Загадковий "Сертифікат захисту Г-2"
У статті розглядається питання, пов’язане з програмним забезпеченням та «Сертифікатом захисту Г-2». Дуже нудний longread тільки для дуже зацікавлених, але з висновками наприкінці.
Існують засоби технічного захисту інформації від несанкціонованого доступу.
До їх числа належать програмні, апаратні або програмно-апаратні засоби захисту.
До програмних засобів захисту інформації належать, наприклад, антивірусне програмне забезпечення, компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з основними функціями реалізовані функції з захисту інформації.
До апаратних засобів захисту інформації належать, наприклад, різноманітні спеціальні пристрої, в яких реалізується алгоритм захисту.
До програмно-апаратних засобів захисту належать засоби захисту інформації, в яких частину функцій реалізовано в спеціальному пристрої, керування яким здійснюється за допомогою спеціального програмного забезпечення.
Деякі покупці програмного забезпечення ставлять продавцю запитання, чи має воно «Сертифікат захисту Г-2». В переважній більшості випадків продавці не знають, яким чином правильно відповісти покупцю та як обґрунтувати свою відповідь.
Перш за все, необхідно зазначити, що документу під назвою «Сертифікат захисту Г-2» законодавством України не передбачено.
У певних випадках покупцю потрібен Експертний висновок, який видається за результатами державної експертизи у сфері технічного захисту інформації, та Атестат відповідності, який видається Державною службою спеціального зв’язку України на підставі такого висновку. Проте, покупці не знають точної назви цих документів та їх призначення.
Про Експертні висновки та Атестати відповідності, про програмне забезпечення, стосовно якого вони можуть бути видані, на яких підставах вони видаються і в яких саме випадках їх наявність є обов’язковою, буде зазначено додатково (можливо, у наступній статті), а поки що про якийсь захист «Г-2».
«Г-2» - це не щось вигадане. Насправді, це показник рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації (термін, встановлений законодавством України).
Загалом існують сім рівнів таких гарантій – від Г-1 до Г-7, що передбачено документом - НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу, затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28.04.1999 р. № 22 із змінами.
Зазначений НД (нормативний документ) встановлює критерії оцінки захищеності інформації, оброблюваної в комп'ютерних системах, від несанкціонованого доступу. Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг безпеки.
Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.
В зазначених Критеріях вводиться сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, в свою чергу коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації комп'ютерної системи.
Таким чином, чим вище рівень гарантій (від Г-1 до Г-7), тим краще реалізовані функції із захисту інформації в засобах захисту інформації.
Відповідно до пункту 17 Положення про технічний захист інформації в Україні, затвердженому Указом Президента України від 27.09.1999 р. із змінами, під час розроблення і впровадження заходів з технічного захисту інформації використовуються засоби, дозволені Адміністрацією Держспецзв'язку України для застосування та включені до відповідних переліків.
Державна служба спеціального зв’язку України на своєму веб-сайті (http://www.dsszzi.gov.ua) публікує та регулярно оновлює такий Перелік засобів технічного захисту інформації, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.
Наразі Перелік доступний станом на 05.09.2019 р. (http://195.78.68.84/dsszzi/control/uk/publish/article?showHidden=1&art_id=288071&cat_id=44795).
З цього переліку вбачається, що більшість засобів захисту інформації мають рівень гарантій коректності реалізації функціональних послуг безпеки Г-2.
Яким же чином визначається рівень гарантій?
Система оцінювання в Україні функціонує на основі Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 р. № 93 із змінами.
Згідно з вимогами цього Положення, оцінювання відповідності реалізованих засобів та заходів захисту встановленим вимогам та нормам здійснюється шляхом проведення експертизи.
Оцінка рівня гарантій здійснюється у відповідності з НД ТЗІ 2.7-010-09. Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу, затверджені наказом Адміністрації Державної служби спеціального зв’язку України від 24.07.2009 р. № 172.
Відповідно до розділу 2 Методичних вказівок засіб технічного захисту інформації від несанкціонованого доступу - програмний, апаратний або програмно-апаратний засіб, який створюється як окремий продукт виробництва, має необхідну проектну та/або експлуатаційну документацію і забезпечує, самостійно або в комплексі з іншими засобами, захист від загроз несанкціонованого доступу для оброблюваної в інформаційно-телекомунікаційних системах інформації.
Згідно з вимогами НД ТЗІ 2.5-004-99 окремо оцінюються реалізовані функції захисту (функціональні послуги безпеки) та рівень гарантій коректності їх реалізації (рівень гарантій).
У процесі оцінювання гарантії забезпечуються шляхом перевірки додержання розробником вимог критеріїв, аналізу документації, процедур розроблення та постачання об’єктів експертизи, а також іншими діями експертів, які проводять оцінювання.
Необхідно зазначити, що у відкритому доступі (можливо є нормативні акти для службового користування) автором не знайдено нормативних актів, якими би встановлювались конкретні вимоги щодо того, якому саме рівню гарантій має відповідати те чи інше програмне забезпечення з числа засобів захисту інформації.
Тобто, у певних випадках є вимога щодо підтвердження відповідності (Експертний висновок, наданий на результатами проведення експертизи, Акт відповідності), але вимог щодо відповідності певного засобу захисту інформації конкретному рівню гарантій від Г-1 до Г-7 не існує (не знайдено).
Так, пунктом 4 Порядку використання комп’ютерних програм і органах виконавчої влади, затвердженому постановою Кабінету Міністрів України від 10.09.2003 р. № 1433 із змінами, встановлено, що для оброблення, передавання, зберігання службової, таємної інформації, персональних даних, а також інформації єдиних та державних електронних реєстрів використовуються комп’ютерні програми (їх оновлення), в яких немає недокументованих функцій, що підтверджується результатами державної експертизи у сфері захисту інформації, яка досліджує вихідні коди та відповідні виконувані модулі програм і компонентів, перевіряється достовірність і повнота (цілісність), ідентифікується джерело походження (авторство), з фіксуванням стану комп’ютерних програм чи їх оновлень на момент проведення перевірки.
Вказаною постановою також встановлено, що під час вибору комп’ютерних програм, які пройшли державну експертизу у сфері захисту інформації, органи виконавчої влади віддають перевагу (за інших однакових об’єктивних технічних та якісних характеристик) комп’ютерним програмам, у яких реалізовано вищий рівень гарантій коректності надання функціональних послуг безпеки.
Аналогічні положення встановлені навіть для об’єктів критичної інфраструктури. Так, в пункті 45 Переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету міністрів України від 19.06.2019 р. № 518, зазначено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації.
Таким чином, з наведеного можна зробити наступні висновки:
- до складу програмних засобів захисту інформації належить програмне забезпечення, яке безпосередньої призначене для захисту інформації, а також окремі компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з його основними функціями реалізовані функції з захисту інформації;
- програмне забезпечення, яке не призначено для захисту інформації або не має у своєму складі окремих компонент/модулів/механізмів захисту інформації поряд з його основними функціями, не повинно мати ніяких підтверджень відповідності, зокрема, Експертних висновків та Атестатів відповідності у зв’язку з відсутністю у такого програмного забезпечення функції з захисту інформації;
- документ під назвою «Сертифікат захисту Г-2» законодавством України не передбачений;
- Г-2 – це показник рівня гарантій коректності реалізації функціональних послуг безпеки в засобі захисту інформації;
- засоби захисту інформації мають рівень гарантій коректності реалізації функціональних послуг безпеки від Г-1 до Г-7, де Г-1 – найнижчий рівень гарантій, а Г-7 – найвищий, а більша частина програмного забезпечення з числа засобів захисту інформації мають рівень гарантій Г-2;
- чим вище рівень гарантій за шкалою від Г-1 до Г-7, тим краще реалізовані функції із захисту інформації в засобі захисту інформації (рівень гарантій зазначається в Експертному висновку);
- вимог щодо відповідності певного програмного забезпечення з числа засобів захисту інформації конкретному рівню гарантій (від Г-1 до Г-7) не існує.
- Оновлення законодавства про захист персональних даних: GDPR в законопроєкті 8153 Анастасія Полтавцева вчора о 18:47
- Податкова біполярність або коли виграв справу, але неправильно Євген Власов вчора о 16:35
- Встановлення факту спільного проживання «цивільного подружжя» при поділі майна Євген Морозов вчора о 10:52
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду Лариса Гольник вчора о 09:26
- Топ-3 проєктів протидії фінансовому шахрайству у 2024 році Артем Ковбель 20.12.2024 23:10
- Как снять арест с карты: советы для должников ЖКХ Віра Тарасенко 20.12.2024 21:40
- Кейс нотаріальної фальсифікації в Україні: кримінал, зловживання довірою й порушення етики Світлана Приймак 20.12.2024 16:40
- Валюта боргу та валюта платежу в договірних відносинах Євген Морозов 20.12.2024 09:50
- БЕБ, OnlyFans та податкова істерика: хто насправді винен? Дмитро Зенкін 19.12.2024 16:55
- Посилено відповідальність за домашнє та гендерно зумовлене насильство Світлана Приймак 19.12.2024 16:44
- Вчимося та вчимо дітей: мотивація та управління часом Інна Бєлянська 19.12.2024 16:11
- Гендерний розрив на ринку праці України: дослідження Міжнародної організації з міграції Юлія Маліч 19.12.2024 13:36
- Україна сировинний придаток, тепер офіційно? Андрій Павловський 19.12.2024 12:50
- Звільнення від обов`язку сплати неустойки (штрафу, пені) та 3 % річних Євген Морозов 19.12.2024 09:34
- Яйце чи курка? Проєкт чи Постанова? Що має бути першим? Євген Власов 18.12.2024 16:34
- Після зупинення війни, вільних виборів може і не відбутися 1237
- Україна сировинний придаток, тепер офіційно? 1155
- Правова стратегія для захисту інтересів дитини у суді 560
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду 379
- Вчимося та вчимо дітей: мотивація та управління часом 226
-
Трамп обвалив акції своєї медіагрупи. Віддав частку Trump Media у спеціальний траст
Бізнес 9928
-
Для мешканців багатоквартирних будинків встановили фіксовані ціни за електроенергію
Бізнес 9203
-
Попит на природний газ для експорту ЗПГ із США вперше за вісім років зменшився: причини
Бізнес 6714
-
Сільпо втратило склад і товари на 400 млн грн через нічну атаку "шахедів"
Бізнес 5186
-
Податковий режим заважає розвитку третині бізнесу в Україні — опитування ЄБА
Фінанси 4517