CC BY
16
Нечепуренко А.В., мапстрант2 1Лъвгвсъкий державнииутверситет внутргшнгх справ 2Нацюнальнийлгсотехшчнииушверситет Украгни,м. Лъв1в
ОРГАН13АЦ1Я ТЕХН1ЧНОГО ЗАХИСТУ 1НФОРМАЦ1ЙНИХ СИСТЕМ
П1ДРОЗД1Л1В мвс
Розглядаютъся загалъш принципы оргашзацп системи захисту тформацп в тформацтних системах тдроздшв МВС. Обгрунтовано запровадження принципу поетапного здшснення техшчного захисту тформацИ зурахуванням динамжи зм1ни загроз.
Ключое1 слова: тформацшш технологи, тформацшна система, захист тформацп, тформацшш загрози, техшчш заходи.
Постановка проблеми. Широке впровадження у д1яльшсть тдроздшв МВС шформацшних систем (1С) вимагае забезпечення доступности цшсност1, а також конфщенцшност1 оброблювано! у 1С шформаци. Порушення безпеки 1С може ктотно ускладнити виконання завдань пщроздшами МВС, тому проблема створення ефективно! системи захисту шформаци (31) набувае дуже важливого значения. Це пояснюеться тим, що при розробленш та удосконаленш таких систем 31 е багато недостатньо дослщжених аспекпв, як1 можуть негативно вплинути на ефектившсть I надшшсть функцюнування вЫе! системи безпеки. Автори вважають, що така система 31 повинна бути, у першу чергу, комплексною I адаптивною.
Анал1з останшх дослщжень. Проблемам створення I функцюнування систем техшчного 31 присвячено достатньо публжацш як у вщкритих, так I закритих л1тературних джерелах. 3 доступних для переачного користувача джерел хочемо вщзначити пращ таких вчених, як: М.П. Картнський, А.О. Ботюк, С.Г. Бабичев, В.П. Горбулш, В.В. Домарьов, В.Ю. Захарченко, В.1. Лазуренко, С.А. Петренко, А.В. Беляев та ш. Важливють наукового здобутку та внеску у теорш I практику шформацшно! безпеки згаданих вчених важко переоцшити.
Анал1з л1тературних джерел дае пщстави стверджувати, що у процеЫ проектування, створення I експлуатування систем техшчного 31 е певш недолжи, як1 знижують ефектившсть 1х функцюнування. Як правило, кер1вники пщроздшв МВС розглядають проблему 31 в 1С переважно з техшчно! точки зору. Розв'язання проблеми пов'язують з придбанням та шсталящею програмно-апаратних засоб1в 31. Однак, для оргашзаци ефективного режиму шформацшно! безпеки цього недостатньо. Необхщно, також, обгрунтувати розроблення пол1тики шформацшно! безпеки, яка визначае стратегш, тактику системи 31 I враховуе динам1ку змши загроз шформаци.
Вважаемо недоцшьним вводити у предметну область дано! публжаци методи 31 як1 грунтуються на системному адмшктруванш та математичних
212
методах. Обмежимося розробленням { анал1зом оргашзацшно-техшчних засоб1в, яю будуть зрозумшими для практичних пращвниюв ОВС.
Мета дано! публжаци полягае в тому, щоб визначити методи { засоби 31 у 1С пщроздшв МВС. У результат! нами пропонуеться наб1р оргашзацшно-техшчних принцишв \ засоб1в, яю дозволяють створити ефективну систему 31. Разом з тим, варто вщзначити, що щ принципи е всього лише одним з аспекпв стратеги управлшня шформацшними технолопями (1Т) у пщроздшах МВС. Неможливо устшно забезпечувати 31 в пщроздшах МВС при незадовшьному управлшш1Т.
Виклад основного матер1алу. 3 метою протиди злочинам у сфер11Т або зменшення збитюв вщ них потр1бно фахово вибирати заходи \ засоби забезпе-чення 31 вщ витоку та несанкцюнованого доступу (НСД) до не!. Необхщно знати також основш правов1 положения в цш галуз1, оргашзацшш, програмно-техшчш та шш1 заходи забезпечення безпеки шформаци [1, 2, 3].
Актуальшсть дано! проблеми пов'язана ¿з зростанням можливостей сучас-них 1Т. Розвиток засоб1в, метод1в 1 форм оброблення шформаци 1 масове застосування 1Т роблять шформацш бшьш уразливою. Основними чинниками, яю сприяють пщвищенню И уразливост1, е:
• лавинопод1бне збшьшення обсяпв шформаци, яка накопичуеться, збер1гаеться та обробляеться в 1С;
• зосередження в базах даних шформаци р1зного призначення I р1зно! вщомчо! приналежностц
• розширення кола користувач1в, яю мають безпосереднш доступ до шформацшних актив1в 1С та масив1в даних;
• ускладнення режим1в роботи техшчних засоб1в 1С;
• обмш шформащею в локальних та глобальних комп'ютерних мережах (КМ), у тому числ11 вщдалений доступ.
У вс1х аспектах забезпечення 31 основним елементом е анал1з можливих загроз щодо порушення роботи 1С, тобто загроз, що пщвищують уразливкть шформаци, яка обробляеться в 1С, призводять до И витоку, випадкового або нав-мисного модиф1кування, знищення.
Виб1р засоб1в 31 в 1С - складна задача, при розв'язанш яко! потр1бно враховувати р1зш ¿мов1рш загрози щодо порушення роботи тако! системи, варткть реал1зування р1зних засоб1в 31 I наявшсть численних защкавлених сторш. При вибор1 таких засоб1в важливо знати, що сучасна комп'ютерна наука мае в своему розпорядженш методи, що дозволяють вибрати таку сукупшсть засоб1в 31, яка забезпечить максим1зування ефекту вщ впровадження засоб1в 31 за передбачених витратах або мш1м1зування витрат вщ впровадження засоб1в 31 при заданому р1вш захищеност11С.
Розглядаючи загальш принципи 31 в 1С, доцшьно вщзначити, що комплексний 31 в 1С мае в свош основ! використання правових, ф1зичних, оргашзацшних та програмно-апаратних засоб1в захисту. Таю засоби повинш забезпечувати щентиф1кування та аутентифжування користувач1в, розподш пов-новажень доступу до 1С, реестрацш та облк спроб НСД. Оргашзацшш заходи 31
213
в 1С, як правило, спрямоваш на ч1ткий розподш вщповщальносп пщ час роботи персоналу з шформащею, створення декшькох рубеж1в контролю, запоб1гання навмисному або випадковому знищенню та модифжуванню шформаци.
Об'ектом техшчного захисту е шформащя, яка становить державну або шшу, передбачену чинним законодавством Украши таемницю, конфщенцшна шформащя, яка е державною власшстю або передана держав! у володшня, ко-ристування, розпорядження.
Техшчний захист шформаци (Т31) здшснюеться у кшька еташв: перший етап - визначення { анал1з загроз; другий етап - розроблення системи 31; третш етап - реал1зування плану 31; четвертий етап - контроль за функщонуванням та керуванням системою 31.
На першому етат здшснюеться грунтовний анал1з об'ект1в Т31, ситу-ацшного плану, умов функцюнування 1С, ощнювання ймов1рност1 прояву загроз та оч1куваш збитки вщ 1х реал1зування, пщготування даних для побудови виокремлено! модел1 загроз.
Джерелами загроз може бути д1яльшсть оргашзованих кримшальних структур, а також навмисш або ненавмисш ди юридичних { ф1зичних оЫб. Опис загроз I схематичне подання шлях1в 1х здшснення формують модель загроз. Загрози можуть здшснюватися:
• техшчними каналами, як1 включають канали поб1чних електромаг-штних випромшювань I наведень (ПЕМВН), акустичш, оптичш, радю-, радютех-шчш, х1м1чш та шш1 канали;
• каналами специального впливу шляхом формування пол1в I сигнал1в з метою руйнування системи 31 або порушення цшсност1 шформаци;
• НСД шляхом пщ'еднання до апаратури та лшш зв'язку, маскуванням пщ зареестрованого користувача, подоланням заход1в захисту ЖБВ-ресурЫв, застосуванням закладних пристро1в, програм та вкоршенням комп'ютерних в1рус1в.
На другому етат Т31 розробляеться план, який мютить оргашзацшш, первинш техшчш та основш техшчш заходи захисту шформаци з обмеженим доступом (1зОД), визначаються зони безпеки шформаци.
Оргашзацшш заходи регламентують порядок шформацшно! д1яльност1 (Щ) з урахуванням норм I вимог Т31 для вс1х перюд1в життевого циклу 1Д.
Первинш техшчш заходы передбачають 31 блокуванням загроз без вико-ристання засоб1в Т31.
Основш техшчш заходы передбачають 31 з використанням засоб1в Т31.
Заходи захисту шформаци повинш:
• бути адекватними до загроз;
• бути розробленими з урахуванням можливих збштав вщ реал1зування загроз I вартост1 захисних заход1в та обмежень, яю вносяться ними;
• забезпечувати задану ефектившсть 31 на встановленому р1вш протягом часу обмеження доступу до не! або можливосп здшснення загроз.
Р1венъ 31 означуеться системою юльюсних та яюсних показниюв, яю забезпечують виршення завдання 31 на основ! норм та вимог Т31.
214
Мммально необхщний р1вень 31 забезпечують обмежувальними \ фрагментарными заходами протиди найнебезпечшшш загрозг
На третьому етат Т31 слщ реал1зувати оргашзацшш, первинш техшчш та основш техшчш заходи захисту 1зОД, установити необхвдш зони безпеки шформаци, провести атестування техшчних засоб1в забезпечення 1Д [4], техшч-них засоб1в 31, робочих мюць (примщень) на вщповщшсть вимогам безпеки ш-формацл.
Т31 передбачае застосування захищених програм \ техшчних засоб1в забезпечення Щ, програмних { техшчних засоб1в 31 та контролю ефективносп захисту, яю мають сертифжат вщповщносп вимогам нормативних документе або дозвш на 1х використання вщ уповноваженого Кабшетом Мшютр1в Украши органу, а також застосуванням спещальних шженерно-техшчних споруд, засоб1в I систем.
Засоби Т31 можуть функцюнувати автономно або сумкно з техшчними засобами забезпечення 1Д у вигляд! окремих пристро!в або вмонтованих у них складових елементсв. Склад засоб1в забезпечення Т31, перелж !х постачальниюв, а також послуг з шсталювання, налаштування та обслуговування визначаються особами, яю володшть, користуються I розпоряджаються 1зОД самостшно або за рекомендащями фаивщв з Т31 згщно з нормативними документами системи Т31.
На четвертому етат здшснюеться контроль за функцюнуванням системи Т31 на об'ектах 1Д з метою визначення й удосконалення стану Т31 в 1С, вияв-лення та запоб1гання порушенням системи 31.
Контроль стану Т31 в 1С оргашзовуеться вщповщно до плашв, затверджених кер1вниками пщроздшв, шляхом проведения перев1рок.
Контрольно-шспекцшна робота з питань Т31 включае планування та проведения перев1рок стану Т31 в 1С, щодо яких здшснюеться Т31, проведения анал1зу та надання рекомендацш з вдосконалення заход1в з Т31.
Перев1рки подшяються на комплексш, цшьов! (тематичш) та контрольна
Пщ час комплексно! перев1рки вивчаеться та оцшюеться стан 31 у 1С, щодо яких здшснюеться Т31.
Пщ час цшьово! (тематично!) перев1рки вивчаються окрем! напрямки Т31, перев1ряеться виконання ршень (розпоряджень, наказ1в, вказ1вок) оргашв державно! влади з питань Т31 в 1С, щодо яких здшснюеться Т31, виконання завдань або провадження д1яльност1 в галуз! Т31 за вщповщними дозволами та лщенз!ями суб'ектами системи Т31.
Пщ час контрольно! перев1рки перев1ряеться усунення недолшв, яю були виявлеш пщ час проведения попередньо! комплексно! або цшьово! перев1рки. Зазначеш перев1рки можуть бути планов! та позапланов!, з попередженням та раптов!.
Позапланова перев!рка здшснюеться за вказ!вкою кер!вництва п!дрозд!лу МВС у раз! виникнення потреби визначення повноти та достатност! заход!в з Т31 за наявност! в!домостей щодо порушень виконання вимог нормативно-правових акт!в з питань Т31.
215
Перев1рки здшснюються комюями на як1 покладено виконання завдань здшснення контролю за функцюнуванням системи T3I.
При проведенш перев1рки стану T3I контролю пщлягають оргашзацшш, оргашзацшно-техшчш, техшчш заходи з T3I у видшених примщеннях, 1С i КМ, повнота та достатшсть po6iT з атестування видшених примщень.
Керування системою 31 полягае в адаптуванш заход1в T3I до поточного завдання 31. За фактами змши умов здшснення або виявлення нових загроз заходи T3I реал1зовуються у найкоротший термш.
Контроль оргашзацшних заход1в з T3I в 1С включае перев1рку:
• перел1ку вщомостей, яю пщлягають T3I;
• окремо! модел1 загроз для 1С або КМ;
• плану контрольовано! зони пщроздшу, щодо якого здшснюеться T3I;
• перел1ку видшених примщень пщроздшу, щодо якого здшснюеться T3I, 1С таКМ;
• проведения категоршвання видшених примщень та об'ект1в.
Висновки. Контроль за оргашзацшно-техшчними заходами з T3I у вид>
лених примщеннях, 1С та КМ, повнотою та достатшстю po6iT з атестування видшених примщень повинен включати перев1рку вщповщност1 виконання цих заход1в нормативно-правовим актам з питань T3I.
Оргашзацшно-техшчш заходи T3I у видшених примщеннях, 1С та КМ, роботи з атестування видшених примщень виконуються власними силами або передаеться на аутсорсинг суб'ектам пщприемницько! д1яльност1 в галуз1 T3I, як1 мають дозвш i лщензш вщ уповноваженого Кабшетом MiHicTpiB Украши органу.
Кер1вник пщрозд1лу зобов'язаний ужити невщкладних заход1в щодо усунення недолшв i реал1зування пропозицш KOMicii' вщповщно до вимог нормативно-правових акт1в з питань T3I.
Л1тература
1. Тихонов В. А., Райх В. В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты: Учебное пособие. - М. - Гелиос АРВ, 2006. - 528 с.
2. Петренко С.А., Курбатов В.А. Политики информационной безопасности - М.: Компания Ай Ти, 2006. - 400 с.
3. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа.- СПб: Наука и Техника, 2004. -384 с.
4. Когут В.В., Рудий Т.В., Кулешник Я.Ф. Порядок атестування систем техшчного захисту шформаци. Проблеми д1яльност1 кримшально! мшщи в умовах розбудови правово! держави // Матер1али науково-зв1тно1 конференци факультету кримшально! мшщи Льв1вського державного ушверситету внут-pimHix справ 12 березня 2010 р. - Льв1в: ЛьвДУВС. 2010. - С. 90-97.
Summary
Rudij T.V.1, Ganich I.M.2, Nechepurenko A.V.3
216
1Lviv state university of internal affairs under the Ministry of internal affairs of Ukraine 2 National Forest-technical University, Lviv
ORGANIZATION THE TECHNICAL PROTECTION OF INFORMATION
SYSTEM IN SUBUNIT IN MIA
In the article conducted main principles of organization systems of technical protection of information in informational systems of subunit in Ministry of internal affairs.
Cmammx nadiümna do peda^iï 14.04.2011 p.
y^K 631.14.636.03:637.5
217
