Сертификация - это просто ?

2,202 views

Published on

Никулин М.Ю.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,202
On SlideShare
0
From Embeds
0
Number of Embeds
371
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Сертификация - это просто ?

  1. 1. Сертификация – это просто? Михаил Никулин Директор департамента тестирования и сертификации
  2. 2. Сертификация и лицензирование• Лицензирование – разрешение наопределённый вид деятельности• Сертификация – процесс подтверждениясоответствия, посредством которой независимаяот изготовителя (продавца, исполнителя) ипотребителя (покупателя) организацияудостоверяет в письменной форме (сертификат),что продукция соответствует установленнымтребованиям. 2
  3. 3. Сертификация и аттестация• Сертификация продукта – процесс подтверждениясоответствия, посредством которой независимая отизготовителя (продавца, исполнителя) и потребителя(покупателя) организация удостоверяет в письменнойформе (Сертификат), что продукция соответствуетустановленным требованиям• Аттестация объекта информатизации – комплексорганизационно-технических мероприятий, в результатекоторых посредством специального документа -"Аттестата соответствия" подтверждается, что объектсоответствует требованиям стандартов или иныхнормативно-технических документов по безопасностиинформации, утвержденных ФСТЭК России 3
  4. 4. Обязательная или добровольная?• Положение о сертификации СЗИ:– Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение…– В остальных случаях сертификация носит добровольный характер. 4
  5. 5. Системы сертификации СЗИ Добровольные системы сертификации 5
  6. 6. Виды сертификационных испытаний• Функциональное BlackBox-тестирование• проводится на соответствие либо одному из руководящих документов (например, для межсетевых экранов), либо на соответствие реальных и декларированных в документации функциональных возможностей.• Анализ исходных текстов на предметотсутствия недекларированных возможностей• испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации. 6
  7. 7. Виды сертификационных испытаний• Функциональное тестирование: – На соответствие классу защищенности от несанкционированного доступа (НСД) – по РД Гостехкомиссии России – На соответствие техническим условиям – На соответствие заданию по безопасности (по «Общим критериям») – На соответствие требованиям к криптографическим СЗИ (ФСБ России)• Анализ исходных текстов: – На соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 7
  8. 8. Руководящие документы ФСТЭК России• АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992).• СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992).• СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997).• Безопасные информационные технологии. Критерии оценки безопасности информационных технологий (2002).• Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). 8
  9. 9. Требования к СЗИ• Конфиденциально (служебная, коммерческая тайна и персональные данные): – АС: 3Б, 2Б, 1Г и выше – МЭ: до 4 класса защищенности (до 3 – для ПД) – СВТ: до 5 класса защищенности – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ• Гостайна: – АС: 3А, 2А, 1В-1А – МЭ: не ниже 3 класса защищенности – СВТ: не ниже 4 класса защищенности – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ 9
  10. 10. Сертификация по ТУ или ЗБПрименяется для средств защитыинформации, не укладывающихся врамки традиционных руководящихдокументов Гостехкомиссии РФ, такихкак:– Антивирусные средства– Системы обнаружения и предотвращения вторжений– Системы анализа защищенности–… 10
  11. 11. Схемы проведения сертификационных испытаний• Единичный экземпляр:• Партия:• Серийное производство: 11
  12. 12. Участники сертификационного процесса Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Оператор)Сертификат Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК) Материалы для Заключение проведения испытанийРешение Орган по сертификации Материалы испытаний Испытательная лаборатория 12
  13. 13. Требования к участникам процесса сертификации• Заявитель – лицензия на деятельность поразработке (производству) средств защитыконфиденциальной информации.• Испытательная лаборатория – аттестатаккредитации испытательной лаборатории.• Орган по сертификации – аттестатаккредитации органа по сертификации. 13
  14. 14. Необходимость сертификации в ИСПДнПоложение об обеспечении безопасности ПДн приих обработке в ИСПДн (Постановлениеправительства РФ №781)Положение об обеспечении безопасности ПДн приих обработке в ИСПДн (Приказ ФСТЭК России №58)Методические рекомендации по обеспечению спомощью криптосредств безопасности ПДн при ихобработке в ИСПДн с использованием средствавтоматизации (ФСБ России)…. 14
  15. 15. Требования к СЗИ в ИСПДнСредства защиты информации отнесанкционированного доступа (РД СВТ + РДНДВ)Средства межсетевого экранирования (РД МЭ +РД НДВ)Средства антивирусной защиты (РД НДВ + ТУ)Средства криптографической защитыинформации (по требованиям ФСБ)Системы обнаружения и предотвращениявторжений (РД НДВ + ТУ) 15
  16. 16. Наш опыт• Более 300 сертификатов в различных системах сертификации.• Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа.• Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 16
  17. 17. Наши зарубежные клиенты 17
  18. 18. Михаил Никулин ЗАО «НПО» «Эшелон»Директор департамента E-mail: m.nikulin@npo-echelon.ru тестирования и сертификации Тел.: +7(495) 645-38-09

×