Захисту податкової інформації в автоматизованій інформаційній системі дпс україни як єдиний комплекс



Сторінка8/9
Дата конвертації15.11.2016
Розмір0.97 Mb.
1   2   3   4   5   6   7   8   9

Порядок підготовки і проведення сертифікації засобів КЗІ


Порядок підготовки і проведення сертифікації засобів КЗІ включає:

- подання підприємствами, організаціями і установами заявки на сертифікацію засобів КЗІ;

- розгляд заявки в ОС ЗЗІ (аналіз поданої документації; прийняття рішення з визначенням схеми (моделі) сертифікації засобів КЗІ та ВЛ);

- випробування в акредитованих ВЛ засобів КЗІ, які сертифікуються;

- аналіз отриманих результатів і прийняття рішення про можливість видачі сертифіката відповідності;

- видача сертифіката відповідності та занесення сертифікованих засобів КЗІ до Реєстру Системи;

- технічний нагляд за сертифікованими засобами КЗІ під час їх виробництва;

- інформування про результати робіт із сертифікації засобів КЗІ.

Заявник для отримання сертифіката відповідності подає до ОС ЗЗІ заявку на проведення сертифікації із зазначенням схеми проведення сертифікації та назв стандартів й інших нормативних документів, відповідно до яких повинна проводитись сертифікація.

Заявки на проведення сертифікації приймаються тільки від заявників, які мають ліцензії на виробництво засобів КЗІ.

Заявки на проведення сертифікації засобів КЗІ приймаються за умов, що в цих засобах реалізовано криптографічні алгоритми, які є державними стандартами або рекомендовані ДСТСЗІ. Тобто, засоби КЗІ, в яких реалізовані власні оригінальні алгоритми, що не мають рекомендації ДСТСЗІ, на сертифікацію не приймаються.

На сертифікацію заявляються тільки готові вироби в цілому, а не їх складові частини чи окремі компоненти.

Документація, що надається разом із заявкою, має відповідати вимогам Положення про порядок розробки, виготовлення й експлуатації засобів криптографічного захисту конфіденційної інформації, затвердженого наказом ДСТСЗІ СБ України від 30.11.99 № 53 і зареєстрованого Міністерством юстиції України 15.12.99 за № 868/4161.

Орган із сертифікації у місячний термін після отримання заявки надсилає заявнику рішення. Рішення включає основні умови сертифікації і схеми (моделі) проведення сертифікації .

За результатами аналізу, наданої заявником документації, ОС ЗЗІ може додатково вимагати необхідні для прийняття рішення документи.

У нормативному документі ОС ЗЗІ "Порядок проведення сертифікації засобів КЗІ" встановлено схеми (моделі), що використовуються під час проведення сертифікації засобів КЗІ.

Кількість зразків для випробувань і правила відбору, а також склад технічної документації, встановлюються ОС ЗЗІ.

Відбір зразків проводиться відповідальним виконавцем ОС ЗЗІ у присутності представника заявника і оформляється актом відбору зразків.

Відібрані зразки, укомплектовані належним чином, опломбовані й запаковані, доставляються до ОС ЗЗІ заявником.

Після надходження зразків забезпечується проведення їх ідентифікації та складається акт ідентифікації.

Зразки продукції, що не пройшли ідентифікації, на випробування з метою сертифікації не приймаються.

Випробування зразків засобів КЗІ з метою сертифікації проводяться випробувальними лабораторіями, що визначені ОС ЗЗІ в рішенні за заявкою. Зразки засобів КЗІ випробовуються на відповідність до вимог нормативних документів, зазначених у рішенні. Сертифікаційні випробування здійснюються за методиками, узгодженими з ОС ЗЗІ.

Зразки засобів КЗІ, що пройшли випробування з метою сертифікації, залишаються власністю заявника.

ОС ЗЗІ за узгодженням із заявником може залишити в себе або передати на відповідальне зберігання заявнику опечатані зразки засобів КЗІ - “зразки-свідки”. Місце і термін збереження “зразків-свідків” визначаються в угоді (договорі).

Випробувальна лабораторія надає протоколи сертифікаційних випробувань тільки в ОС ЗЗІ.

У разі одержання негативних результатів хоча б по одному з показників випробування з метою сертифікації припиняються, інформація про негативні результати надається заявнику та ОС ЗЗІ. Повторні випробування можуть бути проведені тільки після подачі нової заявки і надання ОС ЗЗІ переконливих доказів проведення заявником коригувальних заходів щодо усунення причин, що викликали невідповідність.

ОС ЗЗІ здійснює оцінку відповідності засобів КЗІ до установленх вимог, оформляє сертифікат відповідності, реєструє його в Реєстрі Системи відповідно до ДСТУ 3415-96 і видає заявнику.

У розпорядженні ОС ЗЗІ залишаються надані заявником документи, необхідні для формування справи про сертифікацію засобу КЗІ.

Сертифікат відповідності на засоби КЗІ видається тільки ОС ЗЗІ. Сертифікат відповідності видається на один виріб, на партію засобів КЗІ або на засоби КЗІ, що випускаються серійно протягом терміну, встановленого угодою відповідно до ДСТУ 3413-96.

Сертифікат відповідності засвідчується підписом керівника Органу по сертифікації засобів КЗІ або його заступника і гербовою печаткою ДСТСЗІ СБУ.

Підтвердження факту сертифікації засобів КЗІ заявник може здійснювати одним з наведених нижче способів:

- оригіналом сертифіката відповідності;

- знаком відповідності згідно з вимогами ДСТУ 2296-93;

- копією сертифіката відповідності, завіреною ОС ЗЗІ;

- інформацією у документації, що додається до засобів КЗІ із зазначенням номера сертифіката, терміну його дії та ОС ЗЗІ, що видав сертифікат відповідності.

Маркування засобів КЗІ знаком відповідності здійснює заявник.

Право маркування засобів КЗІ знаком відповідності дається заявнику на підставі угоди (ДСТУ 3413-96) з ОС ЗЗІ.

Термін дії сертифіката на засоби КЗІ, що випускаються підприємством серійно протягом терміну, встановленого угодою (ДСТУ 3413-96), визначає ОС ЗЗІ з урахуванням терміну дії нормативних документів на засоби КЗІ, терміну, на який сертифікована система якості або атестоване виробництво, гарантійного терміну придатності засобів КЗІ до моменту реалізації або терміну зберігання засобів КЗІ, але не більше як на два роки, якщо атестоване виробництво, і на три роки, якщо сертифікована системa якості. За умови проведення сертифікації засобів КЗІ, що випускаються серійно або партією, за схемою з обстеженням виробництва термін дії сертифіката відповідності не повинен перевищувати два роки.

У випадку внесення змін у конструкцію (склад) засобів КЗІ або технологію виготовлення, що можуть вплинути на показники, підтверджені під час сертифікації, заявник зобов'язаний попередньо сповістити про це ОС ЗЗІ. ОС ЗЗІ приймає рішення про необхідність проведення нових випробувань або оцінки стану виробництва засобів КЗІ.

У випадку, якщо вимоги, встановлені нормативними документами на показники, підтверджені під час сертифікації, змінені на більш жорсткі, питання про припинення дії сертифіката відповідності вирішує ОС ЗЗІ за узгодженням із Національним ОС - Держстандартом України.

За сертифікованими засобами КЗІ в процесі їх виробництва протягом терміну дії сертифіката відповідності, з урахуванням схеми сертифікації, Органом із сертифікації КЗІ здійснюється технічний нагляд.

Обсяг, порядок і періодичність технічного нагляду встановлюються ОС ЗЗІ під час проведення сертифікації і регламентуються програмою технічного нагляду, яка розробляється ОС ЗЗІ.

За результатами нагляду ОС ЗЗІ може призупинити або скасувати дію угоди або сертифіката відповідності у випадках:

- порушення вимог, що висуваються до засобів КЗІ під час сертифікації;

- порушення вимог до технології виготовлення, правил приймання, методів контролю й випробувань, позначення засобів КЗІ, узгоджених ОС ЗЗІ під час проведення сертифікації засобів КЗІ;

- зміни нормативних документів на засоби КЗІ або на методи випробувань без попереднього узгодження з ОС ЗЗІ;

- зміни конструкції (складу), комплектності або технології виготовлення засобів КЗІ без попереднього узгодження з ОС ЗЗІ.

Рішення про призупинення дії сертифіката відповідності приймається у випадку, якщо шляхом коригувальних заходів, узгоджених ОС ЗЗІ, заявник не може усунути виявлені причини невідповідності і без проведення повторних іспитів акредитованою випробувальною лабораторією підтвердити відповідність засобів КЗІ вимогам нормативних документів. У випадку неможливості усунення причин невідповідності сертифікат відповідності анулюється.

Інформація про призупинення або скасування дії (анулювання) сертифіката відповідності в письмовій формі доводиться ОС ЗЗІ до заявника, споживачів і Національного ОС.

У випадку призупинення дії сертифіката відповідності здійснюються такі коригувальні заходи.



Орган із сертифікації ЗЗІ:

- визначає термін виконання коригувальних заходів;

- контролює виконання заявником коригувальних заходів.

Заявник:


- визначає обсяг виготовлених засобів КЗІ, що не відповідають нормативним документам;

- здійснює заходи щодо усунення причин невідповідності засобів КЗІ.

У випадку скасування сертифіката відповідності заявник зобов'язаний повернути оригінали сертифікатів відповідності і всі копії в ОС ЗЗІ, який знищує їх за актом.

Інформація про результати сертифікації засобів КЗІ передається ОС ЗЗІ до Реєстру Системи УкрСЕПРО. Національний ОС - Держстандарт України на підставі Реєстру Системи видає довідники, що містять інформацію щодо сертифікованої продукції, в т.ч. засобів КЗІ.

На поточний момент у стадії розгляду знаходяться проекти законів України “Про акредитацію”, “Про підтвердження відповідності“ і “Про стандартизацію”. З огляду на це до Порядку проведення робіт із сертифікації засобів КЗІ можливо будуть внесені деякі зміни.

Технічний захист інформації

Законодавча та нормативна база сертифікації засобів забезпечення ТЗІ загального призначення

Законодавчою та нормативною базою сертифікації засобів забезпечення технічного захисту інформації загального призначення є такі нормативно-правові акти:

- Закон України "Про захист інформації в автоматизованих системах";

- постанова Кабінету Міністрів України № 24 від 13 січня 1995 р. “Про заходи щодо виконання постанови Верховної Ради України від 5 липня 1994 р. „Про введення в дію Закону України “Про захист інформації в автоматизованих системах” та статті 34 Закону України “Про державну таємницю”;

- Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27.09.99 р. № 1229;

- Декрет Кабінету Міністрів України ”Про стандартизацію і сертифікацію“;

- нормативні документи Української державної системи сертифікації продукції – Системи УкрСЕПРО;

- чинні в Україні нормативні документи та нормативно-правові акти з питань технічного захисту інформації.
Терміни та визначення у сфері сертифікації засобів забезпечення ТЗІ загального призначення

Основні поняття, терміни, їх визначення та скорочення мають такі значення:



технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;

засіб забезпечення ТЗІ - технічний засіб із захистом, засіб технічного захисту інформації або засіб контролю за ефективністю технічного захисту інформації;

засіб забезпечення ТЗІ загального призначення (ЗЗ ТЗІ) - такий засіб забезпечення ТЗІ, при створенні якого не передбачається його використання у складі конкретного об'єкта.
Основні принципи, загальні правила та організаційна структура Української державної системи сертифікації продукції

Основні принципи, загальні правила та організаційна структура Української державної системи сертифікації продукції УкрСЕПРО визначено Декретом Кабінету Міністрів України ”Про стандартизацію і сертифікацію“ та державними стандартами України.

Право проведення робіт із сертифікації мають органи із сертифікації продукції, випробувальні лабораторії (центри) та аудитори, що акредитовані та занесені до Реєстру Системи.

Основні принципи, структуру та правила Системи сертифікації продукції УкрСЕПРО встановлює державний стандарт України ДСТУ 3410-96.

Органи із сертифікації та випробувальні лабораторії засобів забезпечення ТЗІ загального призначення

На сьогодні організаційну структуру системи сертифікації засобів забезпечення технічного захисту інформації загального призначення складають:

I. Орган із сертифікації Державного центру випробувань засобів забезпечення ТЗІ (ОС ДЦВ ТЗІ). Атестат акредитації № UA4.001.105, зареєстрований у Реєстрі Системи сертифікації УкрСЕПРО 22.08.2002 р. Атестат дійсний до 21.08.2005 р. Керівник Органу із сертифікації засобів ТЗІ – Денискін Євген Михайлович. Адреса органу із сертифікації: 03056, м. Київ, пр-т Перемоги, 37, корпус 17, к. 401 тел. 241-86-85

II. Акредитована на технічну компетентність випробувальна лабораторія засобів технічного захисту інформації Державного науково-виробничого підприємства “Укрспецтехніка”.

III. Акредитована на технічну компетентність випробувальна лабораторія Науково-дослідного центру “ТЕЗІС” Національного технічного університету України ”КПІ“.

Галузь акредитації органу із сертифікації та випробувальних лабораторій передбачає сертифікацію:

- засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;

- засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля;

- технічних засобів виявлення, ідентифікації та локалізації активних джерел електромагнітного випромінювання (радіовиявлювачі);

- програмних та програмно-апаратних засобів забезпечення технічного захисту інформації від несанкціонованого доступу в комп’ютерних системах та мережах зв’язку.


Порядок підготовки та проведення сертифікації засобів забезпечення ТЗІ загального призначення

Порядок проведення сертифікації ЗЗ ТЗІ у загальному випадку передбачає:

- подання заявки на сертифікацію;

- розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації;

- обстеження чи атестацію виробництва ЗЗ ТЗІ, що сертифікуються, або сертифікацію системи якості, якщо це передбачено схемою сертифікації;

- відбір зразків для випробувань;

- ідентифікацію ЗЗ ТЗІ;

- приймання ВЛ зразків ЗЗ ТЗІ;

- випробування зразків ЗЗ ТЗІ;

- аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката відповідності;

- видачу сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих ЗЗ ТЗІ  до Реєстру Системи;

- визнання результатів сертифікації, які підтверджують відповідність імпортних ЗЗ ТЗІ вимогам чинних в Україні нормативних документів і які видані на цю продукцію за кордоном;

- технічний нагляд за сертифікованими ЗЗ ТЗІ під час їх виробництва;

- інформування про результати робіт із сертифікації ЗЗ ТЗІ.


Перелік засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України

Цей Перелік формується відповідно до п.17 "Положення про технічний захист інформації в Україні", затвердженого Указом Президента України від 27 вересня 1999 року. Перелік призначений для використання суб'єктами системи технічного захисту інформації (ТЗІ) під час розроблення, модернізації та впровадження комплексів ТЗІ на об’єктах інформаційної діяльності (ОІД) та комплексних систем захисту інформації (КСЗІ) в автоматизованих системах (АС).

Перелік складається з двох розділів.

Розділ 1 Переліку містить номенклатуру технічних засобів із захистом інформації, засобів ТЗІ, засобів контролю за ефективністю ТЗІ, засобів виявлення та індикації загроз безпеці інформації, відповідність яких вимогам нормативних документів з питань ТЗІ засвідчено сертифікатом відповідності або позитивним експертним висновком, одержаними у порядку, який встановлено нормативно-правовими актами: "Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення", затвердженим спільним наказом ДСТСЗІ СБ України та Держстандарту України від 09.07.2001 р. № 329/32, та "Положенням про державну експертизу в сфері технічного захисту інформації", затвердженим наказом ДСТСЗІ СБ України від 29.12.99 р. № 62.

Розділ 2 Переліку містить номенклатуру технічних засобів, які за принципом дії не створюють канали витоку оброблюваної інформації і можуть застосовуватися для оброблення інформації, необхідність охорони якої визначена законодавством. Він формується на підставі висновків державної експертизи або узгоджених з ДСТСЗІ СБ України результатів інших досліджень щодо цих технічних засобів, які засвідчують відсутність у них каналів витоку оброблюваної інформації.

Використання засобів цього Переліку під час розроблення, модернізації та впровадження комплексів ТЗІ на ОІД та КСЗІ в АІС не увільняє від необхідності оцінювання відповідності досягнутого рівня захисту інформації встановленому вимогами нормативних документів з ТЗІ, яке здійснюється шляхом атестації комплексів ТЗІ на ОІД або експертизи КСЗІ в АІС.

Можливість подальшого використання засобів, які не ввійшли до цього Переліку, в діючих комплексах ТЗІ на ОІД та КСЗІ в АІС визначається за результатами їх чергової атестації або експертизи.

Оновлення інформації, яка міститься в Переліку, здійснюється шляхом періодичного внесення змін до попередньої редакції. Перелік та його доповнення публікуються в засобах масової інформації та розміщуються на WEB-сайті www.dstszi.gov.ua.


Приклади:

Назва та позначення засобу 




Міжмережева система захисту (МСЗ) “Cisco Sucure Private Internet Exchange(PIX) Firewall” під керуванням “Cisco PIX IOS” версії 6.2 на апаратному засобі “РІХ 525”




Призначення




Захист від НСД до інформаційних ресурсів МСЗ та локальної мережі. Відповідає вимогам НД з ТЗІ з рівнем довіри Г-2 в обсязі функцій, зазначених у технічній документації, сукупність яких при доступі до ресурсів пристрою визначається функціональним профілем КА-4, КО-1, КВ-1, ЦА-4, ЦВ-1, ДС-1, ДВ-3, НР-3, НК-1, НИ-2, НО-3, НЦ-2, НТ-2, та при обробці транзитних потоків інформації – функціональним профілем КА-4, КО-1, ЦА-4, ДС-1, ДВ-3, НР-3, НК-1, НИ-1, НО-3, НЦ-2, НТ-2

Виробник (постачальник),
місто, телефон





ЗАТ “Інформаційні комп’ютерні системи”,
м. Київ, тел. (044) 247-39-00




Документ, що засвідчує відповідність вимогам ТЗІ, №




Експертний висновок

№ 40





Термін дії документа, що засвідчує відповідність вимогам ТЗІ




Дійсний до 23.01.2006 р.







Назва, позначення засобу та його технічних умов




Система комплексного антивірусного захисту автоматизованих робочих місць “Ukrainian National Antivirus for Win32” (Версія v 1.60), виробництва ТОВ „Український Антивірусний Центр”.




Призначення




Побудова системи антивірусного захисту, як складова частина комплексної системи захисту інформації 
Реалізує з рівнем гарантій Г2 сукупність функціональних послуг безпеки, яка визначається функціональним профілем ЦВ-1, НР-1, НО-1, НЦ-1, НВ-1.




Виробник (постачальник),
місто, телефон





ТОВ „Український Антивірусний Центр”,
м. Київ - 04080, вул.Терьохіна 4, тел. 468-66-50




Документ, що засвідчує відповідність вимогам ТЗІ, №, дата реєстрації




Експертний висновок, № 42, від 23.01.03 р.




Термін дії документа, що засвідчує відповідність вимогам ТЗІ








Перелік засобів забезпечення технічного захисту інформації загального призначення, на які ДСТСЗІ СБ України погоджено технічні умови

Цей Перелік призначений для інформування суб'єктів системи технічного захисту інформації (ТЗІ) про технічні засоби із захистом інформації, засоби ТЗІ, засоби контролю за ефективністю ТЗІ та засоби виявлення та індикації загроз безпеці інформації (далі - засоби), які розроблені в Україні і за певних умов можуть бути включені до Переліку засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України.

Такими умовами є:

- налагодження виробництва цих засобів суб'єктом господарювання, який має відповідну ліцензію на провадження діяльності у галузі ТЗІ;

- засвідчення відповідності цих засобів вимогам нормативних документів з питань ТЗІ сертифікатом відповідності або позитивним експертним висновком, одержаним у порядку, який встановлено нормативно-правовими актами: "Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення", затвердженим спільним наказом ДСТСЗІ СБ України та Держстандарту України від 09.07.2001 р. № 329/32, та "Положенням про державну експертизу в сфері технічного захисту інформації", затвердженим наказом ДСТСЗІ СБ України від 29.12.99 р. № 62.

Заявником робіт із сертифікації або експертного оцінювання засобів можуть бути:

- підприємство-виробник засобів;

- продавець (постачальник) засобів, який має договірні відносини з виробником;

- замовник засобів.

Перелік засобів формується на підставі облікованих технічних умов.

Оновлення інформації, яку містить Перелік, здійснюється шляхом періодичного внесення змін до попередньої редакції. Перелік та його доповнення публікуються у засобах масової інформації та розміщуються на WEB-сайті www.dstszi.gov.ua.
7.4. Експертиза в галузі технічного захисту інформації
Державна експертиза у сфері технічного захисту інформації проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в автоматизованих інформаційних системах, комп’ютерних мережах, системах зв’язку, приміщеннях та інженерно-технічних спорудах, де ці системи розташовано, а також з метою оцінки відповідності до вимог технічного захисту інформації окремих апаратних, програмних та програмно-апаратних засобів захисту інформації.

Результати експертизи є підґрунтям для прийняття рішення про можливість оброблення у зазначених системах інформації, яка потребує захисту, або про доцільність використання оцінених засобів для захисту інформації у складі комплексів засобів захисту інформації.


1   2   3   4   5   6   7   8   9


База даних захищена авторським правом ©lecture.in.ua 2016
звернутися до адміністрації

    Головна сторінка