НЕОБХІДНІСТЬ СТВОРЕННЯ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ (КСЗІ)

Необхідність забезпечення захисту інформації (а саме створення комплексної системи захисту інформації (КСЗІ) в автоматизованих системах 1-ого, 2-ого та 3-ого класу: НД ТЗІ 2.5-005-99 «Класифікація автоматизованих систем») визначається передусім вимогами нормативно-правових документів або в окремих випадках рішенням власника інформаційних ресурсів. 

Нижче наведено перелік нормативно-правових документів на підставі яких створюються КСЗІ:

• Закон України «Про інформацію» регулює відносини щодо створення, збирання, одержання, зберігання, використання, поширення, охорони, захисту інформації. 
• Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» стаття 8 Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо     захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплек-       сної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством. 
• «Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» затверджені постановою Кабінету Міністрів Укра-     їни від 29 березня 2006 р. № 373 п.16 свідчить про те, що для забезпечення захисту інформації       в системі створюється комплексна система захисту інформації, яка призначається для захисту інформації від: витоку технічними каналами, до яких належать канали побічних електромагніт-     них випромінювань і наведень, акустично-електричні та інші канали, що утворюються під впли-     вом фізичних процесів під час функціонування засобів обробки інформації, інших технічних за-   собів і комунікацій; несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів; спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування. 
• Закон України «Про захист персональних даних» регулює правові відносини, пов’язані із захис-     том і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних. 
• Закон України «Про державну таємницю» регулює суспільні відносини, пов'язані з віднесенням інформації до державної таємниці, засекречуванням, розсекречуванням її матеріальних носіїв         та охороною державної таємниці з метою захисту національної безпеки України. 

 
Інформаційна безпека – стан інформації, в якому забезпечується збереження визначених політикою безпеки властивостей інформації (НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу).
 

Для характеристики основних властивостей інформації використовується модель СІА (конфіденційність (англ. Confidentiality, privacy), цілісність (англ. Integrity), доступність (англ. Availability), але враховуючи НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу з’являються й інші властивості:

 
Конфіденційність.

Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги треба шукати в розділі “Критерії конфіденційності”. В цьому розділі описані такі послуги (в дужках наведені умовні позначення для кожної послуги): довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні (експорті/імпорті).

Цілісність.

Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. Якщо існують вимоги щодо обмеження можливості модифікації інформації, то відповідні послуги треба шукати в розділі “Критерії цілісності”. В цьому розділі описані такі послуги: довірча цілісність, адміністративна цілісність, відкат і цілісність при обміні.

Доступність.

Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то відповідні послуги треба шукати в розділі “Критерії доступності”. В цьому розділі описані такі послуги: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.

Спостереженість.

Ідентифікація і контроль за діями користувачів, керованість комп'ютерною системою становлять предмет послуг спостереженості і керованості. Якщо існують вимоги щодо контролю за діями користувачів або легальністю доступу і за спроможністю комплексу засобів захисту виконувати свої функції, то відповідні послуги треба шукати у розділі “Критерії спостереженості”. В цьому розділі описані такі послуги: реєстрація, ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність комплексу засобів захисту, самотестування, автентифікація при обміні, автентифікація відправника (невідмова від авторства), автентифікація одержувача (невідмова від одержання).
 

Додатково також використовують наступні властивості:

Апелювання – можливість доказати, що автором є саме заявлена людина (юридична особа), і ніхто інший.
Підзвітність – властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об‘єктів та однозначно встановлювати авторів певних дій в системі.
Достовірність – властивість інформації бути правильно сприйнятою, ймовірність відсутності помилок.
Автентичність – властивість, яка гарантує, що суб'єкт або ресурс ідентичні заявленим.

Суб’єкти діяльності із захисту інформації. В процесі забезпечення захисту інформації , беруть участь наступні суб’єкти:

Організація-замовник робіт щодо захисту інформації (Власник або розпорядник інформації, що встановлюється окремими нормативними документами або двосторонніми угодами).
Організація, яка здійснює заходи щодо забезпечення захисту інформації (виконавець робіт). Діяльність щодо забезпечення захисту інформації відноситься до ліцензованих видів діяльності і ліцензується Державною службою спеціального зв’язку і захисту інформації України. 
Державна служба спеціального зв’язку і захисту інформації (ДССЗЗІУ) – контролюючий орган.
Організація, яка здійснює державну експертизу згідно з положенням «Про державну експертизу в сфері технічного захисту інформації», з урахуванням змін внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 567 ( z1863-12 ) від 10.10.2012, - експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів із ТЗІ і проводиться шляхом експертних випробувань (а після змін) шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів із ТЗІ. 

Окремі вимоги захисту, що додатково регламентуються міжнародним законодавством в галузі захисту інформації передбачаються у випадках:

Обробки банківської інформації платіжних систем: стандарт PCI DSS; Необхідності аудиту стану інформаційної безпеки зовнішніми міжнародними організаціями-аудиторами: комплекс стандартів ISO/IEC 15504, ISO/IEC 15408, ISO/IEC 13335, ISO/IEC 17799, ISO/IEC 27001:2005.

Участі в обробці персональних даних фізичних осіб нерезидентів України:

Конвенція № 108 Ради Європи.