Побудова комплексної системи захисту інформації

Потенційні загрози інформації наведені в Таб. 2

Таблиця 2

№ п/п	Потенційні загрози інформації	Наслідки (порушення властивостей)
		К	Ц	Д	С
1.	Загрози об'єктивної природи
1.1.	Стихійні явища (пожежа, аварії)		+	+
1.2.	Збої та відмови системи електроживлення		+	+
1.3.	Збої та відмови обчислювальної техніки		+	+
1.4.	Збої, відмови та пошкодження носіїв інформації		+	+
1.5.	Збої та відмови програмного забезпечення		+	+
2.	Загрози суб'єктивної природи
2.1	Помилки
2.1.1	Помилки користувачів (випадкові помилки; впровадження і використання програм що не є необхідними для виконання користувачем своїх службових обов'язків; запуск програм, здатних викликати необернені зміни в системі)	+	+	+
2.1.2	Помилки адміністраторів (неправильна настройка та адміністрування системи захисту, операційної системи; неправомірне відключення засобів захисту).	+	+	+
2.1.4	Недбале зберігання та облік: документів, носіїв інформації, даних	+	+	+	+
2.2	Несанкціоноване перехоплення інформації	+	+	+	+
2.2.1	Несанкціоноване підключення до технічних засобів	+
2.2.2	Читання даних, що виводяться на екран, роздруковуються, читання залишених без догляду документів	+
2.3	Порушення нормальних режимів роботи		+	+	+
2.3.1	Ураження програмного забезпечення комп'ютерними вірусами	+	+	+	+
2.3.2	Втрата засобів розмежування доступу (паролів) (розголошення), магнітних носіїв інформації та резервних копій	+	+	+	+
2.3.3	Несанкціоноване внесення змін до технічних засобів, в програмне забезпечення, в компоненти інформаційного забезпечення, тощо		+	+	+
2.3.4	Використання недозволеного ПЗ або модифікація компонент програмного та інформаційного забезпечення		+	+	+
2.3.5	Пошкодження носіїв інформації			+
2.4	Зовнішні загрози	+	+	+	+
2.4.1	Несанкціоноване перехоплення інформації за рахунок витоку інформації за рахунок побічного електромагнітного випромінювання та наводок	+
2.4.2	Несанкціонований перегляд інформації за рахунок візуально-оптичного каналу	+

Де: К - конфіденційність; Ц - цілісність; Д - доступність; С - спостережність.



6. Модель загроз для інформації, яка планується до циркуляції в АСі класу 2

Нижче мною запропоновано варіанти моделі загроз. В цій моделі визначені властивості захищеності інформаційних об'єктів, які можуть бути порушеними - конфіденційність (к), цілісність (ц), доступність (д) та якісна оцінка ймовірності здійснення загроз та рівнів збитків (шкоди) по кожному з видів порушень.

Методика розроблення такої моделі полягає в тому, що в один із стовпчиків таблиці заноситься перелік видів загроз. Надалі для кожної із можливих загроз шляхом їх аналізу необхідно визначити:

Ймовірність виникнення таких загроз. Як перший крок визначення такої ймовірності можна використати її якісні оцінки. В таблиці можуть бути наведені якісні оцінки їх ймовірності неприпустимо висока, дуже висока, висока, значна, середня, низька, знехтувано низька (стовпчик 3);

На порушення яких функціональних властивостей захищеності інформації (стовпчик 4) вона спрямована (порушення конфіденційності к, цілісності ц, доступності д);

Можливий (такий, що очікується) рівень шкоди (стовпчик 5). Приклад цієї оцінки наведено також за якісною шкалою (відсутня, низька, середня, висока, неприпустимо висока). Наявність таких оцінок, навіть за якісною шкалою, дозволяє обґрунтувати необхідність забезпечення засобами захисту кожної з властивостей захищеності інформації;

Механізми реалізації (можливі шляхи здійснення) загроз (стовпчик 6).

Потенційні загрози інформації об'єкта інформаційної діяльності наведені в таб. 3.



Таблиця 3

Модель загроз
№	Вид загроз	Ймовір-ність	Що пору-шує	Рівень шкоди	Механізм реалізації
Моніторинг (розвідка) мережі
1	Розвідка, аналіз трафіка	Висока	к, ц, д	відсутня	Перехоплення інформації, що пересилаються у незашифрованому виді в широкомовному середовищі передачі даних, відсутність виділеного каналу зв'язку між об'єктами.
Несанкціонований доступ до інформаційних ресурсів із РОМ
1	Підміна (імітація) довіреного об'єкта або суб'єкта з підробленням мережних адрес тих об'єктів, що атакують	Висока	к, ц, д	середній	Фальсифікація (підроблення мережних адрес ІР-адреси, повторне відтворення повідомлень при відсутності віртуального каналу, недостатні ідентифікації та автентифікації при наявності віртуального каналу
2	Зміна маршрутизації	Неприпустимо висока	к, ц, д	низький	Зміна параметрів маршрутизації і змісту інформації, що передається, внаслідок відсутності контролю за маршрутом повідомлень чи відсутності фільтрації пакетів з невірною адресою
3	Селекція потоку інформації й збереження її	Висока	к, ц, д	високий	Використанням недоліків алгоритмів віддаленого пошуку шляхом впровадження в розподілену обчислювальну систему хибних об'єктів (атаки типу “людина в середині”).
4	Подолання систем адміністрування доступом до робочих станцій, локальних мереж та захищеного інформаційного об'єкту, заснованих на атрибутах робочих станцій чи засобів управління доступом та маршрутизації (маскування) відповідних мереж (файрволів, проксі - серверів, маршрутизаторів та т.п.).	Висока	к, ц, д	високий	Використання недоліків систем ідентифікації та автентифікації, заснованих на атрибутах користувача (ідентифікатори, паролі, біометричні дані та т. ін.). Недостатні ідентифікації та автентифікації об'єктів , зокрема адреси відправника
Специфічні загрози інформаційним об'єктам
1	Подолання криптографічної захищеності інформаційних об'єктів, що перехоплені	Низька	К	високий	Використання витоків технічними каналами, вилучення із мережі та специфічних вірусних атак шляхом впровадження програм-шпигунів (spyware) із розкриттям ключових наборів
2	Подолання криптографічної захищеності інформаційних об'єктів робочих станцій	Низька	К	високий	Несанкціонований доступ до інформаційних об'єктів із використанням недоліків систем ідентифікації та автентифікації, заснованих на атрибутах користувача (ідентифікатори, паролі, біометричні дані та т. ін.) із розкриттям ключових наборів
3	Модифікація переданих даних, даних чи програмного коду, що зберігаються в елементах обчислювальних систем.	Висока	ц, д	високий	Модифікація чи підміна інформаційних об'єктів (програмних кодів) чи їх частин шляхом впровадження руйнуючих програмних засобів чи зміни логіки роботи програмного файлу із використанням спеціальних типів вірусних атак, спроможних здійснити те чи інше порушення цілісності. Викривлення певної кількості символів інформаційного об'єкту із використанням спеціальних впливів на інформацію технічними каналами в локальній мережі чи в елементах розподіленої мережі
4	Блокування сервісу чи перевантаження запитами системи управління доступом (відмова в обслуговуванні)	висока	Д	високий	Використання атак типу “спрямований шторм” (Syn Flood), передачі на об'єкт, що атакується, не коректних, спеціально підібраних запитів. Використання анонімних (чи із модифікованими адресами) запитів на обслуговування типу електронної пошти (spam) чи вірусних атак спеціального типу

Наявність такої інформації дозволяє побудувати більш предметну загальну модель системи захисту; оцінити значення залишкового ризику, як функцію захищеності по кожній із функціональних властивостей захищеності; визначити структуру системи захисту та її основні компоненти.



7. Модель порушника

За порушників на об'єктах інформаційної діяльності розглядаються суб'єкти , внаслідок навмисних або випадкових дій котрих, і (або) випадкові події, внаслідок настання яких можливі реалізації загроз для інформації.

Модель порушника - абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час та місце дії і т.ін. По відношенню до АС порушники можуть бути внутрішніми (з числа співробітників, користувачів системи) або зовнішніми (сторонні особи або будь-які особи, що знаходяться за межами контрольованої зони).

Модель порушника повинна визначати:

можливу мету порушника та її градацію за ступенями небезпечності для АС;

категорії осіб, з числа яких може бути порушник.;

припущення про кваліфікацію порушника;

припущення про характер його дій.

Метою порушника можуть бути:

отримання необхідної інформації у потрібному обсязі та асортименті;

мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами (інтересами, планами);

нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.

Порушники класифікуються за рівнем можливостей, що надаються їм всіма доступними засобами. (Таблиця 4).



Таблиця 4

Р	Можливості порушника по технологічному процесу	Потенційна група порушників	Можливий результат НСД
11	Ні	Службовці, які не мають доступу до інформації, але мають доступ в приміщення (обслуговуючій персонал, відвідувачі)	Перегляд на екрані монітора і розкрадання паперових і машинних носіїв.
2	Запуск задач (програм) з фіксованого набору, що реалізують заздалегідь передбачені функції з обробки інформації.	Більшість користувачів АС, які мають безпосередній доступ до приміщень, з повноваженнями, обмеженими на рівні системи захисту інформації (СЗІ).	Доступ користувача до інформації іншого користувача в його відсутність, в т.ч. через мережу, перегляд інформації на моніторі (недотримання організаційних вимог). Перегляд і розкрадання паперових носіїв.
3	Управління функціонуванням АС, тобто вплив на базове програмне забезпечення ОС і СУБД, на склад і конфігурацію обладнання АС. Робота із зовнішніми носіями.	Адміністратори АС, наділені необмеженими повноваженнями стосовно управління ресурсами.	Доступ адміністратора АС до інформації інших користувачів і до засобів СЗІ, ненавмисне руйнування інформації (недотримання організаційних вимог)
4 4	Весь обсяг можливостей осіб, які здійснюють ремонт технічних засобів АС.	Обслуговуючий персонал АС. Фахівці сторонніх організацій, які здійснюють постачання і монтаж обладнання для АС.	Доступ обслуговуючого персоналу АС до ПК з інформацією інших користувачів, руйнування інформації, установка закладних пристроїв (недотримання організаційних вимог при ремонті АС).

Загальні положення

1 Визначення політики безпеки

Під політикою безпеки інформації слід розуміти сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, що регламентують порядок обробки інформації і спрямовані на захист інформації від можливих загроз.

Політика інформаційної безпеки, є обов'язковою для дотримання всіма співробітниками які є користувачами АС.

2. Цілі політики безпеки

Основними цілями політики безпеки є гарантування:

штатного функціонування АС;

доступу до інформаційних об'єктів та ресурсів АС у відповідності до правил розмежування доступу;

спостережності дій користувачів усіх категорій, які мають доступ до АС;

захисту даних у кожному компоненті АС;

достатності та ненадмірності захисту інформації у відповідності з вимогами законодавства;

забезпеченності користувачів усіх категорій відповідними організаційно-розпорядчими документами, щодо захисту інформації;

забезпеченності планами підтримки безперебійної роботи АС та планами її відновлення;

достатності впроваджених заходів та засобів для проведення службових розслідувань в разі виявлення порушення політики безпеки АС.

3. Загальні вимоги політики безпеки

Інформація, яка обробляється в АС, не підлягає неконтрольованому та несанкціонованому ознайомленню, розмноженню, розповсюдженню, копіюванню, відновленню, а також неконтрольованій та несанкціонованій модифікації.

В основу політики безпеки АС покладений адміністративний принцип розмежування доступу, який реалізується відповідно до принципу мінімуму повноважень, згідно з яким право доступу може бути надане користувачеві лише за фактом службової необхідності. Наявність службової необхідності визначається посадовими обов'язками користувачів.

З метою забезпечення необхідного режиму доступу до інформації повинен бути визначений відповідальний підрозділ - служба захисту інформації, якому надаються повноваження щодо організації та впровадження прийнятої політики безпеки в АС.

Всі працівники Видавництва «Книгоман», які беруть участь в обробці інформації в АС, повинні бути зареєстровані як користувачі в системних журналах АС.

Керування правами доступу користувачів до захищених об'єктів та параметрами КЗЗ у складі АС повинен здійснювати спеціально уповноважений працівник - адміністратор безпеки АС.

Надання доступу до інформації АС повинно здійснюватися тільки за умови достовірного розпізнавання ідентифікаційних параметрів користувачів АС. Процедура розпізнавання та надання повноважень здійснюється як організаційними заходами, так і з використанням програмно-апаратних засобів розмежування доступу.

Машинні носії інформації повинні мати відповідні ідентифікаційні реквізити.

Спроби порушення встановленого порядку доступу до інформації повинні блокуватись.

4. Реалізація політики безпеки комплексною системою захисту інформації

Реалізація політики безпеки здійснюється за допомогою комплексної системи захисту інформації АС - взаємопов'язаній сукупності організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

КСЗІ АС забезпечує реалізацію вимог із захисту інформації, які визначені у Технічному завданні на створення КСЗІ в АС а саме щодо:

цілісності та доступності функціональної та технологічної інформації АС;

конфіденційності, цілісності та доступності технологічної інформації КСЗІ.

КСЗІ АС розглядається як сукупність взаємопов'язаних нормативно-правових та організаційних заходів і інженерно-технічних засобів щодо захисту інформації від НСД.

1. Нормативно-правові заходи захисту інформації

Комплекс нормативно-правових заходів захисту інформації АС:

створення системи документів нормативно-правового забезпечення робіт з захисту інформації в АС;

впровадження заходів з забезпечення безпеки інформації в АС, виконання правових та договірних вимог з захисту інформації, визначення відповідальності посадових осіб, організаційної структури, комплектування і розподілу обов'язків співробітників служби захисту інформації в АС;

доведення до персоналу і користувачів АС основних положень політики безпеки інформації, їхнього навчання і підвищення кваліфікації з питань безпеки інформації;

запровадження системи контролю за своєчасністю, ефективністю і повнотою реалізації в АС рішень з захисту інформації, дотриманням персоналом і користувачами положень політики безпеки.

2. Організаційні заходи захисту інформації

Комплекс організаційних заходів захисту інформації в АС включає:

застосування режимних заходів на ОІД;

забезпечення фізичного захисту обладнання АС, носіїв інформації, інших ресурсів;

організацію проведення обстеження середовищ функціонування АС;

виконання робіт з захисту інформації та взаємодії з цих питань з іншими суб'єктами системи ТЗІ в Україні;

регламентацію доступу користувачів і персоналу до ресурсів АС;

здійснення профілактичних заходів щодо попередження ненавмисного порушення політики безпеки, зокрема попередження появи вірусів та ін.

3. Інженерно-технічні засоби захисту інформації

Комплекс інженерно-технічних засобів захисту інформації - сукупність програмно-апаратних засобів захисту призначено для:

розмежування доступу користувачів до інформації та інших ресурсів АС;

блокування несанкціонованих дій з інформацією та іншими ресурсами АС, локалізації цих дій по відношенню до ресурсів та ліквідації їх наслідків;

забезпечення контролю та захисту потоків інформації, яка обробляється в АС;

забезпечення спостереженості за діями користувачів та персоналу АС, реєстрації, збору, зберігання, обробки даних про події, які мають відношення до безпеки інформації, сповіщення адміністратора безпеки про такі події;

підтримання цілісності критичних ресурсів системи захисту, середовища виконання прикладних програм та інформації в ПТК;

забезпечення контролю за цілісністю об'єктів, що підлягають захисту;

організації обліку, зберігання та обігу матеріальних носіїв інформації;

забезпечення управління засобами КСЗІ та контролю за її функціонуванням.

Основні організаційні заходи

1 Організаційні заходи щодо керування доступом

Організаційні заходи щодо керування доступом повинні передбачати:

визначення порядку доступу користувачів у захищене приміщення, до технічних засобів, носіїв інформації, програмного та інформаційного забезпечення;

визначення порядку внесення/вилучення даних щодо атрибутів доступу користувача до АС установи банку.

2 Організаційні заходи щодо реєстрації та обліку МНІ та документів

Організаційні заходи щодо реєстрації та обліку повинні передбачати визначення порядку:

обліку, використання і зберігання машинних носіїв інформації (МНІ);

організації зберігання, використання і знищення документів і носіїв, що містять інформацію з обмеженим доступом, відповідно до вимог нормативних документів.

3 Організаційні заходи щодо забезпечення цілісності інформації

Організаційні заходи щодо забезпечення цілісності інформації повинні передбачати:

резервне копіювання на МНІ еталонних копій операційних систем і функціональних програм;

облік, видачу, використання і зберігання МНІ, що містять еталонні і резервні копії операційних систем і функціональних програм;

контроль цілісності системного програмного забезпечення;

контроль цілісності КЗЗ АС.

4 Організаційні заходи щодо антивірусного захисту інформації

Організаційні заходи антивірусного захисту інформації в АС повинні передбачати:

використання ліцензійного антивірусного програмного забезпечення на всіх ПК, що входять до складу АС філіалу;

організацію постійного та своєчасного оновлення антивірусних баз.

5 Резервне копіювання, архівування та відновлення інформації

Для забезпечення відновлюваності інформації у випадку збоїв системи або помилок користувачів в АС повинно здійснюватися періодичне резервне копіювання.

Резервному копіюванню підлягає:

ІзОД, яка зберігається у файлах користувачів;

ІзОД, яка зберігається у БД;

настройки ОС, БД та КЗЗ;

журнали реєстрації.

Експлуатаційні та організаційно - розпорядчі документи повинні визначати порядок та періодичність резервного копіювання, архівування та відновлення інформації, місце збереження резервних копій та відповідальних посадових осіб.

Розмежування інформаційних потоків

КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувачів і захищених об'єктів. Розмежування доступу здійснюється на рівні надання (встановлення заборони) користувачеві прав читати або модифікувати об'єкт.

КЗЗ повинен надавати можливість адміністратору системи та адміністратору безпеки (відповідно до своїх повноважень) для кожного захищеного об'єкта визначити конкретних користувачів (групи користувачів), які мають право читати або модифікувати об'єкт.

КЗЗ повинен здійснювати розмежування доступу до слабозв'язаних об'єктів на підставі імені користувача (групи користувачів) і захищеного об'єкта та прав доступу.

КЗЗ повинен здійснювати розмежування доступу до сильнозв'язаних об'єктів на підставі імені користувача та його ролі.

Розмежування доступу до ресурсів серверу управління базами даних повинно здійснюватися за допомогою надання адміністратором БД користувачеві певної ролі.

Запити на зміну прав доступу (надання прав доступу, внесення користувача до певної групи або надання певної ролі) повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністратора системи, адміністратора безпеки, адміністратора баз даних (СКБД).

Обслуговуючий персонал має право створювати, модифікувати, вилучати, друкувати та копіювати на МНІ файли з текстовими документи, за які вони відповідають, а також працювати із файлами з документами, що створюються спільно з іншими користувачами, відповідно до наданих прав.

Обслуговуючий персонал має право читати та модифікувати інформацію, що міститься у БД в залежності від програмного комплекса, із яким він працює та прикладної ролі, яку він виконує у цьому комплексі.

Обслуговуючий персонал має право на перегляд та запуск загальносистемного та спеціального програмного забезпечення (право на запуск певного ПК надається відповідно до його функціональних обов'язків).

Обслуговуючий персонал не повинен виконувати настройки конфігурації КЗЗ, загальносистемного та програмного забезпечення, СКБД, змінювати їх склад та структуру, коригувати права доступу, тобто виконувати функції будь-кого з Адміністраторів.

Адміністратори мають право працювати (створювати, модифікувати, вилучати, друкувати та копіювати на МНІ) з електронними документами, за які вони відповідають, а також працювати із файлами з документами, що створюються спільно з іншими користувачами, відповідно до наданих прав.

Також адміністратор БД має право працювати з програмними комплексами, що входять до складу спеціального програмного забезпечення (право на запуск певного ПК надається відповідно до його функціональних обов'язків).

Вимоги до правил адміністрування КЗЗ і реєстрації дій користувачів

Щодо реєстрації дій користувачів КЗЗ повинен забезпечити реалізацію наступних функцій:

Реєстрацію наступних подій, що мають відношення до безпеки:

реєстрація користувача в системі (вхід/вихід до/з системи);

зміна паролю користувачем ;

зміна прав та повноважень доступу до файлів та ресурсів;

створення, доступ та знищення файлів;

запуск програм, які мають доступ до ІзОД.

Обов'язковими параметрами реєстрації мають бути:

дата, час, та назва події;

ідентифікатор суб'єкта, що ініціював подію.

Можливість вибіркового перегляду журналу подій, що повинні реєструватися;

Зберігання та захист журналів реєстрації від несанкціонованої модифікації.

Реєстрація дій користувача, пов'язаних з виводом інформації на друк за допомогою принтера, введення інформації за допомогою сканера та копіювання інформації на з'ємні машинні носії повинна фіксуватися в паперовому “Журналі обліку роботи користувачів банку”.

Середовище АС

1. Вимоги до заземлення

Усі металеві конструкції в приміщенні повинні бути заземлені;

Система заземлення не повинна мати вихід за межі контрольованої території;

Опір кіл заземлення від засобів філії до вузлів системи заземлення не повинен перевищувати 4 Ом.

2 Вимоги до електроживлення

Електроживлення АС філії повинне здійснюватися від трансформаторної підстанції низької напруги, розміщеної у межах контрольованої території. У випадку знаходження трансформаторної підстанції за межами контрольованої території електроживлення повинно здійснюватися через розділовий трансформатор.

Мережа електроживлення АС філії повинна бути відділена від мережі освітлення та побутової мережі і забезпечувати безперебійну експлуатацію та працездатність АС.

Електроживлення повинно здійснюватися через протизавадні мережеві фільтри.

3 Вимоги до захисту інформації від витоку візуально-оптичним каналом

Для захисту інформації від витоку візуально-оптичним каналом вікна приміщень, де розташована АС філії, повинні бути обладнані жалюзями або шторами.

Фізичне середовище АС

До компонентів фізичного середовища АС відносяться:

територія, будівля та приміщення, де знаходяться компоненти АС;

місця зберігання змінних, паперових та інших носіїв інформації;

охорона території, будівлі, приміщень та режими доступу до цих компонентів;

системи життєзабезпечення (електроживлення, заземлення, пожежної та охоронної сигналізації), комунікацій і зв'язку (телефон, факс);

проектна та експлуатаційна документація на компоненти фізичного середовища.

1. Територія фізичного середовища

Територія, яка знаходиться під цілодобовою охороною.

2. Будівля, де розгорнута АС

Доступ працівників Видавництва «Книгоман» в будівлю здійснюється за перепустками. Доступ сторонніх осіб в будівлю контролюється черговим відповідного підрозділу і здійснюється за узгодженням керівника. Співробітники, які приймають в будинку сторонніх осіб, зустрічають їх при вході і супроводжують на вихід після завершення візиту.

3. Приміщення де знаходяться компоненти АС

Приміщенню, в якому розміщуються компоненти АС, категорія об'єкта інформаційної діяльності не надана, у зв'язку з тим, що в ньому не передбачається обробка інформації, яка становить державну таємницю (у відповідності до вимог “Тимчасового положення про категоріювання об'єктів” ДСТСЗІ від 10.07.95 за № 35).

Приміщення контролюються охороною. Доступ до приміщення, де знаходиться АС, здійснюється посадовими особами, які мають на це право за характером своєї діяльності. Всі співробітники отримують доступ лише в ті приміщення, які дозволені їм політикою безпеки.

Приміщення у позаслужбовий час опечатуються металевими печатками посадових осіб, що в них працюють.

4. Місця зберігання носіїв інформації

Місця та порядок зберігання змінних носіїв інформації здійснюється згідно відповідних інструкцій.

5. Системи життєзабезпечення, комунікацій та зв'язку

Системи життєзабезпечення: система електроживлення, система заземлення, система пожежної та охоронної сигналізації повинна відповідати вимогам із захисту інформації.

6. Документація на компоненти фізичного середовища

Проектна та експлуатаційна документація на компоненти фізичного середовища зберігається у спеціально відведеному місці. Відповідальність за її збереження несе призначена для цього посадова особа структурного підрозділу

ПЛАН ЗАХИСТУ ІНФОРМАЦІЇ

1. Завдання захисту інформації в АСВТЗІ

1.1 Загальні положення

План захисту інформації в АСВТЗІ (далі - План захисту), визначає політику в сфері захисту інформації в АСВТЗІ та організацію захисту інформації на всіх етапах її життєвого циклу. Він розробляється на підставі проведеного аналізу технології обробки інформації, аналізу ризиків, сформульованої політики безпеки інформації, визначає і документально закріплює об'єкти захисту інформації в АСВТЗІ, основні завдання захисту, загальні правила обробки інформації в АСВТЗІ, мету побудови та функціонування КСЗІ, заходи із захисту інформації. План захисту фіксує на певний момент часу склад АСВТЗІ, перелік оброблюваних відомостей, технологію обробки інформації, склад комплексу засобів захисту інформації, склад необхідної документації відповідно вимог НД ТЗІ 1.4-001-2000. План захисту повинен регулярно переглядатися та при необхідності змінюватися.

АСВТЗІ призначено для автоматизації процесів обробки інформації з обмеженим доступом.

1.2 Основні завдання захисту інформації

Основними завданнями захисту інформації в АСВТЗІ є:

забезпечення визначених політикою безпеки властивостей інформації (цілісності, доступності, конфіденційності) під час експлуатації АСВТЗІ та його керованості;

своєчасне виявлення та знешкодження загроз для ресурсів АСВТЗІ з врахуванням її архітектури, причин та умов, які спричиняють або можуть привести до порушення її функціонування та розвитку;

створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні АСВТЗІ;

керування засобами захисту інформації, керування доступом користувачів до ресурсів АСВТЗІ, контроль за їхньою роботою з боку СЗІ, оперативне сповіщення про спроби НСД;

реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації;

створення умов для максимально можливої локалізації джерел загроз, що виникають внаслідок неправомірних дій фізичних та юридичних осіб, впливу зовнішнього середовища та інших чинників негативного впливу на безпеку функціонування АСВТЗІ.

1.3 Об'єкти захисту

Виходячи з рекомендацій НД ТЗІ 1.4-001-2000, об'єктами захисту АСВТЗІ є:

відомості, віднесені до інформації з обмеженим доступом, обробка яких здійснюється в АСВТЗІ і які можуть знаходитись на паперових, магнітних та інших носіях;

інформаційні масиви та бази даних, програмне забезпечення, інші інформаційні ресурси;

обладнання АСВТЗІ та інші матеріальні ресурси, включаючи технічні засоби та системи, що не задіяні в обробці інформації, але знаходяться у контрольованій зоні, носії інформації, процеси і технології її обробки;

засоби та системи фізичної охорони матеріальних та інформаційних ресурсів, організаційні заходи захисту;

користувачі (персонал) АСВТЗІ та власники інформації.

1.4 Шляхи забезпечення безпеки інформації

Забезпечення безпеки інформації в АСВТЗІ досягається:

організацією та впровадженням системи допуску посадових осіб (користувачів) до роботи з інформацією;

організацією обліку, зберігання, обігу інформації та її носіїв;

здійсненням контролю за забезпеченням захисту інформації, яка обробляється в АСВТЗІ, та за збереженням носіїв інформації;

використанням програмно-технічних засобів комплексної системи захисту інформації.

2. Класифікація інформації, що обробляється в АСВТЗІ

2.1 Склад інформації в АСВТЗІ

АСВТЗІ призначена для роботи з інформацією з обмеженим доступом, яка представлена у вигляді текстових документів, електронних таблиць.

До інформації АСВТЗІ відносяться також загальне, функціональне та спеціальне програмне забезпечення АСВТЗІ та дані захисту.

2.2 Класифікація інформації за режимом доступу та правовим режимом

За режимом доступу інформація, що обробляється в АСВТЗІ, поділяється на відкриту інформацію та інформацію з обмеженим доступом.

Інформація з обмеженим доступом, яка обробляється в АСВТЗІ і за своїм правовим режимом поділяється на такі категорії:

конфіденційна інформація;

цілком конфіденційна інформація.

В АСВТЗІ до інформації з обмеженим доступом відноситься інформація, яка включена до „Переліку відомостей, що відносяться до конфіденційної інформації.

В АСВТЗІ до відкритої інформації відносяться всі види програмного забезпечення та інформація, яка не визначена відповідними документами як конфіденційна.

2.3 Класифікація інформації за типом представлення в АСВТЗІ

У таблиці 2.3.1 для кожної з визначених у п. 2.2 категорій інформації вказано тип її логічного та фізичного представлення.



Таблиця 2.3.1

№ пп	Інформація	Логічне представлення	Фізичне представлення	Місце зберігання
Відкрита інформація
1	Загальне, функціональне та спеціальне програмне забезпечення	Програмний засіб	Файл	Жорсткий диск комп'ютера
2	Програмні засоби захисту	Програмний засіб	Файл	Жорсткий диск комп'ютера
3	Дистрибутиви ПЗ, у тому числі ПЗ захисту	Дистрибутив	Файл	CD-ROM, Жорсткий диск комп'ютера
4	Документи, які містять відкриту інформацію	Текстовий документ, електронна таблиця	Файл	Жорсткий диск комп'ютера або змінні диски
Конфіденційна інформація
5	Документи, яким встановлений гриф “конфіденційно”, „цілком конфіденційно”	Текстовий документ, електронна таблиця	Файл	Жорсткий диск комп'ютера, гнучкі магнітні диски (дискети)
6	Дані захисту	Таблиця БД захисту, журнал захисту, параметр конфігурації системи	Файл, параметр системного реєстру	Жорсткий диск комп'ютера
7	Резервні копії даних захисту	Таблиця БД захисту, текстовий документ, журнал захисту	Файл	гнучкі магнітні диски (дискети)

3. Опис компонентів АСВТЗІ та технології оброки інформації

3.1 Компоненти АСВТЗІ

До компонентів АСВТЗІ відносяться такі:

технічне забезпечення (ПЕОМ та технічні засоби захисту);

програмне забезпечення;

дані;

користувачі АСВТЗІ та технічний персонал.

3.1.1 Технічне забезпечення

АСВТЗІ побудовано на базі одного автономного комп'ютера.

Склад технічних засобів АСВТЗІ наведено в Паспорті формулярі АСВТЗІ.

3.1.2 Програмне забезпечення

Програмне забезпечення АСВТЗІ поділяється на загальне, функціональне та спеціальне.

Перелік програмного забезпечення наведено в Паспорті формулярі АСВТЗІ

3.1.3 Дані

За місцем зберігання дані АСВТЗІ поділяються на два види: дані на магнітних та інших носіях та дані на паперових носіях.

3.1.3.1 Дані на магнітних та інших носіях

Серед даних, що зберігаються на магнітних та інших носіях, розрізняють дані постійного та тимчасового зберігання.

3.1.3.2 Дані на паперових носіях

До даних, що зберігаються на паперових носіях, відносяться:

друковані документи;

документація на АСВТЗІ:

Технічне завдання;

Інструкція користувача АС 1;

Інструкція з адміністрування системи;

технічна документація на систему захисту інформації ЛОЗА-1;

Паспорт-формуляр на АСВТЗІ;

облікові картки користувачів АСВТЗІ;

Положення про службу захисту інформації;

План захисту інформації;

Інструкція щодо забезпечення режимних заходів під час обробки конфіденційної інформації в АСВТЗІ.

3.1.4 Користувачі АСВТЗІ та технічний персонал

Відповідно до рівня повноважень щодо доступу до секретної інформації, характеру робіт, які виконуються в процесі функціонування АСВТЗІ, для користувачів АСВТЗІ визначаються такі ролі:

звичайний користувач;

адміністратор безпеки;

адміністратор документів;

системний адміністратор.

Облікова картка користувача містить такі реквізити:

ім'я користувача в АСВТЗІ;

прізвище та ініціали, підрозділ і посада користувача;

рівень допуску (найвищий гриф секретності інформації, з якою дозволено працювати користувачеві);

роль користувача в системі (або декілька ролей у випадку суміщення адміністративних ролей);

Для кожного користувача, що буде працювати в АСВТЗІ, заповнюється одна або декілька облікових карток - у залежності від ролей, які він виконує в системі. Кожна облікова картка відповідає обліковому запису користувача в базі даних захисту. Роль звичайного користувача не суміщається в одному обліковому записі з жодною з адміністративних ролей, адміністративні ролі можна суміщати між собою. Тому в разі виконання однією особою функцій адміністратора(ів) та звичайного користувача, заповнюються щонайменше дві облікові картки (одна картка для ролі „звичайний користувач” та хоча б одна картка для адміністративних ролей) з різними іменами для реєстрації в системі.

Технічний персонал АСВТЗІ забезпечує роботоздатність технічних засобів АСВТЗІ та обслуговування приміщень, де встановлені ці засоби.

3.1.5 Активні та пасивні об'єкти АСВТЗІ та їхня взаємодія

Активними об'єктами в технологічному процесі обробки інформації в АСВТЗІ є користувачі АСВТЗІ, персонал, а також програмні засоби.

До пасивних об'єктів АСВТЗІ, які беруть участь у технологічному процесі обробки інформації, відносяться: дані, програмні засоби та технічні засоби.

Таким чином, програмні засоби можуть бути як активними, так і пасивними об'єктами. Активними вони є, коли представляють користувача, пасивними, коли користувач звертається до них.

Активні та пасивні об'єкти, з якими взаємодіє активний об'єкт, представлені в таблиці 3.1. Оскільки програмні засоби, як активні об'єкти, не мають своїх атрибутів доступу, у цій таблиці вони розглядаються тільки як пасивні об'єкти.

Таблиця 3.1

№ пп	Активний об'єкт (суб'єкт)	Пасивні об'єкти
1	Адміністратор безпеки	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне, функціональне та спеціальне ПЗ; 3 Дані: дані захисту, резервні копії, облікові картки користувачів, проектні та експлуатаційні документи на АСВТЗІ
2	Системний адміністратор	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне та функціональне ПЗ, програмні засоби захисту; 3 Дані: дані захисту, резервні копії системних даних, дистрибутиви ПЗ, експлуатаційні документи на АСВТЗІ
3	Адміністратор документів	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне, функціональне та спеціальне ПЗ; 3 Дані: текстові документи та електронні таблиці, експлуатаційні документи на АСВТЗІ
4	Звичайний користувач	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне, функціональне та спеціальне ПЗ; 3 Дані: текстові документи та електронні таблиці, експлуатаційні документи на АСВТЗІ
5	Технічний персонал	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне та функціональне ПЗ; 3 Дані: експлуатаційна документація на технічні засоби

3.2 Технологія обробки інформації

3.2.1 Організація роботи з інформацією обмеженого доступу

Звичайні користувачі працюють у системі з документами, які містять інформацію з обмеженим доступом.

Інформація з обмеженим доступом зберігається на жорсткому магнітному диску АСВТЗІ та на змінних носіях інформації (дискети, флеш накопичувачі).

Змінні носії інформації з ІзОД зберігаються в спеціальному відділі у металевому сейфі та доступ до них регламентується розпорядчими документами.

Друк та експорт інформації з обмеженим доступом відбувається відповідно розпорядчих документів.

3.2.2 Технологія роботи з документами

Документи зберігаються в базах документів, для яких встановлюється адміністративне керування доступом. Керування доступом до документів здійснюють адміністратори документів.

Безпосередньо з усіма документами працюють звичайні користувачі. Для забезпечення можливості керування доступом адміністраторам документів надається можливість читання документів, а також може надаватись можливість роботи з документами.

Нові документи створюються користувачами вручну або імпортуються з іншого носія. Документи також можуть бути експортовані на інший носій.

4. Організаційні заходи захисту

4.1 Загальні підходи до забезпечення політики безпеки

Для забезпечення захисту інформації з обмеженим доступом в АСВТЗІ та належного функціонування комплексної системи захисту інформації створюється служба захисту інформації.

Склад та функції служби захисту інформації в АСВТЗІ визначаються відповідно до документа “Положення про службу захисту інформації”.

Повноваження користувачів встановлюються керівництвом та узгоджуються з спеціальним відділом. Облік користувачів АСВТЗІ здійснюється за допомогою облікових карток, на підставі яких адміністратор безпеки вводить, змінює або видаляє інформацію про користувача АСВТЗІ. Облікові картки заповнюються та зберігаються в спеціальному відділі.

Питання організації навчання користувачів, які допускаються до роботи на АСВТЗІ, з питань захисту інформації під час її обробки за допомогою АСВТЗІ, включаються до Календарного плану основних заходів з технічного захисту інформації.

Навчання повинно бути направлено на засвоєння всіма категоріями користувачів вимог нормативних актів з питань захисту інформації та охорони державної таємниці.

Усі користувачі повинні знати вимоги основних документів щодо захисту інформації, вимоги розпорядчих документів які регламентують порядок проведення робіт з ІзОД за допомогою АСВТЗІ.

Доведення до користувачів вимог діючих нормативних та організаційно-розпорядчих документів щодо захисту інформації в АСВТЗІ здійснюється начальником спеціального відділу.

До обробки інформації на АСВТЗІ допускаються лише особи, яки успішно здали відповідні заліки та включені до затвердженого списку осіб, які допущені до обробки інформації за допомогою АСВТЗІ.

Виконання робіт в АСВТЗІ дозволяється працівникам, які включені до списку користувачів АСВТЗІ.

Начальник спеціального відділу забезпечує виконання вимог нормативних документів щодо забезпечення режимних заходів під час роботи з ІзОД, а саме:

облік друкованих документів;

облік змінних носіїв інформації (дискет, флеш накопичувачів);

облік технічних засобів, що пройшли спецдослідження;

ведення облікових карток користувачів у частині, що його стосується.

Основні функції щодо забезпечення захисту інформації в АСВТЗІ покладаються на службу захисту інформації в АСВТЗІ до складу якої входить начальник служби, системний адміністратор та адміністратор безпеки. На службу захисту інформації в АСВТЗІ відповідно адміністративних ролей в АСВТЗІ покладаються наступні основні функції:

Адміністратор безпеки:

ведення облікових карток користувачів;

ведення бази даних захисту;

настройка системи;

зміна, у разі необхідності, власника баз документів;

спостереження за роботою системи;

архівація баз документів;

архівація даних захисту;

настройка апаратного забезпечення;

створення баз документів;

керування доступом до документів.

Системний адміністратор:

супроводження програмного забезпечення, у тому числі програмного забезпечення КЗЗ;

супроводження апаратного забезпечення (разом із технічним персоналом).

Усі дії, які прямо чи опосередковано можуть вплинути на захищеність інформації (зміни дозволів на доступ до файлів та папок, очищення журналів операційної системи, зміни настройок BIOS Setup тощо), адміністратори АСВТЗІ виконують з дозволу начальника служби захисту інформації в АСВТЗІ.

Контроль за дотриманням персоналом та користувачами АСВТЗІ положень політики безпеки покладається на відповідального за ТЗІ та службу захисту інформації в АСВТЗІ.

4.2 Порядок введення (видалення) користувачів в(з) АСВТЗІ та змін їхніх повноважень

На підставі облікової картки адміністратор безпеки вводить у базу даних захисту інформацію про користувача АСВТЗІ, після чого ознайомлює під розпис користувача з його повноваженнями.

У випадку зміни повноважень користувача до облікової картки користувача вносяться необхідні зміни. На цій підставі адміністратор безпеки вносить зміни до бази даних захисту та ознайомлює з ними користувача.

При необхідності видалення користувача з АСВТЗІ (при звільненні з роботи, при зміні посадових обов'язків та ін.) вноситься відповідний запис до облікової картки користувача і на цій підставі адміністратор безпеки видаляє користувача з АСВТЗІ.

4.3 Керування системою та її компонентами

Керування системою здійснюють адміністратор безпеки та системний адміністратор.

Адміністратор безпеки вводить до системи нових користувачів та коригує відомості про них (у тому числі атрибути доступу), має можливість змінювати стан системи та значення параметрів конфігурації системи та ін. Адміністратор безпеки встановлює пароль на доступ до апаратних настройок комп'ютерів (Bios Setup Supervisor Password).

Системний адміністратор здійснює супроводження програмного та апаратного забезпечення. За необхідності він має можливість за узгодженням з адміністратором безпеки змінювати стан системи та значення параметрів конфігурації, які безпосередньо не пов'язані з керуванням доступом.

5. Фізичний захист інформації

Технічні засоби АСВТЗІ розташовано в приміщенні, яке знаходяться в межах контрольованої зони. Охорону контрольованої зони та перепускний режим до будівлі де розташовано приміщення з АСВТЗІ здійснює відомча охорона.

В неробочий час приміщення з АСВТЗІ опечатується та здається під охорону службі охорони.

Вхідні двері до приміщення № 1 з встановленою в ньому АСВТЗІ - залізні та обладнані двома замками різних систем. Крім того приміщення обладнано системою охоронної сигналізації.

Доступ до приміщення, у якому здійснюється обробка інформації з обмеженим доступом, здійснюється обмежений колом осіб, які допущені до роботи в цьому приміщенні.

6. Захист інформації від витоку технічними каналами

У приміщенні, де розташовано АСВТЗІ, створено комплекс технічного захисту інформації, який забезпечує блокування наступних технічних каналів витоку інформації:

каналів ПЕМВН;

радіотехнічний канал;

візуально-оптичний.

Роботи по створенню комплексу технічного захисту інформації проведені власними силами.

Відповідальний за захист інформації в АСВТЗІ організовує та координує роботи із ТЗІ, як планові (відповідно до вимог Акту атестації КТЗІ), так і одноразові - при проведенні заходів щодо змін та модернізації обладнання АСВТЗІ.



7. Порядок модернізації компонентів системи

7.1 Модернізація обладнання

При змінах конфігурації технічних засобів АСВТЗІ чи їх модернізації роботи з ТЗІ організовує та координує відповідальний за ТЗІ спільно з представниками служби захисту інформації в АСВТЗІ. Після проведення необхідних заходів з ТЗІ представниками служби захисту інформації в АСВТЗІ вносяться відповідні записи про зміні у складі АСВТЗІ в Паспорті-формулярі на АСВТЗІ.

7.2 Модернізація програмного забезпечення

Модернізація програмного забезпечення проводиться в разі необхідності (наприклад, у випадку надання розробниками сервісних пакетів, появи нових версій тощо). Поновлення всього програмного забезпечення здійснює системний адміністратор за узгодженням з начальником служби захисту інформації в АСВТЗІ та з відповідними відмітками в „Паспорті-формулярі на АСВТЗІ”.

7.3 Модернізація КЗЗ

Модернізація КЗЗ здійснюється відповідно до документа НД ТЗІ 3.6-001-2000 згідно з окремим технічним завданням або додатком до основного технічного завдання.



8. Порядок проведення відновлювальних робіт і забезпечення безперервного функціонування АСВТЗІ

У разі виникнення проблем у роботі технічного та програмного забезпечення АСВТЗІ системний адміністратор має вжити заходів для відновлення працездатності системи.

Відновлювальні роботи потребують зміни стану системи.

Правила проведення відновлення працездатності технічних засобів АСВТЗІ наведені в документі „Політика безпеки інформації в АСВТЗІ”.

Відновлення програмного забезпечення АСВТЗІ проводиться під час перебування системи в стані поновлення програмного забезпечення, відновлення КЗЗ - під час перебування системи в стані відновлення.

При проведенні відновлення програмного забезпечення за необхідності використовуються відповідні дистрибутиви. Відновлення операційної системи Windows проводиться за допомогою стандартної процедури відновлення Windows.

9. Контроль за функціонуванням КСЗІ

Організація контролю за функціонуванням КСЗІ в АСВТЗІ покладається на начальника служби захисту інформації в АСВТЗІ.

10. Порядок введення в експлуатацію КСЗІ

Обробка в АСВТЗІ інформації з обмеженим доступом дозволяється тільки після отримання атестата відповідності КСЗІ вимогам нормативних документів із питань захисту інформації.

Дозвіл на обробку інформації з обмеженим доступом за допомогою АСВТЗІ дається наказом директора.

11. Система документів щодо забезпечення захисту інформації в АСВТЗІ

Захист інформації в АСВТЗІ регламентується такими документами:

Закон України “Про інформацію” від 2 жовтня 1992 року №2658-ХІІ;

Закон України “Про захист інформації в інформаційно-телекомунікаційних системах” від 5 липня 1994 року № 80/94-ВР;

Положення про технічний захист інформації в Україні, затвердженого указом Президента України від 27 вересня 1999 року № 1229;

Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року N 373;

ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення;

ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт;

ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення;

НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.1-004-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованих системах;

НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу;

НД ТЗІ 2.5-007-07 Вимоги до комплексу засобів захисту інформації, що становить державну таємницю, від несанкціонованого доступу при її обробці в автоматизованих системах класу «1»;

НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі;

НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі;

Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року № 93;

Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, затверджене постановою Кабінету Міністрів України від 16 лютого 1997 року № 180;

НД ТЗІ 2.1-002-07 Захист інформації на об'єктах інформаційної діяльності. Випробовування комплексу технічного захисту інформації. Основні положення;

ТПКО-95 Тимчасове положення про категоріювання об'єктів;

ТР ЕОТ-95 Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок;

Інструкція щодо забезпечення режимних заходів щодо захисту інформації з обмеженим доступом під час її обробки в АСВТЗІ;

Положення про службу захисту інформації в АСВТЗІ;

Технічна документація на систему захисту інформації ЛОЗА-1;

Технічне завдання на створення КСЗІ в АСВТЗІ;

Інструкція з адміністрування системи АСВТЗІ;

Інструкція користувача АСВТЗІ;

Інструкція по оперативному відновленню функціонування АС.

Висновок

КСЗІ в АСВТЗІ:

забезпечує визначену для АСВТЗІ Політику безпеки інформації;

здійснює розмежування доступу користувачів в АСВТЗІ до інформації різних категорій конфіденційності;

реєструє спроби реалізації загроз інформації та сповіщає адміністраторів безпеки АСВТЗІ про факти несанкціонованих дій з ІзОД;

забезпечує спостережність інформації шляхом контролю за діями користувачів АСВТЗІ та реєстрацію подій, які мають відношення до безпеки інформації;

підтримує цілісність критичних ресурсів АСВТЗІ;

забезпечує організацію обліку, зберігання та обігу матеріальних носіїв інформації, які використовуються в АСВТЗІ;

забезпечує управління засобами захисту КСЗІ та контроль за її функціонуванням;

забезпечує захист ІзОД від її витоку технічними каналами;

блокує НСД до ІзОД та несанкціоновані дії з ІзОД;

блокує НСД до компонентів АСВТЗІ та на ОІД в цілому;

унеможливлює загрози ІзОД, яка циркулюватиме в АСВТЗІ;

забезпечує дотримання вимог режиму конфіденційності під час роботи користувачів АСВТЗІ з ІзОД;

Створена КСЗІ в АСВТЗІ може бути передана для проведення дослідної експлуатації.

Размещено на Allbest.ru