Главная страница
Навигация по странице:

  • Проблеми створення стандартів із ЗІ

  • Експерти з кваліфікації і фахівці із сертифікації

  • Універсальність стандарту

  • Політика безпеки (

  • Модель безпеки (

  • Мандатне, або нормативне керування доступом (

  • Ядро безпеки (Trusted Computing Base (TCB)).

  • Ідентифікація (Identification).

  • Адекватність (Assurance).

  • Кваліфікаційний аналіз, кваліфікація рівня безпеки (Evaluation).

  • Прямий вплив (Trusted Path).

  • Огляд стандартів із захисту інформації

  • Усі лекції ОІБ в одному файлі. Усі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза


    Скачать 273.05 Kb.
    НазваниеУсі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза
    Дата29.03.2022
    Размер273.05 Kb.
    Формат файлаdocx
    Имя файлаУсі лекції ОІБ в одному файлі.docx
    ТипДокументы
    #426234
    страница4 из 15
    1   2   3   4   5   6   7   8   9   ...   15

    Законодавчий рівень інформаційної безпеки


    У справі забезпечення інформаційної безпеки успіх може забезпечити тільки комплексний підхід. Для захисту інтересів суб’єктів інформаційних стосунків необхідно поєднувати заходи таких рівнів: • законодавчого; • адміністративного (накази та інші дії керівництва організацій, пов’язаних з інформаційними системами, що захищаються):; • процедурного (заходи безпеки, орієтовані на людей); • програмно-технічного. Законодавчий рівень є найважливішим для забезпечення інформаційної безпеки. Більшість людей не чинять протиправних дій не тому, що це технічно не є можливим, а тому, що це засуджується і/або карається суспільством, тому що так поступати не прийнято. На законодавчому рівні будемо розрізняти дві групи заходів: • заходи, скеровані на створення та підтримання в суспільстві негативного (в тім числі з застосуванням покарань) ставлення до порушень і порушників інформаційної безпеки (назвемо їх заходами обмежувальної скерованості); • направляючі і координуючі заходи, які сприяють підвищенню освіченості суспільства в галузі інформаційної безпеки і допомагають в розробці та поширенні засобів забезпечення інформаційної безпеки (заходи творчої скерованості). На практиці обидві групи заходів є важливими в однаковій мірі, але доцільно виділити аспект усвідомленого дотримання норм та правил інформаційної безпеки. Це є важливим для всіх суб’єктів інформаційних стосунків, оскільки розраховувати лише на захист силами правоохоронних органів було б надто наївно. Це необхідно також і тим, у чиї обов’язки входить карати порушників, оскільки забезпечити доказовість розслідуванні та судовому розбиранні комп’ютерних злочинів без спеціальної підготовки неможливо. Найважливіше (і, напевно, найважче) на законодавчому рівні – це створити механізм, який дозволяє узгоджувати процес розробки законів з реаліями і прогресом інформаційних технологій. Закони не можуть випереджувати життя, але важливо, щоб відставання не було надто великим, так як на практиці, окрім інших негативних моментів, це веде до зниження до інформаційної безпеки. На законодавчому рівні особливої уваги заслуговують правові акти і стандарти.

    Проблеми створення стандартів із ЗІ

    В основному роль стандартів із ЗІ така сама, як і в будь-якій іншій сфері. Кожна людина повинна мати можливість оцінювати і порівнювати все, що є навколо неї і чим вона користується. У цьому сенсі ІБ нічим не відрізняється від інших сфер нашої діяльності. Головне завдання стандартів ІБ - створити основу для взаємодії між виробниками, споживачами та експертами з кваліфікації продуктів інформаційних технологій. Кожна з цих груп має свої інтереси і свої погляди на проблему ІБ. Споживачі, по-перше, зацікавлені в методиці, яка дозволяє обґрунтовано обрати продукт, що відповідає їх потребам і вирішує їх проблеми, для чого їм необхідна чітка шкала оцінки безпеки, і, по-друге, мають потребу в інструменті, за допомогою якого вони могли б формулювати свої вимоги виробнику. При цьому споживачів (що, до речі, цілком природно й обгрунтовано) цікавлять виключно характеристики і властивості кінцевого продукту, а не методи та засоби їх досягнення. Тут звернемо увагу на те, що саме з цієї точки зору ми цікавимось взагалі будь-якими товарами (тобто не обов'язково пов'язаними з ІБ). З цієї ж точки зору ідеальна шкала оцінки безпеки мала б виглядати приблизно так (звичайно, залежно від можливого для споживача рівня конфіденційності інформації):

    Рівень 1. Система для обробки інформації з грифом не вище ніж «для службового користування». Рівень 2. Система для обробки інформації з грифом не вище ніж «секретно» і т. д.

    Відповідно і вимоги споживач міг би сформулювати приблизно в такій формі: «Я хотів би, щоб у мене все було захищене для обробки, наприклад, цілком таємної інформації». Нагадаємо, що коли ми щось купуємо, то, звичайно ж, хочемо, щоб воно було найліпшим, найдовго-вічнішим і т. ін. Однак цей неконструктивний підхід сам по собі не такий страшний, багато гірше інше - більшість споживачів не розуміє і не хоче розуміти, що за все треба платити (і не тільки грошима) і що вимоги безпеки обов'язково суперечать (не можуть не суперечити!) функціональним вимогам (наприклад, зручності роботи, швидкодії і т. п.), накладають обмеження на сумісність і, як правило, вимагають відмовитися від широко розповсюджених незахищених прикладних ПЗ.

    Виробники, у свою чергу, мають потребу в стандартах для порівняння можливостей своїх продуктів і в застосуванні процедури сертифікації для об'єктивного оцінювання їх властивостей, а також у стандартизації певного набору вимог безпеки, що міг би обмежити фантазію замовника конкретного продукту і змусити його вибирати вимоги з цього продукту. Знову згадаємо будь-якого звичайного виробника -йому зовсім не хочеться робити все для всіх. З погляду виробника, вимоги повинні бути максимально конкретними і регламентувати необхідність застосування тих чи інших засобів, механізмів, алгоритмів і т. д. Крім того, вимоги не повинні вступати в конфлікт з існуючими методами й алгоритмами обробки інформації, архітектурою КС і технологіями створення інформаційних продуктів. Цей підхід також не може бути визнаний домінуючим, тому що він не враховує потреби користувачів (адже в кінцевому рахунку саме для них все робиться) і намагається підігнати вимоги захисту під існуючі системи і технології, а це далеко не завжди можливо здійснити без збитку для безпеки.

    Експерти з кваліфікації і фахівці із сертифікації розглядають стандарти як інструмент, що допомагає їм оцінити рівень безпеки, забезпечуваний продуктами інформаційних технологій, і надати споживачам можливість зробити обґрунтований вибір. Виробники в результаті кваліфікації рівня безпеки одержують об'єктивну оцінку можливостей свого продукту. Експерти з кваліфікації опиняються у двоїстому становищі. З одного боку, вони, як і виробники, зацікавлені в чітких і простих критеріях, над застосуванням яких до конкретного продукту не потрібно ламати голову (найкраще це могла б бути анкета з відповідями типу «так/ні»). З іншого боку, вони повинні дати обґрунтовану відповідь користувачам - задовольняє продукт їх потреби чи ні. Виходить, що саме експерти приймають на себе весь тягар відповідальності за безпеку продукту, що одержав кваліфікацію рівня безпеки і пройшов сертифікацію.

    Таким чином, перед стандартами ІБ стоїть непросте завдання – примирити ці три точки зору і створити ефективний механізм взаємодії всіх сторін. Причому «обмеження» потреб хоча б однієї з них приведе до неможливості взаєморозуміння і взаємодії і, отже, не дасть вирішити загальне завдання - створення захищеної системи обробки інформації. Якими узагальненими показниками можна було б охарактеризувати стандарти ІБ? Як такі показники, що мають значення для всіх трьох сторін, зручно використовувати універсальність, гнучкість, гарантованість, реалізовуваність і актуальність [3].

    Універсальність стандарту визначається множиною типів АС і галуззю інформаційних технологій, до яких можуть бути коректно використані його положення. Вона дуже важлива, оскільки зараз інформаційні технології бурхливо розвиваються, архітектура систем постійно удосконалюється, сфера їх застосування розширюється. Такі стандарти повинні враховувати всі аспекти.

    Під гнучкістю стандарту розуміється можливість і зручність його застосування до інформаційних технологій, що постійно розвиваються, і час його «застаріння». Гнучкість може бути досягнута виключно через фундаментальність вимог і критеріїв і їхню інваріантність стосовно механізмів реалізації і технологій створення ІТ-продуктів.

    Гарантованість визначається потужністю передбачених стандартом методів і засобів підтвердження надійності результатів кваліфікаційного аналізу. Як показав досвід, для досягнення поставлених цілей експерти повинні мати можливість обґрунтовувати свої висновки, а розробники мати потребу в механізмах, за допомогою яких вони могли б підтвердити коректність своїх розробок і надати споживачам певні гарантії.

    Реалізовуваність - це можливість адекватної реалізації вимог і критеріїв стандарту на практиці з урахуванням витрат на цей процес. Реалізовуваність багато в чому пов'язана з універсальністю і гнучкістю, але відбиває суто практичні і технологічні аспекти реалізації положень і вимог стандарту.

    Актуальність відбиває відповідність вимог і критеріїв стандарту множині загроз безпеці і новітніх методів і засобів, що використовуються ЗЛ. Ця характеристика, поряд з універсальністю, є однією з найважливіших, тому що здатність протистояти загрозам і прогнозувати їх розвиток фактично є вирішальним чинником при визначенні його придатності. Необхідність таких стандартів була усвідомлена вже давно (звичайно, якщо зважати на розвиток інформаційних технологій), і в цьому напрямі досягнуто істотного прогресу, закріпленого у новому поколінні документів розробки 90-х років. Найбільш значимими стандартами ІБ є (у хронологічному порядку): «Критерії безпеки комп'ютерних систем Міністерства оборони СІЛА», «Європейські критерії безпеки інформаційних технологій», «Керівні документи Держтехкомісії Росії», «Федеральні критерії безпеки інформаційних технологій США», «Канадські критерії безпеки комп'ютерних систем», «Єдині критерії безпеки інформаційних технологій», «Українські критерії безпеки автоматизованих систем». Далі ці документи розглядатимуться з погляду їх структури, вимог і критеріїв, а також оцінки ефективності їх практичного застосування. Тому огляд буде здійснюватися за схемою: мета розробки, основні положення, таксономія і ранжирування вимог і критеріїв. Нагадаємо деякі найважливіші терміни і визначення, що трактуються практично однаково майже у всіх стандартах.

    Політика безпеки (SecurityPolicy).Сукупність норм і правил, що забезпечують ефективний захист системи обробки інформації від заданої множини загроз безпеки.

    Модель безпеки (SecurityModel).Формальне представлення політики безпеки.

    Дискреційне, або довільне, керування доступом (DiscretionaryAccessControl).Керування доступом, здійснюване на підставі заданої адміністратором множини дозволених відносин доступу.

    Мандатне, або нормативне керування доступом (MandatoryAccessControl).Керування доступом, що грунтується на сукупності правил надання доступу, визначених на множині атрибутів безпеки суб'єктів і об'єктів, наприклад залежно від грифа таємності інформації і рівня допуску користувача.

    Ядро безпеки (Trusted Computing Base (TCB)).Сукупність апаратних, програмних і спеціальних компонентів КС, що реалізують функції захисту і забезпечення безпеки.

    Ідентифікація (Identification).Процес розпізнавання сутностей шляхом присвоєння їм унікальних міток (ідентифікаторів).

    Автентифікація (Authentication).Перевірка дійсності ідентифікаторів сутностей за допомогою різних (переважно криптографічних) методів.

    Адекватність (Assurance).Показник реально забезпечуваного рівня безпеки, що відбиває ступінь ефективності і надійності реалізованих засобів захисту і їх відповідностей поставленим завданням (у більшості випадків це завдання реалізації політики безпеки).

    Кваліфікаційний аналіз, кваліфікація рівня безпеки (Evaluation).Аналіз КС з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки. Кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення захищених систем, безпосередньо передує процедурі сертифікації і завершується присвоєнням КС того чи іншого класу чи рівня безпеки.

    Таксономія (Taxonomy).Наукова дисципліна, що займається систематизацією і класифікацією складноорганізованих об'єктів і явищ, які мають ієрархічну будову (від грецького taxis - лад, порядок і nomos - закон). На відміну від звичайної класифікації, що встановлює зв'язки і відношення між об'єктами (ієрархія будується знизу вгору), таксономія базується на декомпозиції явищ і поетапному уточненні властивостей об'єктів (ієрархія будується зверху вниз).

    Прямий вплив (Trusted Path).Принцип організації інформаційної взаємодії (як правило, між користувачем і системою), який гарантує, що передана інформація не піддається перехопленню чи перекручуванню.

    Огляд стандартів із захисту інформації

    Критерії безпеки комп'ютерних систем Міністерства оборони США (Trusted Computer System Evaluation Criteria), що отримали назву «Помаранчева книга» (за кольором обкладинки), були розроблені Міністерством оборони США в 1983 році (перша версія) з метою визначення вимог безпеки, які висуваються до апаратного, програмного і спеціального забезпечення комп'ютерних систем і розробки відповідної методології аналізу політики безпеки, що реалізується в КС військового призначення. У цьому документі були вперше визначені такі поняття, як «політика безпеки», ТСВ (ядро безпеки), тощо. Відповідно до «Помаранчевої книги» безпечна КС - це система, яка підтримує керування доступом до оброблюваної в ній інформації таким чином, що відповідно авторизовані користувачі або процеси, що діють від їх імені, отримують можливість читати, писати, створювати і видаляти інформацію. Запропоновані в цьому документі концепції захисту і набір функціональних вимог послужили основою для формування інших стандартів безпеки інформації.

    У подальшому виявилося, що ряд положень документа застаріли і він був розвинутий (було створено понад чотири десятки допоміжних документів - «Веселкова серія»). Значення «Помаранчевої книги» важко переоцінити - це була перша спроба створення єдиного стандарту безпеки, і це був справжній прорив у галузі безпеки інформаційних технологій. Цей документ став точкою відліку для подальших досліджень і розробок. Основною його відмінністю є орієнтація на системи військового застосування.

    другими були розроблені «Критерії безпеки інформаційних технологій» (Information Technology Security Evaluation Criteria, далі «Європейські критерії»). Вони були розроблені Францією, Німеччиною, Нідерландами та Великобританією і вперше опубліковані в 1991 році. «Європейські критерії» розглядають такі основні завдання інформаційної безпеки; • захист інформації від НСД з метою забезпечення конфіденційності; •забезпечення цілісності інформації шляхом захисту її від несанкціонованої модифікації або знищення; • забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні. У 1992 р. Держтехкомісія (ДТК) при президенті Російської Федерації опублікувала п'ять Керівних документів з питань захисту інформації від НСД: 1. Захист від несанкціонованого доступу до інформації. Терміни 2.Концепція захисту ЗОТ і АС від НСД до інформації. 3.Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимоги до захисту інформації.

    4.Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від НСД до інформації. 5.Тимчасове положення при організації розробки, виготовлення й експлуатації програмних і технічних засобів захисту інформації від НСД в автоматизованих системах і засобах обчислювальної техніки.

    «Федеральні критерії безпеки інформаційних технологій» (Federal Criteria for Information Technology Security) розроблялись як одна із складових «Американського федерального стандарту з обробки інформації» (Federal for Information Processing Standard) і мали замінити «Оранжеву книгу». Розробниками стандарту виступили Національний інститут стандартів і технологій США (National Institute of Standards and Technology - NIST) та Агентство національної безпеки США (National Security Agency - NSA). Перша версія документа була опублікована в грудні 1992 р.

    Цей документ розроблений на основі результатів численних досліджень у галузі забезпечення інформаційних технологій 80-х - початку 90-х років, а також на основі досвіду використання «Помаранчевої книги». Документ являє собою основу для розробки і сертифікації компонентів інформаційних технологій з погляду забезпечення безпеки

    «Канадські критерії безпеки комп'ютерних систем» (Canadian Trusted Computer Product Evaluation Criteria) були розроблені в Центрі безпеки відомства безпеки зв'язку Канади (Canadian System Security Centre Communication Security Establishment) для використання як національного стандарту безпеки комп'ютерних систем. Першу версію стандарту було опубліковано в 1992 р.

    «Єдині критерії безпеки інформаційних технологій» (Common Criteria for Information Technology Security Evaluation) є результатом спільних зусиль авторів європейських «Критеріїв безпеки інформаційних технологій», «Федеральних критеріїв безпеки інформаційних технологій» і «Канадських критеріїв безпеки комп'ютерних систем», спрямованих на об'єднання основних положень цих документів і створення єдиного міжнародного стандарту безпеки інформаційних технологій. Робота над цим наймасштабнішим в історії стандартів інформаційної безпеки проектом почалася в червні 1993 року з метою подолання концептуальних і технічних розбіжностей між указаними документами, їх узгодження і створення єдиного міжнародного стандарту. Перша версія «Єдиних критеріїв» була опублікована в січні 1996 р. Розробниками документа виступили США, Велика Британія, Канада, Франція і Нідерланди. Розробка цього стандарту мала такі основні цілі: • уніфікація національних стандартів у сфері оцінки безпеки IT;

    • підвищення рівня довіри до оцінки безпеки IT;

    скорочення витрат на оцінку безпеки ІТ на основі взаємного визнання сертифікатів.

    Розробка версії 1.0 критеріїв була завершена в січні 1996 року і схвалена ISO (Міжнародна організація зі стандартизації) у квітні 1996 року. Був проведений ряд експериментальних оцінок на основі версії 1.0, а також організоване широке обговорення документа.

    У травні 1998 року була опублікована версія 2.0 документа і на її основі в червні 1999 року був прийнятий міжнародний стандарт ІСО/МЕК 15408. Офіційний текст стандарту видано 1 грудня 1999 року. Зміни, внесені в стандарт на завершальній стадії його прийняття, враховані у версії 2.1, ідентичній початковій основі. Єдині критерії узагальнили зміст і досвід використання «Помаранчевої книги», розвинули рівні гарантованості європейських критеріїв, втілили в реальні структури концепцію профілів захисту «Федеральних критеріїв США».

    У 1997 р. Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України була розроблена перша версія системи нормативних документів із технічного захисту інформації в комп'ютерних системах від НСД. Ця систем містила чотири документи:

    1.Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. 2.Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.

    3. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу. 4.Термінологія в галузі захисту інформації в комп'ютерних системах .

    Правове становище Держспецзв’язку
    Закон України від 23 люто­го 2006 року № 3475-ІУ «Про Державну службу, спеціального зв'язку та захисту інформації Ук­раїни» (що набув чинності з 1 січня 2007 року), а також постанови Кабінету Міністрів України від 25 травня 2006 року № 734 «Питання Адміністрації Державної служби спеціального зв'язку та захисту інформації», від 24 червня 2006 року № 868 «Про затвердження Положен­ня про Адміністрацію Державної служби спеціального зв'язку та захисту інформації» та від 24 червня 2006 року № 869 «Деякі питання організації діяльності Державної служби спеціального зв'язку та захисту інформації» передбачили початок діяльності ДСС з 1 січня 2007 року. ДСС створена на базі Департаменту спеціальних телекомунікаційних систем і захисту інформації, яких до того входив до складу СБ України.

    Суттєвою відмінністю, що заслуговує уваги, є відкритість структури Держспецзв'язку для ши­рокого загалу порівняно з ДСТСЗІ. Якщо про структуру Департаменту та його підрозділів на місцях можна було лише здогадуватись, спираючись на відкриті публікації, а більш детальна інформація містилася у внутрішніх документах, що затверджувалися Головою Служби безпеки України за поданням керівника Департаменту (стаття 13 Указу Президента від 6 жовтня 2000 року № 1120/2000), то відповідні положення, які стосуються Держспецзв'язку можна знайти у розділі II Закону України «Про Державну службу спеціального зв'язку та захисту інформації України».

    Згідно з текстом даного розділу до складу Держспецзв'язку входять:

    - спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації; - регіональні органи;

    - територіальні підрозділи;

    - навчальні заклади;

    - медичні, санітарно-курортні та інші заклади;

    - науково-дослідні установи;

    - науково-виробничі установи;

    - державні підприємства, діяльність яких пов'язана із забезпеченням виконання покладених на Держспецзв'язку завдань.

    Регіональні органи Державної служби спеціального зв'язку та захисту інформації утворюються в Автономній Республіці Крим, областях, містах Києві та Севастополі рішенням спеціально уповноваженого центрального органу виконавчої влади з питань організації спеціального зв'язку та захисту інформації. Територіальні підрозділи створюються для забезпечення урядовим зв'язком Президента України, Голови Верховної Ради України та Прем'єр-міністра України. Керівництво Державною службою спеціального зв'язку та захисту інформації України здійснює Голова Держспецзв'язку України, який очолює спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації та несе особисту відповідальність за виконання покладених на Державну службу спеціального зв'язку та захисту інформації України завдань (стаття 6 Закону України «Про Державну службу спеціального зв'язку та захисту інформації України»).

    Голова Держспецзв'язку призначається на посаду та звільняється з посади Кабінетом Міністрів України за поданням Прем'єр-міністра України.

    Заступники Голови Держспецзв'язку України призначаються на посади та звільняються з посад Кабінетом Міністрів України за поданням Голови Держспецзв'язку України.

    Загальна чисельність створюваної структури, згідно з постановою Кабінету Міністрів України № 869 від 24 червня 2006 року, складає 8250 осіб (з них 7400 осіб рядового і начальницького складу). У Держспецзв'язку України відсоток осіб рядового і начальницького складу (тобто таких, що мають військові звання) - близько 90%.

    Що стосується правового положення осіб рядового та начальницького складу Держспецзв'язку, згідно зі статтею 10 Закону України «Про Державну службу спеціального зв'язку та захисту інформації України», до особового складу Держспецзв'язку України належать особи рядового і начальницького складу, які проходять службу за контрактом, державні службовці та інші працівники, з якими укладається трудовий договір. Причому особам рядового і начальницького складу встановлюються військові звання від рядового Держспецзв'язку України і аж до генерал-лейтенанта тієї ж таки служби.

    Наступним важливим, питаннямє правове становище Адміністрації Держспецзв'язку, яка, відповідно до Постанови Кабінету Міністрів України від 24 червня 2006 року № 868, є спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації.

    Даний орган виконавчої влади був створений 25 травня 2006 року постановою КМУ № 734 на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.

    Свідченням відкритості Держспецзв'язку є той факт, що, на відміну від ДСТСЗІ, підрозділи Адміністрації Державної служби спеціального зв'язку та захисту інформації у повному обсязі перераховані у доступній для широкого загалу постанові Кабінету Міністрів України від 24 червня 2006 року № 869. Згідно з даним документом, передбачено наступну організаційну структуру вказаного державного органу.

    1. Департамент забезпечення діяльності Голови Служби.

    2. Департамент організації урядового зв'язку.

    3. Департамент урядового польового зв'язку.

    4. Департамент регулювання діяльності у сфері криптографічного захисту інформації.

    5. Департамент експертизи у сфері криптографічного захисту інформації.

    6. Департамент регулювання діяльності у сфері технічного захисту інформації.

    7. Департамент стратегії розвитку спеціальних інформаційно-телекомунікаційних систем.

    8. Департамент з питань захисту інформації в інформаційно-телекомунікаційних системах.

    9. Департамент з питань протидії технічним розвідкам.

    10. Департамент безпеки інформаційно-теле-комунікаційних систем.

    11. Департамент державного контролю за станом криптографічного та технічного захисту інформації.

    12. Департамент кадрового забезпечення.

    13. Департамент господарського та матеріально-технічного забезпечення.

    14. Фінансово-економічний департамент.

    15. Управління контролю безпеки урядового зв'язку.

    16. Управління з питань використання радіочастотного ресурсу.

    17. Контрольно-ревізійне управління.

    18. Юридичне управління.

    19. Режимно-секретне управління.

    20. Мобілізаційний відділ.

    21. Відділ внутрішньої безпеки.

    22. Сектор технічного і пожежного нагляду та охорони праці.

    23. Сектор метрології.

    При цьому досить чітко прослідковується розподіл підрозділів на функціональні (такі, що забезпечують виконання функцій та повноважень, спрямованих на досягнення основної мети діяльності Адміністрації Держспецзв'язку) та обслуговуючі (такі, що виконують роботу, пов'язану із забезпеченням належних умов функціонування Адміністрації). Зокрема, створення департаментів забезпечення діяльності Голови Служби, кадрового забезпечення, господарського та матеріально-технічного забезпечення, фінансово-економічного, а також юридично¬го, контрольно-ревізійного, режимно-секретного управлінь та мобілізаційного відділу реалізовано відповідно до вимог чинної нормативної бази з питань упорядкування структури апарату центральних органів виконавчої влади.

    Окремої заслуговує факт створення у якості окремих підрозділів департаментів регулювання діяльності у сфері технічного захисту інформації, з питань захисту інформації в інформаційно-телекомунікаційних системах, безпеки інформаційно-телекомунікаційних систем. Можемо констатувати, що нині заходи із захисту інформації в інформаційних (інформаційно-телекомунікаційних) системах все більше виділяються у окремий напрям діяльності поряд із технічним захистом мовної та інформації на інших видах носіїв крім електронних. Про зростаючу увагу до даного напряму робіт свідчить також значна кількість нормативних документів, розроблена свого часу Департаментом і присвячена виключно даним питанням. Такі ж тенденції прослідковуються і у публікаціях та наукових розробках з питань захисту інформації за останні три-чотири роки.

    Поряд з цим, необхідність створення окремо департаментів з питань захисту інформації в інформаційно-телекомунікаційних системах та безпеки інформаційно-телекомунікаційних систем, на сьогодні залишається досить спірним питанням: на наше переконання, якщо виходити з назви вказаних департаментів, їх функції мають бути повністю ідентичні. Слід нагадати, що до цього часу у вчених колах точаться суперечки з приводу обрання назви для діяльності з протидії протиправним посяганням на інформацію у інформаційних та автоматизованих системах: або ж таку діяльність слід позначати як «захист інформації», або ж як «забезпечення інформаційної безпеки». Правові засади діяльності Адміністрації Держспецзв'язку містяться у відповідному Положенні, затвердженому постановою Кабінету Міністрів України від 24 червня 2006 року № 868.

    Адміністрація Держспецзв'язку є центральним органом виконавчої влади зі спеціальним статусом, діяльність якого спрямовується і координується Кабінетом Міністрів України. З питань, пов'язаних із забезпеченням національної безпеки України Адміністрація підпорядковується і підконтрольна Президентові України. Відповідно до покладених завдань, Адміністрація реалізує ряд функцій, які ми умовно згрупували до чотирьох блоків: основні функції, функції центрального органу виконавчої влади, функції із забезпечення діяльності Держспецзв'язку та інші функції (рисунок 1).

    До основних функцій (спрямованих на досягнення основної мети діяльності Держспецзв'язку) включено:

    1. Проведення робіт, що входять до компетенції Держспецзв'язку. У межах даного напряму діяльності Адміністрація:

    - забезпечує надійне функціонування, безпе-ку та розвиток державної системи урядового зв'язку, зокрема її готовності до роботи в особ-ливий період та в разі виникнення надзвичайної ситуації;

    - забезпечує в установленому порядку урядовим зв'язком Президента України, Голову Верховної Ради України та Прем'єр-міністра України в місцях їх постійного і тимчасового перебування, а також посадових осіб органів державної влади, органів місцевого самоврядування, ор¬ганів військового управління, керівників підприємств, установ і організацій;

    - впроваджує комплексні системи захисту інформації на об'єктах інформаційної'діяльності та в інформаційно-телекомунікаційних системах закордонних дипломатичних установ України;

    - здійснює заходи щодо забезпечення безпеки і функціонування урядового зв'язку із закордонними дипломатичними установами України;

    - здійснює заходи щодо створення, розвитку та забезпечення функціонування і безпеки Національної системи конфіденційного зв'язку та виконує функції з її оперативно-технічного управління;

    - визначає порядок проведення і проводить державну експертизу комплексних систем за-хисту інформації в інформаційно-телеко-мунікаційних системах, у сфері криптографічного та технічного захисту інформації та сер¬тифікації засобів криптографічного та технічного захисту інформації;

    - організовує розроблення, виготовлення та постачання ключових документів до засобів криптографічного захисту інформації, що містить державну таємницю, та конфіденційної інформації, що є власністю держави.

    2. Функції державного контролю. У межах даного напряму діяльності Адміністрація Держспецзв'язку:

    - здійснює державний контроль за станом криптографічного та технічного захисту інфор-мації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, в органах державної влади, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форми власності, у тому числі в закордонних дипломатичних установах України, миротворчих контингентах України за кордоном, місцях постійного і тимчасового пе-ребування вищих посадових осіб держави, а також під час діяльності на території України іно-земних інспекційних груп відповідно до міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України;

    - здійснює державний контроль за додержанням вимог безпеки у процесі розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, проведення тематичних досліджень, експертизи, ввезення, виве-зення та знищення криптографічних систем і за-собів криптографічного захисту інформації та обладнання спеціального зв'язку;

    - здійснює державний контроль за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису;

    - виконує відповідно до Закону України «Про електронний цифровий підпис» функції контролюючого органу.

    3. Функції державного регулювання. З даного напряму діяльності Адміністрація:

    - розробляє і здійснює заходи щодо розвитку систем криптографічного та технічного захисту інформації;

    - розробляє порядок та вимоги щодо: захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

    використання інформаційно-телекомунікаційних систем, у тому числі загального користування, органами державної влади, органами місцевого са-моврядування, підприємствами, установами і організаціями незалежно від форми власності, які займаються збиранням, обробленням, збереженням та передачею інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

    - здійснює методичне керівництво та коор-динацію діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форми власності у сфері крип-тографічного та технічного захисту інформації, а також з питань, пов'язаних із запобіганням вчиненню порушень безпеки інформації в інформаційно-телекомунікаційних системах, виявленням та усуненням наслідків інших не-санкціонованих дій щодо державних інфор-маційних ресурсів в інформаційно-телекомунікаційних системах;

    - розробляє критерії та порядок оцінювання стану захищеності державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, організовує та здійснює оцінювання стану їх захищеності, на¬дає відповідні рекомендації;

    - видає відповідно до вимог законодавства ліцензії на провадження господарської діяльності у сфері криптографічного та технічного захисту інформації, дозволи органам держав-ної влади на проведення робіт з технічного за¬хисту інформації для власних потреб, а також здійснює контроль за виконанням ліцензійних умов та умов проведення робіт для власних потреб;

    - координує разом з центральним органом виконавчої влади у сфері стандартизації, метрології та сертифікації роботи з проведення сертифікації засобів криптографічного та технічного захисту інформації;

    - видає атестат відповідності Комплексної системи захисту інформації, передбачений Законом України «Про закупівлю товарів, робіт і послуг за державні кошти», за наявності позитивного висновку з питань державних за-купівель, що надається згідно із статтею 17-3 зазначеного Закону;

    - здійснює технічне регулювання у сфері за-хисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації, ор¬ганізовує та проводить оцінку відповідності, роз¬робляє в установленому порядку стандарти, технічні регламенти і технічні умови;

    - встановлює порядок розроблення та прийняття нормативних документів щодо технічного захисту інформації органами державної влади, органами місцевого самоврядування, військовими формуваннями, підприємствами, установами і організаціями незалежно від форми власності, діяльність яких пов'язана з інформацією, яка є власністю держави, або інформацією з обмеженим доступом, вимога щодо захисту якої встановлена законом;

    - визначає переліки технічних засобів загального призначення, дозволених для забезпечення технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої вста¬новлена законом.

    4. Дорадчі функції. У межах даного напряму діяльності Адміністрація Держспецзв'язку:

    - готує пропозиції щодо визначення загальної стратегії та пріоритетних напрямів діяльності у сфері захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації;

    - погоджує проекти нормативно-правових актів з питань:

    оперативно-технічного управління телеко-мунікаційними мережами, використання технічних засобів телекомунікацій і ресурсів телекомунікаційних мереж операторів телеко-мунікацій, центральних органів виконавчої вла-ди, підприємств, установ і організацій незалежно від форми власності, що стосуються забезпечення функціонування державної системи урядового зв'язку та Національної системи конфіденційного зв'язку, у тому числі в умовах надзвичайного та воєнного стану, а також у разі виникнення надзвичайної ситуації; захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інфор-мації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також здійснення міжнародних передач криптографічних систем, засобів криптографічного та технічного захисту інформації, зокрема наявних у складі озб-роєння, військової та спеціальної техніки;

    - погоджує проекти створення інформаційно-телекомунікаційних систем, в яких оброблятиметься інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, організовує проведення їх експертної оцінки і визначає можливість введення в експлуатацію;

    - погоджує технічні завдання на проектування, будівництво і реконструкцію особливо важливих об'єктів, розроблення зразків військової та спеціальної техніки, критичних і небезпечних технологій, у процесі експлуатації або застосування яких збирається, обробляється, зберігається, передається чи приймається інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, та здійснює контроль за їх виконанням;

    - погоджує порядок проведення органами виконавчої влади, що мають дозвіл на провадження діяльності з технічного захисту інформації для власних потреб, державної експертизи комплексних систем захисту інформації в інформаційно-телекомунікаційних системах підприємств, установ і організацій, що належать до сфери їх управління;

    - погоджує нормативні документи, відповідно до яких виготовляються засоби забезпечення технічного захисту інформації та які підлягають реєстрації в центральному органі виконавчої влади у сфері стандартизації, метрології та сертифікації;

    - бере участь у межах своїх повноважень у погодженні питань щодо розміщення на території України дипломатичних представництв і консульських установ іноземних держав.

    5. Аналітичні функції. З даного напряму діяльності Адміністрація Держспецзв'язку:

    - накопичує та аналізує дані про вчинення та/або спроби вчинення несанкціонованих дій щодо державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, а також про їх наслідки, інформує правоохоронні органи для вжиття заходів із запобігання та припинення злочинів у зазначеній сфері;

    - розробляє моделі технічних розвідок шляхом збирання та аналізу інформації про існуючі системи і засоби технічної розвідки, тактику та методи їх застосування, а також перспективи розвитку; надає рекомендації орга¬нам державної влади, органам місцевого самоврядування, військовим формуванням, підприємствам, установам і організаціям для оцінки загроз та вжиття відповідних заходів з метою захисту інформації;

    - подає на розгляд Президентові України, Голові Верховної Ради України і Прем'єр-міністрові України одержані за результатами державного контролю аналітичні матеріали щодо стану захисту державних інформаційних ре¬сурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації в державі, розробляє рекомендації щодо його поліпшення.

    У ході реалізації інших основних функцій Адміністрація:

    - відповідає за реалізацію державної політики у сфері захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації;

    - виконує відповідно до Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» обов'язки уповноваженого органу у сфері захисту інформації в інформаційно-телекомунікаційних системах.

    У якості центрального органу виконавчої влади Адміністрація Держспецзв'язку:

    - забезпечує в межах сврїх повноважень реалізацію державної політики у сфері охорони державної таємниці, здійснює контроль за її збереженням у підрозділах Адміністрації, підпорядкованих органах та на підприємствах, що належать до сфери її управління;

    - організовує участь Держспецзв'язку у виконанні завдань територіальної оборони, а також здійсненні заходів, спрямованих на підтримання правового режиму воєнного та надзвичайного стану відповідно до закону;

    - забезпечує в межах своїх повноважень виконання Держспецзв'язку завдань з мобілізаційної підготовки та мобілізаційної готовності.

    До функцій із забезпечення діяльності Держспецзв'язку належать:

    1. Господарські функції. У межах даного напряму діяльності Адміністрація Держспецзв'язку:

    - виступає державним замовником з оборонного замовлення та замовником закупівлі товарів, робіт і послуг за державні кошти;

    - здійснює контроль якості та приймання продукції, інших товарів військового призначення, які виготовляються (модернізуються) на замовлення Держспецзв'язку;

    - виконує відповідно"до законодавства функції з управління об'єктами державної власності, у тому числі державними корпоративними правами;

    - закріплює майно, що належить Держспецзв'язку, за підпорядкованими органа-ми на праві оперативного управління;

    - виступає замовником будівництва житла та інших об'єктів Держспецзв'язку, вживає заходів до їх експлуатації, реконструкції та ремонту.

    2. Управлінські функції. За даним напрямом Адміністрація:

    - розробляє наукові і науково-технічні програми за напрямами діяльності Держспецзв'язку та забезпечує їх виконання;

    - утворює, реорганізовує і ліквідує відповідно до законодавства в межах загальної структури, чисельності особового складу Держспецзв'язку і виділених коштів регіональні органи, територіальні підрозділи, заклади та установи Держспецзв'язку, здійснює управління ними, матеріальне та інше забезпечення;

    - забезпечує бойову та мобілізаційну го-товність підпорядкованих органів;

    - організовує, координує та контролює діяльність підприємств, що належать до сфери її управління.

    3. Кадрові функції. У межах даного напряму діяльності Адміністрація Держспецзв'язку:

    - організовує та здійснює разом з централь¬ним органом виконавчої влади у галузі освіти і науки науково-методичне управління підготовкою кадрів у сфері криптографічного та технічного захисту інформації;

    - організовує підготовку, перепідготовку і підвищення кваліфікації особового складу Держспецзв'язку, виконує функції державного замовника на підготовку кадрів у вищих навчальних закладах;

    - визначає критерії професійної придатності, фахової підготовленості та інші вимоги до осіб рядового і начальницького складу, державних служ¬бовців та інших працівників Держспецзв'язку;

    - забезпечує відповідно до законодавства правовий і соціальний захист осіб рядового і начальницького складу, державних службовців та інших працівників Держспецзв'язку і членів їх сімей.

    Нарешті пунктом 50 статті 4 Положення про Адміністрацію Держспецзв'язку та захисту інформації визначено, що Адміністрація, крім вищеперерахованих, виконує й інші функції, що випливають з покладених на неї завдань.
    Контрольні питання розділ 3
    1   2   3   4   5   6   7   8   9   ...   15


    написать администратору сайта