London, United Kingdom
info@telesens.co.uk
+44 20 3432 8178

Анотація:

Питання сертифікації програмного забезпечення (ПЗ) у кожному окремому випадку потребує поглибленого вивчення як з технічної, так і з юридичної точки зору. Компанія Телесенс більше 20 років розробляє програмні рішення для операторів зв’язку. Ми ділимося своїм досвідом та розбираємо кейси, коли сертифікація обов’язкова, а коли її можна уникнути. 

Оператори зв’язку здійснюють свою діяльність відповідно до вимог Законів України «Про телекомунікації»«Про захист інформації в інформаційно-телекомунікаційних системах», «Про захист персональних даних», «Про основні засади забезпечення кібербезпеки України».  На рівні держави контроль за дотриманням вимог цих законів покладений на Державну службу спеціального зв’язку та захисту інформації (ДССЗЗІ) СБУ. 

Хоча всі зазначені закони є обов’язковими до виконання, вони не у всіх аспектах і вимогах узгоджені один з одним. В окремих випадках ця неоднозначність усувається підзаконними актами, роз’ясненнями ДССЗЗІ, прецедентами рішень з тих чи інших питань, схвалених ДССЗЗІ або їх сертифікованими лабораторіями. В інших — усталеною практикою взаємодії операторів, розробників і департаментів ДССЗЗІ.

Відповідно до вимог ст. 24 Закону України «Про телекомунікації», використання програмного забезпечення (ПЗ) для надання послуг абонентам Оператора зв’язку можливе у двох випадках:

  • включення ДССЗЗІ відповідного технічного засобу (в сучасному розширеному трактуванні мова йде не тільки про власне технічні пристрої, але й також про будь-яке ПЗ) в перелік технічних засобів, які можуть використовуватися в телекомунікаційних мережах загального призначення (сертифікація); 
  • використання засобів телекомунікацій без внесення в дозволений перелік, але за умови досягнення домовленості про таке використання між Оператором та ДССЗЗІ на підставі ряду перерахованих в законі вимог (стаття 24 п. 5).

На практиці більшість операторів зв’язку, незважаючи на законодавчу можливість уникнути включення ПЗ в перелік дозволених ДССЗЗІ технічних засобів, вважає за краще перестрахуватися і зажадати від розробника провести сертифікацію свого продукту або рішення, що затягує терміни впровадження і збільшує вартість рішення для оператора.

Сертифікацію ПЗ здійснюють спеціальні випробувальні лабораторії, що авторизовані ДССЗЗІ та мають право на проведення випробувань. Процедура сертифікації складається з декількох кроків:

 

  1. Розробник передає в Лабораторію функціональний опис ПЗ, а також опис і схеми інтерфейсів взаємодії з компонентами інфраструктури Оператора.
  2. Лабораторія оцінює обсяг робіт, після чого укладається Договір на виконання робіт з сертифікації і вноситься передплата. 
  3. Фахівці Лабораторії вивчають опис ПЗ і готують документи на проведення випробувань. 
  4. Розробник розгортає в середовищі Оператора випробувальний стенд (працездатну та повну за функціоналом версію ПЗ, інтегровану з усіма необхідними зовнішніми системами) і надає фахівцям Лабораторії доступ до нього. 
  5. Випробування проводяться фахівцями Лабораторії у взаємодії з фахівцями Розробника і Оператора. 
  6. У разі успішного завершення випробувань Лабораторія оформлює вихідні документи з результатами випробувань, випускає сертифікат і готує документи для включення ПЗ, що сертифіковано, у перелік ДССЗЗІ. 
  7. До 16 числа кожного місяця ДССЗЗІ збирає документи, підготовлені випробувальними лабораторіями для розгляду заявок на включення у перелік. 
  8. Впродовж останньої декади кожного місяця ДССЗЗІ розглядає питання про включення у перелік, готує і підписує відповідний наказ. 
  9. У перший тиждень наступного місяця відбувається оновлення переліку, до якого включаються нові компоненти, за якими підписано наказ про включення.

Тривалість всієї процедури сертифікації програмного продукту — від двох до чотирьох місяців, в залежності від особливостей ПЗ, його інтеграції з програмно-технічною інфраструктурою Оператора, вимог до безпеки. У деяких випадках можуть знадобитися додаткові роботи, і термін проходження сертифікації може суттєво збільшитися. 

Найбільш трудомістким і вартісним з точки зору захисту інформації в програмному забезпеченні, є вимога розробки комплексної системи захисту інформації (КСЗІ) з підтвердженою ДССЗЗІ відповідністю. Відповідно до статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», це необхідно, якщо ПЗ обробляє державні інформаційні ресурси (інформацію, яка є власністю держави та (або) необхідність захисту якої визначено законодавством) або інформацію з обмеженим доступом.

Закон України «Про захист персональних даних» не містить прямої норми про необхідність створення КСЗІ для захисту персональних даних. Немає очевидної вказівки на це і в регламентуючих документах ДССЗЗІ, проте ряд компаній, що надають послуги із захисту інформації, декларують необхідність цього на підставі Закону України «Про захист персональних даних».

Оператори зв’язку не є державними підприємствами, але під час надання послуг абонентам вони обробляють їх персональні дані. Ми рекомендуємо всім розробникам програмного забезпечення для операторів зв’язку ретельно аналізувати необхідність проведення сертифікації, а також приймати ряд превентивних заходів ще на етапі розробки програмних продуктів:

  • подбати про наявність у своєму ПЗ додаткових засобів анонімізації персональних даних абонентів, особливо у випадках експорту даних в інші системи і побудові звітів;
  • по можливості повністю відмовитися від зберігання «сенситивних» відомостей про етнічне походження та національність, про політичні, світоглядні та релігійні переконання, щодо членства в політичних партіях, профспілках, релігійних або громадських організаціях, стану здоров’я, генетичних і біометричних даних, місцезнаходження та шляхів пересування абонента.

Слід розуміти також, що відповідно до статті 6 Закону України «Про основні засади забезпечення кібербезпеки України» оператори зв’язку відносяться до об’єктів критичної інфраструктури. Це накладає додаткові вимоги до їх кіберзахисту, у тому числі щодо застосування індикаторів кіберзагроз, а також вимоги до проведення незалежного аудиту інформаційної безпеки. Зазвичай, Оператор у своїх вимогах до інформаційної безпеки ПЗ враховує ці вимоги у тендерній документації на відповідне ПЗ. 

Обов’язкова сертифікація передбачена тільки для деяких класів інформаційних систем, перерахованих у документі «Орієнтовний перелік нормативних документів у сфері телекомунікацій, що визначають технічні вимоги до технічних засобів проводового електрозв’язку, які можуть застосовуватися в телекомунікаційній мережі загального користування України». Зокрема, ця вимога відноситься до білінгових систем («Автоматизовані системи розрахунків за телекомунікаційні послуги»). Якщо інформаційна взаємодія ПЗ з компонентами інфраструктури Оператора відбувається захищеними каналами, система не здійснює операцій, які підпадають під вимоги ДСТУ, не містить даних, власником яких є держава, або які дозволяють ідентифікувати абонента, якщо можливі недоліки або збої у функціонуванні ПЗ, гарантовано не можуть призвести до блокування або виходу з ладу критичної інфраструктури Оператора зв’язку, то можливо обійтися без сертифікації ДССЗЗІ.

Архивы