 |
|
Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу
Згідно з Положенням про технічний захист інформації в Україні в КС, де опрацьовується інформація, яка є власністю держави або захист якої гарантується державою, повинні використовуватися засоби ТЗІ, які мають документ, що засвідчує відповідність їх вимогам нормативних документів з питань технічного захисту інформації (експертний висновок та/або сертифікат відповідності).
Склад засобів ТЗІ, що використовуються під час створення комплексу засобів захисту (КЗЗ) інформації, визначають власники КС, де опрацьовується інформація, яка підлягає захисту, або уповноважені ними суб'єкти системи ТЗІ з урахуванням того, що ці засоби повинні мати рівень гарантій коректності реалізації послуг безпеки (НД ТЗІ 2.5—004—99) не нижче^ніж рівень гарантій створюваного КЗЗ.
У КС класів «1» та «2» (НД ТЗІ 2.5—005—99) дозволяється використання засобів ТЗІ з рівнем гарантій на один нижче, ніж рівень гарантій створюваного КЗЗ, за умов реалізації в цих КС необхідного обсягу організаційних заходів. Обсяг цих заходів визначається моделями загроз та порушника, умовами експлуатації КС тощо.
Засоби криптографічних перетворень, які є складовою частиною засобів ТЗІ, повинні відповідати вимогам нормативних документів з питань криптографічного захисту інформації.
Створення та впровадження засобів ТЗІ здійснюють підприємства, установи та організації всіх форм власності, за умови наявності у них відповідної ліцензії на право провадження господарської діяльності в галузі ТЗІ.
Виробництво та впровадження апаратних і пррграмно-апаратних засобів ТЗІ здійснюється за наявності технічних умов (ТУ), які розробляються, оформляються та реєструються відповідно до вимог ДСТУ 1.3-98, ГОСТ 2.114-95 та цього НД ТЗІ.
Створення програмних засобів ТЗІ здійснюється з урахуванням вимог ДСТУ 3918-99, ГОСТ 19.101-77.
Впровадження програмних засобів ТЗІ здійснюється за наявності Формуляру, який розробляється відповідно до вимог ГОСТ 19.501-78.
З метою досягнення певного рівня гарантій реалізації функціональних послуг безпеки інформації розробники (впроваджувальні організації) засобів ТЗІ повинні взаємодіяти з Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі— Департамент).
Порядок взаємодії визначено в таблиці.
| Перелік заходів | Рівні гарантій | |||
| -2 | -7 | |||
| Узгодження з Департаментом ТЗ на створення засобу ТЗІ | ||||
| Узгодження з Департаментом переліку документації, який передбачено ЕСПД та/або ЕСКД, на засіб ТЗІ | ||||
| Узгодження з Департаментом звітної технічної документації окремих етапів створення засобу ТЗІ (етапи ескізного та/або технічного, та/або робочого проектів) | ||||
| Узгодження з Департаментом виду, програми та методики випробувань засобу ТЗІ | ||||
| Залучення представників Департаменту до складу приймальної комісії для участі у випробуваннях засобу ТЗІ | ||||
| Узгодження з Департаментом ТУ на апаратні та програмно-апаратні засоби ТЗІ | ||||
| Узгодження з Департаментом договору на супроводження засобу ТЗІ |
Експертне оцінювання засобів ТЗІ на відповідність нормативних документів з питань ТЗІ здійснюється в порядку, визначеному Положенням про державну експертизу в сфері технічного захисту інформації.
Рівень гарантії реалізації функціональних послуг безпеки визначається в процесі експертного оцінювання з урахуванням вимог цього НД ТЗІ.
Для забезпечення можливості досягнення 3—7-го рівня гарантій реалізації функціональних послуг безпеки розробник (впроваджувальна організація) повинен здійснювати супроводження засобу ТЗІ. Для цього розробник (впроваджувальна організація) укладає з користувачем договір на супроводження засобу ТЗІ.
Модернізація засобів ТЗІ в комп'ютерних системах здійснюється у відповідності з окремим ТЗ або доповненням до основного ТЗ на створення засобу ТЗІ. ТЗ (доповнення до основного ТЗ) розробляється та оформляється відповідно до чинних ДСТУ з урахуванням вимог НД ТЗІ 3.7-001-99.