Визначення, мета, завдання та види захисту інформації 3 страница

У державі створюється, розробляється або планується розробити декілька відомчих та міжвідомчих систем: Міністерства транспорту,

Міністерства фінансів, Міністерства енергетики та деяких інших міністерств та відомств України. Але є й такі, що не мають серйозної автоматизованої систем Більшість корпоративних автоматизованих систем відрізняються з огляду як на апаратне, так і на програмне забезпечення. Особливо це стосується прикладних задач. Тому на сьогодні забезпечення взаємообміну між органами державної влади оперативною інформацією через її неструктурованість та неузгодже­ність форматів є досить складною проблемою. Загальна інформація здебільшого надходить в неформалізованому вигляді, у різних фі­зичних формах (від електронних відомостей до друкованих видань).

Усе це спричинено, зокрема, повільним освоєнням перспективних IT, до того ж ускладненим через недостатність та неповноту системи гармонізованих з міжнародними стандартів у сфері інформатизації, через що різко зменшується конкурентоспроможність вітчизняних технічних та програмних продуктів на світовому ринку. Нині в Україні кількість стандартів з IT становить близько 4 % від загальної кількості державних стандартів, тоді як в інших країнах ця частка пе­ревищує 10 %. До того ж темпи розвитку міжнародної стандартизації в галузі IT випереджають інші галузі і щорічно зростають на 10-15 %. На сьогодні Міжнародною організацією зі стандартизації (ISO) роз­роблено та прийнято більше 1400 міжнародних стандартів з IT, стіль­ки ж розробляється. А в Україні за період з 1992 по 1997 роки роз­роблено та впроваджено лише близько 100 державних стандартів з IT, переважно термінологічних. Таку негативну тенденцію відставання України від міжнародного рівня розвитку стандартизації в сфері інфор­матизації треба виправляти.

Тому важливим фактором подолання відставання України в галузі інформатизації мас бути державна політика інформатизації України, відповідна Національна програма інформатизації (далі - Програма) та ефективний механізм її реалізації. Необхідно здійснити комплекс масштабних і ресурсоємних завдань (проектів), які у своїй сукупності повинні скласти основу Програми».

Далі в третьому розділі подаються загальні принципи державної політики у сфері інформатизації.

Державна політика інформатизації формується як складова со­ціально-економічної політики держави в цілому і спрямовується на раціональне використання промислового та науково-технічного потен­ціалу, матеріально-технічних і фінансових ресурсів для створення сучасної інформаційної інфраструктури в інтересах вирішення комп­лексу поточних та перспективних завдань розвитку України як незалеж­ної демократичної держави з ринковою економікою.

Для прискорення процесу інформатизації, що потребує відповід­ної концентрації ресурсів, в основу державної політики повинно бути покладене державне регулювання процесів інформатизації на основі поєднання принципів централізації і децентралізації, саморозвитку, самофінансування та самоокупності, державної підтримки через сис­тему пільг, кредитів, прямого бюджетного фінансування.

Бюджетні кошти повинні бути спрямовані насамперед на реалізацію загальнодержавних проектів інформатизації:

- створення національної інформаційно-телекомунікаційної сис­теми;

- розвиток системи національних інформаційних ресурсів;

- інформатизація стратегічних напрямів розвитку економіки дер­жави, її безпеки та оборони, соціальної сфери.

Державне регулювання має забезпечити системність, комплекс­ність і узгодженість розвитку інформатизації країни з використанням при цьому традиційних та нетрадиційних форм і методів супроводу та контролю.

Пріоритети мають бути не постійними, а визначатися на певний період і коригуватися залежно від ситуації.

Першочергові пріоритети надаються створенню нормативно-правової бази інформатизації, включаючи систему захисту авторсь­ких прав і особистої інформації, розробці національних стандартів у галузі інформатизації; формуванню телекомунікаційної інфраструк­тури, перш за все оптимізації діючої мережі магістралей передачі даних, будівництву нових сучасних каналів, включаючи волоконно-оптичні та супутникові системи зв'язку; формуванню комп'ютерної мережі освіти, науки та культури як частини загальносвітової мережі Internet; здійсненню заходів інформаційної безпеки.

Іншим не менш важливим інформаційним законом є Закон України «Про національну програму інформатизації України» [25]. Він також був прийнятий 4 лютого 1998 року. Цей Закон визначає загальні засади формування, виконання та коригування Національної програ­ми інформатизації.

Якими б складними не були проблеми інформатизації, все ж не­обхідно займатися і забезпеченням інформаційної безпеки. Найваж­ливішим у цьому напрямку є, звичайно, «Закон про захист інформації в автоматизованих системах», про який більш детально йтиметься нижче, а тут розглянемо основні поняття та напрямки розвитку захисту інформації в Україні, користуючись системою норматив­них документів із захисту інформації [17-20].

Нагадаємо, що одним з основних понять нашого розгляду є авто­матизована система (АС). АС - це організаційно-технічна система, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію (рис. 1).

Розрізняють два основних напрями технічного захисту інформації в АС - це захист АС і оброблюваної інформації від несанкціоновано­го доступу (НСД) і захист інформації від витоку технічними канала­ми (оптичними, акустичними, захист від витоку каналами побічних електромагнітних випромінювань і наведень (ПЕМВН)).

З точки зору методології в проблемі захисту інформації від НСД виділяють два напрями:

- забезпечення й оцінка захищеності інформації в АС, що функціо­нують;

- реалізація та оцінка засобів захисту, що входять до складу ком­понентів, з яких будується обчислювальна система АС (програм­них продуктів, засобів обчислювальної техніки і т. ін.), поза кон­кретним середовищем експлуатації.

Кінцевою метою всіх заходів щодо захисту інформації є забезпе­чення безпеки інформації під час її обробки в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу (ЖЦ) АС, на всіх технологічних етапах обробки інформації і в усіх режимах функ­ціонування. ЖЦ АС включає розробку, впровадження, експлуатацію та виведення з експлуатації.

У випадку, якщо в АС планується обробка інформації, порядок обробки і захисту якої регламентується законами України або інши­ми нормативно-правовими актами (наприклад, інформація, що стано­вить державну таємницю), тооцесі експертизи оцінюється СЗІ АС у цілому, в тому числі ви­конується й оцінка реалізованих у комп'ютерній системі (КС) засобів захисту. Засоби захисту від НСД, що реалізовані в КС, слід розглядати як підсистему захисту від НСД у складі СЗІ. Характеристики фізичного середовища, персоналу, оброблюваної інформації, організаційної під­системи істотно впливають на вимоги до функцій захисту, що реалі­зуються КС.

Обчислювальна система АС являє собою сукупність апаратних засобів, для обробки такої інформації в цій АС необхідно мати дозвіл відповідного уповноваженого державного органу. Підставою для видачі такого дозволу є висновок експертизи АС, тобто перевірки відповідності реалізованої СЗІ встановленим нормам.

Якщо порядок обробки і захисту інформації не регламентується законодавством, експертиза може виконуватись в необов'язковому порядку за поданням замовника (власника АС або інформації).

У прпрограмних засобів, призначених для обробки інформації. Кожний із компонентів ОС може розроблятись і надходити на ринок як незалежний продукт. Кожний з цих компонентів може реалізову­вати певні функції захисту інформації, оцінка яких може виконува­тись незалежно від процесу експертизи АС і має характер сертифіка­ції. За підсумками сертифікації видається сертифікат відповідності реалізованих засобів захисту певним вимогам (критеріям). Наявність сертифіката на обчислювальну систему АС або її окремі компоненти може полегшити процес експертизи АС.

Під КС слід розуміти представлену для оцінки сукупність апара­тури, програмно-апаратних засобів, окремих організаційних заходів, що впливають на захищеність інформації. Як КС можуть виступати: ЕОМ загального призначення або персональна ЕОМ; ОС; прикладна або інструментальна програма (пакет програм); підсистема захисту від НСД, яка являє собою надбудову над ОС; локальна обчислюваль­на мережа; мережева ОС; ОС автоматизованої системи; в найбільш загальному випадку - сама АС або її частина.

Далі використовуються терміни АС і КС. Якщо необхідно підкрес­лити певні специфічні моменти, зазначається, стосується викладене саме АС (обчислювальної системи АС) чи сукупності програмно-апа­ратних засобів.

Можлива ситуація, коли для побудови певної КС використову­ються компоненти, кожний або деякі з яких мають сертифікат, що підтверджує, що ці компоненти реалізують певні функції захисту інформації. Це, однак, не означає що КС, яка складається з таких компонентів, реалізовуватиме всі ці функції. Для гарантії останнього має бути виконано проектування КС з метою інтеграції засобів захисту, що надаються кожним компонентом, в єдиний комплекс засобів захис­ту. Таким чином, наявність сертифіката слід розглядати як потенційну можливість КС реалізовувати певні функції захисту оброблюваної ін­формації від певних загроз.

Подамо також основні властивості інформації, що безпосередньо ви­значають її цінність. Такими фундаментальними властивостями захи­щеної інформації (ФВЗІ) є конфіденційність (confidentiality), цілісність (integrity), доступність (availability) і спостереженість (accountability).

Інтуїтивно зрозумілий термін конфіденційність більш строго визначається як властивість інформації, яка полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, що не мають на це відповідних повноважень.

Цілісність інформації - це властивість, що полягає в тому, що вона не може бути доступною для модифікації користувачам і/або процесам, що не мають на це відповідних повноважень. Цілісність інформації може бути фізичною і/або логічною.

Доступність інформації - це властивість, що полягає в можливості її шкористання на вимогу користувача, який має відповідні повноваження.

Спостереженість - це властивість інформації, яка полягає в тому, що процес її обробки повинен постійно перебувати під контролем певного керуючого захистом органу.

Потенційно можливі несприятливі впливи на інформацію, що при­зводять до порушення хоча б однієї з перерахованих властивостей, нази-иають загрозами інформації (information threat). Рівень захищеності ін­формації в системі - це певна міра (наприклад, імовірнісна) можливості виникнення на якому-небудь етапі життєдіяльності системи такої події, наслідком якої можуть бути небажані впливи на інформацію, тобто порушення хоча б одного із зазначених ФВЗІ. Безпосередньо пов'язані з інформацією фундаментальні поняття - конфіденційність, цілісність і доступність характеризуються такими важливими особливостями:

• незалежність - кожне із введених понять не залежить від ін­ших; це дозволяє при моделюванні ЗІ визначити деякий прос­тір, вважаючи їх сукупність базисом у цьому просторі;

• конструктивність - чітке виділення певної сторони проблеми ЗІ дає можливість при її реалізації використовувати конкретні механізми і засоби;

• можливість багаторазового їх дублювання при використанні різних механізмів і засобів захисту (як показує практика, будь-які з механізмів і засобів ЗІ завжди підтримують відразу декі­лька з відзначених властивостей), що дозволяє істотно підви­щити рівень захищеності інформації в системі;

• можливість враховувати конкретні загрози інформації при фор­мулюванні конкретних цілей захисту;

• можливість визначити послуги для забезпечення кожної з ФВЗІ залежно від рівня важливості інформації, очікуваних загроз інформації, цілей і завдань ЗІ.

Не слід плутати конфіденційність та безпеку. Конфіденційність встановлює певний статус захисту щодо інформації, в той час як безпека стосується механізмів, які використовуються для підтримки цього ста­тусу. Крім того, на відміну від конфіденційності, цілісність характеризує лише ступінь відповідності певних представлень інформації в системі.

2.7. Законодавчі акти і нормативні документи щодо ЗІ

Законодавчі заходи щодо ЗІ полягають у виконанні чин­них у державі або у введенні нових законів, положень, постанов та інструкцій, які регулюють юридичну відповідальність посадових осіб ­користувачів та обслуговуючого технічного персоналу за витік, втра­ту або модифікацію довіреної йому інформації, яка підлягає захисту, в тому числі за спроби виконувати аналогічні дії за межами своїх повноважень, а також відповідальність сторонніх осіб за спробу на­вмисного несанкціонованого доступу до інформації.

Мета законодавчих заходів - попередження та стримання потен­ціальних порушників.

В Україні вже прийнято цілий ряд законодавчих актів і нормативних документів, пов'язаних з інформацією, у тому числі і з її захистом:

• Закон України «Про інформацію» від 02.09.92;

• Закон України «Про захист інформації в автоматизованих сис­темах» від 05.07.94;

• Закон України «Про державну таємницю» від 21.01.94;

• Закон України «Про науково-технічну інформацію» від 25.06.93;

• Закон України «Про Національну програму інформатизації» від 04.02.98;

• Закон України «Про Концепцію Національної програми інформа­тизації» від 04.02.98;

• Концепція технічного захисту інформації в Україні від 27.09.99 р. № 1126;

• НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;

• НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформа­ції в комп'ютерних системах від несанкціонованого доступу.-ДСТСЗІ СБ України, Київ, 1998;

• НД ТЗІ 2.2-004-99. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

• НД ТЗІ 3.7.-001-99. Класифікація автоматизованих систем і стан­дартні функціональні профілі захищеності оброблюваної інфор­мації від несанкціонованого доступу- ДСТСЗІ СБ України, Київ, 1998.

• НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки техніч­ного завдання на створення системи захисту інформації авто­матизованої системи - Положення про технічний захист інфо­рмації в Україні від 27.09.99 р. № 1299.

Основним інформаційним законом є закон України «Про інфор­мацію» [21], прийнятий 2 листопада 1992 року. Він містить 54 статті в шести розділах. Цей Закон закріплює право громадян України на інформацію, закладає правові основи інформаційної діяльності.

Насамперед слід зазначити, що у статті 1 Закону дається офіційне визначення інформації. Під інформацією цей Закон розуміє докумен­товані чи привселюдно оголошені відомості про події і явища, що відбуваються в суспільстві, державі і навколишньому природному середовищі. Далі визначаються мета Закону, сфера його дії, основні принципи інформаційних відносин, а саме:

• відкритість;

• доступність інформації і свобода обміну;

• об'єктивність і правдивість інформації;

• повнота і точність інформації;

• законність одержання, використання, поширення і збереження інформації.

У статті 6 формулюється поняття державної інформаційної політики -це сукупність основних напрямків і способів діяльності держави по одержанню, використанню, поширенню і збереженню інформації. І шовними напрямками і способами державної інформаційної політики є:

• забезпечення доступу громадян до інформації;

• створення національних систем і мереж інформації;

• посилення технічних, фінансових, організаційних, правових і наукових основ інформаційної діяльності;

• забезпечення ефективного використання інформації;

• сприяння постійному відновленню, збільшенню і збереженню національних інформаційних ресурсів;

• створення загальної системи охорони інформації;

• сприяння міжнародному співробітництву в галузі інформації і гарантування інформаційного суверенітету України.

У статті 12 дається визначення інформаційної діяльності як сукуп­ності дій, спрямованих на задоволення інформаційних потреб громадян, юридичних осіб і держави. Визначено також основні напрямки інфор­маційної діяльності (стаття 13), основні види інформаційної діяльно­сті (стаття 14). У статті 18 подано класифікацію основних видів інфор­мації, у статтях 19-25 даються визначення видів інформації.

Нарешті, у статті 27 визначено поняття документа в інформаційних відносинах. Документ - це передбачена законом матеріальна форма одержання, збереження, використання і поширення інформації шля­хом її фіксації на папері, магнітній, кіно-, відео-, фотоплівці чи на іншому носії. За режимом доступу до інформації вона поділяється на відкриту інформацію та інформацію з обмеженим доступом (стаття 28). У свою чергу, інформація з обмеженим доступом поділяється на кон­фіденційну і таємну.

Конфіденційна інформація - це відомості, якими володіють чи користуються та розпоряджаються окремі фізичні чи юридичні особи і які поширюються за їхнім бажанням відповідно до передбачених ними умов. Наголосимо, що у сфері захисту інформації поняття кон­фіденційності має інший зміст і визначається по-іншому.

Таємна інформація - це інформація, яка містить відомості, що ■ спадають державну або іншу передбачену законом таємницю, |)о и'олошення якої завдає шкоди особі, суспільству і державі.

Природно, йдучи по шляху конкретизації, ми приходимо до Зако­ну України «Про науково-технічну інформацію» [22], що був прийнятий ще 25 червня 1993 року.

Цей Закон визначає основи державної політики в галузі науково-технічної інформації, порядок її формування і реалізації в інтересах науково-технічного, економічного і соціального прогресу країни. Метою Закону є створення в Україні правової бази для одержання та використання науково-технічної інформації.

Законом регулюються правові й економічні відносини громадян, юридичних осіб, держави, що виникають при створенні, одержанні, ви­користанні та поширенні науково-технічної інформації, а також визна­чаються правові форми міжнародного співробітництва в цій галузі.

І, нарешті, зупинимося на основному законі, що безпосередньо стосується захисту інформації - це Закон «Про захист інформації в автоматизованих системах» [23], прийнятий 5 липня 1994 року. Він містить 20 статей у шести розділах.

Метою цього Закону є встановлення основ регулювання правових відносин щодо захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію та права доступу до неї, права власника інформа­ції на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації.

У загальних положеннях наведено визначення основних термінів: автоматизована система (АС), інформація в АС, обробка інформації, захист інформації, несанкціонований доступ, розпорядник АС, персонал АС, користувач АС, порушник, витік інформації, втрата інформації, підробка інформації, блокування інформації, порушення роботи АС. В наступних статтях (2-6) визначаються об'єкти захисту і суб'єкти відносин, а також право власності на інформацію під час її обробки, гарантія юридичного захисту і доступ до інформації.

У другому розділі (ст. 7-9) визначаються відносини між власни­ком інформації та власником АС, відносини між власником інформації та користувачем, відносини між власником АС і користувачем АС. Третій розділ визначає загальні вимоги щодо захисту інформації - в статтях 10-12 визначаються шляхи забезпечення захисту інформації в АС, вимоги і правила щодо захисту інформації, умови обробки інформації. В четвертому розділі (ст. 13-16) визначено організацію захисту інформації в АС: політика в галузі захисту інформації, дер­жавне управління захистом інформації в АС, служби захисту інформації в АС, фінансування робіт. У п'ятому та шостому розділах ідеться про відповідальність за порушення порядку і правил захисту інформації, відшкодування шкоди, взаємодію в питаннях захисту інформації в АС, забезпечення інформаційних прав України.

Дуже важливим, зокрема для захисту інформації, є також Закон України «Про державну таємницю» [24], прийнятий 21 січня 1994 року (нова редакція - зі змінами та доповненнями - прийнята 21 вересня 1999 p.). Він містить 38 статей у 5 розділах. У першому розділі подається визначення державної таємниці - це вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, роз­голошення яких може завдати шкоди національній безпеці України та які визнані у порядку, встановленому цим Законом, державною таємницею і підлягають охороні державою. У другому розділі вста­новлено сфери, інформація з яких може бути віднесена до державної таємниці: 1) сфера оборони; 2) сфера економіки, науки і техніки; 3) зовнішні відносини; 4) сфера державної безпеки й охорони право­порядку. У третьому розділі визначається порядок засекречування та розсекречування матеріальних носіїв інформації, зокрема надання грифа секретності (таємно (Т), цілком таємно (ЦТ), особливої важли­вості (ОВ)), а також строки їх засекречування. У наступних розділах визначено порядок охорони державної таємниці, а також відповідаль­ність за порушення законодавства про державну таємницю.

Про інші нормативні документи, зокрема [17-20], докладніше іітиметься в останньому розділі посібника.

ОРГАНІЗАЦІЙНО- ТЕХНІЧНІ ЗАХОДИ ЩОДО ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ

3.1. Класифікація засобів забезпечення безпеки АС

За способами реалізації всі заходи забезпечення безпеки АС поділяються на правові (законодавчі), морально-етичні, організацій­ні (адміністративні), фізичні й технічні (програмні та апаратурні) [2, 3].

До правових заходів захисту належать чинні в країні закони, укази і нормативні акти, які регламентують правила поводження з інфор­мацією, закріплюють права та обов'язки учасників інформаційних відносин у процесі її обробки і використання, а також встановлюють відповідальність за порушення цих правил, перешкоджаючи таким чином неправомірному використанню інформації, тобто виступаючи фактором стримування для потенційних порушників.

До морально-етичних заходів протидії належать норми поведінки, які традиційно склалися або складаються паралельно розповсюдженню ЕОМ у країні або суспільстві. Ці норми переважно не є обов'язкови­ми, як, наприклад, законодавчо затверджені нормативні, однак їх недо­тримання веде звичайно до падіння авторитету, престижу людини, групи осіб або організації. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патріотизму і т. ін.), так і писані, тобто оформлені у звід (устав) правил або розпоряджень.

Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх кана­лів проникнення і НСД до АС та інформації. В деяких випадках вони є єдиними, як, наприклад, при захисті відкритої інформації від незакон­ного тиражування або при захисті від зловживань службовим стано­вищем при роботі з інформацією.

Організаційні (адміністративні) заходи захисту - це заходи організа­ційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів із системою таким чином, щоб наскільки можливо ускладнити або виключити можливість реалізації загроз безпеці.

Очевидно, що в організаційних структурах з низьким рівнем правопо­рядку, дисципліни й етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання. 38

Як вважають закордонні фахівці, організаційні заходи становлять досить значну частину (більш як 50 %) усієї системи захисту. Вони використовуються тоді, коли КС не може безпосередньо контролю­вати процес обробки інформації. Крім того, в деяких важливих випадках з метою підвищення ефективності захисту дуже корисно технічні заходи та засоби продублювати організаційними. Це, однак, не означає, що систему захисту необхідно будувати виключно на їх основі, як це іноді намагається робити керівництво, далеке від технічного прогресу. До того ж цим заходам притаманні деякі вади:

• низька надійність без відповідної підтримки фізичними, техніч­ними та програмними засобами (людина є схильною до пору­шень обмежень і правил, якщо є можливість їх порушити);

• додаткові незручності, які пов'язані з великим обсягом рутин­ної формальної діяльності.

Взагалі, організаційні заходи є ефективними, коли справа стосу­ється саме людини.

Фізичні заходи базуються на застосуванні різного роду механіч­них, електро- або електронно-механічних пристроїв, спеціально при­значених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент систе­ми й інформації, а також технічних засобів візуального спостереження, зв'язку та охоронної сигналізації.

Технічні (апаратно-програмні) заходи захисту базуються на вико­ристанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з пішими засобами) функції захисту.

Звичайно всі заходи використовують комплексно, причому вони іноді дуже тісно пов'язані один з одним, тобто:

• організаційні заходи забезпечують виконання нормативних ак­тів і будуються з урахуванням уже існуючих правил поведінки в організації;

• виконання організаційних заходів вимагає створення норматив­них документів;

• ефективне використання організаційних заходів досягається обов'язковою підтримкою фізичних та технічних заходів;

• використання технічних засобів захисту вимагає відповідної організаційної підтримки.

І іадалі для позначення цілої групи заходів буде використовувати-і і і ермін організаційно-технічні заходи.

3.2. Організаційні заходи

Застосування організаційно-технічних заходів запобігає значній частині загроз безпеці інформації і блокує їх та поєднує в мину систему всі заходи захисту.

Організаційні заходи повинні включати:

• визначення технологічних процесів обробки інформації;

• обґрунтування та вибір завдань захисту;

• розробку та впровадження правил реалізації заходів ЗІ;

• визначення та встановлення обов'язків підрозділів і осіб, що беруть участь в обробці інформації;

• вибір засобів забезпечення ЗІ;

• оснащення структурних елементів АС нормативними докумен­тами і засобами забезпечення ЗІ;

• встановлення порядку впровадження засобів обробки інформа­ції, програмних і технічних засобів захисту інформації та контро­лю їх ефективності;

• визначення зон безпеки інформації;

• обгрунтування структури та технології функціонування СЗІ;

• розробку правил та порядку контролю функціонування СЗІ;

• встановлення порядку проведення атестації технічних засобів та систем обробки інформації, систем зв'язку та передачі да­них, технічних засобів та систем, що розташовані в приміщен­нях, де вона циркулює, приміщень для засідань, а також усієї АС у цілому на відповідність вимогам безпеки інформації.

Організаційні заходи щодо ЗІ в АС полягають у розробці і реалі­зації адміністративних та організаційно-технічних заходів при підготовці та експлуатації системи.

Організаційні заходи щодо захисту системи в процесі її функціо­нування та підготовки до нього охоплюють рішення та процедури, які приймаються керівництвом організації - користувачем системи. Хоча деякі з них можуть визначатися зовнішніми факторами, напри­клад законами або урядовими постановами, більшість проблем вирішується в самій організації в конкретних умовах.

Складовою будь-якого плану заходів захисту має бути чітке визна­чення цілей, розподіл відповідальності та перелік організаційних захо­дів захисту. Конкретний розподіл відповідальності та функцій щодо реалізації захисту від одної організації до іншої може змінюватися, але ретельне планування і точний розподіл відповідальності є необхідними умовами створення ефективної та життєздатної системи захисту.

Організаційні заходи щодо ЗІ в АС повинні охоплювати етапи проектування, розробки, виготовлення, випробувань, підготовки до експлуатації, експлуатації системи та виведення з експлуатації.

Відповідно до вимог технічного завдання організація-проекту-вальник поряд з технічними заходами та засобами розробляє організа­ційні заходи на етапі створення системи. Під етапом створення розумі­ється проектування, розробка, виготовлення та випробування системи. При цьому слід чітко розрізняти заходи щодо ЗІ, які проводяться органі-зацією-проектувальником, розробником та виготовлювачем у процесі створення системи і розраховуються на захист від витоку в даній організації, і заходи, що закладаються в проект та документацію на систему і торкаються принципів організації захисту в самій системі. Саме з них випливають необхідні організаційні заходи щодо ЗІ.

До організаційних заходів щодо ЗІ в процесі створення системи слід віднести:

• проведення на необхідних ділянках робіт з режимом секретності;

• розробка посадових інструкцій щодо забезпечення режиму се­кретності відповідно до чинного законодавства;

• виділення у разі потреби окремих приміщень з охоронною сиг­налізацією та пропускною системою;