Державна експертиза у сфері технічного захисту інформації з метою підтвердження відповідності об'єкту експертизи
Державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою підтвердження відповідності об'єкту експертизи вимогам нормативних документів із технічного захисту інформації та можливості використання об'єкту експертизи для забезпечення технічного захисту інформації.
Об’єктами експертизи є:
• комплексні системи захисту інформації (далі - КСЗІ), які є невід’ємною складовою інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи (далі - ІТС);
• апаратні, апаратно-програмні та програмні засоби, які реалізують функції технічного захисту інформації та/або оцінки стану захисту інформації (далі - засоби ТЗІ);
• організаційно-технічне рішення для впровадження типової компоненти КСЗІ в ІТС (далі - ОТР КСЗІ).
ОТР КСЗІ - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІТС, самодостатнє для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження (розгортання) компоненти КСЗІ в ІТС.
Для використання в органах державної влади та при створенні комплексних систем захисту інформації, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації (апаратні, апаратно-програмні і програмні засоби), які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації.
Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються відповідно до порядку і визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Держспецзв’язку від 16.05.2007 р. № 93 (зі змінами).
Державна експертиза:
• КСЗІ проводиться шляхом експертних випробувань або шляхом аналізу декларації.
• ТЗІ та ОТР КСЗІ проводиться шляхом експертних випробувань;
• КСЗІ шляхом аналізу декларації може проводитися у випадках, якщо:
1) КСЗІ створено у складі ІТС:
яка є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;
у кожний момент часу з якою може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька;
у якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій для антивірусного захисту використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі потреби створення комплексу ТЗІ) засвідчено зареєстрованим у встановленому порядку актом атестації комплексу ТЗІ;
2) КСЗІ в ІТС створено на основі ОТР КСЗІ, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ та має у складі документації форму декларації для цієї КСЗІ, яка погоджена Адміністрацією Держспецзв'язку.
У всіх інших випадках експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань.
Етапи робіт державної експертизи КСЗІ ІТС:
Етапи робіт, які виконують "під ключ" наші фахівці в процесі експертних випробувань КСЗІ ІТС:
• Розробка "Програми та методики експертних випробувань КСЗІ ІТС";
• Проведення державної експертизи КСЗІ ІТС;
• Розробка "Протоколу проведення експертних випробувань КСЗІ ІТС";
• Розробка та реєстрація "Експертного висновку КСЗІ ІТС" у регулятора;
• Отримання "Атестату відповідності КСЗІ ІТС" від регулятора.
Етапи робіт державної експертизи засобів ТЗІ:
Етапи робіт, які виконують "під ключ" наші фахівці в процесі експертних випробувань апаратних, апаратно-програмних та програмних засобів ІТС:
• Отримання від Замовника експертизи комплекту технічної документації на об’єкт експертизи, а також отримання зразків об’єкту експертизи;
• Розробка та затвердження Технічних вимог за крітеріями технічного захисту інформації;
• Розробка "Програми проведення експертних випробувань за критеріями технічного захисту інформації для об’єкту експертизи";
• Розробка "Методики проведення експертних випробувань за критеріями технічного захисту інформації для об’єкту експертизи";
• Проведення експертних випробувань та оформлення "Протоколу проведення експертних випробувань за критеріями технічного захисту інформації для об’єкту експертизи";
• Розробка та реєстрація "Експертного висновку" у регулятора.
В процесі державної експертизи експерти ТОВ "НВП "СМАРТ СОЛЮШЕНС" використовують сучасні підходи, "найкращі практики", а також виконують роботи в межах правового поля та договірних відносин із Замовником.
Слід відзначити, що ТОВ "НВП "СМАРТ СОЛЮШЕНС" має усі необхідні дозвільні документи для провадження робіт у галузі держаної експертизи в сфері технічного захисту інформації, що в свою чергу дозволяє надавати повний спектр сертифікаційних послуги в сфері технічного захисту інформації підприємствам, установам, організаціям незалежно від їх форми власності.