Комплексні системи захисту інформації (КСЗІ)

Ком­пле­ксна систе­ма захи­сту інфор­ма­ції (КСЗІ) — це систе­ма техні­чних і нете­хні­чних захо­дів, що дозво­ля­ють запо­біг­ти або ускла­дни­ти можли­вість досту­пу до інфор­ма­ції, обро­блю­ва­ної авто­ма­ти­зо­ва­ним спосо­бом в інфор­ма­цій­но-теле­ко­му­ні­ка­цій­них систе­мах (ІТС).

Істо­тна части­на про­блем забез­пе­че­н­ня захи­сту такої інфор­ма­ції може бути вирі­ше­на відо­ми­ми пра­во­ви­ми та орга­ні­за­цій­ни­ми захо­да­ми, однак, вра­хо­ву­ю­чи роз­ви­ток інфор­ма­цій­них техно­ло­гій, наяв­на тен­ден­ція зро­ста­н­ня необ­хі­дно­сті засто­су­ва­н­ня техні­чних захо­дів і засо­бів її захисту.

Осно­ви орга­ні­за­ції та поря­док вико­на­н­ня робіт із захи­сту інфор­ма­ції в ІТС наве­де­но в НД ТЗІ 3.7–003-05, де визна­че­но послі­дов­ність вико­на­н­ня та типо­вий зміст робіт кожно­го з ета­пів ство­ре­н­ня КСЗІ.

Насам­пе­ред Замов­ник має прийня­ти обґрун­то­ва­не ріше­н­ня про необ­хі­дність ство­ре­н­ня КСЗІ.

Для орга­ні­за­ції робіт зі ство­ре­н­ня КСЗІ в ІТС Замов­ни­ком має бути ство­ре­на слу­жба захи­сту інфор­ма­ції (СЗІ), поря­док ство­ре­н­ня, зав­да­н­ня, фун­кції, стру­кту­ра та пов­но­ва­же­н­ня якої визна­че­но в НД ТЗІ 1.4–001-2000. СЗІ може бути ство­ре­на і на більш пізніх ета­пах робіт, але не пізні­ше ета­пу під­го­тов­ки КСЗІ до вве­де­н­ня в дію.

Насту­пний етап ство­ре­н­ня КСЗІ — обсте­же­н­ня сере­до­вищ фун­кціо­ну­ва­н­ня ІТС, до яких нале­жать обчи­слю­валь­на систе­ма ІТС, інфор­ма­цій­не сере­до­ви­ще, техно­ло­гія оброб­ки інфор­ма­ції, сере­до­ви­ще кори­сту­ва­чів, фізи­чне середовище

Робо­ти цьо­го ета­пу можуть бути вико­на­ні спе­ці­а­лі­ста­ми СЗІ Замов­ни­ка, різно­го рів­ня адмі­ні­стра­то­ра­ми ІТС само­стій­но, однак, вра­хо­ву­ю­чи наяв­ний досвід ДП «Укр­спе­цте­хні­ка систе­ма», саме на цьо­му ета­пі ство­ре­н­ня КСЗІ бажа­на участь Вико­нав­ця робіт (осо­бли­во Вико­нав­ця робіт із захи­сту інфор­ма­ції від вито­ку кана­ла­ми фізи­чно­го сере­до­ви­ща) у визна­чен­ні впли­ву еле­мен­тів фізи­чно­го сере­до­ви­ща на захист інформації.

За резуль­та­та­ми обсте­же­н­ня сере­до­вищ фун­кціо­ну­ва­н­ня ІТС затвер­джу­є­ться пере­лік об’єктів захи­сту (з ура­ху­ва­н­ням реко­мен­да­цій від­по­від­них НД ТЗІ) роз­ро­бля­ю­ться від­по­від­ні доку­мен­ти, визна­че­ні в НД ТЗІ 3.7–003-05, необ­хі­дні для фор­му­ва­н­ня такти­ко-техні­чно­го зав­да­н­ня (ТТЗ) на ство­ре­н­ня КСЗІ, що є насту­пним ета­пом ство­ре­н­ня КСЗІ.

В ТТЗ визна­ча­ю­ться зав­да­н­ня захи­сту інфор­ма­ції в ІТС, мета ство­ре­н­ня КСЗІ, варі­ант вирі­ше­н­ня задач захи­сту, основ­ні напря­ми забез­пе­че­н­ня захи­сту, здій­сню­є­ться ана­ліз ризи­ків і визна­ча­є­ться пере­лік сут­тє­вих загроз, визна­ча­ю­ться загаль­на стру­кту­ра та склад КСЗІ, вимо­ги до можли­вих захо­дів, мето­дів та засо­бів захи­сту інфор­ма­ції, допу­сти­мі обме­же­н­ня щодо засто­су­ва­н­ня пев­них захо­дів і засо­бів захи­сту, загаль­ні вимо­ги до спів­від­но­ше­н­ня та меж засто­су­ва­н­ня в ІТС орга­ні­за­цій­них, інже­нер­но-техні­чних, техні­чних, кри­пто­гра­фі­чних та інших захо­дів захи­сту інфор­ма­ції, що ввій­дуть до скла­ду КСЗІ.

Якщо Замов­ник в яко­сті Роз­ро­бни­ка КТЗІ виби­рає ДП «Укр­спе­цте­хні­ка систе­ма», то наші спе­ці­а­лі­сти про­во­дять деталь­не вивче­н­ня об’єкта, на яко­му ство­рю­є­ться КСЗІ, уто­чню­ють нада­ні разом з ТТЗ пере­лі­ки загроз та набір можли­вих точок потен­цій­них пору­шень, а також, в разі край­ньої необ­хі­дно­сті, вико­ну­ють дода­тко­ві пошу­ко­ві нау­ко­во-дослі­дні робо­ти, пов’язані з визна­че­н­ням шля­хів реа­лі­за­ції зав­да­н­ня на ство­ре­н­ня КСЗІ з оформ­ле­н­ням від­по­від­них про­то­ко­лів та звітів.

При цьо­му наши­ми спе­ці­а­лі­ста­ми можуть бути нада­ні аль­тер­на­тив­ні варі­ан­ти стру­кту­ри КСЗІ з оцін­кою пере­ваг і недо­лі­ків кожно­го варі­ан­ту, запро­по­но­ва­ний вибір най­більш опти­маль­но­го варі­ан­ту стру­кту­ри КСЗІ.

Також на цьо­му ета­пі здій­сню­є­ться вибір рішень («Полі­ти­ка без­пе­ки») з про­ти­дії всім сут­тє­вим загро­зам, фор­му­ва­н­ня загаль­них вимог, пра­вил, обме­жень, реко­мен­да­цій тощо, які регла­мен­ту­ють вико­ри­ста­н­ня захи­ще­них техно­ло­гій оброб­ки інфор­ма­ції в ІТС, окре­мих захо­дів і засо­бів захи­сту інфор­ма­ції, діяль­ність кори­сту­ва­чів всіх категорій.

Звіт про закін­че­н­ня робіт на цьо­му ета­пі пере­да­є­ться Замов­ни­ку для вико­ри­ста­н­ня його змі­сту при фор­му­ван­ні техні­чно­го зав­да­н­ня (ТЗ) на ство­ре­н­ня КСЗІ в ІТС.

(ТЗ) на ство­ре­н­ня КСЗІ в ІТС є основ­ним заса­дним орга­ні­за­цій­но-техні­чним доку­мен­том, що, згі­дно з НД ТЗІ 3.7–001-99, визна­чає вимо­ги із захи­сту обро­блю­ва­ної в ІТС інфор­ма­ції, поря­док ство­ре­н­ня КСЗІ, поря­док про­ве­де­н­ня всіх видів випро­бу­вань КСЗІ та вве­де­н­ня її в екс­плу­а­та­цію в скла­ді ІТС.

В зале­жно­сті від типу ІТС та видів і об’ємів обро­блю­ва­ної в ІТС інфор­ма­ції, вико­на­н­ня про­е­кту КСЗІ на осно­ві ТЗ на ство­ре­н­ня КСЗІ в зале­жно­сті від ста­дії ство­ре­н­ня ІТС також може мати від­по­від­ні ета­пи — ескі­зний про­ект, техні­чний про­ект, робо­чий про­ект, але, вра­хо­ву­ю­чи реа­лії сьо­го­де­н­ня, Замов­ник вико­ри­сто­вує поло­же­н­ня при­мі­тки в 6.4.1.3 НД ТЗІ 3.7–001-99, а тому зазви­чай вка­зує в ТЗ «Техно­ро­бо­чий про­ект КСЗІ», що озна­чає допу­сти­ме вилу­че­н­ня ета­пу «Ескі­зний про­ект КСЗІ» і об’єднання ета­пів «Техні­чний про­ект КСЗІ» і «Робо­чий про­ект КСЗІ» в один етап.

Незва­жа­ю­чи на тра­ди­цій­но сти­слі стро­ки вико­на­н­ня робіт зі ство­ре­н­ня КСЗІ (в пере­ва­жній біль­шо­сті дого­во­рів між Замов­ни­ком і Вико­нав­цем ство­рю­ва­них КСЗІ май­же зав­жди не вра­хо­ву­ю­ться тер­мі­ни узго­дже­н­ня поча­тко­вих та кін­це­вих доку­мен­тів в дер­жав­них регу­лю­ю­чих орга­нах) ДП «Укр­спе­цте­хні­ка систе­ма», маю­чи нала­го­дже­ні діло­ві сто­сун­ки з роз­ро­бни­ка­ми спе­ці­а­лі­зо­ва­них про­грам у сфе­рі НСД та захи­сту даних, буду­чи виро­бни­ком пра­кти­чно пов­но­го необ­хі­дно­го набо­ру засо­бів техні­чно­го захи­сту інфор­ма­ції (ЗТЗІ) серії «БАЗАЛЬТ» і вико­нав­ши деся­тки про­е­ктів як КСЗІ, так і КТЗІ (як скла­до­вої части­ни КСЗІ), зав­жди забез­пе­чу­ва­ла вико­на­н­ня дого­вір­них зобов’язань перед Замовником.

Роз­ро­бле­на і оформ­ле­на за пра­ви­ла­ми ЄСКД в ДП «Укр­спе­цте­хні­ка систе­ма» та затвер­дже­на в уста­нов­ле­но­му поряд­ку робо­ча доку­мен­та­ція КСЗІ за пере­лі­ком, вка­за­ним у від­по­від­но­му роз­ді­лі ТЗ, містить необ­хі­дні ріше­н­ня щодо реа­лі­за­ції техно­ро­бо­чо­го про­е­кту КСЗІ, вико­на­н­ня мон­та­жних робіт з роз­мі­ще­н­ня еле­мен­тів КТЗІ, забез­пе­че­н­ня управ­лі­н­ня КСЗІ і вза­є­мо­дії її ком­по­нен­тів, забез­пе­че­н­ня про­це­дур інста­ля­ції та іні­ці­а­лі­за­ції КСЗІ, нала­го­дже­н­ня меха­ні­змів роз­ме­жу­ва­н­ня досту­пу кори­сту­ва­чів до інфор­ма­ції та апа­ра­тних ресур­сів ІТС, кон­тро­лю за дія­ми кори­сту­ва­чів, фор­му­ва­н­ня та акту­а­лі­за­ції баз даних захи­сту, кон­тро­лю цілі­сно­сті про­грам­но­го забез­пе­че­н­ня та баз даних захи­сту, а також для тесту­ва­н­ня, про­ве­де­н­ня пуско­на­ла­го­джу­валь­них робіт і випро­бу­вань КСЗІ.

Екс­плу­а­та­цій­на доку­мен­та­ція КСЗІ за пере­лі­ком, вка­за­ним у від­по­від­но­му роз­ді­лі ТЗ, вклю­чає опис поряд­ку фун­кціо­ну­ва­н­ня КСЗІ та наста­но­ви (інстру­кції), які регла­мен­ту­ють забез­пе­че­н­ня цьо­го поряд­ку обслу­го­ву­ю­чим пер­со­на­лом і кори­сту­ва­ча­ми впро­довж жит­тє­во­го циклу ІТС.