Національна академія наук України Інститут програмних систем нан україни



Дата конвертації31.10.2017
Розмір148 Kb.
УДК 004.056.5

№ держреєстрації 0116U007111

Інв. №
Національна академія наук України

Інститут програмних систем НАН України

адреса: Київ, пр. Глушкова, 40, тел. (044) 526-55-07




ЗАТВЕРДЖУЮ

ЗАТВЕРДЖУЮ

Директор Інституту програмних систем НАН України

академік НАН України




Перший віце-президент НАН України,

академік НАН України



____________________П.І. Андон


________________ А.Г. Наумовець

«___» ______________2016 р.

«___» ______________2016р.

ЗВІТ


ЗА ПРОЕКТОМ Договір № 651-16 від «15» квітня 2016р.

«Організація та супроводження державної експертизи комплексної системи захисту інформації локальної обчислювальної мережі Управління справами НАН України»

Шифр II-6-16

(заключний)


Керівник базової установи Програми, директор Інституту програмних систем НАН України академік НАН України

_____________



П.І. Андон



Керівник сектору забезпечення досліджень і спеціальних робіт НОВ Президії НАН України, канд. фіз.-мат. наук

_____________


В.Л. Майстренко



Керівник проекту, завідувач відділом

Інституту програмних систем НАН України

доктор фіз.-мат. Наук, с.н.с


_____________



І.П. Сініцин


Київ-2016

Матеріали звіту розглянуто та затверджено Вченою радою Інституту програмних систем НАН України, протокол № __ від __.__.2016

ПЕРЕЛІК АВТОРІВ

Керівник проекту,

Зав. відділом, д-р техн. наук, с.н.с.




І.П. Сініцин



Виконавці:







Головний конструктор




О.М. Боровська

Інженер конструктор




В.І. Бова

Провідний інженер-програміст




Є.В. Родін

Провідний інженер програміст




Л.М. Зварич

РЕФЕРАТ

Звіт по проекту: 14 стор.

Мета проекту – проведення державної експертизи комплексної системи захисту інформації (КСЗІ) локальної обчислювальної мережі Управління справами НАН України (ЛОМ УС НАНУ) з метою отримання атестату відповідності, зареєстрованого Держспецзв’язку України для введення її в експлуатацію в складі ЛОМ УС НАНУ.

Що зроблено:



  • оформлена та подана до Адміністрації Держспецзв’язку України заява на проведення експертизи КСЗІ ЛОМ УС НАНУ;

  • організатором експертизи, визначеним Держспецзв’язку України, проведена державна експертиза у сфері технічного захисту інформації КСЗІ ЛОМ УС НАНУ з оформленням експертного висновку;

Ключові слова: комплексна система захисту інформації, державна експертиза, технічний захист інформації, експертний висновок.


ЗМІСТ ЗВІТУ

1Наукова складова проекту 6

1.1Мета та завдання проекту 6

1.2Нормативно-методичні документи 6

1.3Методи виконання експертних робіт 7

1.4Опис виконаних експертних робіт 8

2Отримані результати 15

3Висновки 15

ВСТУП


Державна експертиза, що виконувалася в рамках проекту, є завершальним етапом робіт зі створення КСЗІ ЛОМ УС НАНУ.

Державна експертиза проводилася з метою визначення відповідності комплексної системи захисту інформації технічному завданню, вимогам нормативних документів із захисту інформації та визначення можливості введення КСЗІ в складі ЛОМ УС НАНУ в експлуатацію.

Державна експертиза КСЗІ проводилися згідно з Положенням про державну експертизу в сфері технічного захисту інформації.

Державні експертизи проводилася відповідно до таких документів, погоджених із Держспецзв’язку України:

1) Державна експертиза комплексної системи захисту інформації локальної обчислювальної мережі Управління справами Національної академії наук України. Програма та методика проведення експертизи.

За результатами проведення експертизи були оформлені такі документи

1) Протокол випробувань функціональних послуг безпеки, реалізованих засобами захисту, що входять до складу комплексної системи захисту локальної обчислювальної мережі Управління справами Національної академії наук України

2) Протокол випробувань організаційних заходів захисту, що входять до складу комплексної системи захисту інформації локальної обчислювальної мережі Управління справами Національної академії наук України

2) Протокол випробувань антивірусних засобів захисту, що входять до складу комплексної системи захисту інформації локальної обчислювальної мережі Управління справами Національної академії наук України

3) Експертний висновок за результатами експертного оцінювання комплексної системи захисту інформації локальної обчислювальної мережі Управління справами Національної академії наук України.

На підставі Експертного висновку Держспецзв’язку України виданий Атестат відповідності.

  1. Наукова складова проекту

    1. Мета та завдання проекту


Метою державної експертизи є підтвердження відповідності КСЗІ вимогам технічного завдання, законодавчих та нормативних документів з питань технічного захисту інформації.

Під час експертного оцінювання КСЗІ оцінюється на відповідність наступним вимогам:



  • щодо забезпечення захисту інформації, що обробляється, від несанкціонованого доступу - забезпечення конфіденційності, цілісності, доступності інформації та спостереженості за її обробкою;

  • щодо визначеності та впровадження організаційних заходів захисту.
    1. Нормативно-методичні документи


Нормативно-методичні документи, що використані при проведенні експертизи:

  • Положення про державну експертизу у сфері технічного захисту інформації, (затверджено наказом Адміністрації Держспецзв’язку України від 16.05.07 р. № 93) зі змінами до Положення (затверджено наказом Адміністрації Держспецзв’язку України від 10.10.2012 N 567);

  • Положення про технічний захист інформації в Україні (затверджено Указом Президента від 27.09.99 р. №1229/99).

  • ДСТУ 3396.0-96. Захист інформації. Технічний захист інформації. Основні положення.

  • ДСТУ 3396.1-96. Захист інформації. Технічний захист інформації. Порядок проведення робіт.

  • ДСТУ 3396.2-96. Захист інформації. Технічний захист інформації. Терміни та визначення.

  • НД ТЗІ 2.6–001-11. Порядок проведення робіт із державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах (затверджено наказом Адміністрації Держспецзв’язку України від 25.03.11 № 65).

  • НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від НСД (затверджено наказом ДСТСЗІ СБ України від 28.04.99 р. за №22).

  • НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу (затверджено наказом ДСТСЗІ СБ України від 28.04.1999 № 22).

  • НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в АС (затверджено наказом ДСТСЗІ СБ України від 04.12.2000 № 53).

  • НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі (затверджено наказом ДСТСЗІ СБ України від 28.04.99 р. за №22).

  • НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі (затверджено наказом ДСТСЗІ СБ України від 08.11.2005 № 125).

  • Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (затверджено Постановою КМ України від 29.03.06 № 373).
    1. Методи виконання експертних робіт


При проведенні експертного оцінювання використовувалися наступні методи перевірки:

  • аналіз технічної, експлуатаційної та організаційно-розпорядчої документації, комплекту документів щодо організації проведення та результатів випробувань КСЗІ;

  • візуальна перевірка розміщення технічного забезпечення та встановленого програмного забезпечення згідно з Формуляром на систему;

  • візуальна перевірка налаштувань програмного забезпечення згідно з експлуатаційною документацією;

  • виконання тестів відповідно до Переліку тестів;

  • опитування розробника КСЗІ та власника;

  • опитування співробітників СЗІ та адміністраторів та перевірка рівня їх підготовленості щодо використання КСЗІ.
    1. Опис виконаних експертних робіт


Відповідно до Програми та методики державної експертизи, погодженої із Держспецзв’язку України, були проведені такі експертні роботи:

  • аналіз документації, розробленої на етапі виконання передпроектних робіт із створення КСЗІ;

  • аналіз Технічного завдання на створення КСЗІ;

  • аналіз проектної документації КСЗІ;

  • аналіз експлуатаційної документації компонентів (складових частин) КЗЗ КСЗІ;

  • аналіз нормативно-розпорядчої документації КСЗІ;

  • аналіз документації щодо проведених випробувань КСЗІ;

  • аналіз організаційно-розпорядчої документації КСЗІ;

  • перевірка фактичного використання включених до складу КЗЗ КСЗІ засобів захисту інформації;

  • перевірка порядку використання включених до складу КЗЗ КСЗІ засобів захисту інформації;

  • перевірка впровадження реалізованих у складі КСЗІ організаційних, фізичних та інших нетехнічних заходів захисту;

  • перевірка підготовленості користувачів та персоналу;

  • оцінювання функціональних послуг безпеки (ФПБ), що реалізуються КЗЗ КСЗІ;

  • оцінювання рівня гарантій коректності реалізації ФПБ КЗЗ КСЗІ.
      1. Аналіз документації, розробленої на етапі виконання передпроектних робіт із створення КСЗІ


При проведенні аналізу документації, розробленої на етапі виконання передпроектних робіт, виконані перевірки документації, які підтверджують, що:

  • склад документації відповідає вимогам НД ТЗІ, які стосуються забезпечення захисту інформації, оброблюваної в ІТС класу 3;

  • зміст документації відповідає вимогам НД ТЗІ, які стосуються забезпечення захисту інформації, оброблюваної в ІТС класу 3;

  • зміст документації відповідає особливостям системи та умовам її функціонування;

  • документація узгоджена та затверджена у порядку, передбаченому положенням чинної нормативно-правової бази в сфері ТЗІ.
      1. Аналіз Технічного завдання на створення КСЗІ


При проведенні аналізу ТЗ на створення КСЗІ виконані перевірки, які підтверджують, що:

  • у ТЗ в повному обсязі і коректно враховані вимоги НД ТЗІ, які стосуються забезпечення захисту інформації в ІТС класу 3;

  • у ТЗ в повному обсязі і коректно враховані особливості локальної обчислювальної мережі та умов її функціонування;

  • реалізація визначеного у ТЗ переліку вимог є достатньою для задоволення вимог чинних НД ТЗІ для забезпечення захисту інформації в ІТС класу 3;

  • ТЗ на створення КСЗІ узгоджене та затверджене у порядку, передбаченому положенням чинної нормативно-правової бази в сфері ТЗІ.
      1. Аналіз проектної документації КСЗІ


При проведенні аналізу проектної документації КСЗІ виконані перевірки, які підтверджують, що:

  • склад та вміст проектної документації відповідає вимогам НД ТЗІ, які стосуються забезпечення захисту інформації, оброблюваної в ІТС класу 3;

  • у проектній документації належним чином відображений порядок реалізації всіх вимог, висунутих в ТЗ на створення КСЗІ;

  • у проектній документації належним чином враховані особливості складових локальної обчислювальної мережі та умови їх функціонування;

  • визначений у проектній документації КСЗІ перелік заходів захисту, засобів їх реалізації, а також порядок функціонування відповідних засобів є дієвими та достатніми для задоволення вимог ТЗ на створення КСЗІ;

  • проектна документація узгоджена та затверджена у порядку, передбаченому положенням чинної нормативно-правової бази в сфері ТЗІ.
      1. Аналіз експлуатаційної документації компонентів КЗЗ КСЗІ


При проведенні аналізу експлуатаційної документації компонентів КЗЗ КСЗІ виконані перевірки документації, які підтверджують, що:

  • склад та зміст експлуатаційної документації компонентів КЗЗ КСЗІ відповідає визначеному у проектній документації КСЗІ складу КЗЗ КСЗІ;

  • у експлуатаційній документації компонентів КЗЗ КСЗІ наявні відомості щодо порядку застосування відповідних компонентів КЗЗ при реалізації всіх функцій захисту, визначених у ТЗ.
      1. Аналіз нормативно-розпорядчої документації КСЗІ


При проведенні аналізу нормативно-розпорядчої документації КСЗІ виконані перевірки документації, які підтверджують, що:

  • склад нормативно-розпорядчої документації компонентів КСЗІ відповідає визначеному у проектній документації КСЗІ;

  • склад нормативно-розпорядчої документації відповідає вимогам НД ТЗІ, які стосуються забезпечення захисту інформації, оброблюваної в ІТС класу 3;

  • у нормативно-розпорядчій документації КСЗІ належним чином враховані положення чинної нормативно-правової бази в сфері ТЗІ, які стосуються забезпечення захисту інформації, оброблюваної в ІТС класу 3;

  • у нормативно-розпорядчій документації належним чином враховані особливості функціонування компонентів КЗЗ КСЗІ, наведені в проектній документації КСЗІ та експлуатаційній документації, в процесі функціонування КСЗІ;

  • у нормативно-розпорядчій документації належним чином враховані особливості реалізації організаційних, фізичних та інших заходів захисту, зазначені у проектній документації КСЗІ;

  • дотримання положень нормативно-розпорядчої та робочої документації забезпечує можливість задоволення вимог ТЗ на створення КСЗІ – з урахуванням особливостей реалізації організаційних, фізичних та інших заходів захисту, наведених у проектній документації КСЗІ;

  • нормативно-розпорядча документація КСЗІ узгоджена та затверджена у порядку, передбаченому положенням чинної нормативно-правової бази в сфері ТЗІ.
      1. Аналіз документації щодо проведених випробувань КСЗІ


При проведенні аналізу документації щодо проведених випробувань КСЗІ виконані перевірки документації, які підтверджують, що:

  • склад та зміст документації щодо проведених випробувань КСЗІ відповідає положенням чинної нормативно-правової бази в сфері ТЗІ, які стосуються забезпечення захисту інформації, оброблюваної в ІТС класу 3;

  • у документації щодо проведених випробувань КСЗІ належним чином враховані особливості функціонування компонентів КЗЗ КСЗІ, наведені у проектній документації КСЗІ та експлуатаційній документації в процесі функціонування КСЗІ;

  • у документації щодо проведених випробувань КСЗІ належним чином враховані особливості реалізації організаційних, фізичних та інших заходів захисту, наведені у проектній документації КСЗІ та нормативно-розпорядчій документації КСЗІ;

  • у документації щодо проведених випробувань КСЗІ наявні відомості щодо результатів випробувань, які підтверджують задоволення засобами КСЗІ всіх вимог ТЗ на створення КСЗІ;

  • документація щодо проведених випробувань КСЗІ узгоджена та затверджена у порядку, передбаченому положенням чинної нормативно-правової бази в сфері ТЗІ.
      1. Аналіз організаційно-розпорядчої документації КСЗІ


При проведенні аналізу організаційно-розпорядчої документації КСЗІ виконані перевірки документації, які підтверджують, що:

  • склад та зміст організаційно-розпорядчої документації КСЗІ відповідає вимогам НД ТЗІ, які стосуються забезпечення захисту інформації, оброблюваної в ІТС класу 3;

  • у організаційно-розпорядчій документації КСЗІ належним чином враховані результати випробувань КСЗІ, наведені в документації щодо проведених випробувань КСЗІ;

  • організаційно-розпорядча документація КСЗІ узгоджена та затверджена у порядку, передбаченому положенням чинної нормативно-правової бази в сфері ТЗІ.
      1. Перевірки фактичного використання включених до складу КЗЗ КСЗІ засобів захисту інформації


Проводилися перевірки:

  • наявності в складі КЗЗ, розгорнутого в системі, всіх компонентів КЗЗ, визначених у проектній документації та відображення їх у супровідній документації КСЗІ;

  • наявності свідчень про інсталяцію та ініціалізацію компонентів КЗЗ;

  • ідентифікації КЗЗ та підтвердження відповідності КЗЗ критеріям захисту інформації;

  • проведення необхідних налаштувань компонентів КЗЗ та відповідність параметрів налаштувань визначеним в експлуатаційній та нормативно-розпорядчій документації;

  • працездатності та функціонування всіх компонентів КЗЗ КСЗІ.
      1. Перевірки порядку використання включених до складу КЗЗ КСЗІ засобів захисту інформації


Проводилися:

  • перевірка порядку створення захищених інформаційних ресурсів, реєстрації користувачів, надання прав доступу до інформації користувачам та виконання інших завдань з адміністрування та обслуговування КСЗІ;

  • перевірка відповідності порядку реєстрації фактів та результатів виконання завдань з адміністрування та обслуговування КСЗІ положенням нормативно-розпорядчої документації КСЗІ;

  • аналіз супровідної документації КСЗІ з метою підтвердження додержання визначеного порядку використання КЗЗ КСЗІ;

  • аналіз супровідної документації КСЗІ з метою підтвердження відповідності фактичних атрибутів доступу користувачів та об’єктів захисту наведеним у реєстраційних журналах відомостям.
      1. Перевірки впровадження реалізованих у складі КСЗІ організаційних, фізичних та інших нетехнічних заходів захисту


При проведенні даної перевірки виконаний аналіз документації КСЗІ та перевірки фактичного стану впровадження реалізованих у складі КСЗІ організаційних, фізичних та інших нетехнічних заходів захисту, які підтверджують, що:

  • у складі КСЗІ впроваджені всі організаційні, фізичні та інші нетехнічні заходи захисту, визначені у проектній та нормативно-розпорядчій документації КСЗІ;

  • вміст наданої супровідної документації КСЗІ, а також журналів обліку та реєстрації сховищ та матеріальних носіїв ІзОД, підтверджує факти належного застосування всіх впроваджених організаційних, фізичних та інших нетехнічних заходів захисту.
      1. Перевірки підготовленості персоналу та користувачів


Кваліфікація та підготовленість персоналу та користувачів перевіряється методом розгляду документації КСЗІ та практичної перевірки обізнаності, рівня підготовленості до самостійної роботи стосовно знання ними технології обробки інформації.

Метою даних перевірок є підтвердження, що:



  • визначені адміністратори мають достатній рівень знань положень експлуатаційної та нормативно-розпорядчої документації;

  • визначені адміністратори мають достатній рівень практичних навичок для виконання ними визначених функцій.
      1. Оцінювання ФПБ, що реалізують КЗЗ КСЗІ та рівня гарантій коректності реалізації ФПБ


При проведенні даної перевірки виконаний аналіз документації КСЗІ та перевірка реалізації засобами захисту, що входять до складу КЗЗ КСЗІ ФПБ, що входять до функціонального профілю захищеності, визначеного ТЗ на створення КСЗІ.

Для ідентифікації вимог ФПБ, визначеним ТЗ, на створення КСЗІ., були застосовані відповідні позначення.

Кожна вимога ФПБ в Програмі та методиці випробувань унікально ідентифікована позначенням, яке має наступну структуру:

Н-

ХХ_

ХХ




|

|

|




--------

--------------

--------------

Позначення ФПБ згідно НК

|

--------

--------------

Позначення рівня ФПБ згідно НК

|

|

--------

Порядковий номер вимоги, що перевіряється

Метод випробування кожної функціональної послуги безпеки визначав:



  • функції захисту, які перевіряються;

  • посилання на вимоги ФПБ, які реалізуються функціями захисту;

  • процедуру випробування у вигляді опису встановлених перевірок, виконання яких дозволяє отримати висновок про результат випробування.

  • множину критеріїв визнання успішності перевірок, за якою результат випробувань вважається позитивним.

Процедура випробувань відповідно до визначеного в ТЗ на створення КСЗІ рівня Г2 гарантій безпеки виконувалася двома шляхами:

  • шляхом аналізу документації, який полягає у перевірці наявності у документації Розробника відповідних описів функцій засобів захисту КСЗІ, які реалізують вимоги ТЗ;

  • експериментальним шляхом, який полягає у виконанні тестових дій для підтвердження реалізації відповідної функції захисту;

Відповідно до НД ТЗІ 2.5-004-99 випробування для рівня гарантій коректності реалізації ФПБ Г-2 здійснювалася щодо:



  1. архітектури: перевіряється визначеність компонентів КСЗІ;

  2. середовища розробки:

  • процесу розробки;

  • керування конфігурацією;

  1. послідовності розробки:

  • функціональних специфікацій (політики безпеки);

  • проекту архітектури;

  • детального проекту;

  • реалізації.

  1. середовища функціонування;

  2. документації.



  1. Отримані результати


Підтверджена відповідність комплексної системи захисту інформації локальної обчислювальної мережі Управління справами НАН України вимогам нормативних документів системи технічного захисту інформації в обсязі функцій, визначених Технічними завданнями на створення комплексних систем захисту інформації.

  1. Висновки


За результатами проведення державної експертизи комплексна система захисту інформації має бути введена в постійну експлуатацію у складі ЛОМ НАН України.
Каталог: document library
document library -> Харківський фізико-технічний інститут
document library -> Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Опис процесу діяльності нан україни та технології безпеки Київ-2004 зміст реферат 5
document library -> Програма інформатизації нан україни
document library -> Національна академія наук України Інститут програмних систем
document library -> Звіт про виконання проектно-конструкторських робіт по розробці проекту корпоративної телефонної мережі нан україни та побудові даної мережі на основі існуючої корпоративної оптико-волоконної мережі в м. Києві в рамках наукового проекту
document library -> Національна академія наук України Інститут фізики конденсованих систем нан україни


Поділіться з Вашими друзьями:




База даних захищена авторським правом ©uchika.in.ua 2020
звернутися до адміністрації

    Головна сторінка