- •Закон України "Про інформацію". Основна мета та призначення.
- •Закон України "Про інформацію". Поняття інформації. Класифікація інформації відповідно до зу. Порядок віднесення інформації до державної таємниці.
- •Закон України "Про державну таємницю". Рішення державного експерта з питань таємниць. Засекречування та розсекречування матеріальних носіїв інформації.
- •Закон України "Про державну таємницю". Порядок проведення діяльності, пов'язаної з державною таємницею. Режим секретності. Права режимно-секретних відділів.
- •Загрози інформаційній безпеці України згідно Концепції інформаційної безпеки України
- •Зу «Національна система конфіденційного зв’язку». Основна мета та призначення.
- •Основна мета та призначення зу: «Про радіочастотний ресурс».
- •Основна мета та призначення зу: «Про зв’язок ».
- •Основні положення Закону України "Про радіочастотний ресурс України".
- •Закон України "Про радіочастотний ресурс України". Управління у сфері радіочастотного ресурсу України.
- •Основні положення «Концепції технічного захисту інформації в Україні».
- •Задачі та функції «Положення про технічний захист інформації в Україні та контроль за його функціонуванням».
- •Основні положення Закону України "Про захист інформації в автоматизованих системах".
- •Відповідальність
- •5 Постановка проблеми захисту інформації в комп'ютерних системах від несанкціонованого доступу
- •5.1 Загальні положення
- •5.2 Основні напрями захисту
- •6.1 Основні загрози інформації
- •Основні положення Закону України "Про електронний цифровий підпис".
- •Порядок здійснення криптографічного захисту інформації в Україні.
- •Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації. Загальні положення.
- •Мета та напрями ліцензування господарської діяльності у сфері криптографічного захисту інформації (кзі).
- •Нормативно-правові умови надання послуг в сфері торгівлі криптосистемами і засобами криптографічного захисту інформації. Нормативно-правові основи та порядок сертифікації засобів кзі.
- •5. Порядок проведення сертифікації засобів криптографічного захисту інформації
- •1. Галузь використання
- •2. Нормативні посилання
- •3. Терміни та визначення
- •4. Загальні положення
- •Цей документ містить у собі:
- •4 Загальні положення
- •5 Специфікації гарантій безпеки середовища персоналу
- •6 Специфікації гарантій стандартизації технологічного середовища
- •7 Специфікації гарантій забезпечення спостережності
- •4 Загальні положення
- •8 Специфікації гарантій забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища
- •9 Специфікації гарантій якості документації
- •1 Галузь використання
- •4 Загальні положення
5. Порядок проведення сертифікації засобів криптографічного захисту інформації
1. Галузь використання
Порядок проведення сертифікації засобів криптографічного захисту інформації (далі - Порядок) розповсюджується на проведення сертифікації засобів криптографічного захисту інформації в Системі УкрСЕПРО (далі - Система).
Дотримання порядку забезпечується органом із сертифікації засобів криптографічного захисту інформації (далі - ОС КЗІ) з урахуванням вимог цього документу та особливостей виробництва, випробувань та постачання засобів криптографічного захисту інформації (далі - КЗІ).
2. Нормативні посилання
Порядок розроблено відповідно до законів України “Про державну таємницю”, “Про Службу безпеки України”, “Про захист інформації в автоматизованих системах”, Декрету Кабінету Міністрів України “Про стандартизацію і сертифікацію”, Положення про порядок здійснення криптографічного захисту інформації в Україні, яке затверджене Указом Президента України від 22.05.98 № 505/98, та таких нормативних документів:
- ДСТУ 2296-93 Національний знак відповідності. Форма, розміри, технічні вимоги та правила застосування.
- ДСТУ 2462-94 Держстандарт України. Сертифікація. основні поняття. Терміни та визначення.
- ДСТУ 3230-95 Управління якістю та забезпечення якості. Терміни та визначення.
- ДСТУ 3414-96 Система УкрСЕПРО. Атестація виробництва. Порядок здійснення.
- ДСТУ 3415-96 Система УкрСЕПРО. Реєстр Системи.
- ДСТУ 3417-96 Система УкрСЕПРО. Процедура визначення результатів сертифікації продукції, що імпортується.
- ДСТУ 3419-96 Система УкрСЕПРО. Сертифікація систем якості. Порядок проведення.
- ДСТУ 3498-96 Система УкрСЕПРО. Бланки документів. Форма та опис.
- Положення про орган із сертифікації засобів криптографічного захисту інформації.
- Настанова з якості органу із сертифікації засобів криптографічного захисту інформації.
3. Терміни та визначення
Використані у Порядку поняття, терміни та їх визначення мають таке ж значення, як у Положенні про орган із сертифікації засобів криптографічного захисту інформації.
4. Загальні положення
4.1. Сертифікація засобів КЗІ проводиться виключно ОС КЗІ.
4.2. Порядок проведення сертифікації засобів КЗІ включає:
- подання заявки підприємствами, організаціями та установами щодо сертифікації засобів КЗІ і розгляд її ОС КЗІ;
- аналіз наданої документації;
- прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації засобів КЗІ;
- обстеження виробництва або атестація виробництва засобів КЗІ, що сертифікується (при необхідності);
- відбір, ідентифікація зразків засобів КЗІ;
- сертифікаційні випробування;
- аналіз отриманих результатів та прийняття рішення про можливість видачі сертифіката відповідності;
- видача сертифікату відповідності та занесення сертифікованих засобів КЗІ до Реєстру Системи;
- технічний нагляд за сертифікованими засобами КЗІ під час їх виробництва;
- інформування про результати робіт із сертифікації засобів КЗІ.
Технічний захист інформації на програмно-керованих АТС загального користування основні положення НД ТЗІ 1.1-001-99. Поняття ТЗІ на АТС. Основні принципи ТЗІ на АТС. Види загроз для інформації на АТС. Моделі порушників на АТС. Види забезпечення систем ТЗІ на АТС.
4 Загальні положення НД ТЗІ 1.1-001-99
4.1 У цьому документі надані специфікації гарантій захисту інформаційних ресурсів технологічних середовищ створення та експлуатації АТС. Специфікації гарантій захисту необхідні для визначення рівнів довіри до коректності розробок, реалізацій та експлуатації систем ТЗІ на оцінюваних АТС.
4.2 Передбачається, що оцінка рівнів довіри виконується відповідно до базової методики оцінки захищеності інформації на АТС (див. НД ТЗІ 3.7-002-99), яка заснована на єдиних (уніфікованих) для Європейського Союзу "Критеріях оцінки безпеки систем інформаційної техніки - ITSEC".
4.3 У цьому документі специфіковані гарантії за п'ятьма аспектами забезпечення захищеності інформації в технологічному середовищі створення та експлуатації систем ТЗІ і АТС у цілому:
- гарантії безпеки середовища персоналу;
- гарантії стандартизації технологічного середовища;
- гарантії забезпечення спостережності і керованості технологічного середовища;
- гарантії забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища;
- гарантії якості документації.
ТЗІ на АТС - запобігання за допомогою інженерно-технічних заходів реалізаціям загроз для інформаційних ресурсів АТС, що створюються через технічні канали , через канали спеціальних впливів та шляхом несанкціонованого доступу.
У процесі розробки ТЗ на систему ТЗІ на АТС:
аналізуються інформаційні потоки через АТС, характер і зміст розв'язуваних її
абонентами задач, рівень цінності (у т.ч., ступінь конфіденційності) інформації абонентів;
оцінюються характеристики технологічного середовища експлуатації АТС, що підлягає захисту;
створюються моделі порушників;
виявляються дестабілізуючі чинники і загрози для інформаційних ресурсів;
прогнозуються імовірності прояву загроз, потенційно можливі і припустимі втрати власників і абонентів АТС, що пов'язані з такими проявами;
будується модель загроз;
задаються вимоги до необхідного рівня захищеності інформаційних ресурсів на АТС.
Модель порушника - опис ймовірних дій порушника, рівня його повноважень,
ресурсних можливостей, використовуваних ним програмних і (або) апаратних засобів з
метою реалізації загроз для інформації на АТС.
Технічний захист інформації на програмно-керованих АТС загального користування специфікації функціональних послуг захисту НД ТЗІ 2.5 – 001 – 99. Семантика функціональних послуг захисту. Навести приклади.
Цей нормативний документ (НД) містить специфікації функціональних послуг захисту (ФПЗ) інформаційних ресурсів АТС, а також специфікації рівнів стійкості механізмів захисту інформації, які ці ФПЗ реалізують.