- Затвердження ТУ в частині відсутності суперечностей та виконання вимог стандартів по оформленню документа в Держстандарті.

Як видно, в цій схемі не беруть участь науково-дослідні організації, які повинні давати технічну оцінку запропонованого рішення. Раніше ці функції виконували головні науково-дослідні організації за напрямами захисту інформації, які в Україні нині не створені.

Не вирішеним на сьогоднішній день є питання сертифікації в частині ТЗІ імпортованих виробів або визнання іноземних сертифікатів. У цьому випадку витрати на сертифікацію будь-якого зразка понесе одна організація, а її результатами будуть користуватися всі постачальники.

У зв'язку з відсутністю системи сертифікації в галузі ТЗІ в Україні, були розроблені переліки засобів ТЗІ, дозволених до застосування. Ця міра була як вимушеною, так і необхідною - вона дозволила в якійсь мірі керувати застосуванням засобів ТЗІ при відсутності системи сертифікації. Але тепер, коли зроблено перші кроки у формуванні цієї системи, переліки стали гальмом у її розвитку. Навіщо витрачати кошти на сертифікацію, якщо виріб є у згаданому переліку, або його не складно включити в цей перелік? Одним з виходів із ситуації, які дозволили б перейти від системи дозволів до системи сертифікації, могла б стати централізована організація випробувань з наступною компенсацією витрат шляхом відрахувань від реалізації сертифікованих виробів. По мірі видачі сертифікатів з переліку повинні виключатися вироби, аналогічні сертифікованим за призначенням і основними параметрами.

Так само, як і у сфері ліцензування, в області сертифікації існує проблема нормування праці при проведенні типових випробувань.

3. Міжнародні стандарти в галузі безпеки інформаційних технологій та їх місце в розвитку стандартизації в Україні

У 1995 році при Держстандарті України був заснований Технічний комітет ТК 105 “Банківські та фінансові системи і технології”, в рамках якого почав функціонувати підкомітет “Захист інформації”. Серед завдань, які покладено на цей підкомітет, є прийняття участі в розробці міжнародних стандартів, що стосуються питань забезпечення захисту банківських інформаційних технологій. Згідно з поставленим завданням була налагоджена взаємодія з відповідними комітетами Міжнародної організації зі стандартизації (ISO), офіційним представником України в якій є Держстандарт України.

Розроблення державних стандартів в Україні, особливо у галузі захисту інформації, здійснюється дуже повільно через брак коштів, недостатню правову та нормативну базу. Однак, такі стандарти дуже необхідні в Україні, особливо в банківської діяльності. Існування і успішне функціонування системи електронних платежів Національного банку України, швидкий розвиток інформаційних технологій в банківської системі України зараз практично не мають достатньої бази стандартів України. Брак відповідних державних нормативних документів до цього часу Національний банк України намагався заповнювати своїми нормативними документами, в тому числі і в галузі вимог до захисту банківської інформації. Саме тому участь у розробці міжнародних стандартів у рамках підкомітетів ТК 105 може бути дуже корисною для збирання та накопичування знань та навичок у стандартизації в галузі захисту інформації і для розробки державних стандартів в Україні.

Розроблення міжнародних стандартів ISO здійснюється у відповідності з прийнятими в цій організації директивами. В цих директивах встановлюється порядок затвердження об`єктів стандартизації, а також регламентується процес розроблення стандартів. Виділяють три основні етапи процесу розроблення стандартів: створення i обговорення робочого проекту, створення і обговорення технічного проекту, створення й обговорення проекту міжнародного стандарту (DIS). Результатом цього процесу повинно бути затвердження міжнародного стандарту. Бувають, хоч і досить рідкі, випадки, коли процес переривається через безперспективність у подоланні недосконалості або хибності стандарту.

Основна робота по розробленню стандартів проводиться в робочих групах, які функціонують в рамках підкомітетів. Кожна країна - член ISO, може мати два статуси: пасивний учасник і активний учасник. Пасивний учасник має право розглядати проекти стандартів і надсилати свої зауваження. Активний учасник в доповнення до цих можливостей має право і зобов`язання приймати участь в голосуванні при вирішенні питання про перехід проекту документа від однієї стадії до іншої.

Наш підкомітет приймає участь в роботі комітету ISO TC 68 “Banking and related financial operations” і підкомітету ISO/IEC JTC1 SC 27 “Security techniques”. Найбільша кількість стандартів, що стосуються безпеки інформаційних технологій, розробляється саме в останньому підкомітеті. Протягом чотирьох років наш підкомітет мав статус пасивного учасника у цьому підкомітеті ISO. Дякуючи активності при поданні зауважень щодо проектів стандартів, нашому підкомітету запропонували стати активним учасником. З березня 1999 року Україна є активним учасником, що демонструє як гарну оцінку наших фахівців в галузі захисту інформаційних технологій, так і підвищення відповідальності з нашого боку при розгляді проектів міжнародних стандартів.

Розглянемо деякi проекти стандартів, щодо яких відбувалося голосування з нашою участю.

Першим таким проектом була нова редакція стандарту ISO/IEC 9798-2 “Автентифікація об`єктів з використанням симетричних алгоритмів”. Ми вирішили утриматися при розгляді остаточної редакції проекту, так як в ній не були враховані зауваження криптологів, в яких вказувалось на неточності в старій редакції стандарту.

Наступне голосуваняня стосувалося трьохчастинного стандарту ISO/IEC 15408 “Критерії оцінювання безпеки інформаційних технологій”. Цей стандарт, що широко відомий під назвою “Спільні критерії”, офіційно став основою для проведення сертифікаційних випробувань в галузі безпеки інформаційних технологій. Стандарт розроблявся протягом шести років з залученням провідних фахівців з усіх країн, які грають ключову роль в дослідженні проблем безпеки інформаційних технологій. Перша частина є вступом і описом загальної моделі. В другій частині викладаються функціональні вимоги, а в третій - вимоги гарантій безпеки інформаційних технологій.

Продовжується робота над п`ятичастинним технічним звітом ISO/IEC 13335 “Настанови щодо менеджменту безпекою інформаційних технологій (GMITS)”. В минулому році успішно дійшла до закінчення четверта частина, що має назву “Вибір засобів захисту”. На останній стадії знаходиться п`ята частина “Зовнішні канали зв`язку”.

Останнім часом багато уваги приділяється криптосистемам, які базуються на використанні еліптичних кривих, заданих в скінченних полях. З огляду на актуальність даного напрямку започаткована робота над трьохчастинним проектом ISO/IEC 15946 “Криптографічні методи, що базуються на еліптичних кривих”. Перша частина має назву “Загальні положення”. Друга частина присвячена цифровому підпису, а третя - розподілу ключів. Найбільше дорікань зазнала третя частина, що позначилося на її затриманні в стадії технічного проекту. Дві інші частини проходять голосування, як остаточні редакції технічного проекту.

Як відомо, при використанні асиметричних алгоритмів велике значення надається сертифікатам відкритих ключів. Виготовлення цих сертифікатів здійснюється так званими центрами сертифікації. Крім виготовлення сертифікатів такі центри можуть надавати інші послуги, пов`язані з використанням асиметричних алгоритмів (часові відмітки, ведення архівів, відновлення ключів і т.п.). Всі ці послуги створюють так звану інфраструктуру відкритих ключів. Важливість цих питань знайшла відображення у великій кількості проектів, які розробляються в різних органах зі стандартизації. Безпосередньо в підкомітеті SC 27 розробляються два документи: технічний звіт ISO/IEC 14516 і стандарт ISO/IEC 15945. В стандарті “Специфікації послуг третьої довіреної сторони щодо підтримки застосування цифрових підписів” описується технологія забезпечення автентичності електронних документів. Технічний звіт “Настанови щодо використання і менеджменту послугами третьої довіреної сторони” стосується організаційних аспектів діяльності виділених центрів сертифікації відкритих ключів.

Найбільших змін зазнав стандарт ISO/IEC 9796 “Цифровий підпис з відновленням повідомлень”. Нагадаємо, що колишній одночастинний стандарт мав бути доповнений іншими частинами. Після кількох ітерацій було вирішено, що це буде трьохчастинний стандарт. Перша частина - з використанням надлишковості, друга частина - з використаням хєш-функцій, третя частина - на основі дискретних логарифмів. Після кількох атак, які спричиняють екзестинціальну підробку підпису, від першої частини довелося відмовитися, а в другій частині назріла необхідність зміни способу форматування.

Ряд проектів стандартів стосується подальшого розвитку і застосування базового стандарту з оцінювання засобів забезпечення безпеки інформаційних технологій (ISO/IEC 15408). В даний час проходить голосування, що стосується започаткування таких стандартів: безпека інформаційних мереж, генерування випадкових чисел, генерування простих чисел, декларування постачальників засобів захисту про їх відповідність прийнятим стандарту.

Таким чином, навіть короткий перегляд стандартів, за якими наш підкомітет приймав участь у голосуванні, показав, яка велика увага приділяється у світі питанням захисту інформаційних технологій. Розширення таких питань не може бути дивним у зв`язку з бурхливим розвитком інформаційних технологій, особливо у банківській і фінансовій сфері: використання карток для оплати послуг і товарів, електронна комерція, банківське обслуговування, інтернет-технології тощо.

Слід також відмити тенденцію, яку чітко видно у сфері стандартизації, а саме: спроби створення стандартів, які описують ідеологію застосування тих або інших принципів побудови захисту інформації в інформаційних технологіях. Замість опису конкретних алгоритмів часто надаються принципові підходи до їх побудови. Це дає змогу дуже гнучкого використання таких стандартів для побудови системи захисту інформаційних технологій.

Така тенденція у розвитку міжнародних стандартів може бути дуже корисною з точки зору побудови системи державних стандартів. Гармонізація міжнародних стандартів в галузі захисту інформації і безпеки інформаційних технологій може надати можливість швидкої побудови основи для розвитку стандартизації в Україні. Такий шлях створення стандартів України є достатньо дешевим і швидким, який одночасно дозволить усунути велику кількість проблем, які вже виникали в інших державах при створенні стандартів у галузі захисту інформації і безпеки інформаційних технологій. Це зовсім не означає, що потрібно повністю копіювати міжнародні стандарти для України, але застосування найкращих з них в Україні дозволить швидко вирішити частину наших питань при побудові основ стандартизації в Україні.

Висновки

1. Необхідно чітко і однозначно визначити цілі та завдання ліцензування у галузі ТЗІ, вивчивши світову практику в цьому питанні.

2. Визначити конкретні напрямки діяльності, встановити перелік апаратури і нормативно-методичної документації, необхідних для якісного виконання поставленого завдання.

3. Виходячи з встановлених цілей та завдань ліцензування у галузі ТЗІ, розробити детальні вимоги до ліцензіатів з кожного напрямку діяльності.

4. Розробити пакет нормативно-методичних документів, що регулюють діяльність щодо захисту конфіденційної інформації.

5. Провести розрахунок середніх трудовитрат на виконання основних операцій при проведенні робіт в галузі ТЗІ та розробити відповідний нормативний документ.

6. Необхідно чітко і однозначно визначити цілі і завдання сертифікації в галузі ТЗІ, вивчивши світову практику в цьому питанні.