Пошук

Розширений пошук
null
Головна » Нормативно-правова база » Накази


версія для друку
28 грудня 2012

Роз’яснення щодо особливостей складання та подання на реєстрацію до Адміністрації Держспецзв’язку декларації про відповідність комплексної системи захисту інформації в інформаційно-телекомунікаційній системі вимогам нормативних документів з технічного захисту інформації

 

Правова норма, введена в дію наказом Адміністрації Держспецзв’язку від 10 жовтня 2012 року № 567 “Про затвердження змін до Положення про державну експертизу в сфері технічного захисту інформації”, зареєстрованим 6 листопада 2012 року Міністерством юстиції України за № 1863/22175, визначає можливий варіант (спосіб) проведення державної експертизи комплексної системи захисту інформації (далі – КСЗІ). Згідно з цією нормою для визначеного переліку видів інформаційно-телекомунікаційних систем (далі – ІТС) державна експертиза КСЗІ може проводитися не тільки шляхом експертних випробувань, які виконуються незалежною третьою стороною – організатором експертизи, а й шляхом аналізу відомостей декларації про відповідність КСЗІ вимогам нормативних документів з технічного захисту інформації (далі – декларація) уповноваженим центральним органом виконавчої влади з питань захисту інформації. Аналіз декларації та її реєстрація виконується Адміністрацією Держспецзв’язку безоплатно.

 

Власники (розпорядники) ІТС, які задовольняють критеріям, визначеним у пункті 1.6 Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв’язку від 16 травня 2007 року № 93, зареєстрованим в Міністерстві юстиції України 16 липня 2007 року за № 820/14087, (далі – Положення) мають право вільного вибору щодо застосування будь-якого з можливих варіантів (способів) проведення державної експертизи КСЗІ:

шляхом проведення експертних випробувань згідно із загальним порядком, установленим Положенням;

шляхом проведення експертних випробувань згідно із порядком, особливості якого встановлено розділом 5 Положення;

шляхом аналізу Адміністрацією Держспецзв’язку підготовленої заявником експертизи декларації.

 

Адміністрація Держспецзв’язку не має впливу і не втручається у процес підготовки декларації, процес підготовки контролюється виключно власником (розпорядником) ІТС і тільки він є відповідальним за правильність оформлення та комплексність документів, достовірність поданих у декларації відомостей. Адміністрація Держспецзв’язку на прохання суб’єкта може тільки (і повинна) надавати необхідну консультативну та методичну допомогу з питань створення КСЗІ, оформлення результатів виконаних робіт, заповнення тексту декларації тощо.

Процедура аналізу декларації Адміністрацією Держспецзв’язку є прозорою, ґрунтується на аналізі документів, визначених пунктом 3.1 Положення, і не потребує додаткових перевірок упроваджених на об’єкті експертизи заходів і засобів захисту.

Процедурою державної експертизи шляхом аналізу декларації можуть скористатися будь-які суб’єкти: органи державної влади, місцевого самоврядування, установи, підприємства та організації незалежно від форми власності та підпорядкування, фізичні та юридичні особи (далі – установа).

 

Згідно з пунктом 1.5 Положення державна експертиза шляхом аналізу декларації може проводитися тільки щодо КСЗІ в ІТС. Для підтвердження відповідності засобів технічного захисту інформації ця процедура не застосовується.

Виключний перелік критеріїв, згідно з якими визначається можливість проведення експертизи КСЗІ в ІТС шляхом аналізу декларації, встановлено пунктом 1.6 Положення:

а) якщо є необхідність проведення первинної або додаткової (у зв’язку із модернізацією) експертизи КСЗІ в ІТС, яку згідно з нормативними документами з технічного захисту інформації може бути класифіковано як автоматизовану систему класу “1”, де передбачається обробка інформації, що не становить державної чи іншої передбаченої законом таємниці, і для створення комплексу засобів захисту інформації від несанкціонованого доступу використовуються засоби, які мають чинний сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації;

б) якщо є необхідність проведення додаткової експертизи у зв’язку із закінченням строку дії атестата відповідності КСЗІ в ІТС, яку згідно з нормативними документами з технічного захисту інформації може бути класифіковано як автоматизовану систему класу “1” і в якій передбачається обробка інформації, що не становить державної та іншої передбаченої законом таємниці.

Примітка. В силу того, що декларативний принцип проведення державної експертизи КСЗІ поширюється тільки на ІТС, які можуть бути класифіковані як автоматизовані системи класу “1”, то далі за текстом як синонім може використовуватися поняття автоматизована система (АС).

Контрольна експертиза проводиться тільки шляхом експертних випробувань.

Шляхом аналізу декларації може проводитися державна експертиза КСЗІ в ІТС, яка складається з декількох компонентів, які організаційно поєднані в одну систему (окремих автоматизованих робочих місць, які призначені для вирішення одного й того самого завдання, але функціонують автономно) і вимоги до захисту інформації від несанкціонованого доступу кожної компоненти висуваються як для автоматизованої системи класу “1”.

Для підтвердження відповідності типових варіантів для побудови КСЗІ, які реалізовані як готові до впровадження організаційно-технічні рішення і призначаються для наступного тиражування на декількох об’єктах, процедура експертизи шляхом аналізу декларації не застосовується.

 

Запровадження декларативного механізму проведення державної експертизи КСЗІ не зачіпає правових норм, що стосуються визначення вимог, організації робіт та порядку створення КСЗІ, не вносить жодних змін до порядку виконання робіт зі створення КСЗІ.  

У будь-якому випадку, незалежно від обраної процедури проведення державної експертизи, КСЗІ створюється у порядку, визначеному НД ТЗІ 3.7-003-05 “Порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі”, затвердженому наказом ДСТСЗІ СБУ від 8 листопада 2005 року № 125, із дотриманням правових норм Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, організаційних засад та загальних вимог до захисту інформації, установлених Правилами забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затвердженими постановою Кабінету Міністрів України від 29 березня 2006 року № 373, інших нормативно-правових актів.

Декларація подається після завершення всіх робіт зі створення КСЗІ у повному обсязі і відображення їх результатів у документах, передбачених пунктом 3.1 Положення.

Формуляр АС і акт про завершення робіт зі створення КСЗІ повинні містити відомості, які підтверджують факт виконання всіх основних етапів робіт зі створення КСЗІ та дотримання встановленого порядку виконання робіт.

Під словами “всіх основних етапів робіт зі створення КСЗІ” згідно з вимогами пункту 5.4 НД ТЗІ 3.7-003-05 розуміється, що мають бути виконані роботи з визначення й оцінки загроз для інформації, формування вимог, розроблення й реалізації проекту КСЗІ, проведення випробувань КСЗІ та введення КСЗІ в експлуатацію у складі АС.

 

Формуляр АС готується згідно з вимогами до його змісту, встановленими керівним документом із стандартизації РД 50-34.698-90 “Автоматизированные системы. Требования к содержанию документов”. Розділи формуляра мають бути заповнені відповідними відомостями з посиланням на технічні або розпорядчі документи (протоколи, акти тощо) установи з їх реєстраційними номерами, згідно з якими виконувалися або в яких зафіксовано результати виконання тих чи інших робіт. Наприклад, це може бути наказ установи про створення служби захисту інформації чи призначення відповідальних осіб за забезпечення захисту інформації в АС, акт (протокол, звіт тощо) про проведення власником АС випробувань КСЗІ, технічне завдання на створення КСЗІ, технічний чи техно-робочий проект КСЗІ, опис КСЗІ, модель загроз для інформації і т.і. Зазначаються випадки інтегрування декількох документів, що мають самостійне значення, в один документ.

До формуляра вносяться також відомості про проведення робіт із технічного обслуговування, модернізації КСЗІ, внесення інших змін до АС, які не впливають на технічні характеристики функціонування КСЗІ (наприклад, заміна окремих технічних засобів чи засобів обробки інформації іншими, нові призначення відповідальних осіб, зміна назви АС, місця розташування, адреси тощо).

Для оформлення формуляра можна скористатися наступними рекомендаціями. Вони не є зразком для копіювання, а тільки визначають орієнтовний перелік відомостей, що мають бути відображені у формулярі та орієнтовну форму подання цих відомостей.

 

Гриф обмеження доступу

(за необхідності)

Автоматизована система

 _______________________________________

(найменування установи-власника)

 

Формуляр

 

1.     Загальні відомості про АС

 Назва АС: повна назва автоматизованої системи, умовна назва (за наявності)

Місце розташування: за місцем розташування автоматизованої системи.

Види інформації, що підлягають захисту: види інформації за порядком доступу (якщо декілька видів, то вказуються всі)

 

2. Склад технічних засобів АС

 

Пристрій

Характеристика

Заводський номер /

рік виробництва

Системний блок

 

 

Монітор

 

 

Клавіатура

 

 

Принтер

 

 

Блок безперебійного живлення

 

 

…………..

 

 

 

3. Склад програмного забезпечення

 

Найменування і версія програмного продукту

Дата і підпис посадової особи

 

Примітки

встановлення

вилучення

Операційна система Microsoft Windows XP Professional SP2

 

 

 

Microsoft Office 2007

 

 

 

Acrobat Reader

 

 

 

………………………

 

 

 

 

 

 

 

 

4. Відомості про програмно-апаратний комплекс засобів захисту (КЗЗ) інформації від несанкціонованого доступу.

 

Найменування КЗЗ

Виробник

Документ, що засвідчує  відповідність вимогам з ТЗІ

 

Сервіси безпеки операційної системи Microsoft Windows XP Professional SP2

Microsoft

Експертний висновок № 150 від 24.09.2008

……..

 

 

 

5. Відомості про впровадження, випробування та приймання в експлуатацію

 

Назва документа

Реєстраційний номер, дата

Виконавець робіт

Дата підпису

Прізвище, ініціали голови комісії

Акт категоріювання 

 

 

 

 

...........

 

 

 

 

Акт завершення робіт зі створення КСЗІ

 

 

 

 

………….

 

 

 

 

Декларація про відповідність

 

 

 

 

 

6. Посадові особи, відповідальні за технічне обслуговування

 

 

Посада

 

 

Прізвище, ім'я, по батькові

 

№ наказу, дата

призначення

звільнення

 

 

 

 

 

7. Посадові особи, відповідальні за забезпечення захисту інформації

 

Посада

Прізвище, ім'я, по батькові

№ наказу, дата

 

 

 

 

призначення

звільнення

 

 

 

 

 

8. Реєстрація проведених робіт (технічне обслуговування, ремонт, модернізація тощо)

Дата проведення

робіт

Вид проведених робіт

Посада, прізвище та ініціали особи, яка виконувала роботи

Підпис

 

 

 

 

 

9. Відмітки про проведення перевірок КСЗІ АС

 

Дата перевірки

Результат перевірки

Посада, прізвище та ініціали особи, яка здійснювала перевірку

Підпис

 

 

 

 

 

10. Перелік технічних та експлуатаційних документів КСЗІ

 

Найменування документа

Реєстраційний номер, атрибути документа

Примітки

 

 

 

 

 

 

 

Акт завершення робіт зі створення КСЗІ складається згідно з вимогами РД 50-34.698-90 у довільній формі. Для оформлення акта можна скористатися наступними рекомендаціями. Ці рекомендації не є зразком для копіювання, вони тільки орієнтують щодо мінімально необхідного переліку відомостей для включення до акта.

 

Гриф обмеження доступу

(за необхідності)

 

ЗАТВЕРДЖУЮ

_________________________________

(підпис, прізвище, ініціали керівника установи)

М.П.

 

Акт

завершення робіт зі створення комплексної системи захисту інформації в автоматизованій системі  класу 1

___________________________________

 (повна  назва  суб’єкта власника системи)

 

1. Загальні відомості щодо КСЗІ

Комплексна система захисту інформації (КСЗІ) автоматизованої системи класу 1 ____________________________________________________________

                                  (повна назва АС)

призначена для обробки _______________________________________

                                         (види інформації за порядком доступу)

АС розміщена  за адресою: _______, м. ______, вул. _________, __, приміщення № __.

Виконавці робіт із для створення КСЗІ (вид робіт, найменування, адреса організацій-виконавців):

1.      __________________________________

2.      __________________________________

3.      __________________________________

 

2. Перелік документів, які були розроблені під час проведення робіт зі створення КСЗІ (вказуються реєстраційні номери, інші атрибути документів):

1.      Акт категоріювання об’єкта електронно-обчислювальної техніки;

2.      Акт (протокол, звіт) обстеження АС;

3.      Модель загроз для інформації;

4.      Технічне завдання на створення КСЗІ;

5.      Техно-робочий проект КСЗІ (опис КСЗІ);

6.      Інструкція адміністратора безпеки;

7.      Інструкція системного адміністратора;

8.      Інструкція користувача;

9.      Акт (протокол, звіт) за результатами випробувань;

10.   Акт (протокол, звіт) за результатами дослідної експлуатації;

11.   План захисту інформації в АС;

12.   Формуляр АС;

13.   Інші розроблені документи 

Примітка. Окремі документи можуть поєднуватися в один, наприклад, акти категоріювання і обстеження АС, інструкції персоналу, модель загроз може включатися до акта обстеження або до технічного завдання тощо. Інструкція системного адміністратора розробляється у разі визначення в АС відповідної ролі, а акт за результатами дослідної експлуатації готується у разі проведення відповідного етапу робіт.

 

3. Виконано такі роботи зі створення КСЗІ

1. Наказом (реєстраційний номер, дата підписання) керівника (назва установи) утворено (призначено) службу захисту інформації в АС (відповідальних осіб за організацію захисту інформації в АС).

2. Наказом (реєстраційний номер, дата підписання) керівника (назва установи) визначено співробітників установи, допущених до роботи в АС.

3. Підготовлено розпорядчі документи про створення комісій (робочих органів) для проведення категоріювання об’єкта, обстеження АC, проведення випробувань, виконання інших робіт.

4. Розроблено проектну та експлуатаційну документацію згідно з п.2 цього Акта.

5. Перевірено відповідність формуляра встановленому програмному та апаратному забезпеченню.

6. Упроваджено організаційні заходи захисту відповідно до пункту … Плану захисту інформації в АС.

7. Перевірено, що комплекс засобів захисту інформації за своїми можливостями відповідає вимогам технічного завдання на створення КСЗІ, проектна і експлуатаційна документація враховує особливості комплексу засобів захисту інформації.

8. Проведено інсталяцію та налаштування комплексу засобів захисту інформації (перелік засобів) відповідно до вимог експлуатаційної документації (перелік), технічного завдання на створення КСЗІ, техно-робочого проекту КСЗІ, розпорядчих документів (перелік).

9. Користувачі, адміністратори, обслуговуючий персонал АС ознайомлені з експлуатаційною документацією КСЗІ та регламентом роботи АС під розпис (від ______  рег. №____).

Висновки:

За результатами виконаних робіт КСЗІ комплексна система захисту інформації автоматизованої системи (назва АС, найменування установи-власника) здатна забезпечувати захист інформації відповідно до нормативних документів з технічного захисту інформації в обсязі вимог, зазначених у технічному завданні на створення КСЗІ.

Керівник комісії: (підпис)

Члени комісії: (підписи)

 

Усі графи декларації мають бути заповнені.

До декларації вносяться відомості про повну назву установи-власника (розпорядника) ІТС, посаду, прізвище, ім’я та по батькові особи, що підписує декларацію (керівника установи), повну назву ІТС, в якій декларується створення і впровадження КСЗІ.

До декларації вноситься перелік назв з реєстраційними атрибутами розпорядчих, проектних і експлуатаційних документів (накази про призначення і виконання певних робіт, технічне завдання на створення КСЗІ, технічний чи техно-робочий проект КСЗІ, опис КСЗІ, модель загроз для інформації, інструкції з експлуатації для адміністратора та користувача ІТС, інструкції з налаштування засобів захисту інформації тощо).

У графі “вид інформації за порядком доступу” вказується один або декілька видів інформації, які обробляються в ІТС (відкрита, конфіденційна, службова, персональні дані, інший вид інформації, вимога щодо захисту якої встановлена законом).

У графах з даними технічного завдання, проектних та експлуатаційних документів вказуються їх повні назви, реєстраційні атрибути, а також умовні позначення згідно з державним стандартом ГОСТ 34.201-89 “Виды, комплектность и обозначение документов при создании автоматизированных систем” (у разі наявності).

Якщо документ потребує погодження з уповноваженим органом, зазначається назва органу, дата погодження, прізвище посадової особи, що його погодила.

У загальному випадку для визначення переліку необхідної документації, яка розробляється під час проектування, розроблення та впровадження КСЗІ, рекомендується користуватися додатком А до НД ТЗІ 2.6-001-11 “Порядок  проведення робіт з державної експертизи засобів захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах”, затвердженого наказом Адміністрації Держспецзв’язку від 25 березня 2011 року № 65.

Перелік документів, зазначених у декларації, повинен узгоджуватися з переліком у пункті 2 акта завершення робіт зі створення комплексної системи захисту інформації в автоматизованій системі.

 

Має бути документально підтверджено виконання обов’язкових вимог, установлених Правилами забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, а також дотримання критерію, встановленого пунктом 1.6 Положення, щодо використання засобів захисту інформації, які мають чинний сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації.

Для реалізації загальних вимог до захисту інформації в залежності від виду інформації за порядком доступу (пункти 5 – 9, 11, 12, 15 Правил та пункт 16 щодо складу КСЗІ в частині забезпечення захисту несанкціонованого доступу) з урахуванням вимог пункту 1.6 Положення необхідно впровадження комплексу засобів захисту з функціями розмежування доступу, який має підтвердження відповідності. Використання відповідного засобу розмежування доступу (наприклад, сервіси безпеки Windows XP SP 2, комплекс засобів захисту інформації від несанкціонованого доступу системи захисту інформації ЛОЗА-2 версія 3.Х.Y, комплекс засобів захисту інформації від несанкціонованого доступу „Гриф-ХР” версій 1.ХХ тощо), який має чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації, документально підтверджується відповідним записом у формулярі АС (вказати номер і дату експертного висновку, заводський номер і дату виготовлення впровадженого зразка засобу). Якщо у складі КСЗІ використовується засіб, термін дії експертного висновку якого закінчився, то необхідно додатково до запису у формулярі надати документ, який підтверджує легітимність засобу на момент його купівлі. 

Для реалізації вимог пункту 16 Правил в частині захисту інформації від негативного впливу комп’ютерних вірусів достатньо впровадження антивірусних програм, які мають підтвердження відповідності. Формуляр повинен містити відповідний запис. Застосування антивірусних засобів аналогічне тому, що і для засобів розмежування доступу.

Для підтвердження реалізації вимог пункту 18 Правил достатньо вказати реквізити розпорядчого документа установи, згідно з яким утворено службу захисту інформації або призначено відповідальних осіб.

 

Невиконання будь-якої з вимог, установлених Правилами та пунктом 1.6 Положення, незаповнені графи у декларації та формулярі АС, відсутність висновків про позитивні результати впровадження заходів в акті завершення робіт зі створення КСЗІ, невідповідність наданих відомостей у різних документах, недостовірність відомостей є підставою для відмови у реєстрації декларації.

 

Декларація складається власником (розпорядником) АС у двох примірниках (оригінал та копія) і надсилається разом із формуляром АС та актом про завершення робіт зі створення КСЗІ до Адміністрації Держспецзв’язку. Розгляд декларацій здійснюється Департаментом технічного захисту інформації Адміністрації  Держспецзв’язку, яким перевіряється правильність заповнення декларації та дотримання відповідності порядку створення КСЗІ нормативним документам. Якщо декларація відповідає встановленим вимогам оригінал декларації реєструється Адміністрацією Держспецзв’язку, кожен аркуш на звороті візується відповідальним співробітником зазначеного департаменту. Оригінал декларації, формуляр АС та акт завершення робіт зі створення КСЗІ повертається замовнику. Копія декларації залишається в Адміністрації  Держспецзв’язку.

Зареєстрована декларація має таку ж саму правову силу, що і атестат відповідності, є законним документом, що підтверджує відповідність створеної КСЗІ в АС.

Відповідальність за достовірність внесених до декларації відомостей відповідно до статті 16 Закону України “Про підтвердження відповідності” несе подавець декларації.

 

Строк дії декларації не обмежений. Декларація зберігає свою чинність до того часу, доки внесені до неї відомості є достовірними. Зокрема, до втрати достовірності відомостей декларації може призводити модернізація КСЗІ, якщо вносяться зміни, які впливають на політику безпеку інформації. Наприклад, це може бути зміна видів об’єктів захисту, моделі загроз, ролей користувачів, правил розмежування доступу чи обраного для їх реалізації комплексу засобів захисту тощо.  

У цьому разі власник (розпорядник) АС повинен задокументувати виконані роботи, внести відповідні відомості до декларації. Складена декларація надсилається до Адміністрації Держспецзв’язку для реєстрації. Розгляд та реєстрація складеної нової декларації здійснюється у тому ж порядку, що і під час первинної реєстрації. Власник (розпорядник) АС надсилає до Адміністрації Держспецзв’язку разом із складеною новою декларацією акт про завершення робіт зі створення КСЗІ, формуляр АС, оригінал чинної декларації. У супровідному листі вказуються причини подання нової декларації та заявляється необхідність скасування реєстрації чинної декларації.

Оригінал скасованої декларації повертається подавцю з відміткою “Скасовано”, номером та датою рішення про скасування.

 

Адміністрація Держспецзв’язку має право перевіряти дотримання вимог з технічного захисту інформації під час експлуатації АС, КСЗІ яких мають зареєстровані декларації, та у разі виявлення порушень скасовувати їх реєстрацію або зупиняти дію до усунення цих порушень.

 


Держава турбується про тебе

Благодійна фінансова підтримка прикордонникам та членам їх родин  Розробник: Корпорація Софтлайн (Україна)         
© Державна служба спеціального зв'язку та захисту інформації України