Захисту податкової інформації в автоматизованій інформаційній системі дпс україни як єдиний комплекс



Сторінка9/9
Дата конвертації15.11.2016
Розмір0.97 Mb.
1   2   3   4   5   6   7   8   9

Основою для проведення експертних робіт в галузі ТЗІ є такі нормативно-правові документи:

- Закон України “Про захист інформації в автоматизованих системах”;

- Закон України “Про наукову і науково-технічну експертизу”;

- Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27 вересня 1999 року № 1229;

- Положення про Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України, затверджене Указом Президента України від 6 жовтня 2000 року № 1120/2000;

- Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, затверджене постановою Кабінету Міністрів України від 16.02.98 р. № 180 (для службового користування);

- Положення про державну експертизу в сфері технічного захисту інформації 29 грудня 1999 р. № 62, зареєстроване в Міністерстві юстиції України 24 січня 2000 р. за № 40/4261.

Положенням про державну експертизу в сфері технічного захисту інформації визначено об’єкти та суб’єкти експертизи, встановлено основні функції і права суб'єктів експертизи, порядок їх взаємодії при проведенні експертизи. У додатках приведено форми заяв та документів щодо результатів експертних робіт, які має отримати замовник експертизи.


Об’єктами експертизи є:

- комплексні системи захисту інформації (далі - КСЗІ), кожна з яких є невід'ємною складовою частиною конкретного об’єкта інформаційної діяльності, до складу якого входять автоматизовані інформаційні системи, комп’ютерні мережі, системи зв’язку. КСЗІ поєднує організаційні та інженерні заходи, програмні й апаратні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;

- окремі апаратні, програмні та програмно-апаратні засоби, які реалізують функції технічного захисту інформації (далі - засоби забезпечення технічного захисту інформації, ЗТЗІ).
До суб’єктів експертизи належать:

юридичні та фізичні особи, які є замовниками експертизи (далі - Замовники);

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України, а також підприємства, установи та організації, які проводять експертизу за його дорученням (далі - Організатори);

фізичні особи - виконавці експертних робіт з технічного захисту інформації (далі - Експерти).

Відносно об’єктів експертизи можуть здійснюватись два види експертизи: первинна і контрольна.

Первинна експертиза є основним видом експертизи і передбачає виконання всіх необхідних заходів для підготвки й ухвалення рішення про об'єкт експертизи.

Контрольна експертиза проводиться іншим Організатором, що не проводив первинну експертизу, з ініціативи Замовника - при наявності в нього обґрунтованих претензій до висновку первинної експертизи, або з ініціативи ДСТСЗІ СБУ - із метою перевірки висновків первинної експертизи.

Основні етапи взаємодії Замовника експертизи з ДСТСЗІ СБУ і Організаторами експертизи.

- Для проведення експертизи Замовник надсилає на ім'я керівника ДСТСЗІ СБУ заяву у двох екземплярах з обов'язковою копією на магнітному носії.

- ДСТСЗІ СБУ у місячний термін приймає рішення про доцільність проведення експертизи і визначає її Організатора.

- Замовник і Організатор складають договір на проведення експертизи, який є основним юридичним документом, що регламентує відношення між ними.

- Склад Експертів, що залучаються до виконання експертних робіт при проведенні конкретної експертизи, визначається Організатором.

- Замовник надає Організатору визначений нормативними документами системи ТЗІ комплект організаційно-технічної документації на об'єкт експертизи.

- Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик експертної оцінки ЗТЗІ і КСЗІ, формує і погоджує з Замовником програму проведення експертизи об'єкта; розробляє окремі методики і, при необхідності, відповідне програмно-технічне забезпечення.

- У випадку виявлення невідповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, Організатор може запропонувати Замовнику виконати доробку об'єкта. Термін доробки об'єкта експертизи визначається спільним протоколом між Замовником і Організатором. Відомості про всі доробки, а також результати додаткових експертних робіт оформляються окремими протоколами.

- За результатами проведених робіт Організатор складає “Експертний висновок” про відповідність або невідповідність об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає його в ДСТСЗІ СБУ.

- У випадку затвердження ДСТСЗІ СБУ результатів експертизи, “Експертний висновок” на засіб технічного захисту інформації реєструється і видається Замовнику.

- Наявність позитивного рішення щодо експертизи засобу технічного захисту інформації є підставою для введення його до Переліку засобів забезпечення технічного захисту інформації (загального користування).

- На підставі позитивного рішення по експертизі КСЗІ Замовнику видається зареєстрований “Атестат відповідності”, що підписується керівником (заступником керівника) ДСТСЗІ СБУ.


Роз’яснення щодо змісту та порядку виконання робіт зі створення комплексної системи захисту інформації та одержання Атестату відповідності

17 червня 2002 року набув чинності наказ Держкомзв’язку N 122 “Про затвердження Порядку складання та ведення переліку підприємств (операторів), які надають послуги з доступу до глобальних мереж передачі даних органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям, які одержують, обробляють, поширюють і зберігають інформацію, що є об'єктом державної власності та охороняється згідно із законодавством”.

У зв’язку з цим Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України підготовлено наступне інформаційне повідомлення щодо порядку створення комплексних систем захисту інформації (КСЗІ) вузлів комутації мережі передачі даних та одержання атестату відповідності цієї КСЗІ вимогам нормативних документів України у сфері технічного захисту інформації (ТЗІ).
Пояснення термінів:

інформаційно-телекомунікаційна система – організаційно-технічна сукупність, що складається з автоматизованої інформаційної системи та мережі передачі даних;

мережа передачі даних – організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв’язку;

оператор мережі передачі даних (вузла комутації) - юридична особа, що здійснює діяльність щодо надання послуг з передачі даних;

користувач мережі передачі даних - фізична або юридична особа (власник автоматизованої інформаційної системи), яка користується послугами мережі передачі даних за договором з оператором;

комплексна система захисту інформації - сукупність організаційних, інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації;

інформація користувачів - дані, які передаються мережею передачі даних незалежно від способу їх фізичного та логічного представлення.

Порядок виконання робіт зі створення КСЗІ та одержання Атестату відповідності.

Основи організації та порядок захисту державних інформаційних ресурсів у МПД загального користування або подвійного призначення визначено нормативно-правовим актом “Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах”, затвердженим наказом ДСТСЗІ СБ України від 24.12.2001 р. №76 і зареєстрованим в Міністерстві юстиції України 11.01.2002 р. за №27/6315 (далі – Порядок).

Відповідно до п.п. 12-20 Порядку оператори МПД повинні забезпечити створення, упровадження та супроводження на кожному з вузлів комутації МПД комплексної системи захисту інформації, яка є сукупністю технічних, криптографічних, організаційних та інших заходів і засобів захисту, спрямованих на недопущення блокування та/або модифікації інформації під час її передавання МПД. Реалізація заходів щодо забезпечення конфіденційності державних інформаційних ресурсів та захисту від несанкціонованого доступу до них з боку МПД в автоматизованих інформаційних системах користувачів не є завданням операторів і покладається на користувачів МПД.

Згідно з положеннями Порядку та відповідно до вимог нормативних документів з ТЗІ загальні вимоги щодо захисту інформації в МПД полягають у наступному:

КСЗІ повинна регламентувати порядок обробки інформації користувачів МПД, технологічної інформації, що формується в МПД, та інформації бази даних захисту КСЗІ.

У мережах загального користування або подвійного призначення повинна виключатися можливість несанкціонованого копіювання та зберігання інформації користувачів.

Повинна забезпечуватись конфіденційність інформації бази даних захисту КСЗІ та технологічної інформації МПД.

КСЗІ МПД повинна забезпечувати цілісність інформації, що передається мережею, шляхом забезпечення доступу до неї тільки персоналу МПД відповідно до встановлених функціональних повноважень, а також впровадженням механізмів та процедур виявлення фактів порушення цілісності зазначеної інформації, її видалення або копіювання.

КСЗІ МПД повинна вести облік і здійснювати реєстрацію подій, які пов’язані із безпосереднім доступом (спробами доступу) до інформації, здійснювати періодичний контроль за такими подіями та забезпечувати захист реєстраційної інформації від несанкціонованої модифікації, руйнування або знищення. Обсяг реєстраційної інформації повинен бути достатнім для встановлення причин та джерела виникнення зареєстрованої події.

Послуги МПД повинні надаватись тільки зареєстрованим користувачам за умови їх достовірного розпізнавання. Взаємодія вузлів комутації МПД з метою передавання інформації між ними може здійснюватися після достовірного взаємного розпізнавання.

КСЗІ повинна мати можливість контролювати цілісність власного складу та окремих програмно-технічних компонентів.

Повинна забезпечуватися можливість однозначного встановлення належності інформації, що передається МПД, певному користувачеві.

Повинна забезпечуватися можливість встановлення факту передавання або одержання оператором чи користувачем певної інформації.

Повинно унеможливлюватися з боку користувачів несанкціоноване або неконтрольоване використання ресурсів МПД.

Критичні з точки зору безпеки компоненти КСЗІ повинні резервуватися, для того щоб їх відмова не призводила до переривання процесу надання послуг.

У разі виникнення відмов, які порушують функціонування КСЗІ, надання вузлом послуг користувачам має бути призупинене.

Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД відповідно до вимог та рекомендацій нормативних документів з технічного захисту інформації. Зазначені роботи виконуються оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації.

Основним документом, у якому визначаються вимоги з технічного захисту інформації, послідовність та зміст робіт з розробки та впровадження КСЗІ, є Технічне завдання на створення КСЗІ. З метою оцінки та підтвердження відповідності вимогам нормативних документів з ТЗІ доцільно на етапі затвердження погодити зазначене технічне завдання з ДСТСЗІ СБ України.

Таким чином, оператор МПД повинен для кожного з вузлів комутації мережі виконати комплекс робіт щодо розроблення вимог із захисту інформації користувачів, технологічної інформації та баз даних КСЗІ, впровадити необхідні організаційні заходи, технічні та програмні засоби захисту інформації, провести приймальні випробування КСЗІ і документувати результати всіх робіт. Згідно з вимогами законодавства для створення КСЗІ повинні застосовуватися засоби захисту, які мають сертифікати або експертні висновки щодо їх відповідності вимогам нормативних документів з ТЗІ. Після завершення зазначених робіт КСЗІ готова для проведення її державної експертизи.

Якщо зазначені заходи здійснено не в повному обсязі, зокрема окремі засоби захисту не мають відповідних сертифікатів та експертних висновків, то необхідні заходи щодо їх оцінки можуть бути реалізовані під час проведення державної експертизи.

Передавання державних інформаційних ресурсів дозволяється тільки через вузли комутації, що мають атестат відповідності КСЗІ вимогам із захисту інформації, який надається за результатами державної експертизи в сфері технічного захисту інформації.

Для одержання зазначеного атестату оператору МПД необхідно подати до ДСТСЗІ СБ України заяву про проведення державної експертизи. Порядок проведення державної експертизи, форма заяви та комплектність і зміст документів, що додаються до неї, визначено Положенням про державну експертизу в сфері технічного захисту інформації.


7.5. Електронний цифровий підпис

Закон України “Про електронний цифровий підпис” (від 22 травня 2003 року N 852-IV)

Закон визначає правовий статус електронного цифрового підпису та регулює відносини, що виникають при використанні електронного цифрового підпису.



Рис. 9 Закон України “Про електронний цифровий підпис”


У Законі терміни вживаються у такому значенні:

електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних;

електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа;

засіб електронного цифрового підпису - програмний засіб, програмно-апаратний або апаратний пристрій, призначені для генерації ключів, накладення та/або перевірки електронного цифрового підпису;

особистий ключ - параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки підписувачу;

відкритий ключ - параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб'єктам відносин у сфері використання електронного цифрового підпису;

засвідчення чинності відкритого ключа - процедура формування сертифіката відкритого ключа;

сертифікат відкритого ключа (далі - сертифікат ключа) - документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Сертифікати ключів можуть розповсюджуватися в електронній формі або у формі документа на папері та використовуватися для ідентифікації особи підписувача;

посилений сертифікат відкритого ключа (далі - посилений сертифікат ключа) - сертифікат ключа, який відповідає вимогам цього Закону, виданий акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом;

акредитація - процедура документального засвідчення компетентності центра сертифікації ключів здійснювати діяльність, пов'язану з обслуговуванням посилених сертифікатів ключів;

компрометація особистого ключа - будь-яка подія та/або дія, що призвела або може призвести до несанкціонованого використання особистого ключа;

блокування сертифіката ключа - тимчасове зупинення чинності сертифіката ключа;

підписувач - особа, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис під час створення електронного документа;

надійний засіб електронного цифрового підпису - засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюється у порядку, визначеному законодавством.

Суб'єктами правових відносин у сфері послуг електронного цифрового підпису є:



  • підписувач;

  • користувач;

  • центр сертифікації ключів;

  • акредитований центр сертифікації ключів;

  • центральний засвідчувальний орган;

  • засвідчувальний центр органу виконавчої влади або іншого державного органу (далі - засвідчувальний центр);

  • контролюючий орган.

Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо:

  • електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;

  • під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;

  • особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.

Електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів.

Електронний цифровий підпис використовується фізичними та юридичними особами - суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.

Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа.

У випадках, коли відповідно до законодавства необхідне засвідчення дійсності підпису на документах та відповідності копій документів оригіналам печаткою, на електронний документ накладається ще один електронний цифровий підпис юридичної особи, спеціально призначений для таких цілей.

Центр сертифікації ключів

Центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі з дотриманням вимог статті 6 цього Закону.

Обслуговування фізичних та юридичних осіб здійснюється центром сертифікації ключів на договірних засадах.

Акредитований центр сертифікації ключів

Центр сертифікації ключів, акредитований в установленому порядку, є акредитованим центром сертифікації ключів.

Акредитований центр сертифікації ключів має виконувати усі зобов'язання та вимоги, встановлені законодавством для центру сертифікації ключів, та додатково зобов'язаний використовувати для надання послуг електронного цифрового підпису надійні засоби електронного цифрового підпису.

Центральний засвідчувальний орган

Центральний засвідчувальний орган визначається Кабінетом Міністрів України.

Центральний засвідчувальний орган:


  • формує і видає посилені сертифікати ключів засвідчувальним центрам та центрам сертифікації ключів з дотриманням вимог статті 6 цього Закону;

  • блокує, скасовує та поновлює посилені сертифікати ключів засвідчувальних центрів та центрів сертифікації ключів у випадках, передбачених цим Законом;

  • веде електронні реєстри чинних, блокованих та скасованих посилених сертифікатів ключів засвідчувальних центрів та центрів сертифікації ключів;

  • веде акредитацію центрів сертифікації ключів, отримує та перевіряє інформацію, необхідну для їх акредитації;

  • забезпечує цілодобово доступ засвідчувальних центрів та центрів сертифікації ключів до посилених сертифікатів ключів та відповідних електронних реєстрів через загальнодоступні телекомунікаційні канали;

  • зберігає посилені сертифікати ключів засвідчувальних центрів та центрів сертифікації ключів;

  • надає засвідчувальним центрам та центрам сертифікації ключів консультації з питань, пов'язаних з використанням електронного цифрового підпису.

Центральний засвідчувальний орган відповідає вимогам, встановленим законодавством для акредитованого центру сертифікації ключів.

Постанова Кабінету Міністрів України від 28 жовтня 2004 p. № 1452 “Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності”

Порядок визначає вимоги до застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності (далі - установи).

Установа застосовує електронний цифровий підпис лише за умови використання надійних засобів електронного цифрового підпису, що повинне бути підтверджено сертифікатом відповідності або позитивним висновком за результатами державної експертизи у сфері криптографічного захисту інформації, отриманим на ці засоби від спеціально уповноваженого центрального органу виконавчої влади у сфері криптографічного захисту інформації, та наявності посилених сертифікатів відкритих ключів у своїх працівників - підписувачів.

Установа застосовує електронний цифровий підпис для вчинення правочинів за участю інших юридичних та фізичних осіб лише за наявності у них посилених сертифікатів відкритих ключів.

Установа не застосовує електронний цифровий підпис:



  • для складання електронних документів, які не можуть бути оригіналами у випадках, передбачених законодавством;

  • для вчинення правочинів на суму, що перевищує 1 млн. гривень.

Установа отримує на договірних засадах послуги, пов'язані з електронним цифровим підписом, від акредитованого центру сертифікації ключів. При цьому установа може отримувати такі послуги лише від одного акредитованого центру сертифікації ключів.

Відповідальність за організацію застосування електронного цифрового підпису в установі несе її керівник, якщо інше не встановлено законодавством.

Генерація особистого та відкритого ключів здійснюється підписувачем безпосередньо в установі або в акредитованому центрі сертифікації ключів, що її обслуговує. У разі потреби під час генерації ключів підписувачеві надається допомога персоналом відповідального підрозділу (спеціально визначеним працівником) або персоналом акредитованого центру сертифікації ключів.

У посиленому сертифікаті відкритого ключа підписувача додатково зазначається його належність до установи та посада, яку він займає.

У разі коли згідно із законодавством необхідне засвідчення печаткою справжності підпису на документах та відповідності копій документів оригіналам, установа застосовує спеціально призначений для таких цілей електронний цифровий підпис (далі - електронна печатка).

У посиленому сертифікаті відкритого ключа, що використовується установою для електронної печатки, додатково зазначається спеціальне призначення електронного цифрового підпису та сфера його застосування, а також відтворюється текстова інформація, розміщена на відповідній печатці.



Підписувач на один і той самий момент часу може мати і використовувати лише один особистий ключ, якому відповідає відкритий ключ з чинним посиленим сертифікатом, отриманим установою. Це обмеження не стосується електронної печатки.




1   2   3   4   5   6   7   8   9


База даних захищена авторським правом ©lecture.in.ua 2016
звернутися до адміністрації

    Головна сторінка