До нас часто звертаються відповідальні за ТЗІ, або начальники режимно-секретних відділів за роз’ясненнями, що робити коли отримали Припис від контролюючих органів на усунення порушень з технічного захисту інформації. Можливо, наступна інформація стане Вам в нагоді.
Державний контроль за станом технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, здійснюється в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях незалежно від форми власності.
Згідно з Наказом Держспецзв’язку від 16.05.2007 N 87 «Про затвердження Положення про державний контроль за станом технічного захисту інформації в Україні» (Зареєстровано в Міністерстві юстиції України 10 липня 2007 р. за N 785/14052) встановлення факту обробки інформації з обмеженим доступом в інформаційних або інформаційно-телекомунікаційних системах, за умов відсутності захисту та атестата відповідності на комплексну систему захисту інформації (КСЗІ) є порушенням першої категорії та може призвести до припинення інформаційної діяльності на відповідних об'єктах та притягнення до відповідальності винних осіб, згідно з законодавством України.
Згідно Закону України «Про інформацію» захисту підлягає інформація з обмеженим доступом. До інформації з обмеженим доступом відноситься таємна, конфіденційна, службова та відкрита інформація, яка є власністю держави:
Інформація - є інформація що становить державну або іншу передбачену законом таємницю, розголошення якої може завдати шкоди особі, суспільству і державі. Таємною визначається інформація, яка містить державну, професійну, банківську таємницю, таємницю слідства та іншу передбачену законом таємницю згідно до Зводу відомостей, що становлять державну таємницю (ЗВДТ), затвердженого наказом СБУ № 440 від 12.08. 2005р. Об’єкти де обробляється таємна інформація (режимно-секретні та мобілізаційні відділи РСВ, РСО, або інші спеціальні відділи, а також кабінети абонентів урядового зв’язку, нарадчі кімнати де проводяться режимні заходи в обов’язковому порядку захищаються. Для інформації, яка циркулює на таких об’єктах розроблються модель загроз, модель порушника, технічне завдання та робочий проект на комплекс технічного захисту інформації (КТЗІ). Можливі канали витоку інформації, виписані в моделі загроз, блокуються побудованим КТЗІ та (або) організаційними заходами та проводиться інструментальна перевірка (оцінювання захищеності) інформації з застосуванням КТЗІ. Результатом роботи є побудований КТЗІ, отриманий Акт атестації КТЗІ, паспорти на КТЗІ та на виділене приміщення, Протоколи випробувань КТЗІ та Оцінки захищеності. Оцінка захищеності проводиться після змін в складі КТЗІ, основних та допоміжних технічних заходів та періодично, але не рідше одного разу на рік. Якщо на ОІД таємна інформація циркулює лише в електронному вигляді то проводиться спеціальне дослідження основних технічних засобів по каналу побічних електромагнітних випромінювань та наводок та оцінювання захищеності інформації. Крім того, для таких об’єктів в обов’язковому порядку будується Комплексна система захисту інформації (КСЗІ) в автоматизованій системі (АС) (класу 1, якщо АС складається з одного комп’ютера, АС класу 2, якщо АС складається з кількох комп’ютерів об’єднаних в мережу, АС класу 3, якщо АС складається з групи комп’ютерів об’єднаних в мережі що мають вихід в Інтернет або інші Глобальні мережі). Побудова КСЗІ розпочинається з розробки технічного завдання (ТЗ), яке в обов’язковому порядку (лише для державних структур) погоджується з ДЕРЖСПЕЦЗВЯЗКОМ, який визначає організатора проведення державної експертизи та за результатами її роботи видає, або відмовляє в видачі Атестата відповідності. Без Атестата відповідності обробка таємної інформації на ОІД заборонена.
Якщо на ОІД циркулює мовна інформація з обмеженим доступом то на такому об’єкті проводяться роботи з ТЗІ, які включають:
- спец дослідження приміщення по виявленню та блокуванню витоку мовної та видової інформації за рахунок закладних пристроїв;
- спеціальне дослідження основних та допоміжних технічних засобів на акустоелектричні перетворювання;
- побудови КТЗІ та оцінювання захищеності мовної інформації від перехоплення по віброакустичному каналу.
За результатами роботи видаються Акти спец дослідження, атестації та Висновок за результатами захищеності ОІД від витоку мовної інформації. Без таких документів експлуатація ОІД заборонена. Спеціальне обстеження виділених приміщень проводиться після проведення в них масових заходів але не рідше одного разу на рік.
Конфіденційна інформація – є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень. Може поширюватися лише за згодою або бажанням відповідної особи, а також в інших випадках, визначених законом. Конфіденційна інформація, яка є власністю держави або вимога щодо захисту якої встановлена законом, у тому числі конфіденційна інформація про фізичну особу у визначенні Закону України «Про захист персональних даних», який вступив в дію з 01 січня 2011 року теж підлягає захисту (обмеженню). Підлягають захисту автоматизовані системи «Кадри», «Картка» в відділах кадрів та бухгалтерії. Для них теж будується КСЗІ для АС необхідного класу, встановлюються програмні або апаратні засоби захисту від несанкціонованого доступу, проводиться експертиза та отримується Атестат відповідності. Без Атестата відповідності обробка конфіденційної інформації на ОІД заборонена;
Службова інформація – службова інформація – є інформацією , що міститься в документах суб’єктів владних повноважень, які становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації,, якщо вони пов’язані з розробкою напряму діяльності установи, або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню та/ або прийняття рішень. Документи, що містять інформацію, яка становить службову інформацію, присвоюється гриф «для службового користування». Підготовка документів з таким грифом може проводитися лише при наявності Атестата відповідності на АС, тобто необхідно теж будувати КСЗІ та проводити її експертизу.
Відкрита інформація, відкрита інформація, яка є власністю держави і у визначенні Закону України "Про інформацію" належить до статистичної, правової, соціологічної інформації, інформації довідково-енциклопедичного характеру та використовується для забезпечення діяльності державних органів або органів місцевого самоврядування, а також інформація про діяльність зазначених органів, яка оприлюднюється в Інтернет, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами теж підлягає захисту (обмеженню). Для таких об’єктів відносяться Інтернет-сайти державних органів та структур, для яких теж будується КСЗІ для АС класу 3 класу, встановлюються програмні та досліджуються апаратні засоби захисту від несанкціонованого доступу, проводиться експертиза та отримується Атестат відповідності. Без Атестата відповідності функціонування таких АС та Інтернет-сайтів заборонена.
З метою усунення можливості витоку інформації обмеженого доступу в Вашій установі, пропонуємо виконати комплекс робіт з технічного захисту інформації:
Компанія «Альфа-С» має необхідні ліцензії Держспецзв’язку, Спеціальний Дозвіл на провадження діяльності пов’язаної з державною таємницею та гарантує високу професійність і якість розробки, що підтверджено десятками Атестатів відповідності КСЗІ отриманих державними та комерційними структурами за нашими поданнями. На Ваше звернення за вказаними на сайті телефонами наш фахівець безкоштовно надасть консультативну допомогу з питань ТЗІ безпосередньо на Вашому об’єкті, та в разі необхідності надасть Пропозицію на технічний захист інформації.