Successfully reported this slideshow.

Information Security Certification process

2,819 views

Published on

Published in: Business
  • Be the first to comment

Information Security Certification process

  1. 1. ОСНОВЫ СЕРТИФИКАЦИИ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ <br />Марков Алексей Сергеевич<br />кандидат технических наук,<br />с.н.с, CISSP, SBCI<br />Учебный курс «Сертификация программного обеспечения по требованиям безопасности информации» - Учебный центр «Эшелон» Лекция 1. Часть 1.<br />
  2. 2. ОСНОВЫ СЕРТИФИКАЦИИ ПРОГРАММНЫХ СЗИ<br />Часть 1. Сертификация средств защиты информации<br />Часть 2. Системы сертификации ФСТЭК России, ФСБ России и Минобороны России<br />Часть 3. Направления развития<br />
  3. 3. АКТУАЛЬНОСТЬ ВОПРОСОВ СЕРТИФИКАЦИИ<br />Угрозы информационной безопасности и уязвимости ресурсов<br />Новые законодательные, нормативно-методические документы и требования<br />Становление правового поля и активизация различных регуляторов<br />Накопленный в испытательной лаборатории опыт в области сертификации<br />Сертификационные войны<br />
  4. 4. ИНЦИДЕНТЫ В ОБЛАСТИ СЕРТИФИКАЦИИ<br />Регуляторы приходят в испытательные лаборатории в случае инцидентов<br />Несовпадение контрольных сумм – проверка на местах<br />Одни лаборатории находят – другие нет!<br />Наказание: отзыв аттестатов аккредитаций органов и испытательных лабораторий<br />Фальшивки и подтверждение: реестры сертификатов и письма<br />Рекламные и ошибочные сертификаты<br />
  5. 5. Виды и системы сертификации<br />
  6. 6. ЧТО ТАКОЕ СЕРТИФИКАЦИЯ?<br />Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров <br />(ФЗ-184)<br />Сертификация продукции - процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям.<br /> (Постановление Госстандарта РФ 26)<br />
  7. 7. ОЦЕНКА СООТВЕТСТВИЯ И СЕРТИФИКАЦИЯ<br />Оценка соответствия: - добровольная сертификации, - обязательная сертификация- декларирование соответствия<br />- государственный контроль (надзор)<br />Сертификация:<br />- продукции<br /> - систем<br /> - систем менеджмента<br />- услуг<br />Сертификация качества и сертификация средств защиты информации<br />Аттестация объектов информатизации и контроль встраивания<br />
  8. 8. ВИДЫ СЕРТИФИКАЦИИ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ<br /><ul><li> Сертификация продукции СЗИ, СВТ, МЭ, ПО СЗИ, СЗПДн, СКЗИ, ПЗ
  9. 9. Сертификация систем АС
  10. 10. Сертификация систем менеджмента СМК, СУИБ
  11. 11. Сертификация услуг
  12. 12. Аттестация объектов информатизацииАС, ИСПДн</li></li></ul><li>СИСТЕМЫ ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ<br />Федеральные органы по сертификации СЗИ:<br /> - Минобороны России<br /> - ФСБ России (ФСБ и б.ФАПСИ)<br /> - ФСТЭК России (б. Гостехкомисия России)<br />- СВР России <br />(Постановление Правительства РФ 608) <br />
  13. 13. СИСТЕМЫ СЕРТИФИКАЦИИ СЗИ<br />Системы обязательной сертификациипо требованиям безопасности информацииМинобороны России (ВС РФ) <br /> СВР России<br /> ФСБ России (СКЗИ, СЗИ-ГТ)<br /> ФСТЭК России<br />Система добровольной сертификации по требованиям безопасности информацииАйТиСертифика<br />С ф е р ы п р и м е н е н и я<br />вид тайнысфера компетенции требования заказчика неформализованные требования<br />
  14. 14. ЗАКОНОДАТЕЛЬНО-ПРАВОВЫЕ ОСНОВЫ<br />Законодательные акты Российской Федерации<br />Руководящие, нормативные, нормативно-методические, специальные, методические документы и приказы<br />Национальные стандарты<br />Международные стандарты<br />Стандарты предприятия<br />
  15. 15. ЗАКОНОДАТЕЛЬНЫЕ АКТЫ<br />Пр.1895 Президента РФ (Доктрина ИБ РФ) <br />Распоряжение Правительства РФ 1244-р (Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 г.)<br />ФЗ-5485-I «О государственной тайне» <br />ФЗ-1 «Об электронной цифровой подписи»<br />ФЗ-184 «О техническом регулировании»<br />КоАП<br />УП 351 «О мерах по обеспечению ИБ РФ при использовании ИТК международного информационного обмена»<br />УП 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств…»<br />ПП 608 (Положение о сертификации СЗИ)<br />ПП 781 (Положение об обеспечении безопасности ПДн….) и др.<br />
  16. 16. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ<br />Сайт ФСТЭК России:<br />http://www.fstec.ru/_spravs/_gstan.htm<br />http://www.fstec.ru/_docs/_perech2.htm<br />ГОСТ Р 50739-95. СВТ. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России<br />ГОСТ Р 50922-96. ЗИ. Основные термины и определения. Госстандарт России<br />ГОСТ Р 51188-98. ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России<br />ГОСТ Р 51275-99. ЗИ. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России<br />ГОСТ Р ИСО 7498-1-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России<br />ГОСТ Р ИСО 7498-2-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России<br />ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Часть 2. Часть 3. <br />
  17. 17. СТАНДАРТЫ ВР И АСЗИ <br />ГОСТ ВР 15.002-2003<br />ГОСТ Р 51189. Порядок разработки программных средств систем вооружения, Приложение В. – сертификат является обязательным документом в комплекте поставки всех изделий<br />ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении, п.4.15. – обязательность сертификации СЗИ<br />
  18. 18. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ ГОСТ Р<br />Сайт Ростехрегулирования: www.gost.ru/wps/portal/pages.CatalogOfStandarts<br />ГОСТ Р 40.003-2008 Система сертификации ГОСТ Р. Регистр систем качества. Порядок сертификации СМК на соответствие ГОСТ Р ИСО 9001-2008 (ИСО 9001:2008) <br /> ГОСТ Р 14.11-2005 Экологический менеджмент. Общие требования к органам, проводящим оценку и сертификацию/регистрацию СЭМ (ИСО/МЭК 66) <br /> ГОСТ Р 51000.6-2008 Общие требования к аккредитации органов по сертификации продукции и услуг <br /> ГОСТ Р ИСО/МЭК 65-2000 Общие требования к органам по сертификации продукции <br /> ГОСТ Р ИСО/МЭК 17021-2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента <br /> ГОСТ Р 40.002-2000 Система сертификации ГОСТ Р. Регистр систем качества. Основные положения <br /> ГОСТ Р 50460-92 Знак соответствия при обязательной сертификации. Форма, размеры и технические требования <br /> ГОСТ Р 51171-98 Качество служебной информации. Правила предъявления ИТ на сертификацию <br /> ГОСТ Р 51169-98 Качество служебной информации. Система сертификации ИТ в области качества служебной информации. Термины и определения <br /> ГОСТ Р 40.101-95 Государственная регистрация систем добровольной сертификации и их знаков соответствия <br /> ГОСТ Р 40.001-95 Правила по проведению сертификации СК в РФ<br />
  19. 19. ТРЕБОВАНИЯ К ОРГАНАМ И ЛАБОРАТИРИЯМ<br />ГОСТ Р 14.11-2005 Экологический менеджмент. Общие требования к органам, проводящим оценку и сертификацию/регистрацию СЭМ (ИСО/МЭК 66) <br /> ГОСТ Р 51000.6-2008 Общие требования к аккредитации органов по сертификации продукции и услуг <br /> ГОСТ Р ИСО/МЭК 65-2000 Общие требования к органам по сертификации продукции <br /> ГОСТ Р ИСО/МЭК 17021-2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента <br />ГОСТ Р ИСО/МЭК 17025-2006. Общие требования к компетентности испытательных и калибровочных лабораторий.<br /> Р 50.4.003-2000. Рекомендации но аккредитации. Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий.<br />
  20. 20. НОРМАТИВНЫЕ, РУКОВОДЯЩИЕ, НОРМАТИВНО-МЕТОДИЧЕСКИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСТЭК РОССИИ И ФСБ РОССИИ<br />
  21. 21. Базовые документы ФСТЭК России (Гостехкомиссии)<br /><ul><li>АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации.
  22. 22. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.
  23. 23. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации.
  24. 24. Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
  25. 25. Безопасные информационные технологии. Критерии оценки безопасности информационных технологий.
  26. 26. Положение о методах и способах защиты информации в информационных системах персональных данных.
  27. 27. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры.
  28. 28. «АСУ ТП…» и другие</li></li></ul><li>Обязательность сертификации<br />
  29. 29. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИ<br />Государственный информационный ресурс<br />- государственная тайна<br />- информация, ограниченного доступа (виды тайн) <br />Негосударственный информационный ресурс<br />- конфиденциальная информация - в случае аттестации ОИ, КВО, ПОО, ЭОО.., «кредитных историй» или в соответствии с стандартом организации (федеральные компании и др.)<br />- конфиденциальная информация, обрабатываемая в игровых автоматах (на отсутствие НДВ)<br />- персональные данные<br />
  30. 30. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИ<br />
  31. 31. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИ<br />
  32. 32. ОБЯЗАТЕЛЬНОСТЬ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ<br />Оценка соответствия осуществляется в формах обязательной сертификации..<br />(ПП 330, п.6)<br />Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации. <br />(СТР-К, п.2.16)<br />
  33. 33. ОБЯЗАТЕЛЬНОСТЬ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ<br />Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. <br />п.5. Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ПП 781)<br />
  34. 34. Ответственность<br />
  35. 35. КОГО НАКАЖУТ?<br />1. Владелец системы (Оператор)<br />2. Уполномоченное (по договору) оператором лицо<br />3. Разработчик<br />
  36. 36. ОСНОВАНИЕ<br />Нарушения по использованию несертифицированных средств<br />ФЗ-184 «О техническом регулировании»<br />ФЗ-1 «Об электронной цифровой подписи»<br />ФЗ-152 «О персональных данных»<br />КоАП<br />Нарушения, приведшие к утрате и ущербу<br />УК РФ<br />КоАП<br />
  37. 37. КОДЕКС РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ<br />Ст.13. Административные правонарушения<br />в области связи и информации<br />Статья 13.6. Использование несертифицированных средств связи либо предоставление несертифицированных услуг связи<br /> <br />Использование на сетях связи несертифицированных средств связи либо предоставление несертифицированных услуг связи, если законом предусмотрена их обязательная сертификация, -<br />влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей с конфискациейнесертифицированных средств связи либо без таковой; на должностных лиц - от трех тысяч до четырех тысяч рублей с конфискациейнесертифицированных средств связи либо без таковой; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией несертифицированных средств связи либо без таковой<br />
  38. 38. КОДЕКС РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ<br />Статья 13.12. Нарушение правил защиты информации <br />2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации<br />3. Нарушение условий, предусмотренных лицензией…<br />4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну...<br />5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -<br />…. административное приостановление деятельности на срок до девяноста суток.<br />Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.<br />
  39. 39. УГОЛОВНЫЙ КОДЕКС РФ<br />Ст. 171. Незаконное предпринимательство. Осуществление предпринимательской деятельности … без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам наказывается штрафом в размере до 300 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо обязательными работами на срок от 180 до 240 часов, либо арестом на срок от 4 до 6 месяцев.<br />
  40. 40. Ответственность за нарушения, которые могут быть связанны с использованием СЗИ<br />Уголовный кодекс РФ<br />Гл. 33. Преступления против военной службы: ст. 340, 347, 349-352 (утрата, нарушение правил и т.д.)<br />Гл. 32. Преступления против порядка управления: ст.320 (разглашение сведений..)<br />Гл. 31. Преступления против правосудия: ст.310, 311 (разглашение..)<br />Гл. 30. Преступления против государственной власти…: ст. 293 (халатность)<br />Гл. 29. Преступления против основ Конституционного строя и безопасности государства: ст.283, 284 (разглашение, утрата документов по гостайне)<br />Гл. 28.Преступления в сфере компьютерной информации<br />Гл. 27. Преступления против безопасности движения и эксплуатации транспорта<br />Гл. 26. Экологические преступления<br />Гл. 24. Преступления против общественной безопасности: ст.217 (нарушение правил безопасности на взрывоопасных объектах)<br />Гл. 22. Преступления в сфере экономической деятельности: ст.178, 183 (условия.., разглашения тайн)<br />Гл. 19. Преступления против Конституционных прав и свобод человека и гражданина<br />и др.<br />
  41. 41. Участники и порядок сертификации<br />
  42. 42. ВАЖНЫЕ МОМЕНТЫ СЕРТИФИКАЦИИ<br /><ul><li>Участники
  43. 43. Схемы сертификации
  44. 44. Виды испытания
  45. 45. Ограничения на использование продукта и ТУ
  46. 46. Знак соответствия. Документ соответствия
  47. 47. Продление, приостановление, пересертификация</li></li></ul><li>УЧАСТНИКИ<br />Федеральный орган<br />Аккредитованные (отраслевые, ведомственные) органы сертификации <br />Аккредитованные испытательные лаборатории<br />Заявитель (оператор), разработчик, изготовитель,<br />Эксперты органа сертификации<br />
  48. 48. СХЕМЫ СЕРТИФИКАЦИИ<br />ГОСТ Р: 10 видов схем<br />СЗИ: 2 (3) схемы<br />1 - типовой образец<br />2 - типовой образец + инспекционный контроль (ИК)<br />2а - анализ производства + типовой образец + ИК <br />3 - типовой образец + ИК (до отправки потребителю)<br />3а - анализ производства ++<br />4 - комбинация 2+3 (ИК до и после)<br />5 - 4 + сертификация производства или сертификация СМК<br />6 - если есть СМК, то принимается декларация<br />7 - партия (делается выборка)<br />8 - вся партия<br />9 - декларация<br />10 декларация + ИК<br />10а анализ производства + декларация + ИК<br />
  49. 49. ЧТО В СЕРТИФИКАТЕ?<br />Испытания: <br />- на соответствие нормативным документам<br />- на соответствие документации (ТУ) <br />Рекламный сертификат или нет? С НДВ или без?<br />Приписки: «может быть использована» АС, ИСПДн.<br />
  50. 50. ОГРАНИЧЕНИЯ И УСЛОВИЯ<br />Ограничения на использование продукта:<br /><ul><li>Приложение к сертификату
  51. 51. ТУ</li></ul>Где контрольные суммы?<br />Номера, знак соответствия, даты<br />Реестры<br />
  52. 52. ЛИЦЕНЗИРОВАНИЕ<br />Лицензия на разработку и производство<br />Лицензия на сертификацию и сертификационные испытаний<br />Аттестат аккредитации испытательной лаборатории и органа по сертификации<br />Условия и нормативная база<br />ФСТЭК - ГТ/ТЗКИ<br />Минобороны - ГТ + лицензия на установление знака соответствия <br />ФСБ России - ГТ/СКЗИ<br />
  53. 53. ГОСУДАРСТВЕННЫЕ РЕЕСТРЫ <br />Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России)<br />http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls<br />Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну (ФСБ России)<br />http://clsz.fsb.ru/certification.htm<br />
  54. 54. ТЕХНИЧЕСКИЕ КОМИТЕТЫ<br />ТК 362 Защита информации<br />ТК 026 Криптографическая защита информации<br />ТК 22, Подкомитет 127 Методы и средства обеспечения безопасности информационных технологий<br />
  55. 55. Конец 1-ой части:<br />Угрозамибезопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться: <br /> - использование несертифицированных отечественных и зарубежных средств защиты информации ...<br />Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:<br /> …<br /><ul><li> совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности</li></ul>Доктринаинформационной безопасности Российской Федерацииот 9 сентября 2000 г. № Пр-1895<br />

×