Вимоги до КСЗІ в ІТС

Questions and Answers

Яка з наведених складових НЕ є обов'язковою для комплексної системи захисту інформації (КСЗІ)?

• Комплекс маркетингових досліджень (correct)
• Організаційні заходи
• Інженерно-технічні заходи
• Засоби захисту інформації

Яка основна мета захисту інформації в системі?

• Забезпечення безперебійного функціонування технічних засобів
• Запобігання несанкціонованим діям щодо інформації (correct)
• Оптимізація використання обчислювальних ресурсів
• Підвищення кваліфікації користувачів системи

Яка ознака характеризує інтегровану систему?

• Відсутність взаємозв'язку між елементами
• Уніфікація програмного забезпечення
• Автономне функціонування кожного елемента
• Взаємозалежність функціонування елементів (correct)

Який з перелічених видів діяльності НЕ відноситься до обробки інформації в системі?

Прасування документів (A)

Що може слугувати підставою для визначення необхідності створення КСЗІ в ІТС?

Вимоги чинного законодавства щодо захисту певних видів інформації (A)

Який етап є обов'язковим при обстеженні середовища функціонування ІТС?

Визначення обчислювальної системи (B)

Яка мета аналізу компонентів обчислювальної системи під час створення КСЗІ?

Виявлення компонентів, що потребують підвищеного захисту (C)

Що підлягає аналізу при обстеженні інформаційного середовища ІТС?

Вся інформація, що обробляється та зберігається в ІТС (D)

Яка основна задача аналізу технології обробки інформації в ІТС?

Виявлення особливостей обігу електронних документів (D)

Які характеристики фізичного середовища підлягають аналізу при обстеженні ІТС?

Територіальне розміщення компонентів ІТС (D)

Які аспекти аналізуються під час обстеження середовища користувачів ІТС?

Функціональний та кількісний склад користувачів (D)

У якому форматі оформлюються результати обстеження середовищ функціонування ІТС?

У вигляді акту (A)

Який нормативний документ визначає загальні вимоги з категоріювання об'єктів, де циркулює інформація з обмеженим доступом?

НД ТЗІ 1.6-005-2013 (B)

Хто є відповідальним за своєчасність та правильність категоріювання об'єкта інформаційної діяльності?

Керівник установи-власника об'єкта (A)

Яка категорія встановлюється об'єктам, на яких обробляється інформація з обмеженим доступом, що не становить державної таємниці за замовчуванням?

Четверта (IV) (D)

Який термін дії акту категоріювання об’єкта?

5 років (C)

У якому випадку проводиться позачергове категоріювання об'єкта?

У разі зміни ознаки, за якою було встановлено категорію об'єкта (A)

Яку інформацію необхідно обов'язково вказати в акті категорування ІТС?

Вищий ступінь обмеження доступу інформації, що обробляється (D)

Хто затверджує акт категорування ІТС?

Керівник організації (установи), яка є власником (розпорядником) ІТС (B)

Який з перелічених елементів НЕ входить до форми та змісту акта категоріювання об’єкта?

Інформація про апаратне забезпечення об'єкта (B)

Flashcards

КСЗІ (комплексна система захисту інформації)

Взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

КЗЗ (комплекс засобів захисту)

Сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації.

Захист інформації в системі

Діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі.

Інтегрована система

Сукупність двох або кількох взаємопов'язаних інформаційних або телекомунікаційних систем, де функціонування однієї залежить від іншої.

Інформаційно-телекомунікаційна система

Будь-яка система, яка відповідає одному з трьох видів автоматизованих систем.

Телекомунікаційна система

Сукупність технічних і програмних засобів для обміну інформацією.

Інформаційно-телекомунікаційна система

Сукупність інформаційних та телекомунікаційних систем, що діють як єдине ціле при обробці інформації.

Обробка інформації в системі

Виконання операцій з інформацією за допомогою технічних і програмних засобів.

Підстави для створення КСЗІ

Норми законодавства, рішення власника інформації, що визначають необхідність створення КСЗІ.

Обстеження середовищ функціонування ІТС

Визначення компонентів ІТС та їх взаємодії для оцінки захищеності.

Обстеження інформаційного середовища

Аналіз інформації, що обробляється, для визначення вимог до її захисту.

Обстеження фізичного середовища

Аналіз засобів обробки інформації на об'єктах інформаційної діяльності.

Обстеження середовища користувачів

Аналіз користувачів ІТС, їх повноважень та доступу до інформації.

Акт категоріювання ІТС

Документ, що визначає категорію об'єкта інформаційної діяльності.

Хто здійснює категоріювання?

Власник (розпорядник, користувач) об'єкта інформаційної діяльності

Які існують види категоріювання?

Первинне, чергове, позачергове

Які об'єкти підлягають категоріюванню?

Об'єкти, на яких здійснюватиметься обробка технічними засобами та/або озвучуватиметься інформація з обмеженим доступом, що не становить державної таємниці

Яка категорія може встановлюватися об'єктам?

За рішенням розпорядників (користувачів) інформації або за рішенням власників (розпорядників, користувачів) об'єктів, на яких обробляється технічними засобами та/або озвучується інформація з обмеженим доступом, що не становить державної таємниці, об'єктамможе встановлюватися III категорія

За якою ознакою здійснюється категоріювання?

Ступінь обмеження доступу до інформації, що обробляється технічними засобами та/або озвучується на ОІД.

Study Notes

Формування загальних вимог до КСЗІ в ІТС

• Комплексна система захисту інформації (КСЗІ) – це взаємопов'язана сукупність організаційних, інженерно-технічних заходів, засобів і методів для захисту інформації.
• Комплекс засобів захисту (КЗЗ) – це програмно-апаратні засоби, що забезпечують впровадження політики безпеки інформації.
• Захист інформації в системі – діяльність, спрямована на запобігання несанкціонованим діям з інформацією в системі.
• Інтегрована система включає дві або більше взаємопов'язані інформаційні та/або телекомунікаційні системи, де функціонування однієї залежить від результатів іншої.
• Під інформаційно-телекомунікаційною системою розуміється будь-яка система, що відповідає одному з трьох видів автоматизованих систем.
• Телекомунікаційна система – це сукупність технічних і програмних засобів для обміну інформацією, використовуючи передавання, випромінювання або приймання сигналів.
• Інформаційно-телекомунікаційна система – це сукупність інформаційних та телекомунікаційних систем, які спільно обробляють інформацію.
• Обробка інформації в системі – виконання операцій, таких як збирання, введення, записування, перетворення, зберігання, знищення, реєстрація, приймання, передавання за допомогою технічних і програмних засобів.

Обґрунтування необхідності створення КСЗІ

• Підставою для створення КСЗІ є вимоги законодавства щодо обмеження доступу до інформації або забезпечення її цілісності та доступності.
• Рішення власника інформації, якщо нормативно-правові акти надають йому право діяти на власний розсуд, також є підставою для створення КСЗІ.
• Дані для обґрунтування отримання КСЗІ з аналізу нормативно-правових актів, на основі яких встановлюються обмеження доступу.
• Обмеження або заборона обмеження доступу до інформації, а також необхідність забезпечення захисту згідно з іншими критеріями, необхідно враховувати.
• Визначення видів інформації, що потребують обмеження доступу або забезпечення цілісності та доступності, має відповідати вимогам нормативно-правових актів.
• Оцінка фінансових, економічних, соціальних переваг експлуатації ІТС у разі створення КСЗІ є важливою.

Обстеження середовища функціонування ІТС

• Під час виконання обстеження IТС розглядається, як організаційно-технічна система, що поєднує обчислювальну систему, фізичне та користувацьке середовища.
• Також враховується оброблювана інформація та технології її обробки.
• Аналізуються програмно-апаратні засоби захисту інформації та їх взаємне розміщення.
• Вивчаються види та характеристики каналів зв'язку, особливості взаємодії компонентів та можливі обмеження у використанні засобів.
• Виявляються компоненти обчислювальної системи, що містять засоби захисту інформації, їхні властивості та характеристики.
• Мета аналізу – оцінка можливостей забезпечення захисту інформації, виявлення компонентів ІТС, що потребують додаткових заходів захисту.

Аналіз інформаційного середовища

• Аналізується вся інформація, що обробляється та зберігається в ІТС (дані та ПЗ).
• Інформація класифікується за режимом доступу, правовим режимом та видами представлення в ІТС.
• Для кожного виду інформації визначаються властивості захищеності: конфіденційність, цілісність, доступність або спостережність.
• Аналіз технології обробки інформації виявляє особливості обігу електронних документів.
• Визначаються інформаційні потоки, середовища їх передачі, джерела, місця призначення, принципи та методи керування.
• Складаються структурні схеми потоків, фіксуються види носіїв інформації та порядок їх використання.

Фізичне середовище

• Фіксується склад інформаційних об'єктів, режим доступу до них, можливий вплив елементів середовища користувачів та фізичного середовища.
• Здійснюється аналіз взаємного розміщення засобів обробки інформації ІТС на об'єктах інформаційної діяльності.
• Враховуються комунікації, системи життєзабезпечення, зв'язок та режим функціонування об'єктів.
• Аналізуються територіальне розміщення компонентів ІТС, наявність охорони території та перепускний режим.
• Перевіряється наявність категорійованих приміщень для розміщення компонентів ІТС , режим доступу та вплив навколишнього середовища.
• Аналізується наявність елементів комунікацій та умови зберігання носіїв інформації проектної документації компонентів фізичного середовища.

Обстеження середовища користувачів

• Аналізується функціональний та кількісний склад користувачів, їх обов'язки та кваліфікація.
• Увага приділяється повноваженням користувачів щодо доступу до відомостей, ІТС та її компонентів.
• Досліджуються повноваження користувачів щодо управління КСЗІ та рівень надаваних їм можливостей (засоби ІТС).
• Необхідно розглянути наявність СЗІ у ІТС.
• Результати оформлюють у вигляді акту, який включають до плану захисту інформації в ІТС.

Категоріювання об'єктів

• НД ТЗІ 1.6-005-2013 визначає вимоги та порядок категоріювання об'єктів інформаційної діяльності з інформацією з обмеженим доступом (крім державної таємниці).
• Поширене на органи державної влади місцевого самоврядування Збройних Сил України підприємства, установи та організації.
• Власник об'єкта інформаційної діяльності – юридична або фізична особа, яка має право власності на обє'кт інформаційної діяльності.
• Користувач об'єкта – юридична або фізична особа, якій дано право користуватися (розпоряджатися) об'єктом інформаційної діяльності.
• Інформація з обмеженим доступом – інформація, що становить передбачену законом таємницю крім державної.
• Категоріювання – сукупність дій зі встановлення категорії об'єкта.
• Категорія об'єкта – класифікація важливості об'єкта, за якою визначається необхідний рівень захисту інформації що обробляється на цьому об'єкті.
• Об'єкт ЕОТ – об'єкт інформаційної діяльності, де обробляється інформація розташованими на ньому засобами електронно-обчислювальної техніки.
• Обробка інформації – здійснення операцій з інформацією технічними способами.

Загальні положення категоріювання

• Об'єкти, де обробляється інформація з обмеженим доступом, підлягають обов'язковому категоріюванню.
• Категоріювання може бути первинним, черговим або позачерговим.
• Мета категоріювання – визначення рівня захисту інформації.
• Відповідальність несе керівник установи-власника об'єкта.
• Об'єктами є об'єкти інформаційної діяльності, в тому числі об'єкти ЕОТ.
• Категоріювання здійснюється за ступенем обмеження доступу до інформації.
• Об'єктам з інформацією з обмеженим доступом встановлюється четверта (IV) категорія, або може встановлюватися третя (III) категорія.
• Інформація про категоріювання об'єктів вноситься до переліку категорійованих об'єктів ,який ведеться власником обєктів інформаційної діяльності.
• Категоріювання об'єктів здійснюється їх власником (розпорядником, користувачем) через комісію.
• Комісія визначає ступінь обмеження доступу до інформації та встановлює категорію об'єкта.
• Встановлена категорія зазначається в Акті категоріювання об'єкта, який є чинним протягом 5 років, якщо не змінилася ознака
• Первинне категоріювання здійснюється при створенні ОІД.
• Чергове категоріювання здійснюється не рідше одного разу на п'ять років.
• Позачергове категоріювання здійснюється при зміні ознаки, за якою встановлена категорія об'єкта.
• Результати категорування ІТС викладаються в акті.
• В акті категорування ІТС зазначаються підстава для категорування, ступінь обмеження доступу до інформації та категорія призначена ІТС.
• Акт затверджується керівником організації, яка є власником (розпорядником) ІТС, та складається відповідною комісією.