Кваліфікаційний аналіз засобів і систем захисту інформації

Версія від 10:05, 20 квітня 2011, створена Svetik B7 (обговореннявнесок) (Організація державної експертизи)
Прізвище Барабаш
Ім'я Світлана
По-батькові Богданівна
Факультет ФІС
Група СН-41
Залікова книжка № ПК-07-002


Репозиторія
Презентація доповіді на тему Кваліфікаційний аналіз засобів і систем захисту інформації
є розміщеною в Репозиторії.

Кваліфікаційний аналіз (рос. — квалификационный анализ, англ. — evaluation) — це аналіз інформаційно-комунікаційної системи (чи обчислювальної системи), що проводиться з метою визначення рівня її захищеності та відповідності вимогам безпеки на основі критеріїв стандарту безпеки.Кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення захищених систем, безпосередньо передує процедурі сертифікації і завершується присвоєнням комунікаційній системі того чи іншого класу чи рівня безпеки.

Кваліфікаційний аналіз, а також вимоги до нього

  • Види кваліфікаційного аналізу
  1. Атестацію здійснюють задля оцінювання ефективності комплексу технічного захисту інформації, яка циркулює на об'єкті, від її витоку технічними каналами відповідно до вимог чинної нормативної бази.
  2. Державну експертизу у сфері технічного захисту інформації (ТЗІ) проводять із метою оцінювання захищеності даних, які обробляються або циркулюють в об'єктах інформаційної діяльності (приміщеннях, інженерно-технічних спорудах тощо). На основі результатів державної експертизи підтверджують відповідність компютерних систем захисту інформації та надають Атестат відповідності. Основні вимоги та засади проведення державної експертизи регламентовано в документі Положення про державну експертизу у сфері ТЗІ.
  3. Сертифікацію засобів забезпечення ТЗІ здійснюють із метою підтвердження їх відповідності вимогам нормативних документів. Процедуру сертифікації регламентовано в документі «Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення», її проводять за участі органів сертифікації, випробувальних лабораторій та деяких інших установ. Сертифікацію можуть проходити вироби вітчизняних і зарубіжних виробників. Передбачено механізм визнання сертифікатів, наданих органами інших країн.
  • Вимоги до кваліфікаційного аналізу

Можна висувати різні вимоги, починаючи з вимог до якості об'єкта, що підлягає аналізу, виконуваних ним функцій і коректності функціонування та завершуючи вимогами до документації на цей об'єкт. Вимоги до самого процесу кваліфікаційного аналізу регламентовано у відповідних нормативних документах. Українська нормативна база передбачає такі види кваліфікаційного аналізу:

  1. Атестація.
  2. Державна експертиза.
  3. Сертифікація.

В Україні державним органом, на який покладено завдання здійснення державного контролю за станом криптографічного та технічного захисту інформації, є Державна служба спеціального зв'язку та захисту інформації України (Держспецзв'язку), що діє на підставі Закону України «Про Державну службу спеціального зв'язку та захисту інформації України» № 3475-15 від 23 лютого 2006 року [266]. Раніше (до 2007 року) ці функції було покладено на Департамент спеціальних телекомунікаційних систем і захисту інформації (ДСТСЗІ) Служби безпеки України.

Організація державної експертизи

Мета державної експертизи у сфері технічного захисту інформації оцінити захищеність інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, а також у приміщеннях, інженерно-технічних спорудах тощо (тобто на об'єктах інформаційної діяльності).

  • Положення про державну експертизу

У державній експертизі беруть участь:

  1. Замовники експертизи.
  2. Адміністрація Держспецзв'язку.
  3. Організатори експертизи.
  4. Експерти.

Державну експертизу мають проходити такі об'єкти:

  1. КСЗІ (комплексна система захисту інформації).
  2. Окремі технічні та програмні засоби.

Види експертизи:

  1. Первинна - основний вид експертизи, коли виконують усі необхідні заходи щодо підготовки та прийняття рішення стосовно об'єкта;
  2. Додаткова — здійснюється до об'єктів, на які впливають нові науково-технічні обставини, або у зв'язку із завершенням терміну дії висновків первинної експертизи;
  3. Контрольна експертиза, яку проводять за ініціативи замовника чи Держспецзв'язку, коли хтось із них має претензії до висновків первинної експертизи (таку експертизу здійснює інша організація).

Експертиза відбувається за наступним планом:

  1. Замовник надсилає на ім'я Голови (заступника Голови) Держспецзв'язку заяву на проведення експертизи КСЗІ або засобу ТЗІ. Замовник може також звернутися до цієї служби із заявою щодо проведення контрольної експертизи.
  2. Експертна рада розглядає заяву у встановлені терміни та приймає рішення про доцільність експертизи і призначає її організатора. Стосунки між організатором і замовником регламентовано у договорі на проведення експертизи, що містить відомості про порядок фінансування, терміни експертизи тощо.
  3. Організатор призначає експертів, яких буде залучено до виконання робіт.
  4. Замовник надає організатору визначений НД ТЗІ комплект документації на об'єкт експертизи.
  5. Організатор аналізує надані документи, загальні методики оцінювання ефективності засобу ТЗІ чи КСЗІ та формує програму і власні методики проведення експертизи об'єкта у визначені в договорі терміни, розробляє (за потреби) програмно-технічне забезпечення. Програма та окремі методики узгоджуються із замовником і Адміністрацією Держспецзв'язку.
  6. Згідно з програмами та методиками здійснюють безпосередню експертизу, результати якої оформлюють у вигляді протоколу, який підписують експерти. Протокол затверджує організатор.
  7. У разі виявлення невідповідностей об'єкта вимогам НД ТЗІ організатор може запропонувати замовнику доопрацювати об'єкт з метою усунення наявних недоліків.
  8. Організатор складає та підписує експертний висновок, який визначає відповідність об'єкта експертизи вимогам НД ТЗІ.
  9. Експертний висновок подають до Адміністрації Держспецзв'язку. Експертна рада його розглядає та, якщо висновок задовольняє всі вимоги, реєструє і передає замовнику. Замовник також отримує атестат відповідності, підписаний Головою Держспецзв'язку.

Сертифікації засобів технічного захисту інформації

Сертифікацію засобів технічного захисту інформації здійснюють згідно з документом «Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення». Керівними органами, які організовують і координують роботи із сертифікації, є такі:

  1. Національний орган із сертифікації Державний комітет стандартизації, метрології та сертифікації України (Держстандарт України).
  2. Адміністрація Держспецзв'язку України.

Метою сертифікації є встановити відповідність засобів технічного захисту інформації вимогам нормативних документів України з питань технічного захисту інформації, а також вимогам аналогічних іноземних нормативних документів, які діють в Україні. Організації, задіяні у процесі сертифікації, мають зберігати конфіденційність інформації, що становить професійну або комерційну таємницю. Процедура сертифікації складається з таких етапів.

  1. Подання заявки на сертифікацію.
  2. Розгляд заявки, прийняття рішення з визначенням схеми сертифікації.
  3. Обстеження чи атестація виробництва засобів ТЗІ, які подано на сертифікацію, або сертифікація (оцінювання) системи якості, якщо це передбачено схемою сертифікації.
  4. Добирання зразків для випробувань із тих виробів, що пройшли приймальний контроль виробника та готові до реалізації. Процедуру добирання здійснюють у присутності представника заявника та оформлюють документально.
  5. Ідентифікація засобів ТЗІ на підставі відповідності поданих на випробування зразків (та їхнього технічного стану) нормативним документам на цю продукцію.

Зразки, що не пройшли ідентифікації, до випробувань не допускають. За результатами ідентифікації складають акт.

  1. Випробування зразків. До випробувальної лабораторії доправляють зразки в опломбованому або запечатаному вигляді разом з актом їх добирання та ідентифікації. Якщо сертифікують невелику партію виробів (не більше 5), орган сертифікації може прийняти рішення не піддавати їх випробуванням, що можуть призвести до пошкодження зразків. Результати випробувань заносять до протоколу.
  2. Аналіз результатів випробувань зразків і прийняття рішення щодо надання їм сертифіката відповідності.
  3. Надання сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих засобів до відповідного реєстру. Сертифікат відповідності надається на один виріб, партію із зазначенням кількості виробів або на засоби, які підприємство випускає серійно протягом терміну, встановленого ліцензійною угодою, з правом маркування знаком відповідності кожної одиниці випущеної продукції.
  4. Технічний нагляд за сертифікованими засобами під час їх виробництва здійснюють орган сертифікації, що надав сертифікат, органи із сертифікації систем якості чи територіальні центри стандартизації, метрології та сертифікації.
  5. Результати сертифікації (копії сертифіката відповідності) орган сертифікації доправляє до Держстандарту і Держспецзв'язку України.

Сертифікація системи якості — остаточне її оцінювання, яке здійснюють уповноважені органи за ініціативи замовника або на підставі рішення органу сертифікації, якщо це передбачено схемою сертифікації.

Список літературних джерел

  • Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.
  • Барсуков В.С. Безпека: технології, засоби, послуги / В.С. Борсуків. - М., 2001 - 496 с.