Нормативно-правове, технічне та метрологічне забезпечення системи технічного захисту інформації в Україні

Забезпечення інформаційної безпеки згідно зі статтею 17 Конституції України є однією з найважливіших функцій держави. Для забезпечення відповідної безпеки інформації (для забезпечення захисту інформації від загроз її безпеки) в Україні створені державні системи технічного і криптографічного захисту інформації (КЗІ).

Інформаційна безпека — стан захищеності національних інтересів України в інформаційній сфері, за якого не допускається (або зводиться до мінімуму) заподіяння шкоди особі, суспільству, державі через: неповноту, несвоєчасність, недостовірність інформації; несанкціоноване поширення та використання інформації; негативний інформаційний вплив; негативні наслідки функціонування інформаційних технологій.

Система технічного захисту інформації (ТЗІ) — це сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації Інженерно-технічними заходами (далі — організаційні структури), нормативно-правова та матеріально-технічна бази.

Одним з головних завдань розвитку системи ТЗІ в Україні є формування, створення і вдосконалення нормативно-правової і матеріально-технічної баз, як її складових.

Правову основу забезпечення ТЗІ в Україні становлять Конституція України, Закон України «Про основи національної безпеки», Закони України «Про інформацію», «Про захист інформації в автоматизованих системах», «Про державну таємницю», «Про науково-технічну інформацію», інші нормативно-правові акти, а також міжнародні договори України, що стосуються сфери інформаційних відносин.

Згідно з п.6 Положення про технічний захист інформації в Україні, затвердженим Указом Президента України від 27.09.99 р. № 1229 (Положення), порядок здійснення заходів такого захисту має визначатися відповідними нормативними документами (НД) і, нормативно-правовими актами, що складають нормативно-правову базу системи ТЗІ в Україні. Класифікація НД.

Щодо розповсюдження НД:

— згідно з постановою Кабінету Міністрів України від 12.11.96 р. № 1504 і наказом Міністерства юстиції України від 02.04.97 р. 126/7 забезпечення нормативно-правовими актами України (Закони України, Укази Президента України, постанови Кабінету Міністрів України) покладається на Управління інформаційного забезпечення Міністерства юстиції України. Ці акти публікуються в інформаційному бюлетені «Офіційний вісник України», газетах «Урядовий кур'єр» і «Голос України».

— офіційними розповсюджувачами нормативних документів із питань ТЗІ, включаючи документи Держтехкомісії колишнього СРСР, є Науково-технічний центр «Євроконтакт» і Товариство з обмеженою відповідальністю «НікС», які, згідно з відповідними договорами, здійснюють тиражування, розповсюдження і супроводження (внесення змін у розповсюджених примірниках) НД з питань ТЗІ.

— державні стандарти не можуть бути повністю чи частково відтворені, тиражовані та розповсюджені, як офіційні видання, без дозволу Держстандарту України і повинні бути придбані через спеціалізовану торгову мережу Держстандарту.

Структура нормативно-правової бази системи технічного захисту інформації.

Нормативно-правові акти з ТЗІ:

— Закони України;

— акти Верховної Ради України, Президента України, Кабінету Міністрів України (укази, постанови, розпорядження тощо);

— акти Служби безпеки України, інших органів управління (накази, розпорядження тощо).

Нормативні документи стосовно технічного захисту інформації:

— державні стандарти (ГОСТ, ДСТУ);

— нормативні документи зі стандартизації:

— галузеві стандарти України (ГСТУ);

— стандарти науково-технічних та інженерних товариств і спілок України (СТТУ);

— технічні умови України (ТУУ);

— стандарти підприємств (СТП);

— державні (відомчі) будівельні стандарти, норми (ДСТУБ, ДБН, ВБН);

— міжвідомчі нормативні документи системи технічного захисту інформації — НД ТЗІ (основні положення, норми, загальні технічні вимоги, рекомендації, методичні вказівки, методики контролю тощо);

— нормативні документи Держтехкомісії колишнього СРСР системи ПДІТР (норми, вимоги, рекомендації, вказівки, методики контролю тощо);

— відомчі документи з ТЗІ (документи з організації забезпечення ТЗІ в органах; завдання та функції з ТЗІ органів, їх підрозділів, положення про підрозділи ТЗІ тощо).

Згідно з Положенням матеріально-технічна база системи технічного захисту інформації складається з технічних засобів загального призначення та спеціальних технічних засобів.

Технічні засоби загального призначення повинні мати документ, що засвідчує їх відповідність вимогам нормативно-правових актів із технічного захисту інформації, одержаний у порядку, що встановлюється ДССЗЗІ і Комітетом України з питань стандартизації, метрології та сертифікації.

Створення ДССЗЗІ умов організаційної підтримки ініціативних розроблень та надання методичної допомоги розробникам продукції в галузі ТЗІ, а також їх заохочення через дозвільний статус Переліку технічних засобів від 04.02.1999 р. дало позитивний поштовх на розвиток матеріально-технічної бази системи ТЗІ. На підставі звернення виробника технічного засобу ДССЗЗІ за результатами приймальних випробувань узгоджує технічні умови щодо вимог ТЗІ. Після реєстрації ТУ в установленому порядку засіб включається до переліку.

Засоби системи ПДІТР СРСР в існуючих комплексах, а у створюваних — за умови відсутності вітчизняних аналогів — дозволяється застосовувати в разі наявності в них відповідного технічного ресурсу.

Під час підготовки до затвердження переліку в жовтні 2002 р. опрацьована нова структура переліку, а саме його розподіл на два переліки.

1. Перелік засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України. Цей Перелік формується відповідно до п.17 «Положення про технічний захист інформації в Україні», затвердженого Указом Президента України від 27 вересня 1999 року № 1229.

Використання засобів цього Переліку під час розроблення, модернізації та впровадження комплексів ТЗІ на ОІД та КСЗІ в АС не увільняє від необхідності оцінювання відповідності досягнутого рівня захисту інформації, встановленому вимогами нормативних документів із ТЗІ, яке здійснюється шляхом атестації комплексів ТЗІ на ОІД або експертизи КСЗІ в АС.

Можливість подальшого використання засобів, які не ввійшли до цього Переліку, у діючих комплексах ТЗІ на ОІД та КСЗІ в АС визначається за результатами їх чергової атестації або експертизи.

2. Перелік засобів забезпечення технічного захисту інформації загального призначення, на які ДССЗЗІ погоджено технічні умови. Цей Перелік призначений для інформування суб'єктів системи ТЗІ про технічні засоби із захистом інформації, засоби ТЗІ, засоби контролю за ефективністю ТЗІ та засоби виявлення та індикації загроз безпеці інформації (далі — засоби), які розроблені в Україні і за певних умов можуть бути включені до Переліку засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України.

Перелік засобів формується на підставі облікованих технічних умов.

Переліки містять відомості щодо:

— 70 засобів (без врахування їх модифікацій), відповідність яких вимогам нормативних документів з питань ТЗІ засвідчено сертифікатом відповідності або позитивним експертним висновком, з яких 35 — вітчизняні засоби;

— 143 засобів КРТ класу «А», які не створюють каналу витоку оброблення інформації;

— 52 засобів, на які ДССЗЗІ погоджено технічні умови. Нормативними документами системи ТЗІ визначені такі процедури оцінювання рівня захищеності інформації:

— атестація інженерно-технічних споруд, приміщень, технічних засобів;

— сертифікація технічних і програмно-апаратних засобів захисту інформації;

— експертиза комплексних систем захисту інформації інформаційних систем; технічних і програмно-апаратних засобів захисту інформації.

Заявником робіт із сертифікації або експертного оцінювання засобів можуть бути:

— підприємство-виробник засобів;

— продавець (постачальник) засобів, який має договірні відносини з виробником;

— замовник засобів.

Для застосування споживачем засобів ТЗІ необхідно гарантувати йому відповідність цих засобів нормативним документам. Така гарантія надається після проведення складних організаційно-технічних заходів. Одним із таких заходів є процедура сертифікації засобів ТЗІ, у результаті якої незалежною від виробника і споживача стороною, спеціальним документом — сертифікатом — підтверджується відповідність цих засобів вимогам нормативних документів із питань ТЗІ.

Завдання створення системи сертифікації засобів ТЗІ в Україні було покладено на Державну службу України з питань технічного захисту інформації на початку її заснування у 1993 p., і складність його полягала в тому, що взагалі раніше ні в СРСР, ні в Україні не проводилася сертифікація засобів ТЗІ, до того ж на той час бракувало необхідної для досягнення цієї мети нормативно-правової та матеріально-технічної бази.

Рішення Президента України щодо покладання питань технічного захисту інформації в Україні на ДСТСЗІ, а згодом і прийняття Закону України «Про державну службу спеціального зв'язку та захисту інформації», сприяло не тільки прискоренню розроблення та впровадження першочергових нормативних документів у галузі ТЗІ, а й надало можливість створення необхідної матеріально-технічної бази для сертифікації засобів забезпечення ТЗІ.

Найбільш важливим документом, який не тільки удосконалює систему сертифікації засобів ТЗІ а й практично завершує процес її організаційно-структурного створення, є розроблений та впроваджений фахівцями ДСТСЗІ, згідно до Положення про технічний захист інформації в Україні, нормативний акт «Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення», зареєстрований у Міністерстві юстиції України 26.07.01 р. за № 640/5831.

Цей документ встановлює порядок та вимоги до проведення сертифікації засобів ТЗІ загального призначення в системі УкрСЕПРО і є обов'язковим як для акредитованих у системі органів із сертифікації засобів ТЗІ та випробувальних лабораторій, так і для підприємств, установ й організацій, у тому числі іноземних, які виготовляють і (або) постачають засоби ТЗІ в державні і недержавні установи, де циркулює інформація з обмеженим доступом, охорона якої забезпечується державою.

На теперішній час у нашій державі сертифікація засобів ТЗІ здійснюється акредитованим в УкрСЕПРО органом із сертифікації Державного центру випробувань засобів ТЗІ, який знаходиться у сфері управління ДССЗЗІ, та випробувальними лабораторіями і на практиці здійснюється випробування заявленої продукції.

Організаційну структуру системи сертифікації засобів забезпечення технічного захисту інформації складають:

I. Орган із сертифікації Державного центру випробувань засобів ТЗІ.

II. Акредитована на технічну компетентність Випробувальна лабораторія засобів забезпечення технічного захисту інформації загального ВАТ «Холдингова компанія «Укрспецтехніка».

III. Акредитована на технічну компетентність випробувальна лабораторія Науково-дослідного центру «ТЕЗІС» Національного технічного університету України «КПІ».

Уведення процедури експертного оцінювання систем захисту інформації інформаційних систем, технічних і програмно-апаратних засобів захисту зумовлюється логічною складністю сучасних програмно-апаратних комплексів, а також істотним впливом на безпеку інформації конкретних умов експлуатації інформаційних систем. У випадках оцінки програмно-апаратних засобів закордонного виробництва, як правило, відсутня необхідна для проведення їхньої сертифікації технічна документація, практично неможливою є організація необхідної взаємодії органів сертифікації з закордонними виробниками засобів захисту.

Методологічною основою процедури експертного оцінювання є експертиза технічних рішень і організаційних заходів, що базується як на узагальненні висновків окремих експертів, так і на результатах інструментальних вимірів і випробувань комплексу програмно-апаратних і технічних засобів захисту інформації