Технічний захист інформації
Згідно з Положенням "Про технічний захист інформації в Україні", яке було затверджене Указом Президента, технічний захист інформації (ТЗІ) - це діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації.
Комплекс заходів технічного захисту інформації може бути здійснений лише в інформаційній системі або на іншому об'єкті інформаційної інфраструктури. Рівень безпеки інформації, яка обробляється в системах та на об'єктах інформаційної інфраструктури визначається комплексом таких її властивостей:
- конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;
- цілісність - властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення;
- доступність - властивість інформації бути захищеною від несанкціонованого блокування.
Лише наявність цих трьох характеристик інформації, що підлягає захисту, є умовою ефективного і безпечного використання суб'єктами інформаційних процесів необхідних об'єктів інформаційної інфраструктури.
В Україні введено державне регулювання діяльність із ТЗІ, яке передбачає:
- ліцензування та надання дозволів на провадження діяльності із ТЗІ;
- сертифікацію та державне експертне оцінювання продукції
у сфері ТЗІ. Процедура надання ліцензії або дозволу визначається змістом завдань, які вирішуються в межах діяльності з ТЗІ:
1) організації, які виконують діяльність з ТЗІ з метою надання відповідних послуг іншим фізичним та юридичним особам, повинні отримати ліцензію на право проведення господарської діяльності у галузі ТЗІ;
2) органи державної влади та місцевого самоврядування, які здійснюють роботи з ТЗІ для власних потреб, отримують право на їх проведення у дозвільному порядку.
Нині ліцензування діяльності в галузі ТЗІ та контроль за додержанням ліцензійних вимог здійснюють адміністрацією Державної служби спеціального зв'язку та захисту інформації України (Держспецзв'язку). Правила ліцензування цього виду господарської діяльності визначаються "Ліцензійними умовами провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації".
Усього в галузі ТЗІ підлягає ліцензуванню 7 видів робіт, а саме:
1) розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг;
2) розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг;
3) розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг;
4) виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності, надання консультативних послуг;
5) виробництво засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля;
6) виробництво засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;
7) розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини, надання консультативних послуг.
Для органів державної влади та органи місцевого самоврядування Держспецзв'язку надає дозволи на проведення робіт з технічного захисту інформації для власних потреб і здійснює контроль за проведенням ними визначених видів робіт.
Система оцінювання продукції у сфері ТЗІ, як уже зазначалося, складається з двох процедур - сертифікації засобів ТЗІ та державної експертизи.
Об'єктом сертифікації в галузі ТЗІ є окремі засоби ТЗІ. Сертифікації підлягають:
- засоби ТЗІ, які виробляються серійно;
- одиничні зразки засобів ТЗІ;
- засоби ТЗІ імпортного виробництва.
Процедура сертифікації полягає наданні споживачеві засобів ТЗІ гарантії відповідності цих засобів нормативним документам. Порядок та вимоги до проведення сертифікації засобів ТЗІ визначаються Наказом Держстандарту України "Про затвердження Порядку проведення робіт з сертифікації засобів забезпечення технічного захисту інформації загального призначення".
Сертифікація засобів ТЗІ в Україні здійснюється органами та випробувальними лабораторіями, які є акредитованими в Українській державній системі сертифікації продукції (УкрСЕПРО).
Державна експертиза у сфері ТЗІ здійснюється відповідно до Закону України "Про наукову і науково-технічну експертизу" та відповідного "Положення про державну експертизу в сфері технічного захисту інформації".
Замовником державної експертизи у сфері ТЗІ є Держспецзв'язком.
Організаторами експертизи є фізичні та юридичні особи, які на підставі доручення або договору із замовниками організовують та проводять експертизу і подають експертні висновки.
Експертами є фізичні особи, які мають високу кваліфікацію, спеціальні знання і безпосередньо здійснюють наукову чи науково-технічну експертизу та несуть персональну відповідальність за достовірність і повноту аналізу, обгрунтованість рекомендацій відповідно до вимог завдання на проведення експертизи.
Організатори експетризи та експерти, яким надано право здійснювати державну експертизу в сфері ТЗІ, підлягають реєстрації у відповідному Реєестрі.
Результати проведеної державної екпертизи у сфері ТЗІ оформляються у вигляді експертних висновків, які видаються щодо окремих засобів технічного захисту інформації, та атестатів відповідності, які видаються на комплексні системи захисту інформації в інформаційно-телекомунікаційних системах.
Наявність позитивного експертного висновку щодо засобу ТЗІ є підставою для його включення до Переліку засобів технічного захисту інформації загального призначення, які дозволені до використання з метою ТЗІ.
Наявність атестату відповідності є обов'язковою умовою надання власникові інформаційно-телекомунікаційної системи дозволу на оброблення в цій системі інформації, що підлягає захисту, відповідно до вимог законодавства.
Отже, система державного регулювання у сфері технічного захисту інформації має комплексний характер і забезпечується встановленням відповідних правил і стандартів, які стосуються як діяльності у сфері ТЗІ, що включають ліцензування та надання відповідних дозволів, так і спеціальними вимогами до засобів ТЗІ та інформаційно-телекомунікаційних систем, які включають стандартизацію, сертифікацію та атестацію.