Документ охватывает основы сертификации программных средств защиты информации, включая законодательные и нормативные требования в России. Освещены основные виды сертификации и их участники, а также вопросы безопасности и ответственности, связанные с использованием несертифицированных средств. Рассматривается правовое поле и инциденты в области сертификации систем защиты информации.

1. ОСНОВЫ СЕРТИФИКАЦИИ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ Марков Алексей Сергеевичкандидат технических наук,с.н.с, CISSP, SBCIУчебный курс «Сертификация программного обеспечения по требованиям безопасности информации» - Учебный центр «Эшелон» Лекция 1. Часть 1.

2. ОСНОВЫ СЕРТИФИКАЦИИ ПРОГРАММНЫХ СЗИЧасть 1. Сертификация средств защиты информацииЧасть 2. Системы сертификации ФСТЭК России, ФСБ России и Минобороны РоссииЧасть 3. Направления развития

3. АКТУАЛЬНОСТЬ ВОПРОСОВ СЕРТИФИКАЦИИУгрозы информационной безопасности и уязвимости ресурсовНовые законодательные, нормативно-методические документы и требованияСтановление правового поля и активизация различных регуляторовНакопленный в испытательной лаборатории опыт в области сертификацииСертификационные войны

4. ИНЦИДЕНТЫ В ОБЛАСТИ СЕРТИФИКАЦИИРегуляторы приходят в испытательные лаборатории в случае инцидентовНесовпадение контрольных сумм – проверка на местахОдни лаборатории находят – другие нет!Наказание: отзыв аттестатов аккредитаций органов и испытательных лабораторийФальшивки и подтверждение: реестры сертификатов и письмаРекламные и ошибочные сертификаты

5. Виды и системы сертификации

6. ЧТО ТАКОЕ СЕРТИФИКАЦИЯ?Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров (ФЗ-184)Сертификация продукции - процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. (Постановление Госстандарта РФ 26)

7. ОЦЕНКА СООТВЕТСТВИЯ И СЕРТИФИКАЦИЯОценка соответствия: - добровольная сертификации, - обязательная сертификация- декларирование соответствия- государственный контроль (надзор)Сертификация:- продукции - систем - систем менеджмента- услугСертификация качества и сертификация средств защиты информацииАттестация объектов информатизации и контроль встраивания

8. ВИДЫ СЕРТИФИКАЦИИ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ Сертификация продукции СЗИ, СВТ, МЭ, ПО СЗИ, СЗПДн, СКЗИ, ПЗ

9. Сертификация систем АС

10. Сертификация систем менеджмента СМК, СУИБ

11. Сертификация услуг

12. Аттестация объектов информатизацииАС, ИСПДнСИСТЕМЫ ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИФедеральные органы по сертификации СЗИ: - Минобороны России - ФСБ России (ФСБ и б.ФАПСИ) - ФСТЭК России (б. Гостехкомисия России)- СВР России (Постановление Правительства РФ 608)

13. СИСТЕМЫ СЕРТИФИКАЦИИ СЗИСистемы обязательной сертификациипо требованиям безопасности информацииМинобороны России (ВС РФ) СВР России ФСБ России (СКЗИ, СЗИ-ГТ) ФСТЭК РоссииСистема добровольной сертификации по требованиям безопасности информацииАйТиСертификаС ф е р ы п р и м е н е н и явид тайнысфера компетенции требования заказчика неформализованные требования

14. ЗАКОНОДАТЕЛЬНО-ПРАВОВЫЕ ОСНОВЫЗаконодательные акты Российской ФедерацииРуководящие, нормативные, нормативно-методические, специальные, методические документы и приказыНациональные стандартыМеждународные стандартыСтандарты предприятия

15. ЗАКОНОДАТЕЛЬНЫЕ АКТЫПр.1895 Президента РФ (Доктрина ИБ РФ) Распоряжение Правительства РФ 1244-р (Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 г.)ФЗ-5485-I «О государственной тайне» ФЗ-1 «Об электронной цифровой подписи»ФЗ-184 «О техническом регулировании»КоАПУП 351 «О мерах по обеспечению ИБ РФ при использовании ИТК международного информационного обмена»УП 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств…»ПП 608 (Положение о сертификации СЗИ)ПП 781 (Положение об обеспечении безопасности ПДн….) и др.

16. НАЦИОНАЛЬНЫЕ СТАНДАРТЫСайт ФСТЭК России:http://www.fstec.ru/_spravs/_gstan.htmhttp://www.fstec.ru/_docs/_perech2.htmГОСТ Р 50739-95. СВТ. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт РоссииГОСТ Р 50922-96. ЗИ. Основные термины и определения. Госстандарт РоссииГОСТ Р 51188-98. ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт РоссииГОСТ Р 51275-99. ЗИ. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт РоссииГОСТ Р ИСО 7498-1-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт РоссииГОСТ Р ИСО 7498-2-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт РоссииГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Часть 2. Часть 3.

17. СТАНДАРТЫ ВР И АСЗИ ГОСТ ВР 15.002-2003ГОСТ Р 51189. Порядок разработки программных средств систем вооружения, Приложение В. – сертификат является обязательным документом в комплекте поставки всех изделийГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении, п.4.15. – обязательность сертификации СЗИ

18. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ ГОСТ РСайт Ростехрегулирования: www.gost.ru/wps/portal/pages.CatalogOfStandartsГОСТ Р 40.003-2008 Система сертификации ГОСТ Р. Регистр систем качества. Порядок сертификации СМК на соответствие ГОСТ Р ИСО 9001-2008 (ИСО 9001:2008) ГОСТ Р 14.11-2005 Экологический менеджмент. Общие требования к органам, проводящим оценку и сертификацию/регистрацию СЭМ (ИСО/МЭК 66) ГОСТ Р 51000.6-2008 Общие требования к аккредитации органов по сертификации продукции и услуг ГОСТ Р ИСО/МЭК 65-2000 Общие требования к органам по сертификации продукции ГОСТ Р ИСО/МЭК 17021-2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента ГОСТ Р 40.002-2000 Система сертификации ГОСТ Р. Регистр систем качества. Основные положения ГОСТ Р 50460-92 Знак соответствия при обязательной сертификации. Форма, размеры и технические требования ГОСТ Р 51171-98 Качество служебной информации. Правила предъявления ИТ на сертификацию ГОСТ Р 51169-98 Качество служебной информации. Система сертификации ИТ в области качества служебной информации. Термины и определения ГОСТ Р 40.101-95 Государственная регистрация систем добровольной сертификации и их знаков соответствия ГОСТ Р 40.001-95 Правила по проведению сертификации СК в РФ

19. ТРЕБОВАНИЯ К ОРГАНАМ И ЛАБОРАТИРИЯМГОСТ Р 14.11-2005 Экологический менеджмент. Общие требования к органам, проводящим оценку и сертификацию/регистрацию СЭМ (ИСО/МЭК 66) ГОСТ Р 51000.6-2008 Общие требования к аккредитации органов по сертификации продукции и услуг ГОСТ Р ИСО/МЭК 65-2000 Общие требования к органам по сертификации продукции ГОСТ Р ИСО/МЭК 17021-2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента ГОСТ Р ИСО/МЭК 17025-2006. Общие требования к компетентности испытательных и калибровочных лабораторий. Р 50.4.003-2000. Рекомендации но аккредитации. Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий.

20. НОРМАТИВНЫЕ, РУКОВОДЯЩИЕ, НОРМАТИВНО-МЕТОДИЧЕСКИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСТЭК РОССИИ И ФСБ РОССИИ

21. Базовые документы ФСТЭК России (Гостехкомиссии)АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации.

22. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.

23. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации.

24. Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

25. Безопасные информационные технологии. Критерии оценки безопасности информационных технологий.

26. Положение о методах и способах защиты информации в информационных системах персональных данных.

27. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры.

28. «АСУ ТП…» и другиеОбязательность сертификации

29. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИГосударственный информационный ресурс- государственная тайна- информация, ограниченного доступа (виды тайн) Негосударственный информационный ресурс- конфиденциальная информация - в случае аттестации ОИ, КВО, ПОО, ЭОО.., «кредитных историй» или в соответствии с стандартом организации (федеральные компании и др.)- конфиденциальная информация, обрабатываемая в игровых автоматах (на отсутствие НДВ)- персональные данные

30. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИ

31. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ СЗИ

32. ОБЯЗАТЕЛЬНОСТЬ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИОценка соответствия осуществляется в формах обязательной сертификации..(ПП 330, п.6)Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации. (СТР-К, п.2.16)

33. ОБЯЗАТЕЛЬНОСТЬ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХСредства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. п.5. Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ПП 781)

34. Ответственность

35. КОГО НАКАЖУТ?1. Владелец системы (Оператор)2. Уполномоченное (по договору) оператором лицо3. Разработчик

36. ОСНОВАНИЕНарушения по использованию несертифицированных средствФЗ-184 «О техническом регулировании»ФЗ-1 «Об электронной цифровой подписи»ФЗ-152 «О персональных данных»КоАПНарушения, приведшие к утрате и ущербуУК РФКоАП

37. КОДЕКС РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХСт.13. Административные правонарушенияв области связи и информацииСтатья 13.6. Использование несертифицированных средств связи либо предоставление несертифицированных услуг связи Использование на сетях связи несертифицированных средств связи либо предоставление несертифицированных услуг связи, если законом предусмотрена их обязательная сертификация, -влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей с конфискациейнесертифицированных средств связи либо без таковой; на должностных лиц - от трех тысяч до четырех тысяч рублей с конфискациейнесертифицированных средств связи либо без таковой; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией несертифицированных средств связи либо без таковой

38. КОДЕКС РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХСтатья 13.12. Нарушение правил защиты информации 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации3. Нарушение условий, предусмотренных лицензией…4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну...5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -…. административное приостановление деятельности на срок до девяноста суток.Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.

39. УГОЛОВНЫЙ КОДЕКС РФСт. 171. Незаконное предпринимательство. Осуществление предпринимательской деятельности … без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам наказывается штрафом в размере до 300 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо обязательными работами на срок от 180 до 240 часов, либо арестом на срок от 4 до 6 месяцев.

40. Ответственность за нарушения, которые могут быть связанны с использованием СЗИУголовный кодекс РФГл. 33. Преступления против военной службы: ст. 340, 347, 349-352 (утрата, нарушение правил и т.д.)Гл. 32. Преступления против порядка управления: ст.320 (разглашение сведений..)Гл. 31. Преступления против правосудия: ст.310, 311 (разглашение..)Гл. 30. Преступления против государственной власти…: ст. 293 (халатность)Гл. 29. Преступления против основ Конституционного строя и безопасности государства: ст.283, 284 (разглашение, утрата документов по гостайне)Гл. 28.Преступления в сфере компьютерной информацииГл. 27. Преступления против безопасности движения и эксплуатации транспортаГл. 26. Экологические преступленияГл. 24. Преступления против общественной безопасности: ст.217 (нарушение правил безопасности на взрывоопасных объектах)Гл. 22. Преступления в сфере экономической деятельности: ст.178, 183 (условия.., разглашения тайн)Гл. 19. Преступления против Конституционных прав и свобод человека и гражданинаи др.

41. Участники и порядок сертификации

42. ВАЖНЫЕ МОМЕНТЫ СЕРТИФИКАЦИИУчастники