1. ОСНОВЫ СЕРТИФИКАЦИИ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ Марков Алексей Сергеевич кандидат технических наук, с.н.с, CISSP, SBCI Учебный курс «Сертификация программного обеспечения по требованиям безопасности информации» - Учебный центр «Эшелон» Лекция 1. Часть 1.
2. ОСНОВЫ СЕРТИФИКАЦИИ ПРОГРАММНЫХ СЗИ Часть 1. Сертификация средств защиты информации Часть 2. Системы сертификации ФСТЭК России, ФСБ России и Минобороны России Часть 3. Направления развития
3. АКТУАЛЬНОСТЬ ВОПРОСОВ СЕРТИФИКАЦИИ Угрозы информационной безопасности и уязвимости ресурсов Новые законодательные, нормативно-методические документы и требования Становление правового поля и активизация различных регуляторов Накопленный в испытательной лаборатории опыт в области сертификации Сертификационные войны
4. ИНЦИДЕНТЫ В ОБЛАСТИ СЕРТИФИКАЦИИ Регуляторы приходят в испытательные лаборатории в случае инцидентов Несовпадение контрольных сумм – проверка на местах Одни лаборатории находят – другие нет! Наказание: отзыв аттестатов аккредитаций органов и испытательных лабораторий Фальшивки и подтверждение: реестры сертификатов и письма Рекламные и ошибочные сертификаты
6. ЧТО ТАКОЕ СЕРТИФИКАЦИЯ? Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров (ФЗ-184) Сертификация продукции - процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. (Постановление Госстандарта РФ 26)
7. ОЦЕНКА СООТВЕТСТВИЯ И СЕРТИФИКАЦИЯ Оценка соответствия: - добровольная сертификации, - обязательная сертификация- декларирование соответствия - государственный контроль (надзор) Сертификация: - продукции - систем - систем менеджмента - услуг Сертификация качества и сертификация средств защиты информации Аттестация объектов информатизации и контроль встраивания
13. СИСТЕМЫ СЕРТИФИКАЦИИ СЗИ Системы обязательной сертификациипо требованиям безопасности информацииМинобороны России (ВС РФ) СВР России ФСБ России (СКЗИ, СЗИ-ГТ) ФСТЭК России Система добровольной сертификации по требованиям безопасности информацииАйТиСертифика С ф е р ы п р и м е н е н и я вид тайнысфера компетенции требования заказчика неформализованные требования
14. ЗАКОНОДАТЕЛЬНО-ПРАВОВЫЕ ОСНОВЫ Законодательные акты Российской Федерации Руководящие, нормативные, нормативно-методические, специальные, методические документы и приказы Национальные стандарты Международные стандарты Стандарты предприятия
15. ЗАКОНОДАТЕЛЬНЫЕ АКТЫ Пр.1895 Президента РФ (Доктрина ИБ РФ) Распоряжение Правительства РФ 1244-р (Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 г.) ФЗ-5485-I «О государственной тайне» ФЗ-1 «Об электронной цифровой подписи» ФЗ-184 «О техническом регулировании» КоАП УП 351 «О мерах по обеспечению ИБ РФ при использовании ИТК международного информационного обмена» УП 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств…» ПП 608 (Положение о сертификации СЗИ) ПП 781 (Положение об обеспечении безопасности ПДн….) и др.
16. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ Сайт ФСТЭК России: http://www.fstec.ru/_spravs/_gstan.htm http://www.fstec.ru/_docs/_perech2.htm ГОСТ Р 50739-95. СВТ. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России ГОСТ Р 50922-96. ЗИ. Основные термины и определения. Госстандарт России ГОСТ Р 51188-98. ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России ГОСТ Р 51275-99. ЗИ. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России ГОСТ Р ИСО 7498-1-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России ГОСТ Р ИСО 7498-2-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Часть 2. Часть 3.
17. СТАНДАРТЫ ВР И АСЗИ ГОСТ ВР 15.002-2003 ГОСТ Р 51189. Порядок разработки программных средств систем вооружения, Приложение В. – сертификат является обязательным документом в комплекте поставки всех изделий ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении, п.4.15. – обязательность сертификации СЗИ
18. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ ГОСТ Р Сайт Ростехрегулирования: www.gost.ru/wps/portal/pages.CatalogOfStandarts ГОСТ Р 40.003-2008 Система сертификации ГОСТ Р. Регистр систем качества. Порядок сертификации СМК на соответствие ГОСТ Р ИСО 9001-2008 (ИСО 9001:2008) ГОСТ Р 14.11-2005 Экологический менеджмент. Общие требования к органам, проводящим оценку и сертификацию/регистрацию СЭМ (ИСО/МЭК 66) ГОСТ Р 51000.6-2008 Общие требования к аккредитации органов по сертификации продукции и услуг ГОСТ Р ИСО/МЭК 65-2000 Общие требования к органам по сертификации продукции ГОСТ Р ИСО/МЭК 17021-2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента ГОСТ Р 40.002-2000 Система сертификации ГОСТ Р. Регистр систем качества. Основные положения ГОСТ Р 50460-92 Знак соответствия при обязательной сертификации. Форма, размеры и технические требования ГОСТ Р 51171-98 Качество служебной информации. Правила предъявления ИТ на сертификацию ГОСТ Р 51169-98 Качество служебной информации. Система сертификации ИТ в области качества служебной информации. Термины и определения ГОСТ Р 40.101-95 Государственная регистрация систем добровольной сертификации и их знаков соответствия ГОСТ Р 40.001-95 Правила по проведению сертификации СК в РФ
19. ТРЕБОВАНИЯ К ОРГАНАМ И ЛАБОРАТИРИЯМ ГОСТ Р 14.11-2005 Экологический менеджмент. Общие требования к органам, проводящим оценку и сертификацию/регистрацию СЭМ (ИСО/МЭК 66) ГОСТ Р 51000.6-2008 Общие требования к аккредитации органов по сертификации продукции и услуг ГОСТ Р ИСО/МЭК 65-2000 Общие требования к органам по сертификации продукции ГОСТ Р ИСО/МЭК 17021-2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента ГОСТ Р ИСО/МЭК 17025-2006. Общие требования к компетентности испытательных и калибровочных лабораторий. Р 50.4.003-2000. Рекомендации но аккредитации. Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий.
20. НОРМАТИВНЫЕ, РУКОВОДЯЩИЕ, НОРМАТИВНО-МЕТОДИЧЕСКИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСТЭК РОССИИ И ФСБ РОССИИ
21.
22. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.
23. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации.
24. Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
26. Положение о методах и способах защиты информации в информационных системах персональных данных.
27. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры.
28.
29. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИ Государственный информационный ресурс - государственная тайна - информация, ограниченного доступа (виды тайн) Негосударственный информационный ресурс - конфиденциальная информация - в случае аттестации ОИ, КВО, ПОО, ЭОО.., «кредитных историй» или в соответствии с стандартом организации (федеральные компании и др.) - конфиденциальная информация, обрабатываемая в игровых автоматах (на отсутствие НДВ) - персональные данные
32. ОБЯЗАТЕЛЬНОСТЬ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Оценка соответствия осуществляется в формах обязательной сертификации.. (ПП 330, п.6) Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации. (СТР-К, п.2.16)
33. ОБЯЗАТЕЛЬНОСТЬ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. п.5. Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ПП 781)
35. КОГО НАКАЖУТ? 1. Владелец системы (Оператор) 2. Уполномоченное (по договору) оператором лицо 3. Разработчик
36. ОСНОВАНИЕ Нарушения по использованию несертифицированных средств ФЗ-184 «О техническом регулировании» ФЗ-1 «Об электронной цифровой подписи» ФЗ-152 «О персональных данных» КоАП Нарушения, приведшие к утрате и ущербу УК РФ КоАП
37. КОДЕКС РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ Ст.13. Административные правонарушения в области связи и информации Статья 13.6. Использование несертифицированных средств связи либо предоставление несертифицированных услуг связи Использование на сетях связи несертифицированных средств связи либо предоставление несертифицированных услуг связи, если законом предусмотрена их обязательная сертификация, - влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей с конфискациейнесертифицированных средств связи либо без таковой; на должностных лиц - от трех тысяч до четырех тысяч рублей с конфискациейнесертифицированных средств связи либо без таковой; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией несертифицированных средств связи либо без таковой
38. КОДЕКС РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ Статья 13.12. Нарушение правил защиты информации 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации 3. Нарушение условий, предусмотренных лицензией… 4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну... 5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - …. административное приостановление деятельности на срок до девяноста суток. Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.
39. УГОЛОВНЫЙ КОДЕКС РФ Ст. 171. Незаконное предпринимательство. Осуществление предпринимательской деятельности … без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам наказывается штрафом в размере до 300 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо обязательными работами на срок от 180 до 240 часов, либо арестом на срок от 4 до 6 месяцев.
40. Ответственность за нарушения, которые могут быть связанны с использованием СЗИ Уголовный кодекс РФ Гл. 33. Преступления против военной службы: ст. 340, 347, 349-352 (утрата, нарушение правил и т.д.) Гл. 32. Преступления против порядка управления: ст.320 (разглашение сведений..) Гл. 31. Преступления против правосудия: ст.310, 311 (разглашение..) Гл. 30. Преступления против государственной власти…: ст. 293 (халатность) Гл. 29. Преступления против основ Конституционного строя и безопасности государства: ст.283, 284 (разглашение, утрата документов по гостайне) Гл. 28.Преступления в сфере компьютерной информации Гл. 27. Преступления против безопасности движения и эксплуатации транспорта Гл. 26. Экологические преступления Гл. 24. Преступления против общественной безопасности: ст.217 (нарушение правил безопасности на взрывоопасных объектах) Гл. 22. Преступления в сфере экономической деятельности: ст.178, 183 (условия.., разглашения тайн) Гл. 19. Преступления против Конституционных прав и свобод человека и гражданина и др.
48. СХЕМЫ СЕРТИФИКАЦИИ ГОСТ Р: 10 видов схем СЗИ: 2 (3) схемы 1 - типовой образец 2 - типовой образец + инспекционный контроль (ИК) 2а - анализ производства + типовой образец + ИК 3 - типовой образец + ИК (до отправки потребителю) 3а - анализ производства ++ 4 - комбинация 2+3 (ИК до и после) 5 - 4 + сертификация производства или сертификация СМК 6 - если есть СМК, то принимается декларация 7 - партия (делается выборка) 8 - вся партия 9 - декларация 10 декларация + ИК 10а анализ производства + декларация + ИК
49. ЧТО В СЕРТИФИКАТЕ? Испытания: - на соответствие нормативным документам - на соответствие документации (ТУ) Рекламный сертификат или нет? С НДВ или без? Приписки: «может быть использована» АС, ИСПДн.
52. ЛИЦЕНЗИРОВАНИЕ Лицензия на разработку и производство Лицензия на сертификацию и сертификационные испытаний Аттестат аккредитации испытательной лаборатории и органа по сертификации Условия и нормативная база ФСТЭК - ГТ/ТЗКИ Минобороны - ГТ + лицензия на установление знака соответствия ФСБ России - ГТ/СКЗИ
53. ГОСУДАРСТВЕННЫЕ РЕЕСТРЫ Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России) http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну (ФСБ России) http://clsz.fsb.ru/certification.htm
54. ТЕХНИЧЕСКИЕ КОМИТЕТЫ ТК 362 Защита информации ТК 026 Криптографическая защита информации ТК 22, Подкомитет 127 Методы и средства обеспечения безопасности информационных технологий
