Ліцензування діяльності в галузі технічного захисту інформації

 

Державний університет інформаційно-комунікаційних технологій

Навчально-науковий інститут захисту інформації

Кафедра систем захисту інформації












Реферат

з дисципліни

"Основи інформаційної безпеки держави"

Тема

"Ліцензування діяльності в галузі технічного захисту інформації"




Виконав: студент групи БСЗ-31 Голубцов Павло Анатолійович.







Київ 2013

Зміст


1.Ліцензування в області технічного захисту інформації (ТЗІ) в Україні

2.Сертифікація в галузі ТЗІ в Україні

3.Міжнародні стандарти в галузі безпеки інформаційних технологій та їх місце в розвитку стандартизації в Україні

Висновки

Список використаної літератури


1. Ліцензування в області технічного захисту інформації (ТЗІ) в Україні


Одним з перших реальних кроків у формуванні національної системи ТЗІ в Україні стало створення системи державного ліцензування діяльності в галузі захисту інформації. Були внесені відповідні зміни в Закон про підприємницьку діяльність та введена в дію відповідна інструкція. Кілька років функціонування цієї системи дозволяють підвести деякі підсумки. Перш за все необхідно встановити, які цілі переслідує ліцензування в галузі ТЗІ та чи досягнуті вони?

Одним з основних завдань інституту ліцензування взагалі є захист країни і її населення від товарів, що можуть завдати шкоди життю та здоров'ю громадян, екології, нормальній роботі важливих систем і т.д.

Метою ліцензування може служити також поповнення бюджету держави (як форма "прихованого податку" на високоприбуткові види діяльності). Обидві ці цілі малоймовірні, оскільки діяльність у галузі ТЗІ не проносить надприбутків, ціна ліцензії не висока, а загрози для здоров'я та екології відсутня.

Можна зробити висновок, що ліцензування підприємницької діяльності в області захисту інформації з обмеженим доступом від витоку по технічних каналах може мати сенс як державна гарантія якості надаваних послуг. Це суттєво при проведенні заходів із захисту держтаємниці. Але для тих, хто працює з держтаємницею, давно існує налагоджений механізм допуску та за відсутності такого, належним чином оформленого, ніяка ліцензія не дасть права на проведення робіт із захисту секретної інформації. Дещо інша ситуація виникає при організації захисту інформації суб'єктами недержавного сектора. При цьому спостерігаються два підходи до вирішення проблеми.

У першому випадку керівництво суб'єкта підприємницької діяльності (фірми) розуміє необхідність захисту інформації та реально зацікавлене в якісному виконанні робіт. При цьому фірма буде шукати фахівців, що мають найбільший авторитет у цій галузі, не залежно від того, чи працюють фахівці в організації, що має ліцензію. Таким чином, стимулюється проведення цих робіт за рахунок тіньового сектору економіки.

У другому випадку керівництво фірми не вважає актуальним необхідність проведення заходів щодо захисту інформації, але бажає виконати всі покладені вимоги. У цій ситуації для замовника не має значення якість виконання робіт, важливо тільки, щоб договір і результати робіт були оформлені відповідно до вимог керівних документів. Такий підхід дискредитує систему ТЗІ взагалі і ліцензування діяльності в цій області зокрема. Крім того, в цій ситуації знижуються вимоги до лінцезіатів, що знижує загальний рівень проведення робіт в галузі ТЗІ в цілому по країні.

Розглянемо ліцензування з точки зору напрямків діяльності ліцензіатів у галузі ТЗІ. Оскільки мова йде про надання платних послуг споживачеві, нормативна база повинна, перш за все, враховувати інтереси замовника. Сьогодні захист інформації на фірмах і в організаціях зводиться, в основному, до наступних напрямах:

Захист мовної інформації з обмеженим доступом, що циркулює на об'єкті, від витоку по технічних каналах;

Захист інформації з обмеженим доступом, що циркулює в засобах обчислювальної техніки, від витоку по технічних каналах;

Захист інформації з обмеженим доступом від витоку через закладні пристрої;

Захист інформації з обмеженим доступом, що циркулює в АС, від несанкціонованого доступу;

Захист інформації з обмеженим доступом, переданої з комунікацій різного призначення.

Очевидно, що система ліцензування повинна бути адекватною названим задачам. Крім інтересів споживача, зазначені напрями діяльності об'єднує єдність технічної та нормативно-методичної бази. Кожен напрямок може поділятися на рівні - захист державної та недержавної таємниці.

Розглянемо з цієї точки зору, які вимоги до видів діяльності пред'являє до ліцензіатів «Інструкція про умови і правила провадження підприємницької діяльності (ліцензійні умови), повязаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів технічного захисту інформації, а також з наданням послуг із технічного захисту інформації, та контроль за їх дотриманням». В ній визначені такі види робіт, що підлягають ліцензуванню:

«1.3.1. Дослідження обєктів інформаційної діяльності та інформаційних систем щодо безпеки інформації, надання консультативних послуг з технічного захисту інформації.

.3.2. Розроблення, впровадження, атестація, обслуговування систем технічного захисту інформації від технічних розвідок та спеціальних впливів на обєктах інформаційної діяльності.

.3.3. Розроблення, впровадження, супроводження систем технічного захисту інформації в інформаційних системах.

.3.4. Виявлення та блокування витоку мовної та видової інформації через закладні пристрої на обєктах інформаційної діяльності.

.3.5. Розроблення, виготовлення, використання та реалізація засобів забезпечення технічного захисту інформації.

.3.6. Ввезення, вивезення засобів технічного захисту інформації»

Як видно з наведеного переліку, він не враховує реального підходу до технічного захисту інформації та потреб замовника. Реалізація пп. 1.3.2. 1.3.3. неможлива без п. 1.3.1., так як не можна розробити і реалізувати систему захисту інформації без дослідження об'єктів, а розроблені на основі дослідження рекомендації щодо створення системи ТЗІ фактично є "консультативними послугами". Пп. 1.3.1. - 1.3.3. не визначають конкретний вид діяльності. Як вже говорилося, оцінка захищеності АС від витоку інформації за рахунок каналів побічних електромагнітних випромінювань і наводок (ПЕМВН) і захист мовної інформації істотно відрізняються методологією та використовуваної апаратурою. Інструкція не передбачає конкретного виду діяльності. Таким чином, ліцензіат повинен або показати готовність до проведення будь-якого виду робіт (що не завжди необхідно і виправдано), або заявити один напрям діяльності по захисту, що не заважає згодом довільно розширювати сферу діяльності. Найбільш чіткий, обгрунтований і конкретний вид діяльності визначено п. 1.3.4. Це, мабуть, пов'язано з тим, що процес пошуку закладних пристроїв носить не стільки технічний, скільки оперативно-технічний характер.

Основним (і єдиним) регулятором застосування засобів забезпечення ТЗІ є система сертифікації. Розглянемо просту ситуацію: підприємство має ліцензію на виробництво засобів забезпечення ТЗІ, але воно не пройшло сертифікаційних випробувань. Такий виріб не може бути рекомендовано для застосування. З іншого боку, виріб що виготовлений в ініціативному порядку і пройшов сертифікаційні випробування може бути рекомендовано для забезпечення ТЗІ. Виникає закономірне питання, яку мету переслідує ліцензування в цій області.

Також суттєвим аспектом є нормування праці в цій галузі. В інших областях діяльності таке нормування існує. Безумовно, в ринкових умовах нереально нав'язувати вартість договірних робіт, разом з тим орієнтовні середні трудовитрати повинні бути визначені нормативним документом. Відсутність норм трудовитрат призводить до того, що деякі ліцензіати невиправдано і значно завищують вартість робіт. Це не принципово, якщо договір укладають між собою комерційні структури. Але якщо договір на виконання робіт із захисту інформації полягає на бюджетні кошти, то це призводить до невиправданих витрат державних грошей. З іншого боку, має місце демпінг з боку ліцензіатів з метою одержання замовлення за будь-яку ціну. За пропоновані терміни і вартість робота просто фізично не може бути виконана з необхідною якістю. Таким чином, гарантія, яку повинна забезпечувати державна ліцензія, фактично не забезпечується якістю роботи. У пропонованому документі, що нормує трудовитрати, не повинно бути точних розцінок. Досить, як це було зазначено в методиках ГТК, привести норми витрат праці для основних видів робіт. Причому це може бути розраховане як для випадку використання стандартної КІА, так і для автоматизованих вимірювальних комплексів, які дозволені до застосування. Таким чином, може бути сформований регульований цивілізований ринок в області захисту інформації, на противагу існуючому. У результаті не постраждає здорова конкуренція, так як буде збережена різниця цін за рахунок різної вартості робочої сили, різних накладних та інших витрат, різної прибутку.

Отже, проведений аналіз показує, що прийнята в Україні система ліцензування у галузі ТЗІ не повністю відповідає поставленим завданням і сучасним вимогам. Зі сформованої ситуації є два виходи - відмова від системи ліцензування у галузі ТЗІ взагалі, або її радикальна зміна з урахуванням інтересів України і здорового глузду.


. Сертифікація в галузі ТЗІ в Україні


Значно повільніше йде формування системи сертифікації в галузі ТЗІ. Тільки на восьмому році після створення ДСТЗІ створений перший сертифікаційний центр і випробувальні лабораторії. Відсутні стандарти, нормативні документи, не визначені критерії, які дозволяли б кваліфіковано оцінювати технічні умови на пропоновані вироби. Методики контролю ГТК застаріли морально і за своєю структурою не відповідають сучасним вимогам. У даній ситуації, щоб уникнути непотрібних помилок, доцільно звернутися до досвіду Росії, в якій така система діє, і перейняти ту його частину, яка може виявитися корисною Україні.

Головне питання в цій сфері, те ж, що і в області ліцензування - які цілі перед собою ставить сертифікація і яким чином ці цілі будуть досягатися? В принципі, система сертифікації повинна нести корисну для ТЗІ в Україні функцію - захист споживача, що користується засобами захисту інформації, від недобросовісних постачальників (виробників). Але оскільки застосування засобів ТЗІ не несе загрози життю і здоров'ю громадян України, станом навколишнього середовища, то вона не повинна бути обов'язковою. Разом з тим, інтереси державної безпеки вимагають надійного захисту держтаємниці. У цьому випадку повинні застосовуватися тільки перевірені (сертифіковані) засоби захисту інформації. Таким чином, будуть вирішені дві задачі: можна уникнути державного тиску на підприємця без особливої ??необхідності, з одного боку, і забезпечити надійний захист державних інтересів - з іншого. Підприємець сам зможе вибирати будь-який засіб забезпечення ТЗІ, але зацікавлений у захисті своєї інформації зупиниться на сертифікованому пристрої.

При відсутності державних стандартів виникає проблема з технічною підставою для проведення сертифікації. Стандартна схема на сьогоднішній день:

Розробка технічних умов (ТУ) з включенням в нього вимог ТЗІ здійснюється розробником виробу;

Узгодження ТУ в частині вимог ТЗІ в державному органі;

Затвердження ТУ в частині відсутності суперечностей та виконання вимог стандартів по оформленню документа в Держстандарті.

Як видно, в цій схемі не беруть участь науково-дослідні організації, які повинні давати технічну оцінку запропонованого рішення. Раніше ці функції виконували головні науково-дослідні організації за напрямами захисту інформації, які в Україні нині не створені.

Не вирішеним на сьогоднішній день є питання сертифікації в частині ТЗІ імпортованих виробів або визнання іноземних сертифікатів. У цьому випадку витрати на сертифікацію будь-якого зразка понесе одна організація, а її результатами будуть користуватися всі постачальники.

У зв'язку з відсутністю системи сертифікації в галузі ТЗІ в Україні, були розроблені переліки засобів ТЗІ, дозволених до застосування. Ця міра була як вимушеною, так і необхідною - вона дозволила в якійсь мірі керувати застосуванням засобів ТЗІ при відсутності системи сертифікації. Але тепер, коли зроблено перші кроки у формуванні цієї системи, переліки стали гальмом у її розвитку. Навіщо витрачати кошти на сертифікацію, якщо виріб є у згаданому переліку, або його не складно включити в цей перелік? Одним з виходів із ситуації, які дозволили б перейти від системи дозволів до системи сертифікації, могла б стати централізована організація випробувань з наступною компенсацією витрат шляхом відрахувань від реалізації сертифікованих виробів. По мірі видачі сертифікатів з переліку повинні виключатися вироби, аналогічні сертифікованим за призначенням і основними параметрами.

Так само, як і у сфері ліцензування, в області сертифікації існує проблема нормування праці при проведенні типових випробувань.


. Міжнародні стандарти в галузі безпеки інформаційних технологій та їх місце в розвитку стандартизації в Україні


У 1995 році при Держстандарті України був заснований Технічний комітет ТК 105 Банківські та фінансові системи і технології, в рамках якого почав функціонувати підкомітет Захист інформації. Серед завдань, які покладено на цей підкомітет, є прийняття участі в розробці міжнародних стандартів, що стосуються питань забезпечення захисту банківських інформаційних технологій. Згідно з поставленим завданням була налагоджена взаємодія з відповідними комітетами Міжнародної організації зі стандартизації (ISO), офіційним представником України в якій є Держстандарт України.

Розроблення державних стандартів в Україні, особливо у галузі захисту інформації, здійснюється дуже повільно через брак коштів, недостатню правову та нормативну базу. Однак, такі стандарти дуже необхідні в Україні, особливо в банківської діяльності. Існування і успішне функціонування системи електронних платежів Національного банку України, швидкий розвиток інформаційних технологій в банківської системі України зараз практично не мають достатньої бази стандартів України. Брак відповідних державних нормативних документів до цього часу Національний банк України намагався заповнювати своїми нормативними документами, в тому числі і в галузі вимог до захисту банківської інформації. Саме тому участь у розробці міжнародних стандартів у рамках підкомітетів ТК 105 може бути дуже корисною для збирання та накопичування знань та навичок у стандартизації в галузі захисту інформації і для розробки державних стандартів в Україні.

Розроблення міжнародних стандартів ISO здійснюється у відповідності з прийнятими в цій організації директивами. В цих директивах встановлюється порядок затвердження об`єктів стандартизації, а також регламентується процес розроблення стандартів. Виділяють три основні етапи процесу розроблення стандартів: створення i обговорення робочого проекту, створення і обговорення технічного проекту, створення й обговорення проекту міжнародного стандарту (DIS). Результатом цього процесу повинно бути затвердження міжнародного стандарту. Бувають, хоч і досить рідкі, випадки, коли процес переривається через безперспективність у подоланні недосконалості або хибності стандарту.

Основна робота по розробленню стандартів проводиться в робочих групах, які функціонують в рамках підкомітетів. Кожна країна - член ISO, може мати два статуси: пасивний учасник і активний учасник. Пасивний учасник має право розглядати проекти стандартів і надсилати свої зауваження. Активний учасник в доповнення до цих можливостей має право і зобов`язання приймати участь в голосуванні при вирішенні питання про перехід проекту документа від однієї стадії до іншої.

Наш підкомітет приймає участь в роботі комітету ISO TC 68 Banking and related financial operations і підкомітету ISO/IEC JTC1 SC 27 Security techniques. Найбільша кількість стандартів, що стосуються безпеки інформаційних технологій, розробляється саме в останньому підкомітеті. Протягом чотирьох років наш підкомітет мав статус пасивного учасника у цьому підкомітеті ISO. Дякуючи активності при поданні зауважень щодо проектів стандартів, нашому підкомітету запропонували стати активним учасником. З березня 1999 року Україна є активним учасником, що демонструє як гарну оцінку наших фахівців в галузі захисту інформаційних технологій, так і підвищення відповідальності з нашого боку при розгляді проектів міжнародних стандартів.

Розглянемо деякi проекти стандартів, щодо яких відбувалося голосування з нашою участю.

Першим таким проектом була нова редакція стандарту ISO/IEC 9798-2 Автентифікація об`єктів з використанням симетричних алгоритмів. Ми вирішили утриматися при розгляді остаточної редакції проекту, так як в ній не були враховані зауваження криптологів, в яких вказувалось на неточності в старій редакції стандарту.

Наступне голосуваняня стосувалося трьохчастинного стандарту ISO/IEC 15408 Критерії оцінювання безпеки інформаційних технологій. Цей стандарт, що широко відомий під назвою Спільні критерії, офіційно став основою для проведення сертифікаційних випробувань в галузі безпеки інформаційних технологій. Стандарт розроблявся протягом шести років з залученням провідних фахівців з усіх країн, які грають ключову роль в дослідженні проблем безпеки інформаційних технологій. Перша частина є вступом і описом загальної моделі. В другій частині викладаються функціональні вимоги, а в третій - вимоги гарантій безпеки інформаційних технологій.

Продовжується робота над п`ятичастинним технічним звітом ISO/IEC 13335 Настанови щодо менеджменту безпекою інформаційних технологій (GMITS). В минулому році успішно дійшла до закінчення четверта частина, що має назву Вибір засобів захисту. На останній стадії знаходиться п`ята частина Зовнішні канали зв`язку.

Останнім часом багато уваги приділяється криптосистемам, які базуються на використанні еліптичних кривих, заданих в скінченних полях. З огляду на актуальність даного напрямку започаткована робота над трьохчастинним проектом ISO/IEC 15946 Криптографічні методи, що базуються на еліптичних кривих. Перша частина має назву Загальні положення. Друга частина присвячена цифровому підпису, а третя - розподілу ключів. Найбільше дорікань зазнала третя частина, що позначилося на її затриманні в стадії технічного проекту. Дві інші частини проходять голосування, як остаточні редакції технічного проекту.

Як відомо, при використанні асиметричних алгоритмів велике значення надається сертифікатам відкритих ключів. Виготовлення цих сертифікатів здійснюється так званими центрами сертифікації. Крім виготовлення сертифікатів такі центри можуть надавати інші послуги, пов`язані з використанням асиметричних алгоритмів (часові відмітки, ведення архівів, відновлення ключів і т.п.). Всі ці послуги створюють так звану інфраструктуру відкритих ключів. Важливість цих питань знайшла відображення у великій кількості проектів, які розробляються в різних органах зі стандартизації. Безпосередньо в підкомітеті SC 27 розробляються два документи: технічний звіт ISO/IEC 14516 і стандарт ISO/IEC 15945. В стандарті Специфікації послуг третьої довіреної сторони щодо підтримки застосування цифрових підписів описується технологія забезпечення автентичності електронних документів. Технічний звіт Настанови щодо використання і менеджменту послугами третьої довіреної сторони стосується організаційних аспектів діяльності виділених центрів сертифікації відкритих ключів.

Найбільших змін зазнав стандарт ISO/IEC 9796 Цифровий підпис з відновленням повідомлень. Нагадаємо, що колишній одночастинний стандарт мав бути доповнений іншими частинами. Після кількох ітерацій було вирішено, що це буде трьохчастинний стандарт. Перша частина - з використанням надлишковості, друга частина - з використаням хєш-функцій, третя частина - на основі дискретних логарифмів. Після кількох атак, які спричиняють екзестинціальну підробку підпису, від першої частини довелося відмовитися, а в другій частині назріла необхідність зміни способу форматування.

Ряд проектів стандартів стосується подальшого розвитку і застосування базового стандарту з оцінювання засобів забезпечення безпеки інформаційних технологій (ISO/IEC 15408). В даний час проходить голосування, що стосується започаткування таких стандартів: безпека інформаційних мереж, генерування випадкових чисел, генерування простих чисел, декларування постачальників засобів захисту про їх відповідність прийнятим стандарту.

Таким чином, навіть короткий перегляд стандартів, за якими наш підкомітет приймав участь у голосуванні, показав, яка велика увага приділяється у світі питанням захисту інформаційних технологій. Розширення таких питань не може бути дивним у зв`язку з бурхливим розвитком інформаційних технологій, особливо у банківській і фінансовій сфері: використання карток для оплати послуг і товарів, електронна комерція, банківське обслуговування, інтернет-технології тощо.

Слід також відмити тенденцію, яку чітко видно у сфері стандартизації, а саме: спроби створення стандартів, які описують ідеологію застосування тих або інших принципів побудови захисту інформації в інформаційних технологіях. Замість опису конкретних алгоритмів часто надаються принципові підходи до їх побудови. Це дає змогу дуже гнучкого використання таких стандартів для побудови системи захисту інформаційних технологій.

Така тенденція у розвитку міжнародних стандартів може бути дуже корисною з точки зору побудови системи державних стандартів. Гармонізація міжнародних стандартів в галузі захисту інформації і безпеки інформаційних технологій може надати можливість швидкої побудови основи для розвитку стандартизації в Україні. Такий шлях створення стандартів України є достатньо дешевим і швидким, який одночасно дозволить усунути велику кількість проблем, які вже виникали в інших державах при створенні стандартів у галузі захисту інформації і безпеки інформаційних технологій. Це зовсім не означає, що потрібно повністю копіювати міжнародні стандарти для України, але застосування найкращих з них в Україні дозволить швидко вирішити частину наших питань при побудові основ стандартизації в Україні.


Висновки


. Необхідно чітко і однозначно визначити цілі та завдання ліцензування у галузі ТЗІ, вивчивши світову практику в цьому питанні.

. Визначити конкретні напрямки діяльності, встановити перелік апаратури і нормативно-методичної документації, необхідних для якісного виконання поставленого завдання.

. Виходячи з встановлених цілей та завдань ліцензування у галузі ТЗІ, розробити детальні вимоги до ліцензіатів з кожного напрямку діяльності.

. Розробити пакет нормативно-методичних документів, що регулюють діяльність щодо захисту конфіденційної інформації.

. Провести розрахунок середніх трудовитрат на виконання основних операцій при проведенні робіт в галузі ТЗІ та розробити відповідний нормативний документ.

. Необхідно чітко і однозначно визначити цілі і завдання сертифікації в галузі ТЗІ, вивчивши світову практику в цьому питанні.

. Визначити конкретні напрямки діяльності, встановити перелік і порядок розробки нормативно-методичної документації, необхідних для проведення сертифікаційних випробувань.

. Розробити дієвий механізм поступового переходу від системи дозволів до системи сертифікації виробів, призначених для ТЗІ.

. Провести розрахунок середніх трудовитрат на виконання основних операцій при проведенні сертифікаційних випробувань.

ліцензування сертифікація інформація захист


Список використаної літератури


1.Богуш В.М., Юдін О.К. Основи інформаційної безпеки держави. - К.: МК-Прес, 2005

2.ДСТУ 3396.0-96. Захист інформації. Технічний захист інформації. Основні положення.

.ДСТУ 3396.1-96. Захист інформації. Технічний захист інформації. Порядок проведення робіт.

.ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення.

.НАКАЗ (20.01.2009 N 5/9) Про затвердження Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, впровадження, обслуговування, дослідження ефективності систем і засобів технічного захисту інформації, надання послуг у галузі технічного захисту інформації. (Зареєстровано в Міністерстві юстиції України 11 лютого 2009 р. за N 130/16146).


Державний університет інформаційно-комунікаційних технологій Навчально-науковий інститут захисту інформації Кафедра систем захисту інформації

Больше работ по теме:

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать реферат © 2017 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ