Види робіт, які виконуються в межах господарської діяльності з кзі, що підлягає ліцензуванню

3.1. Розробка апаратних, апаратно-програмних засобів КЗІ та криптосистем.

3.2. Розробка програмних засобів КЗІ та криптосистем.

3.3. Виробництво апаратних, апаратно-програмних засобів КЗІ та криптосистем.

3.4. Виробництво програмних засобів КЗІ та криптосистем.

3.5. Використання, експлуатація засобів КЗІ та криптосистем.

3.6. Сертифікаційні випробування, експертиза криптосистем та засобів КЗІ.

3.7. Тематичні дослідження засобів КЗІ та криптосистем.

3.8. Надання послуг в галузі КЗІ.

3.9. Ввезення, вивезення засобів КЗІ та криптосистем.

3.10. Торгівля засобами КЗІ та криптосистемами.

Нормативно-правові умови надання послуг в сфері торгівлі криптосистемами і засобами криптографічного захисту інформації. Нормативно-правові основи та порядок сертифікації засобів КЗІ.

Вимоги для провадження господарської діяльності у галузі КЗІ 4.1. Кваліфікаційні вимоги4.1.1. Суб’єкт господарювання має бути укомплектований штатними спеціалістами, які відповідають заявленому виду діяльності та обсягу робіт (за кількістю, освітою, професійною підготовкою, кваліфікацією, досвідом роботи).4.1.2. Спеціалісти повинні забезпечувати:проведення повного циклу розробки криптосистем і засобів КЗІ, що може включати або бути пов’язаний з прикладними науковими дослідженнями, вибором напрямків та проведенням теоретичних (експериментальних) досліджень (фундаментальних наукових досліджень), ескізним (технічним) проектуванням і макетуванням, проектно-пошуковими роботами та технологічним проектуванням, створенням і виготовленням конструкторської документації, створенням та проведенням випробувань дослідних зразків, схемою виробництва, користуванням конструкторською документацією або доопрацюванням дослідних зразків за результатами випробувань (для робіт, які визначені пунктами 3.1, 3.2);4.1.3. Спеціалісти повинні мати повну вищу освіту відповідного професійного спрямування (для робіт, які визначені пунктами 3.1-3.4, 3.6-3.8).4.1.4. За професійною підготовкою та кваліфікацією повинні бути спеціалісти з питань криптографії та програмування (для робіт, які визначені пунктами 3.1, 3.2, 3.6, 3.7).4.1.5. Спеціалісти повинні володіти такими знаннями:основних нормативних, керівних документів, що регламентують порядок виконання робіт у галузі КЗІ (в обсязі, необхідному для їх виконання);з питань криптографії (в обсязі, необхідному для виконання робіт);принципів роботи і технічних характеристик необхідної контрольної, вимірювальної апаратури, засобів і комплексів обчислювальної техніки, що використовуються (для робіт, які визначені пунктами 3.1-3.8);методів проектування і розробки криптосистем і засобів КЗІ (для робіт, які визначені пунктами 3.1, 3.2);експлуатаційної документації на криптосистеми і засоби КЗІ, відповідних інструкцій та положень щодо порядку експлуатації та забезпечення безпеки (для робіт, які визначені п. 3.5);алгебраїчних, статистичних, комбінаторних досліджень, розрахунку імовірних характеристик (для робіт, які визначені пунктами 3.1, 3.2, 3.6, 3.7);методик проведення сертифікаційних випробувань та експертизи криптосистем і засобів КЗІ (для робіт, які визначені п. 3.6).

Технічний захист інформації на програмно-керованих АТС загального користування основні положення НД ТЗІ 1.1-001-99. Поняття ТЗІ на АТС. Основні принципи ТЗІ на АТС. Види загроз для інформації на АТС. Моделі порушників на АТС. Види забезпечення систем ТЗІ на АТС.

Загальні положення НД ТЗІ 1.1-001-99

4.1 У цьому документі надані специфікації гарантій захисту інформаційних ресурсів технологічних середовищ створення та експлуатації АТС. Специфікації гарантій захисту необхідні для визначення рівнів довіри до коректності розробок, реалізацій та експлуатації систем ТЗІ на оцінюваних АТС.

4.2 Передбачається, що оцінка рівнів довіри виконується відповідно до базової методики оцінки захищеності інформації на АТС (див. НД ТЗІ 3.7-002-99), яка заснована на єдиних (уніфікованих) для Європейського Союзу "Критеріях оцінки безпеки систем інформаційної техніки - ITSEC".

4.3 У цьому документі специфіковані гарантії за п'ятьма аспектами забезпечення захищеності інформації в технологічному середовищі створення та експлуатації систем ТЗІ і АТС у цілому:

- гарантії безпеки середовища персоналу;

- гарантії стандартизації технологічного середовища;

- гарантії забезпечення спостережності і керованості технологічного середовища;

- гарантії забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища;

- гарантії якості документації.

ТЗІ на АТС - запобігання за допомогою інженерно-технічних заходів реалізаціям загроз для інформаційних ресурсів АТС, що створюються через технічні канали, через канали спеціальних впливів та шляхом несанкціонованого доступу.

У процесі розробки ТЗ на систему ТЗІ на АТС:

· аналізуються інформаційні потоки через АТС, характер і зміст розв'язуваних її

· абонентами задач, рівень цінності (у т.ч., ступінь конфіденційності) інформації абонентів;

· оцінюються характеристики технологічного середовища експлуатації АТС, що підлягає захисту;

· створюються моделі порушників;

· виявляються дестабілізуючі чинники і загрози для інформаційних ресурсів;

· прогнозуються імовірності прояву загроз, потенційно можливі і припустимі втрати власників і абонентів АТС, що пов'язані з такими проявами;

· будується модель загроз;

· задаються вимоги до необхідного рівня захищеності інформаційних ресурсів на АТС.

Модель порушника - опис ймовірних дій порушника, рівня його повноважень,

ресурсних можливостей, використовуваних ним програмних і (або) апаратних засобів з

метою реалізації загроз для інформації на АТС.

Технічний захист інформації на програмно-керованих АТС загального користування специфікації функціональних послуг захисту НД ТЗІ 2.5 – 001 – 99. Семантика функціональних послуг захисту. Навести приклади.

Цей нормативний документ (НД) містить специфікації функціональних послуг захисту (ФПЗ) інформаційних ресурсів АТС, а також специфікації рівнів стійкості механізмів захисту інформації, які ці ФПЗ реалізують.

Цей документ містить у собі:

– множину специфікованих ФПЗ, якими слід користуватися в процесі створення моделі захисту інформаційних ресурсів АТС, якщо оцінка рівня захищеності цих ресурсів виконується або буде виконуватися відповідно до вимог НД ТЗІ 2.3-001-99;

– специфікації ФПЗ для АТС, які слід використовувати, якщо оцінка рівня захищеності інформаційних ресурсів АТС виконується або буде виконуватися відповідно до вимог НД ТЗІ 2.3-001-99;

– специфікації рівнів стійкості механізмів захисту, які реалізують специфіковані у цьому документі ФПЗ. В процесі створення моделі захисту інформаційних ресурсів АТС (див. НД ТЗІ 2.7-001-99) припустимо використання ФПЗ та відповідних механізмів захисту, специфікації котрих не знайшли відображення в цьому документі. Специфікації таких ФПЗ та механізмів захисту мають бути узгоджені з уповноваженим державним органом з питань ТЗІ.

– ФПЗ в цьому документі специфіковані відносно таких п’яти видів загроз (див. НД ТЗІ 1.1-001-99):

– порушення конфіденційності (тобто, ознайомлення з інформацією неавторизованними особами);

– порушення цілісності (тобто, несанкціонована законним власником зміна, підміна або знищення інформації);

– порушення доступності або відмова в обслуговуванні (тобто, позаштатні обмеження в реалізації авторизованими користувачами штатних процедур доступу до інформаційних ресурсів, зокрема через збої або відмови в роботі устаткування або програмних засобів);

– порушення спостережності або керованості (тобто, порушення штатних процедур ідентифікації і(або) автентифікації, контролю за доступом і контролю дій користувачів, повна або часткова втрата керованості станцією);

– несанкціоноване користування інформаційними ресурсами станції (у т.ч., несанкціоноване користування послугами, наданими станцією і т. ін.).

Специфікації ФПЗ (Семантика)

Для оцінки коректності (слушності) проекту КЗМЗ на АТС відповідно до НД ТЗІ 2.7-001-99 необхідно переконатися, що всі ФПЗ, які включені в модель захисту інформаційних ресурсів АТС, повною мірою і безпомилково реалізуються в техно-робочому проекті системи ТЗІ згідно з нормованими специфікаціями цих послуг.

Технічний захист інформації на програмно-керованих АТС загального користування специфікації гарантій захисту НД ТЗІ 2.5-002-99. Гарантії безпеки середовища персоналу. Гарантії стандартизації технологічного середовища. Гарантії забезпечення спостережності і керованості технологічного середовища.

Цей нормативний документ (НД) установлює вимоги до гарантій захисту інформації, що циркулює на програмно - керованих АТС загального користування, а також на установських (відомчих, корпоративних) АТС.

5 Специфікації гарантій безпеки середовища персоналу

5.1 Для забезпечення гарантій безпеки середовища персоналу, тобто для забезпечення визначеного рівня довіри до персоналу, необхідно виконати вимоги, основні види яких наведені в таблиці 5.1.

Таблиця 5.1

Види вимог до безпеки середовищ персоналу	Позначення виду вимог
1 Вимоги до системи організації праці	Т1.1
2 Вимоги до контролю системи організації праці	Т1.2
3 Вимоги до поведінки персоналу в робочий час	Т1.3
4 Вимоги до контролю поведінки персонала в робочий час	Т1.4
5 Вимоги до поведінки персоналу в неробочий час	Т1.5
6 Вимоги до контролю поведінки персонала в неробочий час	Т1.6

6 Специфікації гарантій стандартизації технологічного середовища

6.1 Для одержання гарантій забезпечення якості стандартизації технологічного середовища необхідно виконати вимоги, основні види яких наведені таблиці 6.1.

Таблиця 6.1

Види вимог до стандартизації середовища	Позначення виду вимог
1 Вимоги до повноти охоплення стандартами елементів середовища	Т3.1
2 Вимоги до глибини охоплення стандартами технологій роботи в середовищі	Т3.2
3 Вимоги до рівня значущості стандартів (міждержавні, державні, галузеві, стандарти підприємств)	Т3.3
4 Вимоги до рівня взаємоузгодженості (гармонізованості)стандартів	Т3.4

7 Специфікації гарантій забезпечення спостережності

та керованості технологічного середовища

7.1 Для одержання гарантій забезпечення спостережності і керованості технологічного середовища необхідно виконати вимоги, основні види яких наведені в таблиці 7.1.

Таблиця 7.1

Види вимог до спостережності та керованості технологічного середовища	Позначення виду вимог
1 Вимоги до ефективності аудіту (контрольованості) технологічного середовища	Т6.1
2 Вимоги до автентифікації (суб'єктів) та ідентифікації об'єктів (процесів, ресурсів) у технологічному середовищі	Т6.2
3 Вимоги до сертифікованих (достовірних) шляхів	Т6.3
4 Вимоги до керованості технологічного середовища	Т6.4

4.29. Технічний захист інформації на програмно-керованих АТС загального користування специфікації гарантій захисту НД ТЗІ 2.5-002-99. Гарантії забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища. Гарантії якості документації.

Цей нормативний документ (НД) установлює вимоги до гарантій захисту інформації, що циркулює на програмно - керованих АТС загального користування, а також на установських (відомчих, корпоративних) АТС.

4.1 У цьому документі надані специфікації гарантій захисту інформаційних ресурсів технологічних середовищ створення та експлуатації АТС.

Специфікації гарантій захисту необхідні для визначення рівнів довіри до коректності розробок, реалізацій та експлуатації систем ТЗІ на оцінюваних АТС.

4.2 Передбачається, що оцінка рівнів довіри виконується відповідно до базової методики оцінки захищеності інформації на АТС (див. НД ТЗІ 3.7-002-99), яка заснована на єдиних (уніфікованих) для Європейського Союзу "Критеріях оцінки безпеки систем інформаційної техніки - ITSEC".

4.3 У цьому документі специфіковані гарантії за п'ятьма аспектами забезпечення захищеності інформації в технологічному середовищі створення та експлуатації систем ТЗІ і АТС у цілому:

- гарантії безпеки середовища персоналу;

- гарантії стандартизації технологічного середовища;

- гарантії забезпечення спостережності і керованості технологічного середовища;

- гарантії забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища;

- гарантії якості документації.

8 Специфікації гарантій забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища

8.1 Для одержання гарантій забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища необхідно виконати вимоги, основні види яких наведені в таблиці 8.1. Таблиця 8.1

Види вимог до забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища	Позначення виду вимог
1 Вимоги до реалізації правил розподілу доступу	Т4.1
2 Вимоги до реалізації послуг повторного використання об'єктів	Т4.2
3 Вимоги до захищеності від схованих каналів витоку і спеціальних впливів на елементи АТС	Т4.3
4 Вимоги до фізичної цілісності	Т4.4
5 Вимоги до реалізації послуг відкоту	Т4.5
6 Вимоги до розмежування обов'язків	Т4.6
7 Вимоги до самотестуванню об'єктів	Т4.7

9 Специфікації гарантій якості документації

9.1 Для забезпечення гарантій якості документації необхідно виконати вимоги, основні види яких наведені в таблиці 9.1.

Таблиця 9.1

Види вимог до якості документації	Позначення виду вимог
1 Вимоги до повноти документації (до рівня охоплення документацією елементів середовища)	Т2.1
2 Вимоги до рівня деталізації опису середовища і (або) технологій	Т2.2
3 Вимоги до вірогідності інформації, що міститься в документації	Т2.3
4 Вимоги до якості оформлення документації	Т2.4

Технічний захист інформації на програмно-керованих АТС загального користування. Специфікації довірчих оцінок коректності реалізації захисту НД ТЗІ 2.5-003-99. Основне призначення документа. Поняття довірчих оцінок коректності реалізації захисту.

Цей нормативний документ (НД) установлює вимоги до довірчих оцінок коректності реалізації захисту інформації, що циркулює на програмно-керованих АТС загального користування, а також на установських (відомчих, корпоративних) АТС.

Положення НД поширюються на програмно-керовані АТС (далі - АТС), у яких зберігається та циркулює інформація, що підлягає технічному захисту (див. ДСТУ 3396.0-96).

Вимоги НД не поширюються на захист:

- міжстанційних каналів синхронізації, сигналізації та передачі абонентської інформації;

- від зловмисних дій авторизованих користувачів у межах наданих їм повноважень, що наносять збиток власникам інформаційних ресурсів;

- елементів АТС від екстремізму і вандалізму авторизованих користувачів;

- телефонної мережі від некоректного вмикання в її структуру вперше запроваджуваних АТС або АТС, що модернізуються.

Захист елементів АТС від фізичного доступу, ушкоджень, розкрадань і підмін у цьому НД розглядається в загальному вигляді і лише як необхідна обмежувальна міра в процесі здійснення заходів щодо ТЗІ. Передбачається, що вжиті заходи щодо обмеження фізичного доступу до зони станційного устаткування достатні, щоб виключити можливість несанкціонованого доступу (НСД) в цю зону неуповноважених осіб.

4 Загальні положення

4.1 У цьому документі надані специфікації довірчих оцінок коректності реалізації ТЗІ на АТС.

4.2 Специфікації довірчих оцінок необхідні для визначення рівнів довіри до коректності розробок та реалізацій систем ТЗІ в оцінюваних АТС, якщо оцінка рівнів довіри виконується відповідно до базової методики оцінки захищеності інформації на АТС НД ТЗІ 3.7-002-99, що грунтується на єдиних (уніфікованих) для Європейського Союзу "Критеріях оцінки безпеки систем інформаційної техніки - ITSEC".

4.3 У цьому НД специфіковано шість рівнів довіри - від Е1 до Е6 включно.

Специфікації довірчих оцінок у цьому документі розміщені в шести розділах - згідно кількості рівнів довіри.

4.4 Документ спрямований на рішення таких задач:

- розробка вимог щодо захисту інформації на АТС;

- створення захищених АТС;

- створення систем і засобів ТЗІ на АТС;

- оцінка захищеності інформації на АТС;

- оцінка ефективності систем і засобів ТЗІ на АТС.

Специфікації довірчої оцінки коректності захисту для рівнів Е1-Е6 визначають:

1. вимоги до документації, що описує результати створення системи ТЗІ;

2. гарантії забезпечення захищеності інформації в середовищі створення оцінюваної АТС;

3. вимоги до експлуатаційної документації;

4. гарантії забезпечення захищеності інформації в експлуатаційному середовищі.