Цей НД ТЗІ побудовано у вигляді керівництва, яке містить перелік робіт і посилання на діючі нормативні документи, у відповідності до яких ці роботи необхідно виконувати. Якщо якийсь з етапів чи видів робіт не нормовано, наводиться короткий зміст робіт та якими результатами вони повинні закінчуватись.
НД ТЗІ призначений для суб’єктів інформаційних відносин (власників або розпорядників ІТС, користувачів), діяльність яких пов’язана з обробкою інформації, що підлягає захисту, розробників комплексних систем захисту інформації в ІТС, для постачальників компонентів ІТС, а також для фізичних та юридичних осіб, які здійснюють оцінку захищеності оброблюваної інформації на відповідність вимогам ТЗІ.
Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка є власністю держави, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством. Якщо в ІТС обробляються інші види інформації, то вимоги цього нормативного документа суб’єкти системи ТЗІ можуть використовувати як рекомендації.
2 ВИМОГИ ДО НАЦІОНАЛЬНИХ ІВК
В той же час досвід технологічно розвинених держав показує що основні завдання мають вирішуватись на ряді рівнів, перше за все на законодавчому, загальносистемному, процедурно-функціональному, функціонально-технічному та програмно-технічному рівнях. Аналіз ряду джерел дозволив обґрунтувати та визначити сутність найбільш важливих вимог до ІВК.
Так на законодавчому та нормативно-правовому рівні важливим є врегулювання взаємовідносин замовників, розробників, постачальників, довірених сторін та користувачів, тобто сторін, що приймають участь у функціонуванні ІВК. Важливим завданням є підготовка, перепідготовка та атестування обслуговуючого персоналу.
2.1 Загальні вимоги до ІВК.
На загальносистемному рівня важливим є обґрунтування та висунення вимог щодо загальної архітектури ІВК, складу основних об’єктів та суб’єктів ІВК, їх взаємодії з урахуванням завдань, що розв’язуються на національному рівні, рівні державних органів влади, міністерств та відомств, державних установ та закладів, приватних підприємств, підприємств, громадських організацій та об’єднань, окремих громадян тощо.
На процедурно-функціональному рівні необхідно виділити:
- основні функціональні вимоги до системи сертифікації;
- загальні функціональні вимоги до ІВК;
- вимоги до генерування та розподілення ключі;
- вимоги до адміністраторів реєстрації та сертифікації;
- вимоги до довідника (реєстру) сертифікатів;
- вимоги до сертифікатів та до управління сертифікатами;
- вимоги до користувачів (власників) сертифікатів тощо.
Відносно функціонально-технічного рівня повинне бути заданим:
- основні вимоги та функціональна структура ЦЗО, ЗЦ, АЦСК, ЦСК;
- вимоги безпеки ЦЗО, ЗЦ, АЦСК, ЦСК;
- вимоги доступності (надійності) з необхідним рівнем гарантій;
- основні вимоги до обслуговуючого персоналу;
- вимоги спостережливості та неспростовності тощо.
На програмно-технічному рівні повинне бути заданим:
- вимоги до операційних середовищ, апаратних та апаратно-програмних засобів;
- вимоги до криптографічних примітивів;
- вимоги до методів та засобів генерування ключів;
- вимоги до парольних систем;
- вимоги до ключової інформації.тощо
2.2 . Загальні вимоги до ІВК
На рис. 1 наведено узагальнену схему інформаційної структури відкритих ключів України. Її аналіз в частині реалізації підтверджує той факт що у відношенні до органів державної влади навіть не визначені засвідчу вальні центри та їх підлегла структура. Особливо проблематичним є те що до цих пір не сформульовані як завдання так і вимоги до вказаних елементів. Тому побудування та застосування системи засвідчувальних центрів та відповідних їх акредитованих центрів в органах державної влади є завдання не таке вже й просте. Хоча враховуючи стан створення та впровадження акредитованих центрів та центрів сертифікації ключів на комерційній основі можна стверджувати що це завдання може бути оперативно вирішене.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.