ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ
Захист інформації
ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ
Основні положення
Видання офіційне
Київ
ДЕРЖСТАНДАРТ УКРАЇНИ
1996
ДСТУ 3396.0—96
ПЕРЕДМОВА
РОЗРОБЛЕНО І ВНЕСЕНО Державною службою України з питань технічного захисту інформації
ЗАТВЕРДЖЕНО ВВЕДЕНО В ДІЮ наказом Держстандарту України від 11 жовтня І996 р. № 423
У цьому стандарті реалізовано норми законів України «Про інформацію», «Про державну таємницю», «Про захист інформації в автоматизованих системах»
ВВЕДЕНО ВПЕРШЕ
РОЗРОБНИКИ: О. Баранов, А. Новіченко, Б. Гелевера, 1. Арутюнова
© Держспоживстандарт України, 1996
Цей стандарт не може бути повністю чи частково «відтворений, тиражований і розповсюджений як офіційне видання без дозволу Держстандярту УкраїниЗМІСТ
с.
Галузь використання 1
Нормативні посилання 2
Загальні положення 2
Побудова системи захисту інформації З
Визначення й аналіз загроз З
Розроблення системи захисту інформації 4
Реалізація плану захисту інформації 4
Контроль функціювання та керування системою захисту інформації. ...... 5
Нормативні документи з ТЗІ 5ДСГУ 3396.0-96
ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ
ЗАХИСТ ІНФОРМАЦІЇ
ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ
Основні положення
ЗАШИТА ИНФОРМАЦИИ
ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Основные положения
Чинний від 1997—01—01
ГАЛУЗЬ ВИКОРИСТАННЯ
Цей стандарт установлює об'єкт захисту, мету, основні організаційно-технічні положення технічного захисту інформації (ТЗІ), непра- омірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також категорії нормативних документів зТЗІ.
Вимоги стандарту обов'язкові для підприємств та установ усіх форм власності і підпорядкування, громадян — суб'єктів підприємницькоїдіяль- ності, органів державної влади, органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.
Видання офіційнеНОРМАТИВНІ ПОСИЛАННЯ
У цьому стандарті наведено посилання на такі документи:
ДСТУ 1.0—93 Державна система стандартизації України. Основні положення;
ДСТУ 1.2—93 Державна система стандартизації України. Порядок розроблення державних стандартів;
ДСТУ 1.3—93 Державна система стандартизації України. Порядок розроблення, побудови, викладу, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов;
ДСТУ 1.4—93 Державна система стандартизації України. Стандарт підприємства. Основні положення;
ДСТУ 1.5—93 Державна система стандартизації України. Загальні вимоги до побудови, викладу, оформлення і змісту стандартів;
ДБН А. 1.1 — і—93 Система стандартизації та нормування в будівництві. Основні положення;
ДБН А.1.1—2—93 Система стандартизації та нормування в будівництві. Порядок розробки, вимоги до побудови, викладу та оформлення нормативних документів.
З ЗАГАЛЬНІ ПОЛОЖЕННЯ
Об'єктом технічного захисту с інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження (далі— інформація з обмеженим доступом — ІзОД).
Об'єкт захисту, мету і завдання ТЗІ визначають і встановлюють особи, які володіють, користуються, розпоряджаються ІзОД у межах прав і повноважень, наданих законами України, підзаконними актами та нормативними документами з ТЗІ.
Носіями ІзОД можуть бути фізичні поля, сигнали, хімічні речовини, що утворюються в процесі інформаційної діяльності, виробництва й експлуатації продукції різного призначення (далі— інформаційна діяльність).
Середовищем поширення носіїв ІзОД можуть бути лінії зв'язку, сигналізації, керування, енергетичні мережі, прикінцевеі проміжне обладнання, інженерні комунікації і споруди, відгороджувалі ні будівельні конструкції, а також світлопроникні елементи будинків і споруд (отвори), повітряне, водне та інше середовища, грунт, рослинність тощо.Витік або порушення цілісності ІзОД (спотворення, модифікація, руйнування, знищення) можуть бути результатом реалізації загроз безпеці інформації (далі—загроза).
Метою ТЗІ с запобігання витоку або порушенню цілісності ІзОД.
Мста ТЗІ може бути досягнута побудовою системи захисту інформації, що є організованою сукупністю методів і засобів забезпечення ТЗІ.
Технічний захист інформації здійснюється поетапно:
етап — визначення й аналіз загроз;
етап — розроблення системи захисту інформації;
етап — реалізація плану захисту інформації;
етап — контроль фукціювання та керування системою захисту інформації.
4 ПОБУДОВА СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ
Визначення й аналіз загроз
На першому етапі необхідно здійснити аналіз об'єктів захисту, ситуаційного плану, умов функціюпання підприємства, установи, організації, оцінити ймовірність прояву загроз та очікувану шкоду під їх реалізації, підготувати засадничі дані для побудови окремої моделі загроз.
Джерелами загроз може бути діяльність іноземних розвідок, а також навмисні або ненавмисні дії юридичних і фізичних осіб.
Загрози можуть здійснюватися:
технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо-, радіотехнічні, хімічні та інші канали;
каналами спеціального впливу шляхом формування полів і сигналів з мстою руйнування системи захисту або порушення цілісності інформації; .
несанкційованнм доступом шляхом підключення до апаратури та ліній зв'язку, маскування під зарссстрованого користувача, подолання заходів захисту для використання інформації або нав'язування хибної інформації, застосування підкладних пристроїв чи програм та вкорінення комп'ютерних вірусів.
Опис загроз і схематичне подання шляхів їх здійснення складають окрему модель загроз.Розроблення системи захисту інформації
2.1 На другому етапі слід здійснити розроблення плану ТЗІ, що
містить організаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначити зони безпеки інформації.
Організаційні заходи регламентують порядок інформаційної діяльності з урахуванням норм і вимог ТЗІ для всіх періодів життевого циклу об'єкта захисту.
Первинні технічні заходи передбачають захист інформації блокуванням загроз без використання засобів ТЗІ.
Основні технічні заходи передбачають захист інформації з використанням засобів забезпечення ТЗІ.
Для технічного захисту інформації слід застосовувати спосіб приховування або спосіб технічної дезінформації.
Заходи захисту інформації повинні:
бути відповідними загрозам;
бути розробленими з урахуванням можливої шкоди від їх реалізації і вартості захисних заходів та обмежень, що вносяться ними;
забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.
Рівень захисту інформації означується системою кількісних та якісних показників, які забезпечують розв'язання завдання захисту інформації на основі норм та вимог ТЗІ.
Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпеч- нішій загрозі.
Підвищення рівня захисту інформації досягається нарощуванням технічних заходів протидії безлічі загроз.
Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізації заходів ТЗІ, розрахунку ефективності захисту та порядок атестації технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщень) установлюються нормативними документами з ТЗІ
Реалізація плану захисту інформації
На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні он» Безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщені.) на відповідність вимогам безпеки інформації.Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації (далі — засоби ТЗІ) та засобів контролю, які мають сертифікат відповідності вимогам нормативних документів з технічного захисту системи УкрСЕПРО або дозпіл на їх використання від органу, уповноваженого Кабінетом Міністрів України, а також застосуванням спеціальних інженерно-технічних споруд, засобів і систем (далі— засоби забезпечення ТЗІ).
Засоби ТЗІ можуть функціюватн автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у них складових елементів.
Склад засобів забезпечення ТЗІ, перелік їх постачальників, а також послуг з установлення, монтажу, налагодження та обслуговування визначаються особами, які володіють, користуються і розпоряджаються ІзОД самостійно або за рекомендаціями спеціалістів з ТЗІ згідно з нормативними документами з ТЗІ.
Надання послуг з ТЗІ, атестацію та сервісне обслуговування засобів забезпечення ТЗІ можуть здійснювати юридичні і фізичні скоби, які мають ліцензію на право проведення цих робіт, видану органом, уповноваженим Кабінетом Міністрів України.
Контроль функціювання та керування системою захисту ін формації
На четвертому етапі слід провести аналіз функціювання системи захисту інформації, перевірку виконання заходів ТЗІ, контроль ефективності захисту, підготувати та видати засадничі дані для керування системою захисту інформації.
Керування системою захисту інформації полягає у адаптації заходів ТЗІ до поточного завдання захисту інформації.
За фактами зміни умов здійснення або виявлення нових загроз заходи ТЗІ реалізуються у найкоротший строк.
У разі потреби підвищення рівня захисту інформації необхідно виконати роботи, передбачені 1, 2 та 3 етапами побудови системи захисту інформації.
Порядок проведення перевірок і контролю ефективності захисту інформації встановлюється нормативними документами з ТЗІ.
5 НОРМАТИВНІ ДОКУМЕНТИ З ТЗІ
Нормативні документи розробляються в ході проведення комплексу робіт із стандартизації та нормування у галузі ТЗІ. .
Нормативні документи повинні забезпечувати:
проведення єдиної технічної політики;
створення і розвиток сдиної термінологічної системи;
функціювання багаторівневих систем захисту інформації на основі взаемнопогодженнх положень, правил/методик, вимог та норм;
функціювання систем сертифікації, ліцензування й атестації згідно з вимогами безпеки інформації;
розвиток сфери послуг у галузі ТЗІ;
установлення порядку розроблення, виробництва, експлуатації засобів забезпечення ТЗІ;
організацію проектування будівельних робіт у частині забезпечення ТЗІ;
підготовку та перепідготовку кадрів у системі ТЗІ.
Нормативні документи з ТЗІ поділяються на:
нормативні документи із стандартизації у галузі ТЗІ;
державні стандарти та прирівняні до них нормативні документи;
нормативні акти міжвідомчого значення, шо реєструються у Міністерстві юстиції України;
нормативні документи міжвідомчого значення технічного характеру, то реєструються органом, уповноваженим Кабінетом Міністрів України;
нормативні документи відомчого значення органів державної влади та органів місцевого самоврядування.
Порядок проведення робіт із стандартизації та нормування у галузі ТЗІ встановлюється ДСТУ І 0, ДОН А.І.І—І, документами системи ТЗІ.
Порядок розроблення, оформлення, погодження, затвердження, реєстрації, видання, впровадження, перевірки, перегляду, зміни та скасування нормативних документів установлюється ДСТУ 1.2, ДСТУ І.З, ДСТУ 1.4, ДСТУ 1.5.ДБН А. 1.1-2, документами системи ТЗІ.УДК 006.3:002 35.020 Т62
Ключові слова: інформація, технічний захист інформації, система захисту інформації, план захисту інформації, нормативний документГОСУДАРСТВЕННЫЙ СТАНДАРТ УКРАИНЫ
Защита информации
ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Основные положения
Издание официальное
Киев
ГОССТАНДАРТ УКРАИНЫ
1996ПРЕДИСЛОВИЕ
РАЗРАБОТАН И ВНЕСЕН Государственной службой Украины по вопросам технической защиты информации
УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Госстандарта Украины от 11 октября 1996 г. № 423
В настоящем стандарте реализованы нормы законов Украины «Об информации», «О государственной тайне», «О защите информации в автоматизированных системах»
ВВЕДЕН ВПЕРВЫЕ
РАЗРАБОТЧИКИ: А. Баранов, А. Новиченко, В. Гелевера, И. Арутюнова
Настоящий стандарт не может быть полностью или частично воспроизведен,
тиражирован и распространен в качестве официального издании без разрешения
Госстандарта Украины
С.
Область применения . .. .
Нормативные ссылки 2
Общие положения 2
Построение системы защиты информации 3
Определение и анализ угроз 3
Разработка системы зашиты информации 4
Реализация плана защиты информации 5
Контроль функционирования и управления системой защиты информации 5