Технічний захист інформації

Згідно з Положенням "Про технічний захист інформації в Україні", яке було затверджене Указом Президента, технічний за­хист інформації (ТЗІ) - це діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та до­ступності інформації.

Комплекс заходів технічного захисту інформації може бути здій­снений лише в інформаційній системі або на іншому об'єкті інформа­ційної інфраструктури. Рівень безпеки інформації, яка обробляється в системах та на об'єктах інформаційної інфраструктури визначаєть­ся комплексом таких її властивостей:

- конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;

- цілісність - властивість інформації бути захищеною від несанк­ціонованого спотворення, руйнування або знищення;

- доступність - властивість інформації бути захищеною від не­санкціонованого блокування.

Лише наявність цих трьох характеристик інформації, що підлягає захисту, є умовою ефективного і безпечного використання суб'єктами інформаційних процесів необхідних об'єктів інформаційної інфра­структури.

В Україні введено державне регулювання діяльність із ТЗІ, яке передбачає:

- ліцензування та надання дозволів на провадження діяльнос­ті із ТЗІ;

- сертифікацію та державне експертне оцінювання продукції

у сфері ТЗІ. Процедура надання ліцензії або дозволу визначається змістом за­вдань, які вирішуються в межах діяльності з ТЗІ:

1) організації, які виконують діяльність з ТЗІ з метою надання від­повідних послуг іншим фізичним та юридичним особам, повинні отрима­ти ліцензію на право проведення господарської діяльності у галузі ТЗІ;

2) органи державної влади та місцевого самоврядування, які здій­снюють роботи з ТЗІ для власних потреб, отримують право на їх про­ведення у дозвільному порядку.

Нині ліцензування діяльності в галузі ТЗІ та контроль за додержан­ням ліцензійних вимог здійснюють адміністрацією Державної служби спеціального зв'язку та захисту інформації України (Держспецзв'язку). Правила ліцензування цього виду господарської діяльності визнача­ються "Ліцензійними умовами провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслугову­ванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації".

Усього в галузі ТЗІ підлягає ліцензуванню 7 видів робіт, а саме:

1) розроблення, впровадження, дослідження ефективності, об­слуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акус­тичні поля, надання консультативних послуг;

2) розроблення, впровадження, дослідження ефективності, об­слуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є елек­тромагнітні поля та електричні сигнали, надання консульта­тивних послуг;

3) розроблення, виробництво, впровадження, дослідження ефек­тивності, супроводження засобів та комплексів технічного за­хисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого до­ступу, надання консультативних послуг;

4) виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності, надання консультативних послуг;

5) виробництво засобів забезпечення технічного захисту інфор­мації, носіями якої є акустичні поля;

6) виробництво засобів забезпечення технічного захисту інформа­ції, носіями якої є електромагнітні поля та електричні сигнали;

7) розроблення, впровадження, дослідження ефективності, об­слуговування на об'єктах інформаційної діяльності комплек­сів (систем) технічного захисту інформації, носіями якої є хі­мічні речовини, надання консультативних послуг.

Для органів державної влади та органи місцевого самоврядуван­ня Держспецзв'язку надає дозволи на проведення робіт з технічного захисту інформації для власних потреб і здійснює контроль за прове­денням ними визначених видів робіт.

Система оцінювання продукції у сфері ТЗІ, як уже зазначалося, складається з двох процедур - сертифікації засобів ТЗІ та державної експертизи.

Об'єктом сертифікації в галузі ТЗІ є окремі засоби ТЗІ. Сертифі­кації підлягають:

- засоби ТЗІ, які виробляються серійно;

- одиничні зразки засобів ТЗІ;

- засоби ТЗІ імпортного виробництва.

Процедура сертифікації полягає наданні споживачеві засобів ТЗІ гарантії відповідності цих засобів нормативним документам. Порядок та вимоги до проведення сертифікації засобів ТЗІ визначаються Нака­зом Держстандарту України "Про затвердження Порядку проведення робіт з сертифікації засобів забезпечення технічного захисту інфор­мації загального призначення".

Сертифікація засобів ТЗІ в Україні здійснюється органами та ви­пробувальними лабораторіями, які є акредитованими в Українській державній системі сертифікації продукції (УкрСЕПРО).

Державна експертиза у сфері ТЗІ здійснюється відповідно до За­кону України "Про наукову і науково-технічну експертизу" та відповідного "Положення про державну експертизу в сфері технічного захисту інформації".

Замовником державної експертизи у сфері ТЗІ є Держспецзв'язком.

Організаторами експертизи є фізичні та юридичні особи, які на підставі доручення або договору із замовниками організовують та проводять експертизу і подають експертні висновки.

Експертами є фізичні особи, які мають високу кваліфікацію, спеціальні знання і безпосередньо здійснюють наукову чи науково-технічну експертизу та несуть персональну відповідальність за досто­вірність і повноту аналізу, обгрунтованість рекомендацій відповідно до вимог завдання на проведення експертизи.

Організатори експетризи та експерти, яким надано право здійсню­вати державну експертизу в сфері ТЗІ, підлягають реєстрації у відпо­відному Реєестрі.

Результати проведеної державної екпертизи у сфері ТЗІ оформ­ляються у вигляді експертних висновків, які видаються щодо окре­мих засобів технічного захисту інформації, та атестатів відповід­ності, які видаються на комплексні системи захисту інформації в інформаційно-телекомунікаційних системах.

Наявність позитивного експертного висновку щодо засобу ТЗІ є підставою для його включення до Переліку засобів технічного захис­ту інформації загального призначення, які дозволені до використан­ня з метою ТЗІ.

Наявність атестату відповідності є обов'язковою умовою надан­ня власникові інформаційно-телекомунікаційної системи дозволу на оброблення в цій системі інформації, що підлягає захисту, відповід­но до вимог законодавства.

Отже, система державного регулювання у сфері технічного захис­ту інформації має комплексний характер і забезпечується встанов­ленням відповідних правил і стандартів, які стосуються як діяльності у сфері ТЗІ, що включають ліцензування та надання відповідних до­зволів, так і спеціальними вимогами до засобів ТЗІ та інформаційно-телекомунікаційних систем, які включають стандартизацію, сертифі­кацію та атестацію.