Національна комісії з питань регулювання зв’язку України

1. Національна комісії з питань регулювання зв’язку України Принципи створення КСЗІ автоматизованої інформаційної системи НКРЗ

2. Загальні відомості В Національній комісії з питань регулювання зв’язку в 2008 році було проведено перший етап зі створення комплексної системи захисту інформації підсистем інформаційно-аналітичної системи (ІАС), яка складається з 1. Локальна інформаційна мережа (ЛІМ) 2. Інформаційно-аналітична система з питань взаємоз’єднання телекомунікаційних мереж (ІАС ВЗМ) 3. Підсистема аналізу та планування телекомунікаційних мереж інформаційно-аналітичної системи (ІАС ПАМП) 4. Веб-портал

3. Призначення ЛІМ • телекомунікаційне забезпечення циркуляції між структурними підрозділами НКРЗ в режимі он-лайн різнотипних інформаційних потоків; • забезпечення захищеного електронного документообігу між структурними підрозділами НКРЗ; • захист інформації та ресурсів системи від несанкціонованого доступу, впливу та спотворення інформації; • забезпечення оперативності, достовірності, доступності оброблюваної інформації. ЛІМ забезпечує роботу ІАС та її складових частин.

4. Структура ЛІМ

5. Призначення ІАС ВЗМ • Допомога при підготовці нормативних актів та при вирішенні питань, що безпосередньо, або опосередковано стосуються взаємоз’єднання телекомунікаційних мереж • Для прийняття рішень стосовно взаємоз’єднання телекомунікаційних мереж • Подання інформації у графічній формі • Контроль за виконанням правил взаємоз’єднання телекомунікаційних мереж загального користування, що належать операторам телекомунікацій усіх форм власності • Присвоєння, розподіл та нагляд за використанням номерного ресурсу України • Зберігання інформації, яку надає Управління реєстрації та ліцензування НКРЗ • Надання інформації Державній Інспекції зв'язку • Надання інформації Державному підприємству «Український державний центр радіочастот» («УДЦР»).

6. Структура ІАС ВЗМ

7. Призначення ІАС ПАМП • регулювання діяльності операторів телекомунікацій при взаємоз’єднанні телекомунікаційних мереж; • операції щодо видачі та скасування дозволів на користуванням номерним ресурсом; • створення електронної картотеки телекомунікаційних мереж операторів. • введення та модифікація геоданих щодо розташування об’єктів телекомунікаційних мереж; • введення та модифікація атрибутивних даних стосовно об’єктів телекомунікаційних мереж, діяльність операторів телекомунікацій, тощо; • пошук даних за семантичними та просторовими ознаками; • одержання семантичної інформації про просторові об’єкти бази геоданих; • користування розвиненою системою навігації; • використання автоматизованих технологічних процесів щодо виділення, переоформлення, вилучення номерного ресурсу; • використання автоматизованих технологічних процесів щодо взаємоз’’днання телекомунікаційних мереж (пропозиції, договори, звернення щодо спору); • просторовий аналіз введеної інформації у різних розрізах.

8. Призначення Веб-порталу • Висвітлення діяльності НКРЗ • Публікація документації загального користування • Доведення постанов та розпоряджень до суб'єктів НКРЗ

9. Структура Веб-порталу

10. Порядок створення КСЗІ Порядок створення КСЗІ визначено у трьох документах: • НД ТЗІ 3.7-001-99 «Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі», • НД 1.4-001-2000 «Типове положення про службу захисту інформації в автоматизованій системі», • НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі». В НД ТЗІ 3.7-003-05 надано детальний опис етапів процесу побудови КСЗІ. Розрізняють шість кроків побудови КСЗІ: • Формування вимог до КСЗІ; • Розробка політики безпеки; • Розробка технічного завдання на створення КСЗІ; • Розробка проекту КСЗІ; • Введення КСЗІ в дію; • Супроводження КСЗІ.

11. Комплексна система захисту інформації ІАС У складі ІАС буде створена КСЗІ відповідно до затверджених ЧТЗ. У зв'язку із складністю системи було прийнято рішення про її розділення на окремі підсистеми, що значно спрощує створення КСЗІ ІАС та подальшу експертизу. Проведено перший етап – створено та затверджено в Державній службі спеціального зв'язку та захисту інформації України (ДССЗЗІУ) ЧТЗ на підсистеми ІАС. Запланований другий етап – створення проектної документації КСЗІ. Третій етап – проведення експертизи створеної КСЗІ на відповідність чинному законодавству. Четвертий етап – супроводження КСЗІ.

12. Основи побудови системи захисту

13. Загальні вимоги до КСЗІ Правила організаційної взаємодії суб’єктів НКРЗ повинні забезпечувати виконання законів України. КЗЗ інформації повинен підтримувати безпечну інформаційну технологію, в рамках якої доступ до різних типів інформації організується таким чином, що тільки вповноваженим користувачам або процесам надається можливість роботи з конкретною інформацією і гарантується цілісність при її обробці, зберіганні та транспортуванні у електронному вигляді. Визначено роботу системи в штатних режимах та режимах тестування. Визначено роботу антивірусного ПЗ. Визначено режими у разі відмови КСЗІ. Визначено вимоги до тех засобів, ПЗ та ПАЗ. Визначено організацію робіт з супроводження компонентів КСЗІ та керування засобами захисту інформації. Визначено правила отримання відповідних висновків. Визначено порядок внесення змін.

14. Загальні вимоги до КСЗІ - 2 В даному розділі розглядаються загальні концепції, їх деталізація наводиться у відповідних розділах – стиснуто у ЧТЗ, та розгорнуто у техно-робочій документації КСЗІ.

15. Модель порушника Для кожної складової ІАС визначено свою модель порушника і відповідну матрицю доступу. Відповідні дані наводяться в ЧТЗ та уточнюються при створені проектної документації КСЗІ відповідних підсистем.

16. Визначення рівня гарантій та функціонального профілю Рівень гарантій визначається відповідно до інформації, що обробляється та моделі побудови ІАС. Відповідно до того, що КСЗІ ІАС розробляється на вже готову систему, то рівень гарантій не може бути визначений вище 2. В системі обробляється інформація, що є власністю держави, тому відповідно до НД ТЗІ 2.5-005-99 встановлено рівень гарантій Г-2 для всіх підсистем. Для кожної підсистеми визначено функціональний профіль.

17. Вимоги до гарантій розробки • Визначено вимоги щодо гарантій розробки, як то • архітектура • середовище розробки • послідовність розробки, документація • середовище функціонування • експлуатаційна документація (загальні попложення) • попередні випробування • випробування

18. Вимоги до складу проектної та експлуатаційної документації Документація ескізного проекту повинна містити основні проектні рішення щодо побудови КСЗІ (компонентів КСЗІ). Склад та зміст документації відповідно до ГОСТ 34.201, РД 50-34.698, в частині виготовлення конструкторської документації – стандартам ЕСКД, в частині виготовлення програмної документації – стандартам ЕСПД, в частині виготовлення експлуатаційної документації – ГОСТ 34.201, РД 50-34.698. Документація відповідно до НД ТЗІ 2.5-004. На покупне ліцензійне програмне забезпечення та апаратні засоби надається документація, що входить до відповідних компонентів постачання програмного забезпечення та апаратури. Перелік документів може уточнюватися у процесі розробки та реалізації проектних рішень упродовж всього етапу проектування. детальний проект КСЗІ настанови адміністраторам настанови для користувачів Експлуатаційна документація на КСЗІ повинна передаватися Замовнику у вигляді копій на паперових та магнітних (оптичних) носіях.

19. Порядок приймання робіт Визначено порядок випробувань: Попередніх – проводиться розробником КСЗІ Державної експертизи – проводиться уповноваженими спеціалістами. Визначено вимоги що складу документації на початку випробувань, комплектності програмно-апаратних засобів. Визначено перелік супровідної документації, яка створюється під час проведення випробувань.

20. Документи та законодавча база • Закон України "Про захист інформації в інформаційно-телекомунікаційних системах" від 31.05. 2005 р. № 80/94-ВР. • Указ Президента України “Про затвердження Положення про технічний захист інформації в Україні” від 27 вересня 1999 р. № 1229. • Постанова Кабінету Міністрів України “Про затвердження переліку обов’язкових етапів робіт під час проектування, впровадження та експлуатації систем і засобів автоматизованої обробки та передачі даних” від 4.02.1998 р. № 121. • Постанова Кабінету Міністрів України “Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах” від 29.03.2006 р. № 373. • Розпорядження КМУ №259-р від 5 травня 2003 р. “Про затвердження Концепції формування системи національних електронних інформаційних ресурсів”. • ГОСТ 34.201–89 “Інформаційна технологія. Види, комплектність та позначення документів при створенні автоматизованих систем”. • ДСТУ 3396.0-96 “Захист інформації. Технічний захист інформації. Основні положення” • ДСТУ 3396.1-96 “Захист інформації. Технічний захист інформації. Порядок проведення робіт” • ДСТУ 3396.2-96 “Захист інформації. Технічний захист інформації. Терміни та визначення” • НД ТЗІ 1.1-001-99 "Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу" • НД ТЗІ 2.5-004-99 "Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу" • НД ТЗІ 2.5-005-99 "Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу" • НД ТЗІ 2.5-008-2002 "Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2" • НД ТЗІ 3.7-001-99 "Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі" • НД ТЗІ 3.7-003-05 “Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі” • Закон України “Про телекомунікації”, ухвалений Верховною Радою України 18 листопада 2003 року (№ 1280-IV). • Положення про Національну комісію з питань регулювання зв’язку України. Затверджено Указом Президента України від 21 серпня 2004 року N 943/2004. • Національна комісія з питань регулювання зв’язку України: Укрчастотнагляд. Напрямки діяльності. • Національна комісія з питань регулювання зв’язку України: Рішення “Про затвердження Правил взаємоз’єднання телекомунікаційних мереж загального користування”, 08.12.2005, № 155 • Національна комісія з питань регулювання зв’язку України: Рішення “Про затвердження Змін та доповнень до Правил взаємоз’єднання телекомунікаційних мереж загального користування”, 26.07.2007, № 857 • Національна комісія з питань регулювання зв’язку України: Рішення “Про затвердження Положення про державне регулювання номерного ресурсу телекомунікаційної мережі загального користування України”, 01.06.2007, № 769 • Про затвердження Правил надання та отримання телекомунікаційних послуг, Постанова КМУ від 09.08.2005р, Київ • Національна комісія з питань регулювання зв’язку України: Рішення “Про затвердження порядку взаємоз’єднання та взаєморозрахунків операторів щодо здійснення діяльності з надання послуг фіксованого міжнародного, міжміського телефонного зв’язку із застосуванням технології IP-телефонії”, №91, 07.10.2005 • Закон України ”Про внесення змін до деяких законодавчих актів України щодо сфери телекомунікацій та користування радіочастотним ресурсом України”, №3380-IV, 19.01.2006р. • Постанова Кабінету Міністрів України “Про затвердження Правил надання та отримання телекомунікаційних послуг”, 09.08.2005, № 720 • Результати робіт оформлюються та передаються Замовнику згідно комплексу стандартів, які визначаються ГОСТ 34.602-89, ГОСТ 34.201-89, ДСТУ 3008-95, ГОСТ 19.101-77

21. Дякуємо за увагу!