Захисту податкової інформації в автоматизованій інформаційній системі дпс україни як єдиний комплекс



Сторінка7/9
Дата конвертації15.11.2016
Розмір0.97 Mb.
1   2   3   4   5   6   7   8   9

7.3. Сертифікація в галузі захисту інформації




Терміни та визначення у сфері сертифікації засобів КЗІ


- КЗІ - криптографічний захист інформації.

- Засоби криптографічного захисту інформації - криптографічні системи, апаратні, програмні, апаратно-програмні або інші засоби, які призначені для реалізації КЗІ в тому числі ті, що використовуються для генерації, виготовлення та тестування криптографічних ключів.

- Сертифікат відповідності - документ, виданий згідно з правилами Системи УкрСЕПРО, який вказує, що забезпечується необхідна впевненість у тому, що належним чином ідентифіковані засоби КЗІ відповідають вимогам нормативних документів.

- Атестація виробництва - офіційне підтвердження ОС КЗІ наявності необхідних і достатніх умов виробництва засобів КЗІ, які забезпечують стабільність виконання заданих у нормативних документах і контрольованих під час сертифікації вимог.

- Атестат виробництва - документ, виданий згідно з правилами системи сертифікації, який посвідчує, що виробництво забезпечує протягом установленого проміжку часу стабільність якості виготовлення засобів КЗІ щодо забезпечення безпеки інформації.

- Сертифікація засобів КЗІ - комплекс організаційних, технічних та наукових заходів, внаслідок проведення яких ОС КЗІ спеціальним документом (сертифікатом відповідності) підтверджує відповідність засобів КЗІ вимогам нормативних документів щодо забезпечення безпеки інформації або дає висновок про невідповідність засобів КЗІ до зазначених вимог

- Заявник - особа або організація, підприємство, які звернулися для одержання сертифіката відповідності від ОС КЗІ.
Криптографічний захист інформації

Законодавча та нормативна база сертифікації засобів КЗІ


Основою для проведення робіт із сертифікації в галузі КЗІ є такі нормативно-правові документи: закони України “Про інформацію”, “Про захист прав споживачів”, “Про захист інформації в автоматизованих системах керування”, “Про державну таємницю”, “Про підтвердження відповідності”, Декрет Кабінету Міністрів України “Про стандартизацію і сертифікацію”, Указ Президента України від 22.05.98 № 505 “Про Положення про порядок здійснення криптографічного захисту інформації”, Положення про порядок розробки, виготовлення й експлуатації засобів криптографічного захисту конфіденційної інформації, затверджене наказом ДСТСЗІ СБ України від 30.11.99 № 53 і зареєстроване Міністерством юстиції України 15.12.99 за № 868/4161, Тимчасова інструкція про порядок постачання і використання ключів до засобів криптографічного захисту інформації, затверджена спільним наказом Держстандарту України та Службою безпеки України від 28.11.97 № 708/156 та зареєстрована в Міністерстві юстиції України 17.12.97 № 598/2402, нормативні документи Української державної системи сертифікації продукції - Системи УкрСЕПРО, Порядок проведення сертифікації засобів КЗІ Органа з сертифікації засобів захисту інформації (ОС ЗЗІ), а також чинні в Україні міждержавні стандарти ГОСТ 28147-89, ГОСТ 34.310-95, ГОСТ 34.311-95.

Положенням про порядок здійснення криптографічного захисту інформації, затверджене Указом Президента України від 22.05.98 № 505, визначено, що для захисту конфіденційної інформації повинні використовуватися криптосистеми і засоби криптографічного захисту, які мають сертифікат відповідності.



Основні принципи, загальні правила та організаційна структура Української державної системи сертифікації продукції - Система сертифікації УкрСЕПРО

Основні принципи, структура та правила Системи УкрСЕПРО визначено Декретом Кабінету Міністрів України “Про стандартизацію та сертифікацію” та державними стандартами України.

Сертифікація в УкрСЕПРО передбачає підтвердження третьою стороною показників, характеристик та властивостей продукції, процесів, послуг на підставі випробувань, обстеження, атестації виробництва та сертифікації систем якості.

Право проведення робіт із сертифікації мають органи із сертифікації продукції, випробувальні лабораторії (центри) й аудитори, що акредитовані та занесені до Реєстру Системи.

У Системі УкрСЕПРО встановлено такий розподіл відповідальності:

- Заявник несе відповідальність за невідповідність сертифікованої продукції вимогам нормативних документів та застосування сертифікатів і знаків відповідності з порушенням правил Системи УкрСЕПРО.

- Випробувальна лабораторія (центр) несе відповідальність за недостовірність та необ’єктивність результатів випробувань сертифікованої продукції.

- Орган із сертифікації несе відповідальність за необґрунтовану чи неправомірну видачу сертифікатів відповідності, атестатів виробництва та підтвердження їх дії, а також за порушення правил Системи УкрСЕПРО.

Організаційну структуру Системи УкрСЕПРО утворюють:

- Національний орган із сертифікації - Держстандарт України;

- Науково-технічна комісія Держстандарту України;

- Органи із сертифікації продукції;

- Органи із сертифікації систем якості;

- Випробувальні лабораторії (центри);

- Аудитори;

- Науково-методичний та інформаційний центр;

- Територіальні центри стандартизації, метрології та сертифікації Держстандарту України;

- Український навчально-науковий центр із стандартизації, метрології та якості продукції;

- Заявники.

Основні функції учасників Системи УкрСЕПРО наведено в ДСТУ 3410-96.



Органи із сертифікації та випробувальні лабораторії засобів КЗІ

Згідно з Положенням про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президента України від 22.05.98 № 505/98, Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України є державною установою України, яка організовує всі роботи, пов’язані із сертифікацією засобів КЗІ на відповідність до вимог із забезпечення безпеки інформації.

Орган із сертифікації засобів КЗІ (ОС КЗІ) утворено в структурі ДСТСЗІ згідно зі спільним наказом Служби безпеки України та Комітету України з питань стандартизації, метрології та сертифікації від 24.09.99 № 202/213. Згідно зі спільним наказом Служби безпеки України та Державного комітету стандартизації, метрології та сертифікації України від 6 грудня 2000 р. № 247/695 змінено назву ОС КЗІ на “Орган із сертифікації засобів захисту інформації ДСТСЗІ СБ України (далі – ОС ЗЗІ)”.

ОС ЗЗІ акредитовано Національним агентством з акредитації України в Системі УкрСЕПРО - атестат акредитації № UA 4.001.112 від 27.12.02 р. дійсний до 26.12.05 р.

ОС ЗЗІ є незалежним від розробників, виробників, постачальників та споживачів засобів КЗІ у галузі акредитації, яка закріплена за ним, що сприяє неможливості чинення на його співробітників тиску, який спроможний вплинути на їх висновки чи результати робіт.

Галузь акредитації ОС ЗЗІ включає засоби криптографічного захисту інформації - криптографічні системи, апаратні, програмні, апаратно-програмні або інші засоби, що призначаються для реалізації КЗІ, у тому числі й ті, що використовуються для генерації, виготовлення і тестування криптографічних ключів.

Роботи із сертифікації проводяться на підставі договорів, укладених ОС ЗЗІ з організаціями і підприємствами.

ОС ЗЗІ на договірній основі проводить:

- роботи із сертифікації засобів КЗІ;

- роботи з обстеження та атестації виробництва засобів КЗІ, що сертифікуються;

- технічний нагляд за виробництвом сертифікованих засобів;

- визнання сертифікатів відповідності.

Вартість робіт визначається відповідно до Правил визначення вартості робіт із сертифікації продукції і послуг, затвердженими наказом Держстандарту України від 10.03.99 № 100 і зареєстрованими в Міністерстві юстиції 31.03.99 №194/3487.

Основні функції ОС ЗЗІ визначаються Положенням про Орган із сертифікації ЗЗІ.

За станом на січень 2003 року в Системі УкрСЕПРО акредитовано такі випробувальні лабораторії:

- МП “Дина”ТОВ, атестат акредитації № UA 6.001.Т.594 від 30.03.2000 дійсний до 29.03.2003;

- АТ “Інститут інформаційних технологій”,атестат акредитації № UA 6.001.Т.685 від 22.09.2000 дійсний до 21.09.2003;

- Харьківский державний технічний університет радіоелектроніки, атестат акредитації № UA 6.001.Т.767 від 22.09.2000 дійсний до 21.09.2003;

- ВЛ "Сайфер", атестат акредитації № UA 6.001.Т784 від 15.02.2001 дійсний до 14.02.2004;

- ТОВ “АЛЬТАІР-775” атестат акредитації № UA 6.001.Т.142 від 05.06.2001 дійсний до 04.06.2004;

- Випробувальний центр безпеки інформаційних систем та засобів криптографічного захисту інформації військової частини А1906, атестат акредитації № UA 6.001.Т.348 від 02.08.2002 дійсний до 01.08.2005.

Випробувальні лабораторії (центри) засобів КЗІ в Системі УкрСЕПРО виконують такі функції:

- за дорученням органу із сертифікації засобів ЗЗІ проводять випробування продукції та несуть відповідальність за повноту випробувань і достовірність результатів, готують та подають до ОС ЗЗІ протоколи випробувань;

- за дорученням органу із сертифікації беруть участь у проведенні обстеження та атестації виробництва, технічного нагляду за виробництвом сертифікованих засобів КЗІ;

Сертифікаційні випробування засобів КЗІ проводяться випробувальними лабораторіями (ВЛ) на відповідність до вимог стандартів, що діють в Україні, і нормативних документів на засоби КЗІ за методиками, розробленими ВЛ і узгодженими ДСТСЗІ СБ України.



Заявники:

- укладають договори на проведення робіт із сертифікації продукції з органом із сертифікації ЗЗІ та випробувальними лабораторіями;

- здійснюють підготовку виробництва та вживають заходи із забезпечення стабільності характеристик засобів КЗІ, які впливають на забезпечення вимог щодо безпеки інформації;

- терміново повідомляють орган із сертифікації ЗЗІ про всі зміни в технології, конструкції (складі) засобів КЗІ, які можуть вплинути на характеристики сертифікованих засобів КЗІ та на їх стабільність;

- здійснюють доопрацювання сертифікованих засобів КЗІ у разі виявлення їх невідповідності до вимог нормативних документів.

1   2   3   4   5   6   7   8   9


База даних захищена авторським правом ©lecture.in.ua 2016
звернутися до адміністрації

    Головна сторінка