Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: https://er.chdtu.edu.ua/handle/ChSTU/5985
Повний запис метаданих
Поле DCЗначенняМова
dc.contributor.advisorПроценко, Олександр Анатолійович-
dc.contributor.authorРезніченко, Дмитро Ігорович-
dc.date.accessioned2025-10-28T13:33:05Z-
dc.date.available2025-10-28T13:33:05Z-
dc.date.issued2023-
dc.identifier.urihttps://er.chdtu.edu.ua/handle/ChSTU/5985-
dc.description.abstract"Мета дослідження полягає в аналізі й розробці системи захисту критичних даних. Основною ціллю дослідження є виявлення основних загроз, які впливають на безпеку та цілісність критичних даних, та розробка механізмів їх захисту. Проаналізувати існуючі методи, технології та практики захисту критичних даних в ІТ інфраструктурі. Визначити потенційні загрози безпеці критичних даних в державних органах влади. Розробити систему захисту критичних даних, включаючи процедури резервного копіювання, контролю доступу та виявлення вторгнень. Провести апробацію розробленої системи на пілотному проекті в державному органі влади. Оцінити ефективність та надійність застосованої системи захисту критичних даних."uk_UA
dc.language.isoukuk_UA
dc.subjectсистеми захисту критичних данихuk_UA
dc.subjectІТ-інфраструктуриuk_UA
dc.subjectсистеми захисту данихuk_UA
dc.titleСистема захисту критичних даних в ІТ інфраструктурі в державних органах влади та місцевого самоврядуванняuk_UA
dc.typeMaster Thesisuk_UA
Розташовується у зібраннях:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Файли цього матеріалу:
Файл Опис РозмірФормат 
М_125_Резніченко_Проценко.pdf
  Restricted Access
5.37 MBAdobe PDFПереглянути/Відкрити    Запит копії


Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.

Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, 
AВТОТРАНСПОРТУ ТА МАШИНОБУДУВАННЯ 
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ 
СИСТЕМ ТА КІБЕРБЕЗПЕКИ 
 
 
 
До захисту допущено 
 
завідувач кафедри РТСК 
 
д.т.н., професор 
 
_______________ В.В. Палагін 
 
"______" __________ 2023 року 
 
 
 
Пояснювальна записка 
 
до дипломного проекту магістра 
 
на тему «Система захисту критичних даних в ІТ інфраструктурі  
в державних органах влади» 
 
 
 
Виконав: студент 2 курсу, групи БІ-021 
Спеціальності 125 – «Кібербезпека» 
 
освітньої програми «Безпека 
інформаційних і комунікаційних систем» 
 
 
 Резніченко Д.І. 
 
 Керівник Проценко О.А. 
 
 Рецензент Блюма А.В. 
 
 
 
 
 
 
 
Черкаси 2023 
Форма № Н-9.01 
 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
(повне найменування вищого навчального закладу) 
Факультет електронних технологій, автотранспорту та машинобудування  
(повна назва) 
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки  
(повна назва) 
Освітньо-кваліфікаційний рівень магістр  
 
Спеціальність 125 – «Кібербезпека»  
 
Освітня програма Безпека інформаційних і комунікаційних систем  
 
ЗАТВЕРДЖУЮ 
Завідувач кафедри д.т.н., проф. 
____________ Палагін В.В. 
“___” _____________ 2023 року 
 
З А В Д А Н Н Я 
НА КВАЛІФІКАЦІЙНУ РОБОТУ МАГІСТРА СТУДЕНТУ 
Резніченко Дмитру Ігоровичу 
 (прізвище, ім’я, по батькові) 
 
1. Тема роботи «Система захисту критичних даних в ІТ інфраструктурі в державних органах влади» 
керівник роботи Проценко Олександр Анатолійович_____  
                                                                                     (прізвище, ім’я, по батькові, науковий ступінь, вчене звання) 
затверджені наказом Черкаського державного технологічного університету від  
«10» жовтня 2023 року №271/04.  
2. Строк подання студентом роботи «06» грудня 2023 р. 
3. Вихідні дані до роботи Наказу Департаменту фінансів від 31.08.2023 р. № 51-ос, Наказ 
Адміністрації Держспецзв’язку від 06.10.2021 № 601.  
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити) 
Вступ, Розділ 1 Дослідження і опис системи захисту критичних даних та її складових, Розділ 2 
Дослідження ІТ-інфраструктури та системи захисту даних на прикладі Черкаської ОДА, 
Висновок, Список використаних джерел.  
5. Перелік графічного матеріалу : мультимедійна презентація “ Система захисту критичних даних в 
ІТ інфраструктурі в державних органах влади” – 20 слайди (додається до роботи).  
6. Консультанти розділів роботи 
Підпис, дата 
Розді Прізвище, ініціали та посада 
завдання завдання 
л консультанта 
видав прийняв 
1    
2    
 
7. Дата видачі завдання __________________ 
 
КАЛЕНДАРНИЙ ПЛАН  
 
№ Строк виконання 
Назва етапів кваліфікаційної роботи магістра Примітка  
з/п етапів роботи 
1. Пошук і аналіз інформації по заданій темі 15.09.2023-  
30.09.2023 
2. Написан ня І розділу “Дослідження і опис системи 01.10.2023-  
захисту критичних даних та її складових” 19.10.2023 
3. Написан ня ІІ розділу роботи “Дослідження ІТ- 20.10.2023-  
інфраструктури та системи захисту даних на 24.11.2023 
прикладі Черкаської ОДА” 
4. Написан ня вступу і висновків, складання списку 25.11.2023  
літератури 
5. Оформл ення кваліфікаційної роботи магістра 01.12.2023  
6. Подання  роботи в ЕК 06.12.2023  
7. Захист р оботи в ЕК   
 
Студент _____________________Резніченко Д.І. 
    (підпис)                           (прізвище та ініціали) 
Керівник роботи   ________________Проценко О.А. 
                                                  (підпис)                        (прізвище та ініціали) 
 
 
ЗМІСТ 
 
ВСТУП............................................................................................................................ 5 
РОЗДІЛ 1. ДОСЛІДЖЕННЯ І ОПИС СИСТЕМИ ЗАХИСТУ ДАНИХ ТА ЇЇ 
СКЛАДОВИХ …………………………………………………...……………….…... 9 
1.1  Контроль доступу…………………………………………...……………..…... 9 
1.2  Резервне копіювання та відновлення………………………....……………... 20 
1.3  Моніторинг та виявлення вторгнень…………………………...………….... 28 
1.4  Фізична безпека…………………………………………………...……….…. 35 
1.5  Свідомість та навчання персоналу……………………………………….….. 39 
1.6  Аудит безпеки……………………………………………………………….... 40 
РОЗДІЛ 2. ПРАКТИЧНА ЧАСТИНА ………………………….…………….….. 44 
2.1  Аналіз існуючої ІТ-інфраструктури……………………………...…………. 44 
2.2  Огляд поточного стану ІТ-інфраструктури, включаючи мережеву 
інфраструктуру, сервери, системи зберігання даних……………………...……..... 49 
2.3  Ідентифікувати потенційні загрози безпеці даних…………………………. 50 
2.4  Оцінка можливих наслідків витоку даних…….……………………………. 54 
2.5      Розробка системи захисту критичних даних………...……….…….…...….. 56 
2.6  Встановлення правил і протоколів безпеки даних…………………………. 59 
2.7 Створення системи контролю доступу…………………….……….………... 61 
2.8  Налаштування системи резервного копіювання та відновлення даних…... 65 
2.9  Налаштування системи моніторингу безпеки………...…………………..... 69 
2.10 Встановлення фаєрволу………………………...…………………………….. 72 
ЗАГАЛЬНІ ВИСНОВКИ ………………….…………………………….………… 74 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ………………….……....…..……….... 76 
 
ЧДТУ.23.22199.013.ПЗ 
Змн. Арк. № докум. Підпис Дата 
Розроб. РезніченкоД.І. С истема захисту Літ. Арк. Аркушів 
 Перевір. Проценко О.А. 4 77 
. критичних даних в ІТ 
Реценз. Блюма А.В. інфраструктурі  
 Н. Контр.  Байрак А.В. в державних органах влади ЧДТУ, БІ-021 
Затверд. Палагін В.В. 
 
 
ВСТУП 
 
Сьогодні майже кожен державний орган утримує значну кількість важливої 
інформації з обмеженим доступом, яка є основою, для прийняття управлінських 
рішень та надання послуг громадянам і організаціям. Отже, недостатня 
захищеність цих даних, може призвести до серйозних наслідків, включаючи 
втрату довіри до владних структур, виток інформації та порушення 
конституційних прав громадян. 
Система захисту критичних даних в інформаційно-телекомунікаційній 
інфраструктурі державних органів, визначається не тільки важливістю 
забезпечення конфіденційності, цілісності та доступності інформації, але й 
необхідністю забезпечення стабільності функціонування державних інституцій у 
відповідь на різноманітні внутрішні та зовнішні загрози. 
Основна проблема, яку буде розглянуто в даній дипломній роботі, полягає у 
недостатній безпеці критичних даних у ІТ інфраструктурі державних органів 
влади. У сучасному цифровому світі із зростанням кількості та складності 
кіберзагроз, необхідно забезпечити адекватний рівень захисту цих даних, оскільки 
несанкціонований доступ до них, або пошкодження може негативно позначитися 
на виконанні завдань і функцій державних органів. Розвиток цифрових технологій 
сприяє ефективній роботі урядових органів, спрощує процеси ведення державної 
справи та виводить процеси взаємодії та комунікації з громадянами на новий 
рівень. Проте з цими можливостями з’являються нові загрози і виклики для 
безпеки інформації. Зловмисники постійно вдосконалюють свої техніки, для 
вторгнення в інформаційні системи, створюють нові методи та способи крадіжки 
конфіденційної інформації, а також атаки на інфраструктуру з метою завдання 
значних матеріальних та моральних збитків. Отже, розробка та впровадження 
ефективної системи захисту критичних даних є невід’ємною складовою державної 
політики в галузі інформаційної безпеки. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 5 
Змн. Арк. № докум. Підпис Дата 
 
Забезпечення конфіденційності інформації передбачає використання 
сучасних криптографічних методів та механізмів контролю доступу. Цілісність 
даних вимагає впровадження засобів виявлення та захисту від несанкціонованих 
вторгнень у системи інформаційної безпеки та змін, або вилучення даних. 
Забезпечення доступності інформації вимагає створення резервних копій та 
запобігання втраті даних у разі катастроф, технічних збоїв, або кібератак. 
Зазначена проблематика має не тільки технічний, але й організаційний аспект. 
Необхідно розробляти стратегії та політики інформаційної безпеки, проводити 
аудит та оцінку ризиків, навчати персонал та впроваджувати сучасні стандарти 
безпеки. Оскільки загрози постійно зростають у своїй складності, ефективна 
система захисту критичних даних повинна бути гнучкою та вдосконаленою, 
готовою відповідати на найновіші виклики у сфері кібербезпеки. У зв’язку із 
зростанням кількості кіберзагроз та величезним обсягом оброблюваної інформації 
державні органи стикаються з викликом захисту критичних даних в ІТ 
інфраструктурі. Несанкціонований доступ, втрати чи пошкодження цих даних 
можуть призвести до серйозних наслідків, для державної безпеки та ефективності 
управління. 
Мета дослідження полягає в аналізі й розробці системи захисту критичних 
даних. Основною ціллю дослідження є виявлення основних загроз, які впливають 
на безпеку та цілісність критичних даних, та розробка механізмів їх захисту. 
Для досягнення цих цілей необхідно вирішити такі завдання: 
1. Проаналізувати існуючі методи, технології та практики захисту 
критичних даних в ІТ інфраструктурі. 
2. Визначити потенційні загрози безпеці критичних даних в державних 
органах влади. 
3. Розробити систему захисту критичних даних, включаючи процедури 
резервного копіювання, контролю доступу та виявлення вторгнень. 
4. Провести апробацію розробленої системи на пілотному проекті в 
державному органі влади. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 6 
Змн. Арк. № докум. Підпис Дата 
 
5. Оцінити ефективність та надійність застосованої системи захисту 
критичних даних. 
Після виконання розробленої системи та проведення експериментальних 
випробувань, ми очікуємо отримати наступні результати: 
1. Виявлення основних загроз безпеці критичних даних в роботі державних 
органів влади. 
2. Розробка механізмів захисту критичних даних, які дозволять забезпечити 
конфіденційність, цілісність та доступність інформації. 
3. Апробація системи захисту на реальному об’єкті та оцінка її 
ефективності. 
4. Рекомендації щодо вдосконалення системи захисту критичних даних на 
основі отриманих результатів. 
Вивчення та вдосконалення системи захисту критичних даних в 
інформаційно-технічній інфраструктурі державних органів влади визначається 
необхідністю забезпечення стійкості та безпеки функціонування сучасного 
суспільства в умовах постійного розвитку технологій та зростаючих кількісних та 
якісних загроз інформаційній безпеці. 
Тема «Система захисту критичних даних в ІТ інфраструктурі в державних 
органах влади» є дуже актуальною. В сучасному світі, де майже всі аспекти 
суспільного та економічного життя ґрунтуються на інформації, захист даних є 
надзвичайно важливим завданням для державних структур. Державні органи 
влади зберігають значну кількість критично важливої інформації. Це може бути 
персональна інформація громадян, фінансові дані, важливі документи та 
договори, а також інші державні секрети. У разі несанкціонованого доступу до 
цих даних, можуть виникнути серйозні наслідки, які шкодять як державі, так і 
самим громадянам. Крім того, із зростанням кількості цифрових загроз, таких як 
хакерські атаки, віруси та інші види кіберзлочинності, державні органи влади 
повинні бути готовими забезпечити адекватний рівень захисту своїх критичних 
даних. Це включає в себе використання сучасних технологій захисту, розробку та 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 7 
Змн. Арк. № докум. Підпис Дата 
 
впровадження стратегій кібербезпеки, а також навчання та підвищення 
кваліфікації спеціалістів, які відповідають за захист цих даних. Також варто 
зазначити, що в державних органах влади збільшується кількість обміну 
електронною інформацією, а також впроваджується електронне управління та 
система документообігу. Це робить захист критичних даних ще більш важливим, 
оскільки в разі порушення безпеки, можуть постраждати не тільки окремі органи, 
але й всі системи державного управління. Отже, можна стверджувати, що тема 
"Система захисту критичних даних в ІТ інфраструктурі в державних органах 
влади" є дуже актуальною, оскільки захист критичних даних є важливим 
завданням, яке вимагає постійної уваги та покращення, враховуючи участь ІТ 
технологій у всіх сферах діяльності. У державних органах влади зберігаються 
великі обсяги критичних даних, які можуть стати предметом кібератак або 
зловживань. Нестача адекватної системи захисту може призвести до втрати даних, 
порушення конфіденційності, викрадення інформації та навіть може вплинути на 
роботу суспільних процесів. Законодавство, регулююче захист критичних даних, 
також зазнає змін і потребує оновлення, оскільки кіберугрози стають все більш 
складними та витонченими. Тому постійне удосконалення системи захисту та 
врахування нових викликів в області кібербезпеки є ключовим фактором для 
державних органів. Крім того, у зв’язку з розвитком ІТ технологій з’являються 
нові загрози, такі як шифрування даних, DDoS атаки, соціальний інжиніринг і 
багато інших. Отже, система захисту критичних даних повинна постійно 
адаптуватися до нових загроз та розвиватися, щоб забезпечити ефективну захисту. 
Крім того, захист критичних даних в державних органах влади має велике 
значення для забезпечення стабільності та безпеки країни. Інформація, яка 
зберігається в державних органах, може містити важливі дані про економічну, 
політичну та оборонну сфери. Тому пошкодження, або загроза безпеці цих даних, 
може мати серйозні наслідки для держави. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 8 
Змн. Арк. № докум. Підпис Дата 
 
РОЗДІЛ 1. ДОСЛІДЖЕННЯ І ОПИС СИСТЕМИ ЗАХИСТУ ДАНИХ ТА 
ЇЇ СКЛАДОВИХ 
 
1.1. Контроль доступу. 
 
Система контролю доступу є важливою складовою інфраструктури ахисту 
критичних даних в державних органах влади та місцевому самоврядуванні. 
Контроль доступу визначає, як користувачі та системи отримують доступ до 
інформації та ресурсів, і виступає як перешкода для несанкціонованого доступу 
до конфіденційної інформації. Перш за все, ефективна система контролю доступу 
передбачає ідентифікацію користувачів і надання їм відповідних прав доступу 
відповідно до їхніх обов'язків та ролей. Це може бути досягнуто через 
використання унікальних ідентифікаторів, таких як імена користувачів та паролі, 
або біометричних методів, таких як відбитки пальців чи розпізнавання обличчя. 
Окрім ідентифікації, система повинна включати механізми авторизації, які 
визначають, які ресурси чи операції може виконувати користувач після успішної 
ідентифікації. Це важливо для забезпечення принципу "найменших привілеїв", 
коли користувачеві надаються тільки ті права, які необхідні для виконання його 
функціональних обов’язків. Забезпечення безпеки системи контролю доступу 
також передбачає виявлення та відповідь на можливі загрози [1]. Механізми 
виявлення несправжніх або несанкціонованих доступів можуть включати системи 
моніторингу, аналізу журналів подій та автоматизовані сповіщення про 
потенційні порушення безпеки. Зазначені елементи системи контролю доступу 
мають бути ретельно налаштовані та регулярно аудитуватися для виявлення та 
виправлення можливих слабкостей. Крім того, важливо проводити навчання 
персоналу щодо правил безпеки та користування системою контролю доступу, 
щоб уникнути соціально-інженерних атак та інших методів обхіду безпекових 
заходів. Усі ці заходи спільно допомагають створити ефективну систему 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 9 
Змн. Арк. № докум. Підпис Дата 
 
контролю доступу, яка є невід'ємною частиною загальної стратегії захисту 
критичних даних у державних органах влади та місцевому самоврядуванні. 
Контроль доступу — це система засобів і заходів, спрямованих на обмеження 
фізичного або логічного доступу до ресурсів чи об'єктів, а також на визначення 
прав користувачів чи пристроїв. Ця система регулює, хто, як і коли має право 
отримувати доступ до конкретних ресурсів.  
 
 
Рис.1. Система Active Directory. 
 
Основні складові контролю доступу включають: 
1.1.1. Аутентифікація 
Аутентифікація - це процес перевірки ідентичності особи, системи чи 
процесу. У контексті інформаційної безпеки та доступу до систем це означає 
підтвердження того, що особа або система, яка намагається отримати доступ, є 
тією, за кого вона видає себе. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 10 
Змн. Арк. № докум. Підпис Дата 
 
Основні елементи аутентифікації включають: 
Ідентифікаційні дані: 
Ідентифікаційні дані - це інформація, яка ідентифікує унікальну особу, 
систему, об'єкт або суб'єкт в рамках конкретного контексту. Ці дані 
використовуються для встановлення особистості чи ідентифікації, і можуть бути 
використані як ключ для доступу до певних ресурсів або послуг [2]. Тут наведені 
деякі приклади ідентифікаційних даних: 
Ім'я та Прізвище: Унікальна комбінація імені та прізвища ідентифікує 
конкретну особу. 
Електронна адреса: Унікальний адрес електронної пошти, який призначений 
конкретній особі або організації. 
Номер телефону: Унікальний номер телефону, який може служити 
ідентифікатором користувача. 
Номер акаунта: Унікальний ідентифікатор облікового запису, який може 
бути призначений користувачеві на певному веб-сайті або сервісі. 
Номер паспорта: Унікальний ідентифікатор, який міститься в паспорті особи. 
Логін користувача: Унікальне ім'я, яке користувач обирає для входу в 
систему чи веб-сайт. 
Соціальний номер: Унікальний ідентифікатор, який використовується для 
ідентифікації громадян у ряді країн. 
Унікальний код клієнта: Призначений клієнтові код для ідентифікації його в 
рамках системи обслуговування. 
Аутентифікаційні фактори:  
Аутентифікаційні фактори - це дані чи об'єкти, які використовуються для 
перевірки ідентичності особи чи суб'єкта при проходженні процесу 
аутентифікації.  
Існують три основних типи аутентифікаційних факторів: 
Ідентифікація на основі знань (Something You Know): 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 11 
Змн. Арк. № докум. Підпис Дата 
 
Паролі: Спосіб ідентифікації, який використовується зазвичай у вигляді 
текстового рядка, який користувач повинен знати для входу в систему. 
Пін-коди: числовий код, який також потрібно ввести для підтвердження 
ідентифікації.  
Довжина числового коду зазвичай обирається 4 або 6 цифр або символів. 
Відповіді на секретні питання: Система може попросити користувача 
відповісти на питання, які тільки він має знати, наприклад, "Імя вашого 
домашнього улюбленця?" 
 
 
Рис.2. Складові Active Directory . 
 
Ідентифікація на основі чогось, що ви маєте (Something You Have): 
Токени: Фізичний пристрій або програма, яка генерує одноразові коди, що 
використовуються для аутентифікації. 
Смарт-карти: Фізична карта, яка містить електронічні дані і може 
використовуватися для доступу до системи. 
Мобільні пристрої: Використання мобільних телефонів чи інших 
персональних пристроїв для отримання кодів або доступу до систем. 
Ідентифікація на основі чогось, що ви є (Something You Are): 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 12 
Змн. Арк. № докум. Підпис Дата 
 
Біометричні методи: Використання унікальних фізіологічних чи 
поведінкових рис користувача для ідентифікації. Наприклад, відбитки пальців, 
розпізнавання обличчя, розпізнавання голосу. 
Ідентифікація на основі дій (Something You Do): 
Поведінкова біометрія: Вивчення та аналіз унікальних характеристик 
користувача, таких як стиль набору тексту на клавіатурі або особливості 
мишкового руху. 
Багатофакторна аутентифікація: 
Використання двох чи більше методів аутентифікації для підвищення рівня 
безпеки. Розповлюдженим є багатофакторні аутентифікації у вигляді комібінації 
паролів та токенів, біометричні дані та PIN-коди, смс та імейл кодів з обмеженим 
часом дії. 
Двухфакторна аутентифікація - підвид багато факторної аутентифікації. 
Для надійоної двохфакторної аутентифікації слід використовувати спеціальні 
онлайн додатоки аутентіфікації для мобільних пристроїв, які надають додатковий 
рівень безпеки для онлайн-акаунтів. До прикладу мона взяти додаток Authy або 
Google Authenticator що досить часто та широко використовується у сучасних 
системах автентифікації для підвищення безпеки онлайн-сервісів, таких як 
поштові акаунти, соціальні мережі та фінансові веб-сайти. Додаток генерує 
одноразові паролі на основі часу , які користувачі вводять разом зі своїми 
звичайними авторизаційними даними. 
Основні функції додатків аутентифікації включають: 
Two-Factor Authentication (2FA): підтримка використання 2FA, що вимагає 
від користувачів надання додаткового коду аутентифікації разом зі своїм паролем 
під час входу в обліковий запис. 
Time-Based One-Time Passwords (TOTP): генерація TOTP, які змінюються 
через фіксовані інтервали (зазвичай кожні 30 секунд), надаючи динамічний і 
часово чутливий код для кожної спроби входу. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 13 
Змн. Арк. № докум. Підпис Дата 
 
Підтримка кількох пристроїв: синхронізація токенів 2FA на кількох 
пристроях, що робить його зручним для користувачів, що регулярно використовує 
декілька пристроїв. 
Резервне копіювання та відновлення: додаток надає можливість резервного 
копіювання та відновлення токенів 2FA, якщо користувач переходить на новий 
пристрій або втрачає доступ до поточного. 
Біометричний захист: На підтримуваних пристроях додаток пропонує опції 
біометричної аутентифікації (такі як відбитки пальців чи розпізнавання обличчя) 
для додаткового рівня безпеки. 
Крос-платформенна сумісність: зазвичай додатки доступні на різних 
платформах, таких як iOS, Android та настільних пристроях, що робить їх 
доступним для широкого кола користувачів. 
Аутентифікаційний процес:  
Аутентифікаційний процес - це механізм, який використовується для 
перевірки відповідності ідентифікаційних даних та аутентифікаційних факторів. 
Цей процес призначений для визначення того, чи особа чи система, яка 
намагається отримати доступ, дійсно та правомірно представляє того, за кого вона 
видає себе. 
Основні характеристики аутентифікаційного процесу включають: 
Перевірка ідентифікаційних даних: Аутентифікаційний процес 
розпочинається перевіркою ідентифікаційних даних. 
Введення аутентифікаційних факторів: Користувач або система вводить 
аутентифікаційні фактори. 
Порівняння збережених даних: Введені аутентифікаційні фактори 
порівнюються із збереженими або зареєстрованими даними в системі. Наприклад, 
перевірка, чи правильний введений пароль, чи чи збігаються біометричні дані. 
Призначення дозволів чи відмова в доступі: В залежності від результату 
порівняння система призначає або відмовляє в доступі. Якщо ідентифікація 
успішна, користувачу надаються відповідні права доступу. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 14 
Змн. Арк. № докум. Підпис Дата 
 
Журналювання і аудит: Деякі системи ведуть журнал або аудит дій, 
пов'язаних із процесом аутентифікації. Це може включати записи про спроби 
входу, введення неправильних паролів чи інші події для подальшого аналізу 
безпеки [3]. 
Аутентифікаційний процес може бути реалізований через різноманітні 
методи, включаючи програмне забезпечення, апаратне забезпечення та комбінації 
різних технік. 
Аутентифікаційні протоколи:  
Аутентифікаційні протоколи — це стандарти та правила, які визначають, як 
відбувається процес аутентифікації, включаючи обмін даними та взаємодію між 
сторонами. Ці протоколи забезпечують безпечний та надійний спосіб 
підтвердження ідентичності користувачів чи систем та встановлення доступу до 
ресурсів. Ось кілька важливих аутентифікаційних протоколів: 
OAuth (Open Authorization): 
Призначення: Дозволяє користувачам надавати обмежений доступ іншим 
службам без розкриття свого пароля. 
Використання: Часто використовується для авторизації через сторонні 
сервіси, такі як Google або Facebook. 
OpenID: 
Призначення: Стандарт для одноразового входу, дозволяє користувачам 
використовувати один обліковий запис для доступу до різних веб-сайтів. 
Використання: Застосовується для покращення користувацького досвіду та 
зменшення необхідності вводити ідентифікаційні дані на кожному веб-сайті. 
SAML (Security Assertion Markup Language): 
Призначення: Використовується для обміну аутентифікаційною та 
авторизаційною інформацією між службами. 
Використання: Широко використовується в однойменних системах один раз 
для входу та в єдиному вході для корпоративних середовищ. 
Kerberos: 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 15 
Змн. Арк. № докум. Підпис Дата 
 
Призначення: Протокол аутентифікації, який використовує ключі для 
безпечної взаємодії між користувачами та службами в розподілених мережах. 
Використання: Зазвичай застосовується в корпоративних середовищах. 
LDAP (Lightweight Directory Access Protocol): 
Призначення: Використовується для доступу та керування інформацією в 
каталогах, таких як каталог Active Directory в середовищі Windows. 
Використання: В основному в корпоративних мережах для аутентифікації та 
авторизації. 
RADIUS (Remote Authentication Dial-In User Service): 
Призначення: Використовується для централізованої аутентифікації, 
авторизації та обліку користувачів, особливо в мережах з доступом через модем 
або VPN. 
Використання: Застосовується в мережах зі спеціальними вимогами щодо 
безпеки доступу. 
Мета аутентифікації полягає в тому, щоб забезпечити захист від 
несанкціонованого доступу, перешкоджаючи тим самим можливим загрозам 
безпеки інформації та ресурсів. 
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 16 
Змн. Арк. № докум. Підпис Дата 
 
1.1.2. Авторизація. 
Авторизація - це процес надання прав доступу до певних ресурсів чи функцій 
конкретним користувачам або системам. Після того, як користувач був успішно 
аутентифікований (підтверджено його ідентичність), авторизація визначає, які дії 
він може виконувати та які ресурси він може використовувати. 
 
 
Рис.3. Діаграма процесу отримання доступу. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 17 
Змн. Арк. № докум. Підпис Дата 
 
Основні аспекти авторизації включають: 
Права доступу: Кожен користувач або роль може мати визначені права 
доступу до певних функцій або ресурсів системи. Це визначає, які дії вони 
можуть виконувати [6]. 
Ролі: Часто авторизація організується за допомогою ролей. Користувачам 
присвоюються ролі, які визначають їхні повноваження. Наприклад, адміністратор 
може мати роль з повним доступом, тоді як звичайний користувач - обмежений. 
Політики доступу: Це правила, які визначають, хто, як і коли має доступ до 
певних ресурсів чи функцій. Політики можуть бути реалізовані через списки 
контролю доступу, різні рівні доступу тощо. 
Область дії: Визначається, до яких конкретних ресурсів чи функцій 
користувач чи група користувачів мають доступ. 
Часові обмеження: В деяких випадках може бути важливим обмежити доступ 
до ресурсів протягом певного періоду часу. Наприклад, користувач може мати 
доступ тільки під час робочих годин.  
Ефективний контроль доступу грає ключову роль у забезпеченні безпеки 
інформації та ресурсів у сучасних інформаційних системах. 
1.1.3. Принципи роботи контроль доступу в доменні служби Active 
Directory 
Керування доступом для об'єктів у доменні служби Active Directory 
засноване на моделях керування доступом Windows NT і Windows 2000. 
Додаткові відомості та докладний опис цієї моделі та її компонентів, як-от 
дескриптори безпеки, маркери доступу, ідентифікатори безпеки, списки 
керування доступом і ACE, див. у розділі контроль доступу Model. 
 
Привілеї доступу для ресурсів до доменних служб Active Directory зазвичай 
надаються за допомогою запису управління доступом (ACE). ACE визначає дозвіл 
на доступ або аудит об'єкта для певного користувача або групи. Список керування 
доступом (ACL) - це впорядкована колекція записів керування доступом, 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 18 
Змн. Арк. № докум. Підпис Дата 
 
визначених для об'єкта. Дескриптор безпеки підтримує властивості та методи, які 
створюють списки керування доступом і керують ними. Додаткові відомості про 
моделі безпеки див. у розділі "Безпека" або в пакеті ресурсів сервера Windows 
2000. (Цей ресурс може бути недоступний у деяких мовах і країнах або регіонах.) 
Базовим описом моделі безпеки є: 
Дескриптор безпеки. Кожен об'єкт каталогу має власний дескриптор безпеки, 
що містить дані безпеки, які захищають об'єкт. Дескриптор безпеки може містити 
список управління доступом на розсуд (DACL). СПИСОК A DACL містить 
список ACE. Кожен ACE надає або забороняє набір прав доступу користувачеві 
або групі. Права доступу відповідають операціям, таким як читання і запис 
властивостей, які можуть виконуватися для об'єкта. 
Контекст безпеки. Під час доступу до об'єкта каталогу застосунок вказує 
облікові дані суб'єкта безпеки, який виконує спробу доступу. Під час перевірки 
автентичності ці облікові дані визначають контекст безпеки додатка, який 
включає членство в групах і привілеї, пов'язані із суб'єктом безпеки. Додаткові 
відомості про контексти безпеки див. у розділі "Контексти безпеки" і доменні 
служби Active Directory. 
Перевірка доступу. Система надає доступ до об'єкта тільки в тому випадку, 
якщо дескриптор безпеки об'єкта надає необхідні права доступу суб'єкту безпеки, 
який намагається виконати операцію (або групам, до яких належить суб'єкт 
безпеки). 
У такій таблиці перелічено інтерфейси ADSI, які використовуються для 
управління функціями управління доступом доменними службами Active 
Directory. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 19 
Змн. Арк. № докум. Підпис Дата 
 
1.2. Резервне копіювання. 
 
Резервне копіювання є невід'ємною частиною стратегії забезпечення безпеки 
даних, яка грає вирішальну роль у запобіганні втратам та відновленні важливої 
інформації. Існує кілька видів резервного копіювання, кожен з яких має свої 
унікальні характеристики та застосування, спрямовані на задоволення конкретних 
потреб користувачів та організацій. У цьому розділі розглянемо різні види 
резервного копіювання, їхні переваги та особливості [14]. 
Резервне копіювання (або резервне копіювання даних) - це процес створення 
копії важливих даних з метою збереження їх у випадку втрати, пошкодження або 
видалення оригінальних даних. Головна мета резервного копіювання - 
забезпечення можливості відновлення інформації в разі непередбачуваних подій 
чи аварій, таких як видалення файлів, віруси, виходження з ладу обладнання, 
пожежа, повінь чи інші природні чи технічні катастрофи. 
 
 
Рис.4. Система резервного копіювання для Microsoft Office 365. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 20 
Змн. Арк. № докум. Підпис Дата 
 
1.2.1. Основні характеристики резервного копіювання. 
Основні характеристики резервного копіювання включають: 
Регулярність: Ефективне резервне копіювання передбачає регулярність. 
Частіше всього, що залежить від обсягу та критичності даних. Зберігання в 
іншому місці: Резервні копії повинні зберігатися в іншому місці, ніж самі дані, 
щоб захистити від втрати в результаті того ж самого негативного впливу 
(наприклад, пожежі або крадіжки).  Перевірка цілісності: Важливо періодично 
перевіряти цілісність резервних копій, щоб впевнитися, що дані можна успішно 
відновити. Ієрархія збереження: Створення кількох версій резервних копій з 
різних моментів часу може бути корисним для відновлення даних в певних точках 
в минулому. 
Регулярність та автоматизація: 
Щоб забезпечити ефективне резервне копіювання, важливо створювати копії 
даних на регулярній основі. Автоматизовані інструменти дозволяють 
заплановувати та виконувати операції резервного копіювання визначеним чином, 
зменшуючи можливість забути або пропустити важливі дані. Це стає першим 
кроком у збереженні цінних даних у безпечному стані. 
Захист резервних копій: 
Ключовим аспектом резервного копіювання є не тільки створення самої 
копії, але й її захист від несанкціонованого доступу. Шифрування даних 
забезпечує конфіденційність та унеможливлює доступ до інформації небажаним 
особам. Це важливо, особливо коли резервні копії зберігаються в хмарних 
облачних сервісах або на зовнішніх носіях. 
Множинні копії та фізична роздільність: 
Стратегія зберігання множинних резервних копій дозволяє зменшити ризик 
втрати даних у випадку фізичного пошкодження або знищення одного 
зберігального пристрою. Зберігання копій в різних фізичних місцях, таких як 
віддалені центри обробки даних або захищені фізичні споруди, гарантує їхню 
недоступність для руйнівних впливів одного місця. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 21 
Змн. Арк. № докум. Підпис Дата 
 
Тестування та планування відновлення: 
Регулярні тести відновлення є важливим етапом стратегії резервного 
копіювання. Це дозволяє перевірити не тільки факт наявності резервних копій, 
але і можливість швидкого та ефективного відновлення даних у разі необхідності. 
Планування сценаріїв відновлення допомагає визначити стратегії та пріоритети 
для реагування на аварійні ситуації. 
Загальний успіх стратегії резервного копіювання та відновлення полягає у 
впровадженні комплексного підходу, який охоплює не тільки технічні аспекти, 
але і процеси управління, навчання персоналу та постійне вдосконалення 
 Існує кілька методів резервного копіювання, кожен з яких має свої переваги 
та недоліки. Вибір конкретного методу зазвичай залежить від вимог організації, 
обсягу даних, термінів відновлення, а також вартості та доступності технічних 
ресурсів. 
 
Рис.5. Основні методів резервного копіювання. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 22 
Змн. Арк. № докум. Підпис Дата 
 
1.2.2. Основні методів резервного копіювання. 
Локальне резервне копіювання: 
Зовнішні накопичувачі (External Drives): Копії даних створюються на 
зовнішніх жорстких дисках чи флеш-накопичувачах, які фізично зберігаються в 
тому ж приміщенні, де і основний обладнання. 
Сервери для резервного копіювання (Backup Servers): Великі обсяги даних 
можуть бути копійовані на спеціально призначені сервери для резервного 
копіювання у внутрішній мережі організації. 
 
Хмарне резервне копіювання: 
Інтернет-хмарні сервіси (Cloud Backup Services): Дані копіюються в хмарне 
сховище через Інтернет.  
На сьогоднiшній день існує багато інструментів для хмарного резервного 
копіювання, які надають надійні та ефективні засоби для зберігання даних в 
хмарному середовищі. Деякі з популярних інструментів хмарного резервного 
копіювання включають: 
Amazon S3 (Simple Storage Service): Amazon S3 дозволяє зберігати та 
відновлювати дані в хмарному сховищі Amazon Web Services (AWS). Ви можете 
використовувати інструменти, такі як AWS Backup, для автоматизації резервного 
копіювання. 
Microsoft Azure Backup: Це рішення від Microsoft для резервного 
копіювання та відновлення даних у хмарному сховищі Azure. Воно надає гнучкі 
опції для резервного копіювання важливих даних. 
Google Cloud Storage: Google Cloud пропонує сховище Google Cloud Storage, 
де ви можете зберігати дані. Є різні інструменти для автоматизації резервного 
копіювання, наприклад, Google Cloud Storage Transfer Service. 
Backblaze B2 Cloud Storage: Backblaze надає доступне сховище в хмарі, а 
їхній сервіс B2 дозволяє зберігати дані та робити резервні копії з інтерфейсу 
командного рядка або через API. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 23 
Змн. Арк. № докум. Підпис Дата 
 
Duplicity: Це відкрите програмне забезпечення для резервного копіювання, 
яке підтримує хмарні сервіси, такі як Amazon S3, а також різні протоколи передачі 
даних. 
Veeam Backup for Microsoft Azure: Veeam надає рішення для резервного 
копіювання та відновлення для хмарних обчислювальних платформ, включаючи 
Microsoft Azure. 
Acronis True Image: Acronis пропонує рішення для резервного копіювання, 
яке підтримує хмарні сховища, такі як Acronis Cloud. 
Мережеве резервне копіювання (Network Attached Storage - NAS): 
Мережеві пристрої зберігання: Дані копіюються на спеціально призначені 
мережеві пристрої зберігання, які підключені безпосередньо до мережі 
організації. Це може бути NAS (Network Attached Storage) або SAN (Storage Area 
Network). 
NAS і SAN є альтернативними рішеннями для зберігання та резервного 
копіювання даних. Кожне з цих рішень має свої особливості та застосування в 
залежності від конкретних потреб. 
NAS (Network Attached Storage): 
Характеристики: NAS - це сервер, підключений до мережі, який надає доступ 
до свого сховища даних через мережу, зазвичай за допомогою протоколів, таких 
як NFS або SMB/CIFS. 
Переваги: 
Простота встановлення та використання. 
Зручний доступ до даних через мережу. 
Ідеально підходить для невеликих або середніх навантажень. 
Застосування: Відмінно підходить для домашнього використання, невеликих 
бізнесів та невеликих робочих груп. 
SAN (Storage Area Network): 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 24 
Змн. Арк. № докум. Підпис Дата 
 
Характеристики: SAN - це велика мережа зберігання даних, яка підключає 
сервери та сховища даних за допомогою спеціальних комутаторів та іншого 
обладнання. 
Переваги: 
Висока швидкість передачі даних. 
Підтримка великих обсягів даних та високих навантажень. 
Дозволяє вирішувати завдання великих підприємств. 
Застосування: Використовується в корпоративних середовищах, де потрібна 
велика продуктивність та висока доступність даних. 
Інкрементальне копіювання: Копіюються лише ті дані, які змінилися після 
останнього повного чи інкрементального копіювання. Економить простір 
зберігання, але відновлення може вимагати більше часу. 
Диференційоване копіювання: Копіюються всі змінені дані відносно 
останнього повного копіювання. Відновлення швидше, ніж при інкрементальному 
копіюванні, але може вимагати більше місця для зберігання. 
Образ диска: 
Резервне копіювання образу диска - це процес створення точної копії всього 
вмісту диска, включаючи операційну систему, драйвери, програми та дані. Така 
копія називається образом диска, і вона може бути використана для відновлення 
системи у випадку втрати даних, аварії операційної системи чи інших проблем. 
Існує кілька способів виконання резервного копіювання образу диска: 
Вбудовані засоби операційної системи: 
Windows: У Windows існують інструменти, такі як "Резервне копіювання та 
відновлення" або "Імідж системи", які дозволяють створювати образи системних 
дисків. 
macOS: На macOS можна використовувати програму Time Machine для 
створення резервних копій системи, яка включає в себе образ диска. 
Спеціалізовані програми: 
 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 25 
Змн. Арк. № докум. Підпис Дата 
 
Існують сторонні програми, які спеціалізуються на створенні образів дисків. 
Наприклад, Acronis True Image, EaseUS Todo Backup, Macrium Reflect для 
Windows або Carbon Copy Cloner для macOS. 
Командні рядки та інші інструменти: 
В деяких випадках можна використовувати командні рядки для створення 
образів дисків. Наприклад, у Linux можна використовувати команду dd. 
Хмарне резервне копіювання: 
Іншим варіантом є використання хмарних сервісів для резервного 
копіювання образів дисків. Деякі хмарні послуги, такі як Amazon S3 або Azure 
Blob Storage, дозволяють завантажувати та зберігати образи дисків. 
При виборі методу резервного копіювання образу диска важливо 
враховувати регулярність створення резервних копій, зручність відновлення та 
обсяг даних, які потрібно зберігати. 
Відновлення з образу: У разі втрати даних або виявлення проблеми, можна 
відновити систему повністю ідентичною копією, яка існувала на момент 
створення образу. 
 
Середовище віртуалізації. Віртуальні резервні копії: 
Віртуальні резервні копії відносяться до процесу створення та зберігання 
копій віртуальних машин (VMs) або інших віртуалізованих об'єктів, таких як 
образи операційних систем, даних або програм, які працюють на віртуалізованих 
платформах. Цей підхід дає змогу ефективно використовувати ресурси, 
зменшувати час і витрати на резервне копіювання та відновлення, а також 
спрощує управління копіями віртуальних об'єктів. 
Основні аспекти віртуальних резервних копій включають: 
Сховища віртуальних резервних копій (VBR): Це програмне забезпечення, 
спеціально призначене для створення та управління резервними копіями 
віртуальних об'єктів. Приклади таких систем включають Veeam Backup & 
Replication, VMware Data Recovery та інші. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 26 
Змн. Арк. № докум. Підпис Дата 
 
Інтеграція з віртуалізаційними платформами: Віртуальні резервні копії 
зазвичай пов'язані з конкретними платформами віртуалізації, такими як VMware 
vSphere, Microsoft Hyper-V, або Citrix XenServer. Це дозволяє ефективно 
взаємодіяти з віртуальними об'єктами. 
Інкрементальне резервне копіювання: Віртуальні резервні копії часто 
використовують інкрементальні та диференційовані методи для ефективного 
виявлення та зберігання змін, що відбулися після попередньої повної копії. 
Можливості клонування і тестування: Зручні функції віртуальних резервних 
копій включають можливості швидкого клонування віртуальних машин для 
тестування або відновлення, що дозволяє ефективно перевіряти стан систем та 
забезпечувати відновлення в разі потреби. 
Хмарне резервне копіювання віртуальних об'єктів: Інтеграція з хмарними 
сервісами може дозволити зберігати резервні копії в хмарних сховищах для 
забезпечення додаткового рівня безпеки та доступності. 
Планування та автоматизація: Віртуальні резервні копії дозволяють 
планувати регулярне виконання резервних копій згідно з заданими розкладами та 
забезпечувати автоматичне виконання завдань резервного копіювання. 
Використання віртуальних резервних копій може спростити управління 
даними та забезпечити ефективне відновлення віртуальних середовищ у випадку 
виникнення проблем. 
Кожен з цих методів має свої переваги та недоліки, і важливо вибрати той, 
який найкращим чином відповідає конкретним потребам та обмеженням 
організації. Часто ефективна стратегія включає комбінацію різних методів для 
забезпечення максимальної надійності та швидкодії [18]. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 27 
Змн. Арк. № докум. Підпис Дата 
 
1.3. Моніторинг та виявлення вторгнень. 
 
Моніторинг та виявлення вторгнень (Інтрузійна система виявлення та 
запобігання, IDS/IPS) є необхідною складовою інфраструктури інформаційної 
безпеки, особливо в контексті захисту критичних даних у державних органах 
влади та місцевому самоврядуванні. Ці системи сприяють вчасному виявленню та 
запобіганню потенційним загрозам, а також вирішенню інцидентів вторгнень. 
 
 
Рис.6. Система запобігання вторгнень (IPS). 
 
1.3.1. Система запобігання вторгнень (IPS). 
Системи запобігання вторгнень (IPS) виконують виявлення вторгнень і йдуть 
кроком далі, зупиняючи будь-які виявлені загрози. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 28 
Змн. Арк. № докум. Підпис Дата 
 
Система запобігання вторгнень - це обладнання або програмне забезпечення 
для мережевої безпеки, яке постійно спостерігає за поведінкою мережі на предмет 
загроз, подібно системі виявлення вторгнень. Однак IPS йде кроком далі за IDS і 
автоматично вживає відповідних заходів для протидії виявленим загрозам, 
включаючи заходи, такі як повідомлення, блокування трафіку з певного джерела, 
відкидання пакетів або скидання з'єднання. Деякі рішення IPS також можуть бути 
налаштовані для використання "медового горщика" (пастки, що містять фіктивні 
дані), щоб введені в оману атакувачі відвернулися від своїх первинних цілей, які 
містять точні дані. 
IPS є важливою складовою сучасної корпоративної безпеки. Це через те, що 
організаційні мережі 2023 року мають численні точки доступу та обробляють 
великі обсяги даних, що робить ручне моніторинг трафіку та реагування на 
загрози завданням, що стоїть перед великими труднощами. Крім того, зросла 
популярність хмарних платформ означає, що підприємства працюють у 
високорівневих з'єднаних середовищах. Хоча це має різноманітні переваги, це 
створює величезну площу атак і збільшує вразливість, якщо хмарна платформа не 
належним чином захищена. 
Зі зростанням кількості та складності загроз для корпоративних систем 
автоматизовані рішення безпеки, такі як IPS, стали важливішими, ніж коли-
небудь раніше. Це рішення забезпечення мережевої безпеки дозволяє бізнесу 
протидіяти загрозам практично в реальному часі, не надто напружуючи 
можливості команд безпеки. Воно робить це, скануючи великі обсяги трафіку без 
впливу на продуктивність мережі. Багато постачальників безпеки об'єднують IPS 
з рішеннями об'єднаного управління загрозами (UTM) чи брандмауерами нового 
покоління (NGFW). 
Рішення IPS розташовані в потоці мережевого трафіку, між точкою 
походження і призначенням. IPS може використовувати будь-який з численних 
доступних методів для виявлення загроз. Наприклад, IPS на основі сигнатур 
порівнює мережеву активність з сигнатурами раніше виявлених загроз. Хоча цей 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 29 
Змн. Арк. № докум. Підпис Дата 
 
метод легко відхиляє раніше виявлені атаки, він часто не може визначити нові 
загрози. 
1.3.2. Основні принципи та завдання систем моніторингу та виявлення 
вторгнень. 
Аномальний аналіз: 
Аномальний аналіз в системах захисту критичної інфраструктури відіграє 
важливу роль у виявленні небезпечних або несанкціонованих активностей. Цей 
підхід базується на виявленні несподіваних, аномальних або відхилень від 
типових патернів поведінки, що може свідчити про потенційні загрози або атаки. 
Нижче наведено деякі методи аномального аналізу у системах захисту даних 
критичної інфраструктури: 
Моніторинг поведінки користувачів та мережі: 
Системи можуть аналізувати звичайні патерни поведінки користувачів та 
мережі. 
Виявлення аномалій може включати аналіз незвичайних часових шаблонів 
активності, обсягів трафіку, та інших параметрів. 
Моделювання базового рівня активності: 
Створення профілю нормальної активності для подальшого порівняння з 
актуальною активністю. Моделі можуть враховувати контекст, такий як часові 
зони, типи користувачів, та інші фактори. 
Виявлення аномальних подій у логах: 
Аналіз логів може виявити несподівані події, помилки чи спроби 
несанкціонованого доступу. Застосування методів машинного навчання для 
виявлення патернів аномальної активності у логах. 
Аналіз трафіку та використання ресурсів: 
Моніторинг трафіку мережі та використання ресурсів може допомагати 
виявляти несподівані або підозрілі активності. Виявлення великого обсягу 
запитів, надто інтенсивного використання ресурсів або неочікуваних патернів 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 30 
Змн. Арк. № докум. Підпис Дата 
 
може бути підозрілим. Деякі сучасні системами моніторингу мережі Zabbix, 
PRTG Network Monitor, OpenNMS, Nagios, Cacti, The Dude, Monit.  
Машинне навчання та інтелектуальний аналіз: 
Використання алгоритмів машинного навчання для виявлення нових, 
невідомих або складних аномалій. Автоматизоване вдосконалення моделей на 
основі нових даних та використання їх у виявленні загроз. 
Виявлення атак сигнатурою: 
Використання бази сигнатур відомих атак для виявлення відповідних 
патернів у трафіку або системних подіях. Ефективно для виявлення відомих 
загроз, але менш ефективне проти нових або унікальних атак. 
Аналіз аномалій через сід-фрази: 
Використання унікальних ключових слів або фраз для виявлення аномальних 
подій в системі. Може включати аналіз текстового контенту, логів, або мережевих 
запитів. 
 
 
Рис.7.Система моніторингу Zabbix monitoring dashboard. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 31 
Змн. Арк. № докум. Підпис Дата 
 
Загальна оцінка безпеки: 
Використання систем моніторингу для оцінки загального рівня захищеності 
системи. Виявлення можливих слабких місць або тенденцій загроз у системі. 
Використання комбінації цих методів дозволяє побудувати ефективну систему 
захисту, яка реагує на різноманітні аномалії та загрози у критичній 
інфраструктурі. 
Моніторинг поведінки мережі та користувачів: 
Виявлення аномальних змін у стандартних патернах поведінки, таких як 
несподівані зміни в трафіку, збільшення частоти запитів чи надмірні спроби 
входу. 
Моделювання базового рівня активності:  
Створення профілю нормальної активності для мережі та системи для 
подальшого порівняння з поточною активністю та виявлення відхилень. 
 
1.3.3. Виявлення підозрілих подій. 
 
 
Рис.8. Виявлення подій. 
 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 32 
Змн. Арк. № докум. Підпис Дата 
 
Виявлення підозрілих подій: Захист критичних даних в інформаційному 
просторі 
В інформаційному суспільстві, де обмін даними стає необхідністю, а 
використання інформаційних технологій є неодмінною частиною діяльності 
державних органів та місцевого самоврядування, виявлення підозрілих подій стає 
фундаментальною складовою системи захисту критичних даних. Це завдання 
вимагає не лише ефективних технічних рішень, але й вдосконаленої стратегії, 
гнучкості та планування для адаптації до постійно зростаючих загроз та викликів 
у сфері кібербезпеки. 
Аналіз журналів подій (Лог-аналіз): 
Один з ключових підходів до виявлення підозрілих подій - це систематичний 
аналіз журналів подій, що фіксують дії та взаємодії в інформаційних системах. 
Сучасні технології дозволяють виявляти аномалії, відступи від типових патернів 
та незвичайні активності. Аналітичні інструменти та алгоритми автоматизованого 
аналізу допомагають визначити нормальну поведінку системи та швидко 
реагувати на будь-які відхилення, що можуть свідчити про потенційні загрози. 
Виявлення атак за сигнатурою (Виявлення за сигнатурою): 
Системи виявлення підозрілих подій також використовують бази сигнатур, 
що містять відомі патерни та сценарії атак. Коли система виявляє активність, яка 
відповідає конкретній сигнатурі, вона сповіщає про це та вживає заходів для 
обмеження або усунення загрози. Цей метод дозволяє розпізнати вже відомі 
загрози та вчасно реагувати на них. 
Виявлення нових загроз: 
Але сучасні загрози непередбачувані, і виявлення нових, невідомих атак 
вимагає інноваційних підходів. Використання методів машинного навчання та 
інтелектуального аналізу дозволяє виявляти аномалії, які не входять в стандартні 
сценарії. Алгоритми самоорганізації та навчання без учителя дозволяють системі 
адаптуватися до нових загроз, враховуючи змінність кіберпростору. 
 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 33 
Змн. Арк. № докум. Підпис Дата 
 
Реагування та відновлення: 
Ефективне виявлення підозрілих подій повинно супроводжуватися 
оперативним реагуванням та стратегією відновлення. Автоматизовані системи 
реакції можуть призначати пріоритети та вживати необхідні заходи для 
блокування загрози. Планування відновлення включає резервне копіювання 
даних, відновлення роботи систем та підготовку до можливих атак у 
майбутньому. 
В ітоговому аналізі, виявлення підозрілих подій - це складний та постійно 
змінюючийся процес, який вимагає поєднання технічних рішень, аналітичної 
експертизи та гнучкості стратегій. Здатність ефективно виявляти та вирішувати 
потенційні загрози визначає успіх в забезпеченні безпеки критичних даних у 
сучасному інформаційному середовищі. 
Моніторинг безпеки держави: 
Оцінка рівня захищеності: Використання систем моніторингу для постійної 
оцінки ефективності заходів забезпечення безпеки та ідентифікації можливих 
слабких місць. 
Реагування на інциденти: Швидке виявлення та реагування на інциденти 
вторгнень для забезпечення мінімізації можливих збитків [20]. 
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 34 
Змн. Арк. № докум. Підпис Дата 
 
1.4. Фізична безпека в контексті захисту критичних даних. 
 
Фізична безпека в сфері інформаційних технологій визначається як ключовий 
аспект забезпечення повноцінного захисту критичних даних. Цей розділ 
присвячений розгляду заходів, спрямованих на фізичний захист обладнання, 
серверних приміщень та інфраструктури, що зберігає та обробляє найважливіші 
для державних органів та місцевого самоврядування дані. 
 
 
Рис.9. Фізична безпека в контексті захисту критичних даних. 
 
1.4.1. Заходи фізичної безпеки. 
Заходи фізичної безпеки включають: 
Обладнання та серверні приміщення:  
Фізична безпека ІТ інфраструктури включає в себе заходи та стратегії, 
спрямовані на захист фізичних ресурсів, де розташована інформаційна 
технологічна інфраструктура. Основні аспекти фізичної безпеки ІТ включають: 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 35 
Змн. Арк. № докум. Підпис Дата 
 
Розташування ІТ обладнання: 
Для забезпечення безпеки обладнання та серверних приміщень потрібно 
обирати будівлі та приміщення що знаходяться в безпечний місцях, які мають 
високий ступінь стійкості до стихійних лих, пожеж, затоплень тощо. Але 
водночас вони потребують швидкої доступності для запобігання можливим 
інцидентам. 
Фізичний доступ:  
Місця повинні бути обмежені системи контролю доступу, такі як електронні 
картки, біометричні системи, пін-коди, найкращим варіантом є впровадження 
подвійного рівня доступу у ярій безпосередній доступ до обладнання потребує 
додаткового ключа або коду. 
Моніторинг:  
Потрібно проводити моніторинг та реєстрацію всіх подій, пов'язаних з 
фізичним доступом до елементів системи для подальшого аналізу та перевірок. 
Відеоспостереження:  
Для безпечного фізичного доступу об’єкт має бути оснащений системою 
відеоспостереження та персоналом який відстежує дій і реагує на потенційні 
загрози та проводить аналіз і резервне копіювання всіх записів цілодобово. 
Захист від пожеж:  
Обовязковим аспектом є встановлення системи виявлення і гасіння пожеж. 
Та побудова графіку перевіки справності системи гасіння пожеж. Та регулярне 
проводення заходів навчання персоналу щодо дій в разі пожежі. 
Для зпобігання затопленню об’єкт має бути оснащений водостійким бар'єри 
та дайтчиками вологи і детекторами води а також відповідною сигналізацією у 
випадку зміни рівня вологи або проникнення води на об’єкт. 
Для підтримання системи захисту у посийному робочуму стані потрібно 
використовувати надійні та стійкі до перепаду напруги джерела електроживлення 
та резервні джерела енергії для запобігання перебоїв під час відключення або 
збою головного джерела живлення. Також слід використовувати системи 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 36 
Змн. Арк. № докум. Підпис Дата 
 
неперервного живлення (UPS) для уникнення втрат даних в разі перебоїв 
електропостачання. 
Охолодження: 
Серверні кімнати постійної підтримка певного значення вологості і 
температури повітря. В іншому випадку можуть виникнути проблеми з роботою 
серверів, що може паралізувати роботу ІТ інфраструтктури. З іншого боку, 
електронне обладнання у вигляді серверів виділяє значну кількість тепла під час 
роботи. Якщо врахувати, що таких пристроїв у стандартних серверних кімнатах 
кілька десятків, то масштаби виділеного тепла величезні. Вибираючи кондиціонер 
для серверної кімнати, ми повинні керуватися максимально можливою надійністю 
обладнання, оскільки безпека даних і безперервність бізнесу в компанії є 
найвищим пріоритетом. Розумне рішення – подвоїти потужність кондиціонерів. 
Якщо для невеликої серверної кімнати потрібен пристрій потужністю 5 кВт, то 
варто встановити два таких кондиціонера. У разі поломки другий забезпечить 
правильний мікроклімат у цьому спеціальному приміщенні. Серверна кімната 
також повинна мати ДБЖ, тобто резервні батареї, для живлення серверів у разі 
відключення електроенергії. З точки зору безпеки, варто вибирати авторитетні 
бренди від визнаних виробників [17]. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 37 
Змн. Арк. № докум. Підпис Дата 
 
1.4.2. Інфраструктура зберігання даних. 
 
 
Рис.10. Інфраструктура зберігання даних. 
Інфраструктура зберігання даних складається з наступних компонентів: 
Центри обробки даних: Розташування центрів обробки даних в фізично 
безпечних місцях, забезпечуючи захист від зовнішніх загроз та небажаного 
доступу. 
Резервне живлення: Використання надійних систем резервного живлення, 
таких як генератори, для забезпечення безперебійної роботи обладнання навіть 
під час відключення основного живлення. 
Тепловідведення та кондиціювання: Використання систем тепловідведення 
та кондиціювання повітря для підтримання оптимальних умов температури та 
вологості у приміщеннях зберігання даних. 
Транспорт та перевезення обладнання: Безпечний транспорт: Застосування 
заходів безпеки при транспортуванні обладнання, включаючи шифрування даних 
та механізми відстеження та моніторингу. Фізичний захист під час перевезення: 
Забезпечення захисту обладнання від несанкціонованого доступу або пошкоджень 
під час транспортування. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 38 
Змн. Арк. № докум. Підпис Дата 
 
1.5. Свідомість та навчання персоналу. 
 
 
 
Рис.11. Навчання персоналу. 
 
Підвищення рівня професійної компетентності державних службовців і 
посадових осіб місцевого самоврядування, щодо застосування в професійній 
діяльності знань, умінь та навичок з питань забезпечення захисту персональних 
даних, інформаційної безпеки та кібербезпеки в органах влади на разі є 
актуальною. 
Ресурсом для навчання сьогодні виступає платформа «Дія. Освіта». Основи 
інформаційної безпеки. Інститути й інструменти забезпечення інформаційної 
безпеки України. Стандарти Європейського Союзу і НАТО у сфері інформаційної 
безпеки. Кіберзлочинність. Захист інформації в мережах. Захист персональних 
даних. Безпека роботи в Інтернет. Безпека електронних платіжних систем. 
Соціальна інженерія. 
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 39 
Змн. Арк. № докум. Підпис Дата 
 
1.6. Аудит безпеки. 
 
Аудит безпеки системи захисту критичних даних є важливою частиною 
забезпечення ефективного захисту інформації та зменшення ризиків її втрати чи 
несанкціонованого доступу. Цей процес визначається проведенням оцінки, 
перевірки та аналізу системи захисту, спрямованого на виявлення потенційних 
загроз, слабких місць і можливостей для удосконалення безпекового стану. 
 
 
Рис.12. Аудит безпеки системи захисту 
 
1.6.1. Основні аспекти аудиту безпеки. 
Основні аспекти аудиту безпеки системи захисту критичних даних 
включають: 
Оцінка політик безпеки: Перевірка та аналіз ефективності політик безпеки 
організації. Це включає вивчення визначених правил, обмежень та процедур для 
захисту критичних даних. 
Виявлення слабких місць: Аналіз системи захисту для виявлення слабких 
місць, які можуть бути використані для несанкціонованого доступу або атак. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 40 
Змн. Арк. № докум. Підпис Дата 
 
Перевірка ідентифікації та аутентифікації: Перевірка ефективності 
процесів ідентифікації та аутентифікації користувачів для забезпечення 
вірогідності доступу. 
Моніторинг та логування: Оцінка системи моніторингу та логування для 
виявлення та реєстрації незвичайної або підозрілої активності. 
Аналіз заходів забезпечення: Перевірка ефективності застосованих 
технічних та організаційних заходів безпеки для усунення можливих загроз. 
Тестування вразливостей: Проведення тестів на виявлення вразливостей в 
системі захисту, які можуть бути використані для атак. 
Аналіз заходів реагування: Перевірка готовності та ефективності заходів 
реагування на інциденти безпеки та відновлення системи. 
Оцінка забезпечення фізичного доступу: Вивчення та оцінка заходів 
безпеки, пов'язаних з фізичним доступом до приміщень і обладнання, які містять 
критичні дані.  
1.6.2. Основні аспекти прийняття рішень. 
Аудит безпеки системи захисту критичних даних допомагає забезпечити 
високий рівень захищеності та виявити можливі ризики, що дозволяє приймати 
обґрунтовані рішення для подальших покращень в області безпеки. 
 
 
Рис.13. Основні кроки прийняття рішень. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 41 
Змн. Арк. № докум. Підпис Дата 
 
 
Нижче представлено основні кроки, які можна включити в аудит безпеки 
системи захисту критичних даних:  
Оцінка важливих активів: 
Визначте, які дані вважаються критичними для вашої організації. Оцініть 
значущість і конфіденційність цих даних. 
Оцінка загроз і ризиків:  
Визначте потенційні загрози безпеці критичних даних (наприклад, 
кібератаки, внутрішні загрози, природні катастрофи). 
 
Оцініть рівень ризику для кожної загрози. 
Перевірка політик безпеки: Аналізуйте та перевірте, чи існують в 
організації політики безпеки, що охоплюють захист критичних даних. 
Переконайтеся, що ці політики відповідають вимогам законодавства та стандартів 
безпеки. 
Оцінка систем контролю доступу: Перевірте механізми і системи контролю 
доступу до критичних даних. Переконайтеся, що тільки авторизовані користувачі 
мають доступ до необхідної інформації. 
Виявлення та усунення слабких місць: Проведіть тестування на 
проникнення для виявлення можливих слабких місць у системі захисту. Виправте 
виявлені недоліки та уразливості. 
Моніторинг та виявлення інцидентів: Перевірте ефективність систем 
моніторингу та виявлення інцидентів. Забезпечте належну реакцію на виявлені 
загрози та інциденти. 
Аудит фізичної безпеки: Оцініть заходи фізичної безпеки, такі як контроль 
доступу, відеоспостереження та захист від пожеж і затоплень. 
Оцінка процесів резервного копіювання та відновлення: Перевірте 
наявність та ефективність систем резервного копіювання та відновлення для 
критичних даних. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 42 
Змн. Арк. № докум. Підпис Дата 
 
Оцінка кадрового забезпечення: Перевірте, чи персонал обладнаний 
необхідними знаннями та навичками для ефективного впровадження заходів 
безпеки. 
Оновлення та патчінг: Перевірте, чи всі програмні засоби та системи в 
обладнанні обрані для аудиту, мають останні оновлення та патчі для усунення 
відомих уразливостей. 
Проведення навчання та тренувань: Організуйте навчання та тренування 
для персоналу з питань безпеки для забезпечення свідомого та ефективного 
застосування заходів захисту. 
Аудит зовнішніх постачальників: Перевірте заходи безпеки, які 
застосовуються зовнішніми постачальниками, які мають доступ до критичних 
даних. 
Аудит безпеки системи захисту критичних даних повинен бути 
проведений регулярно, а результати використовуватися для удосконалення 
системи безпеки та зменшення загроз і ризиків [5]. 
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 43 
Змн. Арк. № докум. Підпис Дата 
 
РОЗДІЛ 2. ПРАКТИЧНА ЧАСТИНА 
 
2.1. Аналіз існуючої ІТ-інфраструктури. 
 
 
Рис.14. Ситуаційний план. 
 
Система захисту критичних даних (СЗКД) в ІТ інфраструктурі в 
державних органах влади розберемо на прикладі структурного підрозділу 
Черкаської обласної державної адміністрації. 
Всі технічні засоби СЗКД розташовані в контрольованій зоні, яка обмежена 
периметром Будинку Рад. 
 
А.1. Стандартні функціональні профілі захищеності в КС, що входять до 
складу автоматизованих систем, призначених для автоматизації діяльності органів 
державної влади. 
В автоматизованих системах, призначених для автоматизації діяльності 
органів державної влади, часто обробляється інформація з обмеженим доступом. 
 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 44 
Змн. Арк. № докум. Підпис Дата 
 
 
Рис.15. Схема взаємодії мереж. 
 
АС Клас «2» - локалізований багатомашинний багатокористувачевий 
комплекс, який обробляє інформацію різних ступенів обмеження доступу. В 
системі є наявність користувачів з різними повноваженнями по доступу і/або 
технічних засобів, які можуть одночасно здійснювати обробку інформації різних 
ступенів обмеження доступу. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 45 
Змн. Арк. № докум. Підпис Дата 
 
 
Рис.16. Структура окремого захищеного сегменту 
 
 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 46 
Змн. Арк. № докум. Підпис Дата 
 
Основними загрозами для інформації в таких системах є загрози, що 
призводять до несанкціонованого ознайомлення з інформацією, тобто загрози 
(порушення) конфіденційності. У зв’язку з цим до комплексу засобів захисту 
(КЗЗ) обчислювальних систем (ОС), що входять до складу автоматизованих 
систем (АС), у першу чергу пред’являються вимоги щодо забезпечення 
конфіденційності оброблюваної інформації, персональної відповідальності 
користувачів за дотримання режиму секретності. 
Політика безпеки в державних органах реалізується та відповідає 
встановленим в Україні правилам роботи з секретними документами. Зокрема, 
механізми, що реалізують послугу адміністративної конфіденційності, повинні 
здійснювати розмежування доступу на підставі грифів документів (пасивних 
об’єктів) і рівнів допуску користувачів. 
В межах кожного класу АС класифікуються на підставі вимог до 
забезпечення певних властивостей інформації. З точки зору безпеки інформація 
характеризується трьома властивостями: конфіденційністю, цілісністю і 
доступністю. В зв’язку з цим, в кожному класі АС виділяються такі підкласи: 
автоматизована система, в якій підвищені вимоги до — забезпечення 
конфіденційності оброблюваної інформації (підкласи «х. К»);  
автоматизована система, в якій підвищені вимоги до — забезпечення 
цілісності оброблюваної інформації (підкласи «х.Ц»);  
автоматизована система, в якій підвищені вимоги до — забезпечення 
доступності оброблюваної інформації (підкласи «х.Д»);  
автоматизована система, в якій підвищені вимоги до — забезпечення 
конфіденційності і цілісності оброблюваної інформації (підкласи» х.КЦ»); 
автоматизована система, в якій підвищені вимоги до — забезпечення 
конфіденційності і доступності оброблюваної інформації (підкласи «х.КД»); 
автоматизована система, в якій підвищені вимоги до — забезпечення 
цілісності і доступності оброблюваної інформації (підкласи «х.ЦД»). 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 47 
Змн. Арк. № докум. Підпис Дата 
 
автоматизована система, в якій підвищені вимоги до — забезпечення 
конфіденційності, цілісності і доступності оброблюваної інформації (підкласи 
«х.КЦД»). 
У зазначених АС рекомендується використовувати ОС, КЗЗ яких 
реалізують профілі х.К.х. Якщо, крім вимоги забезпечення конфіденційності, 
існують додаткові вимоги щодо забезпечення цілісності і/або доступності 
інформації, то рекомендується використовувати профілі х.КЦ.х., КД. х., х. КЦД.х 
А.2. Стандартні функціональні профілі захищеності комп’ютерних систем 
(КС), що входять до складу автоматизованих систем, які призначені для 
автоматизації банківської діяльності Основні загрози для банківської інформації 
— це в першу чергу загрози шахрайства (підробка, відмова від авторства, відмова 
від одержання) і порушення технології роботи, а в другу — порушення 
доступності і конфіденційності. У зв’язку з цим до КЗЗ ОС, що входять до складу 
банківських АС, пред’являються вимоги щодо забезпечення захисту від 
зазначених загроз. Крім того, вимоги істотно залежать від того, чи здійснюється 
обробка в реальному часі або відкладена обробка. Необхідно врахувати, що 
банківські АС, як правило, відносяться до класу 3, тобто є розподіленими. В 
зазначених АС рекомендується використовувати ОС, КЗЗ яких реалізують профілі 
3. КЦД.х.  
А.3. Стандартні функціональні профілі захищеності в КС, що входять до 
складу автоматизованих систем, які призначені для керування технологічними 
процесами Основними загрозами для інформації оброблюваної в АС керування 
технологічними процесами є загрози порушення доступності АС і технології 
обробки інформації. В зв’язку з цим до КЗЗ ОС, що входять до складу таких АС, в 
першу чергу пред’являються вимоги до забезпечення доступності і 
адміністративного керування доступом щодо інформації з боку об’єктівпроцесів. 
В зазначених АС рекомендується використовувати ОС, КЗЗ яких реалізують 
профілі 1.ЦД. х., 2.ЦД.х. [7] 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 48 
Змн. Арк. № докум. Підпис Дата 
 
2.2. Огляд поточного стану ІТ-інфраструктури, включаючи мережеву 
інфраструктуру, сервери, системи зберігання даних. 
 
В розділі проводиться глибокий аналіз і оцінка ключових компонентів 
технічного середовища організації. Цей огляд є ключовим етапом в плануванні 
стратегії розвитку ІТ-інфраструктури, оскільки дозволяє отримати повний обсяг 
інформації щодо функціональності та безпеки технічних ресурсів. Результати 
аналізу стануть підґрунтям для розроблення оптимальних заходів та вдосконалень 
з метою забезпечення ефективності та надійності ІТ-інфраструктури. 
 
 
Рис.15. Система відеоспостереження та контролю доступу до приміщень. 
 
Всі приміщення, в яких знаходяться компоненти СЗКД, обладнані 
комплексною системою пожежної та охоронної сигналізації та системою 
контролю доступу фізичного захисту.  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 49 
Змн. Арк. № докум. Підпис Дата 
 
2.3. Ідентифікувати потенційні загрози безпеці даних. 
 
Рис.16. Локальна мережа установи. 
 
На об’єкті дослідження вивчаємо роботу та проводимо аналіз: 
- Аналіз конфігурації мережевого обладнання. 
- Визначення пропускної здатності та швидкості передачі даних. 
- Виявлення можливих точок вразливості та потенційних загроз безпеці. 
- Оцінку фізичного та програмного забезпечення серверів. 
- Перевірку стану резервування та відновлення системи. 
- Визначення обсягу обчислювальних ресурсів та їхнього використання. 
 
2.3.1. Аналіз об’єкта дослідження. 
Сервери дещо застарілі але виконують роботу надійно, потребують 
оновлення у найближчі 3-5 років. Навантаження на серверах не перевищує 
допустимі норм, сереверні машини у гарному стані, проблем з дисками і 
швидкістю запису немає. 
 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 50 
Змн. Арк. № докум. Підпис Дата 
 
Системи зберігання даних: 
Аналіз обсягу зберігання даних та їхньої доступності. 
Вивчення процесів резервного копіювання та відновлення даних. 
Визначення рівня безпеки даних у системах зберігання. 
Використовуються бази данних СКДБ Microsoft SQL 
У системі працює 3 бази даних 
Бази даних підєднані до сисеми резервного копіювання 
 
Обсяги зберегінання даних: 
У базах даних зберігається у сумарному обсязі 6.5 TB даних. 
Приблизно по 500 гб на сервер.. 
Метрики швидкості запису у базу даних не перевищують допустимих 
значень. 
Процесори на серверах баз даних у середньому завантажені на 10-20%. 
 
2.3.2. Ідентифікація потенційних загроз безпеці даних. 
Перерахуємо ідентифікатори потенційних загроз безпеці даних, а саме: 
- злам внутрішньої мережі; 
- підключення в обхід файерволу до бази даних; 
- втрата даних у випадку повного знеструмелення інфраструктури; 
- несанкціонований доступ; 
- недостатня захищеність від вірусів; 
- відсутність агентів моніторингу серверів; 
- можливий витоку даних через фішингові сайти; 
- можливість DOS та DDOS атак що можуть вивести систему з ладу. 
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 51 
Змн. Арк. № докум. Підпис Дата 
 
Розглянемо детальніше загрози безпеці даних. 
В Інтернеті – як на роботі, так і вдома – можна отримувати доступ до 
облікових записів та різних засобів комунікації, а також користуватись і ділитись 
інформацією. Різні кібератаки й внутрішні ризики можуть поставити інформацію, 
якою ви ділитеся з іншими, під загрозу. 
Злам. Злам – це будь-яка спроба викрадення інформації, пошкодження 
мереж або файлів, проникнення в цифрове середовище організації чи руйнування 
її даних і порушення робочих процесів за допомогою комп’ютера. До методів 
зламу належать фішинг, зловмисні програми, розшифрування коду й розподілені 
атаки на відмову в обслуговуванні. 
Шкідливе програмне забезпечення. Шкідливе програмне забезпечення – це 
термін на позначення хробаків, вірусів і шпигунських програм, за допомогою 
яких незареєстровані користувачі проникають у середовище. Отримавши до нього 
доступ, вони можуть порушити роботу IT-мережі й кінцевих пристроїв або 
викрасти облікові дані з файлів. 
Зловмисні програми з вимогою викупу Зловмисні програми з вимогою 
викупу – це шкідливе ПЗ, через яке зловмисники блокують доступ до мережі й 
файлів жертви, доки вона не сплатить викуп. Така програма може потрапити на 
комп’ютер користувача, наприклад, тоді, коли він відкриває вкладення в 
електронному листі й натискає рекламу. Після цього вона зазвичай блокує доступ 
до файлів або вимагає внести оплату. 
Фішинг. Фішинг-атаки обманним шляхом змушують людей або організації 
розкрити таку інформацію, як паролі й номери кредитних карток. За їх допомогою 
зловмисники видають себе за авторитетну компанію, добре відому жертві, щоб 
викрасти або пошкодити її делікатні дані. 
Витік даних. Витік даних – це навмисне або випадкове передавання 
внутрішніх даних організації зовнішньому одержувачу. Він здійснюється за 
допомогою електронної пошти, Інтернету й таких пристроїв, як ноутбуки та 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 52 
Змн. Арк. № докум. Підпис Дата 
 
портативні накопичувачі. Вилучення файлів і документів із локального 
середовища також вважається різновидом витоку даних.  
Недбалість. Недбалість – це свідоме порушення політики безпеки 
працівником без наміру заподіяти шкоду компанії. Наприклад, він може 
поділитися делікатними даними з колегою, який не має доступу, або ввійти в 
ресурси компанії через незахищене безпровідне з’єднання. Ще один приклад – 
впустити в будівлю особу, не перевіривши її перепустку. 
Шахрайство. Шахрайство здійснюють досвідчені користувачі, які хочуть 
скористатись онлайн-анонімністю й доступністю в реальному часі. Вони можуть 
створювати транзакції за допомогою вражених облікових записів і викрадених 
номерів кредитних карток. Організації можуть стати жертвами шахрайства з 
гарантією або поверненням коштів чи шахрайських дій із боку торгівельних 
партнерів. 
Крадіжка. Крадіжка – це внутрішня загроза, що призводить до викрадення 
даних, грошей або інтелектуальної власності. Її здійснюють для особистої наживи 
або для того, щоб завдати шкоди організації. Наприклад, довірений постачальник 
може продавати ідентифікаційні номери клієнтів у даркнеті або використовувати 
внутрішню інформацію про них, щоб відкрити власний бізнес. 
Стихійні лиха. Стихійні лиха завжди стаються несподівано. Тому, щоб 
захистити свої дані, до них потрібно готуватися заздалегідь. Зберігаючи резервні 
копії своїх даних на зовнішніх носіях, ви зможете забезпечити безперервність 
бізнес-процесів на випадок ураганів, землетрусів, повеней та інших стихійних лих 
[15]. 
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 53 
Змн. Арк. № докум. Підпис Дата 
 
2.4. Оцінка можливих наслідків витоку даних. 
 
Оцінка можливих наслідків витоку даних з ІТ-інфраструктури державних 
органів влади є критично важливим завданням в забезпеченні безпеки і 
конфіденційності інформації. Така оцінка допомагає розуміти потенційні ризики 
та наслідки в разі непередбачених ситуацій, таких як витік чутливих даних. У 
цьому контексті важливо враховувати наступні аспекти. 
 
 
Рис.17.Мережева інфраструктура системи електронного документообігу 
 
Конфіденційність інформації. 
Наслідок: Потенційна втрата конфіденційної інформації може призвести до 
розголошення чутливих даних громадськості або несанкціонованого 
використання. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 54 
Змн. Арк. № докум. Підпис Дата 
 
Послідовності: Зниження довіри громадськості до державних органів, 
можливі юридичні наслідки та порушення законів про захист персональних 
даних. 
Витік даних. 
Наслідок: Витік чутливих даних може призвести до модифікації або 
порушення цілісності інформації. 
Послідовності: Зміна даних може призвести до неправильних рішень або 
викликати недовіру до інформації, наданої державними органами. 
Доступність інформації. 
Наслідок: Атака на ІТ-інфраструктуру може призвести до втрати доступу до 
важливих систем та послуг. 
Послідовності: Зменшення ефективності роботи державних органів, втрата 
довіри громадськості та можливі проблеми з безпекою. 
Юридичні наслідки. 
Наслідок: Порушення законів про захист даних може призвести до 
адміністративних штрафів та юридичних позовів. 
Послідовності: Втрата репутації, фінансові збитки та можливість 
припинення діяльності державних органів на певний час. 
Відновлення та відновлення послуг. 
Наслідок: Після витоку даних може виникнути необхідність відновлення 
роботи систем та послуг. 
Послідовності: Затримки у наданні послуг, додаткові витрати на 
відновлення та можливі проблеми зі стабільністю ІТ-інфраструктури. 
Заходи зі зміцнення безпеки. 
Наслідок: Виникнення потреби в інвестиціях для підвищення захисту та 
зміцнення безпеки. 
Послідовності: Збільшення витрат на заходи з кібербезпеки та 
впровадження нових технологій для запобігання подібним інцидентам [12]. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 55 
Змн. Арк. № докум. Підпис Дата 
 
2.5. Розробка системи захисту критичних даних. 
 
Cisco Umbrella - захищений інтернет-шлюз, що призначений для вирішення 
корпоративних проблем інформаційної безпеки, які виникають з поширенням 
мобільних і хмарних технологій. Так як, все більше працівників переходять в 
категорію мобільності і ведуть справи з допомогою додатків, що поставляються за 
моделлю «ПО як послуга» (Software-as-a-Service, SaaS), то все більше 
користувачів починають підключатися до Інтернету безпосередньо, тобто в обхід 
засобів захисту корпоративної мережі. 
 
 
Рис.18. Хмарна система захисту на основі рекурсивних служб 
DNS Cisco Umbrella 
 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 56 
Змн. Арк. № докум. Підпис Дата 
 
Такі виробничі нововведення, звичайно, істотно підвищують продуктивність 
і гнучкість, але при цьому чимала кількість користувачів не потрапляють в сферу 
дії традиційних мережевих і веб-засобів захисту. Крім того, організації втрачають 
контроль над загрозами, потенційно здатними вразити чималу частину 
підприємства. 
 
  
Рис.19. Система авторизації Cisco Umbrella. 
 
Тому нові проблеми вимагають удосконаленого походу до забезпечення 
інформаційної безпеки. На думку фахівців Cisco, зараз першою лінією оборони 
для організацій повинен стати хмарний захист, який забезпечує візуалізацію і 
контроль безпосередньо на кордоні Інтернету. 
Шлюз інтернет-безпеки Cisco Umbrella являє собою хмарну платформу 
інформаційної безпеки, яка відіграє роль першої лінії захисту для користувачів як 
в корпоративній мережі, так і за її межами. Забезпечуючи всеосяжне охоплення, 
Umbrella перегороджує шлях наявним і новим загрозам по всіх портах і 
протоколах та блокує доступ до небезпечних доменів, адрес (URL і IP) і файлів ще 
до установки з'єднання або завантаження файлу. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 57 
Змн. Арк. № докум. Підпис Дата 
 
 
Рис.20. Пошук діяльності Cisco Umbrella. 
Так як більшість загроз направлено на кінцеві точки, то надзвичайно важливо 
закрити всі порти і протоколи, щоб мережа безпеки покривала весь трафік. 
Потужна і ефективна система безпеки Umbrella не вимагає складних 
експлуатаційних маніпуляцій. Всі процедури виконуються в хмарі, і тому немає ні 
апаратного забезпечення, яке треба було б монтувати, ні програмного, яке треба 
було б оновлювати. 
 
Рис.21. Комп’ютери в роумінгу Cisco Umbrella.  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 58 
Змн. Арк. № докум. Підпис Дата 
 
2.6. Встановлення правил і протоколів безпеки даних. 
 
Державна система безпеки класифікованої інформації включає сукупність 
суб’єктів забезпечення безпеки класифікованої інформації, методів, сил та 
засобів, спрямованих на запобігання витоку класифікованої інформації, 
забезпечення її збереження, цілісності, а також належного порядку доступу до неї. 
Засадами функціонування державної системи безпеки класифікованої 
інформації є: 
здійснення діяльності (заходів) у сфері забезпечення безпеки класифікованої 
інформації виключно на підставі цього Закону та інших актів законодавства; 
координація та взаємодія суб'єктів забезпечення безпеки класифікованої 
інформації; застосування ризик-орієнтованого підходу для забезпечення безпеки 
класифікованої інформації;  
надання доступу до класифікованої інформації у випадках, передбачених цим 
Законом;  
встановлення спеціального порядку провадження діяльності, пов'язаної із 
класифікованою інформацією;  
запровадження обмежень щодо оприлюднення, поширення класифікованої 
інформації або її передачі іноземній державі чи міжнародній організації; 
забезпечення фізичного, криптографічного, технічного захисту 
класифікованої інформації та протидії технічним розвідкам; забезпечення захисту 
інформації в інформаційних, телекомунікаційних, інформаційно-
телекомунікаційних системах, призначених для обміну електронними 
документами, що містять класифіковану інформацію; застосування методів, сил 
та засобів контррозвідувальної та оперативно-розшукової діяльності для 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 59 
Змн. Арк. № докум. Підпис Дата 
 
попередження, своєчасного виявлення та запобігання загрозам безпеці 
класифікованої інформації. 
Функціонування державної системи безпеки класифікованої інформації 
організовується та координується національним органом безпеки. 
Здійснення заходів щодо криптографічного та технічного захисту інформації, 
протидії технічним розвідкам у державній системі безпеки класифікованої 
інформації покладається на державний орган, що забезпечує реалізацію державної 
політики у цих сферах. 
 
 
Рис.22. Налаштування протоколів безпеки Cisco Umbrella. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 60 
Змн. Арк. № докум. Підпис Дата 
 
2.7. Створення системи контролю доступу. 
 
На об’єкті дослідження використовується потужні додатки, що 
використовують доменні служби Active Directory. 
 
 
Рис.23. Служби Active Directory. 
 
У цьому посібнику містяться важливі відомості для інтеграції доменні 
служби Active Directory у розподілені додатки, призначені для операційних 
систем, що підтримують доменні служби Active Directory. 
Служба каталогів - це базова служба для розподілених додатків. Служба 
каталогів повинна надавати функції, перелічені в такій таблиці. 
Прозорість розташування та можливість пошуку даних користувача, групи, 
мережевої служби або ресурсу без адреси об’єкта. Сховище даних об'єктів 
Можливість зберігання даних користувачів, груп, організацій і служб в 
ієрархічному дереві. Багатофункціональний запит Можливість пошуку об'єкта 
шляхом запиту властивостей об’єкта. Високий рівень доступності Можливість 
знайти репліку каталогу в розташуванні, яке ефективно для операцій читання і 
запису.  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 61 
Змн. Арк. № докум. Підпис Дата 
 
Додаткові функції, доменні служби Active Directory надає функції, перелічені 
в такій таблиці. 
Таблиця 1. 
Підтримка стандартів Інтернету доменні служби Active Directory 
реалізує свої функції відповідно 
до опублікованих стандартів 
Інтернету, таких як LDAP і DNS. 
Тісно інтегрована та гнучка система Переваги (список неповний): 
безпеки Вибір пакетів перевірки 
автентичності. Kerberos, SSL або 
поєднання; Наприклад, 
встановіть ssl-канал для 
шифрування, а потім 
використовуйте Kerberos для 
перевірки автентичності. 
Централізоване управління 
доступом до служб і ресурсів за 
допомогою користувачів і груп у 
доменні служби Active Directory. 
Делегування адміністрування, 
щоб центральні адміністратори 
могли делегувати 
адміністративні завдання, як-от 
зміна пароля або створення та 
видалення певного об'єкта. 
Сервер Active Directory 
використовує ті самі механізми 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 62 
Змн. Арк. № докум. Підпис Дата 
 
управління доступом, що й у 
файлових системах в 
операційних системах Windows. 
Таким чином, ті самі засоби 
керування доступом у файловій 
системі працюють для доменні 
служби Active Directory. 
Комплексна інфраструктура 
відкритих ключів. Підтримка 
сервера сертифікатів 
Майкрософт і смарт-карток 
інтегрована з доменними 
службами Active Directory для 
забезпечення входу за 
допомогою смарт-картки та 
управління сертифікатами. 
 
Легко програмований Доступ до сервера Active 
Directory і керування ним можна 
здійснювати програмними 
засобами за допомогою API 
інтерфейсів служб Active 
Directory, API протоколу 
доступу до каталогу спрощеного 
доступу до каталогу або 
простору імен System 
DirectoryServices 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 63 
Змн. Арк. № докум. Підпис Дата 
 
Системні служби з підтримкою каталогів Клієнтський додаток можна 
легко розгорнути на 
розподілених робочих столах, 
створивши пакет інсталятора 
Windows і використовуючи 
функцію розгортання 
застосунків, доступну в 
операційних системах Windows. 
Інтеграція ключових додатків Основні розподілені додатки, 
такі як Exchange, інтегровані з 
доменними службами Active 
Directory. Таким чином, компанії 
можуть скоротити кількість 
керованих служб каталогів. 
Розширена і розширена схема Схема визначає, які об'єкти та 
властивості можна записувати та 
зчитувати зі служби каталогів. 
Схема Active Directory має 
широкі можливості. Більшість 
об'єктів і властивостей, 
необхідних службі, доступні. В 
іншому разі розподілений 
додаток може розширити схему 
для підтримки вимог додатка. 
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 64 
Змн. Арк. № докум. Підпис Дата 
 
2.8. Налаштування системи резервного копіювання та відновлення 
даних. 
 
Сховище DS423+ з 4-ма відсіками - це потужний пристрій з усіма 
необхідними інструментами для захисту, спільного використання, резервного 
копіювання та синхронізації даних і мультимедійних файлів. Вбудовані рішення, 
доступні в Synology DiskStation Manager (DSM), дозволяють користувачам 
створювати власну приватну хмару, організовувати та транслювати колекції 
музики, відео та фото на всіх пристроях, безперешкодно співпрацювати з 
партнерами, налаштовувати інтуїтивно зрозумілу систему відеоспостереження 
тощо. 
 
 
Рис.24. Сховище DS423 
 
Btrfs: вдосконалена файлова система для захисту даних 
В операційній системі Synology DiskStation Manager (DSM) пристрою 
DS423+ використовується вдосконалена файлова система Btrfs, яка захищає дані 
від ушкодження і дає змогу запобігти ненавмисним або шкідливим змінам за 
допомогою технології створення моментальних знімків. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 65 
Змн. Арк. № докум. Підпис Дата 
 
 
Рис.25. Схема налаштування системи резервного копіювання 
для Microsoft Windows. 
 
Приватна хмара для всіх ваших пристроїв 
Ви можете зберігати та синхронізувати дані, отримувати доступ і 
обмінюватися ними з будь-якого пристрою, де б ви не знаходилися. Працюйте 
безперешкодно на різних платформах і пристроях та отримуйте доступ до файлів 
через мобільні додатки, настільні клієнти та веб-інтерфейс. Виконуйте відкат 
файлів швидко і просто в разі їх випадкового видалення, виникнення помилок, 
виявлення шкідливої активності тощо за допомогою функції контролю. 
Систематизація фотографій 
Виконуйте ефективне резервне копіювання та систематизацію фотографій і 
відео за допомогою інструментів керування для любителів і професіоналів. 
Упорядковуйте медіафайли в альбоми автоматично та створюйте безпечні спільні 
посилання для друзів, рідних і клієнтів. 
Легко синхронізуйте кілька пристроїв Synology NAS. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 66 
Змн. Арк. № докум. Підпис Дата 
 
Виконуйте спільну роботу з мінімальним часом простою завдяки 
синхронізації файлів між робочими майданчиками. Її можна налаштувати для 
автоматичної синхронізації окремих файлів або папок між пристроями Synology, 
що забезпечує зручний доступ до даних. 
Обмін даними за допомогою хмарних технологій. 
Звільніть місце в сховищі та оцініть високу швидкість мережі ЦОД завдяки 
технології гібридної хмари. Додаткова служба Hybrid Share надає можливість 
ефективного зберігання "холодних" даних у хмарі. Зберігайте часто 
використовувані файли в локальному кеші на DS423+, доступні зі швидкістю 
локальної мережі. 
Резервне копіювання ПК, смартфонів, хмарних додатків і багато чого 
іншого 
Active Backup Suite дає змогу консолідувати й автоматизувати завдання 
резервного копіювання для ПК, файлових серверів, віртуальних машин, 
застосунків SaaS і багато чого іншого. Керуйте резервним копіюванням пристроїв 
віддалено за допомогою централізованого порталу і швидко відновлюйте потрібні 
файли або цілі пристрої, щоб запобігти простоям у роботі. Скористайтеся 
перевагами вбудованих рішень для віддаленого резервного копіювання, 
розроблених для захисту даних за допомогою бездоганних конфігурацій 
резервного копіювання "3-2-1".  
Повне резервне копіювання системи Synology. 
Захистіть усі дані, додатки та конфігурації в системах Synology за 
допомогою комплексного запланованого резервного копіювання на локальні та 
віддалені сервери, зовнішні диски або в хмарні сховища, включно зі сховищем 
Synology C2 Storage.  
Захист папок і LUN за допомогою знімків 
Налаштуйте ефективні знімки загальних папок і LUN на певний момент 
часу з інтервалами в 5 хвилин. Дозвольте користувачам самостійно відновлювати 
попередні версії файлів, швидко відновлювати віртуальні машини та копіювати 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 67 
Змн. Арк. № докум. Підпис Дата 
 
знімки на інший сервер. Це дасть їм змогу виконувати швидке аварійне 
перемикання на резервний ресурс зберігання.  
Synology Surveillance Station підтримує понад 8300 моделей IP-камер, а 
також віддаленому спостереженню і відтворенню. Система керування відео 
Synology надає всі необхідні інструменти для відеоспостереження в реальному 
часі, вивчення окремих випадків, керування та резервного копіювання. 
Подвійний запис у хмару: C2 Surveillance дає змогу зберегти доступ до 
відзнятих матеріалів відеоспостереження, якщо сервер запису відключений і 
запис ведеться на локальний сервер і в хмару C2 Cloud. Наскрізне шифрування 
захищає трансляції від несанкціонованого доступу, а запис із низьким рівнем 
затримок дає змогу переглядати важливі дані за останні кілька секунд до збою на 
сервері запису. 
 
 
Рис.26. Схема налаштування системи резервного копіювання 
для Microsoft Exchenge. 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 68 
Змн. Арк. № докум. Підпис Дата 
 
2.9. Налаштування системи моніторингу безпеки. 
 
 
Рис.27. Схема налаштування системи моніторингу безпеки Cisco Umbrella. 
 
Umbrella можна розгорнути за допомогою віртуального пристрою Umbrella, 
який використовується як умовний DNS-пересилач у вашій мережі. Віртуальні 
пристрої записують інформацію про внутрішню IP-адресу DNS-запитів для 
використання у звітах, а VA забезпечує більш детальний контроль. Або ви також 
можете просто вказати DNS-сервери на парасолькові DNS-сервери або 
скористатися полегшеним клієнтом, який можна встановити на кінцевих точках і 
захистити віддалених працівників. А як бути, коли автори зловмисного 
програмного забезпечення виконують жорстко закодовані завантаження, які 
вказують на IP-адресу замість імені DNS? Umbrella також має IP Layer 
Enforcement, який працює на рівні IP для виявлення підозрілих адрес. Клієнт 
роумінгу Umbrella отримує список підозрілих IP-адрес із хмарних служб Umbrella 
та автоматично знову перевіряє наявність нових IP-адрес кілька разів на годину з 
API Umbrella, але більшість служб знаходяться на різних рівнях Umbrella. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 69 
Змн. Арк. № докум. Підпис Дата 
 
Отже, коли ви заходите на свій улюблений веб-сайт чи газету в Інтернеті чи 
подібне, ваш комп’ютер виконає понад 20 DNS-запитів, де це різні сторонні 
оголошення чи інший вміст, який потрібно відобразити в сеансі браузера, який ви 
насправді не бачите. Що робити, якщо один із цих доменів дійсно містить 
зловмисне програмне забезпечення або якийсь код JS для видобутку біткойнів? 
Це начебто важко зрозуміти, звісно, існували традиційні способи обробки та 
захисту веб-трафіку, які використовували прямий веб-проксі, де весь трафік 
пересилався через мережевий пристрій, але це не масштабується настільки й має 
деякі наслідки для віддалених працівників. Це також може стати вузьким місцем 
на вашому проксі, оскільки весь трафік рівня 7 тунелюється через нього. Umbrella 
працює на інтелектуальному рівні, оскільки перевіряє лише DNS-запити клієнта 
та переконується, що домен не належить до категорії, яка заблокована політикою. 
Якщо є домен, який Umbrella визнає підозрілим, він проведе більш глибоку 
аналітику вмісту, який він надає.  
 
 
Рис.28. Схема налаштування робочих станцій Cisco Umbrella 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 70 
Змн. Арк. № докум. Підпис Дата 
 
 
 
Рис.29. Схема налаштування роумінговий клієнт Cisco Umbrella 
 
У Windows роумінговий клієнт Umbrella прив’язується до 127.0.0.1:53 
(localhost для IPv4) і [::1]:53 (localhost для IPv6) і встановлюється як ексклюзивний 
DNS-сервер для кожного мережевого підключення на вашому комп’ютері, 
гарантуючи, що усі DNS-запити спрямовуються до найближчого центру обробки 
даних Umbrella, водночас витончено обробляючи ресурси локальної мережі за 
допомогою внутрішніх доменів. Для macOS роумінговий клієнт Umbrella 
прив’язується лише до 127.0.0.1:53 (localhost для IPv4). DNS-запити, надіслані 
через Umbrella, шифруються, автентифікуються та піддаються безпеці та 
фільтрації вмісту відповідно до вимог адміністратора вашої організації. Якщо 
комп’ютер намагається отримати доменне ім’я, яке Umbrella або адміністратор 
вашої організації вважають небезпечним, браузер комп’ютера спрямовується на 
безпечну сторінку блокування.  
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 71 
Змн. Арк. № докум. Підпис Дата 
 
2.10. Встановлення фаєрволу. 
 
 
Рис.30. Система фаєрволу Cisco Umbrella 
 
 
Рис.31. Налаштування локальної мережі Cisco Umbrella 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 72 
Змн. Арк. № докум. Підпис Дата 
 
 
Рис.32. Налаштування ІР адресації Cisco Umbrella 
 
Інтерфейс користувача досить зручний і простий у налаштуванні, де ми 
можемо визначити списки блокування та дозволу, а також просто вказати 
категорії, які домени мають бути дозволені/заблоковані. Наприклад, він блокує 
домени на основі зловмисного програмного забезпечення, список яких 
підтримується Cisco. 
Отже, коли кінцевий користувач переходить на зовнішній веб-сайт, який 
заблоковано Umbrella, він отримає це повідомлення переадресації 302. Це 
пов’язано з тим, що домен заблоковано, а запит DNS спрямовуватиме кінцевого 
користувача на веб-сайт Cisco. 
Umbrella - це дійсно чудовий і цікавий продукт, який може посилити безпеку 
на кінцевих точках без «вдару» по роботі кінцевого користувача, однак ви 
повинні знати, що Umbrella не призначений для застосування політик запобігання 
втраті даних, які вирішують проблеми відповідності через випадкове розкриття 
даних компанії або клієнта, і не призначений для повної заміни брандмауера, який 
призначений для захисту як внутрішніх, так і зовнішніх мережевих з’єднань. 
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 73 
Змн. Арк. № докум. Підпис Дата 
 
ЗАГАЛЬНІ ВИСНОВКИ 
 
В системах захисту критичних даних в інформаційно-телекомунікаційній 
інфраструктурі державних органів, визначається не тільки важливістю 
забезпечення конфіденційності, цілісності та доступності інформації, але й 
необхідністю забезпечення стабільності функціонування державних інституцій у 
відповідь на різноманітні внутрішні та зовнішні загрози. 
В магістерській роботі проведено дослідження та аналіз при розробці 
системи захисту критичних даних. Також було здійснено дослідження та 
виявлення основних загроз, які впливають на безпеку та цілісність критичних 
даних, та розробка механізмів їх захисту. 
Для досягнення поставлених цілей було вирішено наступні завдання: 
- проаналізував існуючі методи, технології та практики захисту критичних 
даних в ІТ інфраструктурі; 
- визначив потенційні загрози безпеці критичних даних в державних органах 
влади; 
- розробив систему захисту критичних даних, включаючи процедури 
резервного копіювання, контролю доступу та виявлення вторгнень; 
- провів апробацію розробленої системи на пілотному проекті в державному 
органі влади. 
- оцінив ефективність та надійність застосованої системи захисту критичних 
даних. 
Після виконання розробленої системи та проведення експериментальних 
випробувань, отримав наступні результати: 
- разом зі спеціалістами відділу виявили основні загрози безпеці критичних 
даних на об’єкті дослідження; 
- розробили механізми захисту критичних даних, які дозволять забезпечити 
конфіденційність, цілісність та доступність інформації; 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 74 
Змн. Арк. № докум. Підпис Дата 
 
- здійснили апробацію системи захисту на реальному об’єкті та провели 
оцінку її ефективності; 
- рекомендації щодо вдосконалення системи захисту критичних даних на 
основі отриманих результатів подали у вигляді доповідної записки начальнику 
відділу інформаційних технологій та захисту інформації Департаменту фінансів 
Черкаської обласної державної адміністрації. 
Вивчення та вдосконалення системи захисту критичних даних в 
інформаційно-технічній інфраструктурі державних органів влади визначається 
необхідністю забезпечення стійкості та безпеки функціонування сучасного 
суспільства в умовах постійного розвитку технологій та зростаючих кількісних та 
якісних загроз інформаційній безпеці. 
 
  
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 75 
Змн. Арк. № докум. Підпис Дата 
 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ. 
 
1. Аверченко В.І. Автоматизація проектування комплексних систем 
захисту інформації / В.І. Аверченков, М.Ю. Ритов, О.М. Голембиовская – Брянск: 
БГТУ, 2012. – 139 с. 
2. Аверченко В.І. Організація захисту інформації: підруч. / В.І. 
Аверченков, М.Ю. Ритов, О.М. Голембиовская – Брянск: БГТУ, 2010. – 184 с. 
3. Антонюк А.О. Теоретичні основи захисту інформації [конспект] – 233 с.  
4. Аудит інформаційної безпеки органів виконавчої влади: [монографія] / 
В.І. Аверченков, М.Ю. Ритов, А.В. Кувиклин, М.В. Рудановский. – Брянск: БГТУ, 
2007. – 100 с.  
5. Аудит інформаційної безпеки: підручник / В. А. Ромака, А. Е. Лагун, Ю. 
Р. Гарасим та ін. 
6. Галатенко В.А. Основи інформаційної безпеки. [3-е вд.] В.А. Глатенко – 
М.: ИНТУНТ.РУ «Інтернет університет інформаційних технологій», 2006. – 208 с. 
7. Загальні положення щодо захисту інформації в комп’ютерних системах 
від несанкціонованого доступу: НД ТЗІ 1.1-002:1999 – [Чинний від 1999-01-07]. – 
К. ДСТСЗІ СБ України, 1999. – 16 с. 
8. ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації.  
9. Інструкція про порядок обліку, зберігання і використання документів, 
справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну 
інформацію, що є власністю держави. Затверджена постановою Кабінету 
Міністрів України від 28.11.98 № 1893. 
10. Лапоніна О.Р. Основи мережевої безпеки: криптографічні алгоритми і 
протоколи взаємодії / Лапоніна О.Р. – М.: ИНТУНТ.РУ «Інтернет університет 
тнформаційних технологій», 2005. – 608 с. 
11. Нормативний документ технічного захисту інформації. НД ТЗІ 1.1-002-
99., К., 1999. 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 76 
Змн. Арк. № докум. Підпис Дата 
 
12. НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної 
діяльності. Створення комплексу технічного захисту інформації. Основні 
положення. 
13. НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в 
автоматизованій системі. 
14. Правила забезпечення захисту інформації в інформаційних, 
телекомунікаційних та інформаційно-телекомунікаційних системах. Затверджені 
постановою Кабінету Міністрів України від 29.03.2006 № 373. 
15. Розробка системи технічного захисту інформації / В.І. Аверченков, 
М.Ю. Ритов, А.В. Кувиклин, М.В. Рудановский. – Брянск: БГТУ, 2008. – 187 с. 
16. Сідак В. С., Артемов В. Ю. Забезпечення інформаційної безпеки в 
країнах НАТО та ЄС: Навчальний посібник. 
17. Розробка системи технічного захисту інформації / В.І. Аверченков, 
М.Ю. Ритов, А.В. Кувиклин, М.В. Рудановский. – Брянск: БГТУ, 2008. – 187 с. 
18. Харченко B. C. Інформаційна безпека. Глосарій. — К.: КНТ, 2005. 
19. Шаньгін В.Ф. Захист комп’ютерної інформації. Ефективні методи і 
засоби / Ганьгін В.Ф. – М.: ДМК Пресс, 2008. – 544 с. 
20. Щербаков А.Ю. Сучасна комп’ютерна безпека. Теоретичні основи. 
Практичні аспекти / Щербаков А.Ю. – М.: Книжковий світ, 2009. – 352 с. 
 
Арк. 
 
ЧДТУ.23.22199.013.ПЗ 77 
Змн. Арк. № докум. Підпис Дата