Відмінності між версіями «Кваліфікаційний аналіз засобів і систем захисту інформації»

Презентація доповіді на тему Кваліфікаційний аналіз засобів і систем захисту інформації є розміщеною в Репозиторії.

Кваліфікаційний аналіз (рос. — квалификационный анализ, англ. — evaluation) — це аналіз інформаційно-комунікаційної системи (чи обчислювальної системи), що проводиться з метою визначення рівня її захищеності та відповідності вимогам безпеки на основі критеріїв стандарту безпеки.Кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення захищених систем, безпосередньо передує процедурі сертифікації і завершується присвоєнням комунікаційній системі того чи іншого класу чи рівня безпеки.

Кваліфікаційний аналіз, а також вимоги до нього

• Вимоги до кваліфікаційного аналізу

Можна висувати різні вимоги, починаючи з вимог до якості об'єкта, що підлягає аналізу, виконуваних ним функцій і коректності функціонування та завершуючи вимогами до документації на цей об'єкт. Вимоги до самого процесу кваліфікаційного аналізу регламентовано у відповідних нормативних документах. Українська нормативна база передбачає такі види кваліфікаційного аналізу:

1. Атестація.
2. Державна експертиза.
3. Сертифікація.

В Україні державним органом, на який покладено завдання здійснення дер¬жавного контролю за станом криптографічного та технічного захисту інфор¬мації, є Державна служба спеціального зв'язку та захисту інформації України (Держспецзв'язку), що діє на підставі Закону України «Про Державну службу спеціального зв'язку та захисту інформації України» № 3475-15 від 23 лютого 2006 року [266]. Раніше (до 2007 року) ці функції було покладено на Департа¬мент спеціальних телекомунікаційних систем і захисту інформації (ДСТСЗІ) Служби безпеки України.

Організація державної експертизи

Мета державної експертизи у сфері технічного захисту інформації оцінити захищеність інформації, яка обробляється або циркулює в інформаційних, теле¬комунікаційних та інформаційно-телекомунікаційних системах, а також у примі¬щеннях, інженерно-технічних спорудах тощо (тобто на об'єктах інформаційної діяльності).

• Положення про державну експертизу

У державній експертизі беруть участь:

1. Замовники експертизи.
2. Адміністрація Держспецзв'язку.
3. Організатори експертизи.
4. Експерти.

Державну експертизу мають проходити такі об'єкти:

1. КСЗІ (комплексна система захисту інформації).
2. Окремі технічні та програмні засоби.

Види експертизи:

1. Первинною - основний вид експертизи, коли виконують усі необхідні заходи щодо підготовки та прийняття рішення стосовно об'єкта;
2. Додатковою — здійснюється до об'єктів, на які впливають нові науково-тех¬нічні обставини, або у зв'язку із завершенням терміну дії висновків первинної експертизи;
3. Контрольною експертиза, яку проводять за ініціативи замовника чи Держ¬спецзв'язку, коли хтось із них має претензії до висновків первинної експертизи (таку експертизу здійснює інша організація).

Експертиза відбувається за наступним планом:

1. Замовник надсилає на ім'я Голови (заступника Голови) Держспецзв'язку зая¬ву на проведення експертизи КСЗІ або засобу ТЗІ. Замовник може також звернутися до цієї служби із заявою щодо проведення контрольної експертизи.
2. Експертна рада розглядає заяву у встановлені терміни та приймає рішення про доцільність експертизи і призначає її організатора. Стосунки між організато¬ром і замовником регламентовано у договорі на проведення експертизи, що містить відомості про порядок фінансування, терміни експертизи тощо.
3. Організатор призначає експертів, яких буде залучено до виконання робіт.
4. Замовник надає організатору визначений НД ТЗІ комплект документації на об'єкт експертизи.
5. Організатор аналізує надані документи, загальні методики оцінювання ефек¬тивності засобу ТЗІ чи КСЗІ та формує програму і власні методики проведен¬ня експертизи об'єкта у визначені в договорі терміни, розробляє (за потреби) програмно-технічне забезпечення. Програма та окремі методики узгоджують¬ся із замовником і Адміністрацією Держспецзв'язку.
6. Згідно з програмами та методиками здійснюють безпосередню експертизу, ре¬зультати якої оформлюють у вигляді протоколу, який підписують експерти. Протокол затверджує організатор.
7. У разі виявлення невідповідностей об'єкта вимогам НД ТЗІ організатор може запропонувати замовнику доопрацювати об'єкт з метою усунення наявних недоліків.
8. Організатор складає та підписує експертний висновок, який визначає відпо¬відність об'єкта експертизи вимогам НД ТЗІ.
9. Експертний висновок подають до Адміністрації Держспецзв'язку. Експертна рада його розглядає та, якщо висновок задовольняє всі вимоги, реєструє і пе¬редає замовнику. Замовник також отримує атестат відповідності, підписаний Головою Держспецзв'язку.

Сертифікації засобів технічного захисту інформації

Сертифікацію засобів технічного захисту інформації здійснюють згідно з документом «Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загаль¬ного призначення». Керівними органами, які організовують і координують роботи із сертифікації, є такі:

1. Національний орган із сертифікації Державний комітет стандартизації, метрології та сертифікації України (Держстандарт України).
2. Адміністрація Держспецзв'язку України.

Метою сертифікації є встановити відповідність засобів технічного захисту інформації вимогам нормативних документів України з питань технічного захисту інформації, а також вимогам аналогічних іноземних нормативних документів, які діють в Україні. Організації, задіяні у процесі сертифікації, мають зберігати конфіденційність інформації, що становить професійну або комерційну таємницю.