- •Порядок проведення робіт зі створення ксзи.
- •25. Требования по защите информации в локальных сетях.
- •26. Захист державних інформаційних ресурсів в мережі Internet
- •27. Порядок провадження господарської діяльності в галузі тзі.
- •28. Державна система сертифікації та експертизи в сфері тзі.
- •29. Види та форми державного контролю за станом тзі.
- •30. Відповідальність за порушення у сфері захисту інформації.
28. Державна система сертифікації та експертизи в сфері тзі.
Література
1. „Правила проведення робіт із сертифікації засобів захисту інформації”. Затверджені спільним наказом Адміністрації Держспецзв'язку, Держспожив-стандарту України від 25.04.2007р. № 75/91. Зареєстровано в Міністерстві юстиції України 14 травня 2007 р. за № 498/13765.
2. „Положення про державну експертизу в сфері технічного захисту інформації”. Наказ №93 від 16.05.2007, Адміністрація Державної служби спеціального зв'язку та захисту інформації як центральний орган виконавчої влади.
Сертификация средств обеспечения технической защиты информации общего назначения осуществляется в Украинской государственной системе сертификации продукции - УкрСЕПРО.
Общее руководство сертификационной деятельностью в сфере ТЗИ, организация и координация работ по сертификации осуществляются Национальным органом по сертификации - Государственным комитетом стандартизации, метрологии и сертификации Украины (Госстандартом Украины) и Департаментом.
Сертификацию проводят только Органы и испытательные лаборатории, которые аккредитованы в УкрСЕПРО в установленном порядке.
Сертификация проводится на соответствие требованиям нормативных документов по вопросам ТЗИ, которые зарегистрированы в установленном порядке, а также требованиям аналогичных нормативных документов иных государств, которые введенные в действие в Украине.
Порядок в общем случае предусматривает:
подачу заявки на сертификацию заявителем;
рассмотрение и принятие решения по заявке органом по сертификации с определением схемы (модели) сертификации;
обследование или аттестацию производства средств, которые сертифицируются органом по сертификации, или сертификацию системы качества этого производства, если это предусмотрено схемой сертификации;
отбор образцов для испытаний органом по сертификации;
идентификацию отобранных образцов органом по сертификации;
прием идентифицированных образцов испытательной лабораторией;
проведение испытаний образцов испытательной лабораторией;
анализ полученных результатов испытаний органом по сертификации и принятие решения о возможности выдачи сертификата соответствия;
выдачу сертификата соответствия органом по сертификации, заключение лицензионного соглашения и внесение сертифицированных средств в Реестр Системы УкрСЕПРО и в перечень разрешенных к применению средств обеспечение ТЗИ общего назначения Департамента;
технический надзор со стороны органа по сертификации за сертифицированными средствами во время их производства.
К объектам экспертизы, прежде всего, относятся комплексные системы защиты информации в автоматизированных системах, которые предназначены для предупреждения намеренных или неумышленных действий по блокированию информации, нарушению ее конфиденциальности или целостности, а также программные и программно-аппаратные средства предназначенные для создания таких систем защиты информации.
Порядок организации и проведения экспертизы:
С целью координации мероприятий и принятия решений о проведении экспертиз создан Экспертный совет, деятельность которого определена соответствующим положением об этом органе.
Экспертный совет в месячный срок после подачи заявки принимает решение о целесообразности проведения экспертизы и определяет ее организатора из Реестра организаторов экспертиз.
Организатор экспертизы определяет экспертов, которые будут привлекаться к выполнению экспертных работ во время проведения экспертизы.
Срок проведения экспертизы определяется договором и не должен превышать шести месяцев.
Организатор, по результатам анализа предоставленных Заказчиком документов, формирует программу и частные методики проведения экспертизы, разрабатывает, в случае необходимости, соответствующее программно-техническое обеспечение.
По результатам проведенных работ организатор формирует и подписывает "Экспертное заключение" - документ с выводом о соответствии объекта экспертизы требованиям нормативных документов системы технической защиты информации.
Выводы по каждому пункту частной методики, а также особые мнения экспертов, зафиксированные в протоколах, включаются в “Экспертное заключение” как составные части, без внесения в них каких-либо изменений.
"Экспертное заключение " рассматривается Экспертным советом и в случае утверждения результатов экспертизы регистрируется и выдается заказчику.
Положительное решение по результатам экспертизы средства обеспечение ТЗИ является основанием для включения его в перечень технических средств общего назначения, которые разрешены для использования с целью технической защиты информации.