Зв'язатися
§ Технічний захист інформації

Технічний захист інформації: класифікація автоматизованих систем

⏱ 16 хв читання · ★ Просунутий · Оновлено 2026-05-11

Технічний захист інформації (ТЗІ) — це вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів або апаратно-програмних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації. Це визначення міститься у державних стандартах України і є базовим для всієї дисципліни.

Інформаційні системи: класифікація

Згідно із Законом України «Про захист інформації в інформаційно-телекомунікаційних системах», інформаційно-телекомунікаційна система — це сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле.

За ступенем автоматизації інформаційні системи бувають:

  • Ручні — задіяні лише люди.
  • Автоматизовані — частково люди, частково автомати (наприклад, ЕОМ).
  • Автоматичні — задіяні лише автомати.

Класифікація автоматизованих систем України

Наразі в Україні існує така класифікація автоматизованих систем (АС):

АС класу 1 (АС-1)

Одномашинний багатокористувацький комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності. Приклад — автономний (ізольований) персональний комп’ютер, доступ до якого здійснюється з використанням організаційних засобів безпеки.

АС класу 2 (АС-2)

Локалізований багатомашинний багатокористувацький комплекс, який обробляє інформацію різних категорій конфіденційності. Приклад — локальна обчислювальна мережа. Істотна відмінність від попередньої категорії — наявність категорій користувачів з різними повноваженнями доступу та наявність апаратного-програмного забезпечення, яке може одночасно обробляти інформацію різних категорій конфіденційності.

АС класу 3 (АС-3)

Розподілений багатомашинний багатокористувацький комплекс, який обробляє інформацію різних категорій конфіденційності. Приклад — глобальна мережа. Істотна відмінність — необхідність передавання інформації через незахищене середовище.

Більшість сучасних інформаційних систем критичної інфраструктури належать до класу АС-3.

Класи завдань ТЗІ

За своїми видами питання технічного захисту інформації охоплюють два великих класи завдань:

  1. Захист інформації від витоку технічними каналами (акустичними, радіотехнічними, оптичними тощо).
  2. Захист інформації від несанкціонованого доступу (НСД).

Технічні канали витоку

Технічний канал витоку інформації — це сукупність небезпечних фізичних сигналів, середовища їх розповсюдження та зберігання, пов’язаних з об’єктом технічного захисту інформації, а також способів і засобів, що можуть бути застосовані для зняття інформації.

За фізичною природою технічні канали поділяють на:

  • Акустичні — розповсюдження звукових коливань. Захист: звукоізоляція приміщень, акустичне зашумлення, екранування.
  • Радіотехнічні — паразитне випромінення обладнання та наводи. Захист: екранування приміщень («клітка Фарадея»), фільтрація, регламентовані зони безпеки.
  • Електричні — засоби провідникового зв’язку та струмопровідні комунікації. Захист: ізоляція, фільтри, контроль ліній.
  • Оптичні — електромагнітне випромінювання від інфрачервоної до ультрафіолетової частини спектру. Захист: світлонепроникні штори, контроль вікон.

За походженням канали бувають природні (на базі фізичних властивостей джерел і середовища) та штучні, в тому числі створені навмисно. Захист від штучних каналів витоку — це окрема дисципліна, що знаходиться у сфері компетенції ліцензіатів Адміністрації Держспецзв’язку.

Захист від несанкціонованого доступу (НСД)

Несанкціонований доступ до інформації — це доступ, що порушує встановлену в інформаційній системі політику розмежування доступу. Несанкціонований доступ може здійснюватися на різних рівнях:

  • на рівні периметру інформаційної системи;
  • на рівні комунікаційного обладнання;
  • на рівні апаратної частини серверів і робочих станцій;
  • на рівні системного й прикладного програмного забезпечення.

Захист на рівні периметра

Системи охоронної й пожежної сигналізації, цифрового відеоспостереження, контролю й керування доступом (СКД). Ідентифікатори: магнітні карти, безконтактні карти, біометричні дані (відбитки пальців, малюнок сітківки).

Захист на рівні комунікаційного обладнання

Міжмережеві екрани (firewall) — пристрої, що керують комп’ютерним мережевим трафіком між областями різного рівня безпеки. Поділяються на:

  • stateless — фільтрують потік даних виключно на основі статичних правил;
  • stateful — відслідковують поточні з’єднання та пропускають лише пакети, що задовольняють логіці протоколів.

Також: системи виявлення вторгнень (IDS), VPN для захищених каналів, засоби аналізу захищеності.

Захист на рівні застосунку

Найважливіший рівень для сучасних систем критичної інфраструктури. Базові механізми:

  • Ідентифікація і автентифікація — встановлення особи користувача (SSPI, PKI, ЕЦП за українським ДСТУ 4145, LDAP / AD).
  • Авторизація — перевірка прав на конкретну дію з конкретним ресурсом.
  • Шифрування — захист каналу клієнт↔сервер та даних у БД (ДСТУ ГОСТ 28147:2009, ДСТУ 7564:2014).
  • Реєстрація — журнал усіх дій, що виконуються користувачами і адміністраторами.
  • Цілісність — захист від несанкціонованих змін за допомогою контрольних сум, ЕЦП.

Рівні гарантій НД ТЗІ 2.5-004-99

Український НД ТЗІ 2.5-004-99 встановлює сім рівнів гарантій коректності реалізації функціональних послуг безпеки: Г-1, Г-2, …, Г-7, де Г-1 — найнижчий, Г-7 — найвищий. Зіставлення з міжнародним стандартом ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation):

Український рівень Common Criteria
Г-1 EAL 2
Г-2 EAL 3
Г-3 EAL 4
Г-4 EAL 5
Г-5 і вище EAL 6—7

Рівень Г-3 / EAL 4 — стандарт для серйозних комерційних продуктів безпеки і систем, що обробляють інформацію з обмеженим доступом у державному та критичному комерційному секторах.

Інженерний приклад вітчизняної реалізації

Прикладом вітчизняного інженерного рішення, що відповідає описаним вимогам, є платформа UnityBaseDefense розробки ТОВ «Софтлайн ІТ». Платформа має експертний висновок Адміністрації Державної служби спеціального зв’язку та захисту інформації України з рівнем гарантій Г-3 згідно з НД ТЗІ 2.5-004-99 — у міжнародному вимірі це відповідає EAL 4 за стандартом ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation).

Подивитися технічну специфікацію платформи та архітектурні рішення можна у розділі «Архітектура».

Мітки

Air-gapped Common Criteria Data diode EAL 4 ISO/IEC 15408 PKI SSPI UnityBaseDefense Г-3 ДСТУ 4145 ДСТУ 7564 Купина Експертний висновок Держспецзв'язку КЗЗ КСЗІ НД ТЗІ 2.5-004-99 НД ТЗІ 3.6-006-24 Софтлайн ІТ
[ ON THE PLATFORM ]

Як це реалізовано в UnityBaseDefense

Принципи, описані в цій статті, втілені в архітектурі платформи. Експертний висновок Адміністрації Держспецзв'язку Г-3 (НД ТЗІ 2.5-004-99) — у міжнародному вимірі EAL 4 за ISO/IEC 15408.

Подивитися платформу → Технічна архітектура