Your SlideShare is downloading. ×
Information Security Certification process
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Information Security Certification process

2,310
views

Published on

Published in: Business

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,310
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ОСНОВЫ СЕРТИФИКАЦИИ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
    Марков Алексей Сергеевич
    кандидат технических наук,
    с.н.с, CISSP, SBCI
    Учебный курс «Сертификация программного обеспечения по требованиям безопасности информации» - Учебный центр «Эшелон» Лекция 1. Часть 1.
  • 2. ОСНОВЫ СЕРТИФИКАЦИИ ПРОГРАММНЫХ СЗИ
    Часть 1. Сертификация средств защиты информации
    Часть 2. Системы сертификации ФСТЭК России, ФСБ России и Минобороны России
    Часть 3. Направления развития
  • 3. АКТУАЛЬНОСТЬ ВОПРОСОВ СЕРТИФИКАЦИИ
    Угрозы информационной безопасности и уязвимости ресурсов
    Новые законодательные, нормативно-методические документы и требования
    Становление правового поля и активизация различных регуляторов
    Накопленный в испытательной лаборатории опыт в области сертификации
    Сертификационные войны
  • 4. ИНЦИДЕНТЫ В ОБЛАСТИ СЕРТИФИКАЦИИ
    Регуляторы приходят в испытательные лаборатории в случае инцидентов
    Несовпадение контрольных сумм – проверка на местах
    Одни лаборатории находят – другие нет!
    Наказание: отзыв аттестатов аккредитаций органов и испытательных лабораторий
    Фальшивки и подтверждение: реестры сертификатов и письма
    Рекламные и ошибочные сертификаты
  • 5. Виды и системы сертификации
  • 6. ЧТО ТАКОЕ СЕРТИФИКАЦИЯ?
    Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров
    (ФЗ-184)
    Сертификация продукции - процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям.
    (Постановление Госстандарта РФ 26)
  • 7. ОЦЕНКА СООТВЕТСТВИЯ И СЕРТИФИКАЦИЯ
    Оценка соответствия: - добровольная сертификации, - обязательная сертификация- декларирование соответствия
    - государственный контроль (надзор)
    Сертификация:
    - продукции
    - систем
    - систем менеджмента
    - услуг
    Сертификация качества и сертификация средств защиты информации
    Аттестация объектов информатизации и контроль встраивания
  • 8. ВИДЫ СЕРТИФИКАЦИИ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ
    • Сертификация продукции СЗИ, СВТ, МЭ, ПО СЗИ, СЗПДн, СКЗИ, ПЗ
    • 9. Сертификация систем АС
    • 10. Сертификация систем менеджмента СМК, СУИБ
    • 11. Сертификация услуг
    • 12. Аттестация объектов информатизацииАС, ИСПДн
  • СИСТЕМЫ ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
    Федеральные органы по сертификации СЗИ:
    - Минобороны России
    - ФСБ России (ФСБ и б.ФАПСИ)
    - ФСТЭК России (б. Гостехкомисия России)
    - СВР России
    (Постановление Правительства РФ 608)
  • 13. СИСТЕМЫ СЕРТИФИКАЦИИ СЗИ
    Системы обязательной сертификациипо требованиям безопасности информацииМинобороны России (ВС РФ)
    СВР России
    ФСБ России (СКЗИ, СЗИ-ГТ)
    ФСТЭК России
    Система добровольной сертификации по требованиям безопасности информацииАйТиСертифика
    С ф е р ы п р и м е н е н и я
    вид тайнысфера компетенции требования заказчика неформализованные требования
  • 14. ЗАКОНОДАТЕЛЬНО-ПРАВОВЫЕ ОСНОВЫ
    Законодательные акты Российской Федерации
    Руководящие, нормативные, нормативно-методические, специальные, методические документы и приказы
    Национальные стандарты
    Международные стандарты
    Стандарты предприятия
  • 15. ЗАКОНОДАТЕЛЬНЫЕ АКТЫ
    Пр.1895 Президента РФ (Доктрина ИБ РФ)
    Распоряжение Правительства РФ 1244-р (Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 г.)
    ФЗ-5485-I «О государственной тайне»
    ФЗ-1 «Об электронной цифровой подписи»
    ФЗ-184 «О техническом регулировании»
    КоАП
    УП 351 «О мерах по обеспечению ИБ РФ при использовании ИТК международного информационного обмена»
    УП 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств…»
    ПП 608 (Положение о сертификации СЗИ)
    ПП 781 (Положение об обеспечении безопасности ПДн….) и др.
  • 16. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ
    Сайт ФСТЭК России:
    http://www.fstec.ru/_spravs/_gstan.htm
    http://www.fstec.ru/_docs/_perech2.htm
    ГОСТ Р 50739-95. СВТ. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России
    ГОСТ Р 50922-96. ЗИ. Основные термины и определения. Госстандарт России
    ГОСТ Р 51188-98. ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России
    ГОСТ Р 51275-99. ЗИ. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России
    ГОСТ Р ИСО 7498-1-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России
    ГОСТ Р ИСО 7498-2-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России
    ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Часть 2. Часть 3.
  • 17. СТАНДАРТЫ ВР И АСЗИ
    ГОСТ ВР 15.002-2003
    ГОСТ Р 51189. Порядок разработки программных средств систем вооружения, Приложение В. – сертификат является обязательным документом в комплекте поставки всех изделий
    ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении, п.4.15. – обязательность сертификации СЗИ
  • 18. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ ГОСТ Р
    Сайт Ростехрегулирования: www.gost.ru/wps/portal/pages.CatalogOfStandarts
    ГОСТ Р 40.003-2008 Система сертификации ГОСТ Р. Регистр систем качества. Порядок сертификации СМК на соответствие ГОСТ Р ИСО 9001-2008 (ИСО 9001:2008)
    ГОСТ Р 14.11-2005 Экологический менеджмент. Общие требования к органам, проводящим оценку и сертификацию/регистрацию СЭМ (ИСО/МЭК 66)
    ГОСТ Р 51000.6-2008 Общие требования к аккредитации органов по сертификации продукции и услуг
    ГОСТ Р ИСО/МЭК 65-2000 Общие требования к органам по сертификации продукции
    ГОСТ Р ИСО/МЭК 17021-2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента
    ГОСТ Р 40.002-2000 Система сертификации ГОСТ Р. Регистр систем качества. Основные положения
    ГОСТ Р 50460-92 Знак соответствия при обязательной сертификации. Форма, размеры и технические требования
    ГОСТ Р 51171-98 Качество служебной информации. Правила предъявления ИТ на сертификацию
    ГОСТ Р 51169-98 Качество служебной информации. Система сертификации ИТ в области качества служебной информации. Термины и определения
    ГОСТ Р 40.101-95 Государственная регистрация систем добровольной сертификации и их знаков соответствия
    ГОСТ Р 40.001-95 Правила по проведению сертификации СК в РФ
  • 19. ТРЕБОВАНИЯ К ОРГАНАМ И ЛАБОРАТИРИЯМ
    ГОСТ Р 14.11-2005 Экологический менеджмент. Общие требования к органам, проводящим оценку и сертификацию/регистрацию СЭМ (ИСО/МЭК 66)
    ГОСТ Р 51000.6-2008 Общие требования к аккредитации органов по сертификации продукции и услуг
    ГОСТ Р ИСО/МЭК 65-2000 Общие требования к органам по сертификации продукции
    ГОСТ Р ИСО/МЭК 17021-2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента
    ГОСТ Р ИСО/МЭК 17025-2006. Общие требования к компетентности испытательных и калибровочных лабораторий.
    Р 50.4.003-2000. Рекомендации но аккредитации. Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий.
  • 20. НОРМАТИВНЫЕ, РУКОВОДЯЩИЕ, НОРМАТИВНО-МЕТОДИЧЕСКИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСТЭК РОССИИ И ФСБ РОССИИ
  • 21. Базовые документы ФСТЭК России (Гостехкомиссии)
    • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации.
    • 22. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.
    • 23. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации.
    • 24. Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
    • 25. Безопасные информационные технологии. Критерии оценки безопасности информационных технологий.
    • 26. Положение о методах и способах защиты информации в информационных системах персональных данных.
    • 27. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры.
    • 28. «АСУ ТП…» и другие
  • Обязательность сертификации
  • 29. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИ
    Государственный информационный ресурс
    - государственная тайна
    - информация, ограниченного доступа (виды тайн)
    Негосударственный информационный ресурс
    - конфиденциальная информация - в случае аттестации ОИ, КВО, ПОО, ЭОО.., «кредитных историй» или в соответствии с стандартом организации (федеральные компании и др.)
    - конфиденциальная информация, обрабатываемая в игровых автоматах (на отсутствие НДВ)
    - персональные данные
  • 30. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИ
  • 31. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИ
  • 32. ОБЯЗАТЕЛЬНОСТЬ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
    Оценка соответствия осуществляется в формах обязательной сертификации..
    (ПП 330, п.6)
    Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации.
    (СТР-К, п.2.16)
  • 33. ОБЯЗАТЕЛЬНОСТЬ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
    Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
    п.5. Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ПП 781)
  • 34. Ответственность
  • 35. КОГО НАКАЖУТ?
    1. Владелец системы (Оператор)
    2. Уполномоченное (по договору) оператором лицо
    3. Разработчик
  • 36. ОСНОВАНИЕ
    Нарушения по использованию несертифицированных средств
    ФЗ-184 «О техническом регулировании»
    ФЗ-1 «Об электронной цифровой подписи»
    ФЗ-152 «О персональных данных»
    КоАП
    Нарушения, приведшие к утрате и ущербу
    УК РФ
    КоАП
  • 37. КОДЕКС РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
    Ст.13. Административные правонарушения
    в области связи и информации
    Статья 13.6. Использование несертифицированных средств связи либо предоставление несертифицированных услуг связи
     
    Использование на сетях связи несертифицированных средств связи либо предоставление несертифицированных услуг связи, если законом предусмотрена их обязательная сертификация, -
    влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей с конфискациейнесертифицированных средств связи либо без таковой; на должностных лиц - от трех тысяч до четырех тысяч рублей с конфискациейнесертифицированных средств связи либо без таковой; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией несертифицированных средств связи либо без таковой
  • 38. КОДЕКС РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
    Статья 13.12. Нарушение правил защиты информации
    2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации
    3. Нарушение условий, предусмотренных лицензией…
    4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну...
    5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
    …. административное приостановление деятельности на срок до девяноста суток.
    Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.
  • 39. УГОЛОВНЫЙ КОДЕКС РФ
    Ст. 171. Незаконное предпринимательство. Осуществление предпринимательской деятельности … без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам наказывается штрафом в размере до 300 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо обязательными работами на срок от 180 до 240 часов, либо арестом на срок от 4 до 6 месяцев.
  • 40. Ответственность за нарушения, которые могут быть связанны с использованием СЗИ
    Уголовный кодекс РФ
    Гл. 33. Преступления против военной службы: ст. 340, 347, 349-352 (утрата, нарушение правил и т.д.)
    Гл. 32. Преступления против порядка управления: ст.320 (разглашение сведений..)
    Гл. 31. Преступления против правосудия: ст.310, 311 (разглашение..)
    Гл. 30. Преступления против государственной власти…: ст. 293 (халатность)
    Гл. 29. Преступления против основ Конституционного строя и безопасности государства: ст.283, 284 (разглашение, утрата документов по гостайне)
    Гл. 28.Преступления в сфере компьютерной информации
    Гл. 27. Преступления против безопасности движения и эксплуатации транспорта
    Гл. 26. Экологические преступления
    Гл. 24. Преступления против общественной безопасности: ст.217 (нарушение правил безопасности на взрывоопасных объектах)
    Гл. 22. Преступления в сфере экономической деятельности: ст.178, 183 (условия.., разглашения тайн)
    Гл. 19. Преступления против Конституционных прав и свобод человека и гражданина
    и др.
  • 41. Участники и порядок сертификации
  • 42. ВАЖНЫЕ МОМЕНТЫ СЕРТИФИКАЦИИ
    • Участники
    • 43. Схемы сертификации
    • 44. Виды испытания
    • 45. Ограничения на использование продукта и ТУ
    • 46. Знак соответствия. Документ соответствия
    • 47. Продление, приостановление, пересертификация
  • УЧАСТНИКИ
    Федеральный орган
    Аккредитованные (отраслевые, ведомственные) органы сертификации
    Аккредитованные испытательные лаборатории
    Заявитель (оператор), разработчик, изготовитель,
    Эксперты органа сертификации
  • 48. СХЕМЫ СЕРТИФИКАЦИИ
    ГОСТ Р: 10 видов схем
    СЗИ: 2 (3) схемы
    1 - типовой образец
    2 - типовой образец + инспекционный контроль (ИК)
    2а - анализ производства + типовой образец + ИК
    3 - типовой образец + ИК (до отправки потребителю)
    3а - анализ производства ++
    4 - комбинация 2+3 (ИК до и после)
    5 - 4 + сертификация производства или сертификация СМК
    6 - если есть СМК, то принимается декларация
    7 - партия (делается выборка)
    8 - вся партия
    9 - декларация
    10 декларация + ИК
    10а анализ производства + декларация + ИК
  • 49. ЧТО В СЕРТИФИКАТЕ?
    Испытания:
    - на соответствие нормативным документам
    - на соответствие документации (ТУ)
    Рекламный сертификат или нет? С НДВ или без?
    Приписки: «может быть использована» АС, ИСПДн.
  • 50. ОГРАНИЧЕНИЯ И УСЛОВИЯ
    Ограничения на использование продукта:
    • Приложение к сертификату
    • 51. ТУ
    Где контрольные суммы?
    Номера, знак соответствия, даты
    Реестры
  • 52. ЛИЦЕНЗИРОВАНИЕ
    Лицензия на разработку и производство
    Лицензия на сертификацию и сертификационные испытаний
    Аттестат аккредитации испытательной лаборатории и органа по сертификации
    Условия и нормативная база
    ФСТЭК - ГТ/ТЗКИ
    Минобороны - ГТ + лицензия на установление знака соответствия
    ФСБ России - ГТ/СКЗИ
  • 53. ГОСУДАРСТВЕННЫЕ РЕЕСТРЫ
    Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России)
    http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
    Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну (ФСБ России)
    http://clsz.fsb.ru/certification.htm
  • 54. ТЕХНИЧЕСКИЕ КОМИТЕТЫ
    ТК 362 Защита информации
    ТК 026 Криптографическая защита информации
    ТК 22, Подкомитет 127 Методы и средства обеспечения безопасности информационных технологий
  • 55. Конец 1-ой части:
    Угрозамибезопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться:
    - использование несертифицированных отечественных и зарубежных средств защиты информации ...
    Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

    • совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности
    Доктринаинформационной безопасности Российской Федерацииот 9 сентября 2000 г. № Пр-1895