Ліцензування діяльності в галузі технічного захисту інформації

Аналіз системи ліцензування підприємницької діяльності в області технічного захисту інформації в Україні. Цілі сертифікації в галузі ТЗІ. Міжнародні стандарти в галузі безпеки інформаційних технологій та їх місце в розвитку стандартизації в країні.
Краткое сожержание материала:

Размещено на

Державний університет інформаційно-комунікаційних технологій

Навчально-науковий інститут захисту інформації

Кафедра систем захисту інформації

Реферат

з дисципліни

"Основи інформаційної безпеки держави"

Тема

"Ліцензування діяльності в галузі технічного захисту інформації"

Виконав: студент групи БСЗ-31 Голубцов Павло Анатолійович.

Київ 2013

Зміст

1. Ліцензування в області технічного захисту інформації (ТЗІ) в Україні

2. Сертифікація в галузі ТЗІ в Україні

3. Міжнародні стандарти в галузі безпеки інформаційних технологій та їх місце в розвитку стандартизації в Україні

Висновки

Список використаної літератури

1. Ліцензування в області технічного захисту інформації (ТЗІ) в Україні

Одним з перших реальних кроків у формуванні національної системи ТЗІ в Україні стало створення системи державного ліцензування діяльності в галузі захисту інформації. Були внесені відповідні зміни в Закон про підприємницьку діяльність та введена в дію відповідна інструкція. Кілька років функціонування цієї системи дозволяють підвести деякі підсумки. Перш за все необхідно встановити, які цілі переслідує ліцензування в галузі ТЗІ та чи досягнуті вони?

Одним з основних завдань інституту ліцензування взагалі є захист країни і її населення від товарів, що можуть завдати шкоди життю та здоров'ю громадян, екології, нормальній роботі важливих систем і т.д.

Метою ліцензування може служити також поповнення бюджету держави (як форма "прихованого податку" на високоприбуткові види діяльності). Обидві ці цілі малоймовірні, оскільки діяльність у галузі ТЗІ не проносить надприбутків, ціна ліцензії не висока, а загрози для здоров'я та екології відсутня.

Можна зробити висновок, що ліцензування підприємницької діяльності в області захисту інформації з обмеженим доступом від витоку по технічних каналах може мати сенс як державна гарантія якості надаваних послуг. Це суттєво при проведенні заходів із захисту держтаємниці. Але для тих, хто працює з держтаємницею, давно існує налагоджений механізм допуску та за відсутності такого, належним чином оформленого, ніяка ліцензія не дасть права на проведення робіт із захисту секретної інформації. Дещо інша ситуація виникає при організації захисту інформації суб'єктами недержавного сектора. При цьому спостерігаються два підходи до вирішення проблеми.

У першому випадку керівництво суб'єкта підприємницької діяльності (фірми) розуміє необхідність захисту інформації та реально зацікавлене в якісному виконанні робіт. При цьому фірма буде шукати фахівців, що мають найбільший авторитет у цій галузі, не залежно від того, чи працюють фахівці в організації, що має ліцензію. Таким чином, стимулюється проведення цих робіт за рахунок тіньового сектору економіки.

У другому випадку керівництво фірми не вважає актуальним необхідність проведення заходів щодо захисту інформації, але бажає виконати всі покладені вимоги. У цій ситуації для замовника не має значення якість виконання робіт, важливо тільки, щоб договір і результати робіт були оформлені відповідно до вимог керівних документів. Такий підхід дискредитує систему ТЗІ взагалі і ліцензування діяльності в цій області зокрема. Крім того, в цій ситуації знижуються вимоги до лінцезіатів, що знижує загальний рівень проведення робіт в галузі ТЗІ в цілому по країні.

Розглянемо ліцензування з точки зору напрямків діяльності ліцензіатів у галузі ТЗІ. Оскільки мова йде про надання платних послуг споживачеві, нормативна база повинна, перш за все, враховувати інтереси замовника. Сьогодні захист інформації на фірмах і в організаціях зводиться, в основному, до наступних напрямах:

- Захист мовної інформації з обмеженим доступом, що циркулює на об'єкті, від витоку по технічних каналах;

- Захист інформації з обмеженим доступом, що циркулює в засобах обчислювальної техніки, від витоку по технічних каналах;

- Захист інформації з обмеженим доступом від витоку через закладні пристрої;

- Захист інформації з обмеженим доступом, що циркулює в АС, від несанкціонованого доступу;

- Захист інформації з обмеженим доступом, переданої з комунікацій різного призначення.

Очевидно, що система ліцензування повинна бути адекватною названим задачам. Крім інтересів споживача, зазначені напрями діяльності об'єднує єдність технічної та нормативно-методичної бази. Кожен напрямок може поділятися на рівні - захист державної та недержавної таємниці.

Розглянемо з цієї точки зору, які вимоги до видів діяльності пред'являє до ліцензіатів «Інструкція про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів технічного захисту інформації, а також з наданням послуг із технічного захисту інформації, та контроль за їх дотриманням». В ній визначені такі види робіт, що підлягають ліцензуванню:

«1.3.1. Дослідження об'єктів інформаційної діяльності та інформаційних систем щодо безпеки інформації, надання консультативних послуг з технічного захисту інформації.

1.3.2. Розроблення, впровадження, атестація, обслуговування систем технічного захисту інформації від технічних розвідок та спеціальних впливів на об'єктах інформаційної діяльності.

1.3.3. Розроблення, впровадження, супроводження систем технічного захисту інформації в інформаційних системах.

1.3.4. Виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності.

1.3.5. Розроблення, виготовлення, використання та реалізація засобів забезпечення технічного захисту інформації.

1.3.6. Ввезення, вивезення засобів технічного захисту інформації»

Як видно з наведеного переліку, він не враховує реального підходу до технічного захисту інформації та потреб замовника. Реалізація пп. 1.3.2. 1.3.3. неможлива без п. 1.3.1., так як не можна розробити і реалізувати систему захисту інформації без дослідження об'єктів, а розроблені на основі дослідження рекомендації щодо створення системи ТЗІ фактично є "консультативними послугами". Пп. 1.3.1. - 1.3.3. не визначають конкретний вид діяльності. Як вже говорилося, оцінка захищеності АС від витоку інформації за рахунок каналів побічних електромагнітних випромінювань і наводок (ПЕМВН) і захист мовної інформації істотно відрізняються методологією та використовуваної апаратурою. Інструкція не передбачає конкретного виду діяльності. Таким чином, ліцензіат повинен або показати готовність до проведення будь-якого виду робіт (що не завжди необхідно і виправдано), або заявити один напрям діяльності по захисту, що не заважає згодом довільно розширювати сферу діяльності. Найбільш чіткий, обгрунтований і конкретний вид діяльності визначено п. 1.3.4. Це, мабуть, пов'язано з тим, що процес пошуку закладних пристроїв носить не стільки технічний, скільки оперативно-технічний характер.

Основним (і єдиним) регулятором застосування засобів забезпечення ТЗІ є система сертифікації. Розглянемо просту ситуацію: підприємство має ліцензію на виробництво засобів забезпечення ТЗІ, але воно не пройшло сертифікаційних випробувань. Такий виріб не може бути рекомендовано для застосування. З іншого боку, виріб що виготовлений в ініціативному порядку і пройшов сертифікаційні випробування може бути рекомендовано для забезпечення ТЗІ. Виникає закономірне питання, яку мету переслідує ліцензування в цій області.

Також суттєвим аспектом є нормування праці в цій галузі. В інших областях діяльності таке нормування існує. Безумовно, в ринкових умовах нереально нав'язувати вартість договірних робіт, разом з тим орієнтовні середні трудовитрати повинні бути визначені нормативним документом. Відсутність норм трудовитрат призводить до того, що деякі ліцензіати невиправдано і значно завищують вартість робіт. Це не принципово, якщо договір укладають між собою комерційні структури. Але якщо договір на виконання робіт із захисту інформації полягає на бюджетні кошти, то це призводить до невиправданих витрат державних грошей. З іншого боку, має місце демпінг з боку ліцензіатів з метою одержання замовлення за будь-яку ціну. За пропоновані терміни і вартість робота просто фізично не може бути виконана з необхідною якістю. Таким чином, гарантія, яку повинна забезпечувати державна ліцензія, фактично не забезпечується якістю роботи. У пропонованому документі, що нормує трудовитрати, не повинно бути точних розцінок. Досить, як це було зазначено в методиках ГТК, привести норми витрат праці для основних видів робіт. Причому це може бути розраховане як для випадку використання стандартної КІА, так і для автоматизованих вимірювальних комплексів, які дозволені до застосування. Таким чином, може бути сформований регульований цивілізований ринок в області захисту інформації, на противагу існуючому. У результаті не постраждає здорова конкуренція, так як буде збережена різниця цін за рахунок різної вартості робочої сили, різних накладних та інших витрат, різної прибутку.

Отже, проведений аналіз показує, що прийнята в Україні система ліцензування у галузі ТЗІ не повністю відповідає поставленим завданням і сучасним вимогам. Зі сформованої ситуації є два виходи - відмова від системи ліцензування у галузі ТЗІ взагалі, або її радикальна змін...