Главная » Субъекты пенсионного страхования » Зачем нужна система сертификации средств защиты информации. Контроль отсутствия недекларированнных возможностей

Зачем нужна система сертификации средств защиты информации. Контроль отсутствия недекларированнных возможностей

Сертификация средств защиты информации (СЗИ) неотъемлемый процесс жизненного цикла почти всех отечественных и многих зарубежных продуктов представленных сегодня рынке ИБ. Получение сертификата это своего рода это признание надежности и качества сертифицируемого продукта, а так же показатель авторитета и статуса компании-разработчика. Помимо этого сертифицируемый продукт позволяет использовать его для обеспечения защиты информации по требованиям ФСБ и ФСТЭК, например для защиты не только коммерческой, но и государственной тайны. Однако, для непосвященных сертификация это зачастую пугающе сложный и запутанный процесс вокруг которого выростают мифы. Вот сегодня в нашей публикации мы и попытаемся это чуть чуть изменить.

Начнем с того, что сертификация средств защиты информации производится в соответствии с "Положением о сертификации средств защиты информации" , утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г.

Согласно документа:

сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

А сам сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющихгосударственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, которыми являются:

федеральный орган по сертификации;
центральный орган системы сертификации - орган, возглавляющий систему сертификации однородной продукции;
органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
изготовители - продавцы, исполнители продукции.

Сертификация импортных средств защиты информации проводится по тем же правилам , что и отечественных.

Основными схемами проведения сертификации средств защиты информации являются:

единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.

В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.

Основными органами сертификации в области технической защиты информации являются ФСБ России и ФСТЭК России . При этом ФСБ России действует в области криптографической защиты информации , а ФСТЭК России – в области технической защиты информации некриптографическими методами .

Требования по сертификации ФСБ России являются закрытыми, ознакомление с ними предполагает наличие специальных допусков, требования ФСТЭК России публикуются на официальном сайте и являются публичными.

Системы сертификации и требования

Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Гостехкомиссии России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408).

Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.

Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании» . Сертификация средств защиты информации может быть добровольной или обязательной — проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения.

Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются .

Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации.

Миф №1: сертификация – это торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией.

Миф №2: сертификацию проводят государственные органы. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации.

Миф № 3: сертификация нужна только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну.

Миф № 4: сертификация нужна только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др.

Миф № 5: зарубежный продукт нельзя сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей.

Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft — Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей.

Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.

Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.

Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.

Миф № 7: при сертификации ничего не находят. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы.

Миф № 8: продукт сертифицирован на отсутствие недекларированных возможностей – значит в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения — успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация.

Миф № 9: требования по анализу исходного кода существуют только в нашей стране. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909.

Миф № 10: сертификация стоит дорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой.

Сертификация не является универсальным способом решения всех существующих проблем в области информационной безопасности, однако сегодня это единственный реально функционирующий механизм, который обеспечивает независимый контроль качества средств защиты информации, и пользы от него больше, чем вреда. При грамотном применении механизм сертификации позволяет вполне успешно решать задачу достижения гарантированного уровня защищенности автоматизированных систем.

Заглядывая вперед, можно предположить, что сертификация как инструмент регулятора будет изменяться в направлении совершенствования нормативных документов, отражающих разумные требования по защите от актуальных угроз, с одной стороны, и в направлении улучшения методов проверки критических компонентов по критерию «эффективность/время» — с другой.

Сертификация представляет собой процедуру, при которой происходит подтверждение того, что определенная продукция соответствует всем требованиям. Однако сертификация средств защиты информации – это деятельность, которая связана с подтверждением того, что эти средства соответствуют национальным стандартам, а также требованиям, прописываемым в технических регламентах, и другим нормативным документам.

ФСТЭК РФ представляет систему сертификации, существование которой нацелено на достижение безопасности области информатизации. Система сертификации средств защиты информации занимается формированием политики в области информатизации, а также обеспечивает ее осуществление. Одновременно с этим в ее основные задачи входит содействие созданию рынка, в котором все информационные технологии, а также всевозможные средства обеспечения, являются совершено защищенными от воровства или других негативных воздействий.

Данная система дополнительно занимается регулированием и контролем различных разработок средств защиты информации, а при этом еще учитывает их последующее создание. В задачи системы входит помощь различным потребителям, которые не могут самостоятельно, ввиду отсутствия необходимых знаний, сделать правильный выбор средств защиты информации. К тому же именно с помощью системы обеспечивается надежная, постоянная и эффективная защиты всех потребителей от недобросовестных продавцов и создателей средств защиты информации. С помощью данной системы обеспечивается сертификация данных средств, поэтому все компании, которые специализируются на производстве или продаже средств защиты информацию должны проходить обязательную сертификацию в данном гос. органах.

Какие средства подлежат обязательной сертификации?

Все фирмы или предприниматели, деятельность которых связана со средствами защиты информации, должны знать о том, какие именно средства должны быть сертифицированы. К ним относятся в первую очередь технические и программные средства, а также программно-аппаратные. Сюда же включаются средства контроля надежности защиты и средства, в которых реализуются СЗИ.

Поэтому каждая компания или предприниматель должны осуществлять сертификацию данных средств.

Особенности получения сертификата

Действует сертификация всего три года, однако существуют ситуации, при которых срок ее действия увеличивается, однако он не может превышать пяти лет.

Фирмы или предприниматели имеют возможность продлить действие полученного три года назад сертификата, а при этом не нужно будет проходить повторную сертификацию, однако осуществить это можно только при соответствии определенным условиям. К ним относится то, что в компании количество изделий, которые подлежат сертификации, должно остаться прежним. Также не должны измениться требования, которые предъявляются к данным изделиям во время проведения процедуры сертификации. Одновременно с этим следует убедиться, что ТУ и конструкция этих изделий за три года никаким образом не изменились. Если все эти условия соблюдаются, то компания может продлить сертификат. Однако если даже одно условие не соответствует требованиям, то продукция организации должна вновь пройти через процедуру первичной сертификации.

Сертификация средств защиты информации – это значимая процедура, которая позволяет потребителям получать только качественные изделия, соответствующие всем необходимым стандартам и требованиям.

Автокредитование

Законодательство

Бизнес-идеи

Содержание Срочное изготовление печатей и штампов Кто будет выступать в качестве покупателей Где открывать бизнес Оборудование для ведения бизнеса Существует много разновидностей бизнеса, которые могут быть начаты людьми, обладающими предпринимательскими способностями. Причем каждый вариант обладает своими уникальными особенностями и параметрами. Срочное изготовление печатей и штампов Бизнес-идея изготовления печатей и штампов считается достаточно привлекательной в плане..
Содержание Бизнес-идея по изготовлению открыток Как открыть бизнес, основанный на создании открыток на заказ Сотрудники Помещение Как продавать созданные открытки Многие люди, обладающие определенными предпринимательскими способностями, задумываются об открытии собственного бизнеса, а при этом оценивают и рассматривают большое количество различных вариантов для открытия. Довольно интересной считается бизнес-идея изготовления открыток, поскольку открытки являются такие элементы, спрос..
Содержание Выбор помещения для тренажерного зала Что нужно для того, чтобы открыть тренажерный зал? Тренажерный зал становится все более популярным в современном мире, поскольку все больше людей задумываются о том, чтобы вести здоровый образ жизни, предполагающий правильное питание и занятия спортом. Поэтому открыть тренажерный зал может любой бизнесмен, однако для получения хороших доходов необходимо продумать..
Содержание Место расположения магазина Ассортимент товаров Продавцы Бижутерия является обязательным предметом гардероба каждой женщины, которая следит за собой и старается выглядеть привлекательно и ярко. Поэтому открыть свой магазин бижутерии хочет практически каждый предприниматель, который осознает возможность получения хороших прибылей. Для этого необходимо изучить все имеющиеся перспективы, составить бизнес-план и спрогнозировать возможный доход, чтобы решит, будет..

Сертификация средств защиты информации вызывала, вызывает и будет вызывать огромное количество вопросов у IT-люда. И к сожалению не только у него: сами «законотворцы» и «методикоделы» не всегда толком могут ответить на вопрос о сертификации. Тут можно выделить пожалуй два подвопроса:
1. Что «хотят» контролирующие органы (ФСТЭК, ФСБ, Роскомнадзор) - далее «КО»;
2. А что «хочет» закон и методики.
Частично написано в ответ на Защита информации и сертификация. Если нет разницы - зачем платить больше? , где, считаю, не совсем корректно представлено текущее положение дел… хотя взгляд на него излагаю из личного опыта общения с КО, сертифицирующими органами, клиентами и опытом внедрения систем защиты.

Не стоит воспринимать эту статью как научный труд о законодательстве в области защиты перс. данных. Скорее как краткое эссе на указанную тему.

Что «хочет» закон и методики

До выхода Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» ситуация была примерно следующая:
Сертификация являлась единственной реально выполнимой формой оценки соответствия средств защиты информации .
Были другие методы, но с ними было всё веселее: отсутствовали технические регламенты по оценке соответствия для конкретных типов средств защиты. Требования были, а руководств по оценке не было. А для государства всё просто: нет процедуры проверки (то есть не описано, какие конкретно процессы являются проверочными для выполнения требования), значит, не существует проверки.
Возможно, можно было бы самостоятельно написать «Программу и методику оценки соответствия», согласовать ее с ФСТЭК или сертифицирующим органом (что очень вряд ли) и написать «Протокол...». Но данный вопрос не исследовал, потому что в большинстве случаев это было слишком трудоемко и не окупалось. Легче было купить сертифицированный продукт или уйти от угрозы в «Модели угроз...».
Это выглядело бы довольно просто с технической точки зрения, если бы требовалось обеспечить СЗИ 5 класс защищенности СВТ, что в большинстве случаев было достаточно (что при беглом взгляде является тестированием функций авторизации продукта как blackbox-системы), но, например, если продукт был в системе класса К1, то еще требовалось обеспечить контроль НДВ (отсутствие недекларированных возможностей). А контроль НДВ 4 уровня по сути представляет из себя отсутствие избыточности кода, которое надо подтвердить опять же сертифицированными средствами навроде АК-ВС или Аист, которые стоят в несколько сотен тысяч рублей.
Да, можно было бы сделать это вручную, но когда у вас имеется продукт с закрытым кодом? Или продукт настолько сложен, что вручную эта работа займет огромное количество времени? И опять же вопрос согласования " Программы и методики...".
И открою маленький секрет: в настоящее время и для сертификационных лабораторий не существует методик и регламентов по оценке, и многие лаборатории создают их по мере опыта. И опыт больше сводится к тому, утвердят ли методику в органе по сертификации, а не к качеству оценки защитных функций.
С выходом же Постановления № 1119 ситуация немного изменилась.
В пункте 12 указано:

Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:…
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Озвучу своё виденье: теперь сертифицированные СЗИ требуются для закрытия актуальных угроз, соответственно, в ваших руках грамотно составить «Модель угроз...», сведя к минимуму использование данных СЗИ. Остались меры, указанные в Приложении к Положению. Но нет указания ни в постановлении, ни в других нормативных документах на использование СЗИ для реализации требуемых мер.
Также, теперь скромно указано «оценка соответствия», а не «сертификация». Но этот момент я рассмотрел выше: да, это не обязательно сертификация «де-юре», но сертификация «де-факто». И почему это так и нужно воспринимать, ниже.

Что «хотят» контролирующие органы

Думаю, тут стоит отметить два момента:
1. В первую очередь стоит отметить, что КО зачастую имеют свой замысловатый взгляд на то, что написано в законе. При этом комментировать свой подход они не сильно собираются. Достаточно вспомнить «обсуждение» Постановления 1119, к которому КО всех пригласили, но никого не послушали и никому ничего не прокомментировали. Тут два предположения: либо они просто не поняли, что им сказали, либо «обсуждение» затевалось для галочки. Мое мнение: всего по чуть-чуть.
Наша организация тоже несколько раз пыталась получить комментарии по некоторым пунктам, которые мы, как интеграторы, должны выполнять, но в ответ лишь было: «А не наше это дело - комментировать, что мы придумали» (как в шутке - «сама придумала, сама обиделась»).
Показательным было уведомление на официальном сайте ФСТЭК (полный текст ):

Одновременно сообщаем, что ФСТЭК России не наделена полномочиями по разъяснению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в том числе в части определения типов угроз персональных данных и порядка определения уровней защищенности персональных данных.

2. В связи с пунктом 1 при проверке все карты будут на руках у ФСТЭК (при проверке ФСТЭК). Усугубляется всё еще тем, что в каждом федеральном округе свои ФСТЭК, Роскомнадзор, ФСБ и почему-то точки зрения в связи с этим у них свои и могут кардинально отличаться от соседнего ФО.

Так что же делать

1. Попытайтесь минимизировать перечень актуальных угроз, тут благо вас никто особо не ограничивает. Приведите разумные аргументы, пропишите их в «Модели угроз...». Но наглеть тоже не стоит.
2. Исходя из Модели определитесь с перечнем СЗИ.
Нужно учитывать, что для закрытия угрозы, не обязательно требуется сертифицировать всё ПО, необходимо сертифицировать механизм защиты: если у вас реализован вход в ПО обработки с использованием NTLM-аутентификации (Kerberos) и всё разграничение прав идет на уровне домена, сертифицируйте механизмы домена, а не само ПО (если не требуется НДВ), каким-нибудь Secret Net, Dallas Lock, пакетом сертификации Windows.
В связи с этим решать читателю: «встать в позу» или с минимумом рисков и затрат достичь цели.
К счастью, стоит отметить, что большинство самых используемых продуктов прошли сертификацию и не весь рынок представляет из себя студенческие российские поделки. Если будет интерес, то могу написать небольшой обзор средств защиты для минимального ущерба работоспособности.

Одним из обязательных условий получения лицензии на работу с государственной тайной является наличие в организации сертифицированных средств защиты информации.

Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации основной функции – защиты информации на основании государственных стандартов и требований по безопасности информации . Применительно к сведениям, составляющим государственную тайну, общие принципы организации сертификации средств защиты информации определены нормами статьи 28 Закона РФ "О государственной тайне" – средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Федеральное агентство контроля экспорта и технологий, Министерство обороны РФ в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ. Одним из основных руководящих документов по сертификации защиты информации в настоящее время является Положение о сертификации средств защиты информации, утвержденное Постановлением Правительства РФ от 25.06.95 г. № 608, реализующим нормы Закона РФ "О сертификации продукции и услуг".

Порядок проведения сертификации основан на следующих принципах :

1. Обязанность сертификации изделий, обеспечивающих защиту государственной тайны.

2. Обязательность использования криптографических алгоритмов, являющихся стандартами.

3. Принятие на сертификацию только изделий от заявителей, имеющих лицензию.

Таким образом, в соответствии с вышеназванными документами разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации; государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в т.ч. электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата.

Осуществляется следующий порядок сертификации (рис. 4.2.):

1. В Центральный орган по сертификации (орган, аккредитованный ФСТЭК России) подается заявление и полный комплект технической документации.

2.Центральный орган назначает испытательный центр (лабораторию) для проведения испытания.

3. Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром.

4. Сертификация (экспертиза материалов и подготовка документов для выдачи) осуществляется Центральным органом. Сертификат выдается на срок до 5 лет.

Кроме указанных целей, сертификация средств защиты информации необходима также для решения вопросов экономической безопасности организации в связи с постоянным ростом компьютерных преступлений. Правовой основой предупреждения компьютерных преступлений является Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03.04.95 г. Приведем некоторые выдержки из данного указа:

· государственным организациям и предприятиям запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата;

· запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата;

· запретить деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии;

· запретить ввоз на территорию России не лицензированных шифровальных средств и защищенной техники иностранного производства.

После получения сертификата на право оказания услуг за организацией осуществляется государственный контроль (надзор) по соблюдению требований технических регламентов.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации федеральный орган по сертификации и аттестации, которым является ФСТЭК России.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну и ведения секретных переговоров.

Аттестация предусматривает комплексную проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса меp и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Литература

1. Аверченков, В.И. Аудит информационной безопасности: учеб. пособие/В.И. Аверченков. – Брянск: БГТУ, 2005 – 269 с.

2. Аверченков, В.И. Организационная защита информации: учеб. пособие/В.И. Аверченков, М.Ю. Рытов – Брянск: БГТУ, 2005 – 184с.

3. Аверченков, В.И., Служба защиты информации: организация и управление: учеб. пособие / В.И. Аверченков, М.Ю. Рытов – Брянск: БГТУ, 2005 – 186с.

4. Аверченков, В.И. Система обеспечения безопасности Российской Федерации: учеб. пособие / В.И. Аверченков, В.В. Ерохин. – Брянск: БГТУ, 2005. – 120 с.

5. Аверченков, В.И. Системы защиты информации в ведущих зарубежных странах: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов, Г.В. Кондрашин, М.В. Рудановский. – Брянск: БГТУ, 2007. – 225 с

6. Домарев, В.В. Безопасность информационных технологий. Системный подход / В.В. Домарев – Киев: ООО «ТиД», 2004. – 914с.

7. Медведовский, И.Д. Практическое применение международного стандарта безопасности информационных систем ISO 17799 www.dsec.ru/cd-courses/iso 17799 cd.php/

8. Петренко, С.А. Аудит безопасности Iuranrt / С.А. Петренко, А.А.Петренко – М: Академии АиТи: ДМК Пресс, 2002. – 438с.

9. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность/ С.А. Петренко, С.В. Симонов – М: Академия АиТи: ДМК Пресс, 2004. – 384с.

10. Покровский, П. Оценка информационных рисков/ П. Покровский – 2004. – №10. Изд-во «Открытые системы» (www.osp.ru).

11. Семкин, С.И. Основы организационного обеспечения информационной безопасности объектов информатизации: учеб. пособие. / С.И. Семкин, Э.В. Беляков, С.В. Гребнев, В.И. Козичок – М: Гелиос АРВ, 2005 – 192 с.

13. www.rg.ru – Интернет-сайт «Российской Газеты».

14. www.fstek.ru - Официальный сайт ФСТЭК России.

15. www.fsb.ru - Официальный сайт ФСБ России.

16. www.egovernment.ru - Интернет - журнал “Информационная безопасность”.

17. www.gtk.lissi.ru - Официальные документы Гостехкомисссии России.

18. www.gdezakon.ru - Интернет - сайт “Полное собрание законов России”.

19. www.law.yarovoiy.com - - Интернет - сайт “Все законы России”.

20. Галатенко, А. Активный аудит/ А. Галатенко // Jet Info on line.– 1999.– №8(75). article 1.8. 1999……

21. Гузик, С. Зачем проводить аудит информационных систем? /С. Гузик // Jet Info on line. – 2000. – 10 (89). articlel.10.2000.

22. Кобзарев, М Методология оценки безопасности информационных технологий по общим критериям / М. Кобзарев, А. Сидак // Jet Info on line. – 2004. – 6 (133). article 1.6.2004.

23. Петренко, С Информационная безопасность: Экономические аспекты / С. Петренко, С. Симонов, Р. Кислов // Jet Info on line. – 2003 – №10 (125). article 1.10.2003.

©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-08-07

Просмотров