Пошук

Розширений пошук
null
Головна » Діяльність » Експертиза » Технічний захист інформації


Порядок створення комплексних систем захисту інформації, проведення експертизи та видачі Експертних висновків і Атестатів відповідності
версія для друку

Порядок створення комплексної системи захисту інформації

Виконавцем робіт із створення комплексної системи захисту інформації (далі - КСЗІ) в інформаційно-телекомунікаційній системі (далі - ІТС) може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації (далі - ТЗІ), необхідність проведення якого визначено технічним завданням на створення КСЗІ.

Для проведення інших видів робіт з ТЗІ, на провадження яких виконавець не має ліцензії (дозволу), залучаються співвиконавці, що мають відповідні ліцензії.

Якщо для створення КСЗІ необхідно провести роботи з криптографічного захисту інформації, виконавець повинен мати ліцензію на провадження виду робіт у сфері криптографічного захисту інформації або залучати співвиконавців, що мають відповідні ліцензії.

Створення КСЗІ в ІТС здійснюється відповідно до нормативного документа системи технічного захисту інформації НД ТЗІ 3.7-003-05 "Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі" на підставі технічного завдання (далі - ТЗ), розробленого згідно з вимогами нормативного документу системи технічного захисту інформації  НД ТЗІ 3.7-001-99 "Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі".

До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:

- витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;

- несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм, використання комп’ютерних вірусів тощо;

- спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.

Для кожної конкретної ІТС склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом автоматизованої системи та умовами її експлуатації.

Для формування загальних вимог до КСЗІ в ІТС здійснюється обґрунтування необхідності її створення на підставі вимог законодавства, що встановлюють обов’язковість забезпечення конфіденційності, цілісності і доступності інформації, та обстеження середовищ функціонування ІТС - обчислювальної системи, фізичного середовища, середовища користувачів, оброблюваної інформації і технології її обробки.

За результатами детального вивчення об’єкта, на якому створюється КСЗІ, уточнення моделі загроз та моделі порушника, результатів аналізу можливості керування ризиками здійснюється вибір основних рішень з протидії всім суттєвим загрозам, формування загальних вимог, правил, обмежень, які регламентують використання захищених технологій обробки інформації в ІТС, окремих заходів і засобів захисту інформації, діяльність користувачів всіх категорій та документальне оформлення політики безпеки.

Технічне завдання на створення КСЗІ може розроблятися для вперше створюваних ІТС, а також під час модернізації вже існуючих ІТС у вигляді окремого розділу ТЗ на створення ІТС, окремого (часткового) ТЗ або доповнення до ТЗ на створення ІТС.

В ТЗ викладаються вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, що забезпечують безпеку інформації в процесі її обробки в обчислювальній системі ІТС, а також вимоги до організаційних, фізичних та інших заходів захисту, що реалізуються поза обчислювальною системою ІТС у доповнення до комплексу програмно-технічних засобів захисту інформації.

Проект КСЗІ розробляється на підставі та у відповідності до ТЗ. Під час розробки проекту КСЗІ обґрунтовуються і приймаються проектні рішення, які дають змогу реалізувати вимоги ТЗ, забезпечити сумісність і взаємодію різних компонентів КСЗІ, а також різних заходів і способів захисту інформації. У результаті створюється комплект робочої та експлуатаційної документації, необхідної для забезпечення тестування, проведення пусконалагоджувальних робіт, випробувань та управління КСЗІ.

Введення КСЗІ в дію включає розробку розпорядчих документів, що регламентують діяльність із забезпечення захисту інформації в ІТС, створення служби захисту інформації, розробку і затвердження Плану захисту інформації, навчання користувачів ІТС всіх категорій (технічного обслуговуючого персоналу, звичайних користувачів та адміністраторів), комплектування КСЗІ засобами захисту інформації, матеріалами, обладнанням, проведення будівельно-монтажних та пусконалагоджувальних робіт, попередніх випробувань та дослідної експлуатації КСЗІ.

Під час попередніх випробувань перевіряються працездатність КСЗІ та відповідність її вимогам ТЗ.

Під час дослідної експлуатації:

- відпрацьовуються технології оброблення інформації, обігу машинних носіїв інформації, керування засобами захисту, розмежування доступу користувачів до ресурсів ІТС та автоматизованого контролю за діями користувачів;

- співробітники служби захисту інформації та користувачі ІТС набувають практичних навичок з використання технічних та програмно-апаратних засобів захисту інформації, засвоюють вимоги організаційних та розпорядчих документів з питань розмежування доступу до технічних засобів та інформаційних ресурсів;

- здійснюється (за необхідністю) доопрацювання програмного забезпечення, додаткове налагоджування та конфігурування комплексу засобів захисту інформації від несанкціонованого доступу;

- здійснюється (за необхідністю) коригування робочої та експлуатаційної документації.

За результатами дослідної експлуатації приймається рішення про готовність КСЗІ в ІТС до представлення на державну експертизу.

 

Порядок проведення експертизи

Для проведення експертизи КСЗІ в ІТС або засобу технічного захисту інформації (далі - засіб ТЗІ) Замовник надсилає заяву встановленої форми на ім’я Голови (заступника Голови) Державної служби спеціального зв’язку та захисту інформації України (Держспецзв’язку) за адресою: 03680, Київ, вул. Солом’янська, 13.

За результатами розгляду заяви у місячний термін приймається рішення про можливість й доцільність проведення експертизи та визначення підрозділу Держспецзв’язку, підприємства, установи або організації, які проводитимуть експертизу (далі - Організатор експертизи),.

Відносини між Замовником і Організатором експертизи регламентуються укладеним між ними договором про проведення експертизи. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. У разі значного обсягу експертних робіт термін проведення експертизи може бути продовжений за згодою Адміністрації Держспецзв’язку та Замовника.

Замовник надає Організатору експертизи комплект організаційно-технічної документації на КСЗІ в ІТС або засіб ТЗІ, необхідний для проведення експертних випробувань.

 Організатор експертизи, за результатами аналізу наданих Замовником документів і з урахуванням загальних методик оцінювання задекларованих характеристик об’єкта експертизи, формує програму і окремі методики проведення експертизи та розробляє, у разі необхідності, порядок відбору зразків засобів ТЗІ для проведення випробувань і відповідне програмно-технічне забезпечення.

Програма проведення експертизи узгоджується із Замовником та Департаментом з питань захисту інформації в інформаційно-телекомунікаційних системах Адміністрації Держспецзв’язку, а окремі методики - з зазначеним департаментом.

Терміни розробки окремих методик та необхідного програмно-технічного забезпечення залежать від характеру та складності об’єкта експертизи і визначаються у договорі на проведення експертизи.

Результати експертних робіт за окремими методиками оформлюються у вигляді протоколу виконання робіт, затвердженого Організатором експертизи.

У разі виявлення невідповідності об’єкта експертизи вимогам нормативних документів з ТЗІ, Організатор експертизи може запропонувати Замовнику виконати доробку КСЗІ в ІТС або засобу ТЗІ. Терміни доробки визначається спільним протоколом або додатковою угодою до договору між Замовником та Організатором експертизи.

Відомості щодо всіх доробок, а також результати додаткових експертних робіт оформлюються окремими протоколами.

За результатами проведених робіт Організатор експертизи складає експертний висновок щодо відповідності КСЗІ в ІТС або засобу ТЗІ вимогам нормативних документів з ТЗІ і разом з протоколом виконання робіт з подає до Адміністрації Держспецзв’язку.

У разі наявності у Замовника обґрунтованих претензій щодо порядку проведення або результатів експертизи, він може звернутися до Адміністрації Держспецзв’язку з пропозицією щодо здійснення контролю за проведенням Організатором експертизи експертних робіт.

 

Порядок видачі Експертних висновків і Атестатів відповідності

Експертний висновок на засіб ТЗІ реєструється та видається Замовнику у разі затвердження результатів експертизи.

Зареєстрований Атестат відповідності за підписом Голови (заступника Голови) Держспецзв’язку видається Замовнику на підставі позитивного рішення щодо експертизи КСЗІ в ІТС.

Видача Замовникам зареєстрованих Експертних висновків про відповідність засобів технічного захисту інформації вимогам нормативних документів з ТЗІ та Атестатів відповідності комплексних систем захисту інформації в інформаційно-телекомунікаційних системах вимогам нормативних документів з ТЗІ здійснюється безоплатно.

Структурний підрозділ Адміністрації Держспецзв’язку, на який покладені функції з організації робіт щодо проведення державної експертизи у сфері ТЗІ, реєстрації та видачі Експертних висновків про відповідність засобів ТЗІ вимогам нормативних документів з ТЗІ і Атестатів відповідності КСЗІ в ІТС вимогам нормативних документів з ТЗІ, розташований за адресою: м. Київ, вул. Максима Залізняка. 6, відповідальна посадова особа – Васильєв Юрій Костянтинович, телефон – 451-95-78, розпорядок роботи – понеділок, вівторок, середа, четвер  з 9.00 до 18.00 , п’ятниця з 9.00 до 16.45, субота, неділя – вихідний, перерва на обід з 13.00 до 13.45 (за виключенням державних свят)




Весь контент доступний за ліцензією Creative Commons Attribution 4.0 International license, якщо не зазначено інше.


  Розробник: Корпорація Софтлайн (Україна)         
© Державна служба спеціального зв'язку та захисту інформації України