Організація режиму секретності на державних підприємствах та в установах. Організація та обладнання режимно – секретних органів (РСО).
1. Завдання.
Організувати та правильно розмістити режимно – секретний орган (РСО) в державній установі, на якій циркулює державна таємниця. Встановити необхідне обладнання. Обрати та розмістити засоби для забезпечення безпеки режимно – секретного органу. Назва підприємства, вид його діяльності, перелік основних та допоміжних технічних засобів обробки, передавання та приймання інформації наведені у таблиці 1 та вибираються згідно варіанту. Допускаються зміни при виборі об’єкта захисту, за бажанням студента, які повинні узгоджуватись з викладачем.
2. Теоретичні відомості та деякі рекомендації для виконання роботи.
2.1. Режимно – секретні органи установ.
В установах, діяльність яких пов’язана з державною таємницею створюються режимно – секретні органи. До складу РСО можуть входити підрозділи режиму, секретного діловодства та інші підрозділи, що безпосередньо забезпечують охорону державних таємниць.
РСО є окремим структурним підрозділом, який безпосередньо підпорядковується керівникові установи. Керівники установ організовують і контролюють діяльність РСО.
РСО за своїм статусом і умовами праці прирівнюються до основних підрозділів установи, і безпосередньо приймають участь в основній діяльності органу, т.я. успіх в рішенні завдань поставлених перед установою, діяльність якого пов’язана з державною таємницею, неможливий без чіткої організації роботи з таємними документами та іншими носіями секретної інформації і підтримання режиму секретності в установі.
Функції РСО не можна передавати іншим підрозділам установ, не можна приймати на роботу в РСО тимчасових працівників, а також покладати на них функції, що не пов’язані з виконанням секретних робіт.
Чисельність працівників РСО визначається керівниками установ, в залежності від обсягу робіт, пов’язаних з державною таємницею. Розрахунок чисельності проводиться згідно з “Типовими нормами розрахунку чисельності працівників режимно – секретних підрозділів”.
РСО повинні комплектуватись з числа кваліфікованих, перевірених, працівників установ, які позитивно себе зарекомендували .
Працівники РСО повинні допускатись до роботи тільки після оформлення допуску до державної таємниці із ступенем секретності “Цілком таємно”, якщо характер робіт, які виконуються, не вимагає допуску до державної таємниці із ступенем секретності “Особливої важливості”.
Добір і призначення осіб на посади керівників РСО здійснюється по узгодженню з установами вищого рівня і територіальними підрозділами Служби Безпеки України.
В установах з незначним обсягом робіт, пов’язаних з державною таємницею, де штатним розписом не передбачено створення РСО, облік і зберігання секретних документів, а також заходи щодо забезпечення режиму секретності здійснюються особисто керівником установи або спеціально призначеним за його наказом працівником після створення необхідних умов, що забезпечують режим секретності. На цих працівників поширюються обов’язки і права працівників РСО.
РСО провадить свою діяльність на основі Закону України “Про державну таємницю”, “Порядку організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах і в організаціях”, затвердженого постановою КМУ від 2 жовтня 2003 року № 1561-12, а також інших законодавчих, нормативних і настановчих документів з питань охорони державної таємниці.
У своїй роботі РСО взаємодіють з територіальними підрозділами СБУ та іншими державними органами, які виконують окремі функції охорони державної таємниці у відповідності зі своїми повноваженнями.
Керівники установ здійснюють керівництво справою охорони державної таємниці у підпорядкованих або тих, що належать до їх сфери управління, в установах, діяльність яких пов’язана з державною таємницею, та контроль за її станом.
Керівники установ зобов’язані погоджувати з установою вищого рівня і територіальними органами Служби Безпеки України створення, реорганізацію чи ліквідацію РСО.
РСО установ розміщуються в ізольованих службових приміщеннях, як правило, на середніх поверхах, їх обладнання має відповідати встановленим нормам регламентуючих і рекомендаційних документів.
2.2. Завдання режимно – секретних органів.
В кожній установі забезпечення охорони державної таємниці в значній мірі залежить від організації правильної роботи режимно – секретного органу, професіоналізму, знань законодавчих, нормативних і настановчих документів його працівниками, а також чіткого виконання своїх функціональних обов’язків, свідомості і відповідальності за доручену справу.
Чітке ведення секретного діловодства має велике значення в роботі режимно – секретного органу. Але це не вичерпує його обов’язки, вони значно ширші і спрямовані на повне забезпечення схоронності документів, недопущення розголошення і витоку державної таємниці.
Режимно – секретні органи забезпечують охорону державної таємниці в процесі ведення секретних робіт в установах.
З метою виконання своїх завдань вони зобов’язані:
всебічно вивчати діяльність установи з метою виявлення і усунення шляхів, причин і умов витоку секретних відомостей;
розробляти і здійснювати заходи, що забезпечують режим секретності при роботі з секретними документами; не допускати необгрунтованого ознайомлення з документами та включення в документи зайвих (не викликаних необхідністю) відомостей; організовувати і здійснювати облік і зберігання секретних документів, їх прийом, реєстрацію, розмноження і розсилку;
максимально обмежувати коло осіб, які допускаються до державної таємниці;
приймати участь в вивченні осіб, які допускаються до секретних робіт і документів, оформленні матеріалів на них і веденні обліку;
розробляти заходи по забезпеченню внутрішнього режиму на об’єкті, пропускного режиму і охорони установ, впроваджувати нові технічні засоби охорони;
контролювати виконання вимог законів, нормативних документів, інструкцій, положень, правил і вказівок по забезпеченню збереження державної таємниці і режиму секретності всіма особами, що мають відношення до секретних робіт і документів;
проводити роз’яснювальну і виховну роботу серед осіб, що допущені до роботи з державною таємницею.
Режимно – секретні органи безпосередньо приймають участь у підготовці і вирішенні всіх основних питань, пов’язаних з організацією охорони державної таємниці і забезпеченні режиму секретності в установі.
2.3. Права режимно – секретних органів:
вимагати від усіх працівників установи, а також відряджених неухильного виконання вимог законодавства щодо забезпечення охорони державної таємниці;
брати участь у розгляді проектів штатних розписів установ та підвідомчих їм органів у частині, що стосується РСО, вносити пропозиції щодо структури та чисельності працівників цих органів;
брати участь у проведенні атестації працівників, що виконують роботи, пов'язані з державною таємницею, а також у розгляді пропозицій щодо виплати в установленому нормативними актами порядку компенсації за роботу в умовах режимних обмежень;
залучати спеціалістів установ до здійснення заходів щодо охорони державної таємниці;
здійснювати перевірки стану й організації роботи з питань охорони державної таємниці і забезпечення режиму секретності у підрозділах установи, , а також в установах нижчого рівня, давати відповідні рекомендації;
здійснювати перевірки дотримання режиму секретності на робочих місцях працівників, що мають допуск до державної таємниці, вмісту спецсховищ (приміщень, сейфів, металевих шаф, спецчемоданів, спецпапок тощо), наявності документів та інших матеріальних носіїв секретної інформації;
порушувати перед керівником установи питання про призначення службових розслідувань за фактами порушень режиму секретності та секретного діловодства, про притягнення осіб до відповідальності згідно з законом, а також давати рекомендації щодо обов'язкових для виконання вказівок керівникам підрозділів установи та підвідомчих їм органам з питань забезпечення режиму секретності;
брати участь у службових розслідуваннях, у встановленому порядку вимагати від працівників установи письмових пояснень щодо фактів розголошення ними секретних відомостей, втрати матеріальних носіїв секретної інформації, інших порушень режиму секретності;
вносити пропозиції керівникові установи про припинення робіт, пов'язаних з державною таємницею, в структурних підрозділах, якщо умови для їх виконання не відповідають вимогам режиму секретності; опечатувати приміщення, де ведуться такі роботи або зберігаються матеріальні носії секретної інформації;
одержувати від громадян, яким оформляються документи на допуск до державної таємниці, анкетні дані;
використовувати засоби зв'язку та вести в установленому порядку поштово-телеграфне листування з іншими установами, підприємствами, установами і організаціями та їх РСО з питань забезпечення режиму секретності;
мати печатку з найменуванням РСО, а також інші печатки та штампи установленої форми.
2.4. Вимоги до розміщення режимно – секретних органів.
Однією з основних функцій РСО є забезпечення надійного збереження матеріальних носіїв інформації, що вміщують в собі державну таємницю. У зв’язку з цим до приміщень, в яких планується розміщення РСО пред’являються жорсткі вимоги. Керівники установ, а також керівники режимно - секретних органів повинні враховувати необхідність створення таких умов, які б забезпечували надійну схоронність матеріальних носіїв інформації, необхідну конспірацію при роботі з ними, виключали будь - яку можливість несанкціонованого проникнення в ці приміщення сторонніх осіб і безконтрольного доступу до носіїв інформації.
В звичайних умовах РСО повинні розташовуватись в службових будівлях установ в окремих ізольованих приміщеннях, як правило на середніх поверхах і таких місцях, де менше всього буває відвідувачів, щоб через вікна неможливо було спостерігати за роботою з таємними документи і порядком їх зберігання. Якщо за умовами розташування будівель установ виділити таке приміщення неможливо, в такому випадку вікна обладнуються захисними засобами(жалюзями, суцільними шторами, або зафарбовуються), які перешкоджають оглядові приміщення із зовні.
В залежності від категорії режиму установи, а також від кількості персоналу для розташування РСО виділяються приміщення, в яких є можливість розмістити необхідну кількість сейфів(металевих шаф) для зберігання матеріальних носіїв інформації і створити нормальні умови для роботи персоналу РСО з дотриманням суворої персональної відповідальності за схоронність матеріальних носіїв інформації, що становить державну таємницю.
Розташовувати РСО в загальних службових приміщеннях установ разом з іншими підрозділами або службами, в прохідних кімнатах, а також розміщувати в одному приміщенні кілька самостійних секретних діловодств категорично забороняється.
2.5. Обладнання приміщень режимно - секретних органів.
Приміщення, призначені для виконання робіт, пов’язаних з державною таємницею, для зберігання у неробочий час секретних документів є режимними і повинні відповідати вимогам щодо забезпечення режиму секретності. До режимних приміщень у всіх випадках відносяться службові приміщення РСО.
Двері приміщень РСО повинні бути міцними, обладнані надійними внутрішніми і автоматичними замками з двома примірниками ключів, які не повинні підходити до інших замків приміщень установи.
Вхідні двері повинні бути металевими або дерев’яними. В залежності від умов розміщення і організації охорони, дерев’яні двері із зовнішньої сторони оббиваються металом. У разі відсутності поста охорони режимні приміщення обладнуються охоронною сигналізацією.
Розміщення устаткування, технічних засобів в режимних приміщеннях повинно відповідати вимогам з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок, правилам техніки безпеки, санітарним нормам та відповідати вимогам пожежної безпеки.
До початку експлуатації режимні приміщення обстежуються комісією, призначеною керівником установи, до складу якої залучаються відповідні технічні фахівці, і атестуються відповідно до переліку режимних приміщень. Комісія надає до РСО акт обстеження про придатність даного приміщення для ведення секретних робіт.
Вікна режимних приміщень на першому і останньому поверхах будівель, а також на інших поверхах, розташованих біля пожежних сходів, балконів та інших місць, звідки можливе проникнення в приміщення сторонніх осіб, повинні бути обладнані металевими решітками або міцними внутрішніми віконницями. Віконниці можуть бути як металеві, так і дерев’яні, які по закінченні роботи повинні зачинятись на запор і опечатуватись.
Доступ в режимні приміщення дозволяється тільки працівникам, які мають пряме відношення до робіт, що проводяться у цих приміщеннях, працівникам РСО та керівнику установи. В окремих випадках доступ в режимні приміщення дозволяється іншим особам з дозволу керівника установи і керівника РСО.
Для прийому і видачі документів в стіні або дверях приміщення РСО обладнується спеціальне вікно, яке виходить в приміщення або закритий тамбур. Висота перегородки тамбура повинна бути не нижче 2 метрів. Робити спеціальні вікна з виходом в загальний коридор будівлі установи забороняється. При наявності спеціальної кімнати, виділеної для ознайомлення і роботи з секретними документами виконавців, якщо зазначена кімната є суміжною з кімнатою секретного діловодства, вікна для отримання і здачі документів можуть бути зроблені в стіні або дверях, що з’єднують ці кімнати. Двері кімнат РСО повинні постійно бути зачинені. При будівництві нових будівель установи і при передислокації на нове місце для РСО повинні обладнуватись приміщення з капітальними стінами і надійним перекриттям, а також металевими або міцними дерев’яними дверима оббитими металом.
В приміщеннях РСО забороняється друкування, розмноження і зберігання нетаємних документів, які не мають відношення до діяльності РСО, а також зберігання сторонніх речей.
2.6. Охорона режимно - секретних органів.
Режимно секретні органи повинні надійно охоронятись. Порядок охорони РСО встановлюється керівником установи. По закінченні робочого часу керівник РСО або особа, відповідальна за спецсховище, оглядає приміщення, перевіряє, чи зачинені вікна, виключені електроприлади, впевнюється в закритті і опечатуванні всіх сейфів(металевих шаф), виключає освітлення, зачиняє і опечатує приміщення.
Приміщення РСО здається під охорону черговому по установи, про що робиться відповідний запис в спеціальному журналі прийому-здачі приміщень РСО. В разі відсутності в установі підрозділу охорони, приміщення здаються черговому по установи. У випадку, коли в установі штатним розкладом не передбачені охорона або чергові, приміщення РСО обладнується засобами охоронно - пожежної сигналізації, сигналізація виводиться на пульт чергового районного(міського) відділу Управління охорони Міністерства внутрішніх справ України.
Двері приміщень РСО і спеціальних сховищ повинні опечатуватись. Конструкція засобів для опечатування або опломбовування повинна бути такою, щоб відтиск печатки або пломбу неможливо було зняти непомітно.
До замків вхідних дверей РСО і спецсховищ повинно бути два екземпляри ключів. Робочий екземпляр ключів по закінченні робочого часу здається в опечатаному пеналі на зберігання в черговому по установи під розпис в книзі прийому-здачі приміщення РСО.
Другий екземпляр ключів від приміщення РСО разом з ключем від сейфу (металевої шафи) де зберігаються запасні ключі(другі екземпляри) від сейфів і кімнат РСО передаються в опечатаному пеналі керівнику установи на постійне зберігання.
Приміщення РСО відкриваються начальником РСО. Перед відкриттям приміщень РСО і спецсховищ перевіряються цілісність відтисків печатки або пломби та справність замків дверей, а після відкриття приміщень - цілісність печаток або пломб на сейфах (металевих шафах), а також справність вікон і віконниць.
Про отримання ключів і відкриття приміщень, з відміткою про час відкриття, ставиться розпис в журналі приймання-здачі приміщення, особою яка відкриває це приміщення.
В разі виявлення порушення цілісності печатки або пломби, пошкодження замків або інших ознак, що вказують на можливе проникнення в приміщення РСО сторонніх осіб, про це безвідкладно доповідається керівнику установи, установи вищого рівня, а також з відома керівника установи повідомляється територіальний підрозділ Служби Безпеки України, в присутності керівника РСО або іншої відповідальної особи встановлюються причини пошкодження і складається акт.
При виникненні підозри про проникнення сторонніх осіб в приміщення РСО, спецсховище або інше приміщення де зберігаються носії секретної інформації, а також у випадку пожежі, аварії або стихійного лиха, при яких створюються загрози знищення носіїв секретної інформації, начальник охорони, керівник установи або черговий по установи, мають право відкривати ці приміщення для вжиття невідкладних заходів. Про це начальник охорони або черговий безвідкладно доповідає керівнику установи та керівнику РСО, повідомляє територіальний підрозділ СБУ і складає акт. Акт складається в довільній формі і підписується особами, які відкривали приміщення, після чого представляють керівнику установи на затвердження.
У разі оснащення приміщень засобами охоронної сигналізації, а також автоматизованою системою прийому і реєстрації сигналів від цих засобів прийом-здавання таких приміщень під охорону здійснюється на підставі спеціально розробленої РСО інструкції, яка затверджується керівником установи.
В неробочий час приміщення РСО (спецсховища) і сейфи, що в них знаходяться, для вилучення необхідних документів, можуть бути відкриті особисто керівником установи в присутності начальника охорони або чергового по установи, про що робиться відповідний запис в журналі приймання-здачі приміщень РСО і складається акт.
Прибирання приміщень РСО і спецсховищ здійснюється в присутності одного з працівників РСО. Під час прибирання приміщень всі носії секретної інформації повинні знаходитись в сейфі.
Всі приміщення РСО, спецсховища та інші приміщення де зберігаються носії секретної інформації повинні обладнуватись у протипожежному відношенні. Для швидкої евакуації носіїв секретної інформації, в кожному приміщенні РСО повинна бути необхідна кількість мішків з засобом для опечатування або опломбовування. На випадок пожежі або інших стихійних лих, спрацювання охоронно - пожежної сигналізації в установі розробляється і затверджується її керівником спеціальна інструкція, в якій передбачається порядок виклику посадових осіб, відкриття приміщень РСО і спецсховищ та їх перезакриття при спрацюванні сигналізації, черговість і порядок рятування носіїв секретної інформації, місця подальшого їх зберігання.
Інструкція повинна знаходитись у начальника охорони або чергового по установі. Наводити секретні дані в цій інструкції забороняється.
2.7. Організація зберігання носіїв секретної інформації.
Забезпечення надійного зберігання носіїв секретної інформації - найважливіше завдання режимно - секретних органів, а також всіх осіб, що мають відношення до державної таємниці. Зберігання носіїв секретної інформації організовується таким чином, щоб виключити будь-яку можливість несанкціонованого доступу до них осіб, які до цих носіїв не мають відношення. Основний принцип зберігання носіїв секретної інформації - персональна відповідальність за їх схоронність, тому в режимно - секретному органі, в залежності від розподілення функціональних обов’язків, за кожним його працівником закріплюється обумовлена кількість сейфів, в яких зберігаються носії секретної інформації, що за ним рахуються.
Носії секретної інформації повинні зберігатись в сейфах, металевих шафах і ящиках. В спеціальних сховищах (спецсховищах) носії секретної інформації можуть зберігатись на відкритих стелажах, якщо за сховище в цілому відповідає одна особа.
В сейфах, металевих шафах, спецсховищах, призначених для зберігання носіїв секретної інформації, забороняється зберігати цінності, зброю, речі і предмети, які не мають відношення до носіїв секретної інформації.
Для зберігання носіїв секретної інформації застосовуються, як правило: сейфи різноманітних типів, металеві шафи і спецсховища.
Сейфи, металеві шафи і спецсховища повинні мати надійні запори і пристосування для опечатування. Пристосування для опечатування повинно закривати замочну щілину так, щоби після опечатування сейфа(шафи) не можна було вставити в неї ключ і відкрити замок не порушуючи відбитку печатки.
Пристосування або бирка для опечатування сейфа повинна мати заглиблення по розміру печатки, в яке накладається мастика. Нитки, що застосовуються для опечатування, не повинні мати обривів та вузлів.
В установах всі сейфи, в яких постійно або тимчасово зберігаються матеріальні носії секретної інформації, а також ключі від них повинні обліковуватись режимно - секретним органом і закріплюватись за відповідальними особами.
На кожний сейф наклеюється табличка, в якій вказується: номер сейфа (береться з журналу обліку сейфів); прізвище та ініціали відповідальної особи; номер печатки, якою запечатується сейф; черговість виносу на випадок пожежі або іншого стихійного лиха.
При визначенні черговості спасіння документів необхідно виходити з двох черг виносу. В першу чергу необхідно виносити сейфи з найбільш важливими документами, а також журналами обліку, з тим, щоби у разі втрати документів по журналам обліку можна було визначити, які документи втрачені.
Передача сейфів іншим відповідальним особам здійснюється через режимно - секретний орган. В разі виїзду відповідальної особи у відрядження, відпустку, на лікування, їхні сейфи у тимчасове користування іншим особам не передаються. Ця вимога не розповсюджується на працівників режимно - секретних органів, які при тимчасовому вибутті передають секретні документи, що за ними рахуються іншим працівникам РСО за актами, разом з сейфами, в яких зберігаються ці документи.
До всіх сейфів обов’язково повинно бути по два екземпляри ключів. Секрети замків повинні бути різними, тобто, в установі не повинно бути однакових замків, не можна, щоби один ключ підходив до інших замків. Робочі екземпляри ключів знаходяться у виконавця, а запасний здається в режимно - секретний орган в опечатаному виді (в конверті, пеналі тощо). На конверті вказується номер сейфа(шафи), прізвище виконавця відповідального за сейф, номер печатки, якою запечатаний конверт і опечатується сейф. Всі ключі від сейфів зберігаються в одному із сейфів РСО, в цьому ж сейфі зберігаються і ключі від інших сейфів режимно - секретного органу. Запасний ключ від цього сейфа в опечатаному виді передається на зберігання керівнику установи разом із запасними ключами від приміщень режимно - секретного органу. Робочі екземпляри ключів від приміщень режимно - секретного органу і від сейфа де зберігаються інші ключі в кінці робочого дня передаються в опечатаному пеналі черговому по установи або начальнику охорони установи під розпис в спеціальному журналі. Сейфи РСО і приміщення опечатуються різними печатками.
Зберігання матеріальних носіїв секретної інформації в сейфах, від яких загублені ключі, забороняється. З часу виявлення втрати ключів, документи з цих сейфів вилучаються і зберігаються в інших сейфах до заміни(переробки) замка в цьому сейфі.
Заміна(переробка) замків і виготовлення нових ключів до них проводиться спеціально виділеними для цього особами, які мають допуск до державної таємниці.
Заміна(переробка) замків оформлюється актом, в якому вказується де і хто переробив секрет замка, найменування і номер сейфа, кількість виготовлених ключів. Акт підписується особою, яка виконувала роботу та начальником режимно - секретного органу і затверджується керівником установи. Акт постійно зберігається в режимно - секретному органі. В журналі обліку сейфів робиться запис про проведену роботу і вказується номер і дата акту.
3. Етапи організації РСО в установі.
Поетапність у процесі організації та розміщенні обладнання РСО визначена необхідністю комплексного вирішення проблеми з одного боку, а з іншого боку – дає можливість заощадити матеріальні ресурси, які виділяються на впровадження РСО.
На кожному етапі повинні бути виконані процеси збирання та підготовлення даних, їх аналіз і прийняття рішення. При цьому результати виконаного на певному етапі аналізу і прийняті на їх підставі рішення слугують вихідними даними для аналізу на наступному етапі. На будь-якій стадії або будь-якому етапі може постати необхідність уточнення початкових умов і повернення на більш ранні етапи.
Процес організації РСО в установі включає в себе наступні етапи:
Вивчення основних нормативно – правових документів та законів які регулюють діяльність РСО.
Система охорони державної таємниці, яка до початку 90-х років функціонувала в Україні, мала суттєві недоліки:
відсутність єдиної політики в організації охорони державної таємниці. Цими питаннями займались різні державні організації(КДБ СРСР, Держтехкомісія, Міністерство оборони, Головархів, Державний комітет з питань науки і техніки, Міністерство закордонних справ та ін.);
процес засекречування інформації мав суб`єктивний характер, який не відображав реальні інтереси держави, громадянина і витрати;
повальне засекречування інформації, що не давало можливості зосередити увагу на виділенні і захисті дійсно важливих відомостей;
відсутність механізму своєчасного розсекречування інформації, що призводило до невиправданих фінансових витрат та інших видатків;
недостатнє матеріально - технічне забезпечення режимних заходів і низька зацікавленість відомств в удосконаленні системи охорони державних секретів тощо.
Основна причина цих недоліків - відсутність дієвих законодавчих і нормативно - правових актів з питань охорони державної таємниці.
Незалежність держави прямо залежить від її безпеки, що можлива тільки при дотриманні правових і організаційних принципів та ефективному контролі з боку законодавчої і виконавчої влади.
Одним з перших законодавчих актів незалежної України, спрямований на реалізацію функції безпеки держави, став Закон "Про інформацію" від 2 жовтня 1992 р., який не тільки закріпив право громадян на отримання інформації, а і визначив її категорії(відкрита і з обмеженим доступом), встановив режим доступу до відкритої та закритої інформації. Закон України "Про інформацію" дав можливість розвивати сферу охорони державної таємниці. Так, на підставі цього Закону був розроблений Закон України "Про державну таємницю" від 21 січня 1994 р., а 21 вересня 1999 р. в нього були внесені значні зміни і доповнення.
Сьогодні в Україні створена національна система охорони державної таємниці. Відмінність її від колишньої системи проявляється, зокрема, в тому, що:
режимно - секретна діяльність почала функціонувати у правовому полі;
згідно із Законом "Про державну таємницю" визначений спеціально уповноважений орган державної влади у сфері забезпечення охорони державної таємниці - Служба Безпеки України;
виданий Звід відомостей, що становлять державну таємницю України;
почав діяти інститут державних експертів з питань таємниць, якому надається право у встановленому законом порядку кваліфікувати інформацію як державну таємницю, знижувати ступінь секретності цієї інформації і розсекречувати її;
визначені:
правовий статус, права і функціональні обов’язки режимно - секретних органів;
порядок і умови надання дозволу на право здійснення діяльності, пов’язаної з державною таємницею;
порядок охорони державної таємниці під час прийому іноземців і правила роботи з ними;
порядок надання, скасування та переоформлення допуску до державної таємниці;
порядок підготовки міжнародних договорів про взаємну охорону державних таємниць;
порядок оформлення дозволів на передачу державної таємниці іншим державам тощо.
Вперше в історії нашої держави питання обмеження інформаційного обміну, пов`язаних з необхідністю забезпечення безпеки держави, стали регулюватись відкритими нормативно – правовими актами.
Творці Закону “Про державну таємницю” прагнули врахувати об`єктивні умови, що склались в державі, у зв`язку з відмовою від командно – адміністративної системи управління економікою. Саме поняття державна таємниця визначено в Законі (ст.1) як ”вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані у порядку, встановленому цим Законом, державною таємницею і підлягають охороні державою”.
Випливаючи з балансу інтересів держави, суспільства і громадян, галузь застосування Закону “Про державну таємницю” обмежена певними видами діяльності: обороною, економікою, наукою, технікою, зовнішніми відносинами, державної безпекою та охороною правопорядку. Законодавчо закріплені можливі обмеження прав громадян, які допускаються до державної таємниці, і право держави на проведення у відношенні до них перевірочних заходів. При цьому обмеження розповсюджуються тільки на осіб, які добровільно вступили з державою у правовідносини по охороні державної таємниці, тому що основою допуску громадян до державної таємниці є їх добровільність на умовах, передбачених цим Законом та інших законодавчо – правових актів, які регулюють правовідносини в цій сфері.
Закон забезпечив перехід від жорсткого перелікового “закріпачення” державою ступенів секретності відомостей до системи, що дозволяє більш гнучко реагувати на зміни, які проходять у політиці засекречування.
Принципово новим в Законі є введення інституту державних експертів з питань таємниць, які уповноважені Законом здійснювати віднесення інформації до державної таємниці у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, зміни ступеня секретності цієї інформації та її розсекречування.
Крім цього необхідно враховувати й інші закони та деякі нормативні документи та стандарти, які регламентують роботу з державною таємницею і перелік яких є в Додатку 1.
Отримання дозволу підприємству, установі, організації на діяльність, пов’язану з державною таємницею.
Установи мають право провадити діяльність, пов'язану з державною таємницею, за умови надання їм спеціального дозволу на провадження такої діяльності (далі - дозвіл).
Дозвіл надається органами СБУ за наявності умов, визначених статтею 20 Закону України “Про державну таємницю”, а саме, якщо установа:
бере участь у діяльності, пов'язаній з державною таємницею, відповідно до своєї компетенції;
має приміщення для виконання робіт, пов'язаних з державною таємницею, сховища для зберігання документів та інших матеріальних носіїв секретної інформації, які відповідають вимогам щодо забезпечення режиму секретності зазначених робіт, виключають можливість доступу до них сторонніх осіб (особи, які не мають доступу до конкретних матеріальних носіїв секретної інформації, що надається відповідно до законодавства) та гарантують збереження цих матеріальних носіїв;
дотримується передбачених законодавством вимог щодо забезпечення режиму секретності під час виконання робіт і здійснення заходів, пов'язаних з використанням секретної інформації, а також порядку допуску осіб до державної таємниці, прийому іноземних громадян і делегацій, використання державних шифрів, криптографічних засобів тощо;
має режимно-секретний орган (РСО) або режим секретності забезпечується його керівником чи працівником, спеціально призначеним наказом керівника установи.
Для отримання дозволу установа подає органу СБУ заявку встановленої форми. До заявки додається акт перевірки забезпечення режиму секретності в установі, що складається комісією, створеною з цією метою наказом керівника установи. Акт підписується членами комісії та затверджується керівником установи.
Після отримання зазначених документів орган СБУ призначає спеціальну експертизу, результати якої оформляються відповідним актом. На підставі поданих документів і акту спеціальної експертизи орган СБУ приймає рішення щодо надання установи дозволу на провадження діяльності, пов’язаної з державною таємницею.
Питання про надання установи дозволу розглядається органом СБУ протягом місяця.
Дозвіл оформляється на бланку органу СБУ встановленої форми.
Термін дії дозволу встановлюється органом СБУ залежно від обсягу робіт, пов’язаних з державною таємницею, що виконуються установою, ступеня секретності та обсягу пов’язаних з цими роботами (діяльністю) відомостей, що становлять державну таємницю, а також категорії режиму секретності. Цей термін не може перевищувати 5 років.
У разі прийняття органом СБУ рішення про відмову в наданні дозволу в акті спеціальної експертизи зазначаються дані про відсутність умов, необхідних для провадження діяльності, пов’язаної з державною таємницею, з посиланням на конкретні норми актів законодавства у сфері охорони державної таємниці. Повідомлення про відмову в наданні дозволу орган СБУ надсилає у письмовій формі установі, яка подала заявку.
Наявність дозволу є обов'язковою умовою для укладення установою договорів з Державною фельд'єгерською службою та Державним підприємством спеціального зв'язку про доставку секретної кореспонденції.
Переоформлення дозволу здійснюється органом СБУ, відповідно, у разі:
закінчення терміну дії раніше наданого дозволу;
реорганізації установи, місцезнаходження приміщень, в яких зберігаються матеріальні носії секретної інформації в неробочий час чи провадиться діяльність, пов’язана з державною таємницею.
Документи для переоформлення дозволу подаються установою не пізніше ніж за місяць до закінчення терміну дії раніше наданого дозволу.
Органом СБУ може бути прийнято рішення про скасування або зупинення дії раніше наданого дозволу на підставі акту, складеного за результатами проведеної ним перевірки стану охорони державної таємниці, в якому зазначаються порушення законодавства у сфері охорони державної таємниці, в тому числі умов, необхідних для провадження діяльності, пов'язаної з державною таємницею, або письмового повідомлення установи про припинення діяльності, пов’язаної з державною таємницею.
Порядок надання, переоформлення та скасування громадянам допуску до державної таємниці наведений у Додатку 2.
Формування складу РСО на підприємстві чи в установі.
Перелік посадових осіб, які мають право надавати носіям інформації гриф секретності, затверджується керівником підприємства, установи або організації, яка здійснює діяльність, пов'язану з державною таємницею.
Після закінчення встановлених строків засекречування інформації та у разі зниження ступеня секретності інформації або скасування рішення про віднесення її до державної таємниці посадові особи, які здійснювали засекречування інформації, зобов'язані забезпечити зміну грифа секретності або розсекречування інформації.
Впровадження РСО на підприємстві розпочинають наказом керівника підприємства чи установи. Наказ встановлює:
персональний склад РСО;
мету впровадження РСО;
повноваження РСО.
Визначення переліку документів та інших носіїв інформації, які підлягають захисту.
Формування переліку технічних засобів інформатизації та виділення основних технічних засобів.
В справі надійного забезпечення охорони державної таємниці чільне місце займає правильна організація, постановка і вміле керівництво цією роботою.
Під режимно – секретною роботою розуміється встановлення і проведення комплексу режимних заходів, спрямованих на збереження державної таємниці при поводженні з таємними документами (інформацією, матеріалами тощо).
Впорядкування інформації здійснюється відповідно до чинних законодавчих актів та інших нормативно – правових документів. У першу чергу слід опиратися на Закон України “Про державну таємницю” та “Зведений перелік відомостей, що становлять державну таємницю”.
Гриф секретності є обов'язковим реквізитом кожного матеріального носія інформації, що віднесена до державної таємниці. Він має містити відомості про ступінь секретності цієї інформації ("особливої важливості", "цілком таємно", "таємно"), строк засекречування інформації та посадову особу, яка надала зазначений гриф.
Якщо гриф секретності неможливо нанести безпосередньо на носій інформації, він має бути зазначений у супровідних документах.
Забороняється надавати грифи секретності, передбачені Законом “Про державну таємницю”, носіям іншої таємної або конфіденційної інформації, яка не становить державної таємниці.
Під час впровадження заходів цього етапу складаються такі документи:
Перелік відомостей, які містять інформацію з обмеженим доступом та підлягають захисту від витоку технічними каналами.
Інформація, включена до цього переліку, може бути як власністю держави (державна таємниця), так і власністю органу, щодо якого здійснюється ТЗІ (комерційна таємниця). Такий перелік повинен відповідати “Зведеному переліку відомостей, що становлять державну таємницю” та переліку відомостей, що не становлять комерційну таємницю, затвердженому Постановою Кабінету Міністрів України.
Перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом.
Переліки технічних засобів (ТЗПІ), які використовуються під час інформаційної діяльності органу, щодо якого здійснюється ТЗІ (для інформації з обмеженим доступом – “основні технічні засоби та системи”, далі по тексту – ОТЗ; для інформації загального користування – ТЗПІ, які не є основними).
План контрольованої зони органу, щодо якого здійснюється ТЗІ, на якому відображаються:
генеральний план органу, щодо якого здійснюється ТЗІ;
межа контрольованої зони на місцевості;
місця, де наявна інформація з обмеженим доступом;
відстані об’єктів від межі контрольованої зони;
Організаційно-технічні засоби, якими унеможливлюється несанкціоноване перебування сторонніх осіб на території органу, щодо якого здійснюється ТЗІ (контрольно-перепускні пости, технічні засоби охорони та сигналізації, маршрути прямування транспортних засобів, інше).
Акти категоріювання об’єктів, де циркулює ІзОД. Акти складаються за формою наведеною у Додатку 3.
Визначення переліку загроз таємній інформації та аналіз ризиків з боку цих загроз. Побудова моделі загроз та моделі порушника.
Загроза – будь-які обставини або події, що можуть бути причиною порушення безпеки об’єкта та нанесення збитків.
Модель загроз об'єкту захисту – містить аналіз можливого переліку загроз безпечному стану об'єкта захисту та їх джерел, а також аналіз ризиків з боку цих загроз відповідно до умов функціонування підприємства;
При наступному уточненні можливих загроз, головну увагу потрібно концентрувати на інформаційних сигналах та полях, середовищі їх поширення та засобах їх обробки. Тому перелік можливих загроз інформаційним ресурсам та засобам їх обробки визначається виходячи із можливих шляхів утворення каналів витоку інформації та можливих випадкових та навмисних впливів на інформаційні системи.
-технічними каналами, що включають канали побічних електромагнітних випромінювань і наводів, акустичні, оптичні, радіотехнічні, хімічні та інші канали;
- каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
- несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.
- внаслідок різноманітних впливів природного походження (природні катастрофи, кліматичні умови).
- випадкових чи навмисних впливів техногенного походження.
Опис загроз і схематичне подання шляхів їх здійснення складають окрему модель загроз.
Конструктивним шляхом створення моделі загроз є формування окремих моделей загроз для кожної компоненти системи (зокрема, для АС -центральний вузол АС, абоненти регіонального рівня, канал зв'язку та вузол зв'язку з регіональними абонентами, вузол зв'язку з Internet) та типових об'єктів захисту (робочих станцій, серверів, мережевого обладнання ЛОМ обробки даних, ЛОМ прийняття рішень тощо). Формування окремих моделей загроз повинно здійснювати на підставі загальної класифікації загроз інформації та загальній моделі порушника.
На протязі життєвого циклу кожної автоматизованої системи (АС), в тому числі і АС, модель загроз необхідно переглядати у зв'язку з модернізацією та розвитком АС, а також періодично, у зв'язку з удосконаленням технічних та програмних засобів подолання механізмів захисту.
Перелік можливих загроз інформації, яка обробляється в автоматизованій системі та циркулює у зв’язку з цим у відповідних приміщеннях, наводиться у додатку 4. В графі “Наслідки” приведені основні властивості інформації та відповідної автоматизованої системи, порушення яких можливо при реалізації загроз.
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
Під час розробки моделі порушника визначаються:
припущення щодо категорії осіб, до яких може належати порушник;
припущення щодо мотивів дій порушника (цілей, які він переслідує);
припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушень);
обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).
Відносно АС порушники можуть бути внутрішніми (з числа персоналу або користувачів системи) або зовнішніми (сторонніми особами). Визначення категорій порушників наведено у додатку 5. В таблицях 3-7 наведені специфікації моделі порушника за мотивами здійснення порушень, за рівнем кваліфікації та обізнаності щодо АС, за показником можливостей використання засобів та методів подолання системи захисту, за часом дії, за містом дії. У графі “Рівень загроз” зазначених таблиць наведені у вигляді відносної оцінки можливих збитків, які може заподіяти порушник за умови наявності відповідних характеристик. Рівень збитків характеризується наступними категоріями:
1 – незначні; 2 – допустимі; 3 – середні; 4 – дуже значні.
Категорії порушників, визначених у моделі, специфікація моделі порушника за мотивами здійснення порушень, специфікація моделі порушника за рівнем кваліфікації та обізнаності щодо АС, специфікація моделі порушника за показником можливостей використання засобів та методів подолання системи захисту, специфікація моделі порушника за часом дії та специфікація моделі порушника за місцем дії наведені у додатку 5.
Модель порушника, яка побудована з урахуванням особливості конкретної автоматизованої системи, технологій обробки інформації, складу технічного персоналу та користувачів, характеризується сукупністю значень характеристик, що наведені у додатку 5. Сукупність цих характеристик визначає профіль можливостей порушника.
Технічне забезпечення систем захисту РСО, вибір технічних засобів необхідних для побудови захисту.
Захист персоналу.
Серед співробітників РСО значна частина персоналу за родом своєї діяльності:
-контролює працездатність систем і засобів захисту різного виду і рівня (наприклад, адміністратор мережі (безпеки) і т.п.) та ін.
-є носіями та мають доступ до державної таємниці;
Тому в приміщенні де розміщений РСО необхідно передбачити відповідні засоби безпеки персоналу.
Захист інформаційних ресурсів.
В приміщеннях, які підлягають захисту можуть знаходитись технічні засоби прийому, обробки, збереження та передачі інформації (ТЗПІ) та допоміжні технічні засоби і системи (ДТЗС).У свою чергу із сукупності ТЗПІ можна виділити в окрему категорію основні технічні засоби.
Системи і засоби, що безпосередньо обробляють інформацію, віднесену до державної таємниці, а також іншу конфіденційну інформацію часто називають основними технічними засобами (ОТЗ). До них відносять засоби і системи інформатизації (засоби обчислювальної техніки, інформаційно – обчислювальні комплекси, мережі і системи), програмні засоби (операційні системи, системи керування базами даних, інше загальносистемне і прикладне програмне забезпечення), автоматизовані системи керування, системи зв'язку і передачі даних, технічні засоби прийому, передачі й обробки інформації з обмеженим доступом, їх інформативні фізичні поля.
Технічні засоби і системи, що не відносяться до засобів і систем інформатизації (ТЗПІ), але розміщені в приміщеннях, у яких обробляється інформація з обмеженим доступом. Такі технічні засоби і системи називаються допоміжними технічними засобами і системами (ДТЗС). До них відносяться: сторонні лінії електричного зв(язку, які не використовуються, системи пожежної й охоронної сигналізації, електропобутові прилади і т.д., а також самі приміщення, призначені для обробки інформації з обмеженим доступом.
При виборі технічних засобів захисту, необхідних при побудові системи безпеки об’єкта, можна скористатися переліком сертифікованих технічних засобів, рекомендованих для організації охорони об’єктів та діяльності підрозділів охорони. Цей перелік надається викладачем в окремому додатку.
4. Хід виконання роботи.
Формулювання завдання та мети курсової роботи.
Огляд нормативно – правових документів та законів які регулюють діяльність РСО.
Оформлення дозволу на діяльність, пов’язану з державною таємницею.
Формування складу РСО.
Розроблення технічного завдання на комплексну систему безпеки РСО.
Визначення переліку об’єктів, які підлягають захисту. Побудова моделей об’єктів.
Визначення переліку документів та інших носіїв інформації, які підлягають захисту.
Формування переліку технічних засобів інформатизації та виділення з цього переліку основних технічних засобів.
Визначення переліку загроз таємній інформації та аналіз ризиків з боку цих загроз. Побудова моделі загроз та моделі порушника.
Загалом цей етап можна розбити на наступні кроки:
Аналіз умов розташування підприємства.
На даному етапі проводиться аналіз розташування підприємства відносно інших об’єктів та будівель. Особливо важливо враховувати наявність поблизу приміщення, яке підлягає захисту будівель іноземних представництв. При розташуванні іноземних представництв на відстані ближче ніж 200 м. від межі контрольованої зони, виникають особливі умови для проектування системи захисту.
Визначення та аналіз загроз ІзОД ,яка циркулює на об’єкті захисту. Побудова моделі загроз.
Побудова моделі порушника.
Розроблення та впровадження системи захисту в РСО. Вибір технічних засобів необхідних для побудови захисту РСО.
На даному етапі проводиться вибір засобів захисту адекватних загрозі. При цьому система безпеки, побудована на вибраних засобах захисту повинна відповідати певним вимогам, бути:
безперервною, плановою, централізованою, цілеспрямованою, конкретизованою, активною, надійною, універсальною, комплексною.
Основою функціонування системи заходів є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження та окремих моделей загроз (на об’єкті, щодо якого здійснюється ТЗІ може бути складена загальна модель) визначаються головні та часткові (біжучі) задачі захисту інформації, розробляються організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації.
З метою впорядкування нормативно-документальної бази установи, на якій впроваджується система захисту та РСО, повинні бути розроблені переліки наявних розпорядчих, організаційно-методичних, нормативних документів щодо ТЗІ та вказівок щодо їх використання. Одночасно розробляються та затверджуються керівництвом інструкції, які встановлюють обов’язки, права та відповідальність особового складу РСО.
На цьому етапі здійснюються організаційні, первинні та основні технічні заходи захисту ІзОД. Організаційні та первинні технічні заходи ТЗІ проводяться одночасно і є першим етапом роботи, основні технічні заходи – наступним.
Докладний зміст вказаних заходів наведений в ДСТУ 3396.1-96. “Захист інформації. Технічний захист інформації. Порядок проведення робіт”.
За результатами реалізації структурний підрозділ ТЗІ розробляє:
“Атестаційний паспорт” об’єкту. Типова форма паспорту наведена у додатку № 7;
Оформлення висновків по курсовій роботі.
Оформлення додатків до курсової роботи.
5. Варіанти завдань.
Для зручності, усі перераховані в таблиці варіанти уявних підприємств та установ, на яких необхідно розмістити РСО, будемо розміщувати в приміщеннях, які знайомі студентам, наприклад 5-ий навчальний корпус НУ “Львівська політехніка”.
Таблиця №1.
№ п/п
Назва об’єкту (виділеного приміщення)
Перелік ОТЗ та інших носіїв державної таємниці, які знаходяться в приміщенні РСО
Перелік ТЗПІ, які знаходяться в приміщенні служби охорони
Перелік ДТЗС, які знаходяться в приміщенні РСО
Інформація, яка підлягає захисту

1
Державна галузева лабораторія для розроблення та виготовлення ПЛМ
Три персональні комп’ютери з’єднані в локальну мережу, програматор ПЛМ, комплекс для тестування ПЛМ, принтер, сигнальні лінії мережі Ethernet
Проводовий телефон, радіотелефон,
персональний комп’ютер, музичний центр, радіоприймач, сканер, зовнішній модем, центральний пульт охоронної сигналізації
Лінії пожежної сигналізації, кабелі телефонного зв’язку, лінії мережі електроживленя,
пристрій для знищення паперу, настільна лампа
Інформація стосовно досліджень, які проводяться в лабораторії, частина з якої є державною таємницею та інформацією для службового користування

2
філія “Ощадбанку”
Локальна обчислювальна мережа з трьох комп’ютерів, виділена телефонна лінія, скремблер, сигнальні лінії мережі Ethernet
Внутрішня МініАТС, системний телефон та два телефони підключені до МініАТС,
радіоприймач, ксерокс, центральний пульт охоронної сигналізації
кабелі телефонного зв’язку, лінії мережі електроживленя, пристрій для знищення паперу, кондиціонер
Державна таємниця банку, інформація для службового користування

3
Державна галузева лабораторія приладів для високоточних вимірювань
Чотири персональні комп’ютери з’єднані в локальну мережу, спеціальні вимірювальні прилади, комплекс випробування приладів, принтер, сигнальні лінії локальної мережі Ethernet
Проводовий телефон та радіотелефон,
персональний комп’ютер,
сканер, відеомагнітофон, телевізор, центральний пульт охоронної сигналізації
кабелі телефонного зв’язку, лінії мережі електроживленя, пристрій для знищення паперу, кондиціонер, лінії пожежної та охоронної сигналізації
Інформація стосовно досліджень, які проводяться в лабораторії, частина з якої є державною таємницею та інформацією для службового користування

4
Державний інформаційно-аналітичний центр соціологічних досліджень
Чотири персональні комп’ютери з’єднані в локальну мережу, принтер, виділена телефонна лінія, сигнальні лінії мережі Ethernet
Переговорний пристрій, внутрішня МініАТС, системний телефон та два телефони підключені до МініАТС,
сканер, персональний комп’ютер, система супутникового телебачення (НВЧ-конвертор, параболічна антена, ВЧ-кабель, тюнер)
Лінії пожежної та охоронної сигналізації,
кабелі телефонного зв’язку, лінії мережі електроживлення, чотири лампи денного світла, сторонні незадіяні дроти
Інформація стосовно соціологічних досліджень та опитувань, частина з якої є інформацією для службового користування та державною таємницею

5
Державний науково – дослідний центр напівпровідникових матеріалів
П’ять персональних комп’ютерів з’єднаних в локальну мережу з комп’ютером виділеним під сервер, спеціальні вимірювальні прилади, комплекс для дослідження матеріалів, сигнальні лінії мережі Ethernet, принтер
Переговорний пристрій, телефон, сканер, персональний комп’ютер, система супутникового телебачення (НВЧ-конвертор, параболічна антенна, ВЧ-кабель, тюнер)
Кабелі телефонного зв’язку, лінії мережі електроживлення, три лампи денного світла, кондиціонер, сторонні не задіяні дроти, лінії пожежної та охоронної сигналізації
Інформація стосовно досліджень, які проводяться в центрі, частина з якої є інформацією для службового користування та державною таємницею

6
Державний центр дослідження полімерних сполук
Локальна обчислювальна мережа з чотирьох комп’ютерів, один з яких є сервером, комплекс для дослідження полімерних сполук, принтер, виділена телефонна лінія між центральним офісом та філіями, сигнальні лінії мережі Ethernet, принтер
Внутрішня МініАТС, системний телефон та два телефони підключені до МініАТС, персональний комп’ютер,
телефакс, центральний пульт охоронної сигналізації
кабелі телефонного зв’язку, лінії мережі електроживлення, пристрій для знищення паперу, сторонні не задіяні дроти, лінії пожежної та охоронної сигналізації
Інформація стосовно досліджень, які проводяться в центрі, частина з якої є інформацією для службового користування та державною таємницею

7
Державна галузева лабораторія мікробіології
Устаткування для аналізу та синтезу біологічних сполук, три персональні комп’ютери з’єднаних в локальну мережу з комп’ютером виділеним під сервер
Переговорний пристрій, телефон, сканер, ксерокс, система супутникового телебачення (НВЧ-конвертор, параболічна антенна, ВЧ-кабель, тюнер)
Лінії мережі електроживлення, три лампи денного світла, кондиціонер, лінії пожежної сигналізації, сторонні не задіяні дроти, іонізатор повітря
Державна таємниця. Носієм інформації з обмеженим доступом є також синтезовані біологічні сполуки

8
Хімічна лабораторія при Міністерстві охорони здоров’я
Устаткування для аналізу та синтезу хімічних сполук,
три персональні комп’ютери з’єднаних в локальну мережу з комп’ютером виділеним під сервер
Внутрішня МініАТС, системний телефон та два телефони підключені до МініАТС,
радіоприймач, ксерокс, телевізор, радіосканер
кабелі телефонного зв’язку, лінії мережі електроживлення, пристрій для знищення паперу, сторонні не задіяні дроти, дві лампи денного світла, кондиціонер
Державна таємниця. Носієм інформації з обмеженим доступом є також синтезовані хімічні сполуки

9
Державний центр космічної геодезії
Чотири персональні комп’ютери з’єднані в локальну мережу, приймальна телефонний комутатор, система супутникової навігації, принтер, виділена телефонна лінія між центральним офісом та філіями, сигнальні лінії мережі Ethernet
радіотелефон, сканер, зовнішній модем, радіоприймач, система супутникового телебачення (НВЧ-конвертор, параболічна антенна, ВЧ-кабель, тюнер), телевізор
кабелі телефонного зв’язку, лінії мережі електроживлення, пристрій для знищення паперу
Інформація стосовно досліджень, які проводяться в центрі, частина з якої є інформацією для службового користування та державною таємницею

10
Регіональне представництво Державної податкової адміністрації
Чотири персональні комп’ютери з’єднані в локальну мережу, принтер, сканер, телефон, сигнальні лінії локальної мережі Ethernet
Внутрішня МініАТС, системний телефон, персональний комп’ютер,
сканер, відеомагнітофон, телевізор, центральний пульт охоронної сигналізації
Лінії мережі електроживлення, три настільні лампи, кондиціонер, лінії пожежної сигналізації, сторонні не задіяні дроти, іонізатор повітря
Державна таємниця, інформація для службового користування, база даних платників податків


Примітка. Всі перераховані підприємства знаходяться на відстані більше 200 м. від представництв іноземних держав.
6. Список рекомендованої літератури.
Герасименко В.А. Защита информации в автоматизирваных системах обработки данных. В 2-х кн. М.: Энергоатомиздат, 1994. 400 с., 176 с.
ГолованьС.М..Загальне діловодство та ведення документів, що містять конфіденційну інформацію з грифом “для службового користування”. Навчально-методичний посібник. – К.: НАУ, 2003. – 176 с.
ГолованьС.М..Ведення документів з грифом секретності. Навчально-методичний посібник. – К..: НАУ, 2003. – 92 с.
Давиденко А.М., Головань С.М., Щербина В.П. Модель діловодних процесів обробки інформації з обмеженим доступом // Збірник наукових праць ІПМЕ НАН України. – Вип. 20. – К.: 2003. – С. 146-151.
ДСТУ 2732-94 Видання. Основні види. Терміни та визначенння. – Чинний від 01.01.95.
ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення. – Чинний від 1997-01-01.
ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт. – Чинний від 1997-01-07.
ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення. – Чинний від 1998-01-01.
Дудикевич В.Б., Зачепило В.С., Хома В.В. Правові основи захисту інформації. Конспект лекцій. НУ “Львівська політехніка”, 2002, 68 с.
Закон України “Про державну таємницю”: Закон України від 21.09.99 № 1079-XIV // Відомості Верховної Ради України. – 1999. – № 49. – Ст. 428.
Закон України “Про інформацію”: Закон України від 02.10.92 № 2657-ХII // Відомості Верховної Ради України. – 2002. – № 29. – Ст. 194.
Закон України “Про захист інформації в автоматизованих системах”: Закон України від 05.10.94 № 80/94-ВР // Відомості Верховної Ради України. – 1994. – № 31. – Ст. 286.
Звід відомостей, що становлять державну таємницю України, затверджений наказом Голови Служби безпеки України від 1 березня 2001 р. N 52;
Інструкція про порядок обліку, зберігання і використання документів, справ та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави. Затверджена постановою Кабінету Міністрів України від 27.11.98 № 1893. Офіційний вісник України. – 1998. – № 48. – Ст. 1764.
Кримінальний кодекс України: Закон України від 05.04.01 № 2341-III // Відомості Верховної Ради України. – 2001. – № 25-26. – Ст. 131.
Порядок організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях. Затверджено постановою Кабінету Міністрів України від 02.10.03 № 1561-12.
НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі. – Чинний від 2000-12-15.
НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи.
Про затвердження положень з питань державної таємниці та внесення змін до деяких постанов Кабінету Міністрів України постанова КМУ від 29 листопада 2001 р. № 1601
Тарасов Ю.В. Контрольно – пропускной режим на предприятии. – М.; Арсин, 1998. – 71 с.
Хорошко В.А., Чекатов А.А. Методы и средства защиты информации / Под ред. Ю.С.Ковтонюка – К.: Юниор, 2003, – 504 с.
Хофман Л. Дж. Современные методы защиты информации: Пер с англ.. М.: Сов. радио, 1980. 264 с.
http://www.rada.gov.ua
http://www.kmu.gov.ua
http://www.sbu.gov.ua
http://www.dstszi.gov.ua
http://kiev-security.org.ua
http://www.bezpeka.com
http://www.nics.com.ua
http://www.jetinfo.ru/
http://unionrussia.ru
http://www.networkdoc.ru
http://unionrussia.ru
http://www.agentura.ru
http://www.businesspravo.ru
http://www.gtk.lissi.ru
Додаток 1.
Державні стандарти:
ДСТУ 3396.0-96.Захист інформації. Технічний захист інформації. Основні положення.
ДСТУ 3396.1-96. Захист інформації. Технічний захист інформації. Порядок проведення робіт.
ДСТУ 3892-1999. ”Засоби інженерно-технічного укріплення та захисту об’єктів. Терміни та визначення”.
ДСТУ 3960-2000. “Системи тривожної сигналізації. Системи охоронної і охоронно-пожежної сигналізації. Терміни та визначення”.
ГСТУ 78.11.03.99. “Засоби інженерно-технічного укріплення та захисту об`єктів. Захисне скло. Методи випробувань панцерованого скла на тривкість до обстрілу”.
ГСТУ 78.11.004-2000. “ Засоби інженерно-технічного укріплення та захисту об`єктів. Об’єкти, що охороняються фізичною охороною. Загальні технічні вимоги”.
ГСТУ 78.11.005-2000. “Засоби інженерно-технічного укріплення та захисту об`єктів. Захисне скло. Методи випробувань ударотривкого скла”.
ГСТУ 78.11.006-2001. “Засоби інженерно-технічного укріплення та захисту об’єктів. Панцерові конструкції, деталі та вузли. Методи випробувань на тривкість до обстрілу”.
ГСТУ 78.11.008-2001. “Засоби інженерно-технічного укріплення та захисту об’єктів. Захисна кабіна. Загальні технічні вимоги та методи випробувань ”.
Документи, видані Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України:
НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі.
НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу.
НД ТЗІ 3.6-001-2000.Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу.
НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.
Накази та положення:
Наказ ГУДСО при МВС України від 18.03.98 р. № 70 “Про затвердження основних критеріїв та умов вибору технічних засобів охорони для застосування на об’єктах, що охороняються підрозділами ДСО”.
“Положення про технічний захист інформації в Україні”, затверджене Указом Президента України від 27.09.1999 № 1229/99;
“Положення про контроль за функціонуванням системи технічного захисту інформації”, зареєстроване в Міністерстві юстиції України 11.01.2000 за № 10/4231;
“Тимчасове положення про категоріювання об’єктів” (ТПКО-95), затверджене наказом № 35 від 10.07.1995;
Державні будівельні норми України ДБН А.2.2.-2.96;
Тимчасові рекомендації з технічного захисту інформації ТР ТЗІ - ПЕМВН-95, ТР ЕОТ-95, затверджені наказом № 25 від 09.06.1995;
Відомчі нормативно-правові акти міністерств і відомств із питань ТЗІ;
Нормативні документи, видані в СРСР (в частині, що не суперечать вимогам сьогодення).
Додаток 2.
Порядок надання, переоформлення та скасування громадянам допуску до державної таємниці.
Допуск до державної таємниці — це оформлення відповідно до Закону України “Про державну таємницю” права громадян на доступ до секретної інформації.
Допуск до державної таємниці надається дієздатним громадянам України віком від 18 років, які потребують його за умовами своєї службової, виробничої, наукової чи науково-дослідної діяльності або навчання, за формою, яка необхідна для виконання ними службових чи виробничих обов’язків, що потребують доступу до державної таємниці.
Залежно від ступеня секретності інформації встановлюються такі форми допуску громадян до державної таємниці:
форма 1 — для роботи з інформацією, що має ступені секретності “особливої важливості”, “цілком таємно” та “таємно”;
форма 2 — для роботи з інформацією, що має ступені секретності “цілком таємно” та “таємно”;
форма 3 — для роботи з інформацією, що має ступінь секретності “таємно”, а також такі терміни дії допусків:
для форми 1 — 5 років;
для форми 2 — 10 років;
для форми 3 — 15 років.
Необхідність роботи із секретною інформацією та форма допуску громадянина до державної таємниці визначаються керівником установи згідно з номенклатурою посад працівників відповідного установи, які підлягають оформленню на допуск до державної таємниці (далі — номенклатура посад).
Номенклатура посад складається працівниками РСО разом з керівниками структурних підрозділів відповідного установи виходячи із штатного розпису, посадових інструкцій та інших документів, що визначають характер виконуваної працівниками роботи, а також з урахуванням положень Зводу відомостей, що становлять державну таємницю, та розгорнутого переліку відомостей.
Номенклатура посад складається терміном на п’ять років за установленою формою.
До номенклатури посад включаються лише посади працівників, умови службової, діяльності яких потребують доступу до державної таємниці. Кількість посад працівників, що включаються до номенклатури посад, повинна бути мінімально необхідною для забезпечення роботи установи, яка становить державну таємницю.
Проект номенклатури посад у двох примірниках подається на погодження до органу СБУ, який протягом місяця перевіряє обґрунтованість включення до зазначеної номенклатури кожної посади працівників відповідного установи та визначення форми допуску їх до державної таємниці.
Після погодження з органом СБУ номенклатура посад затверджується керівником відповідного установи і один її примірник надсилається до органу СБУ, з яким вона була попередньо погоджена.
Зміни чи доповнення до номенклатури посад вносяться у порядку, згідно з яким вона складається, і обов’язково погоджуються з органом СБУ.
Призначення працівників на посади, включені до номенклатури посад, здійснюється лише після надання їм у встановленому порядку допуску до державної таємниці.
Для надання допуску до державної таємниці громадянин заповнює анкету за відповідною формою, подає дві фотокартки розміром 4,5 х 6 сантиметрів, письмове зобов’язання щодо збереження державної таємниці, яка буде йому довірена, письмову згоду на передбачені законом обмеження прав у зв’язку з його допуском до державної таємниці та підтвердження того, що він ознайомлений з мірою відповідальності за порушення законодавства про державну таємницю.
Анкета заповнюється громадянином власноручно, засвідчується підписом керівників РСО та підрозділу кадрів установи, де працює громадянин, і скріплюється печаткою РСО.
Перевірка громадянина у зв'язку з його допуском до державної таємниці проводиться органом СБУ в місячний термін з дня отримання документів, у відповідності із Законами України “Про державну таємницю” та “Про оперативно-розшукову діяльність”.
За результатами перевірки громадянина орган СБУ, який проводив перевірку, виносить мотивований висновок щодо надання йому допуску до державної таємниці чи відмови у наданні такого допуску.
Висновок про неможливість надання громадянинові допуску до державної таємниці є обов’язковим для виконання посадовими особами установ, уповноваженими приймати рішення про надання такого допуску, але не виключає повторного подання документів з цього питання, якщо змінилися обставини, за яких надання такого допуску було неможливим.
Рішення про надання громадянинові допуску до державної таємниці приймається керівником відповідного установи не пізніше ніж через 5 днів після отримання позитивного висновку органу СБУ і оформляється у формі наказу або письмового розпорядження.
Рішення про надання допуску до державної таємниці керівникові установи оформляється наказом чи письмовим розпорядженням посадової особи, яка уповноважена приймати рішення про призначення його на посаду.
У разі отримання установою висновку органу СБУ про неможливість надання громадянинові допуску до державної таємниці керівник відповідного установи протягом 5 днів повідомляє у письмовій формі громадянина про причини та підстави відмови у наданні допуску. Копія такого письмового повідомлення надсилається до органу СБУ, що здійснив перевірку.
Громадянин має право оскаржити відмову у наданні допуску до державної таємниці в порядку підлеглості посадовій особі вищого рівня або до суду.
У разі коли громадянин змінює місце роботи облікова картка (разом з письмовими зобов’язання щодо збереження державної таємниці) за письмовим запитом пересилається до РСО установи де громадянин продовжуватиме діяльність, пов’язану з державною таємницею.
Наказ чи письмове розпорядження про надання громадянинові допуску до державної таємниці за новим місцем роботи видається керівником відповідної установи не пізніше ніж через 5 днів після надходження облікової картки без проведення органом СБУ додаткової перевірки, за винятком випадків, коли допуск до державної таємниці підлягає переоформленню. У таких випадках громадянин повторно бере на себе письмове зобов’язання щодо збереження державної таємниці, яка буде йому довірена, разом із письмовою згодою на передбачені законом обмеження прав у зв’язку з допуском до державної таємниці.
Переоформлення допуску до державної таємниці здійснюється у разі:
закінчення терміну дії допуску;
необхідності підвищення форми допуску;
необхідності проведення додаткової перевірки.
Рішення щодо подання документів до органу СБУ для проведення додаткової перевірки в таких випадках приймає керівник відповідного установи на підставі отриманої інформації про виникнення зазначених обставин.
У разі коли громадянина, якому надано допуск до державної таємниці, переведено на іншу посаду в тому ж самому установі де він працює, допуск до державної таємниці йому не переоформляється за умови, що форма допуску до державної таємниці, яка надана працівникові, відповідає формі допуску, передбаченій для цієї посади номенклатурою посад.
Форма раніше наданого громадянинові допуску до державної таємниці може бути змінена, якщо його службова діяльність викликає необхідність роботи з інформацією іншого ступеня секретності (не вище передбаченої висновком СБУ і у межах терміну його дії).
Зміна форми допуску до державної таємниці оформляється наказом чи письмовим розпорядженням керівника установи.
Допуск громадянина до державної таємниці підлягає скасуванню протягом 5 днів у разі письмового подання органу СБУ про наявність обставин передбачених Законом України “Про державну таємницю”. Такі письмові подання не повинні містити секретної інформації.
Допуск до державної таємниці може бути скасований, якщо установою отримано достовірні документальні відомості про наявність обставин для скасування наданого громадянинові допуску.
Про факти та підстави для скасування допуску до державної таємниці у таких випадках письмово інформується орган СБУ, який проводив перевірку цього громадянина.
Допуск громадянина до державної таємниці скасовується у разі втрати ним громадянства України або визнання його в установленому порядку недієздатним.
Допуск до державної таємниці скасовується також на письмове клопотання громадянина протягом 3 днів з моменту його звернення з цього питання.
Після припинення громадянином діяльності, пов’язаної з державною таємницею скасовується на протязі 5 днів за рішенням керівника установи.
Рішення про скасування допуску громадянина до державної таємниці приймається посадовими особами, уповноваженими приймати рішення про надання такого допуску, у формі наказу чи письмового розпорядження.
Про скасування допуску громадянина до державної таємниці орган державної влади установа протягом 5 днів письмово повідомляє громадянина із зазначенням причини та підстави скасування та інформує про це відповідний орган СБУ.
Рішення про скасування допуску до державної таємниці може бути оскаржене громадянином посадовій особі вищого рівня у порядку підлеглості або до суду.
У разі коли виконання громадянином, допуск якого до державної таємниці скасовано, службових обов'язків вимагає доступу до державної таємниці, а переміщення його на інше робоче місце чи іншу посаду неможливе, він може бути в порядку, передбаченому законодавством, переведений на іншу роботу, не пов'язану з державною таємницею, або звільнений.
Працівникам, які за умовами своєї професійної діяльності постійно працюють з відомостями, що становлять державну таємницю, встановлюється надбавка до посадових окладів залежно від ступеня секретної інформації:
відомості та їх носії, що мають ступінь секретності “особливої важливості”, - 20%;
відомості та їх носії, що мають ступінь секретності “цілком таємно”, - 15%;
відомості та їх носії, що мають ступінь секретності “таємно”, - 10%.
Такими, що постійно працюють з відомостями, що становлять державну таємницю, вважаються особи, які за своїми функціональними обов’язками займаються розробленням, виготовленням, обліком, зберіганням, використанням документів та інших носіїв державної таємниці, приймають рішення з цих питань або здійснюють постійний контроль за станом охорони державної таємниці. Наявність допуску до державної таємниці без виконання вищезгаданих умов не дає права на встановлення працівнику надбавки.
Персональний склад цих осіб та розмір надбавки визначаються керівником установи, де працюють ці особи.
Надбавка до посадових окладів виплачується лише за наявності дозволу на провадження діяльності, пов’язаною з державною таємницею, наданого установи відповідно до законодавства про державну таємницю(див. “Положення про види, розміри і порядок надання компенсації громадянам у зв’язку з роботою, яка передбачає доступ до державної таємниці”, затверджене постановою КМУ від 15 червня 1994 р. № 414).
Додаток № 3
ЗАТВЕРДЖУЮ
Керівник органу, щодо якого здійснюється ТЗІ
АКТ
категоріювання ___________________________________
(найменування об’єкту)
Вищий гриф секретності інформації, що циркулює на об’єкті________________________
Об’єм інформації, що циркулює на об’єкті, з вищим грифом секретності (звичайний, значний)_____________________________________________________________________
Відомості щодо можливості застосування стаціонарних засобів розвідки поблизу об’єктів:
Найменування інопредставництва____________________________________________
Відстань до об’єкту - ___________м.
Підстава для категоріювання (первинна, планова, у зв’язку із змінами)__________________
Раніше встановлена категорія ____________________________________________________
Встановлена категорія___________________________________________________________
Голова комісії
Члени комісії (підписи)
“____”______________200 р.
Додаток 4.
Позначення загроз
Тип та визначення загроз
Джерело загроз
Наслідки





Конф.
Ціл.
Дост.
Спост.



Загрози природного походження






1
Катастрофа
Пожежа, повінь, землетрус, шквал, вибух
Середовище

+
+


2
Умови
Вологість, запиленість, зміни температури
Середовище

+
+













Випадкові загрози техногенного походження






3
Вібрація
Вібрація
Апаратура

+
+


4
Перешкоди
Небажаний вплив процесів один на одного
Апаратура

+
+


5
ЕМС
Зовнішні електромагнітні випромінювання (електромагнітна сумісність)
Апаратура

+
+


6
Аварія
Аварія систем життезабезпечення.
Середовище

+
+


7
Відмова-Л
Відмови (повний вихід з ладу, систематичне неправильне виконання своїх функцій) людей.
Люди

+
+
+

8
Відмова-А
Відмови основної апаратури, систем передавання даних, носіїв інформації
Апаратура

+
+
+

9
Відмова-П
Відмови програм.
Програми

+
+
+

10
Відмова-З
Відмови систем живлення, систем забезпечення нормальних умов роботи апаратури та персоналу (електроживлення, охолодження та вентиляції, ліній зв’язку тощо).
Середовище, апаратура

+
+


11
Збій-А
Збої основної апаратури систем передавання даних
Апаратура
+
+
+
+

12
Збій-З
Збої систем живлення, систем забезпечення нормальних умов роботи апаратури та персоналу
Середовище, апаратура

+
+


13
Помилка-Л
Випадкові помилки користувачів, обслуговуючого персоналу, помилкове конфігурування та адміністрування системи
Люди
+
+
+
+

14
Помилка-П
Помилки програм
Програми
+
+
+
+

15
Недбалість
Недбале зберігання та облік документів, носіїв інформації
Люди
+
+
+
+

16
Поломка-А
Поломка апаратури.
Люди
+
+
+


17
Поломка-Н
Пошкодження носіїв інформації.
Люди, апаратура

+
+


18
Вірус
Ураження програмного забезпечення комп’ютерними вірусами.
Люди, програми
+
+
+
+



Навмисні загрози техногенного походження дистанційної дії






19
Підключення
Підключення до каналів зв’язку через штатні або спеціально розроблені апаратні засоби (в тому числі підключення через установлені модемні, факс-модемні плати).
Люди, аппаратура, програми
+

+


20
ПЕМВ
Одержання інформації по каналу побічного електромагнітного випромінювання основних технічних засобів (пристроїв наочного відображення, системних блоків, периферійної апаратури, апаратури зв’язку, ліній зв’язку, кабелів).
Апаратура
+




21
Е-Наводи
Одержання інформації по каналу паразитних наведень у системах каналізації, у мережах теплопостачання, у системах вентиляції, в шинах заземлення, в мережах живлення, в колах телефонізації.
Апаратура
+




22
Вібро-акустика
Одержання інформації по вібро-акустичному каналу з використанням лазерних пристроїв зняття інформації
Апаратура
+




23
Спецвплив
Одержання інформації по каналам спеціального впливу (електромагнітне та високочастотне опромінювання об’єкту захисту)
Апаратура
+




24
Е-імпульс
Використання електромагнітних імпульсів з метою зруйнування інформації, засобів її обробки та збереження
Апаратура

+
+


25
Підслуховування-Т
Прослуховування телефонних розмов.
Апаратура Люди
+




26
Оптика
Використання оптичних засобів, дистанційне фотографування.
Апаратура
+




27
НСД-ЛОМ
Несанкціонований дистанційний доступ до ЛОМ
Апаратура, програми, люди
+
+
+
+

28
Переадресація
Переадресація (зміна маршруту) передачі даних.
Люди, програми
+

+
+

29
Нав’язування
Нав’язування хибної інформації під ім’ям авторизованого користувача
Люди, програми

+

+












Навмисні загрози техногенного походження контактної дії






30
Прослуховування
Прослуховування мережі за допомогою програмних або програмно-апаратних аналізаторів.
Апаратура, програми
+


+

31
Читання-С
Читання “сміття” (залишкової інформації з запам’ятовуючих пристроїв).
Апаратура, програми Люди
+




32
Читання-Е
Оглядання даних, що виводяться на екран.
Люди, апаратура
+




33
Читання-Д
Оглядання даних, що роздруковуються, читання залишених без догляду віддрукованих на принтері документів.
Люди, апаратура
+




34
Відключення-З
Відключення або вивід з ладу підсистем забезпечення функціонування обчислювальних систем (електроживлення, охолодження та вентиляції, ліній зв’язку тощо).
Люди, апаратура, програми

+
+


35
Пошкодження
Фізичне зруйнування системи (внаслідок вибуху, підпалення и т.ін.), пошкодження всіх або окремих найбільш важливих компонентів АС (пристроїв, носіїв важливої системної інформації, осіб з числа персоналу і т.ін.), систем електроживлення тощо.
Люди

+
+


36
Закладка
Використання закладних та дистанційних підслуховуючих пристроїв.
Люди, апаратура
+




37
Випитування
Провокування до розмов осіб, що мають відношення до АС.
Люди
+


+

38
Копіювання
Копіювання вихідних документів, магнітних та інших носіїв інформації (у тому числі при проведенні ремонтних та регламентних робіт з ГМД)
Апаратура, програми, люди
+




39
Розкрадання
Розкрадання магнітних носіїв та документів (оригінали і копії інформаційних матеріалів, ГМД, стриммерних стрічок), виробничих відходів (відбитків, записів, носіїв інформації т.ін.), отримання необлікованих копій.
Люди
+




40
Імітація
Незаконне одержання паролів та інших реквізитів розмежування доступу (агентурним шляхом, внаслідок недбалості користувачів, підбором, імітацією інтерфейсу системи тощо) з наступним маскуванням під зареєстрованого користувача ("маскарад").
Люди, програми
+
+

+

41
НСД-РС
Несанкціоноване використання робочих станції та терміналів ЛОМ.
Люди програма,
+
+
+
+

42
НСД-П
Несанкціоноване використання технічних пристроїв (модем, апаратний блок кодування, перефірійні пристрої).
Люди програма,
+

+
+

43
Взлом
Обхід механізмів захисту з метою забезпечити в подальшому псевдосанкціонований доступ порушника.
Люди програма,
+
+

+

44
Перехоплення
Перехоплення паролів програмою-імітатором, перехоплення повідомлень.
Люди, програми
+
+
+
+

45
Закладка-П
Включення в програми програмних закладок типу “троянський кінь”, “бомба” тощо.
Люди Програми
+
+
+
+

46
Вади
Використання вад мов програмування, операційних систем (у тому числі параметрів системи захисту, встановлених “за умовчанням”).
Люди, програми
+
+
+
+

47
Підміна
Несанкціоновані зміни, підміна елементів програм, елементів баз даних, апаратури, магнітних носіїв.
Люди, програми
+
+
+
+

48
Дезорганізація
Дії щодо дезорганізації функціонування системи (зміна режимів роботи пристроїв та програм, страйк, саботаж персоналу, постановка потужних активних завад на частотах роботи пристроїв системи й т.ін.)
Люди, програми

+
+


49
Вербування
Вербування персоналу або окремих користувачів, які мають певні повноваження
Люди
+
+




Додаток 5.
Категорії порушників, визначених у моделі.
Таблиця 1
Позначення
Визначення категорії
Рівень загрози


Внутрішні по відношенню до АС


ПВ1
Технічний персонал, який обслуговує будови та приміщення (електрики, сантехніки, прибиральники тощо), в яких розташовані компоненти АС
1

ПВ2
Персонал, який обслуговує технічні засоби (інженери, техніки)
2

ПВ3
Користувачі (оператори) АС
2

ПВ4
Співробітники підрозділів (підприємств) розробки та супроводження програмного забезпечення
3

ПВ5
Адміністратори ЛОМ
3

ПВ6
Співробітники служби захисту інформації
4

ПВ7
Керівники різних рівнів посадової ієрархії
4


Зовнішні по відношенню до АС


ПЗ1
Будь-яки особи, що знаходяться за межами контрольованої зони.
1

ПЗ2
Відвідувачі (запрошені з деякого приводу)
2

ПЗ3
Представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання і таке інше)
2

ПЗ4
Хакери
3

ПЗ5
Співробітники закордонних спецслужб або особи, які діють за їх завданням
4

Специфікація моделі порушника за мотивами здійснення порушень.
Таблиця 2
Позначення
Мотив порушення
Рівень загрози

М1
Безвідповідальність
1

М2
Самоствердження
2

М3
Корисливий інтерес
3

М4
Професійний обов’язок
4

Специфікація моделі порушника за рівнем кваліфікації та обізнаності щодо АС .
Таблиця 3
Позначення
Основні кваліфікаційні ознаки порушника
Рівень загрози

К1
Знає функціональні особливості системи, основні закономірності формування масивів даних та потоків запитів до них, має навички щодо користування штатними засобами системи
1

К2
Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування
2

К3
Володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих інформаційних систем
2

К4
Знає структуру, функції й механізми дії засобів захисту, їх недоліки
3

К5
Знає недоліки та “вади” механізмів захисту, які вбудовані у системне програмне забезпечення та його недокументовані можливості
3

К6
Є розробником програмних та програмно-апаратних засобів захисту або системного програмного забезпечення
4

Специфікація моделі порушника за показником можливостей використання засобів та методів подолання системи захисту.
Таблиця 4
Позначення
Характеристика можливостей порушника
Рівень загрози

З1
Використовує лише агентурні методи одержання відомостей
1

З2
Використовує пасивні засоби (технічні засоби переймання без модифікації компонентів системи)
2

З3
Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону
3

З4
Застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів зв’язку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації.
3

З5
Застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних).
4

Специфікація моделі порушника за часом дії
Таблиця 5
Позначення
Характеристика можливостей порушника
Рівень загрози

Ч1
До впровадження АС або її окремих компонентів
1

Ч2
Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)
2

Ч3
Під час функціонування АС (або компонентів системи)
3

Ч4
Як у процесі функціонування АС, так і під час призупинки компонентів системи
4

Специфікація моделі порушника за місцем дії.
Таблиця 6
Позначення
Характеристика місця дії порушника
Рівень загрози

Д1
Без доступу на контрольовану територію організації
1

Д2
З контрольованої території без доступу у будинки та споруди
1

Д3
Усередині приміщень, але без доступу до технічних засобів АС
2

Д4
З робочих місць користувачів (операторів) АС
2

Д5
З доступом у зони даних (баз даних, архівів й т.ін.)
3

Д6
З доступом у зону керування засобами забезпечення безпеки АС
4