якої встановлена законом.
5. Відкрита інформація під час обробки в системі повинна зберігати цілісність, що забезпечується шляхом захисту від несанкціонованих дій, які можуть призвести до її випадкової або умисної модифікації чи знищення.
Усім користувачам повинен бути забезпечений доступ до ознайомлення з відкритою інформацією. Модифікувати або знищувати відкриту інформацію можуть лише ідентифіковані та автентифіковані користувачі, яким надано відповідні повноваження.
Спроби модифікації чи знищення відкритої інформації користувачами, які не мають на це повноважень, неідентифікованими користувачами або користувачами з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
6. Під час обробки службової і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
7. Доступ до службової інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації неідентифікованих осіб чи користувачів з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
У системі забезпечується можливість надання користувачеві права на виконання однієї або кількох операцій з обробки конфіденційної інформації або позбавлення його такого права.
11. У системі здійснюється обов'язкова реєстрація:
— результатів ідентифікації та автентифікації користувачів;
— результатів виконання користувачем операцій з обробки інформації;
— спроб несанкціонованих дій з інформацією;
— фактів надання та позбавлення користувачів права доступу до інформації та її обробки;
— результатів перевірки цілісності засобів захисту інформації.
Забезпечується можливість проведення аналізу реєстраційних даних виключно користувачем, якого уповноважено здійснювати управління засобами захисту інформації і контроль за захистом інформації в системі (адміністратор безпеки).
Реєстрація здійснюється автоматичним способом, а реєстраційні дані захищаються від модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки.
Реєстрація спроб несанкціонованих дій з інформацією, що становить державну таємницю, а також конфіденційної інформації про фізичну особу, яка законом віднесена до персональних даних, повинна супроводжуватися повідомленням про них адміністратора безпеки.
12. Ідентифікація та автентифікація користувачів, надання та позбавлення їх права доступу до інформації та її обробки, контроль за цілісністю засобів захисту в системі здійснюється автоматизованим способом.
13. Передача службової і таємної інформації з однієї системи до іншої здійснюється у зашифрованому вигляді або захищеними каналами зв'язку згідно з вимогами законодавства з питань технічного та криптографічного захисту інформації.
14. Порядок підключення систем, в яких обробляється службова і таємна інформація, до глобальних мереж передачі даних визначається законодавством.
15. У системі здійснюється контроль за цілісністю програмного забезпечення, яке використовується для обробки інформації, запобігання несанкціонованій його модифікації та ліквідація наслідків такої модифікації.
Контролюється також цілісність програмних та технічних засобів захисту інформації. У разі порушення їх цілісності обробка в системі інформації припиняється.
Організаційні засади забезпечення захисту інформації
16. Для забезпечення захисту інформації в системі створюється комплексна система захисту інформації (далі — КСЗІ), яка призначається для захисту інформації від:
— витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень (далі — ПЕМВН), акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;
— несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;
— спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.
Захист інформації від витоку технічними каналами забезпечується в системі у разі, коли в ній обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності такого захисту прийнято розпорядником інформації.
Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах.
Захист інформації від спеціального впливу на засоби обробки інформації забезпечується в системі, якщо рішення про необхідність такого захисту прийнято розпорядником інформації.
17. Відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається на керівника організації, яка є власником (розпорядником) системи, та керівників її структурних підрозділів, що забезпечують створення та експлуатацію системи.
18. Організація та проведення робіт із захисту інформації в системі здійснюється службою захисту інформації (далі — СЗІ), яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію КСЗІ, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.
СЗІ утворюється згідно з рішенням керівника організації, що є власником (розпорядником) системи.
У разі коли обсяг робіт, пов'язаних із захистом інформації в системі, є незначний, захист інформації може здійснюватися однією особою.
19. Захист інформації на всіх етапах створення та експлуатації системи здійснюється відповідно до розробленого СЗІ плану захисту інформації в системі.
План захисту інформації в системі містить:
— завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;
— визначення моделі загроз для інформації в системі;
— основні вимоги щодо захисту інформації та правила доступу до неї в системі;
— перелік документів, згідно з якими здійснюється захист інформації в системі;
— перелік і строки виконання робіт службою захисту інформації.
20. Вимоги та порядок створення КСЗІ встановлюються Адміністрацією Держспецзв'язку (далі — Адміністрація).
Вимоги до захисту інформації кожної окремої системи встановлюються технічним завданням на створення системи або КСЗІ.
21. У складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.
У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту.
22. Порядок проведення державної експертизи системи захисту, державної експертизи та сертифікації засобів технічного і криптографічного захисту інформації встановлюється Адміністрацією.
Органи виконавчої влади, які мають дозвіл на провадження діяльності з технічного захисту інформації для власних потреб, вправі за згодою департаменту організовувати проведення державної експертизи системи захисту на підприємствах, в установах та організаціях, які належать до сфери їх управління.
Порядок проведення такої експертизи встановлюється органом виконавчої влади за погодженням з Адміністрацією.
23. Виконавцем робіт із створення системи захисту може бути суб'єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації, необхідність проведення якого визначено технічним завданням на створення системи захисту.
Для проведення інших видів робіт з технічного захисту інформації, на провадження яких виконавець не має ліцензії (дозволу), залучаються співвиконавці, що мають відповідні ліцензії.
Якщо для створення системи захисту необхідно провести роботи з криптографічного захисту інформації, виконавець повинен мати ліцензії на провадження виду робіт у сфері криптографічного захисту інформації або залучати співвиконавців, що мають відповідні ліцензії.
2. Нормативні документи ТЗІ та етапи створення КСЗІ в ІТС
Основні нормативно-правові акти України
Закон України «Про захист інформації в інформаційно-телекомунікаційних системах».
Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету Міністрів України від 29.03.2006 №373 з останніми змінами згідно ПКМУ №938 від 07.09.2011.
Державні стандарти України та Росії
ДСТУ 2226—93. Автоматизовані системи. Терміни та визначення.
ДСТУ 2851—94. Програмні засоби ЕОМ. Документування результатів випробувань.
ДСТУ 2853—94. Програмні засоби ЕОМ. Підготовлення і проведення випробувань.
ДСТУ 3396.0—96. Технічний захист інформації. Основні положення.
ДСТУ 3396.1—96. Технічний захист інформації. Порядок проведення робіт.
ДСТУ 3396.2—97. Технічний захист інформації. Терміни та визначення.
ГОСТ 34.201—89 Виды, комплектность и обозначение документов при создании автоматизированых систем
РД 50—34.698—90 Автоматизированные системы. Требования к содержанию документов
Нормативні документи системи технічного захисту інформації
Створення КСЗІ в автоматизованій системі
НД ТЗІ 3.7-003-2005. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі, затверджений наказом ДСТСЗІ СБ України від 08.11.2005 №125 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 №806.
НД ТЗІ 1.6-005-2013. Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці, затверджений наказом Адміністрації Держспецзв'язку від 15.04.2013 №215
НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі, затверджений наказом ДСТСЗІ СБ України від 04.12.2000 №53.
НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі, затверджений наказом ДСТСЗІ СБ України від 28.04.99 №22 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 №806.
Захист інформації в комп'ютерних системах від несанкціонованого доступу
НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 28.04.99 №22.
НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 28.04.99 №22.
НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 28.04.99 №22.
НД ТЗІ 2.5-005-99. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від 28.04.99 №22.
НД ТЗІ 2.5-008-2002. Вимоги із захисту службової інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2, затверджений наказом ДСТСЗІ СБ України від 13.12.2002 №84 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 №806.
НД ТЗІ 2.5-010-2003. Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 02.04.2003 №33 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 №806.
Створення комплексів ТЗІ на об'єктах інформаційної діяльності
ТР ЕОТ — 95. Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок, затверджені наказом Державної служби України з питань технічного захисту інформації від 09.06.95 №25.
НД ТЗІ 1.1-005-2007. Створення комплексу технічного захисту інформації. Основні положення, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 №232.
НД ТЗІ 2.1-002-2007. Випробування комплексу технічного захисту інформації. Основні положення, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 №232.
НД ТЗІ 3.1-001-2007. Створення комплексу технічного захисту інформації. Передпроектні роботи, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 №232.
НД ТЗІ 3.3-001-2007. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 №232.
Державна експертиза КСЗІ
Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Держспецзв'язку від 16.05.2007 №93 та зареєстроване в Міністерстві юстиції України 16.07.2007 за №820/14087.
Порядок формування реєстру організаторів державної експертизи у сфері ТЗІ та реєстру експертів з питань ТЗІ, затверджений наказом Адміністрації Держспецзв’язку від 16.04.2008 №64
НД ТЗІ 2.6-001-2011. Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах, затверджений наказом Адміністрації Держспецзв'язку від 25.03.2011 №65 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 №806.
НД ТЗІ 2.7-009-2009. Методичні вказівки з оцінювання функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу, затверджений наказом Адміністрації Держспецзв'язку від 24.07.2009 №172 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 №806.
НД ТЗІ 2.7-010-2009. Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу, затверджений наказом Адміністрації Держспецзв'язку від 24.07.2009 №172.
Основний керівний документ — це НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС»
Він визначає порядок прийняття рішень щодо складу КСЗІ в залежності від умов функціонування ІТС і видів оброблюваної інформації, визначення обсягу і змісту робіт, етапності робіт, основних завдань та порядку виконання робіт кожного етапу.
Побудований у вигляді керівництва, яке містить перелік робіт і посилання на діючі нормативні документи, у відповідності до яких ці роботи необхідно виконувати. Якщо якийсь з етапів чи видів робіт не нормовано, наводиться короткий зміст робіт та якими результатами вони повинні закінчуватись.
Дія цього НД ТЗІ поширюється тільки на ІТС, в яких здійснюється обробка інформації автоматизованим способом. Відповідно, для таких ІТС чинні всі нормативно-правові акти та нормативні документи щодо створення ІТС та щодо захисту інформації в АС. НД ТЗІ не встановлює нових норм, а систематизує в одному документі вимоги, норми і правила, які безпосередньо або непрямим чином витікають з положень діючих нормативних документів.
НД ТЗІ призначений для суб’єктів інформаційних відносин (власників або розпорядників ІТС, користувачів), діяльність яких пов’язана з обробкою інформації, що підлягає захисту, розробників КСЗІ в ІТС, для постачальників компонентів ІТС, а також для фізичних та юридичних осіб, які здійснюють оцінку захищеності оброблюваної інформації на відповідність вимогам ТЗІ.
Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка належить до державних інформаційних ресурсів, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством. Якщо в ІТС обробляються інші види інформації, то вимоги цього нормативного документа суб’єкти системи ТЗІ можуть використовувати як рекомендації.
Порядок створення КСЗІ в ІТС є єдиним незалежно від того, створюється КСЗІ в ІТС, яка проектується, чи в діючій ІТС, якщо виникла необхідність забезпечення захисту інформації або модернізації вже створеної КСЗІ.
Процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів, спрямованих на розроблення і впровадження інформаційної технології, яка забезпечує обробку інформації в ІТС згідно з вимогами, встановленими нормативно-правовими актами та НД у сфері захисту інформації.
Порядок створення КСЗІ в ІТС розглядається цим НД як сукупність впорядкованих у часі, взаємопов’язаних, об’єднаних в окремі етапи робіт, виконання яких необхідне й достатньє для КСЗІ, що створюється.
Створення КСЗІ повинно виконуватись у комплексі із заходами, щодо забезпечення режиму секретності, протидії технічним розвідкам, а також з режимними заходами щодо охорони інформації з обмеженим доступом, яка не є державною таємницею.
До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:
— витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;
— несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм, використання комп’ютерних вірусів тощо;
— спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.
Для кожної конкретної ІТС склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом та умовами експлуатації ІТС.
Створення комплексів технічного захисту інформації від витоку технічними каналами здійснюється, якщо в ІТС обробляється інформація, що становить державну таємницю, або коли необхідність цього визначено власником інформації.
Створення комплексу засобів захисту від несанкціонованого доступу (далі — КЗЗ) здійснюється в усіх ІТС, де обробляється інформація, яка належить до державних інформаційних ресурсів, належить до державної чи іншої таємниці або до окремих видів інформації, необхідність захисту якої визначено законодавством, а також в ІТС, де така необхідність визначена власником інформації.
Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на інформацію приймається власником інформації в кожному випадку окремо.
Роботи зі створення КСЗІ виконуються організацією-власником (розпорядником) ІТС з дотриманням вимог нормативно-правових актів щодо провадження діяльності у сфері захисту інформації.
Після прийняття рішення про необхідність створення КСЗІ в ІТС для організації цих робіт створюється Служба захисту інформації (далі — СЗІ) в ІТС.
Цей НД ТЗІ визначає такі етапи створення КСЗІ та її документів:
1. Формування вимог до КСЗІ в ІТС
1.1. Обґрунтування необхідності створення КСЗІ і призначення СЗІ:
— наказ про порядок проведення робіт зі створення КСЗІ
— наказ про створення СЗІ
— положення про СЗІ
— перелік інформації, що підлягає обробленню в ІТС та потребує захисту
1.2. Категоріювання ІТС:
— наказ про призначення комісії з категоріювання
— акт категоріювання
1.3. Обстеження середовищ функціонування ІТС:
— наказ про призначення комісії з обстеження
— акт обстеження
— формуляр ІТС
1.4. Опис моделі порушника політики безпеки інформації: модель порушника
1.5. Опис моделі загроз для інформації: модель загроз
1.6. Формування завдання на створення КСЗІ: звіт за результатами проведення аналізу ризиків та формування завдань на створення КСЗІ
2. Розробка політики безпеки інформації в ІТС
2.1. Вибір варіанту КСЗІ
2.2. Складання політики безпеки
2.3. Складання плану захисту
2.4. Складання календарного плану робіт із захисту інформації
3. Розробка Технічного завдання на створення КСЗІ:
— складання технічного завдання та погодження його з органами Держспецзв’язку
4. Проектування КСЗІ:
— складання документів ескізного проекту КСЗІ
— складання документів технічного проекту КСЗІ
— складання документів робочого проекту КСЗІ
5. Введення КСЗІ в дію та оцінка захищеності інформації в ІТС
5.1. Підготовка КСЗІ до введення в дію:
— інструкція про порядок введення в експлуатацію КСЗІ
5.2. Навчання користувачів:
— інструкція адміністратора безпеки в ІТС
— інструкція системного адміністратора ІТС
— інструкція користувача ІТС
— правила управління паролями в ІТС
— правила видачі, вилучення та обміну персональних ідентифікаторів, інших атрибутів розмежування доступу в ІТС
5.3. Комплектування КСЗІ
5.4. Будівельно-монтажні роботи:
— наказ про призначення комісії з приймання робіт
— акт приймання робіт
5.5. Пуско-налагоджувальні роботи:
— акт інсталяції та налагоджування АВПЗ і КЗЗ від НСД
— акт оцінки відповідності проведених робіт вимогам експлуатаційних документів
5.6. Попередні випробування КСЗІ:
— наказ про створення комісії з проведення випробувань
— програма та методика попередніх випробувань
— протокол про проведення попередніх випробувань
— акт про приймання КСЗІ у дослідну експлуатацію
5.7. Дослідна експлуатація КСЗІ:
— наказ про введення ІТС в дослідну експлуатацію
— акт про завершення дослідної експлуатації
— акт про завершення робіт зі створення КСЗІ
5.8. Державна експертиза КСЗІ:
— заявка на проведення державної експертиза КСЗІ
— експертний висновок щодо відповідності КСЗІ вимогам НД ТЗІ
— атестат відповідності КСЗІ вимогам НД ТЗІ
— наказ про дозвіл на обробку в ІТС інформації, яка підлягає захисту
6. Супровід КСЗІ:
— наказ про порядок забезпечення захисту інформації в ІТС
— інструкція щодо забезпечення правил обробки ІзОД в ІТС
— інструкція з антивірусного захисту інформації в ІТС
— інструкція про порядок використання засобів КЗІ в ІТС
— інструкція про порядок обліку та використання машинних носіїв інформації
— інструкція з правил управління паролями в ІТС
— інструкція про порядок створення і зберігання резервних копій інформаційних ресурсів ІТС
— інструкція про порядок проведення контролю режиму обробки та захисту інформації в ІТС
— інструкція про порядок супроводу та модернізації КСЗІ в ІТС
— інструкція про порядок відновлювальних та ремонтних робіт ІТС
— інші іструкції.
3. 1-й етап — формування вимог до КСЗІ
1-й етап — формування вимог до КСЗІ в ІТС — складається з таких заходів:
— обґрунтування необхідності створення КСЗІ і призначення СЗІ;
— категоріювання ІТС;
— обстеження середовищ функціонування ІТС;
— опис моделі порушника політики безпеки інформації;
— опис моделі загроз для інформації;
— формування завдання на створення КСЗІ.
Підставою для визначення необхідності створення КСЗІ є норми та вимоги чинного законодавства, які встановлюють обов’язковість обмеження доступу до певних видів інформації або забезпечення її цілісності чи доступності, або прийняте власником інформації рішення щодо цього, якщо нормативно-правові акти надають йому право діяти на власний розсуд.
Вихідні дані для обґрунтування необхідності створення КСЗІ у загальному випадку одержуються за результатами:
— аналізу нормативно-правових актів (державних, відомчих та таких, що діють в межах установи, організації, підприємства), на підставі яких може встановлюватися обмеження доступу до певних видів інформації чи заборона такого обмеження, або визначатися необхідність забезпечення захисту інформації згідно з іншими критеріями;
— визначення наявності у складі інформації, яка підлягає автоматизованій обробці, таких її видів, що потребують обмеження доступу до неї або забезпечення цілісності чи доступності відповідно до вимог нормативно-правових актів;
— оцінки можливих переваг (фінансово-економічних, соціальних тощо) експлуатації ІТС у разі створення КСЗІ.
На підставі НД ТЗІ 2.5-005-99 «Класифікація АС і стандартні функціональні профілі захищеності оброблюваної інформації від НСД» за сукупністю характеристик ІТС виділено три ієрархічні класи, вимоги до функціонального складу КЗЗ яких істотно відрізняються.
Клас «1» — одномашинний однокористувачевий комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності. Особливості такого класу:
— в кожний момент часу з комплексом може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька, але всі вони повинні мати однакові повноваження (права) щодо доступу до інформації, яка оброблюється;
— технічні засоби (носії інформації і засоби У/В) з точки зору захищеності відносяться до однієї категорії і всі можуть використовуватись для збереження і У/В всієї інформації.
Приклад — автономна ПЕОМ, доступ до якої контролюється з використанням організаційних заходів.
Клас «2» — локалізований багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього класу — наявність користувачів з різними повноваженнями по доступу і/або технічних засобів, які можуть одночасно здійснювати обробку інформації різних категорій конфіденційності. Приклад — ЛОМ.
Клас «3» — розподілений багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього класу — необхідність передачі інформації через незахищене середовище або, в загальному випадку, наявність вузлів, що реалізують різну політику безпеки. Приклад — глобальна мережа.
На підставі проведеного аналізу приймається рішення про необхідність створення КСЗІ, після чого відповідальний за ТЗІ організації-власника (розпорядника) ІТС готує для керівника організації 3 накази:
1) про створення Служби захисту інформації в ІТС (далі — СЗІ), порядок створення, завдання, функції, структура та повноваження якої визначено в НД 1.4-001-2000 «Типове положення про СЗІ в АС»;
2) про призначення комісії з категоріювання ІТС, завдання та повноваження якої визначено в НД ТЗІ 1.6-005-2013 «Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці»;
3) про призначення комісії з обстеження середовищ функціонування ІТС, завдання та повноваження якої визначено в ДСТУ 3396.1—96 «Технічний захист інформації. Порядок проведення робіт».
До складу СЗІ, який визначається наказом, повинні призначатися фахівці з таких питань:
— захисту інформації від витоку технічними каналами;
— захисту каналів зв’язку і комутаційного обладнання,
— налагодження і адміністрування засобів захисту інформації,
— керування базами даних захисту інформації;
— налагодження і керування активним мережевим обладнанням;
— захищених технологій обробки інформації.
За функціональними обов’язками особовий склад СЗІ складається з таких спеціалістів (за рівнем ієрархії):
— системний адміністратор ІТС;
— мережевий адміністратор ІТС;
— адміністратор безпеки інформації в ІТС;
— адміністратор КСЗІ в ІТС.
Після призначення СЗІ її керівник складає «Положення про СЗІ в ІТС», що має бути оформлене у вигляді окремого документа згідно рекомендацій НД ТЗІ 1.4-001-2000 та затверджене керівником організації-власника (розпорядника) ІТС.
Положення повинно складатись з таких розділів:
— загальні положення;
— завдання СЗІ;
— функції СЗІ;
— повноваження та відповідальність СЗІ;
— взаємодія СЗІ з іншими підрозділами організації та зовнішніми підприємствами, установами, організаціями;
— штатний розклад та структура СЗІ;
— організація та фінансування робіт СЗІ.
В залежності від конкретних завдань і умов функціонування СЗІ дозволяється, у разі необхідності, поєднувати окремі розділи в один, вводити нові розділи або вилучати розділи, що не є актуальними.
До Положення у вигляді додатків можуть включатися нормативні документи, таблиці, схеми, графіки, необхідні для визначення заходів захисту інформації, плани об’єктів захисту з вказанням робочих місць та встановлених на них технічних засобів передачі, прийому, зберігання, обробки інформації, що підлягає захисту, та інші документи.
Положення має бути погоджене з юрисконсультом та керівниками підрозділів (служби безпеки, РСО, підрозділу ТЗІ) організації.
Зміни суттєвого характеру вносяться до Положення на підставі наказу керівника організації (підрозділу, до якого структурно входить СЗІ).
Категоріювання ІТС
Об’єкти, на яких здійснюватиметься обробка технічними засобами та/або озвучуватиметься ІзОД, підлягають обов’язковому категоріюванню. Об’єкти, на яких здійснюватиметься обробка технічними засобами та/або озвучуватиметься тільки відкрита інформація, категоріюванню не підлягають.
Об’єктами категоріювання є об’єкти інформаційної діяльності (далі — ОІД), в тому числі об’єкти електронно-обчислювальної техніки (далі — ЕОТ) ІТС. ОІД — це інженерно-технічна споруда (приміщення), транспортний засіб, де здійснюється озвучення та/або обробка технічними засобами ІзОД.
Категоріювання ІТС здійснюється комісією організації-власника (розпорядника) ІТС для визначення необхідного рівня захисту інформації, що обробляється на об’єктах ЕОТ ІТС. Категоріювання здійснюється за ознакою ступеня обмеження доступу до інформації, що обробляється технічними засобами та/або озвучується на ОІД.
Згідно ТПКО-95 «Тимчасове положення про категоріювання об'єктів» установлюються 4 категорії об'єктів, на яких обробляється технічними засобами та/або озвучується ІзОД, що:
— становить державну таємницю, для якої встановлено гриф секретності «особливої важливості» — перша (І);
— становить державну таємницю, для якої встановлено гриф секретності «цілком таємно» — друга (ІІ);
— становить державну таємницю, для якої встановлено гриф секретності «таємно», а також інформація, що містить відомості, які становлять іншу передбачену законом таємницю — третя (ІІІ);
— не становить державної таємниці — четверта (ІV).
Категоріювання ОІД четвертої категорії здійснюється згідно вимог НД ТЗІ 1.6-005-2013 «Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці».
Категоріювання може бути первинним, черговим або позачерговим. Первинне категоріювання здійснюється у разі створення ІТС, де буде оброблятися ІзОД. Чергове — не рідше ніж один раз на 5 років. Позачергове — у разі зміни ознаки, за якою була встановлена категорія ІТС.
Комісія з категоріювання визначає ступень обмеження доступу до інформації, яка оброблятиметься в ІТС, та з урахуванням цього ступеня встановлює категорію ІТС. Встановлена категорія зазначається в Акті категоріювання ІТС, який складається комісією за результатами її роботи. Акт категоріювання є чинним протягом 5 років з моменту проведення категоріювання, якщо не змінилась ознака, за якою була встановлена категорія об’єкта.
В акті зазначається:
1. Підстава для категоріювання (рішення про створення КСЗІ, закінчення терміну дії акта категоріювання, зміна ознаки, за якою була встановлена категорія, та реквізити наказу про призначення комісії з категоріювання.
2. Вид категоріювання: первинне, чергове, позачергове (у разі чергового або позачергового категоріювання вказується категорія, що була встановлена до цього категоріювання, та реквізити акту, яким було встановлено цю категорію).
3. В ІТС здійснюється обробка ІзОД.
4. Ступінь обмеження доступу до ІзОД, що обробляється в ІТС (передбачена законом таємниця; службова інформація; конфіденційна інформація, яка перебуває у володінні розпорядників інформації, інша конфіденційна інформація, вимога щодо захисту якої встановлена законом).
5. Встановлена комісією категорія.
ІТС, яким комісія встановила відповідну категорію, вносяться до «Переліку категорійованих об’єктів», який ведеться власником (розпорядником, користувачем) ОІД.
Обстеження середовищ функціонування ІТС
Метою обстеження є підготовка засадничих даних для формування вимог до КСЗІ у вигляді опису кожного середовища функціонування ІТС та виявлення в ньому елементів, які безпосередньо чи опосередковано можуть впливати на безпеку інформації, виявлення взаємного впливу елементів різних середовищ, документування результатів обстеження для використання на наступних етапах робіт.
Під час проведення обстеження ІТС необхідно вивчити такі середовища:
— обчислювальне;
— інформаційне;
— користувацьке;
— фізичне (у разі обробки інформації, що становить державну таємницю).
При обстеженні обчислювального середовища ІТС повинні бути проаналізовані й описані:
— обладнання — ЕОМ та їхні складові частини (процесори, монітори, термінали, робочі станції та ін.), периферійні пристрої;
— програмне забезпечення — вихідні, завантажувальні модулі, утиліти, СКБД, операційні системи та інші системні програми, діагностичні і тестові програми тощо;
— види і характеристики каналів зв'язку;
— особливості взаємодії окремих компонентів, їх взаємний вплив один на одного, можливі обмеження щодо використання засобів тощо.
Мають бути виявлені компоненти обчислювальної системи, які містять і які не містять засобів і механізмів захисту інформації, потенційні можливості цих засобів і механізмів, їхні властивості і характеристики, в тому числі ті, що встановлюються за умовчанням тощо.
Повинні бути зафіксовані всі активні і пасивні об’єкти, які беруть участь у технологічному процесі обробки і тим чи іншим чином впливають на безпеку інформації. Для кожного активного об’єкту ІТС має бути визначено перелік пасивних об’єктів, які з ним взаємодіють.
Окрім компонентів ІТС, необхідно дати опис технології обробки інформації в ІТС, що потребує захисту, тобто способів і методів застосування засобів обчислювальної техніки під час виконання функцій збору, зберігання, обробки, передачі і використання даних, або алгоритмів окремих процедур.
При цьому рекомендується розробити структурну схему інформаційних потоків в ІТС, яка б відображала інформаційну взаємодію між основними компонентами ІТС (завданнями, об’єктами) з прив’язкою до кожного елемента схеми категорій інформації та визначених політикою безпеки рівнів доступу до неї.
Метою такого аналізу є надання загального уявлення про наявність потенційних можливостей щодо забезпечення захисту інформації, виявлення компонентів ІТС, які вимагають підвищених вимог до захисту інформації і впровадження додаткових заходів захисту.
При обстеженні інформаційного середовища аналізу підлягає вся інформація, що обробляється, а також зберігається в ІТС. Під час аналізу інформація повинна бути класифікована за режимом доступу, за правовим режимом, за типом їхнього представлення в ІТС, визначені й описані види її представлення в ІТС. Класифікація є підставою для визначення власником (розпорядником) інформації або ІТС методів і способів захисту кожного окремого виду інформації.
За режимом доступу інформація в АС має бути поділена на відкриту та з обмеженим доступом. Відкриту інформацію слід поділити на відкриту, яка не потребує захисту, або захист якої забезпечувати недоцільно, та відкриту, яка такого захисту потребує. До другої слід відносити інформацію, важливу для особи, суспільства і держави (відповідно до Концепції технічного захисту інформації в Україні), важливі для організації відомості, порушення цілісності або доступності яких може призвести до моральних чи матеріальних збитків.
За правовим режимом інформація з обмеженим доступом повинна бути поділена на таємну, службову та конфіденційну. До таємної інформації має бути віднесена інформація, що містить відомості, які становлять державну, а також іншу, передбачену законом таємницю. Правила доступу до службової та конфіденційної інформації, володіти, користуватися чи розпоряджатися якою можуть окремі фізичні, юридичні особи або держава, встановлює законодавство та її власник.
Конфіденційна інформація може мати велику цінність для її власника, втрата або передача якої іншим особам може завдати організації (власнику) значних збитків. З метою встановлення правил розмежування доступу до конфіденційної інформації необхідно класифікувати її, поділивши на декілька категорій за ступенем цінності (критерії розподілу можуть бути визначені під час оцінки ризиків).
Для встановлення правил взаємодії активних і пасивних об’єктів ІТС інформація повинна бути класифікована за типом її представлення в ІТС (для кожної з визначених категорій встановлюються типи пасивних об’єктів комп’ютерної системи, якими вона може бути представлена). Для кожного виду інформації і типу об’єкта, в якому вона міститься, ставляться у відповідність властивості захищеності інформації (конфіденційність, цілісність, доступність) чи ІТС (спостережність), яким вони повинні задовольняти.
Аналіз технології обробки інформації повинен виявити особливості обігу електронних документів, мають бути визначені й описані інформаційні потоки і середовища, через які вони передаються, джерела утворення потоків та місця їх призначення, принципи та методи керування інформаційними потоками, складені структурні схеми потоків. Фіксуються види носіїв інформації та порядок їх використання під час функціонування ІТС.
Для кожного структурного елемента схеми інформаційних потоків фіксуються склад інформаційних об’єктів, режим доступу до них, можливий вплив на нього (елементу) елементів середовища користувачів, фізичного середовища з точки зору збереження властивостей інформації.
За результатами обстеження інформаційного середовища складається «Перелік інформації, що підлягає автоматизованому обробленню в ІТС і потребує захисту», який оформлюється як окремий документ, затверджений керівником організації-власника (розпорядника) відповідної інформації, або як розділ у інших документах (Політика безпеки, План захисту, Технічне завдання на створення КСЗІ тощо).
У переліку має бути наведено перелік інформаційних ресурсів (видів інформації), що підлягають обробленню в ІТС, класифікований за такими ознаками:
— назва відповідного інформаційного ресурсу, який визначається цільовим призначенням відповідної інформації;
— характеристики інформації відповідно до встановленого законодавством правового режиму та режиму доступу (ІДТ, КІВД, КІ, ВІВД, ВІ);
— вищий ступінь обмеження доступу (для ІДТ) до інформації (ступінь секретності) відповідно до вимог Зводу відомостей, що становлять державну таємницю;
— критичні властивості інформації з погляду забезпечення її захищеності, визначені з урахуванням вимог Правил 373 і вимог власника (розпорядника) інформації;
— вимоги (за наявності) щодо обмеження доступу до інформації користувачів ІТС різних категорій, визначені з урахуванням, наприклад, вимог «Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в АС» або «Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію».
Окрім зазначених вище, можуть бути використані додаткові класифікаційні ознаки, корисні з погляду подальшого формулювання політики безпеки інформації, оброблюваної в ІТС, наприклад, вид подання відповідних інформаційних ресурсів тощо.
При обстеженні користувацького середовища здійснюється аналіз:
— функціонального та кількісного складу користувачів, їхніх функціональних обов’язків та рівня кваліфікації;
— повноважень користувачів щодо допуску до відомостей, які обробляються в ІТС, доступу до ІТС та її окремих компонентів;
— повноважень користувачів щодо управління КСЗІ;
— рівня можливостей різних категорій користувачів, що надаються (можуть бути доступними) їм засобами ІТС.
За результатами обстеження вище зазначених середовищ складається «Формуляр ІТС», який оформлюється як окремий документ і складається з таких розділів:
— загальні відомості про ІТС;
— склад технічних засобів ІТС;
— склад програмного забезпечення;
— відомості про програмно-апаратний КЗЗ від НСД;
— відомості про впровадження, випробування та приймання в експлуатацію;
— посадові особи, відповідальні за технічне обслуговування;
— посадові особи, відповідальні за забезпечення захисту інформації;
— реєстрація проведених робіт (технічне обслуговування, ремонт, модернізація тощо);
— відмітки про проведення перевірок КСЗІ;
— перелік технічних та експлуатаційних документів КСЗІ.
У разі обробки в ІТС інформації, що становить державну таємницю, обов’язково здійснюється також обстеження фізичного середовища, під час якого аналізується взаємне розміщення засобів обробки інформації ІТС на ОІД, комунікацій, систем життєзабезпечення і зв’язку, а також режим функціонування цих об’єктів.
Порядок проведення обстеження повинен відповідати ДСТУ 3396.1—96 «Технічний захист інформації. Порядок проведення робіт», а в частині, що стосується захисту інформації від витоку технічними каналами, — НД ТЗІ 3.1-001-07 «Створення комплексу технічного захисту інформації. Передпроектні роботи».
Аналізу підлягають такі характеристики фізичного середовища:
— характеристика об’єктів, де розташовані компоненти ІТС (дані про інженерно-технічну споруду, її частину або декілька споруд, приміщення тощо);
— архітектурно-будівельні особливості приміщень: огороджувальні будівельні конструкції: стеля, підлога, стіни, перегородки (матеріал, товщина); підвісна стеля (конструкція, матеріал); вікна, двері, інші отвори (кількість, матеріал, розміри).
— дані про складові об’єктів, що можуть впливати на показники ефективності захищеності ІзОД і які можуть бути середовищем поширення за межі КЗ її носіїв (інженерні комунікації, обладнання, оргтехніка, телебачення, електроживлення, заземлення, газо-, водопостачання, опалення, вентиляції, кондиціонування повітря, водостоку, каналізації, технологічне обладнання, огороджувальні будівельні конструкції, світлопроникні отвори приміщень, будинків, споруд тощо).
— наявність систем безпеки в установі, до яких може бути інтегрована КСЗІ (відеоспостереження, пожежна та охоронна сигналізації, системи зв’язку);
— схеми розміщення комунікацій, обладнання систем електроживлення, у тому числі трансформаторної підстанції;
— дані про складові об’єктів, які виходять за межу КЗ або її перетинають, застосування яких не обґрунтовано виробничою необхідністю і які підлягають демонтуванню, у подальшому застосуванні яких відсутня необхідність);
— опис систем заземлення (дані про перелік технічних засобів ІТС, що підлягають заземленню);
— результати аналізу фізичного середовища та пропозиції щодо необхідності отримання додаткових даних про можливі місця розміщення засобів технічної розвідки; проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які оброблятимуть ІзОД); застосування організаційних, інженерно-технічних заходів захисту (у т.ч. застосування засобів оброблення ІзОД, інших технічних засобів у захищеному виконанні).
За результатами комісія складає «Акт обстеження середовищ функціонування ІТС», який затверджується керівником організації-власника (розпорядника) ІТС і складається з таких розділів:
— клас і склад обчислювальної системи,
— перелік і характеристики інформаційних ресурсів,
— перелік і повноваження користувачів,
— опис фізичного середовища (до акту додаються генеральний і ситуаційний плани, схеми систем життєзабезпечення та заземлення).
4. Модель порушника безпеки інформації в ІТС
На підставі Акту обстеження та визначення загроз для ІТС СЗІ розробляє «Модель порушника безпеки інформації в ІТС», яка затверджується керівником організації-власника (розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту.
Модель порушника — це абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час і місце дії тощо. Як порушник розглядається особа, яка може одержати несанкціонований доступ (далі — НСД) до роботи з включеними до складу ІТС засобами.
Модель порушника повинна визначати:
— можливі цілі порушника та їх градація за ступенями небезпечності для ІТС та інформації, що потребує захисту;
— категорії персоналу, користувачів ІТС та сторонніх осіб, із числа яких може бути порушник;
— припущення про кваліфікацію порушника;
— припущення про характер його дій.
Метою порушника можуть бути:
— отримання необхідної інформації у потрібному обсязі та асортименті;
— мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами (інтересами, планами);
— нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.
Порушники спочатку поділяються на дві основні групи: зовнішні та внутрішні.
Зовнішніх порушників можна розділити на:
— добре озброєну та технічно оснащену групу, що діє зовні швидко і напролом;
— поодиноких порушників, що не мають допуску на об'єкт і намагаються діяти потайки й обережно, так як вони усвідомлюють, що сили реагування мають перед ним переваги.
Сторонні особи, що можуть бути порушниками:
— клієнти (представники організацій, громадяни);
— відвідувачі (запрошені з якого-небудь приводу);
— представники організацій, взаємодіючих з питань забезпечення систем життєдіяльності організації (енерго-, водо-, теплопостачання тощо);
— представники конкуруючих організацій (іноземних служб) або особи, що діють за їх завданням;
— особи, які випадково або навмисно порушили пропускний режим (без мети порушити безпеку);
— будь-які особи за межами контрольованої зони.
Потенціальних внутрішніх порушників можна розділити на:
— допоміжний персонал об'єкту, що допущений на об'єкт, але не допущений до життєво важливого центру ІТС;
— основний персонал, що допущений до життєво важливого центру (найбільш небезпечний тип порушників);
— співробітників служби безпеки, які часто формально не допущені до життєво важливого центру ІТС, але реально мають достатньо широкі можливості для збору необхідної інформації і скоєння акції.
Серед внутрішніх порушників можна виділити такі категорії персоналу:
— користувачі (оператори) системи;
— персонал, що обслуговує технічні засоби (інженери, техніки);
— співробітники відділів розробки та супроводження програмного забезпечення (прикладні та системні програмісти);
— технічний персонал, що обслуговує будівлю (прибиральниці, електрики, сантехніки та інші співробітники, що мають доступ до будівлі та приміщення, де розташовані компоненти ІТС);
— співробітники служби безпеки;
— керівники різних рівнів та посадової ієрархії.
Крім професійного шпигунства, можна виділити три основних мотиви порушень: безвідповідальність, самоствердження та корисливий інтерес.
При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково виробляє руйнуючі дії, які не пов'язані проте зі злим умислом. У більшості випадків це наслідок некомпетентності або недбалості. Деякі користувачі вважають одержання доступу до системних наборів даних значним успіхом, затіваючи свого роду гру заради самоствердження або у власних очах, або в очах колег.
Порушення безпеки ІТС може бути викликано корисливим інтересом користувача ІТС. У цьому випадку він буде цілеспрямовано намагатися подолати систему захисту для несанкціонованого доступу до інформації в ІТС.
Усіх порушників можна класифікувати за такими ознаками:
— за рівнем знань про ІТС;
— за рівнем можливостей;
— за часом дії;
— за місцем дії.
За рівнем знань про ІТС (в залежності від кваліфікації та професійної майстерності):
— володіє низьким рівнем знань, але вміє працювати з технічними засобами ІТС;
— володіє середнім рівнем знань та практичними навичками роботи з технічними засобами ІТС та їх обслуговування;
— володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації ІТС;
— знає структуру, функції й механізми дії засобів захисту інформації в ІТС, їх недоліки та можливості.
За рівнем можливостей (в залежності від методів і засобів, що використовуються):
— застосовує чисто агентурні методи отримання відомостей;
— застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонентів системи);
— використовує тільки штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні носії інформації, які можуть бути тайком пронесені крізь пости охорони;
— застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, перехоплення з каналів передачі даних, впровадження спеціальних програмних закладок).
За часом дії (в залежності від активності або пасивності системи):
— у процесі функціонування (під час роботи компонентів системи);
— у період неактивності системи (у неробочий час, під час планових перерв у її роботі, перерв для обслуговування та ремонтів і т.д.);
— як у процесі функціонування, так і в період неактивності системи.
За місцем дії (в залежності від території доступу до засобів системи):
— без доступу на контрольовану територію організації;
— з контрольованої території без доступу до будівель та споруджень;
— усередині приміщень, але без доступу до технічних засобів;
— з робочих місць кінцевих користувачів (операторів);
— з доступом у зону даних (баз даних, архівів тощо);
— з доступом у зону управління засобами забезпечення безпеки.
Враховуються також такі обмеження та припущення про характер дій можливих порушників:
— робота з підбору та розстановки кадрів, а також заходи контролю за персоналом ускладнюють можливість створення коаліцій порушників, тобто злочинного угрупування (змови) і цілеспрямованих дій з подолання системи захисту двох і більше порушників;
— порушник, плануючи спробу НСД, приховує свої несанкціоновані дії від інших співробітників;
— НСД може бути наслідком помилок користувачів, адміністраторів, а також хиб прийнятої технології обробки інформації тощо.
Припускається, що в своєму рівні порушник — це фахівець вищої кваліфікації, який має повну інформацію про ІТС і засоби захисту. Така класифікація порушників є корисною для використання в процесі оцінки ризиків, аналізу вразливості системи, ефективності існуючих і планових заходів захисту.
Під час формування моделі порушника обов'язково повинно бути визначено:
— ймовірність реалізації загрози,
— своєчасність виявлення,
— відомості про порушення.
Слід зауважити, що всі злочини, зокрема і комп’ютерні, здійснюються людиною. Користувачі ІТС, з одного боку, є її складовою частиною, а з іншого — основною причиною і рухаючою силою порушень і злочинів. Отже, питання безпеки захищених ІТС фактично є питанням людських відносин та людської поведінки.
Модель порушників можна відобразити системою таблиць.
Для побудови моделі використовуються усі можливі категорії, ознаки та характеристики порушників для більш точного їх аналізу, причому рівень загрози кожної з них оцінюється за 4-бальною шкалою.
Після зведення усіх даних варіанту внутрішнього порушника «ПВ» (мінімальні загрози з причини безвідповідального ставлення до виконання своїх посадових обов’язків) в одну таблицю отримаємо «Модель внутрішнього порушника політики безпеки інформації».
Висновок: з останньої таблиці видно, що найбільшу загрозу, що має відношення до проблеми захисту інформації, становить адміністратор ІТС. Тому організація роботи цієї особи повинна бути найбільш контрольованою, оскільки вона є основним потенційним порушником безпеки інформації.
Те, що основною загрозою для безпеки інформації в ІТС є персонал ІТС, підтверджують і дані, опубліковані у 2010 році американським інститутом комп′ютерної безпеки (Сан-Франциско, штат Каліфорнія), згідно з якими порушення захисту комп'ютерних систем відбувається з таких причин:
— несанкціонований доступ — 2%;
— ураження вірусами — 3%;
— технічні відмови апаратури мережі — 20%;
— цілеспрямовані дії персоналу — 20%;
— помилки персоналу (недостатній рівень кваліфікації) — 55%.
Таким чином, основною потенційною загрозою для інформації в ІТС слід вважати цілеспрямовані або випадкові деструктивні дії персоналу, оскільки вони становлять 75% усіх випадків.
5. Модель загроз для інформації в ІТС
Після проведення обстеження всіх середовищ ІТС необхідно визначити всі можливі потенційні загрози для ІТС. Походження загроз може бути випадковим і навмисним.
Випадкове походження обумовлюється спонтанними і не залежними від волі людей обставинами, що виникають в ІТС в процесі її функціонування. Найбільш відомими випадковими загрозами є стихійні лиха, відмови, збої, помилки та побічні впливи.
Сутність цих загроз (окрім стихійних лих, сутність яких незрозуміла) визначається таким чином:
— відмова — порушення працездатності системи, що призводить до неможливості виконання нею основних своїх функцій;
— збій — тимчасове порушення працездатності системи, наслідком чого може бути неправильне виконання у цей момент своїх функцій;
— помилка — неправильне виконання системою своїх функцій, що відбувається внаслідок її специфічного стану;
— побічний вплив — негативний вплив на систему, який чиниться будь-якими явищами, що відбуваються всередині системи або у зовнішньому середовищі.
Навмисне походження загроз обумовлюється зловмисними діями людей.
Передумови появи загроз можуть бути об'єктивними та суб'єктивними. Об'єктивні передумови можуть бути спричинені кількісною або якісною недостатністю елементів системи тощо. До суб'єктивних передумов відносяться різновиди людської діяльності: іноземна розвідка, промислове шпигунство, злочинні дії, неякісна робота персоналу ІТС.
Перераховані різновиди передумов інтерпретуються таким чином:
— кількісна недостатність — фізична нестача одного або декількох елементів системи, що викликає порушення технологічного процесу обробки даних і / або перевантаження наявних елементів.
— якісна недостатність — недосконалість конструкції (організації) елементів системи, в силу цього можуть з'являтися можливості випадкового або навмисного негативного впливу на оброблювану або збережену інформацію.
Джерело загрози — це безпосередній їх генератор або носій. Таким джерелом можуть бути люди, технічні засоби, моделі (алгоритми), а також — програми, технологічні схеми обробки, зовнішнє середовище.
Спробуємо тепер, спираючись на наведену системну класифікацію загроз безпеки інформації, визначити всю кількість загроз, потенційно можливих у сучасних ІТС. При цьому ми повинні врахувати не лише всі відомі загрози, але й ті загрози, що раніше не виявлялися, але потенційно можуть виникнути при застосуванні нових концепцій архітектурної побудови ІТС і технологічних схем обробки інформації.
Всі можливі канали витоку інформації (КВІ) класифікуються за двома критеріями:
— наявність доступу до ІТС;
— стан функціонування ІТС.
За першим критерієм КВІ можуть бути розділені на такі, що:
— не вимагають доступу, тобто дозволяють отримувати необхідну інформацію дистанційно (наприклад, шляхом візуального спостереження через вікна приміщень ІТС),
— вимагають доступу в приміщення ІТС. У свою чергу, такі канали можуть не залишити слідів в ІТС (наприклад, візуальний перегляд зображень на екранах моніторів або документів на паперових носіях), а можуть і залишити ті чи інші сліди (наприклад, розкрадання документів або машинних носіїв інформації).
За другим критерієм КВІ можуть бути розділені на:
— потенційно існуючі незалежно від стану ІТС (наприклад, викрадати носії інформації можна незалежно від того, в робочому стані знаходяться засоби АС чи ні);
— існуючі тільки в робочому стані ІТС (наприклад, побічні електромагнітні випромінювання та наведення).
В результаті такої класифікації отримаємо 6 класів КВІ, які мають таку орієнтовну характеристику:
— 1-й клас — КВІ, які проявляються безвідносно до обробки інформації без доступу до елементів ІТС (підслуховування розмов, а також провокування на розмови осіб, що мають відношення до ІТС, і використання зловмисником візуальних, оптичних та акустичних засобів);
— 2-й клас — КВІ, які проявляються у процесі обробки інформації без доступу до елементів ІТС (електромагнітні випромінювання різних пристроїв ІТС, апаратури та ліній зв'язку, паразитні наведення в ланцюгах харчування, телефонних мережах, системах теплопостачання, вентиляції тощо);
— 3-й клас — КВІ, які проявляються безвідносно до обробки інформації з доступом до елементів ІТС, але без зміни останніх (всілякі види копіювання носіїв інформації і документів, а також розкрадання виробничих відходів);
— 4-й клас — КВІ, які проявляються у процесі обробки інформації з доступом до елементів ІТС, але без зміни останніх (запам'ятовування та копіювання інформації в процесі обробки, використання програмних закладок тощо);
— 5-й клас — КВІ, які проявляються безвідносно до обробки інформації з доступом до елементів ІТС і зі зміною останніх (підміна та розкрадання носіїв інформації й апаратури, впровадження у програмне забезпечення шкідливих кодів, вірусів тощо);
— 6-й клас — КВІ, які проявляються у процесі обробки інформації з доступом до елементів ІТС і зі зміною останніх (незаконне підключення до апаратури та ліній зв'язку, а також зняття інформації з ліній живлення різних елементів ІТС).
На підставі Акту обстеження та Моделі порушника політики безпеки СЗІ розробляє «Модель загроз для інформації в ІТС», яка затверджується керівником організації-власника (розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту та Технічного завдання на створення КСЗІ. Модель загроз має містити формалізований або неформалізований опис методів і засобів здійснення загроз для інформації, яка потребує захисту.
Модель загроз повинна визначити:
— перелік можливих типів загроз, класифікований за результатом впливу на інформацію, тобто на порушення яких її властивостей вони спрямовані (конфіденційності, цілісності або доступності інформації);
— перелік можливих способів реалізації загроз певного типу (способів атак) відносно різних інформаційних об’єктів ІТС у різному стані класифікований, наприклад, за такими ознаками, як компонент обчислювальної системи ІТС або програмний засіб, уразливості яких експлуатуються порушником, причини виникнення відповідної уразливості тощо.
Загрози для інформації, що обробляється в ІТС, залежать від характеристик ОС, апаратного складу, програмних засобів, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну природу.
Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та навмисні. Мають бути визначені основні види загроз для безпеки інформації, які можуть бути реалізовані стосовно ІТС і повинні враховуватись у моделі загроз, наприклад:
— зміна умов фізичного середовища (стихійні лиха і аварії, як землетрус, повінь, пожежа або інші випадкові події);
— збої та відмови у роботі технічних або програмних засобів (далі — ПЗ) ІТС;
— наслідки помилок під час проектування та розробки компонентів ІТС (технічних засобів, технології обробки інформації, ПЗ, засобів захисту, структур даних тощо);
— помилки персоналу (користувачів) ІТС під час експлуатації;
— навмисні дії (спроби) потенційних порушників.
Випадкові загрози суб’єктивної природи — це помилкові дії персоналу по неуважності, недбалості, незнанню тощо, але без навмисного наміру.
До них відносяться:
— дії, що призводять до відмови ІТС (окремих компонентів), руйнування апаратних, програмних, інформаційних ресурсів (обладнання, каналів зв’язку, видалення даних, програм тощо);
— ненавмисне пошкодження носіїв інформації;
— неправомірна зміна режимів роботи ІТС (окремих компонентів, обладнання, ПЗ тощо), ініціювання тестуючих або технологічних процесів, які здатні призвести до незворотних змін у системі (наприклад, форматування носіїв інформації);
— неумисне зараження ПЗ комп’ютерними вірусами;
— невиконання вимог до організаційних заходів захисту чинних в ІТС розпорядчих документів;
— помилки під час введення даних в систему, виведення даних за невірними адресами пристроїв, внутрішніх і зовнішніх абонентів тощо;
— будь-які дії, що можуть призвести до розголошення конфіденційних відомостей, атрибутів розмежування доступу, втрати атрибутів тощо;
— неправомірне впровадження та використання заборонених політикою безпеки ПЗ (наприклад, навчальні та ігрові програми, системне і прикладне забезпечення тощо);
— наслідки некомпетентного застосування засобів захисту тощо.
Навмисні загрози суб’єктивної природи — це дії порушника, спрямовані на проникнення в систему та одержання можливості НСД до її ресурсів або дезорганізацію роботи ІТС та виведення її з ладу.
До них відносяться:
— порушення фізичної цілісності ІТС (окремих компонентів, пристроїв, обладнання, носіїв інформації);
— порушення режимів функціонування (виведення з ладу) систем життєзабезпечення ІТС (електроживлення, заземлення, охоронної сигналізації, кондиціонування тощо.);
— порушення режимів функціонування ІТС (обладнання і ПЗ);
— впровадження та використання комп’ютерних вірусів, закладних (апаратних і програмних) і підслуховуючих пристроїв, інших засобів розвідки;
— використання (шантаж, підкуп тощо) з корисливою метою персоналу ІТС;
— крадіжки носіїв інформації, виробничих відходів (роздруків, записів, тощо);
— несанкціоноване копіювання носіїв інформації;
— читання залишкової інформації з оперативної пам’яті ЕОТ, зовнішніх накопичувачів;
— одержання атрибутів доступу з наступним їх використанням для маскування під зареєстрованого користувача;
— неправомірне підключення до каналів зв’язку, перехоплення даних, що передаються, аналіз трафіку тощо;
— впровадження та використання забороненого політикою безпеки ПЗ або несанкціоноване використання ПЗ, за допомогою якого можна одержати доступ до критичної інформації (наприклад, аналізаторів безпеки мереж);
— інші.
Перелік суттєвих загроз має бути максимально повним і деталізованим. Для кожної з загроз необхідно визначити її спрямованість, джерело, механізм реалізації та можливі наслідки.
По-перше, на порушення яких властивостей інформації або ІТС загроза спрямована:
— конфіденційності — несанкціоноване ознайомлення з інформацією;
— цілісності — несанкціонована модифікація (спотворення, фальсифікація, викривлення) інформації;
— доступності — порушення можливості використання ІТС або оброблюваної інформації (відмова в обслуговуванні користувача);
— спостереженості ІТС — відмова в ідентифікації, автентифікації та реєстрації небезпечних дій.
По-друге, джерела виникнення загрози (які суб’єкти ІТС або суб’єкти, зовнішні по відношенню до неї, можуть ініціювати загрозу):
— персонал і користувачі;
— технічні засоби;
— моделі, алгоритми, програми;
— технологія функціонування;
— зовнішнє середовище.
По-третє, можливі способи здійснення (механізм реалізації) загроз:
— шляхом підключення до апаратури та ліній зв’язку,
— маскування під зареєстрованого користувача,
— подолання заходів захисту з метою використання інформації або нав’язування хибної інформації,
— застосування закладних пристроїв чи програм, впровадження шкідливих кодів і вірусів.
По-четверте, опис моделі загроз (у частині, що стосується переліку можливих способів реалізації загроз та їх класифікації) має бути викладений настільки детально, щоб дозволяти (на етапі аналізу ризиків, пов’язаних з реалізацією загроз) однозначне визначення як можливих наслідків у разі реалізації загрози, так і ймовірності її реалізації в певний спосіб.
Потрібно скласти «Перелік загроз для інформації в ІТС» з визначенням порушень властивостей інформації та ІТС (див. таблиці).
Зробимо розрахунок загроз з урахуванням 3-х рівнів ризиків і збитків: якщо реалізація загрози надає великих збитків — високий — 3 бали; помірних збитків — середній — 2 бали; незначних збитків — низький — 1 бал. Отримаємо «Модель загроз з визначенням рівня ризиків і збитків» у вигляді 4-х таблиць (загрози конфіденційності, цілісності, доступності та спостереженості).
6. Формування завдання та варіанту побудови КСЗІ
Останні кроки 1-го етапу «Формування вимог до КСЗІ в ІТС» складаються з таких робіт:
1. Формування завдання на створення КСЗІ в ІТС.
2. Аналіз ризиків реалізації загроз для інформації в ІТС.
3. Вибір варіанту побудови та складу КСЗІ в ІТС.
4. Оформлення звіту за результатами проведеної роботи.
1. Формування завдання на створення КСЗІ
Під час цього кроку визначаються завдання захисту інформації та відповідні ним напрями забезпечення її захисту, в результаті чого визначається конкретний варіант забезпечення безпеки інформації.
Завданнями захисту інформації можуть бути:
— забезпечення необхідних властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації ІТС;
— своєчасне виявлення та ліквідація загроз для ресурсів ІТС, причин та умов, які спричиняють (можуть привести до) порушення її функціонування та розвитку;
— створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні ІТС;
— ефективне попередження загроз для ресурсів ІТС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;
— керування засобами захисту інформації, керування доступом користувачів до ресурсів ІТС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби НСД до ресурсів ІТС;
— реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації;
— створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків порушення безпеки на функціонування ІТС.
Концепція безпеки інформації розкриває основні напрями забезпечення безпеки інформації та розробляється на підставі аналізу таких чинників:
— правових засад;
— вимог безпеки інформації;
— загроз для інформації.
За результатами аналізу формулюються загальні положення безпеки, які впливають на технологію обробки інформації в ІТС:
— мета і пріоритети, яких необхідно дотримуватись в ІТС під час забезпечення безпеки інформації;
— загальні напрями діяльності, необхідні для досягнення цієї мети;
— аспекти діяльності у галузі безпеки інформації, які повинні вирішуватися на рівні організації в цілому;
— відповідальність посадових осіб та інших суб’єктів взаємовідносин в ІТС, їхні права і обов'язки щодо реалізації завдань безпеки інформації.
Вибір основних рішень з безпеки інформації розглядається на 3-х рівнях:
— правовому;
— організаційному;
— технічному.
На правовому рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо виконання вимог нормативно-правових актів з безпеки інформації. Цей рівень забезпечується виконанням таких заходів:
— підтримка керівництвом організації заходів з безпеки інформації в ІТС, визначення відповідальності посадових осіб, організаційної структури, комплектування і розподіл обов'язків співробітників СЗІ;
— розробка політики безпеки, плану захисту та іншої документації згідно вимог нормативно-правових актів з безпеки інформації;
— визначення процедури доведення до персоналу і користувачів ІТС основних положень політики безпеки інформації, їхнього навчання та підвищення кваліфікації з питань безпеки інформації;
— система контролю за своєчасністю, ефективністю і повнотою реалізації в ІТС рішень з безпеки інформації, дотриманням персоналом і користувачами положень політики безпеки.
На організаційному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо організації та впровадження режимних заходів, регламентації доступу та навчання персоналу. Цей рівень забезпечується виконанням таких заходів:
— застосування режимних заходів на об’єктах ІТС;
— забезпечення фізичного захисту обладнання ІТС, носіїв інформації, інших ресурсів;
— визначення порядку виконання робіт з безпеки інформації, взаємодії з цих питань з іншими суб’єктами системи ТЗІ в Україні;
— регламентація доступу користувачів і персоналу до ресурсів ІТС;
— організація навчання та підвищення кваліфікації персоналу і користувачів ІТС з питань безпеки інформації;
— реалізація окремих положень політики безпеки, найбільш критичних з точки зору забезпечення захисту аспектів (наприклад, організація віддаленого доступу до ІТС, використання мереж передачі даних загального користування, зокрема Інтернет тощо).
На технічному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо застосування інженерно-технічних і програмно-апаратних засобів реалізації вимог безпеки. Під час розгляду різних варіантів реалізації рекомендується враховувати наступні аспекти:
— інженерно-технічне обладнання приміщень, в яких розміщуються компоненти ІТС;
— реєстрація санкціонованих користувачів ІТС, авторизація користувачів в системі;
— керування доступом до інформації і механізмів, що реалізують послуги безпеки, включаючи вимоги до розподілу ролей користувачів і адміністраторів;
— виявлення та реєстрація небезпечних подій з метою здійснення повсякденного контролю;
— перевірка і забезпечення цілісності критичних даних на всіх стадіях їхньої обробки в ІТС;
— забезпечення конфіденційності інформації, у тому числі використання криптографічних засобів;
— резервне копіювання критичних даних, супроводження архівів даних і ПЗ;
— відновлення роботи ІТС після збоїв, відмов, особливо для систем із підвищеними вимогами до доступності інформації;
— захист ПЗ, окремих компонентів і ІТС в цілому від внесення несанкціонованих доповнень і змін;
— забезпечення функціонування засобів контролю.
2. Аналіз ризиків реалізації загроз
Під час цього кроку здійснюється аналіз ризиків, який передбачає вивчення моделей загроз і порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди). В результаті аналізу ризиків реалізації загроз визначається перелік суттєвих загроз для ІТС.
Аналіз ризиків полягає в моделюванні картини появи несприятливих умов з урахуванням всіх можливих чинників, що визначають ризики, які називаються вхідними параметрами. До них відносяться активи, вразливості, загрози та збитки.
Активи — ключові компоненти ІТС, що залучені в технологічні процеси та мають певну цінність.
Вразливості — слабкості в засобах захисту, викликані помилками або недосконалістю процедур, які можуть бути використані для проникнення в ІТС або пошкодження активів.
Загрози — реалізація яких можлива за допомогою використання вразливостей.
Збитки — втрати після реалізації загрози з урахуванням витрат на відновлення пошкоджених активів.
Керування ризиками — це процес послідовного виконання трьох основних етапів:
— визначення початкових ризиків (в незахищеній ІТС);
— застосування засобів захисту для скорочення ризиків;
— прийняття залишкових ризиків.
З метою підвищення ефективності аналізу ризиків він проводиться по різних напрямах:
— для об'єктів ІТС;
— для процесів, процедур і програм обробки інформації;
— для каналів зв'язку;
— для побічних електромагнітних випромінювань і наведень;
— для механізмів керування системою захисту.
Процес аналізу ризиків включає оцінку:
— можливих втрат в результаті реалізації загроз;
— вірогідності виявлення вразливостей системи, що впливає на оцінку можливих втрат;
— витрат на впровадження заходів і засобів захисту, які скорочують ризик до прийнятного рівня.
Витрати на КСЗІ необхідно співвіднести з цінністю інформаційних ресурсів, які піддаються ризику, а також зі збитком, який може бути нанесений організації в результаті реалізації загроз. По завершенні аналізу ризиків реалізації загроз уточнюються допустимі залишкові ризики та витрати на заходи захисту інформації.
На даний час керування ризиками інформаційної безпеки визначає міжнародний стандарт ISO/IEC 27005—2011 «Інформаційна технологія. Методи забезпечення безпеки. Керування ризиками інформаційної безпеки».
Згідно вимог цього стандарту керування ризиками складається з 4-х етапів:
1) визначення критеріїв;
2) аналіз ризиків;
3) обробка ризиків;
4) прийняття ризиків.
Кінцевою метою керування ризиком є мінімізація ризику. Мета мінімізації ризику полягає в тому, що застосування ефективних заходів захисту призводить до прийняття залишкового ризику.
Мінімізація ризику складається з трьох частин:
— визначення областей, де ризик неприйнятний;
— вибір ефективних заходів захисту;
— оцінювання заходів захисту та визначення прийнятності залишкового ризику.
2.1. Визначення критеріїв
На цьому етапі використовуються дані обстеження всіх середовищ ІТС з метою визначення того, які інформаційні та технічні ресурси зі складу ІТС і з якою детальністю повинні розглядатися в процесі керування ризиком. Крім того, необхідно розробити критерії оцінки ризиків, впливу на активи та прийняття ризиків.
Критерії оцінки ризику повинні розроблятися, враховуючи наступне:
— стратегічна цінність обробки інформації;
— критичність інформаційних активів;
— нормативно-правові вимоги та договірні зобов'язання;
— важливість доступності, конфіденційності та цілісності інформації.
Крім того, критерії оцінки ризиків можуть використовуватися також для визначення пріоритетів для обробки ризиків.
Критерії впливу повинні розроблятися, виходячи з міри збитку, враховуючи наступне:
— цінність інформаційного активу, на який виявлений вплив;
— порушення властивості інформації (втрата конфіденційності, цілісності або доступності);
— погіршення бізнес-операції;
— втрата цінності бізнесу та фінансової цінності;
— порушення планів і кінцевих термінів;
— збиток для репутації;
— порушення нормативно-правових вимог або договірних зобов'язань.
Критерії прийняття ризику повинні встановлюватися з урахуванням:
— критеріїв якості бізнес-процесів;
— нормативно-правових і договірних аспектів;
— операцій;
— технологій;
— фінансів;
— соціальних і гуманітарних чинників.
При розробці критеріїв прийняття ризику слід враховувати, що вони можуть:
— включати багато порогових значень з бажаним рівнем ризику, але за умови, що при певних обставинах керівництво прийматиме риски, що знаходяться вище вказаного рівня;
— визначатися як кількісне співвідношення оціненої вигоди до оціненого ризику для бізнесу;
— включати вимоги для майбутньої додаткової обробки, наприклад, ризик може бути прийнятий, якщо є згода на дії щодо його зниження до прийнятного рівня у рамках певного періоду часу.
2.2. Аналіз ризиків складається з таких заходів:
— ідентифікація ризиків;
— вимірювання ризиків;
— оцінювання ризиків.
Ідентифікація ризиків
Метою ідентифікації ризику є визначення випадків нанесення потенційної шкоди та отримання уявлень про те, як, де і чому могла статися ця шкода. Для цього необхідно виконати ідентифікацію наявних засобів захисту, вразливостей системи і можливих наслідків реалізації загроз.
Ідентифікація наявних засобів захисту
Ідентифікація усіх наявних засобів захисту має бути зроблена для того, щоб уникнути їх дублювання або непотрібної роботи. Одночасно слід провести перевірку справності і правильності функціонування засобів захисту.
Будь-який дефект засобів захисту може стати причиною вразливості. Одним із способів кількісно оцінити дії засобу захисту — подивитися, як він зменшує вірогідність загрози та використання вразливості.
Наявний або запланований засіб захисту можна ідентифікувати як неефективний, недостатній або необгрунтований. Якщо його визнали необгрунтованим або недостатнім, необхідно визначити, чи потрібно засіб захисту вилучити, замінити ефективнішим або залишити без змін, наприклад, із-за нестачі грошей на новий.
Ідентифікація вразливостей системи
Необхідно ідентифікувати всі вразливості, які можуть бути використані потенційними загрозами для нанесення збитку. Навіть та вразливість, яка не відповідає ніякій загрозі і тому не вимагає засобів захисту, повинна знаходитися під контролем на предмет можливих змін.
Зрозуміло, що аналіз загроз повинен розглядатися у тісному зв'язку з вразливостями ІТС. Завданням даного етапу управління ризиками є складання переліку можливих вразливостей системи і класифікація цих вразливостей з урахуванням їх «сили».
Градацію вразливостей можна розбити по таких рівнях: високий, середній та низький.
Джерелами складання такого переліку уразливостей можуть стати:
— загальнодоступні, регулярно друковані списки вразливостей;
— списки вразливостей, що друкуються виробниками ПЗ;
— результати тестів на проникнення (проводяться адміністратором безпеки);
— аналіз звітів сканерів вразливостей (проводяться адміністратором безпеки).
У загальному випадку вразливості можна класифікувати таким чином:
— вразливості ОС і ПЗ (програмні помилки), виявлені виробником або незалежними експертами;
— вразливості системи, пов'язані з помилками в адмініструванні (наприклад, незакриті міжмережевим екраном порти з уразливими сервісами, загальнодоступні незаблоковані мережеві ресурси тощо);
— вразливості, джерелами яких можуть стати інциденти, не передбачені політикою безпеки, а також події стихійного характеру.
Як приклад поширеної вразливості ОС і ПЗ можна привести переповнювання буфера. До речі, абсолютну більшість з нині існуючих шкідливих програм реалізують клас вразливостей на переповнювання буфера.
Ідентифікація наслідків реалізації загроз
Мають бути ідентифіковані усі можливі наслідки реалізації загроз. Наслідком може бути втрата інформації, ресурсів ІТС, несприятливі операційні умови, втрата бізнесу, збиток, нанесений репутації тощо. Наслідки можуть бути тимчасовими або постійними, як у разі руйнування активів.
Вимірювання ризиків
Вимірювання ризиків складається з таких заходів:
— розробка методології вимірювання;
— оцінка наслідків реалізації загроз;
— оцінка вірогідності ризиків;
— вимір рівня ризиків.
Розробка методології вимірювання
Методологія вимірювання ризиків може бути якісною або кількісною, або їх комбінацією, залежно від обставин. На практиці якісна оцінка часто використовується першою для отримання загальних відомостей про рівень ризиків і виявлення їх основних значень. Надалі може виникнути необхідність в здійсненні кількісного аналізу значень ризиків, оскільки він є швидшим і менш витратним.
Якісна оцінка — використовує шкалу кваліфікації атрибутів для опису величини можливих наслідків (наприклад, низький, середній і високий) і вірогідності виникнення цих наслідків. Перевага якісної оцінки полягає в простоті її розуміння усім персоналом, а недоліком є залежність від суб'єктивного підходу.
Кількісна оцінка — використовує шкалу з числовими значеннями наслідків і вірогідностей з урахуванням отримання даних з різних джерел. Якість аналізу залежить від точності та повноти числових значень і обгрунтованості використовуваних моделей. У більшості випадків кількісна оцінка використовує фактичні дані за минулий період, забезпечуючи перевагу в тому, що вона може бути безпосередньо пов'язана з цілями захисту інформації і проблемами організації.
При розробці методології виміру ризику використовуються методи системного аналізу, в результаті виходять оцінки гранично допустимого та реального ризику здійснення загроз протягом деякого часу.
Оцінка наслідків реалізації загроз
Оцінці наслідків реалізації загроз повинне передувати визначення цінності активів (ресурсів ІТС). У свою чергу, цінність активів визначається з урахуванням їх важливості для бізнесу, первинної та відновлювальної вартості. Відновлювальна вартість активів визначається з урахуванням вартості:
— бізнес-втрат або компрометації активів;
— відновлення або заміни активів.
Оцінка збитків, який може завдати діяльності організації реалізація загроз безпеки, здійснюється з урахуванням можливих наслідків порушення конфіденційності, цілісності, доступності інформації та спостереженості ІТС.
Оцінка вірогідності ризиків
Використовуючи якісні або кількісні методи оцінки необхідно також оцінити вірогідність кожного сценарію реалізації загрози. Необхідно розглянути, як часто виникають загрози та наскільки легко можуть бути використані вразливості, з урахуванням наступного:
— наявний досвід і статистика вірогідності загроз;
— для джерел навмисних загроз: мотивація, можливості та доступні ресурси для можливих порушників, а також сприйняття привабливості та вразливості активів можливим порушником;
— для джерел випадкових загроз: географічні чинники, наприклад, близькість до підприємства зі шкідливим виробництвом, можливість екстремальних кліматичних умов і чинники, які можуть вплинути на помилки персоналу та збої устаткування;
— властивості окремих вразливостей та їх сукупності;
— наявні засоби контролю і те, наскільки ефективно вони знижують вразливості.
В ідеалі для кожної із загроз повинно бути отримано значення вірогідності її здійснення протягом деякого часу. Це допоможе співвіднести оцінку можливого збитку з витратами на захист. На практиці для більшості загроз неможливо отримати достовірні дані про вірогідність реалізації загрози та доводиться обмежуватися якісними оцінками.
Вимір рівня ризиків
При вимірі рівня ризиків визначаються значення вірогідності та наслідків ризиків. Ці значення можуть бути якісними або кількісними. Вимір ризиків грунтується на оцінених наслідках і вірогідності. Виміряний ризик є комбінацією вірогідності небажаного сценарію реалізації загрози та його наслідків.
Для прикладу ідентифікуємо значення цінності активів, використовуючи числову шкалу від 0 до 4. Наступним кроком ідентифікуємо кожен вид загрози, кожного активу, з яким пов'язаний цей вид загрози, щоб зробити можливою оцінку рівнів загроз і вразливостей.
Цінність ресурсів ІТС, рівні загроз і вразливостей приводимо до табличної форми (матриці), щоб для кожної комбінації ідентифікувати відповідну міру ризику на основі шкали від 0 до 8. Значення заносяться в матрицю структурованим чином.
Для кожного активу розглядаються вразливості та загрози, що відповідають їм. Тепер відповідний рядок в таблиці встановлює значення цінності ресурсів ІТС, а відповідна колонка — вірогідність виникнення загрози та уразливості. Наприклад, якщо актив має цінність 3, загроза є «високою», а уразливість «низької», то міра ризику дорівнюватиме 5.
Аналогічна матриця є результатом розгляду вірогідності реалізації загрози з урахуванням впливу на ресурси ІТС. Отриманий в результаті ризик вимірюється за шкалою від 0 до 8 і може бути оцінений по відношенню до критеріїв прийняття ризику.
Таблиця може бути використана також, щоб зв'язати чинники наслідків для ресурсів ІТС з вірогідністю виникнення загрози (враховуючи аспекти вразливості). Перший крок полягає в оцінюванні наслідків для ресурсів ІТС за заздалегідь визначеною шкалою, наприклад, від 1 до 5, для кожного ресурсу (колонка 2), що знаходиться під загрозою. Другий крок полягає в оцінюванні вірогідності виникнення загрози за заздалегідь визначеною шкалою, наприклад, від 1 до 5, для кожної загрози (колонка 3).
Третій крок полягає в обчисленні міри ризику шляхом множення значень колонок 2 і 3. Нарешті, загрози можуть бути ранжирувані в порядку відповідної міри ризику. Відмітимо, що значення «1» в колонках 2 і 3 відповідає найменшим наслідкам і вірогідності загрози, а в колонці 5 — найбільшій небезпеці.
У широкому сенсі міра ризику може розглядатися як опис видів несприятливих дій, впливу яких може зазнати система, і ймовірностей того, що ці дії можуть відбутися. Результат цього процесу повинен визначити ступінь ризику для певних цінностей. Цей результат важливий, оскільки є основою для вибору засобів захисту і рішень по мінімізації ризику.
Оцінювання ризиків
Виміряні ризики для їх оцінювання повинні порівнюватися з прийнятими в організації критеріями їх оцінки. Критерії оцінки ризику, які використовуються для ухвалення рішень, повинні враховувати цілі організації, характер бізнесу, думки зацікавлених сторін тощо.
Рішення, пов'язані з оцінкою ризику, зазвичай грунтуються на його прийнятному рівні. Сукупність безлічі ризиків низького та середнього рівня може дати у результаті загальний ризик більш високого рівня.
Оцінювання ризиків грунтується на розумінні суті ризику, отриманому на етапі його аналізу, для ухвалення рішень про майбутні дії. Рішення повинні включати наступне:
— чи мають бути зроблені якісь дії;
— пріоритети при обробці ризиків з урахуванням їх виміряних рівнів.
Оцінювання ризиків проводиться за допомогою різноманітних інструментальних засобів, а також методів моделювання процесів захисту інформації. На підставі результатів аналізу виявляються найбільш високі ризики, що переводять потенційну загрозу в розряд реально небезпечних і, отже, вимагають прийняття додаткових заходів захисту.
Коли намічені заходи прийняті, необхідно перевірити їх дієвість, наприклад, зробити автономне та комплексне тестування програмно-технічного механізму захисту. Якщо перевірка виявила, що в результаті проведеної роботи залишкові ризики знизилися до прийнятного рівня, то можна визначити дату найближчої переоцінки, якщо ні — слід проаналізувати допущені помилки і провести повторне оцінювання ризиків.
2.3. Обробка ризиків
Обробка ризиків здійснюється у такій послідовності:
— вибір варіанту обробки ризику;
— реалізація обраного варіанту;
— оцінка залишкового ризику.
Для обробки ризиків є 4 варіанти:
1) зниження;
2) збереження;
3) уникнення;
4) перенесення.
Зниження ризику
Якщо рівень ризику є неприйнятним, приймається рішення про зниження ризику, що реалізується шляхом впровадження необхідних заходів і засобів захисту. Їх ефективність при обробці ризику повинна бути такою, щоб залишковий ризик став прийнятним.
Засоби ТЗІ можуть забезпечувати один або декілька варіантів захисту від негативних дій: їх виключення, попередження, зменшення їх впливу, стримування, виправлення. Під час вибирання засобів важливо «зважувати» вартість їх придбання, реалізації, функціонування, адміністрування та технічної підтримки по відношенню до цінності активів.
Існують обмеження, які можуть впливати на вибирання засобів ТЗІ. Наприклад, вони можуть понизити продуктивність роботи системи. Тому необхідно приймати таке рішення, яке задовольняє вимогам продуктивності і в той же час гарантує достатній рівень захисту. Результатом цього кроку є складання переліку можливих засобів ТЗІ з порівняльним аналазом їх вартості, недоліків, переваг та пріоритетів реалізації.
Збереження ризику
Ризик може бути збережений, якщо його рівень відповідає критеріям прийняття ризику. У такому разі немає необхідності реалізовувати додаткові засоби захисту.
Уникнення ризику
Якщо витрати на обробку ризику перевищують бюджет, може бути прийняте рішення про уникнення цього ризику, що може бути реалізоване як відмова від діяльності, пов’язаної з цим ризиком, або зміна її умов. Наприклад, відносно ризиків, що викликаються стихійними лихами, найбільш вигідною альтернативою може бути фізичне переміщення засобів обробки інформації туди, де ймовірність таких ризиків дуже мала.
Перенесення ризику
Якщо витрати на обробку ризику перевищують бюджет, може бути прийняте рішення про перенесення ризику, що може бути реалізоване за допомогою систем аутсорсингу та/або страхування. Вибір цих систем залежить від вартості їх використання.
Аутсорсинг — це передача компанією частини її завдань або процесів стороннім більш професійним виконавцям на умовах субпідряду. Для цього необхідно укласти договір із сторонньою організацією для проведення зовнішнього моніторингу системи та запобігання загрозам, перш ніж вони приведуть до збитків.
Страхування — це можливість відшкодування збитків, що можуть виникнути у наслідок реалізації загроз, для чого також необхідно укласти договір із страховою організацією.
2.4. Прийняття ризиків
Керівництвом організації повинно бути прийнято та задокументовано рішення про прийняття ризиків і відповідальності за це рішення.
В деяких випадках рівень залишкового ризику може не відповідати критеріям прийняття ризику, оскільки вживані критерії не враховують усіх обставин. У таких випадках керівництво може прийняти ризики, але зобов'язано їх прокоментувати та включити обгрунтування для рішення, пов’язаного з перевищенням стандартного критерію прийняття ризику.
Рішення щодо прийняття ризику можуть внести поправки до вибору заходів і засобів захисту. Коли властивості запропонованих заходів і засобів захисту відомі, можна повторно провести перевірку залишкового ризику та визначити, чи досягнуто рівень прийнятності ризику або необхідно змінити рішення щодо його прийнятності, щоб відобразити інформацію про властивості запропонованих заходів і засобів захисту.
Після того, як всі заходи і засоби захисту реалізовані, перевірені та визначені ефективними, результати перевірки прийнятності ризику повинні бути повторно вивчені. Ризик, пов'язаний зі співвідношенням загроза/вразливість, повинен тепер бути скорочений до прийнятного рівня або усунуто. Якщо ці умови не дотримані, то рішення, прийняті на попередніх кроках, повинні бути переглянуті, щоб визначити належні заходи захисту.
3. Вибір варіанту побудови КСЗІ
Після завершення аналізу всіх можливих ризиків необхідно здійснити вибір варіанту побудови КСЗІ в залежності від ступеня обмеження доступу до інформації, яка обробляється в ІТС, рівня її критичності, величини можливих збитків від реалізації загроз, матеріальних, фінансових та інших ресурсів, які є у розпорядженні власника ІТС.
Характеристика можливих варіантів побудови КСЗІ:
— мінімальний — досягнення необхідного рівня захищеності інформації за мінімальних затрат і допустимого рівня обмежень на технологію її обробки в ІТС;
— оптимальний — досягнення необхідного рівня захищеності інформації за допустимих затрат і заданого рівня обмежень на технологію її обробки в ІТС;
— максимальний — досягнення максимального рівня захищеності інформації за необхідних затрат і мінімального рівня обмежень на технологію її обробки в ІТС.
Після цього необхідно здійснити первинне (попереднє) оцінювання допустимих витрат на блокування загроз, виходячи з вибраного варіанту побудови КСЗІ і виділених на це коштів.
На етапі проектування КСЗІ, після формування пропозицій щодо складу заходів і засобів захисту, здійснюється оцінка залишкового ризику для кожної пропозиції (наприклад, за критерієм «ефективність/вартість»), вибирається найбільш оптимальна серед них і первинна оцінка уточнюється.
Якщо залишковий ризик не відповідає критеріям прийнятності, вносяться відповідні зміни до складу заходів і засобів захисту, після чого всі процедури виконуються повторно до одержання прийнятного результату.
На підставі визначених завдань і функцій ІТС, результатів аналізу її середовищ функціонування, моделей загроз і порушників та результатів аналізу ризиків визначаються компоненти ІТС (наприклад, ЛОМ, спеціалізований АРМ, Інтернет-вузол тощо), для яких необхідно або доцільно розробляти свої власні політики безпеки, відмінні від загальної політики безпеки в ІТС.
Визначаються загальна структура та склад КСЗІ, вимоги до можливих заходів, методів та засобів захисту інформації, обмеження щодо середовищ функціонування ІТС та використання її ресурсів для реалізації завдань захисту, припустимі витрати на створення КСЗІ, умови створення, введення в дію і функціонування КСЗІ (окремих її підсистем, компонентів), загальні вимоги до застосування в ІТС (окремих її підсистемах, компонентах) організаційних, технічних, криптографічних та інших заходів захисту інформації, що ввійдуть до складу КСЗІ.
Для ІТС формується перелік необхідних функціональних послуг захисту (далі — ФПЗ) від НСД та вимог до рівнів реалізації кожної з них, визначається рівень гарантій реалізації послуг. Визначені вимоги складають профіль захищеності інформації в ІТС або її компоненті.
ФПЗ є ієрархічними в тому розумінні, що їх реалізація забезпечує зростаючу захищеність від загроз відповідного типу (конфіденційності — К, цілісності — Ц і доступності — Д). Зростання ступеня захищеності може досягатись як підсиленням певних послуг, тобто включенням до профілю більш високого рівня послуги, так і включенням до профілю нових послуг.
Кожна послуга є набором функцій, які дозволяють протистояти певній множині загроз. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, хоча й не є точними підмножинами один одного. Рівні починаються з першого й зростають до певного значення, унікального для кожного виду послуг.
4. Оформлення звіту за результатами проведеної роботи
Останній етап формування завдання на створення КСЗІ завершується оформленням «Звіту за результатами проведення аналізу ризиків та формування завдань на створення КСЗІ», який затверджується керівником організації-власника (розпорядника) ІТС.
Звіт повинен містити 2 розділи:
— формалізований або неформалізований опис результатів аналізу ризиків, пов’язаних з реалізацією загроз для інформації в ІТС;
— формулювання, з урахуванням результатів виконаного аналізу ризиків, завдань на створення КСЗІ в ІТС.
7. Основні вимоги до розробки комплексу засобів захисту
КЗЗ повинен відповідати вимогам НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в КС від НСД», тобто забезпечити:
— безперервний захист;
— «модульність» КЗЗ;
— атрибути доступу;
— керування доступом.
Крім того, КЗЗ від НСД повинен реалізувати:
— концепцію диспетчера доступу;
— реєстрацію дій користувачів;
— послуги безпеки (функції захищеності);
— гарантії реалізації послуг безпеки.
1. Безперервний захист
КЗЗ повинен забезпечити захист інформації в ІТС протягом всього періоду її існування. З моменту створення об'єкта ІТС (або його імпорту) до його знищення (або експорту) всі запити на доступ до нього (або від нього) повинен контролювати КЗЗ.
Головним аспектом є те, що не повинно існувати можливості одержати доступ до об'єкта (або від об'єкта) в обхід КЗЗ. Для безперервного захисту об'єктів КЗЗ повинен забезпечувати свою цілісність і керованість.
Другим аспектом є те, що особливе значення набуває визначення діючих за умовчанням правил, які визначають початкові умови, за яких починається існування об'єкта всередині ІТС.
2. «Модульність» КЗЗ
КЗЗ повинен мати модульну структуру. На рівні розгляду архітектури ІТС «модульність» означає, що КЗЗ має бути реалізований як набір відносно незалежних частин. Кожна з цих частин повинна взаємодіяти з іншими тільки через добре визначені iнтерфейси.
На рівні розгляду архітектури КЗЗ «модульність» означає, що КЗЗ має функціонувати як сукупність логічних груп програмного та апаратного забезпечення так, щоб кожна група вирішувала певні завдання. Для ПЗ, наприклад, в простішому випадку під цим слід розуміти, що подібні функції мають бути зосереджені в певних вихідних файлах.
Під більш жорсткими вимогами слід розуміти використання приховання даних та інших механізмів, що дозволяють мати впевненість, що кожний модуль вирішує єдине завдання. Будь-яка взаємодія між компонентами повинна здійснюватись тільки через відомі і описані канали (iнтерфейси).
3. Атрибути доступу
Для реалізації політики безпеки КЗЗ повинен забезпечити ізоляцію об'єктів всередині сфери управління та гарантувати розмежування запитів доступу і керування потоками інформації між об'єктами. Для цього всі об'єкти ІТС повинні мати атрибути доступу. Атрибути доступу об'єкта — це інформація, яка дозволяє КЗЗ iдентифікувати об'єкт і перевіряти легальність запитів доступу до нього.
Кожний об'єкт ІТС повинен мати певний набір атрибутів доступу, який включає унікальний iдентифікатор та іншу інформацію, що визначає його права доступу і/або права доступу до нього. Атрибут доступу — термін, що використовується для опису будь-якої інформації, яка використовується при керуванні доступом і зв'язана з користувачами, процесами або пасивними об'єктами. Відповідність атрибутів доступу і об'єкта може бути як явною, так і неявною. Атрибути доступу об'єкта є частиною його подання в ІТС.
Коли користувачі або процеси намагаються одержати доступ до пасивних об'єктів, механізми, що реалізують керування доступом, на підставі політики безпеки і перевірки атрибутів доступу можуть «прийняти рішення» про легальність запиту. Використовуючи набір атрибутів доступу відповідно до прийнятої політики безпеки, можна реалізувати довірче або адміністративне керування доступом, контроль за цілісністю та інші види керування доступом.
Для відображення функціональностi ІТС у простір, в якому не розглядаються права власності, використовується концепція матриці доступу. Проста матриця доступу — це таблиця, яка містить iдентифікатори користувачів, об'єктів та видів доступу до них.
Матриця доступу може бути:
— двомірною (наприклад, користувачі/об'єкти або процеси/об'єкти);
— тримірною (користувачі/процеси/об'єкти);
— повною, тобто містити вздовж кожної з осей всі існуючі iдентифікатори ІТС.
Повна матриця доступу дозволяє точно описати, хто (iдентифікатор користувача), через що (iдентифікатор процесу), до чого (iдентифікатор об'єкта), який вид доступу може одержати (iдентифікатор доступу).
4. Керування доступом
Є два види або принципи керування доступом в ІТС: довірче та адміністративне.
Довірче керуванням доступом — це таке керування, при якому КЗЗ дозволяє звичайним користувачам управляти потоками інформації в системі між іншими користувачами і об'єктами свого домену (наприклад, на підставі права володіння об'єктами). Тобто визначення повноважень користувачів не вимагає адміністративного втручання.
Адміністративне керуванням доступом — це таке керування, при якому КЗЗ дозволяє тільки спеціально уповноваженим користувачам (адміністраторам) управляти потоками інформації в системі між користувачами і об'єктами.
Прикладом реалізації адміністративного керування доступом може служити механізм, коли у вигляді атрибутів доступу використовуються мітки, що відображають міру конфіденційності інформації (об'єкта) і рівень допуску користувача. Таким чином, КЗЗ на підставі порівняння міток об'єкта і користувача визначає, чи можна виконати запит користувача.
Система, що реалізує адміністративне керування, повинна гарантувати, що потоки інформації всередині системи установлюються адміністратором і не можуть бути змінені звичайним користувачем. З іншого боку, система, що реалізує довірче керування доступом, дозволяє звичайному користувачу модифікувати, в т. ч. створювати нові потоки інформації всередині системи.
Створення додаткових потоків інформації може бути зумовлене:
— модифікацією атрибутів доступу користувача, процесу або пасивного об'єкта;
— створенням нових об'єктів (включаючи копіювання існуючих);
— експортом або імпортом об'єктів.
Сталість атрибутів доступу
При адміністративному керуванні доступом звичайний користувач не може змінювати атрибути доступу об'єкта. Таким чином, якщо політика потоків інформації, створена адміністратором, визначає, що два користувача не можуть спільно використовувати інформацію, то жоден з них не спроможний передати іншому користувачу свої повноваження щодо доступу до існуючого об'єкта.
І навпаки, при довірчому керуванні доступом звичайний користувач може змінювати атрибути доступу об'єкта, що належить йому.
Створення нових об'єктів
Якщо при адміністративному керуванні доступом політика потоків інформації, створена адміністратором, визначає, що два користувачі не можуть спільно використовувати інформацію, то жоден з них не може створити об'єкт, доступний іншому. Додатково повинні існувати правила для визначення атрибутів доступу, що мають присвоюватись об'єкту, одержаному копіюванням існуючого.
І навпаки, при довірчому керуванні доступом звичайний користувач може створювати атрибути доступу для знову створеного об'єкту. Наприклад, система може дозволяти творцю об'єкта визначати користувачів, що можуть мати права доступу до об'єкта.
Експорт і імпорт об'єктів
При адміністративному керуванні атрибути доступу об'єкта мають зберігатись під час його експорту на зовнішній носiй. Додатково повинні існувати правила для присвоєння атрибутів доступу імпортованому об'єкту.
І навпаки, при довірчому керуванні доступом об'єкт може бути експортований без збереження атрибутів доступу. Додатково може існувати можливість імпорту звичайним користувачем об'єкта з наступним присвоєнням йому атрибутів доступу на розсуд користувача.
Проте, навіть відповідно до політики довірчого керування доступом, атрибути доступу об'єкта під час виконання деяких операцій, наприклад, під час його резервного копіювання, мають зберігатися. Якщо об'єкт буде коли-небудь відновлено з резервної копії, то його атрибути доступу також мають бути відновлені.
5. Концепція диспетчера доступу
При реалізації КЗЗ використовується концепція диспетчера доступу, що повинна забезпечити:
— безперервний і повний захист;
— захищеність від модифікації;
— невеликі розміри.
Це означає, що диспетчер доступу має бути завжди активним і повинен контролювати всі запити на доступ до будь-якого захищеного об'єкта, який піддається впливу. Диспетчер доступу має бути захищений від модифікацiї, що для програмної реалізації звичайно вважається ізоляцією домену КЗЗ від доменів інших процесів.
Диспетчер доступу не повинен складати весь КЗЗ, а повинен включати мінімально необхідний набір механізмів, що безпосередньо реалізують перевірку легальностi запитів на доступ і, можливо, реєстрацію цих запитів.
Головна мета диспетчера доступу — забезпечення єдиної точки проходження всіх запитів всередині ІТС. Це гарантія того, що потоки інформації між користувачами, процесами і об'єктами відповідають вимогам політики безпеки.
Класичний погляд на диспетчер доступу полягає в тому, що він служить бар'єром між користувачем і об'єктом, до якого він хоче одержати доступ. Диспетчер доступу дозволяє або забороняє доступ відповідно до того, чи є запит авторизованим. Рішення приймається на підставі перевірки атрибутів доступу користувача, процесу і об'єкта.
Узагальненням концепції диспетчера доступу є ідея герметизації, коли кожний об'єкт як би герметизовано диспетчером доступу, що утворює навкруги нього непрониклу оболонку. Кількість захищених (що знаходяться всередині оболонки) об'єктів може змінюватись від одного об'єкта до всіх об'єктів системи.
Диспетчер доступу повинен забезпечити неможливість доступу до об'єкта в обхід механізмів захисту, перевірку наявності у користувача і/або процесу прав доступу до об'єкта і реєстрації подій, що відбуваються.
6. Реєстрація дій користувачів
Коли користувач працює з ІТС, то система розглядає його не як фізичну особу, а як об'єкт, якому притаманні певні атрибути і поводження. КЗЗ повинен забезпечувати реєстрацію дій користувачів щодо використання ресурсів системи, а також інших дій і подій, які так або інакше можуть вплинути на дотримання реалізованої ІТС політики безпеки.
Система повинна надавати користувачам, що мають адміністративні повноваження, можливість проглядати та аналізувати дані реєстрації, що представляються у вигляді журналів реєстрації, виявляти небезпечні з точки зору політики безпеки події, встановлювати їх причини і користувачів, відповідальних за порушення політики безпеки.
7. Послуги безпеки (функції захищеності)
З точки зору забезпечення безпеки інформації ІТС або КЗЗ можна розглядати як набір функціональних послуг безпеки. Кожна послуга безпеки являє собою набір функцій, що дозволяють протистояти деякій множині загроз.
Існує певний перелік послуг, які на підставі практичного досвіду визнані «корисними» для забезпечення безпеки інформації. Вимоги до реалізації даних послуг наведені в НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в КС від НСД».
Кожна послуга безпеки може включати декілька рівнів. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого (1) і зростають до значення n, де n — унікальне для кожного виду послуг.
Функціональні послуги розбиті на 4 групи, кожна з яких описує вимоги до послуг, що забезпечують захист від загроз одного із 4-х основних типів: конфіденційність (К), цілісність (Ц), доступність (Д) і спостереженість (Н).
1. Послуги конфіденційності реалізують захист інформації від несанкціонованого ознайомлення з нею (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні. Принципи, що лежать в основі реалізації послуг, визначаються політикою конфіденційності.
2. Послуги цілісності реалізують захист інформації від несанкціонованої модифікації (спотворення, руйнування). Цілісність забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні. Принципи, що лежать в основі реалізації послуг, визначаються політикою цілісності.
3. Послуги доступності реалізують захист інформації від несанкціонованого блокування доступу до неї. Також забезпечує можливості використання ІТС в цілому та окремих функцій та гарантує спроможність ІТС функціонувати в разі відмови її компонентів. Доступність забезпечується в ІТС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.
4. Послуги спостереженості реалізують захист ІТС від несанкціонованого втручання в її роботу (виводу з ладу). Також забезпечує відповідальність користувача за свої дії та підтримує спроможності КЗЗ виконувати свої функції. Спостереженість забезпечується в ІТС такими послугами: реєстрація (аудит), ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація і автентифікація при обміні, автентифікація відправника, автентифікація отримувача.
Всі послуги є більш-менш незалежними. Якщо ж така залежність виникає, тобто реалізація якої-небудь послуги неможлива без реалізації іншої, то цей факт відбивається як необхідні умови для даної послуги (або її рівня). За винятком послуги «аналіз прихованих каналів» залежність між функціональними послугами безпеки та гарантіями відсутня.
8. Гарантії реалізації послуг безпеки
Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в ІТС, є також критерії гарантій, які дозволяють оцінити коректність реалізації послуг безпеки.
Критерії гарантій мають сім iєрархічних рівнів гарантій. Iєрархiя рівнів гарантій відбиває поступово наростаючу міру упевненості в тому, що послуги, які надаються, дозволяють протистояти певним загрозам, а механізми, що їх реалізують, в свою чергу, коректно реалізовані, і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації ІТС.
Гарантії повинні забезпечуватися як в процесі розробки КСЗІ, так і в процесі її оцінки. В процесі розробки гарантії забезпечуються діями розробника щодо забезпечення правильності (коректностi) розробки. В процесі оцінки гарантії забезпечуються шляхом перевірки додержання розробником вимог критеріїв, аналізу документації, процедур розробки і постачання.
Критерії гарантій включають вимоги до архітектури КЗЗ, середовища та послідовностi його розробки, випробування КЗЗ, середовища його функціонування та якості документації.
Для того, щоб ІТС одержала певний рівень гарантій реалізації необхідних послуг безпеки (якщо вона не може одержати більш високий), повинні бути задоволені всі вимоги, визначені для даного рівня в кожному з розділів вимог.
Класифікація АС