Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/5853| Title: | Комплексна система захисту інформації інформаційно-телекомунікаційної системи приватного підприємства «Everlabs» |
| Authors: | Палагін, Володимир Васильович Патлань, Дана Володимирівна |
| Keywords: | комплексна система захисту;захист інформації;інформаційно-телекомунікаційні системи |
| Issue Date: | 2023 |
| Abstract: | Головною метою роботи є розробка комплексної системи захисту інформації інформаційно-телекомунікаційної системи приватного підприємства «Everlabs». КСЗІ необхідна для досягнення максимальної ефективності захисту організації за допомогою одночасного використання всіх необхідних ресурсів, методів і засобів, що виключають несанкціонований доступ до інформації, що захищається. Об’єкт дослідження – захист інформації в інформаційно-телекомунікаційній системі. Предмет дослідження – комплексний захист інформації в інформаційно-телекомунікаційній системі приватного підприємства «Everlabs». |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/5853 |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| М_125_Патлань_Палагін.pdf Restricted Access | 3.95 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, АВТОТРАНСПОРТУ ТА МА-
ШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор
_______________ В.В. Палагін
"_____" _____________ 2023 року
Пояснювальна записка
до дипломного проекту (роботи) магістра
(освітньо-кваліфікаційний рівень)
на тему «Комплексна система захисту інформації інформаційно-телекомунікацій-
ної системи приватного підприємства "Everlabs"»
Виконала: студентка 2 курсу, групи БІ-021
Спеціальності 125 – «Кібербезпека»,
(шифр і назва спеціальності)
освітньої програми «Безпека інформаційних
і комунікаційних систем»
(назва освітньої програми)
Патлань Д.В.
(прізвище та ініціали)
Керівник Палагін В.В.
(прізвище та ініціали)
Рецензент Чепинога А.В.
(прізвище та ініціали)
Черкаси 2023
Форма № Н-9.01
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
Факультет електронних технологій, автотранспорту та машинобудування
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки
Освітньо-кваліфікаційний рівень магістр
Спеціальність 125 – Кібербезпека
Освітня програма – Безпека інформаційних і комунікаційних систем
ЗАТВЕРДЖУЮ
Завідувач кафедри В.В. Палагін
“_____” ___________________ 2023 року
ЗАВДАННЯ
НА ВИПУСКНУ РОБОТУ СТУДЕНТУ
Патлань Дана Володимирівна _
(прізвище, ім’я, по батькові)
1. Тема проекту (роботи) Комплексна система захисту інформації
інформаційно-телекомунікаційної системи приватного підприємства
«Everlabs»
керівник проекту (роботи) Палагін Володимир Васильович
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом вищого навчального закладу від «10» жовтня 2023 року № 271/04
2. Термін здачі студентом закінченої роботи «11» грудня 2023 року_________
3. Вихідні дані до роботи: аналіз інформаційно-телекомунікаційної системи приватного
підприємства «Everlabs»; обстеження об’єкта, на якому створюється комплексна
система захисту інформації; формування загальних вимог та аналіз можливих загроз
системі; розробка інженерно-технічних засобів захисту; розробка організаційних заходів
захисту; оформлення текстової документації та графічного матеріалу.
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити)
Вступ; Основні поняття та визначення комплексної системи захисту інформації; Етапи
створення КСЗІ на підприємстві; Розробка комплексу заходів і методів захисту;
Висновки; Список використаних джерел.
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів):
Основні поняття та визначення комплексної системи захисту інформації; Принципи
створення комплексної системи захисту інформації; Характристика підприємства
«Everlabs»; Аудит інформаційної безпеки підприємства; Основні причини порушення
захисту ІТС; Основні напрямки захисту інформаційних ресурсів; Програмно-апаратні
засоби захисту; Засоби фізичної безпеки; Організаційні заходи; Мультимедійна
презентація. .
6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх
стосуються
Прізвище, ініціали та посада Підпис, дата
Розділ консультанта завдання завдання
видав прийняв
7. Дата видачі завдання 04 вересня 2023 року
КАЛЕНДАРНИЙ ПЛАН
№ Назва етапів дипломного Строк виконання
з/п проекту (роботи) етапів проекту Примітка
(роботи)
1. П ошук і аналіз інформації по заданій темі 01.09.2023-
20.09.2023
2. Н аписання 1-го розділу: аналіз мережевих 21.09.2023-
вторгнень та ризиків в інформаційно- 10.10.2023
телекомунікаційних системах
3. Н аписання 2-го розділу: методи машинного 11.10.2023-
навчання для виявлення мережевих вторгнень 21.10.2023
4. Н аписання 3-го розділу: практична реалізація 22.10.2023-
методів машинного навчання для виявлення 15.11.2023
мережевих вторгнень
5. Н аписання вступу і висновків, складання 16.11.2023-
списку літератури 21.11.2023
6. О формлення пояснювальної записки 22.11.2023-
04.12.2023
7. О формлення плакатів презентації 05.12.2023-
10.12.2023
Студент Патлань Д.В.
( підпис ) (прізвище та ініціали)
Керівник проекту (роботи) Палагін В.В.
( підпис ) (прізвище та ініціали)
ЗМІСТ
ВСТУП .......................................................................................................................... 6
1. ОСНОВНІ ПОНЯТТЯ ТА ВИЗНАЧЕННЯ КОМПЛЕКСНОЇ СИСТЕМИ
ЗАХИСТУ ІНФОРМАЦІЇ ........................................................................................... 7
1.1 Проблематика та огляд систем захисту інформації ...................................... 7
1.2 Поняття комплексної системи захисту інформації ..................................... 11
1.3 Принципи створення комплексної системи захисту інформації ............... 13
1.4 Порядок створення комплексної системи захисту інформації .................. 18
1.5 Постановка задачі ........................................................................................... 22
1.6 Висновки ......................................................................................................... 23
2. ЕТАПИ СТВОРЕННЯ КСЗІ НА ПІДПРИЄМСТВІ ........................................... 24
2.1 Характеристика підприємства та оцінка існуючого стану захисту .......... 24
2.2 Формування загальних вимог до КСЗІ в ІТС .............................................. 27
2.1.1 Обґрунтування необхідності створення КСЗІ в ІТС .......................... 27
2.1.2 Обстеження середовищ функціонування ІТС ..................................... 28
2.3 Розробка політики безпеки інформації в ІТС .............................................. 30
2.3.1 Визначення потенційних загроз та порушників ................................. 30
2.3.2 Оформлення політики безпеки ............................................................. 36
2.4 План захисту інформації в ІТС ..................................................................... 37
2.5 Висновки ......................................................................................................... 39
3. РОЗРОБКА КОМПЛЕКСУ ЗАХОДІВ І МЕТОДІВ ЗАХИСТУ ....................... 40
3.1 Програмно-апаратні засоби захисту ............................................................. 41
3.1.1. Захист від несанкціонованого доступу ............................................... 41
3.1.2 Захист від витоку технічними каналами .............................................. 46
3.2 Засоби фізичної безпеки ................................................................................ 51
3.3 Організаційні заходи захисту ........................................................................ 54
3.3.1 Організація пропускного режиму та охорони ..................................... 55
ЧДТУ.23.22189.004 ПЗ
Змн. Арк. № докум. Підпис Дата
Розроб. Патлань Д.В. Комплексна система захисту Літ. Арк. Акрушів
Перевір. Палагін В.В.. інформації інформаційно-теле- 3
Реценз. комунікаційної системи при-
Н. Контр. Палагін В. ватного підприємства ЧДТУ
Затверд. «Everlabs»
3.3.2 Робота з персоналом .............................................................................. 55
3.3.3 Вимоги до приміщень та робочих місць користувачів ІТС ............... 56
3.3.4 Порядок роботи з інформаційними ресурсами ................................... 58
3.3.5 Заходи для проведення конфіденційних нарад ................................... 59
3.4 Економічні розрахунки на реалізацію КСЗІ ................................................ 59
3.5 Висновки ......................................................................................................... 61
ВИСНОВКИ ............................................................................................................... 62
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ................................................................. 63
ДОДАТОК А. Ілюстративний матеріал .................................................................. 65
Арк.
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 5
ВСТУП
В даний час надзвичайно актуальна тема захисту інформації на підприємстві,
а глобальний ринок пропонує безліч окремих інженерно-технічних, програмно-
апаратних криптографічних засобів захисту інформації. Щоб створити умови для
ефективного захисту інформації підприємства, необхідно об’єднати окремі засоби
захисту в єдину систему.
Головною метою роботи є розробка комплексної системи захисту інформації
інформаційно-телекомунікаційної системи приватного підприємства «Everlabs».
КСЗІ необхідна для досягнення максимальної ефективності захисту організації за
допомогою одночасного використання всіх необхідних ресурсів, методів і засобів,
що виключають несанкціонований доступ до інформації, що захищається.
Об’єкт дослідження – захист інформації в інформаційно-телекомунікаційній
системі. Предмет дослідження – комплексний захист інформації в інформаційно-
телекомунікаційній системі приватного підприємства «Everlabs».
У ході кваліфікаційної роботи для досягнення мети були поставлені такі за-
вдання:
1) пошук та огляд інформаційних джерел;
2) огляд існуючих проектних рішень системи захисту інформації;
3) обстеження об’єкта, на якому створюється комплексна система захисту інфо-
рмації;
4) формування загальних вимог та аналіз можливих загроз системі;
5) розробка інженерно-технічних засобів захисту;
6) розробка організаційних заходів захисту;
7) проведення економічних розрахунків на реалізацію комплексної системи за-
хисту інформації;
8) оформлення текстової документації та графічного матеріалу.
Всі сформульовані етапи роботи занесені до календарного плану із зазначе-
ними строками виконання.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 6
1. ОСНОВНІ ПОНЯТТЯ ТА ВИЗНАЧЕННЯ КОМПЛЕКСНОЇ СИСТЕМИ
ЗАХИСТУ ІНФОРМАЦІЇ
1.1 Проблематика та огляд систем захисту інформації
Сучасне підприємство має ряд особливостей, які роблять його досить склад-
ною системою. Проблема захисту ресурсів такої системи передбачає два протиле-
жні напрямки. По-перше, виникає потреба у забезпеченні надійного та ефективного
захисту від несанкціонованого ознайомлення чи отримання інформації. По-друге,
такий захист має бути економічно доступний та не приносити незручності корис-
тувачам під час їх роботи з інформаційно-телекомунікаційною системою підпри-
ємства. Тому забезпечення безпеки полягає у створенні всебічної системи захисту,
яка має на меті забезпечити конфіденційність, цілісність та доступність інформації
(рис.1.1). Це здійснюється шляхом впровадження системи захисту інформації, яка
має ефективно поєднувати в собі широкий спектр різноманітних заходів, спрямо-
ваних на забезпечення захисту важливої інформації.
Рис. 1.1 – модель СІА: основні властивості інформації
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 7
Розглянемо найвідоміші готові рішення систем захисту інформації, які пере-
вірені Державною службою спеціального зв'язку та захисту інформації. Система за-
хисту інформації Лоза-1 версія 4 (для автономних комп’ютерних машин) або Лоза-
2 версія 4 (для локальних мереж) – програмний комплекс захисту від несанкціоно-
ваного доступу, який має дві конфігурації: «Підвищена безпека» – для захисту дер-
жавної таємниці та «Стандартна безпека» – для захисту службової та конфіденцій-
ної інформації. Даний комплекс представляє ряд надійних заходів захисту:
• захист та контроль носіїв інформації,
• контроль друку окремих документів,
• контроль та захист входу користувачів до системи,
• докладна реєстрація та аналіз подій.
Також значною перевагою є підтримка різних версій операційних систем опе-
раційних систем Windows (у тому числі версій 10/11), інтеграція з Microsoft Office,
а також дійсний експертний висновок №1095, що дозволяє застосовувати цей про-
грамний засіб для побудови комплексної системи захисту інформації.
Наступний комплекс засобів захисту – Рубіж-РСО версія 2 (для автономних
комп’ютерних машин) та VTI-Рубіж версія 2 (для локальних мереж). Має посилену
автентифікацію, можливість ввімкнення та вимкнення моніторингу, інформування
під час виявлення будь-яких порушень. Має менший рівень гарантій (Г-3), на від-
міну від системи Лоза-1 чи Лоза-2. Пропонує виконання наступних задач:
• доступ до інформації лише після ідентифікації та посиленої автентифікації
користувача відповідно до його повноважень;
• виключає можливість несанкціонованого ознайомлення з інформацією;
• захист від неконтрольованої модифікації інформації;
• облік та реєстрація дій користувачів, спроб порушення правил доступу до ін-
формації,
• автоматично блокує доступ у разі виявлення порушень
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 8
Ще одна система – комплекс «Гриф» версії 5. Має також дві конфігурації:
базова та з підвищеними вимогами. Перша рекомендується для захисту інформації
в локальній мережі, де невелика кількість обчислювальних машин (до 30), які роз-
ташовані в одному приміщенні. Друга конфігурація є оптимальним варіантом для
локальних мереж з великою кількістю обчислювальних машин (більше 30). Вона
також надає можливість збору та аналізу інформації про критичні події в реальному
часі. Функції комплексу «Гриф»:
• ідентифікація та автентифікація користувачів,
• розмежування доступу та обов’язків користувачів,
• контроль за друком та експортом,
• остаточне видалення інформації,
• контроль цілісності програмного забезпечення,
• моніторинг та аудит подій.
«Гриф» є найсильнішим комплексом засобів захисту із представлених, бо на-
дає найбільшу кількість послуг безпеки та високий рівень гарантій, порівняно зі
своїми аналогами.
Недоліки представлених систем: не підтримують інші операційні системи, за-
безпечують повноцінний захист без урахування наявності доступу до Інтернету, за-
безпечують тільки захист на програмному рівні і не є достатнім заходом для сучас-
ного підприємства.
Захист будь-якої організації потребує рішення, яке поєднує в собі набір не
тільки програмних, а й організаційних та інженерно-технічних заходів захисту. За-
звичай комерційні організації самі вирішують, як будувати систему інформаційної
безпеки (СІБ). Проте нормативне законодавство у сфері захисту інформації пропо-
нує ще одне рішення – комплексну систему захисту інформації (КСЗІ). Розглянемо
основні відмінності між даними системами захисту (рис. 1.2).
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 9
Рис. 1.2 – Порівняльний аналіз систем захисту інформації
Отже, при розробці СІБ, на відміну від КСЗІ, не вимагається дотримання но-
рмативних вимог щодо захисту інформації, оскільки основними користувачами є
комерційні підприємства, які не обробляють інформацію, що належить до держав-
них ресурсів. Друга відмінність – відсутність контролю державного органу в СІБ,
проте є обов’язковість проведення державної експертизи в КСЗІ. Також СІБ дозво-
ляє довільно обирати ряд технічних засобів і використовувати будь-які рішення для
захисту інформації.
Варто зазначити, що згідно НД ТЗІ [1], дотримання усіх вимог, в тому числі
проведення державної експертизи, є обов’язковим заходом для всіх організацій, в
яких ІТС оброблює інформацію, що відноситься до державної таємниці. Проте
якщо ІТС підприємства обробляє інший тип інформації, зазначені в нормативному
документі вимоги не є обов’язковими і можуть використовуватись як рекомендації.
Далі розглянемо детальніше особливості комплексної системи захисту інформації.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 10
1.2 Поняття комплексної системи захисту інформації
Комплексна система захисту інформації (далі – КСЗІ) – сукупність організа-
ційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист
інформації в інформаційно-телекомунікаційній системі [2]. Заходи забезпечення
безпеки спрямовані, насамперед, на запобігання розголошенню, витоку та несанк-
ціонованого доступу до інформації (рис.1.3).
Рис. 1.3 – Заходи та засоби КСЗІ
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 11
Головною метою КСЗІ є забезпечення неперервності процесів, сталого фун-
кціонування підприємства та запобігання загрозам його безпеці. КСЗІ спрямована
на захист законних інтересів організації від протиправних зазіхань, недопущення
розкрадання фінансових та матеріально-технічних засобів, недопущення порушень
роботи технічних засобів забезпечення виробничої діяльності. Зважаючи на цілі,
можна визначити основні завдання, які мають вирішуватись комплексною систе-
мою захисту інформації:
− своєчасне виявлення та усунення загроз інформаційній безпеці;
− захист від незаконного випадкового чи навмисного втручання в роботу ІТС,
включаючи можливий доступ з перевищенням наданих повноважень, як зі
сторони зовнішніх осіб, так і з боку внутрішнього персоналу організації та
звичайних користувачів;
− обмеження можливості несанкціонованого перехоплення відомостей кана-
лами передачі;
− облік поточного стану IT-інфраструктури та прогноз змін зовнішнього та
внутрішнього середовища;
− моніторинг діяльності користувачів системи: реєстрація, збирання, збері-
гання, обробка та видача відомостей про всі події, що відбуваються в системі
та мають відношення до її безпеки, а також негайне сповіщення адміністра-
торів щодо спроб несанкціонованого доступу до її ресурсів;
− контроль та підтримання цілісності критичних ресурсів системи захисту;
− відновлення інформаційних систем у разі пошкодження.
Надійний та ефективний захист інформації може забезпечити лише комплек-
сний підхід, що передбачає одночасне використання апаратних, програмних та кри-
птографічних засобів (жоден із цих засобів окремо не є достатньо надійним). Поді-
бний підхід передбачає аналіз та оптимізацію всієї системи, а не окремих її частин,
що дозволяє забезпечити баланс характеристик, тоді як покращення одних параме-
трів нерідко призводить до погіршення інших
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 12
Комплексний підхід передбачає завчасне визначення ключових компонентів
системи, без якого не рекомендується подальше створення системи захисту:
1) визначення видів загроз безпеки та можливих ризиків – це дозволить ство-
рити систему, яка ефективно попереджатиме конкретні загрози;
2) визначення необхідних ресурсів – визначення обсягів ресурсів допоможе оп-
тимізувати матеріальні витрати як при створенні, так і подальшій експлуата-
ції системи;
3) формулювання мети та призначення системи – уточнення функцій дозволить
правильно обрати оптимальний варіант побудови системи;
4) оцінка ефективності – необхідно розглядати кілька варіантів побудови сис-
теми, а потім оцінити якість реалізації функцій та витрати ресурсів і обрати
кращий шлях;
5) розуміння взаємодії системи з іншими системами та об'єктами.
Отже, комплексний підхід включає детальний аналіз системи, що впроваджу-
ється, оцінку загроз безпеці, вивчення засобів, що використовуються при побудові
системи, та їх можливостей, аналіз співвідношення внутрішніх та зовнішніх загроз
та оцінку можливості внесення змін до системи.
1.3 Принципи створення комплексної системи захисту інформації
При створенні будь-якої системи важливо знати принципи, відповідно до
яких дана система буде побудована. КСЗІ – досить складна система, яка вимагає
великих матеріальних витрат. Тому визначення принципів КСЗІ (рис. 1.4) дозволяє
розуміти основні підходи до її створення [3].
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 13
Рис. 1.4 – Принципи створення комплексної системи захисту інформації
Принцип законності забезпечує захист інформації та створення КСЗІ в інфор-
маційно-телекомунікаційній системі відповідно до вимог чинного законодавства в
цій сфері. Також всі користувачі системи мають розуміти наслідки розголошення
інформації з обмеженим доступом та правопорушення у сфері систем автоматизо-
ваної обробки інформації.
Системний підхід передбачає врахування всіх взаємопов'язаних, взаємодію-
чих і змінюваних у часі елементів, умов і чинників, суттєво важливих для розуміння
та вирішення проблеми забезпечення безпеки інформації. Тобто ефективність захо-
дів безпеки оцінюється з урахуванням впливу на її функціонування зовнішніх чин-
ників. Слід враховувати найбільш критичні та вразливі елементи системи обробки
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 14
інформації, можливі канали проникнення та отримання несанкціонованого доступу
до інформації.
Принцип комплексності передбачає, що система захисту інформації підпри-
ємства повинна використовувати різноманітні засоби захисту при побудові цілісної
системи. Тільки сукупність об'єктів захисту, виділених сил, засобів та дій дозво-
лить перекрити всі можливі канали реалізації загроз та вразливі місця компонентів
системи. Забезпечення зовнішньої безпеки вимагає використання фізичних, орга-
нізаційних та правових заходів. Проте, особливий акцент слід робити на механіз-
мах захисту, що вбудовані в операційні системи персональних комп'ютерів, оскі-
льки саме ці операційні системи відповідають за управління ресурсами комп'ютер-
них систем і мають виявляти стійкість до різних видів атак.
Принцип неперервності захисту передбачає вжиття відповідних заходів на
всіх етапах функціонування автоматизованої системи підприємства, починаючи з
ранніх стадій проектування, а не тільки під час її експлуатації. Зловмисники мо-
жуть використовувати перерви в процесі роботи засобів захисту та аналізувати ме-
тоди та засоби, які застосовуються для захисту інформаційних ресурсів інформа-
ційно-телекомунікаційної системи. Після відновлення функціонування системи,
вони можуть встановлювати спеціальні програмні та апаратні «закладні» пристрої
та інші засоби для обходу захисту інфраструктури.
Заходи та засоби захисту інформації, всі проектні рішення мають удоскона-
люватись, на що вказує принцип неперервності вдосконалення. Із розвитком тех-
нологічного середовища постійно з’являються нові методи перехоплення інформа-
ції, і це має враховувати наявна система захисту.
Принцип своєчасності встановлює запобіжний характер заходів захисту.
Створення комплексної системи захисту інформації повинно відбуватися парале-
льно з процесом розробки та розвитку автоматизованої системи, ресурси якої під-
лягають захисту. Це дозволить врахувати вимоги щодо забезпечення безпеки інфо-
рмації на ранніх стадіях і ефективніше розробити захищену систему.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 15
Принцип розумної достатності враховує неможливість створення абсолютно
непереборної системи захисту. Незалежно від складності заходів безпеки, за доста-
тньої кількості часу та коштів можна знайти спосіб подолати будь-який захист.
Тому ключовим аспектом є, перш за все, економічна доцільність таких заходів, а
також баланс між рівнем витрат на забезпечення безпеки інформації та можливими
збитками від її втрати, розголошення, руйнування чи витоку. Важливо визначити
той рівень захисту, який забезпечить прийнятну взаємодію між витратами, ризи-
ками і можливими збитками.
Принцип персональної відповідальності полягає в тому, що кожен співробіт-
ник підприємства в межах своїх повноважень несе відповідальність за забезпечення
безпеки інформації. У разі порушення правил безпеки має бути чітко відомо, хто
винний. Це сприяє усвідомленню важливості безпеки кожним співробітником та
підвищує внутрішню дисципліну. Тісно пов’язаний і принцип мінімізації повнова-
жень, за яким користувачам мають надаватись мінімальні права доступу, і тільки в
тому об’ємі, в якому це необхідно для виконання обов’язків.
Принцип простоти застосування – важливо, щоб користувачі ІТС не потребу-
вали спеціальних знань або додаткових навичок для застосування заходів безпеки
під час їх повсякденної роботи з системою. Це зробить захист більш ефективним та
сприятиме покращенню загального рівня безпеки в ІТС, оскільки більше користу-
вачів зможе дотримуватися встановлених процедур безпеки, і це зробить систему
менш вразливою.
Принцип гнучкості передбачає, що на початковому етапі введення КСЗІ в
експлуатацію всі заходи та засоби захисту можуть бути недостатньо чи занадто
ефективними. Тому система захисту повинна бути гнучкою та адаптивною. У разі
потреби вона має дозволяти легко впроваджувати необхідні заходи для підвищення
рівня захищеності, не порушуючи процес її функціонування.
Всі напрями безпеки повинні ретельно контролюватись і відповідати встано-
вленим стандартам та політикам безпеки (принцип обов'язковості контролю). А ви-
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 16
явлення та припинення спроб порушення правил захисту інформації та забезпе-
чення належного функціонування засобів захисту має бути обов'язковим та опера-
тивним процесом. Тому важливим заходом є постійний моніторинг за діяльністю
користувачів та засобів захисту, а також реєстрація усіх подій для своєчасного ви-
явлення будь-яких відхилень.
Враховуючи всі наведені вище принципи, сформуємо вимоги до комплексної
системи захисту інформації (рис. 1.5).
Рис. 1.5 – Вимоги до комплексної системи захисту інформації
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 17
1.4 Порядок створення комплексної системи захисту інформації
Створення КСЗІ в ІТС здійснюється згідно з НД ТЗІ 3.7-003-05 «Порядок про-
ведення робіт зі створення комплексної системи захисту інформації в інформа-
ційно-телекомунікаційній системі» [1]. Цей порядок є обов’язковим для організа-
цій, які обробляють інформацію, що належить до державної. Представимо етапи
впровадження КСЗІ у вигляді структурної схеми (рис. 1.6).
Рис. 1.6 – Етапи створення КСЗІ
Перший етап робіт із створення комплексної системи захисту інформації
включає обстеження організації. Це може бути аналіз захищеності обчислювальних
систем, глибоке обстеження окремих обчислювальних систем і загальне обсте-
ження організації в цілому. Даний етап передбачає наступні завдання:
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 18
− аналіз загальної структурної схеми і склад обчислювальної системи ІТС;
− визначення особливостей взаємодії компонентів системи;
− визначення наявності секретної інформації в КСЗІ та оцінка рівня конфіден-
ційності і обсягу цієї інформації;
− визначення наявності атестованих приміщень та засобів для захисту від ви-
току технічними каналами;
− визначення режимів обробки інформації;
− вивчення правил паперового документообігу, що використовується в органі-
зації.
− визначення особливостей використання сертифікованих засобів захисту ін-
формації, доступних на ринку, та які мають дійсний експертний висновок про
відповідність до вимог технічного захисту інформації;
− визначення ролі та участі персоналу, функціональних служб, спеціалістів і
допоміжних працівників об'єкта автоматизації у обробці інформації, а також
характеру їх взаємодії між собою та зі службою безпеки.
Необхідно ідентифікувати компоненти обчислювальної системи, які включа-
ють в себе засоби та механізми захисту інформації, а також ті, які не мають таких
засобів. Потрібно ретельно вивчити потенційні можливості цих засобів та механіз-
мів, їхні властивості та характеристики, включаючи стандартні параметри. Мета
цього аналізу полягає в створенні загального уявлення про можливості забезпе-
чення інформаційної безпеки. Важливо виявити ті компоненти інформаційно-теле-
комунікаційної системи, які потребують більш жорстких вимог щодо захисту інфо-
рмації та впровадження додаткових заходів забезпечення безпеки.
Далі визначаються функції захисту, необхідні для забезпечення відповідного
рівня безпеки об'єкта в конкретних умовах його функціонування. Даний етап пот-
ребує виявлення потенційно можливих загроз інформації та визначення ймовірно-
стей їх появи, виявлення каналів витоку інформації, що захищається. На їх основі
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 19
формується модель загроз та визначається рівень можливої шкоди (незначний, ма-
лий, середній, великий, дуже великий тощо). Основна мета цього етапу – визначити
потенційні загрози інформаційній безпеці та ідентифікувати можливих порушників
для подальшої розробки заходів забезпечення безпеки. Потенційними порушни-
ками можуть бути співробітники організації, які мають значні матеріальні труд-
нощі, схильні до азартних ігор, пияцтва, наркотичної залежності, мають тяжко хво-
рих близьких родичів, часто змінюють місце роботи.
Після проведення детального дослідження об'єкта, на якому створюється
КСЗІ обґрунтовується структура та технології функціонування КСЗІ, готуються ва-
ріанти концепції створення КСЗІ, і планів їх реалізації. На цьому етапі також здій-
снюється оцінка переваг і недоліків кожного варіанту, що допомагає вибрати най-
більш оптимальний варіант [4].
Перш ніж надавати конкретні рішення щодо захисту, необхідно розробити
політику безпеки. Оформлення політики безпеки передбачає формування вимог,
рекомендацій, які визначають використання засобів та заходів захисту інформації;
формування переліку рішень щодо уникнення всіх суттєвих загроз; правил, які ре-
гламентують діяльність користувачів ІТС. Реалізація політики безпеки відбува-
ється за допомогою організаційних заходів. Вона повинна бути індивідуальної для
окремої організації, адже має враховувати технологію обробки інформації, програ-
мні і технічні засоби, місцезнаходження організації тощо.
Розробка проектних рішень щодо створення КСЗІ включає обґрунтування та
вибори рішень щодо захисту інформації (ЗІ), вибір складу засобів ЗІ, визначення
місць розміщення засобу ЗІ, визначення режимів функціонування та налаштувань
засобів ЗІ, визначення необхідності доопрацювання засобів ЗІ або розробки додат-
кових, розробка порядку та етапів впровадження КСЗІ, кошторисну вартість робіт.
Далі – введення КСЗІ в дію та оцінка захищеності інформації в ІТС. Цей етап
також включає аналіз реакції компонентів системи на можливі відмови та дозволяє
визначити, наскільки система витримує різні види атак та відмов [5]. Оцінка сту-
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 20
пеня захищеності КСЗІ включає в себе визначення ефективності захисту та порів-
няння отриманих результатів з необхідними значеннями. Також проводиться аналіз
витрат на забезпечення захисту для забезпечення оптимального балансу між захи-
стом і вартісними обмеженнями. Після цього – введення в дію, коригування, уточ-
нення, внесення необхідних змін. Підготовка та передача технічної та експлуата-
ційної документації. Проводиться навчання усіх користувачів правилам роботи із
КСЗІ, в обсязі, що стосується їхніх обов'язків. Вони ознайомлюються з основними
положеннями плану захисту, які важливі для дотримання правил політики безпеки
інформації, а також для коректної експлуатації засобів захисту інформації. Прово-
диться перевірка їхньої здатності використовувати впроваджені технології захисту
інформації, а результати навчання реєструються.
На етапі експлуатації та супроводження комплексної системи захисту інфор-
мації відбувається ряд важливих дій та процесів:
1) Робоча експлуатація КСЗІ: після створення та налаштування КСЗІ вона по-
чинає свою роботу. У цю фазу входить щоденна робота КСЗІ, включаючи
захист інформації, виявлення та відстеження потенційних загроз та атак.
2) Моніторинг і аудит безпеки: важливо постійно відстежувати стан безпеки
КСЗІ. Це включає моніторинг журналів подій, інцидентів безпеки, а також
проведення аудиту безпеки для перевірки відповідності КСЗІ вимогам та ста-
ндартам безпеки.
3) Виявлення та виправлення вразливостей: нові загрози безпеці з'являються з
часом, і вони можуть впливати на КСЗІ. Супроводження включає в себе ви-
явлення та виправлення вразливостей для забезпечення актуального рівня за-
хисту.
4) Планування та впровадження оновлень: оновлення програмного та апарат-
ного забезпечення КСЗІ важливі для виправлення помилок, поліпшення без-
пеки та додавання нових функцій.
5) Навчання персоналу: регулярне навчання персоналу щодо коректного вико-
ристання КСЗІ та дотримання політики безпеки допомагає уникнути помилок
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 21
та загроз.
6) Зберігання резервних копій та відновлення: забезпечення регулярного ство-
рення резервних копій інформації та можливості відновлення даних в разі
аварій або атак.
7) Поліпшення КСЗІ: на основі аналізу інцидентів, аудиту та змін у загрозах си-
стема постійно покращується та модернізується.
8) Забезпечення дотримання регуляторних вимог: важливо перевіряти, що КСЗІ
відповідає усім вимогам та стандартам, які стосуються безпеки інформації та
її обробки.
1.5 Постановка задачі
Для визначення потреби у побудові системи захисту інформації та її виду,
необхідно оцінити поточний рівень та провести аудит інформаційної безпеки в ор-
ганізації. Але враховуючи всі особливості комплексної системи захисту інформа-
ції, можна дійти до висновку, що вона є ідеальним рішенням для забезпечення без-
пеки на підприємстві.
Для розробки КСЗІ необхідно виконати наступні завдання:
− проведення огляду підприємства та обстеження інформаційного середовища
інформаційно-телекомунікаційної системи;
− характеристика та оцінка поточного стану захисту;
− встановлення критичних активів організації, які потребують захисту;
− визначення потенційних ризиків та загроз безпеці інформації;
− розробка політики безпеки, що визначає правила, інструкції та рекомендації
до захисту інформації;
− вибір та впровадження інженерно-технічних засобів
− створення організаційних засобів, серед яких передбачене навчання персо-
налу.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 22
1.6 Висновки
Забезпечення безпеки функціонування сучасного підприємства – досить
складний і важливий процес. Для створення дійсно ефективної системи захисту не-
обхідно всі засоби й методи об'єднати в єдиний цілісний механізм – комплексну
систему захисту інформації. Вона передбачає виконання ключових завдань, які
сприятимуть підвищенню рівня захисту в організації: класифікація інформаційних
ресурсів та визначення рівнів конфіденційності, визначення загроз і ризиків для ін-
формації, забезпечення фізичного та технічного захисту інфраструктури підприєм-
ства.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 23
2. ЕТАПИ СТВОРЕННЯ КСЗІ НА ПІДПРИЄМСТВІ
2.1 Характеристика підприємства та оцінка існуючого стану захисту
Об’єктом інформаційної діяльності є інформаційно-телекомунікаційна сис-
тема приватного підприємства «Everlabs». Компанія спеціалізується на розробці
програмного забезпечення, мобільних та веб-додатків, використовуючи корисні рі-
шення та найкращі практики в різних типах проектів, включаючи SaaS, електронну
комерцію та логістику. Також підприємство може надавати консалтингові послуги
з інформаційних технологій для інших організацій. Основні технології – Ruby on
Rails, HTML5/CSS3, jQuery, JavaScript, React. Інформаційно телекомунікаційна си-
стема являє собою багатомашинний багатокористувацький комплекс, який оброб-
ляє інформацію різних категорій конфіденційності.
Ключовим ресурсом будь-якої організації є персонал. Організаційна струк-
тура підприємства наступна (рис. 2.1)
Рис. 2.1 – Організаційна структура підприємства
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 24
На території офісу немає контрольно-пропускного пункту, але доступ до при-
міщення захищений кодовим замком, який керується з мобільного додатку. Відві-
дувачі не можуть потрапити в контрольовану зону організації, поки відповідна
особа не підтвердить дозвіл на вхід. На вході в приміщення також встановлена ка-
мера відеоспостереження, яка працює в реальному часі. У неробочий час (в тому
числі у вихідні дні) доступ до приміщення не обмежується. Приміщення обладнане
системами життєзабезпечення, також є джерело безперебійного живлення та гене-
ратор, який дозволяє продовжити роботу під час відключень електроенергії.
Структурна схема ІТС представлена багатомашинною локальною системою
з доступом до мережі Інтернет (рис. 2.2).
Рис. 2.2 – Загальна схема мережі підприємства
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 25
Недоліки в структурі мережі підприємства – відсутня серверна кімната, демі-
літаризована зона (далі – DMZ). Використання DMZ є кращим, ніж звичайний бра-
ндмауер, оскільки під час атаки на загальнодоступний сервер зменшується ризик
компрометації внутрішніх серверів. Це відбувається завдяки тому, що загальнодо-
ступні та внутрішні сервери ізольовані один від одного. Коли зловмисник атакува-
тиме сервер у DMZ, він не матиме прямого доступу до інших, більш критичних
серверів, що розташовані у внутрішній мережі. Робота брандмауера в такому випа-
дку полягає в блокуванні будь-яких спроб із DMZ встановити з'єднання з комп'ю-
терами внутрішньої мережі.
Кожен працівник підприємства має власне робоче місце та свій обліковий за-
пис. Доступ до нього встановлюється працівником самостійно. Комп’ютери, які ви-
користовують працівники підприємства, мають високу технічну характеристику,
необхідну для швидкої і якісної роботи з графічним дизайном та програмною роз-
робкою. Компанія також постійно залучає інтернів до практики, які проходять
лише базовий інструктаж і мають всі повноваження повноцінних працівників.
Додатковим ризиком є впроваджена політика BYOD (Bring Your Own
Device), що дозволяє приносити та використовувати особисті пристрої на території
підприємства. Користувачі можуть ненавмисно завантажити шкідливе програмне
забезпечення на свої пристрої. При встановленні з'єднання з корпоративною мере-
жею шкідливе програмне забезпечення може інфікувати комп'ютери працівників
або навіть сервери, що містять важливу інформацію.
Нормативно-правова база підприємства представлена необхідними докумен-
тами: трудові договори, журнали обліку пожежної безпеки, посадові інструкції пра-
цівників тощо. Також є розроблена політика безпеки, проте вона не охоплює всі
аспекти щодо безпеки організації і тому потребує оновлення. Робочі інструкції пра-
цівників чи інші документи не містять опису відповідальності за знищення, втрату
чи розголошення інформації. Організаційна документація, яка містить вимоги та
правила роботи в ІТС, також відсутня.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 26
2.2 Формування загальних вимог до КСЗІ в ІТС
2.1.1 Обґрунтування необхідності створення КСЗІ в ІТС
Необхідність створення КСЗІ в першу чергу регулюють нормативно-правові
акти. ІТС підприємства «Everlabs» оброблює та зберігає інформацію з обмеженим
доступом, що включає службову інформацію та конфіденційні дані, такі як інфор-
мація про співробітників та клієнтів, фінансові звіти тощо. Несанкціонований дос-
туп до інформації та її витік може призвести до серйозних наслідків – втрата чи
зниження репутації підприємства, погіршення конкурентоспроможності, фінансові
збитки. Враховуючи важливість захисту конфіденційної інформації, необхідна ро-
зробка КСЗІ.
Впровадження КСЗІ має велике значення в забезпеченні безпеки інформації
та успішному й надійному функціонуванні підприємства. Ключові задачі, які для
цього має забезпечити КСЗІ:
− забезпечення цілісності даних, особливо в умовах надання послуг або розро-
бки ПЗ;
− забезпечення захисту від несанкціонованого доступу чи витоку конфіденцій-
ної інформації;
− необхідність забезпечення контролю доступу до системи та перевірки автен-
тифікації користувачів;
− захист від мережевих атак, комп’ютерних вірусів чи закладних пристроїв, ус-
унення можливих вразливостей;
− створення правил, які будуть регулювати заходи з безпеки;
До складу КСЗІ повинні входити: служба захисту інформації, фізична охо-
рона об’єктів, інженерно-технічні заходи, комплекс засобів захисту від НСД, ком-
плекс засобів блокування технічних каналів витоку інформації, комплекс засобів
криптографічного захисту, регламенти дій користувачів.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 27
2.1.2 Обстеження середовищ функціонування ІТС
Початковий етап впровадження комплексної системи захисту інформації пе-
редбачає проведення обстеження середовищ функціонування інформаційно-теле-
комунікаційної системи. Цей процес включає в себе аналіз середовищ обчислюва-
льної системи, користувачів, оброблюваної інформації та фізичного середовища.
Метою є отримання загального уявлення про наявні можливості забезпечення від-
повідного рівня захисту інформації. Основні завдання обстеження включають ви-
явлення потенційних ризиків та вразливостей, ідентифікацію компонентів системи,
які вимагають підвищених заходів безпеки, та розробку стратегії впровадження до-
даткових заходів захисту.
Середовище обчислювальної системи ІТС представлене робочими станціями
та ноутбуками співробітників та сервером для централізованого зберігання даних і
забезпечення обчислювальної потужності. Найпоширеніші операційні системи –
Linux та macOS. Серед програмних засобів наявні середовища для розробки, сис-
теми віртуалізації та системи контролю версій для керування і відстеження змін у
програмному коді. ІТС має локальну мережу та доступ до Інтернету для зв'язку з
клієнтами і зовнішніми ресурсами. Використовуються інструменти для спільної ро-
боти – системи управління завданнями, електронне листування, чати та відеокон-
ференції.
Фізичне середовище представлене офісними приміщеннями з різним режи-
мом доступу, де особливого захисту потребують приміщення для конфіденційних
нарад, а також необхідне створення серверної/комутаційної кімнати. Також наявні
системи життєзабезпечення, системи заземлення, обладнання мережевої інфра-
структури – сервер, комутатори, маршрутизатори та інші мережеві компоненти для
забезпечення зв'язку та обміну даними в ІТС. Для захисту інформації використову-
ються засоби безпеки, такі як системи контролю доступу, камера відеоспостере-
ження при вході в офіс та системи резервного живлення.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 28
Середовище користувачів представлене наявністю звичайних користувачів
(розробники програмного забезпечення, які відповідають за розробку, тестування
та підтримку програм), адміністраторів (забезпечують функціонування програм-
ного та апаратного забезпечення, виконання вимог політики безпеки), персоналу з
менеджменту та аналітики (керівники проектів та бізнес-аналітики, які визначають
потреби клієнтів, HR-менеджери) та технічного обслуговуючого персоналу (забез-
печують належні умови праці та функціонування ІТС).
Інформаційне середовище складається з програмного коду, технічної доку-
ментації, інформації про проекти, інших даних, які обробляються в ІТС. Відсутня
інформація, що може становити державну таємницю. Аналіз інформаційних акти-
вів підприємства дозволяє визначити, яка саме інформація потребує надійного за-
хисту, а отже і ефективно забезпечити цей захист. Основна мета обстеження інфо-
рмаційного середовища – виявлення конфіденційної інформації (персональні дані
співробітників та клієнтів, відомості про зміст баз даних, конфіденційні документи,
відомості, що розкривають систему охорони, технічного оснащення щодо охорони,
відомості про ідентифікатори та паролі користувачів робочих станцій і т.д.). Най-
кращим рішенням буде сформувати перелік конфіденційних інформаційних акти-
вів:
1. ідентифікатори та паролі співробітників (для службового використання)
2. ідентифікатори та паролі адміністратора та осіб, що мають уповноважений
доступ до управління ІТС (для службового використання)
3. документація, пов’язана із захистом підприємства (для службового викорис-
тання)
4. дані про охоронну систему та перепускного режиму (для службового вико-
ристання)
5. дані про клієнтів підприємства (конфіденційно)
6. дані співробітників підприємства (конфіденційно)
7. дані про стан та ефективність роботи підприємства (конфіденційно)
8. маркетингові плани (конфіденційно)
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 29
9. посадові інструкції співробітників підприємства (для службового викорис-
тання)
10. дані щодо реагування на інциденти та дії під час надзвичайних ситуацій (для
службового використання)
2.3 Розробка політики безпеки інформації в ІТС
2.3.1 Визначення потенційних загроз та порушників
На наступному кроці визначається перелік потенційних загроз для інформа-
ції, здійснюється аналіз ризиків, і таким чином формується модель загроз та модель
порушника, вимоги яких регулюють нормативно-правові документи [6, 7, 8].
Модель порушника – це абстрактний опис дій, які може вчинити потенційний
порушник, що дозволяє краще розуміти його можливості та діапазон можливих дій.
Відносно інформаційної системи порушники поділяються на внутрішніх та зовні-
шні. Внутрішніми порушниками можуть бути співробітники або користувачі сис-
теми, які мають деякий рівень доступу. Зовнішні порушники – це сторонні особи,
які не мають внутрішнього доступу до системи та операцій з нею.
Для побудови моделі враховуються всі доступні категорії, ознаки та характе-
ристики порушників з метою детального та точного аналізу. При цьому рівень за-
грози, пов'язаний з кожною із цих характеристик, оцінюється за 4-бальною шка-
лою. Сформуємо модель внутрішніх порушників, де в дужках буде вказаний рівень
загрози кожної з характеристик (табл. 2.1)
Табл. 2.1 – Модель внутрішнього порушника
Катего- Мотив Кваліфіка- Можли- Час дії по- Місце дії Рі-
рія пору- пору- ція поруш- вості по- рушника поруш- вень
шників шення ника рушника ника за-
грози
1 2 3 4 5 6 7
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 30
Продовження таблиці 2.1
1 2 3 4 5 6 7
Внутрішні порушники
Адмініст- безвід- знає особли- тільки під- під час з досту- 14
ратори повіда- вості й недо- слухову- функціо- пом у зону
ІТС льність ліки засобів вання та нування керування
(1) захисту (4) підгля- або зупи- засобами
дання (1) нки ІТС безпеки
(4) (4)
Розроб- безвід- високий рі- тільки під- під час з робочих 10
ники ПЗ повіда- вень знань у слухову- функціо- місць ко-
– основні льність галузі про- вання та нування ристувачів
користу- (1) грамування підгля- ІТС (3) ІТС (2)
вачі ІТС (3) дання (1)
Персонал безвід- середній рі- тільки під- під час з робочих 9
з мене- повіда- вень знань та слухову- функціо- місць ко-
джменту льність навички ро- вання та нування ристувачів
(1) боти з засо- підгля- ІТС (3) ІТС (2)
бами ІТС (2) дання (1)
Техніч- безвід- низький рі- тільки під- під час без дос- 6
ний пер- повіда- вень знань слухову- призупи- тупу до за-
сонал льність про ІТС (1) вання та нки ІТС собів ІТС
(1) підгля- для техос- (1)
дання (1) блугову-
вання (2)
У таблиці розглянуті мінімальні загрози, мотив яких – безвідповідальне ста-
влення до виконання своїх посадових обов’язків. Якщо ж проаналізувати категорії
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 31
порушників з найнебезпечнішим мотивом – наприклад, корисливим інтересом, оче-
видно, що найсуттєвішою загрозою залишаються дії адміністраторів ІТС. Тому
найбільшого контролю вимагає діяльність та організація роботи цієї категорії.
За таким же алгоритмом сформуємо модель зовнішніх порушників (табл. 2.2).
Табл. 2.2 – Модель зовнішнього порушника
Катего- Мотив Кваліфі- Можли- Час дії Місце дії Рі-
рія пору- пору- кація вості по- поруш- порушника вень
шників шення поруш- рушника ника за-
ника грози
1 2 3 4 5 6 7
Зовнішні порушники
Відвіду- безвідпо- низький тільки пі- під час без доступу 7
вачі відаль- рівень дслухову- функціо- до засобів
ність (1) знань про вання та нування ІТС (1)
ІТС (1) підгля- ІТС (3)
дання (1)
Персо- безвідпо- низький тільки пі- під час по- без досту- 6
нал, що відаль- рівень дслухову- вної безді- пу до засо-
обслуго- ність (1) знань про вання та яльності бів ІТС (1)
вує кому- ІТС (1) підгля- ІТС (2)
нікації дання (1)
Хакери корисли- знає особ- викорис- під час без досту- 15
вий інте- ливості й тання функціо- пу до засо-
рес (3) недоліки штатних нування бів ІТС (1)
типових засобів (3) або зупи-
засобів за- нки ІТС
хисту (4) (4)
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 32
Продовження таблиці 2.2
Агенти професій- середній викорис- під час доступ до 16
конкуре- ний рівень тання за- функціо- робочих
нтів «під обов’язок знань та собів ак- нування місць ко-
прикрит- (4) навички тивного або зупи- ристувачів
тям» роботи з впливу (4) нки ІТС ІТС (2)
засобами (4)
ІТС (2)
Найбільшу загрозу становлять такі категорії зовнішніх порушників, як ха-
кери та агенти «під прикриттям». Якщо від дій хакерів можна вберегтись належ-
ними методами та засобами захисту, то агенти «під прикриттям» можуть видавати
себе працівниками або партнерами організації та зможуть використовувати свій
статус для отримання доступу до конфіденційної інформації або порушення інфо-
рмаційної безпеки.
Після визначення та аналізу групи можливих порушників необхідно сформу-
вати перелік потенційних загроз для ІТС. В залежності від впливу на інформацію
та походження загрози поділяються на випадкові та навмисні. Випадкові загрози
зумовлені несподіваними та непередбачуваними ситуаціями, наприклад, стихій-
ними лихами, технічними збоями чи відмовами, помилками персоналу чи іншими
побічними впливами. Проаналізуємо перелік найсуттєвіших ненавмисних загроз
(табл.2.3).
Таблиця 2.3 – Модель випадкових загроз
Ненавмисні (випадкові) загрози
Вид загрози Ризики для Ймові- Рівень
К Ц Д рність збитків
Стихійні явища + + низька дуже ви-
сокий
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 33
Продовження таблиці 2.3
Збої та відмови техніки чи електроживлення + сере- високий
дня
Збої та відмови програмного забезпечення + + низька високий
Ненавмисне пошкодження носіїв інформації + + низька низький
Використання стороннього програмного за- + + + сере- високий
безпечення, що не передбачене для роботи дня
Випадкове зараження комп’ютерними віру- + + висока дуже ви-
сами сокий
Неправильне конфігурування та адміністру- + + + низька дуже ви-
вання системи; дії, що можуть призвести до сокий
відмови системи захисту
Недбале зберігання та облік документів, + + + низька середній
втрата носіїв інформації
Представлена модель загроз визначає властивості інформації, які піддаються
ризику – конфіденційність (К), цілісність (Ц) та доступність (Д). Також присутня
якісна оцінка ймовірності виникнення загрози та можливий рівень збитків. Варто
зазначити, що майже всі зазначені загрози (крім природного характеру) можуть
бути не тільки випадковими, а й навмисними, які зумовлені діями людини. Проана-
лізуємо перелік найсуттєвіших навмисних загроз (табл. 2.4)
Таблиця 2.4 – Модель навмисних загроз
Навмисні загрози
Вид загрози Ризики для Ймові- Рівень
К Ц Д рність збитків
Несанкціонований доступ чи зняття інформа- + середня серед-
ції через канали витоку ній
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 34
Продовження таблиці 2.4
Читання легкодоступних даних (документи + висока висо-
без нагляду, інформація на екранах ЕОМ кий
тощо) та подальше розповсюдження/викра-
дення
Впровадження закладних програм чи при- + висока дуже
строїв висо-
кий
Одержання доступу неавторизованим користу- + + + низька дуже
вачем чи навмисні деструктивні дії авторизо- висо-
ваного користувача кий
Використання вразливостей програмного чи + + + низька висо-
апаратного забезпечення кий
Вивідування конфіденційної інформації/вер- + висока висо-
бування персоналу кий
Більшість навмисних загроз спрямовані на несанкціоноване ознайомлення з
інформацією, тобто є загрозами порушення конфіденційності. Проаналізувавши
модель загроз та модель порушника можна дійти до висновку, що загрози з найви-
щим рівнем ризику – це розголошення, модифікація та знищення інформації через
відсутність організаційних правил та зараження програмними закладками/віру-
сами. А отже, найбільшу загрозу для безпеки підприємства становить персонал
ІТС. Це підтверджують і дослідження (рис.2.1) , згідно з якими основною потен-
ційною загрозою безпеки інформації є цілеспрямовані або ненавмисні деструктивні
дії персоналу, оскільки вони становлять 75% усіх випадків [9].
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 35
2% 3%
НСД
20% ураження вірусами
55% технічні відмови апаратури
20% цілеспрямовані дії персоналу
помилки персоналу
Рис. 2.1 – Аналіз основних причин порушення захисту ІТС
2.3.2 Оформлення політики безпеки
Політика безпеки представляє собою сукупність правил, рекомендацій, обме-
жень, інструкцій тощо, які регламентують правила обробки інформації [10]. Є два
підходи до написання політики безпеки – у вигляді єдиного документа або у вигляді
комплексу документів. Єдиний документ дозволяє легко отримати загальний огляд
політики інформаційної безпеки та її основних принципів. Також такий підхід
спрощує контроль за тим, щоб були покриті і узгоджені всі аспекти інформаційної
безпеки. Підприємство «Everlabs» вже має розроблену політику безпеки у вигляді
одного основного документу, який містить загальні принципи, а за потреби для
конкретних напрямків інформаційної безпеки можна розробити комплекс додатко-
вих документів. Тож окреслимо розділи політики безпеки (табл. 2.5)
Табл. 2.5 – Структура політики безпеки
№ Назва розділу Опис
1 Вступ загальний огляд та визначення основних понять
2 Загальні положення містить цілі, сферу застосування, предмет політики
безпеки
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 36
Продовження таблиці 2.5
3 Прннципи інфор- визначає основний підхід до забезпечення безпеки
маційної безпеки
4 Політика доступу класифікація інформації на основі її значущості та кон-
до інформації фіденційності, визначення правил доступу до інформа-
ції для різних рівнів конфіденційності
5 Реалізація політики загальний опис процедур захисту, які включає КСЗІ
безпеки комплекс-
ною системою захи-
сту інформації
6 Ролі та відповідаль- опис відповідальності за дотримання політики та про-
ність цедур безпеки
2.4 План захисту інформації в ІТС
Для ефективного захисту ІТС підприємства розробляється план захисту ін-
формації, що представляє собою комплекс документів. Цей план враховує всі пот-
реби організації та охоплює всі етапи обробки інформації в ІТС. Він містить зага-
льний опис компонентів ІТС підприємства, включає перелік різних типів інформа-
ції, що дозволяє доцільно та ефективно застосувати заходи захисту. Також включа-
ється модель, яка визначає потенційні загрози безпеці системи, враховуючи різні
фактори.
На основі плану захисту формується технічне завдання на створення КСЗІ.
Цей документ визначає порядок створення КСЗІ, календарний план усіх випробу-
вань КСЗІ та введення в дію. Додатково викладаються усі вимоги до комплексу
організаційних, інженерно-технічних заходів захисту інформації, передбачені пла-
ном захисту.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 37
На етапі розробки проекту КСЗІ враховуються та обґрунтовуються ключові
рішення, які забезпечують виконання вимог ТЗ. Проектні рішення повинні будува-
тися таким чином, щоб всі компоненти КСЗІ, заходи та методи захисту інформації
були сумісні між собою. Проект КСЗІ має на меті не лише забезпечення вимог об-
раного ТЗ, а й створення системи, яка забезпечить високий рівень надійності та
ефективності заходів безпеки. Сформуємо етапи виконання робіт, які містяться в
ТЗ зі створення КСЗІ (табл. 2.6).
Табл. 2.6 – Етапи виконання робіт
№ Етап робіт Період виконання
1 Розробка та узгодження технічного завдання Після створення
1.1 Обстеження об’єкта ІТС Плану захисту (вико-
1.2 Визначення моделі загроз і можливих каналів ви- нано)
току даних
1.3 Формування вимог до засобів та методів захисту
2 Проектування КСЗІ Після узгодження ТЗ
2.1 Розробка експлуатаційної документації на КСЗІ
2.2 Виконання робіт із захисту від НСД та від витоку
технічними каналами
2.3 Розробка організаційних заходів захисту та орга-
нізаційної документації
3 Попередні випробування КСЗІ Після введення в дію
3.1 Розробка програми випробувань КСЗІ КСЗІ
3.2 Проведення попередніх випробувань
4 Дослідна експлуатація КСЗІ Після завершення по-
4.1 Навчання користувачів передніх випробувань
4.2 Проведення дослідної експлуатації
6 Введення, супровід та модернізація КСЗІ За планом розвитку та
модернізації КСЗІ
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 38
2.5 Висновки
Оцінка поточного стану захисту підприємства показала, що наразі існують
істотні недоліки, які роблять систему захисту недостатньо надійною. Тому ство-
рення КСЗІ є вкрай важливим для організації. В результаті детального дослідження
усіх етапів побудови КСЗІ на підприємстві було проаналізовано особливості всіх
середовищ ІТС, сформовано перелік конфіденційної інформації, розглянуті всі не-
обхідні документи, які формуються під час процесу розробки КСЗІ. Важливим
етапом є формування переліку потенційних загроз та моделі порушника, адже це
дозволяє визначити критичні напрями захисту. Отже, створено підґрунтя для ви-
бору конкретних заходів та засобів захисту. Далі необхідно доповнити План захи-
сту тими заходами та засобами, які необхідно реалізувати в першу чергу. Особливу
увагу треба приділити саме впровадженню організаційних заходів, адже зараз вони
відсутні.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 39
3. РОЗРОБКА КОМПЛЕКСУ ЗАХОДІВ І МЕТОДІВ ЗАХИСТУ
Методи та засоби захисту КСЗІ умовно можна розділити на декілька напрям-
ків (рис. 3.1).
Рис. 3.1 – Основні напрямки захисту інформаційних ресурсів
Організаційні заходи включають в себе всі вимоги, політики, а також конт-
роль за виконанням усіх вимог та політик. Інженерно-технічні поділяються на ін-
женерні (охоронна сигналізація, система відеоспостереження) та програмно-апара-
тні (антивірусний захист, засоби розмежування доступу, засоби аутентифікації та
авторизації користувачів, системи моніторингу та аудиту). Визначення комплексу
саме цих заходів передбачає етап створення Плану захисту.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 40
3.1 Програмно-апаратні засоби захисту
До технічних заходів відносяться засоби і методи, які включають апаратні та
програмні компоненти та спрямовані на створення і підтримку ефективної системи
захисту інформації. Після введення в експлуатацію апаратні та програмні засоби
захисту супроводжуються та підлягають технічному обслуговуванню, що включає
в себе регулярні оновлення, виправлення помилок, забезпечення надійності функ-
ціонування захисних систем.
Засоби захисту інформації мають бути сертифіковані або мати позитивний
експертний висновок після проходження державної експертизи в галузі інформа-
ційної безпеки. Процедури сертифікації здійснюються Адміністрацією Державною
службою спеціального зв’язку та захисту інформації України [11]. Вона веде «Пе-
релік засобів ТЗІ, дозволених для забезпечення технічного захисту державних ін-
формаційних ресурсів та інформації, вимога щодо захисту якої встановлена зако-
ном» [12]. Цей перелік є офіційним дозволом на використання зазначених засобів
в системах, які забезпечують технічний захист конфіденційної інформації.
Розрізняють два напрями технічних заходів:
1. засоби захисту інформації від несанкціонованого доступу,
2. засоби захисту інформації від витоку технічними каналами.
3.1.1. Захист від несанкціонованого доступу
Однією з важливих складових комплексної системи захисту інформації є ан-
тивірусний захист. Засоби антивірусного захисту призначені для виявлення, блоку-
вання та нейтралізації шкідливих програм (вірусів, черв'яків, троянських конів) та
інших загроз для комп'ютерної безпеки, які можуть виникнути внаслідок заванта-
ження файлів з інтернету, підозрілих електронних листів або взаємодії з зараже-
ними носіями даних. Загалом має проводитись періодичне сканування файлів, а в
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 41
разі виявлення відомих сигнатур – видалення або ізоляція заражених файлів та за-
побігання їх подальшому розповсюдженню. Програмний антивірусний засіб з дію-
чим експертним висновком:
• Програмне забезпечення антивірусного захисту інформації ESET Endpoint
Antivirus – для ОС Windows – експертний висновок № 1074, дійсний з
24.01.2020 до 24.01.2023 (термін дії продовжено до кінця воєнного стану в
Україні) та для ОС Linux – експертний висновок № 1256, дійсний з 17.06.2021
до 17.06.2024.
Також ключову роль у забезпеченні безпеки інформаційних систем відігра-
ють засоби ідентифікації та автентифікації користувачів. Вони дозволяють іденти-
фікувати особу та переконатися, що вона є тим, за кого себе видає. Можна викори-
стовувати наступне програмне рішення:
• Програмний засіб: продукт контролю доступу ESET Secure Authentication:
експертний висновок № 1254, дійсний з 17.06.2021 до 17.06.2024. Є чудовим
рішенням для двофакторної аутентифікації, що сприяє додатковому захисту
від несанкціонованого доступу.
Наступний аспект – засоби розмежування доступу до інформації. Вони приз-
начені, щоб обмежити доступ користувачів до різних ресурсів в залежності від їх-
ніх ролей, кожна з яких має визначені права доступу. Наприклад, адміністратор си-
стеми може мати повний доступ, тоді як звичайний користувач має обмежені права.
Тут потрібен комплекс, який дозволить ефективно керувати привілейованими об-
ліковими записами, встановлюючи політики, списки контролю доступу та здійсню-
ючи моніторинг та аналіз дій користувачів. В цьому допоможуть засоби
ідентифікації та автентифікації, а також рішення, які розглядаються далі.
Наступний ключовий напрям – засоби моніторингу та аудиту, які допомо-
жуть забезпечити контроль над безпекою та реагувати на потенційні загрози в реа-
льному часі. Система моніторингу автоматично записує події, що відбуваються в
системі, а система аудиту дозволяє відстежувати та аналізувати накопичені події.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 42
Програмно-апаратне рішення – система комплексного моніторингу, аналізу та реа-
гування на події в мережах Cisco MARS, що надає можливості зберігання подій та
аналізу на довготривалі періоди для подальшого аудиту. Програмний продукт мо-
ніторингу та контролю безпеки – ESET Enterprise Inspector: експертний висновок
№ 1255, дійсний з 17.06.2021 до 17.06.2024. Він дозволяє ефективно відслідкову-
вати стан компонентів системи та керувати ними. Також може виявляти, аналізу-
вати та реагувати на аномалії у роботі операційних систем, додатків, мережеві про-
блеми.
Засоби мережевого захисту інформації дозволяють ефективно виявляти, за-
побігати та нейтралізувати загрози, що виникають у мережевому середовищі. Під-
приємство вже певне мережеве апаратне забезпечення, наприклад, комутатори
Cisco серії Nexus та маршрутизатор (який виконує роль брандмауера), який потре-
бує заміни у зв’язку з складністю налаштувань, масштабуванням організації та збі-
льшенням ефективності захисту. Набір мережевих засобів виробництва Cisco
Systems, які будуть використовуватись у даній системі, наведено у таблиці 3.7.
Табл. 3.7 – Мережеві засоби
Обладнання Призначення Відповідність ви-
могам НД з ТЗІ
1 2 3
Комутатори Cisco З’єднують пристрої в межах комп'ю- Експертний висно-
серії Nexus версії терної мережі та забезпечують внут- вок № 1085, дійсний
8.х (вже наявні в рішньомережевий обмін. з 30.01.2020 до
структурі мережі) 30.01.2023*
Пристрої мереже- Поєднують брандмауер і системи ви- Експертний висно-
вого захисту Cisco явлення і запобігання вторгненням. вок № 1104, дійсний
ASA Контролюють та фільтрують мереже- з 16.04.2020 до
вий трафік на основі заданих правил 16.04.2023*
безпеки.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 43
Продовження таблиці 3.7
1 2 3
Маршрутизатори Передають дані між мережами, ви- Експертний висно-
Cisco ISRхххх значаючи оптимальний маршрут вок № 1281, дійсний
(при необхідності зв’язку з локаль- з 06.09.2021 до
ними мережами різних відділів підп- 06.09.2024
риємства).
* термін дії продовжено до кінця дії воєнного стану в Україні
При підборі програмних засобів декілька разів зустрічались засоби від виро-
бника ESET. Щоб не впроваджувати окремо кожний продукт, можна скористатись
одним з комплексних рішень, які пропонує компанія (рис. 3.2).
Рис. 3.2 – Порівняльна характеристика комплексних рішень захисту ESET
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 44
Очевидно, найкращим рішенням буде продукт ESET PROTECT Elite. Він мі-
стить ті функції, які є необхідним елементом комплексного підходу до забезпе-
чення інформаційної безпеки. На відміну від інших, дане рішення додатково вклю-
чає такі необхідні заходи, як виявлення незвичайної поведінки в системі, операти-
вне реагування на потенційні загрози, наявність зручної багатофакторної автенти-
фікації через мобільний додаток. Остання функція є надзвичайно актуальною для
підприємства, де всі працівники особисто розпоряджаються своїми обліковими за-
писами, адже вона мінімізує ризики, пов’язані з використанням слабких паролів.
Криптографічні засоби – інструменти, що допомагають забезпечити конфіде-
нційність інформації, шляхом застосування різноманітних криптографічних мето-
дів:
• Апаратний засіб: електронний USB-ключ «Secure token-338»: експертний ви-
сновок № 133, дійсний з 20.01.2020 до 17.01.2025. За допомогою нього можна
створювати та перевіряти електронний цифровий підпис, шифрувати та збе-
рігати конфіденційну (ключову) інформацію.
• Програмний комплекс криптографічних перетворень «Шифр+», версія 2.1:
експертний висновок № 1674, дійсний з 16.05.2017 до 16.05.2022 (термін дії
продовжено до кінця дії воєнного стану в Україні).
Останній комплекс надає набір криптографічних функцій для захисту конфі-
денційності інформації, дає можливість формування та перевірки електронного ци-
фрового підпису, забезпечує цілісність даних за допомогою створення хеш-сум.
Для цього використовуються стійкі та сучасні алгоритми шифрування та хешу-
вання: AES, RSA, SHA.
Також існують криптографічні засоби забезпечення конфіденційності даних,
які передаються через мережу, наприклад, ІР-шифратори «CryptoIP-448»,
«CryptoIP-448/5v», експертний висновок № 04/05/02-3314, дійсний з 10.12.2020 до
10.12.2025. Їх особливості: захист віддаленого доступу до систем, забезпечення
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 45
безпеки ключів шифрування та їх обміну. Зараз дані засоби будуть не дуже актуа-
льні для організації, адже правильні налаштування брандмауерів та комутаторів й
так забезпечують шифрування пакетів, а шифрування з зовнішньою мережею може
забезпечити провайдер. Також таке рішення є доволі дорогим (від 1660 USD), тому
даний засіб не буде входити в КСЗІ підприємства, проте можна додати його в май-
бутньому за потреби.
3.1.2 Захист від витоку технічними каналами
Канали витоку інформації – це методи або шляхи, за допомогою яких
інформація може неправомірно виходити за межі системи [13]. Вони можуть
активними (коли інформація витікає через умисні дії осіб) або пасивними (коли
інформація витікає через технічні помилки, недоліки у системі захисту).
Визначимо, за рахунок яких факторів можливі канали витоку інформації у
приміщеннях підприємства (табл. 3.8).
Табл. 3.8 – Канали витоку інформації на підприємстві
Канали можливого витоку/зни-
За рахунок чого можливий витік
щення/спотворення інформації
Акустичний канал Підслуховування розмов, перебуваючи поруч
або з використанням спрямованих мікрофонів;
запис розмов на диктофон.
Віброакустичний канал Через конструкції будівлі, труби опалення, та
інші тверді тіла за допомогою контактних
мікрофонів (стетоскопів).
Канал побічних електромагніт- Через електромагнітне випромінювання, що
них випромінювань виникає під час роботи технічних засобів.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 46
Продовження таблиці 3.8
За допомогою закладних за- Встановлення закладних пристроїв; введення
собів програмних продуктів, що дозволяють непра-
вомірно одержувати інформацію.
Матеріальний Викрадення/спотворення/знищення інформації
на паперових або інших фізичних носіях.
Візуальний канал (без до- Візуальне спостереження через щілини, вікна,
поміжних засобів) прямий доступ до джерела інформації.
Оптичний канал (з використан- Фотографування або відеозйомка, оптичні при-
ням допоміжних засобів) строї закладного характеру.
Прямий канал витоку через Вивідування інформації в обслуговуючого пер-
людський фактор соналу за межами підприємства; витік вна-
слідок недотримання комерційної таємниці.
Основні технічні засоби повинні бути розміщені в межах контрольованої те-
риторії, поза якою відношення інформативного сигналу до шуму перебуває в нормі.
Тому технічні засоби зазвичай містяться близько до центру будівлі підприємства
або охоплюються найбільшою частиною контрольованого простору. У випадку,
коли це неможливо, необхідно вжити заходів щодо часткового або повного екрану-
вання приміщень з технічними засобами. В даному підприємстві всі технічні та ме-
режеві засоби якраз розміщуються ближче до центру будівлі. Окрім того, що необ-
хідно всі засоби помістити в спеціальну кімнату для надійного доступу до системи
захисту, необхідно забезпечити додаткові заходи. Оскільки приміщення підприєм-
ства невеликі, а штат співробітників постійно зростає, з’являється загроза несанк-
ціонованого прослуховування акустичних, віброакустичних сигналів, електромаг-
нітних випромінювань. Додатковими заходами можуть бути встановлення систем
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 47
просторового зашумлення та застосування завадозаглушувальних фільтрів. Це до-
зволить уникнути небажаних втручань та забезпечити оптимальні умови для фун-
кціонування технічних засобів безпеки.
Акустичні канали витоку утворюються внаслідок виникнення звукових сиг-
налів, найчастіше мовних, а віброакустичні канали – внаслідок вібраційних сигна-
лів, що виникають через роботу обладнання. Для запобігання витоку інформації
можна використовувати технічні засоби та заходи, наведені у таблиці 3.9.
Табл. 3.9 – Засоби захисту від витоку акустичними та віброакустичними ка-
налами
Захист від витоку акустичними та віброакустичними каналами
Технічний засіб Принцип роботи Відповідність ви-
могам НД з ТЗІ
Вібровипроміню- Створює шумовий вплив, спрямова- Експертний висно-
вач «Базальт- ний на поверхні, тим самим зупиня- вок № 1165, дійсний
4ДВM» ючи розповсюдження звукових з 17.09.2020 до
хвиль 17.09.2023*
Акустичний випро- Використовується для наповнення Експертний висно-
мінювач «Базальт- порожнин та вентиляційних шахт вок № 1166, дійсний
4ДА» звуковими перешкодами для утри- з 17.09.2020 до
мання звукових хвиль 17.09.2023*
* термін дії продовжено до кінця дії воєнного стану в Україні
Додаткові заходи:
− Утовщення огороджувальних конструкцій (стіни, стеля, підлога)
− Мінімізація щілин в огороджувальних конструкціях.
− Використання звукопоглинаючих матеріалів.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 48
Для запобігання витоку інформації через канал побічних електромагнітних
випромінювань потрібно застосовувати засоби електромагнітного екранування та
зашумлення (табл. 3.10).
Табл. 3.10 – Захист від побічних електромагнітних випромінювань
Захист від витоку каналами побічних електромагнітних випромінювань
Технічний засіб Принцип роботи Відповідність ви-
могам НД з ТЗІ
Фільтр протиза- Блокує побічні електромагнітні сиг- Експертний висно-
вадний ФЗП- нали, які можуть бути використані для вок № 1209, дійсний
110-2 технічного прослуховування. з 24.12.2020 до
24.12.2023
Генератор шуму Створює штучні шумові сигнали, які Експертний висно-
«Базальт-4ГА» маскують конфіденційну інформацію вок № 1242, дійсний
та перешкоджають засобам технічної з 13.05.2021 до
розвідки. 13.05.2024
Канал витоку через закладні пристрої передбачає приховане встановлення
різних апаратних або програмних засобів задля неправомірного збору даних або
віддаленого керування системою. Це можуть бути:
− клавіатурні шпигуни (кейлогери) – реєструють всі натискання клавіш клаві-
атури;
− приховані мікрофони або камери;
− USB-пристрої – підключаються до USB-порту задля копіювання даних або
віддаленого доступу;
− шпигунське програмне забезпечення.
Методи захисту від програмних закладок передбачають наявність якісного
антивірусного/антишпигунського програмного забезпечення. Методи захисту від
апаратних закладок передбачають ширший ряд заходів:
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 49
1) контроль доступу до приміщень з обмеженим доступом, кімнат для перего-
ворів, робочих місць працівників за допомогою охоронних та засобів відеос-
постереження;
2) аналіз та захист найбільш вразливих місць до встановлення закладних при-
строїв;
3) періодична перевірка приміщень на наявність апаратних закладок, а у разі
виявлення – ліквідація таких пристроїв.
4) обмеження доступу до USB-портів, контроль за підключеними пристроями.
Технічні засоби, які допоможуть в проведенні таких заходів:
• Програмне забезпечення системи відеоспостереження Avigilon Control Center
версії 7.х: експертний висновок №1097, дійсний з 02.04.2020 до 02.04.2023
(термін дії продовжено до кінця дії воєнного стану в Україні).
Проте не варто забувати, що КСЗІ має бути економічно доцільною, а рівень
витрат на засоби захисту не повинні перевищувати рівень збитків. Є чудовий ком-
плекс пошуку закладних пристроїв DELTA X. з експертним висновком №1096,
проте він може бути надто дорогим та не доцільним для компанії. При правильному
розмежуванні доступу та контрольно-пропускному пункті, а також якісному від-
бору робітників та практикантів, можливість встановлення закладних пристроїв
зводиться до мінімуму. Тому варто мати на увазі даний пристрів, і за потреби
прийняти рішення про встановлення даного засобу після дослідної експлуатації
КСЗІ. Заходи з візуального пошуку таких пристроїв все ж необхідні, й будуть опи-
сані детальніше при формуванні організаційних заходів захисту.
Матеріальні канали витоку виникають тоді, коли зловмисник має можливість
витягти інформацію з фізичних носіїв (залишені без нагляду документи, магнітні
носії, пошкоджені технічні засоби). Заходами захисту буде обмеження доступу до
таких об’єктів та остаточне знищення залишкової інформації з носіїв, яке може ві-
дбуватись і програмними, і апаратними засобами захисту. Останні здатні генеру-
вати потужне магнітне поле, тим самим надаючи високу ефективність знищення
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 50
інформації. Проте наявність такого захисту визначається бюджетом підприємства
та доцільністю сильних заходів захисту. Також можна звернути увагу на USB або
жорсткі носії від виробників DataTraveler, Silicon Power. Вони дозволяють безпечно
зберігати конфіденційну інформацію за рахунок шифрування даних. А у разі необ-
хідності закрити до доступ, треба видалити спеціальний ключ для розшифрування.
У такому випадку програми для відновлення видалених даних не зможуть розши-
фрувати вміст жорсткого диску. Щодо програмних засобів, потужні інструменти –
Eraser: Eraser або CCleaner.
Візуально-оптичні канали витоку інформації виникають через зорове сприй-
няття або використання оптичних засобів для отримання інформації. Візуальний
канал може включати читання інформації, що відображається на екранах користу-
вачів, розгорнутих документів, схем, залишених у доступному місці. Оптичний ка-
нал включає використання спеціальний засобів, спостереження за робочими міс-
цями працівників за допомогою оптичних пристроїв. Захист від закладних при-
строїв (наприклад, прихованих відеокамер) передбачає заходи, описані вище. Від
іншого необхідні організаційні заходи захисту: правильне розташування моніторів,
яке унеможливлює читання інформації сторонніми особами; обмеження фізичного
доступу до робочих місць користувачів; правила обліку та зберігання носіїв конфі-
денційної інформації тощо.
Останній канал витоку інформації (а саме її вивідування у персоналу,
прийоми соціального інжинірингу) не передбачає технічних засобів захисту, а
лише регулювання організаційними заходами захисту.
3.2 Засоби фізичної безпеки
Найперше, про що потрібно подбати – це охоронна сигналізація офісного
приміщення. Для цього слід впровадити та налаштувати охоронні сповіщувачі, які
здатні реагувати на небезпечні ситуації. Зокрема, ці сповіщувачі мають активува-
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 51
тися при відкритті дверей та вікон, а також при спробі розбиття скла. Ідеально пі-
дійде комплект бездротової охоронної сигналізації Ajax StarterKit Cam Plus, який
складається з чотирьох засобів захисту:
1. Hub 2 (2G) – хаб, який відстежує та контролює всі роботу системи безпеки,
має технології пуш-сповіщень, коротких повідомлень і телефонних дзвінків.
2. MotionCam – датчик руху, який при активації робить серію фотографій для
деталізованого аналізу.
3. DoorProtect – датчик, який розміщується на будь-яких типах дверей та шви-
дко реагує на їх відчинення.
4. SpaceControl – брелок, який забезпечує можливість встановлення та зняття
приміщення з охорони, також має тривожну кнопку.
Пожежний вихід організації завжди зачиняється, проте не має інших засобів
захисту. Тому варто встановити ще один датчик Ajax DoorProtect для дверей поже-
жного виходу та акустичний охоронний сповіщувач GBD-2, що реагує при спробі
розбиття скла.
Як зазначалось раніше, головний вхід в офісне приміщення обладнаний еле-
ктронним замком та камерою відеоспостереження Dahua. Необхідно ще встановити
камеру біля пожежного виходу, а також у спеціально виділеній серверній/комута-
ційній кімнаті.
Щодо охорони комерційного об’єкту в неробочий час, було вирішено залу-
чити охоронну компанію ВЕНБЕСТ, яка пропонує засоби захисту Ajax, а також
може ще надати послуги монтажу охоронної сигналізації. Вона гарно зарекоменду-
вала себе на ринку охоронних послуг, а також надає послуги великій кількості ба-
нкових установ по всій Україні.
Для надійного зберігання важливих документів, печаток та електронних но-
сіїв даних необхідно встановити сейф біля робочого місця генерального директора.
У таблиці 3.11 наведена порівняльна характеристика можливих варіантів.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 52
Табл. 3.11 – Порівняння різних видів сейфів
Вид сейфу Переваги Недоліки
з ключовим - менше схильний до відмов - є можливість втрати ключа чи
замком - не потребує батарейок або створення його дубліката без
електронних компонентів відома власника – при цьому,
немає можливості змінити ме-
тод захисту
- володіє меншою функціона-
льністю
з електронним - є більш сучасним рішенням - є можливість забути пароль
замком - має більшу функціональність
- встановлення тимчасових па-
ролів, швидка зміна паролю за
потреби, автоматичне відкри-
вання/закривання дверей
Оскільки для підприємства є важливим контроль та можливості управління
доступом, було обрано сейф R 60 E з електронним замком та касовим відділом.
Також позиціонується як сейф з високим ступенем захисту класу S1 за європейсь-
ким стандартом EN 14450. Такі сейфи мають високу стійкість до механічних пош-
коджень.
Зовнішній вигляд запропонованих фізичних засобів захисту представлений
на рисунку 3.3.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 53
Рис. 3.3 –Засоби фізичної безпеки
3.3 Організаційні заходи захисту
Організаційні заходи захисту включають різноманітні вимоги, політики, про-
цедури та інструкції, які спрямовані на забезпечення внутрішньої безпеки підпри-
ємства. Вони охоплюють визначення ролей і відповідальностей, навчання персо-
налу з питань безпеки, створення системи моніторингу тощо. Організаційні заходи
дозволяють поєднати всі доступі засоби захисту в одну комплексну систему, а без
них система захисту була б недостатньо ефективною.
До основних організаційних заходів відносяться:
1) організація пропускного режиму та охорони;
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 54
2) порядок роботи з персоналом;
3) вимоги до приміщень та робочих місць користувачів ІТС;
4) порядок роботи з інформаційними ресурсами;
5) заходи під час проведення конфіденційних нарад та переговорів.
До організаційних заходів також відноситься і розробка політики безпеки
підприємства, яка буде визначати конкретні правила та вимоги, які стосуються за-
хисту інформації.
3.3.1 Організація пропускного режиму та охорони
Вимоги до пропускного режиму та охорони:
• Всі співробітники повинні мати особисті посвідчення з фотографією для іде-
нтифікації та доступу в приміщення підприємства, а відвідувачі – тимчасові
перепустки. Даний захід націлений на мінімізацію доступу сторонніх осіб.
• Визначення рівня доступу для кожної посади, регулювання доступу до окре-
мих зон або приміщень відповідно до посади та рівня дозволу.
• Встановлення системи відеоспостереження в області контрольованого дос-
тупу, яка працює в режимі реального часу та надає можливість подальшого
перегляду відеозаписів будь-яких подій.
• Встановлення охоронної та пожежної сигналізації, які автоматично переда-
ватимуть сигнали на пост служби охорони.
• Передача приміщення під охорону в неробочий час.
3.3.2 Робота з персоналом
До організаційних заходів відноситься і розробка посадових інструкцій для
персоналу. Це необхідна складова кадрової документації на кожному підприємстві.
У таких інструкціях чітко визначаються обов’язки персоналу відповідно до їхніх
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 55
посад. Підприємство «Everlabs» вже має сформований штат працівників, що спро-
щує даний етап, оскільки посадові та робочі інструкції вже існують.
Велику роль грає і навчання працівників щодо основ безпеки, правил обробки
інформації, а також розпізнавання та недопущення соціального інжинірингу. Спри-
яння позитивній атмосфері в організації мінімізує ризики, пов’язані з мотивами са-
моствердження чи корисливого інтересу.
Під час набору інтернів до команди мають застосовуватись додаткові заходи
захисту. В першу чергу, вони мають ознайомитись з основними принципами без-
пеки та вимогами безпеки на підприємстві. Також вони повинні мати обмежений
рівень доступу до систем та ресурсів. Це можливе за рахунок програмно-апаратних
засобів захисту. Також є сенс створювати окремий обліковий запис для інтернів.
Найкращим рішенням буде створення служби безпеки на підприємстві або
введення посади фахівця із захисту інформації. Він має слідкувати за станом ком-
плексної системи захисту інформації та за дотриманням усіх вимог. Крім того, клю-
човою є посада системного адміністратора, обов’язками якого є забезпечення спра-
вної роботи резервних джерел живлення, системних драйверів, програмного забез-
печення та його періодичне оновлення, в тому числі й антивірусних програм.
3.3.3 Вимоги до приміщень та робочих місць користувачів ІТС
Вимоги до робочих місць користувачів:
Робочі місця повинні бути обладнані таким чином, щоб всі комп'ютери були
підключені до джерела безперебійного живлення, яке зможе забезпечити роботу до
10 хвилин у випадку відсутності електропостачання. Це дозволить зберегти важ-
ливі дані та коректно завершити роботу. Монітори комп’ютерів слід поставити так,
щоб мінімізувати можливості несанкціонованого ознайомлення з інформацією. Пе-
редбачити і неможливість читання конфіденційних даних через замкові щілини,
отвори, вікна. Рекомендується встановити непрозорі штори чи жалюзі.
Вимоги до серверних та комутаційних приміщень:
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 56
1. Необхідно виділити спеціальне приміщення для серверного та комутаційного
обладнання та екранувати його.
2. Визначення обмеженого кола осіб, які повинні мати доступ до приміщення.
3. Серверна кімната має бути завжди зачинена, окрім тих ситуацій, коли спеці-
алізованим працівникам із відповідними правами доступу необхідно прове-
сти технічні роботи.
4. Фізичний доступ до приміщення має бути захищений додатковими засобами
контролю доступу: електронний замок, зчитувач посвідчення особи. Також
всі відвідування кімнати мають бути зареєстровані у спеціальному журналі.
5. Забезпечення фізичної безпеки кімнати, яка може включати систему відеос-
постереження.
6. Матеріали внутрішніх поверхонь мають бути пожежобезпечними.
7. За наявності системи вентиляції обладнати отвори спеціальними заслінками
задля попередження проникнення у приміщення.
8. Відведення достатнього простору для можливого масштабування.
9. Наявність надійної системи електроживлення, резервних джерел безперебій-
ного живлення та генераторів для забезпечення безперебійної роботи основ-
ного обладнання та технічних засобів.
10. Організація кабель-менеджменту для полегшення обслуговування та попере-
дження збоїв.
11. Вимкнення усіх неактивних портів комутаторів та інших пристроїв вводу-
виводу, які не будуть надалі використовуватись у процесі експлуатації, а та-
кож встановлення спеціальних заглушок чи захисних наклейок.
12. Управління температурою в приміщенні і забезпечення системи охоло-
дження для запобігання перегріву обладнання.
13. Встановлення програм моніторингу для регулярного контролю за станом об-
ладнання та технічних засобів.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 57
3.3.4 Порядок роботи з інформаційними ресурсами
− При прийомі на роботу всі працівники мають підписати угоду про нерозголо-
шення конфіденційної таємниці та дотримуватись її умов.
− Класифікація інформації та встановлення відповідних правил обробки.
− Встановлення правил та різних рівнів доступу до інформаційних ресурсів, від-
повідно до обов'язків і повноважень користувачів системи, що включає іден-
тифікацію та автентифікацію.
− Забезпечення періодичного оновлення паролів для задля підвищення безпеки.
− Забезпечення вільного та своєчасного ознайомлення з відкритою інформа-
цією, а її модифікація/знищення допускається лише авторизованими користу-
вачами.
− Доступ до конфіденційної інформації надається лише авторизованим корис-
тувачам.
− Забезпечення процедур резервного копіювання та відновлення інформацій-
них ресурсів.
− Обов’язкове шифрування конфіденційної і таємної інформації при її передачі.
− Контроль цілісності програмного забезпечення та припинення обробки інфо-
рмації у випадку порушення її цілісності.
− Реєстрація всіх подій в ІТС, включаючи всі операції в системі: ідентифікацію
та автентифікацію користувачів, несанкціоновані спроби доступу, надання чи
позбавлення прав доступу.
− Періодичне сканування та своєчасне виявлення і знищення вірусних чи шпи-
гунських програм.
− Заборона копіювання інформації на сторонні носії без дозволу уповноваженої
особи.
− Обмеження підключення зовнішніх пристроїв до комп'ютерів задля запобі-
гання введення шкідливого програмного забезпечення.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 58
3.3.5 Заходи для проведення конфіденційних нарад
• Виділення спеціального пристосованого приміщення для проведення конфі-
денційних нарад. Воно має бути обладнаним технічними засобами, зокрема,
що забезпечують захист акустомовної інформації.
• Найкраще підійде приміщення без вікон, тому за можливості встановити кон-
диціонер, оскільки під час нарад двері повинні залишатися закритими.
• У разі наявності у приміщенні вікон, вони оснащуються світлонепроникними
шторами чи жалюзями.
• Для забезпечення додаткової звукоізоляції можливе встановлення та викори-
стання подвійних дверей.
• Перед початком кожної конфіденційної наради представник служби безпеки
повинен перевірити учасників та приміщення на наявність сторонніх при-
строїв, які можуть записувати або передавати інформацію та загрожувати її
конфіденційності. Також перевіряється коректна робота технічних засобів за-
хисту.
• Важливе нагадування учасникам про необхідність дотримання конфіденцій-
ності та можливих наслідків її порушення.
3.4 Економічні розрахунки на реалізацію КСЗІ
Враховуючи всі наведені проектні рішення, можемо сформувати необхідний
перелік обладнання та технічних засобів, необхідних для практичного впрова-
дження КСЗІ. Спочатку розрахуємо капітальні (фіксовані витрати), які необхідні
для покупки та налагодження засобів захисту:
• Cisco ASA ASA5508-K8 (мережевий пристрій з функціями брандмауера, VPN
і IDS/IPS, здатний обробляти до 150 Мбіт/сек, має 8 портів 10/100) – вартість:
80000 грн
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 59
• Електронний USB-ключ «Secure token-338» - вартість: 1100 грн/шт.
• Вібровипромінювач «Базальт-4ДВM» – вартість: 1500 грн/шт.
• Акустичний випромінювач та генератор шуму «Базальт-4ДА» – вартість:
12780 грн.
• Фільтр протизавадний ФЗП-110-2 – вартість: 320 грн/шт.
• Комплект бездротової охоронної сигналізації Ajax StarterKit Cam Plus – вар-
тість: 12700 грн
• Датчик відкриття дверей Ajax DoorProtect – вартість: 713 грн/шт.
• Охоронний сповіщувач GBD-2 – вартість: 870 грн/шт. Всього необхідно 11
шт. (для охоплення вікон усіх приміщень), отже загальна вартість: 9570 грн.
• Комплект відеоспостереження Dahua HDCVI-4D PRO KIT – 17760 грн.
• Сейф R 60 E – вартість: 13500 грн.
• Перехідні з'єднання та патч-корди – вартість: бл. 4000 грн
• Витрати на налаштування засобів – оговорюються окремо.
• Витрати на облаштування серверної кімнати, в тому числі екранування при-
міщення: екрануюча фарба EMF-Turtal PLV: вартість 12490 грн/5 л. Такої єм-
ності вистачає на 30 кв. м. Серверна кімната має площу 160 кв. м. Всього
необхідно 32 л фарби або 7 шт. фасуванням по 5 л, отже загальна вартість:
87430 грн
Загальна вартість фіксованих витрат ≈ 242 тис. грн.
Також врахуємо річні витрати на підтримку КСЗІ:
• Програмний комплекс ESET PROTECT Elite – визначається індивідуально
(бл. 50 тис. грн/рік)
• Послуги охоронної компанії ВЕНБЕСТ – оговорюється окремо, бл. 8500
грн/рік.
• Утримання посади співробітника служби безпеки – бл. 240 тис. грн/рік.
Отже, маємо ще ≈ 300 тис. грн. річних витрат.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 60
3.5 Висновки
Більшість завдань, пов'язаних із забезпеченням безпеки інформації, можуть
бути вирішені за допомогою організаційних заходів. Тому визначені вимоги та пра-
вила, які є пріоритетними та необхідними для реалізації в першу чергу для забезпе-
чення безпеки ІТС. Однак, з урахуванням розвитку інформаційних технологій збі-
льшується потреба у використанні технічних засобів захисту. Тому також було
оглянуто та підібрано інженерно-технічні засоби. Впроваджена КСЗІ дозволяє під-
приємству ефективно захищати конфіденційну інформацію від несанкціонованого
доступу та від витоку технічними каналами, забезпечуючи цілісність, конфіденцій-
ність та доступність даних.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 61
ВИСНОВКИ
Метою дипломної роботи є створення ефективної та комплексної системи за-
хисту, яка забезпечує безпеку інформації на всіх етапах функціонування інформа-
ційно-телекомунікаційної системи приватного підприємства «Everlabs». Роботу
було поділено на наступні етапи: пошук та огляд інформаційних джерел; обсте-
ження об’єкта, на якому створюється комплексна система захисту інформації; фо-
рмування загальних вимог та аналіз можливих загроз системі; розробка інженерно-
технічних засобів захисту; розробка організаційних заходів захисту; проведення
економічних розрахунків на реалізацію комплексної системи захисту інформації;
оформлення текстової документації та графічного матеріалу. Виконання етапів ди-
пломної роботи відбувалося згідно календарного плану.
У теоретичній частині роботи було наведено поняття комплексної системи
захисту інформації, її основні принципи та етапи створення. КСЗІ має відповідати
завданням захисту та цілям підприємства, бути безперервною, гнучкою, простою і
зручною в експлуатації, а також обґрунтованою логічно та економічно.
Наведена в роботі розробка комплексної системи захисту інформації базу-
ється на існуючих нормативних документах у сфері технічного захисту інформації.
З них варто виділити НД ТЗІ 3.7-003-2005, який регламентує порядок проведення
робіт із створення КСЗІ. Було проведено обстеження середовищ функціонування
ІТС, надано класифікацію інформаційних ресурсів підприємства, розроблені мо-
делі загроз та порушника. Наприклад, проаналізувавши модель загроз та модель
порушника можна дійти до висновку, що найбільшу загрозу для безпеки підприєм-
ства становить персонал ІТС. Тому саме ці етапи дозволили визначити критичні
напрями захисту. За рахунок цього було запропоновано комплекс ефективних про-
грамно-апаратних, інженерних та організаційних заходів.
Отже, результатом кваліфікаційної роботи є створення комплексної системи
захисту, що націлена на захист слабких місць підприємства.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 62
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної си-
стеми захисту інформації в інформаційно-телекомунікаційній системі»
2. Про захист інформації в інформаційно-комунікаційних системах Закон Ук-
раїни від 05.07.1994 № 80/94-ВР
3. Комплексні системи захисту інформації : навчальний посібник / К63 [Ярем-
чук Ю. Є., Павловський П. В., Катаєв В. С., Сінюгін В. В.] ‒ Вінниця :
ВНТУ, 2018. ‒ 118 с.
4. Комплексна система захисту інформації (КСЗІ) [Електронний ресурс] Ре-
жим доступу: https://uss.gov.ua/service/kszi/
5. Комплексна система захисту інформації [Електронний ресурс] Режим дос-
тупу: https://www.h-x.technology/ua/services/kszi-implementation-ua
6. НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в
комп’ютерних системах від несанкціонованого доступу»
7. НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в
автоматизованій системі»
8. НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації комп'ютерних
систем від несанкціонованого доступу»
9. Захист інформації в автоматизованих системах управління : навчальний по-
сібник / Уклад. І. А. Пількевич, Н. М. Лобанчикова, К. В. Молодецька. –
Житомир : Вид-во ЖДУ ім. І. Франка, 2015. – 226 с.
10. Комплексна система захисту інформації [Електронний ресурс] Режим дос-
тупу: https://uh.ua/ua/solutions-services/kszi.html
11. Про Державну службу спеціального зв'язку та захисту інформації України
Закон України від 23.02.2006 № 3475-IV
12. Засоби ТЗІ, які мають експертний висновок про відповідність до вимог тех-
нічного захисту інформації [Електронний ресурс] Режим доступу:
https://cip.gov.ua/ua/news/zasobi-tzi-yaki-mayut-ekspertnii-visnovok-pro-
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 63
vidpovidnist-do-vimog-tekhnichnogo-zakhistu-informaciyi
13. Комплексні системи захисту інформації в інформаційно-телекомунікацій-
них системах: Навчальний посібник / В. Д. Козюра, В. О. Хорошко, М. Є.
Шелест, Ю. М. Ткач, Я.Ю. Усов. – Ніжин: ФОП Лук’яненко В.В., ТПК «Ор-
хідея», 2019. – 144 с.
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 64
ДОДАТОК А
Ілюстративний матеріал
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 65
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 66
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 67
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 68
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 69
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 70
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 71
Арк .
БІ021.023.22196.248 ПЗ
Змн. Арк. № докум. Підпис Дата 72