МАТЕРІАЛИ ДОПОВІДЕЙ
на семінарі “Захист інформації в інформаційно-телекомунікаційних системах
та на об'єктах інформаційної діяльності”
СИСТЕМА ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ В УКРАЇНІ:
СТАН ТА НАПРЯМКИ РОЗВИТКУ
Степанов Володимир Дмитрович,
начальник Головного управління технічного захисту інформації
ДСТСЗІ СБ України, конт. тел. 489-49-25
На сучасному етапі серед основних реальних та потенційних загроз національній безпеці України в інформаційній сфері є розголошення інформації, яка становить державну та іншу, передбачену законом, таємницю, а також конфіденційної інформації, що є власністю держави або спрямована на забезпечення потреб та національних інтересів суспільства і держави.
Серед загроз, які можуть призвести до розголошення інформації, за своїми небезпечними наслідками особливе місце займають несанкціонований доступ до інформації, яка обробляється та циркулює на об’єктах інформаційної діяльності та в інформаційно-телекомунікаційних системах, а також витік інформації технічними каналами.
Саме з метою протидії зазначеним загрозам в Україні створена та функціонує система технічного захисту інформації, яка дозволяє вирішувати практично весь комплекс завдань з технічного захисту інформації на об’єктах інформаційної діяльності та в інформаційно-телекомунікаційних системах державних органів, підприємств, установ та організацій.
Система являє собою сукупність організаційних структур, поєднаних цілями і завданнями захисту інформації, нормативно-правової та матеріально-технічної бази і спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації.
Функції органу державного управління у сфері технічного захисту інформації виконує Департамент спеціальних систем та захисту інформації Служби безпеки України, який реалізує державну політику, здійснює управління захистом інформації в інформаційно-телекомунікаційних системах та на об’єктах інформаційної діяльності, а також державний контроль за функціонуванням системи технічного захисту інформації.
На відомчому рівні в центральних органах

чотирма навчальними центрами. Забезпечується розроблення методичних основ науково обґрунтованої системи підготовки спеціалістів захисту інформації.
Важливе місце в системі технічного захисту інформації відіграє державний контроль за її функціонуванням, який здійснюється Інспекцією Департаменту шляхом проведення контрольно-інспекторських перевірок виконання вимог нормативно-правових актів у сфері технічного захисту інформації.
Значна увага приділяється проведенню аналізу стану технічного захисту інформації.
Серед напрямків підвищення ефективності технічного захисту інформації в державних органах Департаментом вбачається:
- створення дієво здатних підрозділів технічного захисту інформації та укомплектування їх фахівцями з відповідною підготовкою;
- розробка та впровадження відомчих нормативно-правових актів з питань технічного захисту інформації;
- визначення доцільності отримання дозволу на право провадження робіт з технічного захисту інформації для власних потреб залежно від обсягів робіт з захисту інформації та економічної доцільності;
- розробка органами, які мають дозвіл на право провадження робіт з технічного захисту інформації для власних потреб, та погодження з Департаментом документів, які дозволяють оптимізувати проведення робіт з захисту інформації в інформаційно-телекомунікаційних системах, в тому числі роботи з оцінки захищеності інформації.
Сьогодні серед основних робіт, які проводяться та супроводжуються Департаментом для забезпечення подальшого розвитку системи технічного захисту інформації, можна відзначити роботи з:
- визначення шляхів упорядкування та оптимізації заходів щодо створення, експертизи та впровадження в експлуатацію інформаційно-телекомунікаційних систем державних органів та установ, в першу чергу, призначених для обробки секретної інформації;
- підвищення безпеки вітчизняних інформаційних ресурсів шляхом розроблення та впровадження в автоматизованих системах державних органів та установ вітчизняної захищеної операційної системи;
- розробки сучасних нормативних документів з питань захисту інформації від витоку технічними каналами, створення та впровадження комплексів технічного захисту інформації на об’єктах інформаційної діяльності”.
ПОРЯДОК СТВОРЕННЯ КОМПЛЕКСІВ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
НА ОБ'ЄКТАХ ІНФОРМАЦІЙНОЇ ДІЯЛЬНОСТІ
Богуславський Роман Георгійович,
ДСТСЗІ СБ України, конт. тел. 489-44-00
Технічний захист інформації (ТЗІ) є невід'ємною складовою частиною системи забезпечення національної безпеки України в інформаційній сфері і представлений як діяльність, що спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступносты інформації в інформаційно-телекомунікаційних, інформаційних, телекомунікаційних, автоматизованих системах і на об'єктах інформаційної діяльності.
Економічно обґрунтовані комплекси і системи захисту інформації будуються адекватно загрозам її безпеки, що описуються у відповідних моделях.
На конкретних об’єктах інформаційної діяльності (ОІД) створюються комплекси ТЗІ - комплекси захисту інформації з обмеженим доступом (ІзОД) від витоку по технічних каналах.
При створенні комплексів ТЗІ досліджуються й аналізуються елементи ОІД, що можуть впливати на показники ефективності ТЗІ.
Суб’єктами створення комплексу захисту можуть бути:
- установа, яка є замовником створення комплексу захисту (далі - замовник або установа-замовник);
- структурний підрозділ установи, що обґрунтовує необхідність і заявляє створення комплексу захисту (далі – заявник);
- фахівець (фахівці), підрозділ, якому доручено організацію і супроводження робіт з ТЗІ в установі;
- суб'єкти господарської діяльності, що мають відповідні ліцензії на провадження діяльності у галузі ТЗІ.
1. Підготовчі роботи
Для підготовки пропозицій щодо організації проведення (в межах певної споруди) робіт із створення комплексу захисту (робіт з ТЗІ) заявник готує дані про необхідність використання в інформаційній діяльності ІзОД та її перелік. При цьому повинні бути враховані інформаційні потоки, технологічні та виробничі особливості, вимоги документів, що містять затверджені (рекомендовані) зведені (розгорнуті) відомості, які за режимом доступу віднесені до ІзОД. Також описується інженерно-технічна споруда, де буде створюватися комплекс (приналежність, склад, дислокація, архітектурно-будівельні границі і т.п.).
Основою для створення комплексу захисту є рішення керівника установи-замовника щодо:
- надання споруді, де планується це створення, статусу ОІД, та призначення відповідальної особи для організації, супроводження та координації робіт на всіх етапах цього створення;
- обов'язкового оформлення результатів створення комплексу згідно з встановленим порядком;
- затвердження програми для проведення обстеження ОІД (відповідно до п.4.2 ДСТУ 3396.1) та термінів виконання інших робіт з ТЗІ.
При цьому враховуються:
- пропозиції від заявників щодо організації створення комплексів захисту;
- відомості про діючі ОІД та створені в установі комплекси захисту;
- перспективу подальших робіт з ТЗІ в установі;
- технічні та економічні можливості установи щодо впровадження інженерно-технічних заходів з ТЗІ.
Зміст програми обстеження (перелік і обсяги робіт, терміни їхнього виконання, виконавці, співвиконавці обстеження) залежить від технічного стану спорудження і від того діюче (існуюче) воно чи заново будується (дані про стан спорудження, що заново будується, готує проектна організація цього будівництва).
2. Основні положення
Створення комплексів ТЗІ це:
1. Процес, пов'язаний з вивченням, дослідженням, конструктивними змінами і т.п. об'єкта, його елементів, оточення, що можуть бути можливим середовищем поширення носіїв ІзОД (складові частини технічних каналів витоку інформації).
2. Збір вихідних даних та оформлення (узгодження й затвердження) необхідних документів:
- протоколів, актів досліджень, вимірів технічних засобів, розпоряджень на експлуатацію технічних засобів, призначених для оброблення ІзОД;
- переліку загроз для безпеки ІзОД (модель загроз);
- результатів категорування на ОІД;
- технічних завдань на розробку і впровадження заходів для ТЗІ і т.п.
3. Прийняття рішень з ТЗІ, їх реалізація й оформлення (узгодження чи затвердження) необхідної документації, а саме:
- техніко-економічних обґрунтувань (ТЕО), проектно-кошторисної, робочої, конструкторської, іншої документації;
- програми і методики приймальних і атестаційних випробувань;
- протоколів випробувань;
- актів приймання й атестації комплексу.
4. Оформлення документації для введення в експлуатацію ОІД з урахуванням вимог з ТЗІ:
- технічного паспорта на комплекс ТЗІ і паспорта на кожне приміщення ОІД;
- наказів, розпоряджень (на підставі позитивних результатів атестації), що дозволяють обробляти чи озвучувати, працювати з ІзОД (для АС готують окремі дозвільні документи).
На ОІД досліджують складові комплексу, що можуть впливати на ефективність захищеності ІзОД і бути середовищем поширення носіїв ІзОД за межу контрольованої зони.
Складовими комплексу захисту на ОІД можуть бути розміщені на ньому засоби оброблення ІзОД, засоби ТЗІ, інженерні комунікації, обладнання, системи зв’язку, радіофікації, телебачення, сигналізації, автоматизації, керування, заземлення, електро-, газо-, водопостачання (холодного, гарячого), опалення, вентиляції, кондиціонування повітря, водостоку, каналізації, технологічне обладнання, огороджувальні будівельні конструкції, світлопроникнені отвори приміщень, будинків, споруд, салонів транспортних засобів тощо.
Створення комплексу ТЗІ здійснюється як під час нового будівництва, так і при розширенні, реконструкції, капітальному ремонті, пристосуванні інженерно-технічної споруди, де передбачається здійснювати діяльність, пов'язану з використанням ІзОД (далі – будівництво ОІД), у т.ч. під час створення АС.
При будівництві ОІД повинні бути впроваджені відповідні організаційні та інженерно-технічні заходи для таких видів ІзОД:
- мовної ІзОД, яка озвучується в приміщеннях ОІД, де можливе проведення нарад, показів із звуковим супроводженням кіно- і відеофільмів тощо, а також у приміщеннях, де встановлені кінцеві пристрої систем спеціального зв’язку, засоби обчислювальної техніки тощо;
- ІзОД, яка обробляється на ОІД технічними засобами (формування, збирання, введення, записування, накопичення, підсилення, перетворення, відтворення, зчитування, зберігання, копіювання, множення, знищення, реєстрація, приймання, отримання, передавання, відображення тощо);
- виробничої ІзОД, що має місце при виробництві й експлуатації продукції спеціального призначення.
Організаційні та інженерно-технічні заходи, що застосовуються при створенні комплексу захисту на ОІД, повинні відповідати вимогам нормативних документів з питань ТЗІ та містять:
- архітектурно-будівельні заходи захисту;
- інженерно-технічні заходи пасивного захисту інформації (оптичне, акустичне, електромагнітне, радіаційне екранування, технічні засоби із захистом, спеціальні засоби захисту інформації в телефонних та інших проводових лініях тощо);
- технічні заходи активного захисту інформації (генератори віброакустичного, просторового акустичного та електромагнітного зашумлення, лінійного електромагнітного зашумлення).
Як правило, в технічних рішеннях при створенні комплексу захисту на ОІД перевага повинна надаватися заходам пасивного захисту інформації.
Засоби забезпечення ТЗІ загального призначення застосовують у складі комплексу на ОІД державних органів за наявності сертифіката відповідності системи УкрСЕПРО вимогам нормативних документів з питань ТЗІ чи позитивного експертного висновка державної експертизи у сфері ТЗІ. Застосування імпортних засобів можливо лише за умови відсутності вітчизняних аналогів, за наявності відповідних техніко-економічних обґрунтувань і у випадку їх сертифікації чи одержання позитивного експертного висновка.
3. Етапи створення комплексу ТЗІ на ОІД
Створення комплексу ТЗІ на ОІД включає такі основні етапи:
1 – передпроектні роботи;
2 – розроблення та впровадження заходів з ТЗІ;
3 – випробування комплексів захисту.
3.1. На етапі виконання передпроектних робіт (1 етап):
організовують проведення обстеження ОІД;
організовують оформлення моделі загроз для ІзОД;
розробляють завдання на виконання робіт зі створення комплексу;
готують звіт про виконання передпроектних робіт;
розробляють технічні вимоги із захисту ІзОД чи ТЗ на виконання робіт зі створення комплексу.
У ході обстеження необхідно:
- провести аналіз умов функціонування ОІД, його розташування на підприємстві, в організації, дослідити інформаційні потоки і технологічні процеси обробки інформації, об'єкти захисту;
- дослідити засоби забезпечення інформаційної діяльності, комунікації яких мають вихід за межі контрольованої зони (КЗ);
- провести аналіз схем засобів і систем життєзабезпечення ОІД (електроживлення, заземлення, пожежна й охоронна сигналізація і т.д.), а також інженерних комунікацій і металоконструкцій;
- визначити наявність і технічний стан засобів забезпечення ТЗІ;
- виявити наявність транзитних, незадіяних комунікацій, заставних пристроїв в архітектурно-будівельних конструкціях, що можуть створювати технічні канали витоку інформації;
- визначити технічні засоби і системи, застосування яких не обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтажу;
- провести аналіз зведень, приведених в організаційних, проектних, інших документах, розроблених у частині ТЗІ для існуючих об'єктів.
Звіт про виконання передпроектних робіт може містити:
а) результати обстеження ОІД, оформлення моделі загроз, розробки завдань (технічних вимог);
б) час і умови проведення категорування на ОІД, а саме встановлення категорій для кожного приміщення, де озвучується мовна ІзОД, кожного об'єкта обробки ІзОД технічними засобами і для інших об'єктів (порядок проведення категорування встановлюється діючими НД з питань ТЗІ);
в) обґрунтування необхідності:
- застосування інженерно-технічних заходів захисту (у т.ч. застосування засобів обробка ІзОД у захищеному виконанні);
- залучення до виконання робіт суб'єктів господарської діяльності в галузі ТЗІ, проектно-дослідних, будівельно-монтажних організацій;
- розробка проектно-кошторисної документації в частині ТЗІ;
г) пропозиції про порядок подальшого виконання робіт зі створення комплексу, їхній склад, обсяг, виконавців і т.п.
Під час підготовки звіту та прийняття рішень повинні бути враховані фінансові можливості замовника, особливості, обсяг і характер інформаційної (виробничої) діяльності, результати аналізу можливості здійснення загроз, співвідношення витрат на захист і наслідків здійснення загроз і т.п.
Для комплексу ТЗІ, що буде створюватися під час нового будівництва, реконструкції інженерно-технічної споруди, повинно бути розроблено:
- технічне завдання (ТЗ) на виконання робіт зі створення комплексу на ОІД, а також, у разі потреби, завдання на проектування заходів захисту відповідно до вимог ДБН А.2.2-2;
- проектно-кошторисну документацію в частині ТЗІ відповідно до вимог ДБН.
Для особливо важливих ОІД ТЗ і результати атестації комплексу узгоджуються з Департаментом спеціальних телекомунікаційних систем і захисту інформації СБ України.
3.2. На етапі розробки і впровадження заходів щодо ТЗІ (2 етап):
Розробляється “План заходів щодо захисту ІзОД на ОІД”.
У "Плані заходів..." повинно бути зазначено:
- роботи зі створення комплексу, перелік, зміст, терміни виконання, відповідальні, головні виконавці цих робіт;
- перелік технічної документації, яку необхідно розробити (у т.ч. програма і методики іспитів, технічний паспорт на комплекс;
- терміни придбання (закупівлі) технічних засобів забезпечення ТЗІ, іншого устаткування.
Відповідно до затвердженого "Планом заходів..." чи з проектними рішеннями замовник організовує:
- придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого устаткування;
- впровадження на ОІД заходів з ТЗІ;
- здійснення (у разі потреби) відповідних будівельних і монтажних робіт та післяопераційного технічного контролю їх виконання.
3.3. На етапі випробування комплексів ТЗІ (3 етап):
Комісія, що створює замовник здійснює приймання комплексу, а виконавець відповідно до затвердженої програми і методик іспитів проводить атестацію комплексу. При цьому аналізують і враховують вимоги акта категорування.
Приймання комплексу може бути об’єднане з його атестацією. Атестацію комплексу здійснюють тільки ті виконавці робіт, що мають відповідну ліцензію чи дозвіл на проведення робіт з ТЗІ. Протоколи й акт атестації комплексу також враховуються при проведенні державної експертизи КСЗІ в АС.
Після завершення атестації комплексу оформляється технічний паспорт на комплекс ТЗІ і готується наказ (розпорядження) керівника установи щодо готовності ОІД до озвучення та (або) оброблення ІзОД технічними засобами (крім оброблення ІзОД в АС: дозвіл на обробку ІзОД в АС готується за результатами проведення державної експертизи КСЗІ в АС).
ПОРЯДОК ПРОВЕДЕННЯ ПЕРЕДПРОЕКТНИХ ДОСЛІДЖЕНЬ НА
ОБ’ЄКТІ ІНФОРМАЦІЙНОЇ ДІЯЛЬНОСТІ
Биков Сергій Віталійович,
ДСТСЗІ СБ України, конт. тел. 483-97-99
1. Нормативно-методичне забезпечення проведення обстеження на об’єкті інформаційної діяльності
Першочерговим завдання забезпечення належного рівня захисту інформації з обмеженим доступом (ІзОД), що циркулює на об’єкті інформаційної діяльності (ОІД) установи, є здійснення робіт зі створення комплексу захисту, під якими розуміється сукупність організаційних та інженерно-технічних заходів, які мають забезпечувати захист ІзОД від витоку технічними каналами та (або) від спеціального впливу.
Найбільш інформативним та важливішим з точки зору обґрунтування подальших робіт зі створення комплексу захисту є етап обстеження на ОІД.
На даний час нормативно-методичну основу робіт з обстеження на ОІД складає декілька нормативних документів системи ТЗІ другого класу нормативно-правової бази:
- ДСТУ 3396.1-96 “Технічний захист інформації. Порядок проведення робіт”;
- ДБН А.2.2-2-96 “Технічний захист інформації. Загальні вимоги до організації проектування і проектної документації для будівництва”;
- ДБН А.2.2.3-2004 „Склад, порядок розроблення, погодження та затвердження проектної документації для будівництва”.
Розвитком нормативного забезпечення з питань побудови комплексу захисту на ОІД, й, у тому числі, проведення обстеження, є розроблення та введення в дію двох базових НД ТЗІ:
- НД ТЗІ “Технічний захист інформації на об’єкті інформаційної діяльності. Створення комплексу захисту. Основні положення”.
- НД ТЗІ “Технічний захист інформації на об’єкті інформаційної діяльності. Створення комплексу захисту. Передпроектні роботи”.
2. Зміст та порядок обстеження на об’єкті інформаційної діяльності
Під час обстеження:
проводиться аналіз умов функціонування ОІД, його особливостей розташування на місцевості, розташування відносно меж контрольованої зони, інших приміщень установи та інших архітектурно-будівельних особливостей;
досліджуються передбачувані потоки ІзОД (з визначенням ступеня обмеження доступу до неї), процеси пов’язані з одержанням, використанням, поширенням, зберіганням інформації, технологічні процеси, види, характеристики ІзОД, для якої повинні бути впроваджені відповідні організаційні та інженерно-технічні заходи захисту від витоку технічними каналами;
визначаються приміщення, де здійснюватиметься інформаційна діяльність, пов’язана з ІзОД;
вивчаються характеристики технічних засобів, що оброблятимуть ІзОД, та технічних засобів, які не використовуються безпосередньо для її оброблення, визначаються місця їх розташування на ОІД;
визначається можливість створення технічних каналів витоку ІзОД, що циркулюватиме на ОІД, інших загроз;
проводиться аналіз інженерних комунікацій, якими ОІД, з розташованими на ньому системами та засобами, буде пов’язаний із зовнішніми (для ОІД) засобами та системами (в тому числі лінії заземлення), окремо виявляються такі комунікації та металоконструкції, що виходитимуть за межі контрольованої зони;
виявляються транзитні, в тому числі незадіяні (повітряні, зовнішні та підземні) інженерні комунікації, що перетинатимуть простір ОІД і які були прокладені до створення ОІД (для опрацювання рекомендацій щодо вилучення чи доопрацювання);
уточнюються результати обстеження на ОІД шляхом проведення (за необхідності) інструментальних досліджень технічних засобів обробки інформації, інших технічних засобів, комунікацій, при цьому орієнтуються на затверджену по установі межу контрольованої зони;
аналізується перелік засобів загального призначення з метою визначення можливості застосування таких технічних засобів, які мають властивості захисту інформації від витоку визначеними технічними каналами (засоби із захистом), а також засобів, що мають сертифікати відповідності системи УкрСЕПРО вимогам нормативних документів з питань ТЗІ або позитивні експертні висновки державної експертизи у сфері ТЗІ.
3. Напрямки оптимізації робіт з обстеження на об’єкті інформаційної діяльності
На сьогодні можливо виділити декілька напрямків оптимізації робіт з обстеження на ОІД установи:
1. Застосування типового опитувача, який дозволяє значно скоротити час на проведення обстеження та забезпечити повноту цього обстеження.
Набутий позитивний досвід супроводження обстеження на ОІД державних органів та побудови моделей загроз на цих ОІД свідчить, що для ефективного дослідження ОІД та визначення повного переліку можливих технічних каналів витоку інформації доцільно розробити та застосовувати типові опитувачі або стандартні анкети опитування.
При цьому типовий опитувач (анкета) повинен містити перелік питань або положень, які дозволяють провести повний факторний аналіз ОІД і в подальшому застосувати експертні методи для отримання кількісних оцінок. Зміст опитувача для різних типів об’єктів може відрізнятися, але всі ОІД установи мають кінцевий набір ознак, аналіз яких дозволяє провести повний аналіз фактично будь-якого об’єкта. Тому застосування типового опитувача для проведення робіт з обстеження об’єкта у багатьох випадках є актуальним, передусім у випадках, коли мова йде про необхідність обстеження значної кількості однотипних ОІД установи, або необхідністю періодичного (планового) обстеження одного й того ж ОІД, пов’язаного зі зміною умов функціонування.
2. Складання та затвердження програми обстеження на ОІД, яка повинна містити:
- повну назву установи-замовника та структурних підрозділів-заявників створення комплексу захисту;
- позначення ОІД;
- підстави для проведення обстеження (рішення керівника установи про проведення робіт із створення комплексу захисту);
- перелік, обсяги робіт, терміни їх виконання;
- найменування підрозділів, виконавців, співвиконавців обстеження.
При цьому до складу комісії, яка проводитиме обстеження, включають фахівців з ТЗІ, організації безпеки інформації в установі та інших посадових осіб на розсуд керівника установи.
3. Застосування експертних систем та інших спеціалізованих програмних засобів, які дозволяють забезпечити автоматизацію процесу дослідження будь-якого ОІД, оцінити можливі загрози ІзОД від витоку технічними каналами та видати обґрунтовані рекомендації із захисту.
4. Орієнтовний зміст акта обстеження
Акт обстеження розробляється для кожного ОІД, який проектується, планується для введення в експлуатацію, експлуатується чи модернізується, силами призначеної наказом керівника установи комісії, до складу якої повинні входити фахівці штатного (позаштатного) підрозділу ТЗІ або відповідальні співробітники, а також представники інженерно-експлуатаційних служб установи. За необхідності, для розроблення Акта обстеження можуть залучатися інші компетентні у сфері ТЗІ спеціалісти організації.
За рішенням керівника установи для проведення обстеження та розроблення Акта обстеження також можуть залучатися суб’єкти господарювання, які мають ліцензію ДСТСЗІ СБ України на провадження відповідних видів робіт у сфері ТЗІ.
Розроблення Акта обстеження здійснюється після закінчення всіх робіт з обстеження ОІД відповідно до вимог розділу 4 ДСТУ 3396.1. Результати обстеження враховуються при побудові моделі загроз для ІзОД, що циркулює на ОІД, від витоку технічними каналами.
Під час розроблення Акта обстеження слід вживати терміни, визначення, позначення та скорочення, які встановлені чинними нормативними документами.
Вихідними даними для розроблення Акта обстеження ОІД установи є:
 матеріали (акти) попередніх обстежень;
 матеріали попередніх інструментальних перевірок ОІД на наявність технічних каналів витоку інформації (наявність таких матеріалів дозволить оптимізувати подальші роботи на ОІД та скоротити матеріальні витрати на заходи з проектування комплексу);
 генеральний та ситуаційний плани об’єкта (у разі відсутності цих планів в установі вони розробляються під час проведення обстеження із залученням інженерно-експлуатаційних служб установи);
 план-схема контрольованої зони ОІД та оточуючих забудов;
 інженерно-будівельна, проектна документація на ОІД та комплекси (засоби) захисту інформації на ньому;
 матеріали (акти) щодо перевірок, вимірів і контролю за станом систем заземлення та електроживлення;
 результати роботи комісії з обстеження ОІД: результати візуального обстеження місця розташування приміщень та оточення ОІД, інженерного аналізу комунікацій (трас проходження систем електроживлення та заземлення, ліній зв’язку, систем життєзабезпечення тощо), конструкцій та інтер’єру приміщень ОІД щодо можливості утворення технічних каналів витоку інформації тощо.
 перелік нормативних документів системи ТЗІ, наявних в установі для нормативно-методичного забезпечення заходів захисту на ОІД.
Акт обстеження на ОІД затверджує керівник установи-замовника.
За необхідності до акта обстеження долучають висновок щодо отримання даних про можливі місця розміщення засобів технічної розвідки (стаціонарних або автономних автоматичних), що можуть використовуватися для організації тривалого перехоплення ІзОД, а також висновок щодо необхідності розроблення нової або уточнення затвердженої в установі моделі загроз для ІзОД.
РЕКОМЕНДАЦІЇ ЩОДО РОЗРОБЛЕННЯ ТЕХНІЧНОГО ЗАВДАННЯ НА ВИКОНАННЯ РОБІТ
ІЗ СТВОРЕННЯ КОМПЛЕКСУ ЗАХИСТУ НА ОБ’ЄКТІ ІНФОРМАЦІЙНОЇ ДІЯЛЬНОСТІ
Скринник Микола Миколайович,
ДСТСЗІ СБ України, конт. тел. 483-97-99
1. Зміст технічного завдання
Роботи з розроблення технічного завдання здійснюються після проведення обстеження та формування моделі загроз для інформації на об’єкті інформаційної діяльності (ОІД).
Технічне завдання (ТЗ) на виконання робіт зі створення комплексу захисту на ОІД може містити такі розділи і підрозділи:
1) Загальні відомості:
- короткий опис об’єкта інформаційної діяльності;
- підстави для виконання робіт;
- мета проведення робіт та головні завдання;
- замовник;
- виконавці робіт;
- терміни виконання робіт.
2) Вихідні дані для виконання робіт.
3) Технічні вимоги до комплексу захисту:
- загальні вимоги;
- вимоги щодо стійкості до зовнішніх впливів;
- вимоги з безпеки експлуатації;
- вимоги до метрологічного забезпечення;
- вимоги щодо забезпечення охорони державної таємниці;
- вимоги щодо технічного забезпечення виконання робіт;
- вимоги щодо забезпечення безпеки при виконанні робіт;
- інші вимоги.
4) Вимоги до документації.
5) Етапи виконання робіт та порядок їх приймання.
Під час оформлення ТЗ залежно від складності, призначення та особливостей комплексу захисту допускається уточнювати зміст його розділів, підрозділів, оформляти їх у вигляді додатків, вводити нові, виключати чи об’єднувати розділи, підрозділи.
2. Пропозиції щодо формування змісту розділів і підрозділів ТЗ
2.1. У розділі “Загальні відомості” вказуються позначення, призначення, дислокація ОІД (інженерно-технічна споруда, її частина або декілька споруд), де здійснюється адміністративна, фінансово-економічна, науково-технічна та інша виробнича діяльність, що пов’язана з інформацією з обмеженим доступом (ІзОД).
Метою проведення робіт є розроблення і впровадження комплексу захисту на ОІД, при цьому завданнями можуть бути:
- проведення інструментальних досліджень;
- вибір і обґрунтування технічних рішень (заходів) з ТЗІ;
- розроблення проектно-кошторисної документації;
- впровадження заходів і приймання робіт з ТЗІ;
- атестація комплексу захисту.
Виконавці робіт - це установи, організації, підприємства, що мають відповідні ліцензії на провадження господарської діяльності у галузі ТЗІ, дозвіл на здійснення діяльності, пов'язаної з державною таємницею, відповідні виробничі ліцензії і дозволи на виконання проектних, будівельних і монтажних робіт.
2.2. Вихідні дані для виконання робіт
Вихідними даними для розроблення і впровадження комплексу захисту можуть бути:
1) Матеріали обстеження ОІД:
- перелік технічних засобів, що обробляють ІзОД, інших технічних засобів;
- види ІзОД, що підлягає технічному захисту (мовна ІзОД, інформація, що обробляється технічними засобами), грифи обмеження доступу до неї;
- дані про генеральний та ситуаційний плани;
- архітектурно-будівельні дані, дані про схеми систем опалення, вентиляції, електроживлення, інших систем життєзабезпечення, елементи інтер’єру, комунікації, в т.ч. що виходять за межі контрольованої зони (КЗ);
2) Витяг із приписів на експлуатацію технічних засобів, що оброблятимуть ІзОД.
3) Витяг із затвердженої моделі загроз для ІзОД, в т.ч. що стосується даних про можливі місця розміщення засобів технічної розвідки (стаціонарних або автономних автоматичних), що можуть використовуватися для організації тривалого перехоплення оброблюваної ІзОД, а також найменших відстаней від технічних засобів, що оброблятимуть ІзОД, до межі контрольованої зони (КЗ), можливі технічні канали витоку ІзОД тощо.
4) План-схеми або опис затвердженої КЗ.
2.3. Технічні вимоги до комплексу захисту
2.3.1. У розділі “Загальні вимоги” можуть вказуватися такі відомості:
1) Розроблення (проектування) комплексу захисту необхідно виконувати з урахуванням вимог основних нормативно-правових актів і нормативних документів з питань ТЗІ, а також згідно з категоріями приміщень, де озвучується ІзОД, об`єктів оброблення ІзОД технічними засобами та інших об`єктів, порядок яких встановлено нормативними документами з питань ТЗІ.
2) Технічні рішення з ТЗІ повинні реалізовуватися з мінімальними витратами для досягнення необхідного рівня захищеності інформації.
3) Під час розроблення комплексу захисту використовувати:
- засоби із захистом інформації, захищену техніку, засоби ТЗІ в телефонних, інших проводових лініях, інші засоби пасивного захисту інформації;
- засоби активного захисту інформації (генератори віброакустичного, просторового акустичного та електромагнітного зашумлення, генератори лінійного електромагнітного зашумлення).
Засоби захисту застосовуються за наявності сертифіката відповідності вимогам нормативних документів з питань ТЗІ або відповідного експертного висновка. Застосування імпортних засобів можливе лише за умови відсутності вітчизняних аналогів, за наявності відповідних техніко-економічних обґрунтувань та у разі їх сертифікації або одержання позитивного експертного висновка;
4) Комплекс захисту повинен забезпечувати захист інформації з урахуванням функціонування діючих інформаційних систем та засобів життєзабезпечення (вказати конкретні системи):
- систем спеціального зв'язку;
- автоматизованих систем;
- систем відкритого (міського та внутрішнього) телефонного зв'язку;
- радіотрансляційної мережі;
- системи кабельного телебачення;
- систем охоронної і пожежної сигналізації;
- систем електроживлення обладнання, освітлення приміщень, заземлення;
- систем опалення, вентиляції, кондиціювання;
- інших систем і комунікацій життєзабезпечення (за наявності).
5) Контур заземлення повинен розташовуватись у межах КЗ.
6) Для запобігання витоку ІзОД оптичним каналом необхідно передбачити перекриття візуального доступу до ОІД.
7) Для запобігання витоку мовної інформації акустичним та віброакустичним каналами передбачити підвищення звукоізоляції архітектурно-будівельних елементів конструкцій, за необхідності передбачити застосування пристроїв акустичного зашумлення.
8) Для запобігання витоку мовної інформації лазерним акустичним каналом (окрім встановлення оптичних екранів) передбачити, за необхідності, застосування пристроїв зашумлення.
9) Конструкції дверей (тамбурів), вікон, інших огороджувальних будівельних конструкцій приміщень повинні забезпечувати виключення можливості випадкового прослуховування (без застосування технічних засобів розвідки) ІзОД, що озвучується.
10) Передбачити захист ІзОД від витоку каналами побічних електромагнітних випромінювань і наводів.
11) Комунікації, металеві конструкції, що незадіяні для забезпечення функціонування на ОІД, або призначення яких невідомо, повинні бути демонтовані або заземлені.
12) Передбачити в межах ОІД спеціальні ніші для встановлення засобів ТЗІ.
13) Під час проведення робіт на ОІД (будівельні та монтажно-налагоджувальні роботи, встановлення на об'єкті технічних засобів технологічного призначення, засобів життєзабезпечення, засобів оргтехніки, елементів інтер'єру, меблів), а також під час його експлуатації мають здійснюватися організаційно-технічні заходи щодо недопущення встановлення закладних пристроїв несанкціонованого одержання інформації.
14) Передбачати заходи щодо взаємодії з іншими комплексами (системами) інформаційної безпеки об’єкта.
15) Атестацію комплексу захисту провести згідно з вимогами нормативних документів з питань ТЗІ.
2.3.2. Розділ “Вимоги щодо стійкості до зовнішніх впливів”:
Комплекс захисту повинен зберігати працездатність в таких умовах:
- температура зовнішнього середовища 10 – 40°С;
- вологість повітря 45 – 85% при температурі 35°С;
- атмосферний тиск 86 –106 кПа;
- інші вимоги.
2.3.3. Розділ “Вимоги з безпеки експлуатації”:
Обладнання та складові частини комплексу захисту виконати згідно з вимогами чинних в Україні нормативних документів щодо забезпечення безпеки обслуговуючого персоналу (навести посилання на ГОСТ, ДСТУ тощо).
2.3.4. Розділ “Вимоги до метрологічного забезпечення”:
Методи вимірювань повинні відповідати нормативним документам Держстандарту України. Вимірювальна апаратура, що використовується при проведенні робіт з ТЗІ, повинна бути повірена відповідними метрологічними службами.
2.3.5. Розділ “Вимоги щодо забезпечення охорони державної таємниці”:
Забезпечення режиму при виконанні робіт повинно відповідати вимогам Закону України "Про державну таємницю" та інших нормативних актів України, які стосуються питань забезпечення охорони державної таємниці.
2.3.6. Розділ “Вимоги щодо технічного забезпечення виконання робіт”:
Роботи проводяться виконавцем із застосуванням власної матеріально-технічної бази, необхідної для виконання робіт.
2.3.7. Розділ “Вимоги щодо забезпечення безпеки при виконанні робіт”:
Виконавець несе повну відповідальність за виконання вимог техніки безпеки, охорони праці та пожежної безпеки при виконанні робіт.
2.4. Вимоги до документації
Склад технічної документації:
- проектна документація на закладні конструкції для монтажу засобів ТЗІ, засобів зв'язку, комп'ютерних мереж, телекомунікаційних систем, мереж електроживлення основних та допоміжних технічних засобів і електроосвітлення тощо;
- план розміщення засобів захисту;
- загальні та монтажні схеми комплексу захисту;
- рекомендації щодо забезпечення пасивними заходами захисту ІзОД від витоку технічними каналами;
- документація на систему інженерно-технічного забезпечення приміщень та технічних засобів (з вимогами ТЗІ);
- завдання на розробку (коригування) архітектурно-будівельної частини та інженерно-технічного забезпечення та загальну пояснювальну записки "Заходи ТЗІ";
- кошторис на впровадження комплексу захисту;
- порядок встановлення і монтажу засобів захисту;
- програма і методики приймальних (атестаційних) випробувань комплексу захисту;
- технічний опис, інструкції з експлуатації комплексу захисту, технічний паспорт на комплекс захисту, паспорт на приміщення ОІД.
Вимоги до розробки документації можуть уточнюватись і доповнюватись за погодженням між замовником і виконавцем робіт.
2.5. Етапи виконання робіт та порядок їх приймання.
Розділ повинен містити етапи виконання робіт. узгоджені з встановленими чинними нормативними документами з питань ТЗІ етапами створення комплексу захисту, терміни виконання робіт, порядок їх приймання, за необхідності, порядок авторського нагляду під час розроблення технічної документації та здійснення будівельно-монтажних та налагоджувальних робіт (можливе посилання на календарні графіки щодо виконання робіт).
ЩОДО ЗАКОНУ УКРАЇНИ “ПРО ВНЕСЕННЯ ЗМІН ДО ЗАКОНУ УКРАЇНИ
"ПРО ЗАХИСТ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ"
Трутнєв Микола Васильович,
ДСТСЗІ СБ України, конт. тел. 483-97-30
31 травня 2005 року Верховною Радою України було прийнято Закон України “Про внесення змін до Закону України "Про захист інформації в автоматизованих системах" (№2594-IV), яким вводиться його нова редакція. В новій редакції Закону змінено його назву на Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”.
Значна кількість правових норм у новій редакції відповідає нормам, встановленим у Законі України “Про захист інформації в автоматизованих системах”. Серед них необхідно відмітити такі:
- визначення вимог та порядку організації захисту інформації в інформаційно-телекомунікаційних системах (далі – ІТС), включаючи питання забезпечення державного управління захистом інформації в ІТС;
- необхідність визначення відповідальності (створення відповідних підрозділів) за забезпечення захисту інформації в кожній ІТС;
- здійснення контролю за станом безпеки інформації в ІТС.
Разом з тим у Законі України “Про захист інформації в інформаційно-телекомунікаційних системах” у порівнянні з Законом України “Про захист інформації в автоматизованих системах”:
1) Внесено зміни та доповнення до переліку термінів та визначень з урахуванням сучасного розвитку інформаційних технологій. Внесено правові норми з регулювання відносин між власниками (розпорядниками) різних ІТС.
2) Більш чітко, з урахуванням стану захисту інформації в Україні та в світі, визначено норми щодо забезпечення захисту інформації, яка є власністю держави, та інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Довідково:
Стаття 8. Умови обробки інформації в системі
(абз.2) Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Доопрацьовано питання державного управління захистом інформації в ІТС в Україні
Довідково:
Стаття 10. Повноваження державних органів у сфері захисту інформації в системах
Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, встановлюються Кабінетом Міністрів України.
Обов'язки уповноваженого органу у сфері захисту інформації в системах виконує центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації.
Державні органи в межах своїх повноважень за погодженням з уповноваженим органом у сфері захисту інформації встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
У ст.13 “Прикінцеві положення” Закону встановлено, що він набирає чинності з 1 січня 2006 року.
У зв’язку з прийняттям зазначеного Закону згідно з ст. 10 здійснюється підготовка постанови Кабінету Міністрів України, якою буде встановлено вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
До цього документа планується включити такі положення та вимоги.
Дія документа поширюється на всі ІТС, в яких обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, незалежно від їх класифікації, призначення та форми власності, крім систем (мереж) спеціальних видів зв’язку.
В ІТС забезпечується захист:
1) Відкритої інформації, яка є власністю держави.
2) Конфіденційної інформації, яка є власністю держави.
3) Інформації, що становить державну таємницю.
4) Інформації, що становить інший, встановлений законом, вид таємниці.
5) Інформації про особу (персональних даних).
Повинна бути захищеною від порушення цілісності (випадкової чи умисної модифікації та знищення) відкрита інформація, що належить державі:
- про діяльність державних органів та органів місцевого самоврядування, яка призначена для оприлюднення, і розміщена в мережі Інтернет, інших глобальних інформаційних системах або передається мережами передачі даних;
- якщо вона належить до видів, визначених статтями 19, 22, 24, 25 Закону України “Про інформацію”, і використовується для забезпечення діяльності державних органів та органів місцевого самоврядування.
Захист інших видів відкритої інформації від несанкціонованої модифікації та знищення забезпечується у випадках, коли це встановлено законодавством.
Конфіденційна інформація під час обробки в ІТС повинна зберігати властивості конфіденційності та цілісності – вона не підлягає несанкціонованому та неконтрольованому ознайомленню, модифікації, знищенню, копіюванню, поширенню.
Доступ до конфіденційної інформації повинен надаватися тільки зареєстрованим користувачам після їх гарантованого розпізнавання.
Інформація, що становить державну таємницю, під час обробки в ІТС повинна зберігати властивості конфіденційності та цілісності – вона має бути захищеною від несанкціонованих дій, що можуть призвести до випадкової чи умисної її модифікації, знищення, копіювання, поширення (витоку), ознайомлення.
Склад вимог і необхідних для їх реалізації заходів визначається нормативними документами з технічного та криптографічного захисту інформації з урахуванням ступеня обмеження доступу до інформації та класу ІТС на підставі нормативно-правових актів про охорону державної таємниці.
Захист таємної інформації (крім державної таємниці) здійснюється у відповідності з вимогами для конфіденційної інформації, якщо інше не встановлено законом.
Персональні дані під час автоматизованої обробки повинні зберігати властивості конфіденційності та цілісності - вони не підлягають несанкціонованому та неконтрольованому ознайомленню, модифікації, знищенню, копіюванню, поширенню.
У всіх інших випадках вимоги щодо захисту персональних даних повинні бути еквівалентні вимогам із захисту конфіденційної інформації.
Передавання інформації з обмеженим доступом із однієї ІТС для обробки в іншу ІТС здійснюється за умови вимог законодавства щодо цього та за умови забезпечення в ній адекватного рівня захисту інформації.
Реєстрація та моніторинг дій користувачів повинні здійснюватись автоматичним способом, а журнали реєстрації мають бути захищені від модифікації та знищення звичайними користувачами (які не мають повноважень адміністратора безпеки).
Обов’язки звичайного користувача і адміністратора безпеки не можуть виконуватись однією особою.
В ІТС з багатьма користувачами всі критичні для безпеки функції захисту (ідентифікації та автентифікації користувачів, розмежування доступу, контролю за цілісністю механізмів захисту) повинні бути реалізовані автоматизованим способом.
В ІТС з одним звичайним користувачем щонайменше має забезпечуватись реєстрація його дій в системі.
Заходи захисту інформації від витоку технічними каналами вживаються, якщо в ІТС обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності цього прийняте власником (розпорядником) інформації за результатами аналізу й оцінки загроз для інформації.
Захист інформації від несанкціонованих дій, у тому числі від комп’ютерних вірусів, здійснюється в усіх ІТС і забезпечується впровадженням комплексу засобів захисту (програмних, програмно-апаратних, апаратних) і організаційних заходів.
Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на інформацію приймається власником інформації самостійно.
Відповідальність за забезпечення захисту інформації в ІТС, своєчасне розроблення та впровадження необхідних заходів щодо цього покладається на керівника організації, яка є власником (розпорядником) ІТС та керівників її структурних підрозділів, що забезпечують створення та експлуатацію ІТС, у межах їх компетенції.
Організація робіт з захисту інформації в ІТС та контроль за станом захищеності інформації здійснюється службою захисту інформації в ІТС.
Служба захисту інформації створюється (призначається):
- в ІТС, де обробляються персональні дані та інформація, що становить державну таємницю;
- в ІТС, які за класифікацією нормативних документів системи технічного захисту інформації відносяться до класу “3”;
- в ІТС, які за класифікацією нормативних документів системи технічного захисту інформації відносяться до класу “2” і обробляють інформацію з обмеженим доступом, що не становить державної таємниці;
- в інших випадках, передбачених законодавством;
- за рішенням власника (розпорядника) ІТС.
У разі незначного обсягу робіт, пов’язаних з захистом інформації, ці завдання можуть покладатися на окрему особу.
Роботи із захисту інформації в ІТС виконуються власником (розпорядником) ІТС з дотриманням вимог законодавства про ліцензування господарської діяльності.
Окремі види робіт виконуються суб’єктами господарювання, що одержали в установленому порядку ліцензії на здійснення цих видів робіт.
Державні органи та органи місцевого самоврядування можуть виконувати роботи із захисту інформації за умови одержання у встановленому порядку дозволу на провадження діяльності для власних потреб. Порядок одержання дозволу встановлює уповноважений орган у сфері захисту інформації.
Витрати на заходи захисту інформації включаються до загальної кошторисної вартості робіт із створення (модернізації) ІТС.
Державні органи щороку під час підготовки бюджетних запитів передбачають кошти на фінансування заходів із захисту інформації, в тому числі для розпорядників бюджетних коштів нижчого рівня.
Порядок проведення державної експертизи комплексної системи захисту інформації в ІТС (далі - КСЗІ), державної експертизи та сертифікації засобів технічного і криптографічного захисту інформації встановлюється уповноваженим органом у сфері захисту інформації.
Державні органи та установи, які мають дозвіл на провадження діяльності для власних потреб або ліцензію відповідно, за дорученням уповноваженого органу у сфері захисту інформації організовують державну експертизу КСЗІ в ІТС, які належать до сфери свого управління. Порядок проведення державної експертизи встановлюється наказом державно органу (установи) і погоджується з уповноваженим органом у сфері захисту інформації.
Технічні завдання на створення ІТС (КСЗІ) установ, підприємств та організацій сфери управління державного органу погоджуються цим державним органом.
Розробником (головним виконавцем) КСЗІ може бути суб’єкт, який має ліцензію на право виконання хоча б одного класифікованого відповідно до ліцензійних умов провадження діяльності у сфері технічного захисту інформації виду робіт, необхідність виконання якого визначено технічним завданням на створення КСЗІ.
Для виконання видів робіт, на провадження яких головний виконавець не має ліцензії, залучаються співвиконавці, які відповідні ліцензії мають.
Державний орган може бути головним виконавцем за наявності дозволу на проведення для власних потреб класифікованого виду робіт, необхідність виконання якого визначено технічним завданням на створення КСЗІ.
Якщо при створенні КСЗІ є необхідність виконання робіт з криптографічного захисту інформації, головний виконавець залучає співвиконавців з відповідною ліцензією.
В ІТС, які складаються з декількох інформаційних та (або) телекомунікаційних систем, порядок організації робіт з захисту інформації може застосовуватись до кожної складової частини окремо.
Контроль за станом захисту інформації в ІТС є невід‘ємною частиною забезпечення захисту інформації на всіх етапах життєвого циклу ІТС і полягає у перевірці виконання вимог нормативно-правових актів і нормативних документів з питань технічного та криптографічного захисту інформації.
ПОРЯДОК СТВОРЕННЯ КОМПЛЕКСНИХ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ
В ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМАХ,
ОСОБЛИВОСТІ ФОРМУВАННЯ ВИМОГ ЗАХИСТУ ІНФОРМАЦІЇ
Сагайдак Роман Вікторович,
ДСТСЗІ СБ України, конт. тел. 483-97-30
1. Основні етапи створення комплексних систем захисту інформації (КСЗІ) в інформаційно-телекомунікаційних системах (ІТС)*:
1) Формування загальних вимог до КСЗІ:
- обґрунтування необхідності створення КСЗ;
- обстеження середовищ функціонування ІТС;
- формування завдання на створення КСЗІ.
2) Розробка політики безпеки інформації в ІТС
- вибір варіанту КСЗІ;
- оформлення політики безпеки.
3) Розробка технічного завдання на створення КСЗІ.
4) Розробка проекту КСЗІ:
- ескізний проект КСЗІ;
- технічний проект КСЗІ;
- розробка проектних рішень КСЗІ;
- розробка документації на КСЗІ;
- робочий проект КСЗІ.
5) Введення КСЗІ в дію та оцінка захищеності інформації в ІТС:
- підготовка КСЗІ до введення в дію;
- навчання користувачів;
- пусконалагоджувальні роботи;
- спеціальні дослідження та інструментальні вимірювання рівня ПЕМВН;
- попередні випробування;
- дослідна експлуатація;
- державна експертиза КСЗІ.
6) Супроводження КСЗІ.
2. Особливості формування вимог захисту інформації
Нормативний документ системи технічного захисту інформації НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу” надає формалізовані вимоги до специфікацій функціональних послуг безпеки комп'ютерної системи, певний шаблон, що дозволяє власникам і розробникам комп'ютерної системи сформулювати вимоги до розмежування доступу та інші, по можливості абстрагувавшись від особливостей програмно-апаратної реалізації. Також дає можливість зіставити механізми захисту, реалізовані в різних автоматизованих системах.
Проте специфікації послуг безпеки, наведені в НД ТЗІ 2.5-004-99, є максимально узагальненими, рівною мірою застосовними до будь-якої автоматизованої системи. При розробці технічного завдання (ТЗ) на створення КСЗІ ці специфікації необхідно “наповнити” відомостями про вимоги до конкретної АС, однак, досвід розгляду ТЗ свідчить про те, що розробники ТЗ на створення КСЗІ не завжди забезпечують необхідне викладення специфікацій з урахуванням особливостей АС. В основному, все зводиться до цитування положень НД ТЗІ 2.5-004-99.
Недоліки такого “підходу” очевидні:
- відсутні чіткі вимоги до розроблювачів системи, які необхідно реалізувати на етапі технічного проектування;
- відсутні критерії експертизи;
- власник АС не може визначити, чи реалізований в АС захист від наявних загроз несанкціонованого доступу, доступності та спостережності.
Можна припустити, що це є наслідком недостатньо якісного обстеження об'єкта інформаційної діяльності й розуміння функціональності АС.
Далі на прикладі послуги ЦА-2 розглядаються питання, на які необхідно звернути увагу при описі вимог до функціональних послуг безпеки комп’ютерної системи:
1. Перелік об'єктів, на які поширюється послуга. Як правило, у ТЗ на створення КСЗІ приводиться повний перелік об'єктів, що підлягають захисту. Тоді природно, що послуга поширюється на деяку підмножину повного переліку об'єктів АС. Якщо в АС реалізовано кілька механізмів розмежування доступу, то необхідно чітко вказати, як вони доповнюють один одного.
2. Атрибути інформаційних об'єктів і процесів, на підставі яких буде здійснюватися розмежування доступу.
3. Для кожного об'єкта (категорії об’єктів), на який поширюється послуга, необхідно привести перелік процесів, що мають право модифікувати об'єкт, а для кожного процесу - перелік користувачів (категорій користувачів), що мають право, ініціалізації (запуску) даного процесу.
4. Категорії користувачів, які мають право змінювати ПРД у процесі експлуатації АС. Як правило, це адміністратор безпеки й адміністратори АС й її підсистеми, при наявності таких ролей в АС. Попередній пункт може доповнюватися більш детальним описом можливостей адміністратора надати ті чи інші права користувачам та процесам при формуванні конкретних облікових записів в АС.
5. Проблема експорту-імпорту об'єктів з АС. У разі взаємодії АС із іншими, ця взаємодія повинна реалізовуватися з урахуванням необхідності дотримання ПРД.
Якщо таке «буквальне» слідування специфікаціям НД ТЗІ виявляється громіздким, то існує альтернативний підхід – матриця (таблиця) розмежування доступу, (повноважень), в якій наочно викладаються правила взаємодії інформаційних об’єктів, користувачів та процесів обробки інформації. У цьому випадку при описі послуг безпеки, пов'язаних з розмежуванням доступу, доцільно посилатися на таблицю такого типу. Додатково необхідно вказати хто встановлює ПРД та наявні можливості з уточнення ПРД у порівнянні з “матрицею доступу”, яка в такому випадку може ілюструвати більш загальні аспекти розмежування доступу..
Чітко виконувати вимоги НД ТЗІ необхідно й при описі вимог до інших функціональних послуг безпеки. Якщо, наприклад, специфікація НД ТЗІ послуги “цілісність комплексу засобів захисту” вимагає, зокрема, визначення механізму контролю цілісності, то цей механізм повинен бути наведений у ТЗ на створення КСЗІ.
ПРОБЛЕМЫ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
В КОРПОРАТИВНЫХ СЕТЯХ
Зубрицкий Александр Сергеевич,
ДСТСЗИ СБ Украины, конт. тел. 483-97-30
Под корпоративной сетью (системой) в этом докладе понимается система, в которой обеспечивается взаимодействие между достаточно большим количеством достаточно независимых компонентов, которые могут рассматриваться как отдельные системы.
Для корпоративной сети характерны:
- территориальная распределенность, т.е. объединяются офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга;
- высокая степень гетерогенности – типы компьютеров, коммуникационного оборудования, операционных систем и приложений различны;
- использование глобальных связей – сети филиалов соединяются с помощью телекоммуникационных средств, в том числе телефонных каналов, радиоканалов, спутниковой связи.
Исходя из такого понимания, корпоративная сеть является классическим примером интегрированной автоматизированной системы.
Обеспечение защиты информации в таких сетях представляет особую проблему. Это связано с тем, что, во-первых, уровень необходимой защиты от несанкционированного доступа для разных пользователей и разных информационных систем может изменяться в широком диапазоне, во-вторых, наличие средств защиты потенциально может влиять на производительность системы, удобство ее использования.
Из чего следует исходить при формировании требований по защите информации. Прямое использование Профилей защиты не дает такого ответа, вследствие того, что во-первых, документ этого и не предусматривает, а во-вторых, рассматривает случай однородности требований по защите во всех составляющих.
Поэтому для корпоративной сети как единой системы остаются такие основные вопросы:
1. Что можно понимать под комплексной системой защиты информации (КСЗИ) корпоративной сети и каким образом могут быть сформированы требования к ней?
2. Какой порядок выполнения работ, какой наиболее оптимальный подход к проектированию и вводу в действие КСЗИ?
3. Какой может быть порядок проведения оценки КСЗИ в такой сложной по структуре системе?
Исходя из того, что КСЗИ является неотъемлемой составной частью АС, а ее основные механизмы лишь логически отделенной структурой (это полностью справедливо хотя бы в части комплекса средств защиты от несанкционированного доступа - КСЗ, вопросы защиты информации от утечек по техническим каналам – в этом докладе не рассматриваются), которая “налагается” на структуру АС, можно сделать предположить, что архитектура КСЗИ должна полностью соответствовать архитектуре и принципам построения АС.
Так как корпоративная сеть по своим задачам, составу, архитектуре и др. является системой неоднородной, такой же должна быть и КСЗИ. Неоднородность КСЗИ состоит в наличии различных объектов защиты и, соответственно, различных требований к защите информации в каждой независимой составляющей АС (например, локальной сети, отдельном сервисе). Последнее следует из того, что в каждой такой независимой составляющей АС могут быть только ей присущие критические информационные ресурсы, программно-аппаратные средства обработки информации, особенности технологии обработки, модели угроз и модели нарушителей, и, следовательно, различные политики безопасности.
Таким образом, политика безопасности корпоративной сети является суммой политик безопасности отдельных ее составляющих, взаимодействующих по единым принципам и правилам.
Другими словами КСЗИ любой интегрированной автоматизированной системы (в нашем случае – корпоративной) может рассматриваться, как некий сложный объект, построенный по модульному принципу и состоящий из N максимально независимых модулей. Каждый такой модуль представляет собой полноценную КСЗИ i-ой составляющей компоненты АС. В силу этого, такой модуль (КСЗИ составляющей компоненты) может независимо от других модулей проектироваться, разрабатываться, внедряться, оцениваться и эксплуатироваться. Под КСЗИ корпоративной системы нужно понимать сумму КСЗИ i-тых модулей от 1 до N.
Критически важным для такого построения КСЗИ и такой архитектуры становится взаимодействие и обмен информацией между отдельными модулями и управление КСЗИ в целом. Наиболее простым путем решения этой задачи является создание в рамках КСЗИ отдельной подсистемы.
Для построения такой подсистемы могут быть выбраны два основных варианта – либо централизованное администрирование из единой точки (при этом в каждом из модулей КСЗИ должен функционировать агент подсистемы взаимодействия и обмена информацией), либо взаимодействие равноправных модулей.
Суть обоих вариантов с точки зрения требований по защите одна и та же. Существенно различными являются лишь процедуры проектирования и оценки – в первом случае подсистема взаимодействия и обмена информацией рассматривается как самостоятельная система (отдельный N+1 модуль КСЗИ), во втором – проектирование и оценка механизмов обмена производится в рамках этих задач для каждого i-того модуля, что сложнее с точки зрения формирования согласованных требований во всех модулях и оценки их реализации в системе.
При этом надо стремиться, чтобы построение и архитектура каждого модуля КСЗИ были принципиально одинаковыми (использовали по возможности одинаковые протоколы, одинаковые механизмы защиты, совместимое программное обеспечение и т.д.), что важно для обеспечения взаимодействия модулей.
Такое построение КСЗИ имеет целый ряд преимуществ:
- обеспечивается реализация открытой архитектуры безопасности в соответствии со стандартом ISO 7498-2;
- обеспечивается возможность разработки, внедрения, оценки и эксплуатации отдельно каждой і-той составляющей КСЗИ, т.е. система становится масштабируемой, обеспечивается простота развития системы, введение в действие новых компонент не влияет на общую политику безопасности АС, обеспечивается возможность постепенного поэтапного ввода отдельных составляющих без ущерба для работоспособности АС и приостановления ее функционирования;
- упрощается, стандартизуется и удешевляется проектирование и разработка КСЗИ - эти процедуры сводятся к проектированию некоторого количества типовых компонент, каждая из которых имеет только свои собственные входные и выходные данные (для формирования базы данных защиты), а не механизмы защиты. Информация баз данных защиты (имена, идентификаторы пользователей, перечни объектов защиты, атрибуты доступа пользователей и др.) каждого модуля формируются отдельно и уточняются на этапе технорабочего проектирования;
- каждый модуль КСЗИ может быть оценен отдельно (причем для любого вида испытаний). При этом государственная экспертиза каждого модуля состоит из двух этапов: на первом – выполняется полномасштабная экспертиза типовой компоненты системы, а на втором - для всех модулей этого типа осуществляется лишь проверка адекватности условий эксплуатации на конкретном объекте и установление их соответствия типовым;
- после оценки отдельных модулей государственная экспертиза КСЗИ корпоративной системы состоит в проверке взаимодействия (администрирование, обмен информацией базы данных защиты и т.д.) уже предварительно оцененных модулей. Этим самым процедура оценки упрощается и введение в состав КСЗИ нового модуля не требует повторной экспертизы всей КСЗИ (производится только оценка взаимодействия вводимого модуля с уже эксплуатируемыми).
Изложенный подход применим как к КСЗИ корпоративной системы в целом, так и к некоторой ее части.
Еще одним для обсуждения является вопрос – какой должен быть при таком подходе вид заключительного документа по результатам создания КСЗИ (аттестата соответствия)? Это будет один аттестат на всю КСЗИ, или каждый оцененный модуль КСЗИ может иметь свой аттестат? Как поступать в случае ввода в действие новых компонент, нужно ли при этом заменять выданный ранее на часть КСЗИ аттестат на новый?
Нормативно-правовые акты в сфере защиты информации допускают разные варианты, но наиболее приемлемыми являются такие.
Первый – каждый оцененный модуль КСЗИ корпоративной системы получает свой собственный документ. Таким образом, результат оценки КСЗИ в полном объеме будет состоять из, по крайней мере, N аттестатов (необходимо также учитывать и аттестат на КСЗИ подсистемы взаимодействия). Этот вариант может быть удобным, когда различные составляющие АС имеют различных собственников, либо в случае небольшого количества независимых компонент.
Второй – независимо от количества оцененных модулей (например, один из N) на момент выдачи аттестата документ выдается на всю КСЗИ в полном объеме, т.е. формально и на все оставшиеся N-1составляющих (даже, если их создание в далекой перспективе). В этом случае в обязательном приложении к аттестату (экспертном заключении) указывается состав и конфигурация оцененной КСЗИ. При проведении оценки очередного модуля соответствующим образом корректируется только экспертное заключение, вносится изменение в состав КСЗИ корпоративной системы, а сам аттестат остается без видимых изменений. Этот вариант может быть удобным, для АС с N, стремящимся к довольно большому значению.
Допустим также вариант, являющейся композицией названых выше.
Нормативными документами выбор любого из возможных подходов к построению КСЗИ не регламентируется, последнее слово остается за собственником (распорядителем) АС.
Наиболее наглядной иллюстрацией сказанного выше может служить ход создания такой глобальной информационной системы как Единая государственная автоматизированная паспортная система. Разработчиками ЕГАПС была выполнена кропотливая работа по формализации объектов защиты, задач и технических решений, а также их оптимального распределения между составными частями системы.
Результатом такой работы стало определение типовых составляющих ЕГАПС на значительно более низком уровне, чем уровень локальной сети, - на уровне отдельного АРМ. Всего в ЕГАПС определено 7-8 типовых АРМ. Это и есть те “кирпичики” (причем, каждый из них может быть оценен независимо!), из которых и строится любая составляющая компонента ЕГАПС любого уровня иерархии. Подсистемы ЕГАПС на каждом из трех уровней типовые. Взаимодействие и обмен информацией осуществляется отдельной подсистемой.
Таким образом, проектирование ЕГАПС состояло из проектирования набора типовых АРМ, типовой подсистемы соответствующего уровня иерархии. Далее по единому проекту реализуется необходимое количество составляющих. Аналогично предполагается провести и государственную экспертизу КСЗИ – оценить по одной типовой компоненте, оценить подсистему обмена информацией и распространять (путем проверки условий эксплуатации для типовой компоненты) результаты экспертизы на вводящиеся в разное время остальные компоненты.
Такие проблемы необходимо решать еще на начальных этапах работ – до момента формирования требований к АС в целом и к КСЗИ, в частности. При этом за собственником АС остается право и последнее слово в выборе варианта создания КСЗИ.
ПОРЯДОК ФОРМУВАННЯ ВИМОГ ЩОДО ЗАХИСТУ ІНФОРМАЦІЇ В
ТЕНДЕРНІЙ ДОКУМЕНТАЦІЇ У РАЗІ ЗДІЙСНЕННЯ ЗАКУПІВЕЛЬ ЗАСОБІВ ЕОТ,
ПРОГРАМНИХ ПРОДУКТІВ ТА ПОСЛУГ З ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
Вольський Михайло Федорович,
ДСТСЗІ СБ України, конт. тел. 483-97-30
У підпункті 2.6 "Положення про порядок створення та головні функції тендерних комітетів щодо організації та проведення процедур закупівель товарів, робіт і послуг за державні кошти", затвердженого наказом Міністерства економіки України від 26.12.2000 №280 та зареєстрованого в Міністерстві юстиції України 16.01.01 за №20/5211, встановлено, що у разі здійснення закупівлі засобів електронно-обчислювальної техніки, у тому числі телекомунікаційного обладнання, і програмних продуктів тендерний комітет уключає в тендерну документацію вимоги щодо захисту інформації, передбачені законодавством, а також залучає до роботи комітету представників Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України.
Міністерством економіки України підготовлено проект наказу "Про внесення змін до деяких наказів Міністерства економіки України і Міністерства економіки України та з питань європейської інтеграції України", відповідно до якого вносяться відповідні зміни до підпункту 2.6 зазначеного Положення.
Підпункт 2.6 в новій редакції встановлює наступну правову норму: "У разі здійснення закупівлі засобів електронно-обчислювальної техніки, у тому числі телекомунікаційного обладнання, послуг у сфері технічного захисту інформації і програмних продуктів тендерний комітет включає в тендерну документацію вимоги щодо захисту інформації, передбачені законодавством, а також залучає до роботи комітету, починаючи з етапу підготовки тендерної документації, представників Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України, які погоджують тендерну документацію в частині захисту інформації".
Зі змістом зазначеного проекту наказу можна ознайомитися на сайті Мінекономіки.
Необхідно звернути увагу на те, що представники Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України залучаються до роботи тендерного комітету на етапі підготовки тендерної документації. Відповідно до норм Закону України "Про захист інформації в інформаційно-телекомунікаційних системах”, який набирає чинності з 1 січня 2006 року, власник інформації встановлює вимоги із захисту інформації, а власник АС забезпечує захист інформації в АС.
Закупівлі засобів електронно-обчислювальної техніки, послуг у сфері технічного захисту інформації і програмних продуктів повинна передувати розробка проектного рішення зі створення та впровадження АС з реалізацією певної інформаційної технології.
З метою якісної та своєчасної підготовки тендерної документації необхідно запрошення до участі в роботі тендерного комітету направляти до Департаменту спеціальних телекомунікаційних систем і захисту інформації своєчасно разом з проектом тендерної документації.
У запрошенні надавати наступну інформацію:
- мета закупівлі (створення або модернізація АС);
- правовий статус інформації, яка буде оброблятися (обробляється) в АС (відкрита інформація, що є власністю держави, персональні дані, конфіденційна, яка є власністю держави, інформація, що становить державну таємницю, тощо);
- хто є власником інформації;
- хто є розпорядником інформації;
- хто є власником АС;
- властивості інформації, які підлягають захисту (цілісність, доступність чи конфіденційність);
- терміни проведення робіт із захисту інформації;
- порядок залучення організацій – виконавців робіт зі створення комплексної системи захисту інформації (проведення окремого тендеру, за договором).
До тендерної документації в залежності від предмету закупівлі, мети закупівлі та правового статусу інформації включаються наступні технічні та кваліфікаційні вимоги із захисту інформації:
1. У разі закупівлі засобів електронно-обчислювальної техніки загального використання, зі штатними механізмами захисту від несанкціонованого доступу (комутатори, міжмережеві екрані, автоматичні телефонні станції тощо), а також захищених від витоку технічними каналами:
- учасники торгів повинні мати відповідну ліцензію ДСТСЗІ СБ України на право провадження господарчої діяльності у сфері ТЗІ;
- засоби електронно-обчислювальної техніки повинні мати сертифікат відповідності або експертний висновок ДСТСЗІ СБ України.
2. У разі закупівлі системного програмного забезпечення (операційних систем, офісних програмних продуктів тощо), прикладного та антивірусного програмного забезпечення:
- повинне використовуватися ліцензійне програмне забезпечення, яке має сертифікат відповідності;
- програмне забезпечення, у тому числі операційні системи, які мають механізми захисту від несанкціонованого доступу, та антивірусне програмне забезпечення повинні мати експертний висновок ДСТСЗІ СБ України;
- під час вибору програмного забезпечення необхідно надавати перевагу програмному забезпеченню вітчизняного виробництва.
3. У разі закупівлі засобів технічного захисту інформації від несанкціонованого доступу, засобів криптографічного захисту інформації:
- учасники торгів повинні мати відповідну ліцензію ДСТСЗІ СБ України на право провадження господарчої діяльності у сфері ТЗІ;
- засоби захисту інформації повинні мати сертифікат відповідності або експертний висновок ДСТСЗІ СБ України.
4. У разі закупівлі послуг у сфері технічного захисту інформації (послуг із створення комплексної системи захисту інформації, ремонту засобів захисту інформації тощо):
- учасники торгів повинні мати відповідну ліцензію ДСТСЗІ СБ України на право провадження господарчої діяльності у сфері ТЗІ;
- учасники торгів повинні підтвердити наявність ліцензійних умов провадження послуг, які закупаються, актом перевірки ДСТСЗІ СБ України ліцензійних умов;
- учасники торгів повинні мати спеціальний дозвіл СБ України на право провадження діяльності, пов'язаної з державною таємницею (у разі проведення таких робіт);
- послуги доступу до мережі Інтернет повинні надаватися через захищений вузол (вузли) доступу оператора, які мають видані ДСТСЗІ СБ України відповідні атестати відповідності комплексної системи захисту інформації вимогам нормативних документів України у сфері технічного захисту інформації.
Зазначений перелік не є вичерпним. У кожному конкретному випадку та у відповідності до вимог нормативних документів України в сфері захисту інформації, які діють на цей час, вимоги цього переліку повинні викладатися більш детально.
Характерними недоліками при підготовці тендерної документації є наступні:
- направлення до ДСТСЗІ СБ України запрошення на участь його представників в роботі тендерного комітету (на процедуру відкриття тендерних пропозицій учасників торгів) після затвердження тендерної документації;
- направлення до ДСТСЗІ СБ України тендерної документації без пояснень стосовно мети закупівлі, правового статусу інформації, яка буде оброблятися (обробляється) в АС, хто є власником (розпорядником) інформації та АС, які властивості інформації підлягають захисту, терміни проведення робіт із захисту інформації, порядок залучення організацій – виконавців робіт із створення комплексної системи захисту інформації;
- при складанні специфікації не враховується наявність Переліку обладнання та програмного забезпечення, які мають сертифікат відповідності або експертний висновок ДСТСЗІ СБ України (з переліком програмного забезпечення, засобів електронно-обчислювальної техніки, засобів захисту інформації, які мають сертифікати відповідності або експертні висновки ДСТСЗІ СБ України, можна ознайомитися на сайті Департаменту);
- не надаються переваги програмному забезпеченню вітчизняного виробництва;
- в тендерній документації не вказується конкретний вид ліцензії ДСТСЗІ СБ України (ліцензії на право провадження діяльності у сфері ТЗІ та/або КЗІ, на розробку або на послуги, на "таємно" або "ДСК" ), необхідної для виконання робіт;
- не встановлюється вимога підтвердження наявності ліцензійних умов для проведення робіт та послуг, які є предметом закупівлі (акт перевірки наявності ліцензійних умов);
- не встановлюється вимога щодо наявності в учасника торгів спеціального дозволу СБ України на право провадження діяльності, пов'язаної з державною таємницею (у разі проведення таких робіт).
ГОСУДАРСТВЕННАЯ ЭКСПЕРТИЗА КОМПЛЕКСНЫХ СИСТЕМ
ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННО-
ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ
Цацко Валерий Тимофеевич,
ДСТСЗИ СБ Украины, конт. тел. 483-97-30
1. Общий порядок проведения государственной экспертизы комплексных систем защиты информации в АС
Общий порядок проведения государственной экспертизы комплексных систем защиты информации в АС определен Положением о государственной экспертизе в области технической защиты информации (утверждено приказом ДСТСЗИ СБ Украины от 29.12.99 №62, зарегистрирован в Минюсте Украины 24 января 2000 г. за №40/4261).
Комплект документов, который предоставляется в ДСТСЗИ СБ Украины вместе с заявкой на проведение экспертизы, включает:
- техническое задание на КСЗИ;
- формуляр на автоматизированную систему;
- акт категорирования комплекса технических средств АС;
- акт принятия строительных работ;
- акт по результатам обследования АС;
- акт аттестации комплекса ТЗИ;
- комплект организационно-технических документов по вопросам ТЗИ и обеспечения режима секретности: Положение о службе защиты информации в АС, План защиты информации в АС, инструкции администратору безопасности и пользователям АС и другие документы, определяющие порядок выполнения работ и ответственность персонала и пользователей АС;
- программа и методики предварительных испытаний АС и КСЗИ, протоколы проведенных испытаний;
- акт завершения опытной эксплуатации АС.
2. Ведомственный порядок создания КСЗИ в АС класса 1 и проведения государственной экспертизы
Распространяется на государственные органы, которые имеют разрешение на право проведения работ по технической защите информации для собственных нужд и включены в Реестр организаторов экспертизы.
Необходимо:
1. Разработать и согласовать с ДСТСЗИ СБ Украины ведомственный порядок создания КСЗИ в АС класса 1, что предусматривает:
- согласование типового технического задания на создание КСЗИ;
- согласование типовых проектных решений по созданию КСЗИ;
- согласование пакета организационно-технических документов по внедрению и эксплуатации АС класса 1;
- согласование программы и методик проведения государственной экспертизы.
2. Разработать и согласовать с ДСТСЗИ СБ Украины ведомственный порядок проведения государственной экспертизы, в котором определить:
- состав документов на КСЗИ в АС подразделений госоргана, порядок их разработки и согласования в госоргане;
- порядок подачи и рассмотрения в госоргане заявок структурных подразделений о проведении экспертизы КСЗИ и порядок информирования ДСТСЗИ СБ Украины о принятии решений по такими заявкам;
- порядок проведения экспертных работ специалистами госоргана, включенных в Реестр экспертов по вопросам ТЗИ, оформления протоколов по результатам этих работ, подготовки экспертных заключений;
- порядок представления результатов экспертизы та экспертных заключений в ДСТСЗИ СБ Украины и получения аттестатов соответствия.
3. Упрощенный порядок проведения государственной экспертизы КСЗИ АС класса 1
Письмом ДСТСЗИ СБ Украины в государственные органы, исх. №18/3-1785 от 10.06.05, установлен упрощенный порядок проведения государственной экспертизы комплексных систем защиты информации в АС класса 1, созданных с использованием средств ТЗИ, которые отвечают следующим требованиям: имеют соответствующие сертификаты и экспертные заключения; включены в Перечень средств общего назначения, разрешенных для обеспечения технической защиты информации, необходимость охраны которой определено законодательством Украины (см. сайт ДСТСЗИ CБ Украины, www.dstszi.gov.ua).