• Гідрологія і Гідрометрія
• Господарське право
• Економіка будівництва
• Економіка природокористування
• Економічна теорія
• Земельне право
• Історія України
• Кримінально виконавче право
• Медична радіологія
• Методи аналізу
• Міжнародне приватне право
• Міжнародний маркетинг
• Основи екології
• Предмет Політологія
• Соціальне страхування
• Технічні засоби організації дорожнього руху
• Товарознавство продовольчих товарів

Характеристика етапів життєвого циклу засобів криптографічного захисту інформації та організація заходів з безпеки.

Відповідно до визначеної узагальненої процесної моделі діяльності та з урахуванням вимог законодавства в сфері КЗІ можливо визначити наступні процеси у рамках життєвого циклу засобів КЗІ: розроблення вимог, проектування, випробування та сертифікація (допуск до експлуатації), виробництво, навчання персоналу, обладнання приміщень, експлуатація та утилізація засобів КЗІ.

Під час проведення робіт з криптографічного захисту конфіденційної інформації, що є власністю держави має бути створений відповідний режим безпеки, що передбачає виконання вимог постанови Кабінету Міністрів України від 27.11.98 N 1893, а також забезпечити виконання вимог Інструкції про порядок забезпечення режиму безпеки, що повинен бути створений в організаціях, які здійснюють підприємницьку діяльність у сфері КЗІ, що є власністю держави (Наказ ДСТСЗІ СБ України від 22.10.1999 № 45), в частині питань:

· номенклатури посадових інструкцій;

· специфіки організаційних заходів безпеки при проведенні робіт з криптографічного захисту інформації.

Для реалізації заходів щодо криптографічного захисту інформації наказом керівника організації створюється служба криптографічного захисту, на яку покладаються обов’язки практичного вимог законодавства на усіх етапах життєвого циклу засобів КЗІ.

Слід зазначити, що в випадках передбачених законодавством для здійснення певних видів господарської діяльності необхідно отримати ліцензію. Зокрема, Постановою КМ України від 25 травня 2011 р. N 543 наступні види робіт потребують отримання ліцензії:

1. Складення конструкторської та іншої технічної документації до криптосистем і засобів криптографічного захисту інформації.

2. Монтаж (встановлення), налаштування, технічне обслуговування (супроводження) криптосистем і засобів криптографічного захисту інформації.

Управління процесами розроблення вимог, проектування, випробування та сертифікації (допуску до експлуатації), виробництва, навчання персоналу, обладнання приміщень, експлуатації та утилізації засобів КЗІ

У процесі розроблення, виробництва та експлуатації засобів КЗІ беруть участь і взаємодіють між собою:

· замовники;

· розробники;

· виробники;

· організації, що експлуатують засоби КЗІ;

· організації, що проводять сертифікаційні випробування (експертні роботи);

· Державна служба спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку).

Суб'єкти, які здійснюють розроблення, виробництво та експлуатацію засобів КЗІ, визначають режим доступу до інформації про ці засоби, установлюють і підтримують відповідний режим безпеки з урахуванням вимог замовника та відповідно до нормативно-правових актів у сфері КЗІ.

Розробники та виробники реалізовують вимоги до засобів КЗІ шляхом вибору і розробки необхідних алгоритмічних, програмних, схемно-технічних, конструкторських та технологічних рішень, які забезпечують виконання встановлених вимог.

Розроблення засобів КЗІ здійснюється відповідно до вимог нормативно-правових актів і національних стандартів у сфері КЗІ, а також нормативних документів з питань розроблення та поставлення продукції на виробництво.

Розроблення засобів КЗІ здійснюється шляхом виконання відповідних науково-дослідних робіт (далі - НДР) з розроблення нових принципів побудови і функціонування засобів КЗІ та дослідно-конструкторських робіт (далі - ДКР) зі створення нових або модернізації існуючих зразків засобів КЗІ.

За результатами НДР готується ТЗ на ДКР з розроблення нового або модернізації існуючого зразка засобу КЗІ з підготовкою, за необхідності, техніко-економічного обґрунтування ДКР.

У засобах КЗІ використовуються криптоалгоритми та криптопротоколи, які є національними стандартами або рекомендовані Адміністрацією Держспецзв'язку, або погоджені Адміністрацією Держспецзв'язку для використання в банківській системі України за відповідним зверненням та обґрунтуванням Національного банку України.

Методики генерації випадкових (псевдовипадкових) послідовностей для управління ключами повинні бути погоджені з Адміністрацією Держспецзв'язку.

Засоби КЗІ розробляються з урахуванням можливих загроз у вірогідних умовах їх експлуатації.

У засобах КЗІ повинні бути реалізовані методи захисту, що відповідають установленим вимогам, залежно від виду, типу, категорії, класу засобу КЗІ.

Зокрема в засобах КЗІ видів А та Б категорій "Ш" та "П" повинні бути реалізовані:

для класу В3 - механізми контролю цілісності криптографічних перетворень та захисту ключових даних (для програмних засобів КЗІ - контролю цілісності програмного забезпечення), надійного тестування засобу на правильність функціонування та блокування його роботи в разі виявлення порушень; механізми гарантованого знищення (неможливості відновлення будь-яким способом) ключових даних після закінчення терміну їх дії;

для класу В2 - механізми захисту від порушення конфіденційності інформації внаслідок помилкових дій оператора або в разі відхилень у роботі складових елементів засобу КЗІ;

для класу В1 - механізми розподілу повноважень щодо використання функцій засобу КЗІ;

для класу Б2 - механізми захисту засобу КЗІ від здійснення порушником навмисного зовнішнього впливу; механізми захисту від порушення конфіденційності та цілісності ключових даних на ключових документах;

для класу Б1 - механізми захисту критичної інформації (ключових даних, відкритої інформації) від недокументованих можливостей прикладного програмного забезпечення;

для класу А1 - механізми гарантованого знищення ключових даних після закінчення терміну їх дії або в разі несанкціонованого доступу до криптографічної схеми (або за командою оператора); механізми захисту ключових даних на їх носіях від несанкціонованого зчитування.

Вимоги до засобів КЗІ наведено в порядку збільшення вимог таким чином, що клас, наведений нижче, передбачає виконання вимог усіх наведених вище класів засобів КЗІ.

Вимоги для засобів КЗІ категорії "К" визначаються з урахуванням їх призначення, умов розташування та експлуатації.

Вимоги для засобів КЗІ категорії "Р" визначаються з урахуванням вимог нормативних документів системи технічного захисту інформації.

За потреби, можуть визначатися спеціальні вимоги щодо захисту засобів КЗІ будь-якого класу від витоку інформації каналами ПЕМВН.

На етапі ескізно-технічного проектування здійснюються опрацювання та практична реалізація функцій захисту згідно з вимогами до засобів КЗІ. При цьому основна увага при проектуванні засобу КЗІ приділяється вузлам, які обробляють критичну інформацію, у тому числі:

· уведення та оброблення ключових даних;

· оброблення вхідної та вихідної інформації;

· шифрування інформації;

· генератори випадкових (псевдовипадкових) послідовностей, які використовуються для формування ключів, векторів ініціалізації тощо;

· самотестування;

· системи сигналізації при несанкціонованому доступі до засобу КЗІ, зміні параметрів навколишнього середовища, електроживлення тощо.

Розроблення засобів КЗІ здійснюється з використанням тільки ліцензійного програмного забезпечення або, за погодженням із замовником, комп'ютерних програм вільного використання, які повинні бути забезпечені документацією, що підтверджує правомірність їх використання згідно з ліцензією або належність до комп'ютерних програм вільного використання.

Розробник розробляє робочу конструкторську документацію на засіб КЗІ, до складу якої обов'язково входять:

• проект технічних умов для апаратних та апаратно-програмних засобів КЗ;

• експлуатаційні документи;

• інструкція із забезпечення безпеки експлуатації засобу КЗІ та

• інструкція щодо порядку генерації ключових даних і поводження з ключовими документами, включаючи їх облік, зберігання та знищення.

Проект технічних умов (далі - ТУ) погоджується з Держспецзв'язку.

За потреби, розробником у ТУ вноситься перелік допустимих змін, які без погодження з Держспецзв'язку можуть уноситися під час виробництва засобу КЗІ до його конструкції, схемотехнічних рішень, програмного забезпечення та переліку комплектувальних виробів тощо. У цьому разі до проекту ТУ, що подається на погодження, додається пояснювальна записка з обґрунтуванням можливості внесення відповідних змін без впливу на криптографічні та спеціальні якості засобів КЗІ.

У разі визначення в технічному завданні вимог щодо захисту засобу КЗІ від витоку інформації каналами ПЕМВН у ТУ наводяться посилання на методику контролю спеціальних показників в умовах серійного виробництва засобів КЗІ, яка має бути узгоджена з організацією, що здійснює сертифікаційні випробування (експертні роботи), та Держспецзв'язку.

У конструкторській документації на засіб КЗІ обов'язково наводяться:

склад апаратних і програмних (мікропрограмних) компонентів засобу КЗІ та технічних засобів, які передбачаються до спільної роботи із засобами КЗІ, а також вимоги до інтерфейсів;

специфікація розроблення апаратного та загального програмного забезпечення, вузлів засобів КЗІ (документування розроблення рекомендується здійснювати з використанням мов програмування високого рівня для загального програмного забезпечення та вузлів, що програмуються, а також функціональних і принципових електричних схем для апаратної частини);

схеми апаратної та програмної компоненти засобу КЗІ, їх взаємозв'язок, у тому числі всі мікроконтролери, логічні інтегральні мікросхеми, буферні регістри введення/виведення даних тощо;

технічні характеристики (за необхідності - спеціальні характеристики) інтерфейсів сполучення засобів КЗІ, у тому числі фізичні та логічні порти, зовнішні пристрої введення/виведення інформації, засобів дистанційного керування, зовнішніх засобів механічного захисту (кришки, замки тощо);

криптографічні алгоритми, які реалізовано в засобі КЗІ;

алгоритми тестування та методи ручної перевірки засобу КЗІ, у тому числі індикація (відображення) припустимих і неприпустимих його станів.

В інструкції із забезпечення безпеки експлуатації засобів КЗІ вказуються:

права та обов'язки осіб, відповідальних за забезпечення безпеки експлуатації засобу КЗІ;

права та обов'язки користувачів засобів КЗІ;

порядок забезпечення безпеки засобу КЗІ під час його встановлення, експлуатації, виведення з експлуатації, ремонту, а також у разі порушення функціонування інформаційно-телекомунікаційної системи;

питання проведення тестування засобів КЗІ та їх резервування в системі;

дії персоналу в умовах надзвичайних ситуацій, стихійного лиха та підозри компрометації ключів;

порядок проведення контролю за станом забезпечення безпеки засобів КЗІ;

порядок допуску в приміщення, у яких установлені засоби КЗІ.

У ході виконання ДКР розробником передбачається створення устаткування (допоміжного обладнання) для проведення сертифікаційних випробувань (експертних робіт) засобу КЗІ. Перелік допоміжного обладнання, засобів вимірювальної техніки та кількість дослідних зразків засобу КЗІ, необхідних для проведення таких робіт, визначаються розробником і погоджуються із замовником, випробувальною лабораторією (експертним закладом).

Технічні та експлуатаційні характеристики дослідних зразків засобу КЗІ, який розробляється у ході виконання ДКР, ефективність та достатність організаційно-технічних заходів щодо забезпечення безпеки інформації перевіряються під час випробувань засобів КЗІ на дослідній ділянці розробника.

За погодженням із замовником випробування дослідних зразків засобу КЗІ можуть здійснюватися у складі інформаційно-телекомунікаційної системи, експлуатацію якої здійснює замовник або послугами якої він користується.

У ході дослідної експлуатації обробку та передавання конфіденційної інформації (для засобів категорій "Ш", "К" та "Р") та (або) реальний інформаційний обмін (для засобів категорії "П") здійснювати не рекомендується.

За результатами випробувань дослідних зразків засобу КЗІ інструкція із забезпечення безпеки експлуатації засобу КЗІ та інструкція щодо порядку генерації ключових даних і поводження з ключовими документами, за необхідності, доопрацьовуються розробником.

Інструкція із забезпечення безпеки експлуатації засобу КЗІ погоджується із замовником та подається на погодження до Держспецзв'язку на етапі проведення державної експертизи у сфері КЗІ.

Після погодження інструкції із забезпечення безпеки експлуатації засобу КЗІ Держспецзв'язку вона затверджується замовником.

Якщо ключові документи до засобів КЗІ надаються Держспецзв'язку, то інструкція щодо порядку генерації ключових даних та поводження з ключовими документами надається Держспецзв'язку разом з інструкцією із забезпечення безпеки експлуатації засобу КЗІ.

Інструкції із забезпечення безпеки експлуатації та щодо порядку генерації ключових даних і поводження з ключовими документами для засобів КЗІ виду В можуть не розроблятися.

Порядок роботи із засобами цього виду та вимоги щодо забезпечення безпеки інформації під час їх використання вказуються відповідно в окремих розділах зазначених інструкцій для засобів КЗІ видів А та Б.

Порядок забезпечення режиму безпеки під час розроблення засобів КЗІ визначається розробником в окремій інструкції, в якій наводяться вимоги щодо поводження із засобами КЗІ, обладнання приміщень, заходи з запобігання компрометації засобів КЗІ тощо.

Виробництво засобів КЗІ здійснюється тільки за наявності сертифіката відповідності (позитивного експертного висновку) на засіб, ТУ та інструкції із забезпечення безпеки експлуатації засобів КЗІ.

Виробники засобів КЗІ повинні:

· ужити заходів щодо своєчасної сертифікації або експертизи засобів КЗІ (у тому числі повторної - після закінчення строку дії раніше отриманого сертифіката відповідності або експертного висновку);

· погодити зміни, які вносяться у вироби та документацію на них, із замовником та Держспецзв'язку;

· забезпечити виконання усіх вимог ТУ;

· за наявності вимог у ТУ з усієї партії виробів, що виготовляється, вибрати контрольний еталонний зразок та зберігати його відповідно до встановлених вимог;

· забезпечити технічне обслуговування та гарантійний ремонт засобів КЗІ, а також випуск і поставку запасних частин для цих засобів відповідно до Закону України "Про захист прав споживачів".

Для криптографічного захисту інформації використовуються засоби КЗІ, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

Підставою для початку експлуатації засобів КЗІ в організації (у тому числі її філіях або регіональних представництвах), яка здійснює експлуатацію засобів КЗІ, є відповідний наказ керівника цієї організації.

З початку експлуатації кожний екземпляр засобу КЗІ береться на облік в організації, яка експлуатує засоби КЗІ. Одиницею обліку кожного екземпляра засобу КЗІ є:

для апаратних та апаратно-програмних засобів - конструктивно закінчений технічний засіб;

для програмних засобів - інсталяційна дискета, компакт-диск (CDROM) тощо.

Передача засобів КЗІ здійснюється на підставі відповідних договорів, у яких указуються порядок установлення засобів КЗІ в користувачів та обслуговування цих засобів, забезпечення ключовими документами (ключовими даними), а також ужиття заходів щодо забезпечення режиму безпеки тощо.

Експлуатація засобів КЗІ здійснюється відповідно до вимог експлуатаційної документації, інструкції із забезпечення безпеки експлуатації засобів КЗІ, а також інструкції щодо порядку генерації ключових даних та поводження з ключовими документами.

Унесення змін до інструкції щодо порядку генерації ключових даних та поводження з ключовими документами, які отримані від Держспецзв'язку, здійснюється за погодженням з Держспецзв'язку.

Постачання ключових документів (ключових даних) від Держспецзв'язку організаціям, які експлуатують засоби КЗІ, здійснюється у порядку, установленому Адміністрацією Держспецзв'язку.

Ключові документи, що постачаються Держспецзв'язку, не можуть тиражуватися або використовуватися для інших засобів КЗІ, якщо це не передбачено договором про постачання ключових документів.

Користувачі засобів КЗІ повинні бути ознайомлені з інструкцією щодо порядку генерації ключових даних та поводження з ключовими документами в частині, що їх стосується, та дотримуватися вимог цієї інструкції.

У повному обсязі з інструкцією щодо порядку генерації ключових даних та поводження з ключовими документами повинно бути ознайомлено обмежене коло осіб, які мають безпосереднє відношення до проведення відповідних робіт.

Засоби КЗІ без уведених ключових даних мають гриф обмеження доступу, який відповідає грифу обмеження доступу опису криптосхеми. Гриф обмеження доступу засобів КЗІ з уведеними ключовими даними визначається грифом обмеження доступу ключових документів, але не нижче грифу обмеження доступу опису криптосхеми.

Гриф обмеження доступу ключових документів, що використовуються для криптографічного захисту інформації, повинен відповідати грифу обмеження доступу інформації, що захищається.

Переглядів: 349

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.