Экспертное заключение на ПК "ИС-ПРО"

Программный комплекс "ИС-ПРО" получил экспертное заключение от Государственной службы специальной связи и защиты информации Украины.1 ІДЕНТИФІКАЦІЯ ОБ' ЄКТА ЕКСПЕРТИЗИ

Об’єктом експертизи є захищений програмний комплекс «ІС-ПРО» (далі – комплекс «ІС-ПРО»), який призначений для автоматизації завдань обліку, планування та управління на підприємствах, а також вирішення персональних завдань та захисту інформації, яка обробляється та зберігається в ньому.

Дистрибутивний (інсталяційний) пакет комплексу «ІС-ПРО» виконаний у вигляді файлу 7_ХХ_ХХХ.exe, розмір якого залежить від поточної версії (7_ХХ_ХХХ, в межах 7-ї версії) комплексу.

Дія експертного висновку розповсюджується на зразки комплексу «ІС-ПРО», які мають поточну версію в межах релізів 7-ї версії та виготовлені товариством з обмеженою відповідальністю «Інтелект-сервіс» протягом терміну його дії.


2 ЗАГАЛЬНІ ВІДОМОСТІ ЩОДО ОБ'ЄКТА ЕКСПЕРТИЗИ

Найменування об’єкту експертизи: програмний комплекс «ІС-ПРО» версії 7.Х.

Виробник об’єкту експертизи: товариством з обмеженою відповідальністю «Інтелект - сервіс» (фізична адреса: 04080, м. Київ, вул. Фрунзе, 102, код ЄДРПОУ 37570046).

Замовник експертизи: товариством з обмеженою відповідальністю «БЕСТ» (фізична адреса: 04080, м. Київ, вул. Фрунзе, 102, код ЄДРПОУ 37570046).

Роботи з проведення експертизи комплексу «ІС-ПРО» проводились з метою оцінювання відповідності реалізованих в об’єкті експертизи функціональних послуг безпеки та рівня гарантій коректності їх реалізації вимогам НД ТЗІ 2.5-004-99 та документу «Захищений програмний комплекс «ІС-ПРО». Технічне завдання».

Державна експертиза в сфері технічного захисту інформації комплексу «ІС-ПРО» проводилась Інститутом спеціального зв’язку та захисту інформації НТУУ «КПІ» на виконання рішення Експертної ради з питань державної експертизи в сфері технічного захисту інформації Адміністрації Держспецзв’язку (протокол засідання від __.__.2012 № ________) та відповідно до листа ДТЗІ Адміністрації Держспецзв’язку від __.__.2012 № 08/02/03-_________.

Організатор експертизи: Інститут спеціального зв’язку та захисту інформації НТУУ «КПІ», м. Київ, вул. Московська, 45/1.


3 ЗАГАЛЬНА ХАРАКТЕРИСТИКА ОБ' ЄКТА ЕКСПЕРТИЗИ

Комплекс «ІС-ПРО» призначений для автоматизації завдань обліку, планування та управління на підприємствах, а також вирішення персональних завдань та захисту інформації, яка обробляється та зберігається в ньому.

Функціональним призначенням комплексу є ведення бухгалтерського, податкового та управлінського обліку діяльності підприємства, забезпечення оформлення первинних документів, підготовки аналітичних та звітних документів.

Експлуатаційним призначенням комплексу є застосування в рамках професійної діяльності підприємства з метою бухгалтерського, податкового та управлінського обліку.

Комплекс призначений для застосування в складі інформаційно-телекомунікаційних системах класів 1, 2 або 3 (згідно НД ТЗІ 2.5-005-99).

Комплекс розроблений ТОВ «Інтелект - сервіс» у відповідності до часткового технічного завдання («Захищений програмний комплекс «ІС-ПРО». Технічне завдання», далі – ТЗ), погодженого із Адміністрацією Держспецзв’язку.

Комплекс забезпечує виконання таких основних функцій:

 • ведення бухгалтерського обліку;
 • ведення обліку договорів;
 • ведення обліку грошових засобів;
 • ведення обліку взаєморозрахунків;
 • облік та управління запасами;
 • управління закупками та продажем;
 • підготовку виробництва;
 • планування виробництва;
 • облік виробництва;
 • калькуляція витрат та собівартості;
 • управління автотранспортом;
 • ведення обліку кадрів та зарплатні;
 • ведення обліку майна підприємства;
 • управлінський аналіз;
 • ведення бюджетного планування та контроль;
 • ведення податкового обліку;
 • забезпечення конфіденційності та цілісності інформації, що обробляється та зберігається в комплексі.

 

До складу комплексу «ІС-ПРО» входить комплекс засобів захисту (далі – КЗЗ), який призначений для забезпечення захисту інформації, яка зберігається та обробляється з використанням цього комплексу, від несанкціонованого доступу.

Деталізовані вимоги до механізмів захисту, реалізованих в комплексі «ІС-ПРО», зазначені в ТЗ.


4 ВИМОГИ НОРМАТИВНИХ ДОКУМЕНТІВ З ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ, НА ВІДПОВІДНІСТЬ ЯКИМ ЗДІЙСНЮЄТЬСЯ ОЦІНКА ОБ'ЄКТА ЕКСПЕРТИЗИ

Експертні роботи здійснювалися на відповідність наступним нормативним документам із технічного захисту інформації:

 • документ «Захищений програмний комплекс «ІС-ПРО». Технічне завдання»;
 • НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу;
 • НД ТЗІ 2.7-009-09 Методичні вказівки з оцінювання функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу;
 • НД ТЗІ 2.7-010-09 Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу.

 

5 НАЗВА ОКРЕМОЇ МЕТОДИКИ, ЗГІДНО З ЯКОЮ ЗДІЙСНЮВАЛАСЯ ОЦІНКА ОБ'ЄКТА ЕКСПЕРТИЗИ, КИМ РОЗРОБЛЕНА ТА ЗАТВЕРДЖЕНА, РЕЄСТРАЦІЙНИЙ НОМЕР ТА ДАТА ЗАТВЕРДЖЕННЯ

Експертні роботи виконувались згідно з розробленими Інститутом спеціального зв’язку та захисту інформації НТУУ «КПІ» та узгодженими встановленим порядком програмою та методикою державної експертизи у сфері технічного захисту інформації захищеного програмного комплексу «ІС-ПРО».

Програма державної експертизи в сфері технічного захисту інформації захищеного програмного комплексу «ІС-ПРО» (№ 25/03-______ від __.08.2012) та методика державної експертизи в сфері технічного захисту інформації захищеного програмного комплексу «ІС-ПРО» (№ 25/03-_____ від __.08.2012) погоджені із Департаментом технічного захисту інформації Адміністрації Держспецзв’язку.

Програма державної експертизи у сфері технічного захисту інформації захищеного програмного комплексу «ІС-ПРО» додатково погоджена з замовником експертизи (ТОВ «БЕСТ»).


6 ПЕРЕЛІК ДОКУМЕНТІВ І СПЕЦИФІКАЦІЇ ПРОГРАМНИХ ТА ТЕХНІЧНИХ ЗАСОБІВ, ЯКІ НАДАНО ЗАМОВНИКОМ ОРГАНІЗАТОРУ ЕКСПЕРТИЗИ

Перелік документів, наданих для виконання робіт

 1. «Захищений програмний комплекс «ІС-ПРО». Технічне завдання».
 2. «ИС-ПРО. Руководство администратора. Версия 7.09.012 от 05.04.12».
 3. Довідкова система комплексу «ІС-ПРО» у вигляді скомпільованого довідкового файлу.
 4. Матеріали попередніх випробувань комплексу «ІС-ПРО» на відповідність вимогам ТЗ.

 

7 РЕЗУЛЬТАТИ РОБІТ ЩОДО КОЖНОГО ПУНКТУ ОКРЕМОЇ МЕТОДИКИ ЕКСПЕРТИЗИ ОБ'ЄКТА

За результатами виконаних перевірок, що передбачені методикою державної експертизи у сфері технічного захисту інформації комплексу «ІС-ПРО», експерти зробили наступні висновки:

 • надані матеріали щодо архітектури КЗЗ, середовища розробки комплексу «ІС-ПРО», процесу проектування (послідовності розробки), середовища та умов функціонування комплексу «ІС-ПРО», документації і випробувань КЗЗ відповідають рівню критеріїв гарантій Г-2 згідно п. 4.5 ТЗ та НД ТЗІ 2.5-004-99;
 • комплекс «ІС-ПРО» відповідає вимогам ТЗ в обсязі реалізації функціонального профілю захищеності {КА-2, ЦА-1, ЦО-1, ДЗ-1, ДВ-1, НР-2, НИ-1, НИ-2, НИ-3, НК-1, НО-1, НЦ-1, НТ-2} згідно п. 4.4.4 ТЗ та НД ТЗІ 2.5-004-99.

 

Докладні висновки щодо відповідності об'єкта експертизи вимогам нормативних документів системи ТЗІ за результатами експертних випробувань по кожному пункту методики державної експертизи у сфері технічного захисту інформації комплексу «ІС-ПРО» викладені в документі «Протокол виконання робіт відповідно до розділу 3 методики державної експертизи в сфері технічного захисту інформації захищеного програмного комплексу «ІС-ПРО» (№ 25/03-_______ від __.08.2012).

 

8 РОЗГОРНУТИЙ ВИСНОВОК ЩОДО ВІДПОВІДНОСТІ ОБ'ЄКТА ЕКСПЕРТИЗИ ВИМОГАМ НОРМАТИВНИХ ДОКУМЕНТІВ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ

1. За результатами перевірки оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки експерти зробили висновок, що комплекс «ІС-ПРО» відповідає вимогам до архітектури, середовища розробки, послідовності розробки, середовища функціонування, документації, випробувань згідно рівня гарантій Г-2 відповідно до вимог НД ТЗІ 2.5-004-99 та п. 4.5 ТЗ.

2. За результатами перевірки об’єктів захисту, суб’єктів доступу та атрибутів, згідно з якими здійснюється їх взаємодія, експерти зробили висновки, що комплекс «ІС-ПРО» відповідає п. 4.4.1 – 4.4.3 ТЗ.

3. За результатами оцінювання функціональних послуг безпеки експерти зробили висновок, що комплекс «ІС-ПРО» коректно реалізує послуги безпеки в обсязі функціонального профілю захищеності {КА-2, ЦА-1, ЦО-1, ДЗ-1, ДВ-1, НР-2, НИ-1, НИ-2, НИ-3, НК-1, НО-1, НЦ-1, НТ-2} відповідно до вимог п. 4.4.4 ТЗ та п. 6.2, 7.2, 7.3, 8.3, 8.4, 9.1 – 9.6 НД ТЗІ 2.5-004-99.

4. Стисла характеристика функціональних послуг безпеки, що реалізуються комплексом «ІС-ПРО»:

 • в рамках реалізації функціональних послуг безпеки «КА-2» та «ЦА-1» комплекс «ІС-ПРО» забезпечує захист інформації, що зберігається в базі даних комплексу, а також технологічної інформації від несанкціонованого ознайомлення, модифікації та знищення. Доступ до інформаційних об’єктів отримує лише адміністратор. Доступ до інформації, що зберігається в базі даних, користувачі отримують згідно своєї функціональної ролі в обсязі, визначеному адміністратором. Управління правами доступу користувачів здійснюється адміністратором. Вимог до збереження прав доступу до об’єктів захисту при їх експорті або імпорті в ТЗ не висувається, тому при експорті об’єктів захисту у вигляді об’єктів файлової системи атрибути доступу не зберігаються; експлуатаційна документація на комплекс містить рекомендації щодо безпечного поводження із об’єктами файлової системи адміністратором при проведенні експорту даних з системи; забезпечення захисту таких експортованих об’єктів повинно здійснюватись організаційними заходами та іншими (сторонніми по відношенню до комплексу) програмно-апаратними засобами відповідно до положень експлуатаційної документації. Комплекс підтримує можливість імпорту раніше експортованих інформаційних об’єктів; можливість імпорту файлів даних іншого формату (що створені іншим програмним (апаратним) забезпеченням, крім певних інформаційних бухгалтерських систем) в комплексі не підтримується; при імпорті об’єктів захисту для них встановлюються атрибути доступу, налаштовані в комплексі для типу об’єктів, що імпортуються;
 • в рамках реалізації функціональної послуги безпеки «ЦО-1» комплекс «ІС-ПРО» забезпечує можливість відміни операцій щодо оновлення програмного забезпечення комплексу; при відміні процесу оновлення програмне забезпечення комплексу автоматично повертається до попереднього працездатного стану; при цьому зберігаються правила розмежування доступу, встановлені до початку оновлення; проведення оновлень не викликає необхідності повторної інсталяції комплексу «ІС-ПРО» і проводиться під контролем його КЗЗ; відміна зазначених операцій здійснюється адміністратором комплексу;
 • в рамках реалізації функціональної послуги безпеки «ДЗ-1» комплекс «ІС-ПРО» забезпечує можливість оновлення власного програмного забезпечення та інформаційних довідників з використанням механізму пакетів оновлень (програмних пакетів, що містять модифікований програмний код), які виробляються виробником системи та розповсюджуються (наприклад, за допомогою мережі Internet) серед її користувачів; модернізація здійснюється адміністратором комплексу без переривання функцій із захисту інформації;
 • в рамках реалізації функціональної послуги безпеки «ДВ-1» комплекс «ІС-ПРО» абезпечує можливість відновлення власної роботи в разі виходу з ладу апаратного забезпечення або збоїв в роботі програмного забезпечення комплексу; в разі виходу з ладу апаратного забезпечення ЕОМ, на якій розгорнуто комплекс, або збоїв в роботі програмного забезпечення комплексу «ІС-ПРО» адміністратором здійснюється заміна такого обладнання на аналогічне та проводиться повторне налаштування системних параметрів та параметрів безпеки, користувачів (груп користувачів) та їх прав доступу; при цьому інформація щодо подій, яка була отримана, оброблена та зберігалась в базі даних комплексу «ІС-ПРО» не змінюється; зазначена база даних відновлюється з відповідних резервних копій адміністратором;
 • в рамках реалізації функціональної послуги безпеки «НР-2» комплекс «ІС-ПРО» забезпечує можливість реєстрації наступних подій (із реєстрацією дати, часу, типу та результату кожної зареєстрованої події):
  • запуск на виконання / завершення роботи комплексу;
  • вхід до комплексу відповідних користувачів;
  • отримання користувачами комплексу доступу до відповідних об’єктів захисту;
  • управління обліковими записами користувачів комплексу та їх правами доступу;
  • помилки, які виникають під час функціонування комплексу
  Адміністратор комплексу має можливість аналізу зареєстрованих подій. КЗЗ комплексу «ІС-ПРО» забезпечує захист журналу реєстрації від несанкціонованого ознайомлення, модифікації або знищення – доступ до журналу реєстрації має лише адміністратор;
 • в рамках реалізації функціональних послуг безпеки «НИ-1», «НИ-2», «НИ-3» та «НК-1» комплекс «ІС-ПРО» забезпечує можливість однозначної автентифікації та ідентифікації адміністратора та користувачів; комплекс «ІС-ПРО» підтримує три типи ідентифікації та автентифікації користувачів; в першому випадку (зовнішня ідентифікація та автентифікація, «НИ-1») користувачі ідентифікуються за їх поточними ідентифікаторами в операційній системі (домені); в другому випадку (одиночна ідентифікація та автентифікація, «НИ-2») користувачі ідентифікуються в комплексі з використанням унікального ідентифікатору та паролю; в третьому випадку (зовнішня ідентифікація та автентифікація, «НИ-3») користувачі ідентифікуються в комплексі з використанням унікального ідентифікатору, паролю та сертифікату відкритого ключа; налаштування параметрів доступу користувачів (додавання нових користувачів та видалення існуючих, управління їх правами доступу) здійснюється адміністратором. Введення даних автентифікації користувачів (при реалізації механізмів одиночної та множинної ідентифікації та автентифікації) здійснюється із забезпеченням неможливості їх перехоплення стороннім програмним забезпеченням;
 • в рамках реалізації функціональної послуги безпеки «НО-1» комплекс «ІС-ПРО» забезпечує виділення ролі адміністратора, який виконує обов’язки із управління налаштуваннями комплексу та має можливість додавати нових або видаляти існуючих користувачів штатними засобами комплексу, а також управляти правами доступу кожного зареєстрованого користувача (шляхом налаштування прав доступу для відповідної ролі (групи) користувачів);
 • в рамках реалізації функціональних послуг безпеки «НЦ-1» та «НТ-2» комплекс «ІС-ПРО» забезпечує контроль цілісності власного програмного забезпечення, а також реалізує механізми самотестування, які полягають в контролі цілісності його програмного забезпечення; така перевірка здійснюється в автоматичному режимі при запуску комплексу на виконання (за рахунок використання штатних механізмів контролю цілісності програмного забезпечення) та за відповідною командою адміністратора.

5. При використанні комплексу «ІС-ПРО» в складі інформаційно-телекомунікаційних систем класу 3 (згідно НД ТЗІ 2.5-005-99) завдання забезпечення конфіденційності та цілісності інформації, що передається через незахищене середовище між розподіленими компонентами системи, а також взаємної автентифікації цих компонент повинно покладатись на інші програмні (апаратні) засоби захисту, що не входять до складу комплексу.

9 СФЕРА ВИКОРИСТАННЯ (ВИМОГИ ДО УМОВ ЕКСПЛУАТАЦІЇ) ОБ'ЄКТА ЕКСПЕРТИЗИ

Особливих вимог до забезпечення безпеки при поводженні із комплексом «ІС-ПРО» (зберігання, використання за призначенням тощо) не висувається.

Разом з цим, при використанні комплексу «ІС-ПРО» за призначенням повинно забезпечуватись наступне:

 • поводження із експортованими з комплексу «ІС-ПРО» інформаційними об’єктами повинно здійснюватись у відповідності до положень експлуатаційної документації;
 • внесення змін до програмного забезпечення комплексу «ІС-ПРО» повинно здійснюватись у порядку, визначеному політикою функціональної послуги «ДЗ-1»;
 • при використанні комплексу «ІС-ПРО» в складі інформаційно-телекомунікаційних систем класу 3 (згідно НД ТЗІ 2.5-005-99) завдання забезпечення конфіденційності та цілісності інформації, що передається через незахищене середовище між розподіленими компонентами системи, а також взаємної автентифікації цих компонент повинно покладатись на інші програмні (апаратні) засоби захисту, що не входять до складу комплексу;
 • облікові записи користувачів комплексу «ІС-ПРО» (користувачі, які не мають адміністративних прав в комплексі) не повинні мати адміністративних прав в операційній системі ЕОМ, на якій встановлено комплекс.

 


10 ТЕРМІН ДІЇ ЕКСПЕРТНОГО ВИСНОВКУ

Термін дії цього експертного висновку становить 3 роки за умови виконання вимог розділу 8 цього висновку.Заступник начальника науково-дослідного центру

А.Л. Волошин

 

Начальник науково-дослідного центру

Ю.В. Сергієнко