Система організації оцінки безпеки інформаційної інфраструктури України

 

Для зручності та забезпечення єдиного підходу розроблено метод кваліфікаційного аналізу засобів і систем захисту інформації [2].

Кваліфікаційний аналіз (англ. – evaluation) – це аналіз інфокомунікаційної системи, що проводиться з метою визначення рівня її захищеності та відповідності вимогам безпеки на основі критеріїв стандарту безпеки. Кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення захищених систем, безпосередньо передує процедурі сертифікації та завершується присвоєнням комунікаційній системі того чи іншого класу чи рівня безпеки.

Види кваліфікаційного аналізу. Атестацію здійснюють для оцінювання ефективності комплексу технічного захисту інформації, яка циркулює в інфокомунікаціях, від її витоку технічними каналами відповідно до вимог чинної нормативної бази.

Державну експертизу у сфері технічного захисту інформації (ТЗІ) проводять із метою оцінювання захищеності даних, які обробляються або циркулюють в інфокомунікаціях (приміщеннях, інженерно-технічних спорудах тощо). На основі результатів державної експертизи підтверджують відповідність систем захисту інформації та надають Атестат відповідності. Основні вимоги та засади проведення державної експертизи регламентовано у документі Положення про державну експертизу у сфері ТЗІ [3, с. 1 - 13].

Сертифікацію засобів забезпечення ТЗІ здійснюють із метою підтвердження їхньої відповідності вимогам нормативних документів. Процедуру сертифікації регламентовано у документі «Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення», її проводять за участі органів сертифікації, випробувальних лабораторій та деяких інших установ. Сертифікацію можуть проходити вироби вітчизняних і зарубіжних виробників. Передбачено механізм визнання сертифікатів, виданих органами інших країн.

Вимоги до кваліфікаційного аналізу [4, с. 545 - 552]. Можна висувати різні вимоги, починаючи з вимог до якості системи, що підлягає аналізу, виконуваних ним функцій і коректності функціонування та завершуючи вимогами до документації на цю систему. Вимоги до самого процесу кваліфікаційного аналізу регламентовано у відповідних нормативних документах. Українська нормативна база передбачає такі види кваліфікаційного аналізу:

– атестація;

– державна експертиза;

– сертифікація.

Міжнародними стандартами ISO/IEC, крім того, передбачається проведення аудиту інформаційної безпеки [5 – 7] та побудова системи менеджменту інформаційної безпеки [8], передбачається оцінка ризиків інформаційної безпеки.

В Україні державним органом, на який покладено завдання здійснення державного контролю за станом криптографічного та технічного захисту інформації, є Державна служба спеціального зв’язку та захисту інформації України (Держспецзв’язку), що діє на підставі Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» № 3475-15 від 23 лютого 2006 року. Раніше (до 2007 року) ці функції було покладено на Департамент спеціальних телекомунікаційних систем і захисту інформації (ДСТСЗІ) Служби безпеки України.

Організація державної експертизи. Мета державної експертизи у сфері технічного захисту інформації оцінити захищеність інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, а також у приміщеннях, інженерно-технічних спорудах тощо.

Положення про державну експертизу. У державній експертизі беруть участь:

– замовники експертизи;

– Адміністрація Держспецзв’язку;

– організатори експертизи;

– експерти.

Державну експертизу мають проходити такі системи:

1. КСЗІ (комплексна система захисту інформації).

2. Окремі технічні та програмні засоби.

Види експертизи:

первинна – основний вид експертизи, коли виконують усі необхідні заходи щодо підготовки та прийняття рішення стосовно об’єкта;

додаткова – здійснюється до систем, на які впливають нові науково-технічні обставини, або у зв’язку із завершенням терміну дії висновків первинної експертизи;

контрольна експертиза, яку проводять за ініціативи замовника чи Держспецзв’язку, коли хтось із них має претензії до висновків первинної експертизи (таку експертизу здійснює інша організація).

Експертиза відбувається за наступним планом:

1. Замовник надсилає на ім’я Голови (заступника Голови) Держспецзв’язку заяву на проведення експертизи КСЗІ або засобу ТЗІ. Замовник може також звернутися до цієї служби із заявою щодо проведення контрольної експертизи.

2. Експертна рада розглядає заяву в установлені терміни та приймає рішення щодо доцільності експертизи й призначає її організатора. Стосунки між організатором і замовником регламентовано у договорі на проведення експертизи, що містить відомості щодо порядку фінансування, терміни експертизи тощо.

3. Організатор призначає експертів, яких буде залучено до виконання робіт.

4. Замовник надає організатору визначений НД ТЗІ комплект документації на систему, де проводиться експертиза.

5. Організатор аналізує надані документи, загальні методики оцінювання ефективності засобу ТЗІ чи КСЗІ та формує програму та власні методики проведення експертизи системи у визначені у договорі терміни, розробляє (за потреби) програмно-технічне забезпечення. Програма та окремі методики узгоджуються із замовником й Адміністрацією Держспецзв’язку.

6. Згідно з програмами та методиками здійснюють безпосередню експертизу, результати якої оформлюють у вигляді протоколу, який підписують експерти. Протокол затверджує організатор.

7. У разі виявлення невідповідностей об’єкта вимогам НД ТЗІ організатор може запропонувати замовнику доопрацювати систему з метою усунення наявних недоліків.

8. Організатор складає та підписує експертний висновок, який визначає відповідність системи, де проводиться експертиза, вимогам НД ТЗІ.

9. Експертний висновок подають до Адміністрації Держспецзв’язку. Експертна рада його розглядає та, якщо висновок задовольняє всі вимоги, реєструє та передає замовнику. Замовник також отримує атестат відповідності, підписаний Головою Держспецзв’язку.

Сертифікацію засобів технічного захисту інформації здійснюють згідно з документом «Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення». Керівними органами, які організовують і координують роботи із сертифікації, є такі:

– Національний орган із сертифікації – Державний комітет стандартизації, метрології та сертифікації України (Держстандарт України).

– Адміністрація Держспецзв’язку України/

Метою сертифікації є встановити відповідність засобів технічного захисту інформації вимогам нормативних документів України з питань технічного захисту інформації, а також вимогам аналогічних іноземних нормативних документів, які діють в Україні. Організації, задіяні у процесі сертифікації, мають зберігати конфіденційність інформації, що становить професійну або комерційну таємницю. Процедура сертифікації складається з таких етапів.

1. Подання заявки на сертифікацію.

2. Розгляд заявки, прийняття рішення з визначенням схеми сертифікації.

3. Обстеження чи атестація виробництва засобів ТЗІ, які подано на сертифікацію, або сертифікація (оцінювання) системи якості, якщо це передбачено схемою сертифікації.

4. Добирання зразків для випробувань із тих виробів, що пройшли приймальний контроль виробника та готові до реалізації. Процедуру добирання здійснюють у присутності представника заявника та оформлюють документально.

5. Ідентифікація засобів ТЗІ на підставі відповідності поданих на випробування зразків (та їхнього технічного стану) нормативним документам на цю продукцію. Зразки, що не пройшли ідентифікацію, до випробувань не допускають. За результатами ідентифікації складають акт.

6. Випробування зразків. До випробувальної лабораторії направляють зразки в опломбованому або запечатаному вигляді разом з актом їхнього добирання та ідентифікації. Якщо сертифікують невелику партію виробів (не більше 5), орган сертифікації може прийняти рішення не піддавати їх випробуванням, що можуть призвести до пошкодження зразків. Результати випробувань заносять до протоколу.

7. Аналіз результатів випробувань зразків і прийняття рішення щодо надання їм сертифіката відповідності.

8. Надання сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих засобів до відповідного реєстру. Сертифікат відповідності надається на один виріб, партію із зазначенням кількості виробів або на засоби, які підприємство випускає серійно протягом терміну, встановленого ліцензійною угодою, з правом маркування знаком відповідності кожної одиниці випущеної продукції.

9. Технічний нагляд за сертифікованими засобами під час їхнього виробництва здійснюють орган сертифікації, що надав сертифікат, органи із сертифікації систем якості чи територіальні центри стандартизації, метрології та сертифікації.

10. Результати сертифікації (копії сертифіката відповідності) орган сертифікації направляє до Держстандарту та Держспецзв’язку України.

Сертифікація системи якості – остаточне її оцінювання, яке здійснюють уповноважені органи за ініціативи замовника або на підставі рішення органу сертифікації, якщо це передбачено схемою сертифікації.

Аудит безпеки інформаційної безпеки – це системний процес отримання об’єктивних якісних і кількісних оцінок поточного стану безпеки інформаційної системи, комплексна оцінка рівня інформаційної безпеки клієнта з урахуванням трьох основних факторів: персоналу, процесів і технологій. Порівняльний аналіз поточного стану інформаційної системи, що визначається за підсумками анкетування, з тестовою моделлю вимог стандарту ISO 27001.

Необхідність проведення регулярного аудиту інформаційної безпеки полягає в оцінці реального стану захищеності ресурсів інформаційно-телекомунікаційної системи (ІТС) та її спроможності протистояти зовнішнім і внутрішнім загрозам інформаційної безпеки, які постійно змінюються та адаптуються.

Аудит інформаційної безпеки проводиться з метою визначення стану захищеності ІТС, засобами якої обробляється критична інформація Замовника та його відповідності стандартам та нормативним документам у державному, комерційному та банківському секторах інформаційних технологій.

Етапи робіт проведення аудиту на відповідність вітчизняній законодавчій та нормативній базі та міжнародним стандартам (ISO/IEC 17799:2005 та ISO/IEC 27001:2005) такі:

– обстеження;

– аналіз інформаційних ризиків;

– обробка даних та підготовка рекомендацій;

– складання та надання звіту про аудит.

Детально проведення аудиту інформаційної безпеки розглянуто у навчальному посібнику [9, с. 216 – 238].

Побудова системи управління інформаційною безпекою (СУІБ) у відповідності з міжнародним стандартом ISO/IEC 27001:2005 проводиться за такими етапами робіт:

– обстеження: визначення області діяльності, виділення критично важливих бізнес-процесів, які будуть захищатися;

– розробка політики безпеки організації;

– визначення методології оцінки ризиків інформаційної безпеки та прийнятного рівня ризиків;

– ідентифікація ризиків;

– аналіз та оцінка ризиків;

– підготовка плану обробки для кожного критичного ризику, виділення контролів;

– розробка політик і процедур СУІБ;

– імплементація СУІБ – втілення контролів (механізмів захисту) за планом обробки ризиків;

– підготовка до сертифікації СУІБ незалежною стороною.

Детально побудова системи управління інформаційною безпекою розглянута у навчальному посібнику [див. 9, с. 135 – 172].