Uploaded bycnpo
1,331 views

Сертификация - это просто ?

Документ освещает процесс сертификации и лицензирования в области защиты информации, поясняя отличия между обязательной и добровольной сертификацией. Описываются виды сертификационных испытаний, требования к средствам защиты информации, а также участники сертификационного процесса. Также приводится информация о необходимости сертификации в соответствии с российскими законодательными актами и требованиями к участникам процесса.

Embed presentation

Сертификация – это просто? Михаил Никулин Директор департамента тестирования и сертификации
Сертификация и лицензирование • Лицензирование – разрешение на определённый вид деятельности • Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
Сертификация и аттестация • Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям • Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России 3
Обязательная или добровольная? • Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 4
Системы сертификации СЗИ Добровольные системы сертификации 5
Виды сертификационных испытаний • Функциональное BlackBox-тестирование • проводится на соответствие либо одному из руководящих документов (например, для межсетевых экранов), либо на соответствие реальных и декларированных в документации функциональных возможностей. • Анализ исходных текстов на предмет отсутствия недекларированных возможностей • испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации. 6
Виды сертификационных испытаний • Функциональное тестирование: – На соответствие классу защищенности от несанкционированного доступа (НСД) – по РД Гостехкомиссии России – На соответствие техническим условиям – На соответствие заданию по безопасности (по «Общим критериям») – На соответствие требованиям к криптографическим СЗИ (ФСБ России) • Анализ исходных текстов: – На соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 7
Руководящие документы ФСТЭК России • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Безопасные информационные технологии. Критерии оценки безопасности информационных технологий (2002). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). 8
Требования к СЗИ • Конфиденциально (служебная, коммерческая тайна и персональные данные): – АС: 3Б, 2Б, 1Г и выше – МЭ: до 4 класса защищенности (до 3 – для ПД) – СВТ: до 5 класса защищенности – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ • Гостайна: – АС: 3А, 2А, 1В-1А – МЭ: не ниже 3 класса защищенности – СВТ: не ниже 4 класса защищенности – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ 9
Сертификация по ТУ или ЗБ Применяется для средств защиты информации, не укладывающихся в рамки традиционных руководящих документов Гостехкомиссии РФ, таких как: – Антивирусные средства – Системы обнаружения и предотвращения вторжений – Системы анализа защищенности –… 10
Схемы проведения сертификационных испытаний • Единичный экземпляр: • Партия: • Серийное производство: 11
Участники сертификационного процесса Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Оператор) Сертификат Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК) Материалы для Заключение проведения испытаний Решение Орган по сертификации Материалы испытаний Испытательная лаборатория 12
Требования к участникам процесса сертификации • Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. • Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. • Орган по сертификации – аттестат аккредитации органа по сертификации. 13
Необходимость сертификации в ИСПДн Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Постановление правительства РФ №781) Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Приказ ФСТЭК России №58) Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации (ФСБ России) …. 14
Требования к СЗИ в ИСПДн Средства защиты информации от несанкционированного доступа (РД СВТ + РД НДВ) Средства межсетевого экранирования (РД МЭ + РД НДВ) Средства антивирусной защиты (РД НДВ + ТУ) Средства криптографической защиты информации (по требованиям ФСБ) Системы обнаружения и предотвращения вторжений (РД НДВ + ТУ) 15
Наш опыт • Более 300 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 16
Наши зарубежные клиенты 17
Михаил Никулин ЗАО «НПО» «Эшелон» Директор департамента E-mail: m.nikulin@npo-echelon.ru тестирования и сертификации Тел.: +7(495) 645-38-09

More Related Content

PPTX
Certification
bycnpo
 
PDF
Методологии аудита информационной безопасности
byPositive Hack Days
 
PPTX
Особенности сертификации зарубежных продуктов
bycnpo
 
PPTX
Сканер-ВС. Сертифицированный инструмент для этичного хакера
bycnpo
 
PPTX
Audit intro
bycnpo
 
PDF
Общий план комплексного аудита информационной безопасности
bygrishkovtsov_ge
 
PPTX
Licensing
bycnpo
 
PPT
Politics
bycnpo
 
Certification
bycnpo
 
Методологии аудита информационной безопасности
byPositive Hack Days
 
Особенности сертификации зарубежных продуктов
bycnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
bycnpo
 
Audit intro
bycnpo
 
Общий план комплексного аудита информационной безопасности
bygrishkovtsov_ge
 
Licensing
bycnpo
 
Politics
bycnpo
 

What's hot

PDF
Практические аспекты проведения аудита информационной безопасности компании 2...
byDialogueScience
 
PPTX
этичный хакинг и тестирование на проникновение (Publ)
byTeymur Kheirkhabarov
 
PPTX
Марат Хазиев (Астерит) - Аудит информационной безопасности
byExpolink
 
PDF
Кто такой специалист по иб
byTeymur Kheirkhabarov
 
PPT
Что такое пентест
byDmitry Evteev
 
PDF
тест на проникновение
bya_a_a
 
DOC
PT Penetration Testing Report (sample)
byDmitry Evteev
 
PPTX
Тестирование на проникновение
byУчебный центр "Эшелон"
 
PDF
Что значит сертификация для разработчика
byAndrey Fadin
 
PPTX
Information Security Certification process
byУчебный центр "Эшелон"
 
PDF
seminar_fz-152_dataline(1)
byIgnat Dydyshko
 
PPT
Правила аудита
byОтшельник
 
PPT
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
byNAUMEN. Информационные системы управления растущим бизнесом
 
DOC
Pentest Report Sample
byTraining center "Echelon"
 
PDF
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
byКРОК
 
PDF
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
byaspectspb
 
PPTX
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
byLETA IT-company
 
PDF
ИБ Стратегия обороны. Серия №4 ч.2
byКомпания УЦСБ
 
Практические аспекты проведения аудита информационной безопасности компании 2...
byDialogueScience
 
этичный хакинг и тестирование на проникновение (Publ)
byTeymur Kheirkhabarov
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
byExpolink
 
Кто такой специалист по иб
byTeymur Kheirkhabarov
 
Что такое пентест
byDmitry Evteev
 
тест на проникновение
bya_a_a
 
PT Penetration Testing Report (sample)
byDmitry Evteev
 
Тестирование на проникновение
byУчебный центр "Эшелон"
 
Что значит сертификация для разработчика
byAndrey Fadin
 
Information Security Certification process
byУчебный центр "Эшелон"
 
seminar_fz-152_dataline(1)
byIgnat Dydyshko
 
Правила аудита
byОтшельник
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
byNAUMEN. Информационные системы управления растущим бизнесом
 
Pentest Report Sample
byTraining center "Echelon"
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
byКРОК
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
byaspectspb
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
byLETA IT-company
 
ИБ Стратегия обороны. Серия №4 ч.2
byКомпания УЦСБ
 

Similar to Сертификация - это просто ?

PDF
«1С-Битрикс» и сертификация ФСТЭК России
by1С-Битрикс
 
PPTX
Аттестация
bypesrox
 
PDF
ГОСТ Р ИСО/МЭК 17799-2005
bySergey Erohin
 
PDF
Аттестация объектов информатизации по требованиям безопасности информаци
bySoftline
 
PDF
Исследовательская лаборатория фирмы «анкад»
byAncud Ltd.
 
PPT
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
PPTX
Сертификация и персональные данные
byУчебный центр "Эшелон"
 
PDF
Направления совершенствования сертификации средств защиты информации
byjournalrubezh
 
PDF
Лицензирование деятельности в области защиты информации
byBulat Shamsutdinov
 
DOCX
О сертификации ПО по требованиям безопасности информации в системе сертификац...
byОлег Габов
 
PPT
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
bySQALab
 
PDF
Текущее состояние и тенденции развития НПА по ИБ
byCisco Russia
 
PDF
Об оценке соответствия средств защиты информации
byCisco Russia
 
PDF
Attestation of personal data protection systems
byВячеслав Аксёнов
 
PDF
Нормативные акты, требующие оценки соответствия средств защиты
byAleksey Lukatskiy
 
PDF
Cisco 7 key data security trends
byTim Parson
 
PDF
Надо ли применять сертифицированные средства защиты ПДн
byAleksey Lukatskiy
 
PDF
пр Лицензия ТЗКИ на мониторинг Small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPT
14
byОтшельник
 
PDF
Clouds security (responsibility and information relations)
byВячеслав Аксёнов
 
«1С-Битрикс» и сертификация ФСТЭК России
by1С-Битрикс
 
Аттестация
bypesrox
 
ГОСТ Р ИСО/МЭК 17799-2005
bySergey Erohin
 
Аттестация объектов информатизации по требованиям безопасности информаци
bySoftline
 
Исследовательская лаборатория фирмы «анкад»
byAncud Ltd.
 
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
Сертификация и персональные данные
byУчебный центр "Эшелон"
 
Направления совершенствования сертификации средств защиты информации
byjournalrubezh
 
Лицензирование деятельности в области защиты информации
byBulat Shamsutdinov
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
byОлег Габов
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
bySQALab
 
Текущее состояние и тенденции развития НПА по ИБ
byCisco Russia
 
Об оценке соответствия средств защиты информации
byCisco Russia
 
Attestation of personal data protection systems
byВячеслав Аксёнов
 
Нормативные акты, требующие оценки соответствия средств защиты
byAleksey Lukatskiy
 
Cisco 7 key data security trends
byTim Parson
 
Надо ли применять сертифицированные средства защиты ПДн
byAleksey Lukatskiy
 
пр Лицензия ТЗКИ на мониторинг Small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
14
byОтшельник
 
Clouds security (responsibility and information relations)
byВячеслав Аксёнов
 

More from cnpo

PDF
титов российские Siem системы миф или реальность v03
bycnpo
 
PPTX
Siem
bycnpo
 
PPTX
Certification
bycnpo
 
PDF
защита виртуальных сред с помощью сдз Rev01 (short)
bycnpo
 
PPTX
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
bycnpo
 
PPTX
Russian information security market
bycnpo
 
PPTX
МЭ и СОВ Рубикон
bycnpo
 
PPTX
Rubicon
bycnpo
 
PPT
Политики ИБ
bycnpo
 
PDF
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
bycnpo
 
PPTX
Net topology
bycnpo
 
PPTX
Почему нужна лицензия
bycnpo
 
PPTX
P dn docs
bycnpo
 
PDF
Эшелонированная оборона 2011
bycnpo
 
PPTX
Net graph
bycnpo
 
PPT
Social engineering
bycnpo
 
PDF
SHA1 weakness
bycnpo
 
титов российские Siem системы миф или реальность v03
bycnpo
 
Siem
bycnpo
 
Certification
bycnpo
 
защита виртуальных сред с помощью сдз Rev01 (short)
bycnpo
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
bycnpo
 
Russian information security market
bycnpo
 
МЭ и СОВ Рубикон
bycnpo
 
Rubicon
bycnpo
 
Политики ИБ
bycnpo
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
bycnpo
 
Net topology
bycnpo
 
Почему нужна лицензия
bycnpo
 
P dn docs
bycnpo
 
Эшелонированная оборона 2011
bycnpo
 
Net graph
bycnpo
 
Social engineering
bycnpo
 
SHA1 weakness
bycnpo
 

Сертификация - это просто ?

  • 1.
    Сертификация – этопросто? Михаил Никулин Директор департамента тестирования и сертификации
  • 2.
    Сертификация и лицензирование •Лицензирование – разрешение на определённый вид деятельности • Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
  • 3.
    Сертификация и аттестация •Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям • Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России 3
  • 4.
    Обязательная или добровольная? •Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 4
  • 5.
    Системы сертификации СЗИ Добровольные системы сертификации 5
  • 6.
    Виды сертификационных испытаний • Функциональное BlackBox-тестирование • проводится на соответствие либо одному из руководящих документов (например, для межсетевых экранов), либо на соответствие реальных и декларированных в документации функциональных возможностей. • Анализ исходных текстов на предмет отсутствия недекларированных возможностей • испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации. 6
  • 7.
    Виды сертификационных испытаний • Функциональное тестирование: – На соответствие классу защищенности от несанкционированного доступа (НСД) – по РД Гостехкомиссии России – На соответствие техническим условиям – На соответствие заданию по безопасности (по «Общим критериям») – На соответствие требованиям к криптографическим СЗИ (ФСБ России) • Анализ исходных текстов: – На соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 7
  • 8.
    Руководящие документы ФСТЭК России • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Безопасные информационные технологии. Критерии оценки безопасности информационных технологий (2002). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). 8
  • 9.
    Требования к СЗИ •Конфиденциально (служебная, коммерческая тайна и персональные данные): – АС: 3Б, 2Б, 1Г и выше – МЭ: до 4 класса защищенности (до 3 – для ПД) – СВТ: до 5 класса защищенности – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ • Гостайна: – АС: 3А, 2А, 1В-1А – МЭ: не ниже 3 класса защищенности – СВТ: не ниже 4 класса защищенности – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ 9
  • 10.
    Сертификация по ТУили ЗБ Применяется для средств защиты информации, не укладывающихся в рамки традиционных руководящих документов Гостехкомиссии РФ, таких как: – Антивирусные средства – Системы обнаружения и предотвращения вторжений – Системы анализа защищенности –… 10
  • 11.
    Схемы проведения сертификационных испытаний • Единичный экземпляр: • Партия: • Серийное производство: 11
  • 12.
    Участники сертификационного процесса Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Оператор) Сертификат Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК) Материалы для Заключение проведения испытаний Решение Орган по сертификации Материалы испытаний Испытательная лаборатория 12
  • 13.
    Требования к участникам процесса сертификации • Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. • Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. • Орган по сертификации – аттестат аккредитации органа по сертификации. 13
  • 14.
    Необходимость сертификации в ИСПДн Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Постановление правительства РФ №781) Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Приказ ФСТЭК России №58) Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации (ФСБ России) …. 14
  • 15.
    Требования к СЗИв ИСПДн Средства защиты информации от несанкционированного доступа (РД СВТ + РД НДВ) Средства межсетевого экранирования (РД МЭ + РД НДВ) Средства антивирусной защиты (РД НДВ + ТУ) Средства криптографической защиты информации (по требованиям ФСБ) Системы обнаружения и предотвращения вторжений (РД НДВ + ТУ) 15
  • 16.
    Наш опыт • Более300 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 16
  • 17.
  • 18.
    Михаил Никулин ЗАО «НПО» «Эшелон» Директор департамента E-mail: m.nikulin@npo-echelon.ru тестирования и сертификации Тел.: +7(495) 645-38-09