Специфіка інформації, яка обробляється у розроблених Softline ІТ-рішеннях, вимагає особливого підходу з точки зору безпеки. Ми вирішили пояснити що означають загадкові позначки Г-2 та Г-3 в описах наших програмних продуктів. Та «страшна» абревіатура КСЗІ в інформаційно-телекомунікаційних системах, які ми створюємо.
Зауважимо, що окремі державні органи всупереч вимогам законодавства експлуатують інформаційно-телекомунікаційні системи без комплексної системи захисту інформації, що має чинний Атестат відповідності та Експертний висновок за результатами державної експертизи. На жаль, час від часу це приводить до того, що персональна інформація потрапляє до рук зловмисників.
1. Яка інформація вимагає захисту?
Згідно зі ст. 8 ЗУ «Про захист інформації в інформаційно-телекомунікаційних системах» державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації (надалі – КСЗІ) із підтвердженою відповідністю.
ЗУ «Про інформацію» визначає, що інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація.
Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень.
Таємна інформація — інформація, що містить державну, професійну, банківську таємницю, таємницю досудового розслідування тощо.
Службовою є та інформація, що міститься в документах суб'єктів владних повноважень, які становлять внутрішньовідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов'язані з діяльністю установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню та/або прийняттю рішень. Також до різновиду останньої відноситься й інформація, зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни та документи, яким присвоюється гриф «для службового користування».
Варто також згадати ЗУ «Про захист персональних даних». Згідно з ним персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Власники, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкової втрати або знищення, від незаконної обробки, у тому числі — незаконного знищення чи доступу до персональних даних.
Компанії, що входять до Intecracy Group, спеціалізуються на розробці інформаційних систем, які, у зв’язку зі специфікою інформації, яка в них обробляється, мають бути захищеними згідно з вимогами законодавства.
2. Хто має право створювати КСЗІ та яким чином?
Станом на травень 2020 ліцензія на створення КСЗІ не потрібна. Ліцензується діяльність щодо Оцінювання захищеності інформації та Виявлення закладних пристроїв.
Тобто ліцензія потрібна у двох випадках. Перший — це проведення державної експертизи, другий — під час створення КСЗІ для обробки інформації, що становить державну таємницю (включає обов'язкові роботи із захисту від витоку інформації технічними каналами).
Створення КСЗІ здійснюється відповідно до нормативного документа технічного захисту інформації (надалі — НД ТЗІ) 3.7-003–05 «Порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі» на підставі технічного завдання (далі — ТЗ), розробленого згідно з вимогами НД ТЗІ 3.7-001–99 «Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі».
До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:
- витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;
- несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм, використання комп’ютерних вірусів тощо;
- спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів із метою порушення цілісності інформації або руйнування системи захисту.
За результатами детального вивчення об’єкта, на якому створюється КСЗІ, уточнення моделі загроз та моделі порушника, результатів аналізу можливості керування ризиками здійснюється вибір основних рішень із протидії всім суттєвим загрозам, формування загальних вимог, правил, обмежень, які регламентують використання захищених технологій обробки інформації в ІТС, окремих заходів і засобів захисту інформації, діяльність користувачів усіх категорій та документальне оформлення політики безпеки.
Під час розробки КСЗІ обґрунтовуються і приймаються проєктні рішення, які дають змогу реалізувати вимоги ТЗ, забезпечити сумісність і взаємодію різних компонентів КСЗІ, а також різних заходів і способів захисту інформації. У результаті створюється комплект робочої та експлуатаційної документації, необхідної для забезпечення тестування, проведення пусконалагоджувальних робіт, випробувань та управління КСЗІ.
Введення КСЗІ в дію включає розробку розпорядчих документів, що регламентують діяльність із забезпечення захисту інформації в ІТС, створення служби захисту інформації, розробку і затвердження Плану захисту інформації, навчання користувачів ІТС всіх категорій (технічного персоналу, звичайних користувачів та адміністраторів), комплектування КСЗІ засобами захисту інформації, матеріалами, обладнанням, проведення будівельно-монтажних та пусконалагоджувальних робіт, попередніх випробувань та дослідної експлуатації КСЗІ. Під час попередніх випробувань перевіряються працездатність КСЗІ та відповідність її вимогам ТЗ.
Під час дослідної експлуатації:
- відпрацьовуються технології обробки інформації, обігу машинних носіїв інформації, керування засобами захисту, розмежування доступу користувачів до ресурсів ІТС та автоматизованого контролю за діями користувачів;
- співробітники служби захисту інформації та користувачі ІТС набувають практичних навичок із використання технічних та програмно-апаратних засобів захисту інформації, засвоюють вимоги організаційних та розпорядчих документів із питань розмежування доступу до технічних засобів та інформаційних ресурсів;
- здійснюється (за необхідністю) доопрацювання програмного забезпечення, додаткове налагоджування та конфігурування комплексу засобів захисту інформації від несанкціонованого доступу;
- здійснюється (за необхідністю) коригування робочої та експлуатаційної документації.
За результатами дослідної експлуатації приймається рішення про готовність КСЗІ в ІТС до представлення на державну експертизу.
3. Хто та яким чином проводить експертизу?
Державна служба спеціального зв’язку та захисту інформації України приймає рішення щодо можливості й доцільності проведення та організації експертизи, визначає Організатора експертизи, реєструє результати.
Організатором експертизи може бути підприємство, що має Ліцензію Держспецзв'язку на Оцінювання захищеності інформації. Тобто, Замовник звертається до Держспецзв'язку для проведення експертизи, Держспецзв'язок визначає Організатора державної експертизи.
Організатор державної експертизи формує програму та методику проведення державної експертизи, затверджує у Замовника та погоджує в Держспецзв'язку.
За результатами державної експертизи Організатор державної експертизи оформлює Експертний висновок та Атестат відповідності й надсилає їх на розгляд Експертній раді з питань державної експертизи у сфері технічного захисту інформації, що створена в Адміністрації Держспецзв'язку. У разі затвердження результатів Експертизи експертний висновок реєструється та разом з Атестатом відповідності повертається Організатору експертизи, а вже він передає його Замовнику.
4. Що таке Експертний висновок та Атестат відповідності?
Це документи, які Замовник експертизи отримує від Організатора експертизи у випадку затвердження результатів експертизи Держспецзв'язком.
Основним документом є Атестат відповідності, а вищезазначений Експертний висновок є його невіддільною частиною. Атестат відповідності засвідчує, що система захисту інформації відповідає вимогам нормативних документів. Варто відзначити, що в Експертному висновку зазначається рівень гарантій. Що це таке? Читайте далі.
5. Що таке «рівень гарантій» та якими бувають гарантії?
Нормативний документ ТЗІ 2.5-004–99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» встановлює критерії оцінки захищеності інформації. До них входять функціональні критерії (дозволяють оцінити наявність послуг безпеки) та критерії гарантій (дозволяють оцінити коректність реалізації послуг безпеки). Критерії включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування й експлуатаційної документації.
Загалом існують сім рівнів гарантій – від Г-1 до Г-7. Чим вищий, тим більш захищеною є система.
Розробки компаній Intecracy Group на сьогодні відповідають рівню Г-2 та Г-3 і це досить високий рівень гарантій. В Україні рівні гарантій Г-3 та Г-4 мають лише деякі спеціалізовані системи військового призначення (наприклад, Г-3 — це рівень гарантій комплексу зв’язку командно-штабної машини). Рівні Г-5, 6 та 7 поки що не отримала жодна інформаційна система. До речі, рівню гарантій Г-2 також відповідають програмні продукти для державного та цивільного сектору від ведучих світових розробників, таких як Cisco, Microsoft, ESET, IBM тощо.
6. Чи відповідають українські вимоги міжнародній практиці?
Рівень гарантій Г2 відповідає рівню EAL 3 міжнародного стандарту ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation». Рівень Г3 відповідає рівню EAL 4 міжнародного стандарту ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation».
Перелічені рівні гарантій у програмних продуктах Intecracy Group підтверджують повну контрольованість та керованість процесів розробки, постачання та супроводження ПЗ, що виключає можливість випадкового чи навмисного витоку, несанкціонованого збору та передачі даних третім особам або внесення зловмисниками програмних закладок у вихідний код ПЗ на всіх етапах життєвого циклу створення та експлуатації ПЗ.
7. Чому розробники софту зацікавлені посилювати захист та замовляти експертизу?
Пунктом 4 Порядку «Використання комп’ютерних програм в органах виконавчої влади» (Постанова Кабміну 10.09.2003 р. № 1433) визначено, що для оброблення, передавання, зберігання службової, таємної інформації, персональних даних, а також інформації єдиних та державних електронних реєстрів, використовуються комп’ютерні програми (їх оновлення), в яких немає недокументованих функцій, що підтверджується результатами державної експертизи у сфері захисту інформації.
Цим же документом визначено, що під час вибору комп’ютерних програм, які пройшли державну експертизу у сфері захисту інформації, органи виконавчої влади віддають перевагу комп’ютерним програмам, у яких реалізовано вищий рівень гарантій коректності надання функціональних послуг безпеки.
Аналогічним є підхід для об’єктів критичної інфраструктури. В пункті 45 «Переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури» (Постанова Кабміну від 19.06.2019 р. № 518) вказано, що для роботи в інформаційних системах об’єктів критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій.
Тобто, компанії-розробники, які отримують на свою продукцію позитивний Експертний висновок за результатами державної експертизи у галузі ТЗІ, отримують конкурентні переваги під час державних закупівель, що є важливою частиною реалізації державної політики, спрямованої на захист конфіденційної, таємної та службової інформації.
Ігнорування питань захисту інформації задля прискорення введення інформаційно-телекомунікаційних систем в експлуатацію є грубим порушенням законодавства та засад інформаційної безпеки.
