Опубликован: 12.10.2011 | Доступ: свободный | Студентов: 9078 / 4451 | Оценка: 4.38 / 4.15 | Длительность: 07:50:00
Лекция 10:

Аттестация, сертификация и лицензирование в области защиты персональных данных

< Лекция 9 || Лекция 10 || Лекция 11 >
Аннотация: Цель лекции: определить порядок сертификации средств защиты персональных данных, аттестации ИСПД и лицензирования деятельности по технической защите персональных данных.

10.1. Сертификация средств защиты ПД

Порядок сертификации средств защиты информации в России устанавливается "Положением о сертификации средств защиты информации" от 26 июня 1995г. Сертификация по требованиям безопасности информации представляет собой процедуру оценки соответствия характеристик продукта, услуги или системы, требованиям стандартов, федеральных законов и других нормативных документов.

Участниками процесса сертификации являются:

  1. заявители – те, кто хочет получить сертификат соответствия. Заявителями могут быть продавцы продукции, исполнители продукции.
  2. федеральный орган по сертификации;
  3. центральный орган сертификации – орган, возглавляющий сертификацию однородной продукции (необязательный участник).
  4. органы по сертификации средств защиты информации – те, кто проводит сертификацию определенной продукции.
  5. испытательные лаборатории – лаборатории, проводящие сертификационные испытания определенной продукции.

В России действуют 4 Федеральных органа по сертификации, но в области защиты персональных данных их два – ФСБ России и ФСТЭК России. В основные обязанности Федерального органа по сертификации входит:

  1. создание системы сертификации;
  2. выбор способа подтверждения соответствия средств защиты информации;
  3. определение перечня средств защиты, для которых необходима сертификация;
  4. установление правил аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации, испытательных лабораторий и проведение соответствующих аккредитаций;
  5. выдача сертификатов и лицензий на применение знака соответствия;
  6. ведение реестра сертифицированных средств и участников сертификации;
  7. осуществление контроля и надзора за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации;
  8. рассмотрение апелляции по вопросам сертификации;
  9. периодическая публикация информации о сертификации;
  10. организация подготовки и аттестации экспертов-аудиторов;
  11. приостановление, продление или отмена действия выданных сертификатов.

Органы сертификации:

  1. участвуют в определении схемы проведения сертификации средств защиты информации с учетом предложений заявителя;
  2. уточняют требования, на соответствие которым проводятся сертификационные испытания;
  3. рекомендуют заявителю испытательный центр (лабораторию);
  4. утверждают программы и методики проведения сертификационных испытаний;
  5. проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний;
  6. оформляют экспертное заключение по сертификации средств защиты информации и представляют их в федеральный орган по сертификации;
  7. организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации;
  8. участвуют в аккредитации испытательных центров (лабораторий) и органов по аттестации объектов информатизации;
  9. организуют инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации и участвуют в инспекционном контроле за деятельностью испытательных центров (лабораторий);
  10. хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации;
  11. ходатайствуют перед федеральным органом по сертификации о приостановке или отмене действия выданных сертификатов;
  12. формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке;
  13. представляют заявителю необходимую информацию по сертификации.

Испытательные центры (лаборатории) в пределах установленной области аккредитации:

  1. осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;
  2. разрабатывают программы и методики сертификационных испытаний, осуществляют сертификационные испытания средств защиты информации, оформляют протоколы сертификационных испытаний и технические заключения;
  3. маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;
  4. участвуют в аттестации производства сертифицируемых средств защиты информации[29].

Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную проверку средств измерений и аттестацию испытательного оборудования.

Органы сертификации средств защиты информации и испытательные лаборатории проходят процедуру аккредитации на право проведения работ по сертификации, в ходе которой федеральный орган по сертификации проверяет их способность на проведение данных работ и выдает разрешение.

Сертификация проводится на материально-технической базе аккредитованных испытательных лабораторий. В отдельных случаях возможно проведение испытаний на базе заявителя при надлежащем контроле со стороны органа сертификации.

Изготовители обязаны извещать орган по сертификации, который выдал сертификат на их продукцию, об изменениях в технологии изготовления или составе сертифицированного средства защиты информации.

Процедура сертификации включает:

  1. подачу и рассмотрение заявки на проведение сертификации (продления срока действия) средства защиты информации в Федеральный орган по сертификации. Заявка оформляется на бланке заявителя и заверяется печатью. Федеральный орган назначает орган по сертификации и испытательную лабораторию, после чего заявитель отправляет туда сертифицируемое средство защиты информации.
  2. сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства. Сроки проведения испытаний устанавливаются на договорной основе между заявителем и лабораторией. По результатам испытаний оформляется заключение, которое отправляется в орган по сертификации и заявителю.
  3. экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия. На основании заключения испытательной лаборатории орган сертификации делает заключение и отправляет его в Федеральный орган по сертификации. После присвоения сертификату регистрационного номера, его получает заявитель. Срок действия сертификата – 3 года.
  4. осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации. По результатам контроля Федеральный орган по сертификации может приостановить или аннулировать сертификат в следующих случаях:
    • изменения на законодательном уровне, касающиеся требований к средствам защиты информации, методам испытаний и контроля;
    • изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
    • невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации;
    • несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля;
    • отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации[29].
  5. информирование о результатах сертификации средств защиты информации;
  6. рассмотрение апелляций. Апелляция подается в федеральный орган по сертификации и рассматривается в месячный срок с участием независимых экспертов и заинтересованных сторон.

Органы по сертификации и испытательные лаборатории несут ответственность за выполнение своих функций, обеспечение сохранности информации ограниченного доступа, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав разработчика при испытаниях его средств защиты информации.

10.2.Требования законодательства к средствам защиты ПД

Важным моментом при построении СЗПД является пункт 5 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного Постановлением Правительства Российской Федерации от 17.11.2007 № 781, которое гласит, что средства защиты информации, используемые в ИСПД, должны в установленном порядке проходить процедуру соответствия (сертификацию). Порядок сертификации устанавливается уполномоченными органами, которыми в случае защиты ПД являются ФСТЭК и ФСБ России. Сертификации подлежат системы, продукты и услуги защиты информации от НСД. В рамках систем обязательной сертификации организации должны сертифицировать средства и продукты. Например, в руководящих документах Гостехкомиссии России продуктом может выступать средство вычислительной техники (СВТ), средство защиты информации (СЗИ), межсетевой экран (МЭ), программное обеспечение (ПО) и др. Система – это объект информатизации, где обрабатывается реальная информация. По этой причине к системам предъявляются дополнительные требования, касающиеся в том числе организационных мер и физической защиты.

Программное обеспечение СЗПД для защиты от угроз конфиденциальности, целостности и доступности, применяемое в ИСПД 1 класса, подлежит сертификации на отсутствие недекларированных возможностей согласно п.2.12 Приказа ФСТЭК России №58.

В соответствии с Руководящим документом Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей", утвержденным приказом Председателя Гостехкомиссии от 04.06.1999 № 114, недекларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Порядок классификации по уровню контроля отсутствия недекларированных возможностей определен указанным выше руководящим документом Гостехкомиссии. Данное требование обусловлено тем, что большинство современных атак использует уязвимости в программном обеспечении системы. Основной метод нахождения уязвимостей в программе – детальное изучение программного кода. Данное требование может привести к выводу из эксплуатации в ИСПД зарубежных средств защиты информации, так как для сертификации необходимо предоставить код в открытом виде.

При просмотре сертификата к средству защиты информации необходимо обратить внимание, на соответствие каким документам проводились сертификационные испытания.

Что касаемо ФСТЭК России, то это может быть:

  • руководящие документы Гостехкомиссии России по защите от несанкционированного доступа к информации (для АС, СВТ или МЭ),
  • руководящий документ Гостехкомиссии России по контролю отсутствия недекларированных возможностей,
  • техническое условие или формуляр,
  • задание по безопасности (по требованиям ГОСТ ИСО/МЭК 15408-2008).

Необходимо отметить, что нормативные документы ФСТЭК на настоящее время не охватывают требования ко всем средствам технической защиты информации в области ПД. Рекомендации и требования предусмотрены для межсетевых экранов (МЭ) и систем обнаружения вторжений(IDS).

  1. для ИСПД 1 класса – МЭ 3 класса, в IDS должны использоваться аномальные и сигнатурные методы обнаружения вторжений;
  2. для ИСПД 2 класса – МЭ 4 класса, в IDS должны использоваться аномальные и сигнатурные методы обнаружения вторжений;
  3. для ИСПД 3 класса – МЭ 5 класса, в IDS должен использоваться сигнатурный метод обнаружения вторжений;
  4. для ИСПД 4 класса – МЭ 5 класса, в IDS должен использоваться сигнатурный метод обнаружения вторжений.

Требования к средствам защиты ИСПД частично совпадают с требованиями к автоматизированным системам, которые были разработаны ранее в руководящих документах Гостехкомиссии России, в целях преемственности и совместимости.

Корреляция указанных требований отображена в таблице 10.1.

Таблица 10.1. Корреляция требований к средствам защиты в ИСПД с документами по АС
Класс ИСПД Класс АС Класс МЭ
Без подключения к СОД С подключением к СОД
K1, однопользовательская 3A 2
K1, многопользовательская с одинаковыми правами 2A 4 2
K1, многопользовательская с разными правами 1B 4 2
K2, однопользовательская 3B+ 3
K2, многопользовательская с одинаковыми правами 2B+ 4 2
K2, многопользовательская с разными правами 4 2
K3, однопользовательская 4
K3, многопользовательская с одинаковыми правами 4 2
K3, многопользовательская с разными правами 4 2
K4 Определяется оператором

В случае если требования нормативных документов ФСТЭК в области защиты ПД и руководящих документов Гостехкомиссии не совпадают, первые должны быть описаны в техническом задании.

10.3. Требования законодательства к ИСПД

До февраля 2010 года проведение аттестации ИСПД было обязательным этапом построения системы защиты. После введения Приказа ФСТЭК №58 ситуация изменилась, так как документ отменил обязательность аттестации, предоставив операторам самим решать, проводить ее или нет. Тем не менее, это не отменяет необходимости проведения оценки соответствия принятых мер по обеспечению безопасности требованиям законодательства, о чем говорят в частности – постановление Правительства РФ № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке и ИСПДн" и 184-ФЗ "О техническом регулировании".

Аттестация ИСПД предназначена для официального подтверждения эффективности и достаточности мер по обеспечению безопасности ПД в данной ИСПД. Аттестация должна предшествовать началу обработки данных. Порядок проведения аттестации регламентирован "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 г.

Результатом аттестации является документ, называемый "Аттестат соответствия", который подтверждает, что ИСПД удовлетворяет требованиям стандартов и нормативно-технических документов по безопасности ПД ФСТЭК и Гостехкомиссии России (в настоящее время это другая организация).

Этапы аттестации включают в себя:

  • разработка программы и методики аттестационных испытаний;
  • подачу и рассмотрение заявки на аттестацию;
  • предварительное ознакомление с аттестуемым объектом;
  • испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
  • заключение договоров на аттестацию;
  • проведение аттестационных испытаний объекта информатизации;
  • оформление, регистрация и выдача "Аттестата соответствия";
  • осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
  • рассмотрение апелляций[33].

Испытания, в процессе которых производится оценка эффективности защищенности информации от несанкционированного доступа (c применением специализированного программного обеспечения). После окончания испытаний подготавливаются отчетные документы, на основании которых принимается решение об аттестации ИСПД.

Органы по аттестации объектов информатизации аккредитуются Гостехкомиссией России и получают от нее лицензию на право проведения аттестации объектов информатизации. Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры Гостехкомиссии России.

Аттестационные испытания предполагают проведение следующих проверок:

  • проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПД;
  • проверка ИСПД на соответствие организационно-техническим требованиям по защите информации;
  • испытания ИСПД на соответствие требованиям по защите информации от несанкционированного доступа.

Результатом аттестации являются:

  • Протокол аттестационных испытаний;
  • Заключение по результатам аттестационных испытаний;
  • Аттестат соответствия на ИСПД (выдается в случае положительного Заключения);
  • Акт о переводе СЗПД в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПД).

Следует указать, что если заявитель пожелает только аттестовать ИСПД как объект информатизации, то пока действуют традиционные нормативные требования по аттестации объектов информатизации (СТР-К), в которых обрабатывается конфиденциальная информация.

10.4.Лицензирование деятельности по защите персональных данных

Для проведения деятельности по защите ПД операторы должны получить лицензию в соответствии с Постановлением правительства РФ "Об организации лицензирования отдельных видов деятельности" от 26.01.2006 г. Это требование касается обработки ПД в ИСПД 1, 2 класса и распределенных информационных систем 3 класса. Лицензирование деятельности по технической защите информации осуществляет ФСТЭК России. Порядок лицензирования деятельности определяется "Положением о лицензировании деятельности по технической защите конфиденциальной информации".

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

  1. наличие в штате соискателя лицензии специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
  2. наличие у соискателя лицензии помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
  3. наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
  4. использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
  5. использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;
  6. наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю[35].

Для получения лицензии соискатель направляет в ФСТЭК следующие документы:

  1. заявление на предоставление лицензии;
  2. копии документов, подтверждающих квалификацию специалистов;
  3. копии документов, подтверждающих право соискателя на помещения (например, свидетельство о собственности или договор аренды);
  4. копии аттестатов соответствия защищаемых помещений требованиям безопасности;
  5. копия технического паспорта АС;
  6. копии документов, подтверждающих право использования программных средств;
  7. сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о проверке контрольно-измерительного оборудования;
  8. сведения о том, что соискатель имеет все нормативно- правовые акты, нормативно-методические и методические документы по вопросам технической защиты информации.

Лицензия выдается на 5 лет и по окончании срока действия может быть продлена.

< Лекция 9 || Лекция 10 || Лекция 11 >
Кирсан Стёпкин
Кирсан Стёпкин

Здравствуйте, насколько актуальным является курс "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных". По прежнему ли курс соответствует ФСТЭК России?

Михаил Петренко
Михаил Петренко

Курс по персональным данным требует актуализации, идут ссылки на акты, прекратившие действие 10-12 лет назад. Это попросту вводит в заблуждение. И речь не о теории, там прямо по тексту ссылки на недействующие акты и их требования. В частности в 1 модуле.