Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
:Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
Сертификация средств защиты информации
19.2. Порядок сертификации продукции, используемой в целях защиты конфиденциальной информации
ФСТЭК России в соответствии с Указом Президента РФ "Вопросы Федеральной службы по техническому и экспортному контролю" является федеральным органом исполнительной власти, уполномоченным проводить работу по обязательной сертификации:
"организует в соответствии с законодательством Российской Федерации проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры"[145].
Средства защиты конфиденциальной информации, подлежащие сертификации в системе сертификации ФСТЭК:
- средства защиты информации от утечки по техническим каналам утечки информации, основные и вспомогательные технические средства и системы в защищенном исполнении
- средства защиты информации (технические, программные и программно-технические) от НСД
- средства контроля защищённости информации
- программные средства общего назначения со встроенными средствами защиты
- некриптографические средства защиты информации, передаваемой по сетям электросвязи
- системы и средства защиты информации, встроенные в средства связи.
ФСТЭК проводит сертификацию средств защиты информации в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации" и Постановлением Правительства N 608 "О сертификации средств защиты информации".
В "Положении о сертификации средств защиты информации по требованиям безопасности информации" перечень схем сертификации СЗИ расширен партией[146]:
- для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации;
- для партии средств защиты информации - проведение испытаний репрезентативной выборки образцов средств на соответствие требованиям по безопасности информации;
- для серийного производства средств защиты информации - проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению федерального органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе. По согласованию с федеральным органом по сертификации могут быть использованы и другие схемы сертификации, включая применяемые в международной практике.
Долгое время средства защиты информации сертифицировались на соответствие требованиям руководящих документов Гостехкомиссии России (РД) 90-х годов. В настоящее время ФСТЭК постепенно замещает использование РД профилями защиты. Разработка профилей защиты основана на национальном стандарте ГОСТ Р ИСО/МЭК 15408 - аналогом так называемых "Общих критериев". Например, для сертификации средств антивирусной защиты в соответствии с информационным сообщением ФСТЭК России от 30 июля 2012 г. N 240/24/3095 используются новые требования, основанные на профилях защиты. Требования к средствам антивирусной защиты утверждены приказом ФСТЭК России от 20 марта 2012 г. N 28 (зарегистрирован Минюстом России 3 мая 2012 г., рег. N 24045). Вступили данные требования в силу с 1 августа 2012 г.
На текущий момент разработаны профили защиты для антивирусных средств защиты, операционных систем, межсетевых экранов, средств контроля съемных машинных носителей информации, средств доверенной загрузки, систем обнаружения вторжений. С полным перечнем документов по сертификации средств защиты можно ознакомиться на сайте ФСТЭК: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty
Рассмотрим порядок действий по сертификации средств защиты информации в ФСТЭК России.
В общем виде процедура сертификации включает[141]:
- подачу и рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации;
- сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства;
- экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
- осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
- информирование о результатах сертификации средств защиты информации;
- рассмотрение апелляций.
Схема процесса приведена на рис. 19.1.
19.2.1. Подача заявки на сертификацию во ФСТЭК России
Заявка оформляется на бланке Заявителя и оформляется печатью. В заявке указываются:
- наименования заявителя
- адрес заявителя
- наименование продукции, которую Заявитель хочет сертифицировать
- перечень нормативных и методических документов, на соответствие требованиям которых заявителю необходимо сертифицировать свою продукцию
- схема сертификации (единичный образец продукции/партия из N экземпляров/серийное производство)
- испытательная лаборатория, в которой Заявитель хотел бы провести испытания
- дополнительные условия или сведения.
Заявитель указывает в заявке, что он обязуется:
- выполнять все условия сертификации;
- обеспечивать стабильность сертифицированных характеристик продукции, маркированной знаком соответствия;
- оплатить все расходы по проведению сертификации.
Заявитель должен иметь лицензию ФСТЭК на соответствующий вид деятельности!
Пример заявки на сертификацию программного комплекса представлен на рис. 19.2.