정보처리 기술수단 인증 보호장비 및 개인정보 인증

03.07.2015 15:31:32

20년이 넘는 세월 동안 러시아 시스템정보 보안 도구 인증, 상업 회사 및 정부 기관의 전문가는 경우에 따라 처리용 소프트웨어의 인증된 사본을 구입해야 한다는 것을 깨달았습니다. 기밀 정보. 가장 경험이 풍부한 사람들은 정부에서 사용하기 위해 "어떤 경우에?"라는 질문에 자신있게 대답합니다. 정보 시스템아 그리고 개인정보 보호를 위해서요. 불행히도 "어떤 요구 사항을 준수합니까?"와 같은 추가적인 주요 질문이 있습니다. 그리고 "어느 수준까지?"는 여전히 그들을 당혹스럽게 만듭니다. 이러한 질문을 정리해 보겠습니다.

“- 귀하의 프로그램에는 FSTEC 인증서가 있습니까?

먹다. 어느 것에 관심이 있나요?

서로 다른가요?”

(고객과의 대화 중)

1. 어떤 인증을 받았나요?

우선, 정보 보안 요구 사항에 대한 인증 요구 사항은 사용되는 모든 소프트웨어에 적용되는 것이 아니라 이러한 요구 사항을 충족하는 소프트웨어에만 적용된다는 점을 이해해야 합니다. 보호 장비의 인증된 사본 사용에 대한 요구 사항은 다른 안전 요구 사항을 설정하는 규제 문서에 직접 설정됩니다. 예를 들어, 정부 정보 시스템의 경우 인증된 보안 장비를 사용해야 하는 필요성은 주문에 따라 결정됩니다. 러시아 FSTEC 2013년 2월 11일자 17호.

현재까지 실제로 할당된 다음 유형보호 장비:

• 보안 기능이 내장된 컴퓨터 기술;
• 방화벽;
• 이동식 저장 매체를 모니터링하는 수단;
• 신뢰할 수 있는 부팅 도구
• 바이러스 백신 보호 도구;
• 침입 탐지 도구;
• 보안 기능을 구현하는 기타 소프트웨어 및 하드웨어.

처음 6가지 유형의 보호 장비에는 특정 요구 사항이 있습니다. 정보 보안, 방법론에 의해 확립 FSTEC 문서러시아 제국. 후자의 경우 보안 기능에 대한 요구 사항은 개발자 또는 공급자가 설정하여 다음 형식으로 공식화합니다. 기술 사양또는 보안 할당(나중에 이 문서를 더 자세히 고려할 것입니다). 보안 기능에 대한 요구 사항 외에도 추가 요구 사항이 보안 도구에 부과될 수 있습니다. 예를 들어 특정 기능의 선언되지 않은 기능(간단히 말하면 취약점 및 소프트웨어 버그, 이하 NDV라고 함)의 부재를 모니터링하기 위한 요구 사항이 있습니다. 이 보안 도구를 만들 때 제조업체에서 제공하는 수준입니다. 이러한 요구 사항은 FSTEC의 해당 방법론 문서에도 정의되어 있습니다.

마지막 보호 장비를 제외한 각 유형의 보호 장비에 대해 여러 등급 또는 수준의 요구 사항이 결정됩니다. 예를 들어, 방화벽 요구 사항에는 5가지 클래스가 있으며 첫 번째 클래스에는 최대 보안 요구 사항이 포함되고 다섯 번째 클래스에는 최소 보안 요구 사항이 포함됩니다. 따라서 일반적인 적합성 인증서에는 일반적으로 "클래스 5 방화벽 준수 및 비준수에 대한 레벨 4 제어"와 같은 두 가지 진술이 포함됩니다.

2. 인증절차

인증 절차는 1995년 10월 27일 러시아 국가 기술 위원회 의장의 명령에 의해 승인된 정보 보안 요구 사항에 따른 보호 장비 인증 규정에 정의되어 있습니다. 이 절차에는 여러 참가자가 참여합니다.

인증 개시자는 신청자(보안 솔루션 개발자 또는 소프트웨어 또는 하드웨어 인증 신청서를 제출하는 다른 회사)입니다. 다른 국가의 인증 시스템과 달리 러시아에서는 정보 보안 도구 개발 라이센스를 보유한 러시아 회사만 신청자가 될 수 있습니다. 이는 인증 대상 제품의 개발과 관련이 없더라도 마찬가지입니다. 라이센스가 없는 러시아 기업뿐만 아니라 외국 제조업체는 라이센스 보유자에게 의지해야 하며, 라이센스 취득자는 나중에 보호 장비의 인증 사본 유통업체가 됩니다. 동시에, 인증을 받으려면 신청자는 개발자만이 소유한 보안 도구에 대한 소프트웨어 문서 세트가 필요하기 때문에 개발자 회사는 여전히 절차에 참여하는 것으로 밝혀졌습니다.

명시된 요구 사항에 대한 보호 장비의 준수 여부는 러시아 FSTEC에서 인증 시스템의 테스트 실험실로 인정한 회사인 테스트 실험실에서 평가됩니다. 테스트 연구소의 활동은 적절한 인증을 받은 두 번째 회사인 인증 기관에 의해 관리됩니다. 이 과정은 러시아의 FSTEC가 주도합니다.

일반적으로 인증절차는 다음과 같습니다. 담보수단 개발 면허를 보유하지 않은 개발자가 실시권자 중 한 명과 계약을 체결하는 경우 파트너십 계약, 인증 조건이 협상되고 인증 사본이 최종 사용자에게 전달됩니다. 신청자는 테스트 실험실을 선택하고(해당 등록은 러시아 FSTEC 웹 사이트에 게시됨) 인증을 수행할 요구 사항과 계획에 따라(조금 나중에 계획에 대해) 준수 여부를 결정합니다. 결과적으로 신청자는 보호 장비의 이름, 인증을 수행하기 위해 제안된 준수를 위한 방법론 또는 기타 (기술 조건, 안전 사양) 문서의 이름이 포함된 신청서를 러시아 FSTEC에 보냅니다. 인증 제도, 인증을 위해 선정된 테스트 연구소 지정에 대한 청원서 등이 포함됩니다.

공식적인 이유 외에도 신청자의 인증이 거부될 수 있는 여러 가지 이유가 있습니다. 다음은 그 중 몇 가지입니다.

• 일부 보안 기능은 FSTEC의 역량을 벗어납니다(예를 들어 암호화 기능 없이 특정 보안 요구 사항을 충족하는 것이 불가능하고 FSTEC 인증 시스템의 프레임워크 내에서 평가가 불가능한 경우).
• 보호 제품이 이미 유효한 인증서를 가지고 있거나 다른 회사의 요청에 따라 이미 인증을 받고 있는 경우
• 신청자는 가능한 경우 기술 사양 또는 안전 사양을 준수하기 위해 인증을 요청합니다. 방법론적 문서, 이러한 유형의 보호 장비에 대한 요구 사항 정의 등

구제책이 다양하기 때문에 신청 고려 결과가 항상 명확한 것은 아닙니다. 어려운 경우에는 신청자와 신청자가 참석하는 회의에 문제가 제기됩니다. 전문가 단체. 결과적으로 당사자들이 모든 뉘앙스에 동의하면 FSTEC은 인증 수행을 결정하고 (원칙적으로 예외가 가능하지만) 테스트 실험실을 승인하고 재량에 따라 결과를 검토할 인증 기관을 지정합니다. . 그 후 신청자는 시험소 및 인증 기관과 계약을 체결하고 프로세스가 시작됩니다. 기간은 평가 대상에 따라 6개월에서 1년까지 다양하지만 더 장기적인 경우도 있습니다.

실제로는 세 가지 인증 체계가 사용됩니다.

• 단일 샘플 인증;
• 제품 배치 인증;
• 인증 연속 생산.

단일 샘플 인증에는 이름에서 알 수 있듯이 보안 제품 또는 특정 장치의 특정 배포판에 대한 인증 테스트가 포함됩니다. 이 경우 발급된 인증서는 하나의 배포 또는 장치에만 적용됩니다. 10년 전에는 외국 판매업체가 적극적으로 사용했지만 지금까지 이러한 계획은 이색적이었습니다. 마케팅 목적: "이봐, 정말 필요하다면 인증을 받을 수 있어."

배치 인증은 일반적으로 대규모 판매 시장이 없는 공공 기관을 위해 특정 보호 장비 배치를 구매할 때 수행됩니다. 러시아 연방(예를 들어 적용 범위가 매우 좁거나 비용이 높기 때문). 이 경우, 테스트 실험실은 배치에서 여러 개의 샘플을 선택하여 테스트합니다. 테스트가 성공적으로 완료되면 전체 배치에 대한 인증서가 발급됩니다.

가장 일반적인 방식은 대량 생산 인증입니다. 하드웨어 및 소프트웨어 보안 제품의 경우 생산에는 일반적으로 특정 하드웨어 플랫폼 모델에 인증된 소프트웨어를 설치하는 작업이 포함되며 경우에 따라 하드웨어 플랫폼 자체의 생산도 포함됩니다. 보안 소프트웨어의 경우 생산은 인증된 참조 샘플을 기반으로 배포판을 복제하는 것으로 구성됩니다. 경우에 인증 생산신청자는 생산 공정에 대한 감사를 받고 제품의 "인증"을 확인하는 특별 보호 마크를 제품에 적용할 권리를 받습니다.

3. 개별 규제 요구사항 준수를 위한 인증의 특징

3.1. 러시아 국가 기술위원회 지침 문서

현재까지 러시아 FSTEC의 두 가지 관리 문서가 계속해서 유효합니다.

• 지침 문서 “컴퓨터 기술. 정보에 대한 무단 접근으로부터 보호합니다. 정보에 대한 무단 접근에 대한 보안 지표";
• 안내 문서 “컴퓨터 시설. 방화벽. 정보에 대한 무단 액세스로부터 보호합니다. 정보에 대한 무단 접근에 대한 보안 지표입니다.”

첫 번째 문서는 운영 체제가 사전 설치된 하드웨어 플랫폼에 적용되고, 두 번째 문서는 이름에서 알 수 있듯이 클래식 방화벽에 적용됩니다. 각 문서는 보호 장비에 대한 여러 수준의 요구 사항을 정의합니다. 동시에, 수년간 이러한 문서를 사용하면서 개별 보호 장비의 세부 사항과 관련된 요구 사항을 명확하게 해석하고 테스트를 수행할 수 있는 많은 방법이 개발되었습니다.

때때로 지침 문서 "자동화 시스템"의 요구 사항을 준수하기 위해 개별 보호 수단을 인증하려는 시도가 있습니다. 정보에 대한 무단 접근으로부터 보호합니다. 자동화 시스템 분류 및 정보 보호 요구 사항”을 비롯하여 개인 데이터 정보 시스템에 대한 러시아 FSTEC의 규제 문서에서 부과한 요구 사항을 준수합니다. 이러한 보호 제품의 소비자는 단일 제품이 이 문서의 요구 사항을 완전히 준수할 수 없다는 점을 분명히 이해해야 합니다. 맞습니다. 이 경우 인증은 다음을 포함하는 기술 조건 또는 안전 사양(나중에 자세히 설명)을 준수하기 위해 수행됩니다. 개별 요구 사항규제 문서. 이 경우 인증서에는 "...그리고 ...에서 사용할 수 있습니다"라는 메모가 포함되어 있습니다(예: 클래스 1B까지의 자동화 시스템에서). 그러나 요구 사항이 어느 정도인지 정확히 이해하는 것은 불가능합니다. 규제 문서는 인증서만으로 충족되며, 이는 종종 다음과 같은 결과를 초래합니다. 불쾌한 놀라움생성된 정보 시스템의 인증 단계에서.

3.2. 기술 사양 준수 인증

이 유형의 인증은 여전히 ​​​​가장 인기가 있습니다. 이론적으로 기술 사양 준수 인증은 주장된 보호 수단이 안전 기능에 대한 방법론적 문서가 아직 개발되지 않은 유형에 속하는 경우에만 허용됩니다. 이러한 각 문서의 개발은 2~3년이 걸리는 긴 프로세스이므로 보안 분석 시스템, 보안 이벤트 데이터 상관 시스템 또는 차세대 방화벽과 같은 많은 솔루션의 경우 아직 규제 요구 사항은 없지만 인증.

기술 사양의 주요 특징: 신청자가 직접 요구 사항을 결정합니다. 자신의 결정그리고 이를 자유 형식으로 공식화합니다. 이러한 요구사항이 포함된 문서의 구조만 표준화되었습니다. 이로 인해 정보 시스템에서 이러한 방식으로 인증된 솔루션을 사용할 때 특정 어려움이 발생합니다.

가상의 예: 규정에 따라 임시 비밀번호를 기반으로 한 사용자 인증이 필요할 수 있습니다. 이 문제를 해결하기 위해 열쇠 고리를 사용하여 사용자를 인증하고 사용자에 대한 일회용 비밀번호를 생성하는 ID 관리 시스템이 제안되었습니다. 신청자는 기술 사양에 비밀번호 생성 및 확인에 대한 요구 사항을 공식화했지만 요구 사항의 문구는 규제 문서의 요구 사항 문구와 문자 그대로 또는 본질적으로 일치하지 않습니다. 그러한 인증된 솔루션을 사용하면 이행으로 간주됩니까? 규제 요건? 이 질문에 대한 명확한 답은 없으며, 이에 대한 결정은 인증위원회의 재량에 달려 있습니다.

인증 절차는 간단하며 다음과 유사합니다. 이전 사례. 신청서를 제출할 때 신청자는 기술 조건 초안을 첨부하고 신청서를 고려할 때 FSTEC은 요구 사항의 문구와 기존 방법론 문서와의 유사성을 신중하게 연구합니다. 경우에 긍정적인 결정신청자는 테스트 실험실에 인증을 위한 샘플을 제공해야 하며 프로젝트 문서. 보안 기능은 일반적으로 소프트웨어로 구현되므로 일반적으로 다음과 같은 문서가 제공됩니다.

• 사양 (GOST 19.202-78);
• 프로그램 설명 (GOST 19.402-78)
• 신청서 설명 (GOST 19.502-78);
• 설명 메모 (GOST 19.404-79);
• 운영자/프로그래머/시스템 프로그래머 매뉴얼(각각 GOST 19.505/504/503-79);
• 양식 (GOST 2.601-95).

인증 테스트 중에 테스트 연구소는 기술 사양 요구 사항의 구현이 문서에 얼마나 완벽하게 설명되어 있는지 평가하고 이러한 기능도 테스트합니다.

기술 사양 준수 인증의 특징은 신청자가 일반적으로 보호 장비 소비자에게 기술 사양 텍스트를 제공하지 않는다는 것입니다. 위에서 언급한 바와 같이, 기술 사양 문구의 임의성으로 인해 인증된 보호 장비가 규제 문서의 요구 사항을 어느 정도 충족하는지 판단하는 것은 불가능합니다. 따라서 인증을 성공적으로 통과하려면 정보시스템 운영자는 신청자에게 배송 패키지에 기술 사양 텍스트를 포함하도록 요구해야 하며, 거부하는 경우 FSTEC의 해당 부서에 문의해야 합니다.

3.3. 보안 작업 및 보호 프로필 준수에 대한 인증

안에 최근 몇 년러시아 FSTEC은 현지화 인증 시스템인 GOST 15408 요구사항 적용을 확대하고 있습니다. 국제 표준 ISO 15408 "정보 기술 - 보안 기술 - IT 보안 평가 기준" 이 표준에 대한 설명은 별도의 주제입니다. 훌륭한 기사, 따라서 주요 사항에만 집중하겠습니다.

이 표준의 주요 목적은 보안 요구 사항을 설명하는 언어와 인증된 보안 수단을 통해 이러한 요구 사항의 충족을 평가하는 기준을 통합하는 것입니다. 소비자를 위한 핵심 문서는 안전 사양입니다. 이는 기술 사양과 매우 유사하며 다음을 준수하는 공식 언어로 작성되었습니다. 특정 조건. 이 문서에는 보안 기능에 대한 요구 사항뿐만 아니라 이러한 기능이 제품에서 구현되는 방법에 대한 설명도 포함되어 있습니다. 또한, 특정 규칙안전 기능에 대한 요구 사항에 대한 설명이며 주로 GOST 15408 파트 2에 포함된 요구 사항 카탈로그를 기반으로 작성되었습니다.

안전 사양 준수 인증과 기술 사양 준수 인증 간에는 두 가지 중요한 차이점이 있습니다. 가장 중요한 것은 신뢰 수준의 개념입니다. 안전 기능에 대한 요구 사항 외에도 GOST 15408은 인증되는 솔루션이 요구 사항을 충족하는지 확인하기 위해 신청자가 테스트 실험실에 제공해야 하는 인증서의 구성 및 내용에 대한 요구 사항을 정의합니다. 보증의 가장 낮은 첫 번째 평가 수준은 규정 준수 인증과 거의 동일합니다. 신청자는 테스트 연구소에 관리자/사용자 매뉴얼과 보안 기능 구현 방법에 대한 피상적인 설명을 제공하고 테스트 연구소는 독립적인 테스트를 통해 요구 사항 준수를 확인합니다. . 두 번째 수준의 신뢰를 위해서는 상세한 프로젝트 문서와 개발 수명 주기(주로 테스트 프로세스, 소프트웨어 버전 관리 시스템 및 소스 코드 버전 제어)에 대한 설명을 제공해야 합니다. 세 번째 수준에서는 개발 프로세스에 대한 감사, 특히 프로그래머가 소스 코드를 무단으로 변경하는 것을 방지하기 위한 보안 조치를 받아야 합니다. 4단계에서는 분석을 위한 소프트웨어 소스코드 제공 등이 필요하다.

동시에 GOST 19와 달리 GOST 15408은 보호 장비의 "내부"를 정확히 설명하는 방법을 포함하여 문서 내용에 대해 엄격한 요구 사항을 부과합니다. 우선, 이는 소프트웨어를 하위 시스템 및 모듈로 분해, 인터페이스 선택, 인터페이스 설명 및 보안 기능을 수행할 때 소프트웨어 모듈 간의 상호 작용과 관련됩니다. 이렇게 세심한 관심을 기술적인 세부사항이는 테스트 실험실에 상대적으로 높은 인건비를 초래하고 결과적으로 인증 기간과 비용이 상대적으로 길어집니다.

이 유형의 인증의 두 번째 차이점은 방법론적 문서의 요구 사항을 준수함을 입증하는 능력입니다. 이를 위해 FSTEC은 보안 프로필을 방법론적 문서, 즉 특정 유형의 보안 장비에 대한 필수 보안 기능 요구 사항과 신뢰 증거에 대한 전문 요구 사항을 포함하는 공식화된 템플릿으로 게시합니다. 기능적 요구 사항은 템플릿 형태로도 공식화됩니다. 예를 들어 "사용자 인증은 다음을 기반으로 제공되어야 합니다. [대상: 인증 방법]" 인증 과정에서 신청자는 해당 제품이 특정 보안 프로필을 준수하는지에 대한 설명을 보안 작업에 포함하고 프로필의 미완성 요구 사항을 공개합니다. 예를 들어 다음과 같습니다. "사용자 인증은 다음을 기반으로 제공되어야 합니다. [유두 패턴과 참고 패턴 비교]”.

이러한 보안 장치를 인증할 때 테스트 연구소는 장치 자체가 안전 작업 요구 사항을 준수하는지 확인하는 것뿐만 아니라 보안 작업 자체가 보호 프로필을 준수하는지 확인합니다. 평가중인 문서. 이러한 평가를 기반으로 발급된 인증서는 보안 장치가 특정 방법론 문서의 요구 사항을 완전히 준수함을 나타냅니다.

3.4. 선언되지 않은 기능의 부재 제어

선언되지 않은 기능의 부재를 제어하는 ​​것은 신청자에게 가장 이해하기 어렵고 불투명한 인증 유형 중 하나입니다. 독립적인 경험그런 인증. 이는 방법론 문서 "정보에 대한 무단 접근으로부터 보호"라는 사실 때문입니다. 1부. 정보 보안 소프트웨어. "신고되지 않은 기능의 부재에 대한 통제 수준에 따른 분류"에는 실제로 인증된 샘플에 적용되는 요구 사항이 포함되어 있지 않습니다. 예를 들어, 이 문서에 따르면 세 번째 제어 수준에는 소스 코드의 동적 분석이 포함되며, 이는 "기능 개체(프로시저, 기능) 실행 제어"를 포함합니다. 무엇이되어야합니까? 지정된 컨트롤소스 코드가 어떤 요구 사항을 충족해야 하는지, 신청자는 스스로 알아내도록 요청됩니다.

실제로 모든 일이 아주 간단하게 발생합니다. 다른 유형의 인증과 달리 학습 대상은 이 경우보안 소프트웨어가 아니라 보안 소프트웨어와 함께 테스트 연구소에 제공되어야 하는 소스 코드입니다. 프로그램 문서(사양, 프로그램 설명, 응용 프로그램 설명 및 설명 메모). 제공할 필요성 소스 코드외국 소프트웨어를 인증할 때 특정 어려움이 발생합니다. 일반적으로 문제는 테스트 실험실 전문가를 인증 프로그램 개발 센터로 직접 보내거나 그들에게 다음을 제공함으로써 해결됩니다. 원격 액세스개발 센터 스탠드에.

위의 방법론 문서는 인증이 수행되는 준수에 대한 4가지 수준의 제어를 정의합니다. 네번째, 가장 낮은 수준통제는 두 가지 사실을 확인하는 것으로 구성됩니다.

• 인증된 소프트웨어 제품은 제공된 소스 코드에서 실제로 컴파일될 수 있습니다.
• 인증을 위해 제출된 소스 코드에는 인증 대상 소프트웨어 제품의 컴파일 프로세스와 관련되지 않은 파일이 포함되어 있지 않습니다.

이를 위해 소스 코드에서 제품의 테스트 어셈블리가 테스트 연구소 또는 개발자 스탠드에서 재생산되며, 그 결과는 개별 파일의 체크섬까지 인증된 세트와 동일한 설치 파일 세트가 되어야 합니다. 실제로 소프트웨어 어셈블리 시스템에는 일반적으로 다음이 포함되므로 이러한 우연의 일치는 거의 발생하지 않습니다. 별도의 파일타임스탬프 또는 컴파일할 때마다 변경되는 기타 데이터. 이 문제, 원칙적으로 다음과 같이 해결됩니다. 테스트 연구소에는 소스 코드만 제공되며 인증된 샘플은 테스트 연구소의 전문가가 벤치에서 컴파일한 프로그램 파일 세트로 인식됩니다.

세 번째 제어 수준에서는 소스 코드의 정적 분석이 수행됩니다. 이를 위해 파서를 사용하여 테스트 실험실 전문가가 중복 요소(예: 프로그램 실행 논리에 따라 제어가 전송되지 않는 프로시저 및 기능)를 감지하는 프로시저 및 기능 호출 트리가 구축됩니다. 이러한 요소의 존재는 보안 도구의 기능 구현과 관련되지 않아 선언되지 않은(즉, 사용자가 기대하지 않는) 기능을 포함하는 프로그램 코드의 존재로 테스트 연구소에서 간주될 수 있습니다.

두 번째 제어 수준에서는 정적 분석이 동적 분석으로 보완됩니다. 테스트 연구소 전문가는 수정하는 주요 절차 및 기능 디버깅 코드의 소스 코드를 포함합니다. 특수 파일모두 그들에게 호소합니다. 이러한 방식으로 수정된 소프트웨어는 일련의 테스트를 통해 실행되며, 이 기간 동안 전문가는 정적 코드 분석으로는 예측할 수 없는 프로그램 실행 방법을 식별하려고 합니다. 그러한 "자발적" 전환의 존재는 선언되지 않은 능력의 실현의 존재로도 간주됩니다. 또한 전문가들은 소위 콜 트리를 식별하려고 노력하고 있습니다. 중요 경로 - 인증된 보안 도구의 가장 중요한 보안 기능 구현과 관련된 프로그램 실행 경로입니다. 중요한 경로의 경우 조건문 및 루프 분석을 포함하여 더욱 신중한 코드 분석이 수행됩니다. 그 목적은 개발자가 보안 기능을 우회할 수 있는 능력을 탐지하는 것입니다.

마지막으로, 첫 번째 제어 수준은 개발자가 인증된 개발 도구 및 코드 컴파일을 사용해야 하는 추가 요구 사항이 두 번째 수준과 다릅니다. 이 수준은 정부의 국방 명령에 따라 R&D의 일환으로 개발된 소프트웨어 타이틀에만 적용되며 일상생활에서는 접할 수 없습니다.

4. 인증된 보호 장비의 구현 및 작동 특징

그럼 기능을 이해하신 후 다양한 유형인증을 통해 정보 시스템 운영자가 인증된 보안 수단을 선택할 때 따라야 하는 대략적인 알고리즘을 공식화할 수 있습니다. 우선, 사용되었거나 계획된 보호 수단의 인증 요구 사항을 정의하는 규제 문서를 주의 깊게 검토해야 합니다. 예를 들어, 특정 정보 시스템의 경우 규제 문서는 비준수 정보의 부재에 대한 통제를 요구하지 않거나 반대로 그러한 통제의 특정 최소 수준을 설정합니다.

인증 요구 사항을 결정한 후에는 인증된 솔루션을 신중하게 선택해야 합니다. 세 가지가 있습니다 전형적인 오류, 이는 다음을 선택할 때 수행됩니다.

• 인증된 보호 장비의 인증되지 않은 사본 사용;
• 부적합한 인증서가 포함된 보안 도구 사용
• 인증 제한 사항을 위반하여 보호 장비를 사용하는 행위.

첫 번째 오류는 특정 미디어에서 설치된 소프트웨어 제품이 인증된 것으로 간주된다는 사실과 관련이 있습니다. 예를 들어, 부도덕한 공급업체는 자신이 제공하는 프로그램 버전이 인증되었다고 주장하여 러시아 FSTEC 인증서 등록 항목을 통해 이를 확인하는 경우가 많습니다. 인증된 프로그램의 특정 버전이 아니라 특정 인스턴스라는 점을 분명히 이해해야 합니다. 공급업체는 다음 증거를 제공하여 인증서의 존재를 확인해야 합니다.

• 인증된 소프트웨어 보안 도구의 배송 패키지에는 인증서 사본 및 보안 장치 양식(후자의 승인 시트에는 공무원의 서명과 FSTEC 해당 부서의 직인)을 포함한 문서가 포함되어야 합니다. 러시아의 정보가 명확하게 표시되어야 함)
• 소프트웨어 보안 도구의 배포 매체와 하드웨어 보안 장치의 하우징에는 인증 시스템의 특수 보호 표시를 적용해야 합니다.
• 보안 소프트웨어 배포 키트 및 하드웨어보호는 양식의 주요 특성에 대한 제어 섹션에 지정된 요구 사항을 충족해야 합니다(예: 소프트웨어에 대한 파일 체크섬이 기록됨).

위에 나열된 세 가지 조건이 충족되는 경우에만 보호 장비 사본이 인증됩니다.

가장 큰 문제는 인증서의 부적합으로 인해 발생합니다. 예를 들어 특정 규제 요구 사항을 충족하기 위해 다음 기능을 갖춘 바이러스 백신과 같은 특수 솔루션이 제공될 수 있습니다. 추가 기능침입 탐지를 위해 공급업체는 인증된 솔루션을 제공한다고 주장할 수 있으며, 비침입 탐지 부재 인증서를 통해 이러한 주장을 확인할 수 있습니다. 이것만으로는 충분하지 않다는 점을 이해해야 합니다. 안전 기능의 성능은 관리 문서, 안전 사양 또는 기술 사양의 요구 사항을 준수한다는 인증서를 통해 확인되어야 합니다.

안전 요구 사항이나 기술 사양을 준수하는 것도 쉽지 않습니다. 특정 유형의 보호 장비에 대한 인증 당시 FSTEC에서 승인한 보호 프로필이 없을 수 있으며 신청자는 해당 솔루션이 임의의 기술 조건 및 안전 사양을 준수함을 인증합니다. 인증서 유효 기간 동안 해당 유형의 보호 장비에 대한 표준화된 요구 사항을 도입하는 새로운 방법론 문서가 채택될 수 있습니다. 이 경우 소비자에게는 부정적인 두 가지 옵션이 가능합니다. 첫째, 새로운 방법론 문서를 채택한다고 해서 이전에 발행된 인증서의 유효성이 취소되지는 않지만, 그러한 인증서는 새로운 방법론 문서의 준수 여부를 확인하는 데 사용될 수 없습니다. 그러나 부도덕한 공급업체는 이러한 미묘한 차이에 대한 소비자의 무지를 이용하여 여전히 그러한 솔루션을 판매할 수 있습니다.

또한 특정 보안 조치가 인증되면 특정 제한 사항이 적용됩니다(예: 구성). 예를 들어, 인증된 버전의 배송 패키지 운영 체제 Microsoft Windows에는 다음에 대한 지침이 포함되어 있습니다. 추가 설정인증 요구 사항을 충족하려면 운영 체제가 필요합니다. 이러한 제한은 일부 보안 조치를 정보 시스템에서 사용하기에 부적합하게 만들 수 있으며, 이러한 제한을 준수하지 않는 것은 정보 보안 요구 사항을 위반하는 것으로 간주됩니다.

기본 특성 제어로 돌아가서 인증서는 특정 파일 체크섬이 있는 특정 소프트웨어 어셈블리에만 적용된다는 점을 다시 한 번 상기시켜 드리겠습니다. 동시에 최신 소프트웨어 도구에는 일반적으로 정기적인 업데이트가 필요합니다. 이 경우 어떻게 해야 합니까?

세 가지 옵션이 있습니다. 첫째, 인증된 프로덕션 프레임워크 내에서 다양한 보호 제품(예: 인증된 Microsoft Windows 운영 체제)에 대한 업데이트 인증 프로세스가 시작되었습니다. 이러한 업데이트를 설치하는 것이 가능할 뿐만 아니라 필수입니다.

둘째, 다양한 솔루션(바이러스 백신 도구, 침입 탐지 시스템, 보안 분석 도구)에 대한 보호 프로필에서 신뢰 보증 섹션에는 정기적인 업데이트(예: 서명 데이터베이스 업데이트 또는 의사 결정 규칙 업데이트)를 구성하기 위한 요구 사항이 포함되어 있습니다. ). 이러한 업데이트를 사용해도 소프트웨어의 기본 파일이 변경되지 않으며 인증 사본의 신뢰성 요구 사항을 위반하지 않습니다.

마지막으로, 기타 보안 기능에 대해 인증 시스템은 새 버전이 출시되거나 버그가 제거될 때 변경 사항을 평가하는 절차를 만들었습니다. 이러한 평가를 통과한 보안 제품의 경우 해당 알림이 발행되어 이전에 발행된 인증서의 유효성이 업데이트된 버전으로 확장됩니다.

다른 경우, 개발자가 제품 업데이트 문제를 해결하기 위해 노력하지 않은 경우 정보 시스템 운영자는 식별된 모든 오류가 포함된 오래된 버전을 계속 사용하고 다른 인증된 솔루션으로 전환할 계획을 세울 수밖에 없습니다.

정보보안도구(ISIS) 인증 오늘날 정보 보안 시장에 나와 있는 거의 모든 국내 및 해외 제품의 수명주기에 대한 통합 프로세스입니다. 인증서를 받는다는 것은 인증받은 제품의 신뢰성과 품질을 인정하는 일종일 뿐만 아니라, 개발사의 권위와 지위를 나타내는 지표이기도 합니다. 또한, 인증받은 제품을 사용하면 요구사항에 따라 정보보호를 보장할 수 있습니다. FSB그리고 FSTEC,예를 들어 상업적인 것뿐만 아니라 국가기밀. 그러나 아직 경험이 없는 사람들에게 인증은 신화가 자라나는 매우 복잡하고 혼란스러운 과정인 경우가 많습니다. 오늘 출판물에서 우리는 이것을 조금 바꾸려고 노력할 것입니다.

사실부터 시작해보자 정보보호수단 인증 1995년 6월 26일 러시아 연방 정부 법령에 의해 승인된 "정보 보안 수단 인증에 관한 규정"에 따라 수행됩니다.

문서에 따르면:

인증 - 인증 기관이 수행하는 기술 규정, 표준 조항, 규칙 코드 또는 계약 조건의 요구 사항을 개체가 준수하는지 확인하는 형태입니다.

그리고 나 자신 적합성 증명서 - 대상이 기술 규정, 표준 조항, 실행 규약 또는 계약 조건의 요구 사항을 준수함을 증명하는 문서.

국가 비밀을 구성하는 정보를 보호하기 위해 설계된 기술, 암호화, 소프트웨어 및 기타 수단, 구현 수단, 정보 보호 효과를 모니터링하는 수단은 정보 보호 수단입니다.

이 자금은 필수 인증, 정보 보안 인증 시스템의 틀 내에서 수행됩니다.

정보 보안 인증 시스템은 다음과 같은 인증 참가자의 모음입니다.

• 연방 기관인증에 관한 것;
• 인증 시스템의 중앙 기관 - 동종 제품에 대한 인증 시스템을 이끄는 기관
• 정보 보안 수단에 대한 인증 기관 - 특정 제품의 인증을 수행하는 기관
• 테스트 실험실 - 특정 제품에 대한 인증 테스트(이러한 테스트의 특정 유형)를 수행하는 실험실
• 제조업체 - 판매자, 제품 수행자.

수입정보보호제품에 대한 인증을 실시합니다. 같은 규칙에 따라 , 국내뿐만 아니라.

정보 보안 도구 인증을 위한 주요 체계는 다음과 같습니다.

• 정보 보안 수단의 단일 샘플 - 정보 보안 요구 사항을 준수하는지 테스트합니다.
• 정보 보안 수단의 연속 생산 - 정보 보안 요구 사항을 준수하기 위한 정보 보안 수단 샘플의 형식 테스트를 수행하고 이러한 요구 사항의 충족을 결정하는 인증된 정보 보안 수단의 특성 안정성에 대한 후속 검사 제어를 수행합니다.

안에 어떤 경우에는정보보호장비 인증기관과 협의하여 제조사의 시험시설에서 시험을 실시할 수 있습니다. 테스트 시기는 제조업체와 테스트 연구소 간의 합의에 의해 설정됩니다.

기술 정보 보안 분야의 주요 인증 기관은 다음과 같습니다. 러시아 FSB그리고 러시아 FSTEC. 동시에 러시아 FSB가 이 지역에서 활동하고 있다. 암호화 정보 보호, 그리고 러시아의 FSTEC – 비암호화 방법을 이용한 기술정보 보호 분야.

러시아 FSB 인증 요구 사항은 폐쇄되어 있습니다. 특별 허가, 러시아 FSTEC의 요구 사항은 공식 웹 사이트에 게시되어 공개됩니다.

인증 시스템 및 요구 사항

1. 제품이 실제로 선언된 기능을 구현하는지 확인하기 위한 정보 보안 도구의 기능 테스트입니다. 이 테스트는 특정 규제 문서(예: 러시아 국가 기술 위원회의 관리 문서 중 하나)를 준수하기 위해 가장 자주 수행됩니다. 이러한 문서는 예를 들어 방화벽 및 무단 액세스에 대한 보호 수단을 위해 확립되었습니다. 인증된 제품이 완전히 준수하는 문서가 없는 경우 기능 요구 사항은 기술 사양 또는 안전 사양 형식(GOST R 15408 표준 조항에 따라)으로 명시적으로 공식화될 수 있습니다. ).

1. 선언되지 않은 기능이 없는지 프로그램 코드의 구조적 테스트. 고전적인 예선언되지 않은 기능은 특정 조건이 발생할 때 정보에 대한 무단 영향을 허용하는 문서에 설명되지 않은 기능의 실행을 시작하는 소프트웨어 북마크입니다(GOST R 51275-99에 따라). 선언되지 않은 기능을 식별하려면 프로그램 소스 코드에 대한 일련의 테스트를 수행해야 하며, 이는 인증 테스트를 수행하기 위한 필수 조건입니다.

활동 러시아 연방의 러시아 인증 시스템 연방법 No. 184 "기술 규정"에 의해 규제됩니다. 정보 보안 도구 인증은 다음과 같습니다. 자발적인또는 필수적인- 주로 국방부, FSB 및 FSTEC의 틀 내에서 수행됩니다. 대부분의 상업 회사에서는 이 용어를 사용합니다. "인증" 개념과 동의어이다 "FSB 시스템 인증" 암호화 보안 조치 및 “FSTEC 시스템 인증” 다른 모든 제품의 경우. 그러나 암호화 외에도 FSB의 역량에는 최고 정부 기관에서 사용되는 정보 보안 조치가 포함된다는 점을 명심해야 합니다. 국방부의 정보보호 인증제도는 군사시설에서 사용되는 소프트웨어 제품에 중점을 두고 있다.

자발적 인증 시스템 정보 보안 도구는 오늘날 아직 널리 사용되지 않습니다. 이런 종류의 시스템 중 눈에 띄는 유일한 시스템은 IT 인증입니다. 불행하게도 그 사실에도 불구하고 자발적 시스템정보 개체를 인증할 때 기밀 정보 보호에 관한 규제 문서 준수 인증서를 얻을 수 있습니다. 이러한 인증서는 러시아 FSTEC에서 인정되지 않습니다. .

모든 인증 시스템에서 테스트를 구성하고 수행하는 프로세스는 엄격하게 공식화되어 있지만 대부분의 IT 전문가가 이러한 테스트에 참여하는 경험이 부족하고 규제 기관과의 상호 작용으로 인해 인증 문제에 대한 많은 신화와 오해가 발생합니다.

오해 #1: 인증은 거래이다.불행하게도 일부 소비자들은 모든 인증을 획득하기 위한 공식적인 절차로 진심으로 생각합니다. 서류 허가, 당연히 부패하고 절대적으로 쓸모가 없습니다. 따라서 인증을 위해 제출한 보호장비가 실제로 심각한 테스트를 거쳤으며, 테스트 결과가 부정적일 수도 있다는 사실은 많은 지원자에게 충격으로 다가옵니다. 인증 기관이 테스트 실험실을 독립적으로 통제함으로써 신청자와 실험실 사이에 공모가 없음을 보장합니다.

오해 2번: 인증은 정부 기관에서 수행됩니다.물론, 모든 필수 인증 시스템의 연방 기관은 국가 소유이지만 시험소 및 인증 기관은 어떤 형태로든 소유권을 가질 수 있으며 실제로는 대부분 상업 조직입니다.

세 번째 오해: 인증은 국가 기밀을 보호하는 수단에만 필요합니다.오늘날 정보 보안 도구의 80% 이상이 국가 기밀을 구성하는 정보를 포함하지 않는 자동화 시스템에서만 사용하도록 인증되었습니다.

오해 4번: 정부 기관에만 인증이 필요합니다.실제로 최종 고객은 정보화 객체의 인증, 즉 자동화 시스템이 안전하다는 공식 확인에 관심이 있습니다. 대부분의 경우 성공적으로 인증을 통과하려면 독점적으로 인증된 보안 도구를 사용하여 시스템을 구축해야 합니다. 이는 국가 정보 자원과 관련된 시스템뿐만 아니라 개인 데이터 처리와 관련된 시스템에도 해당됩니다. 보호되는 비밀 유형에 관계없이 소프트웨어 제품의 필수 인증 요구 사항이 발생할 수 있습니다. 예를 들어 이러한 요구 사항은 다음 작업을 수행하는 시스템에 존재합니다. 신용 기록국제 교류 네트워크 등의 자원에 대한 접근을 제공하는 경우 시민, 게임 시스템

오해 5: 외국 제품은 인증을 받을 수 없습니다.실제로 Microsoft, IBM, SAP, Symantec, Trend Micro 등과 같은 개발자의 제품은 선언되지 않은 기능이 없는지에 대한 테스트를 포함하여 인증 테스트를 성공적으로 통과했습니다.

원칙적으로 외국 기업은 소스 코드를 러시아로 전송하지 않으므로 현장에서 개발자에게 테스트가 수행됩니다. 물론 프로그램 코드어떠한 유출도 제외하고는 개발자의 보안 서비스의 절대적인 통제 하에 제공됩니다. 이 모드에서 작업을 수행하는 것은 매우 복잡하고 자격을 갖춘 전문가가 필요하므로 모든 테스트 실험실이 이러한 서비스를 제공할 준비가 되어 있는 것은 아닙니다. 그러나 러시아에서 인증을 받는 외국 제품의 수가 매년 증가하고 있습니다. 현재 마이크로소프트, IBM, 오라클, SAP 등 약 20개 외국 기업이 인증 테스트를 위해 자사 제품의 소스 코드를 제공하고 있다. 이와 관련하여 주목할 만한 것은 Microsoft Corporation - 정부 보안 프로그램의 계획입니다. 이에 따라 모든 회사 제품의 기본 코드가 연구를 위해 러시아로 이전되었습니다. 지난 5년 동안 거의 40개에 달하는 외국 제품이 미신고 기능 부재 인증서를 받았습니다.

오해 6번: 인증은 보호된다는 의미입니다.이것은 전적으로 사실이 아닙니다. 올바른 공식은 제품이 인증을 받았다는 것입니다. 이는 특정 요구 사항을 충족한다는 의미입니다. 동시에, 소비자는 테스트를 통해 고객이 관심을 갖는 제품 특성을 실제로 검증했는지 확인하기 위해 보호 장비가 준수하도록 인증받은 것이 정확히 무엇인지 명확하게 이해해야 합니다.

제품이 기술 사양을 준수하는지 테스트한 경우 이 준수 사항은 인증서에 기록되지만 소비자는 제품의 기술 사양을 읽지 않고 원칙적으로 어떤 특성이 테스트되었는지 확인할 수 없으며 이는 사기를 위한 전제 조건을 생성합니다. 무자격 소비자. 마찬가지로, 선언되지 않은 기능이 없다는 인증서가 있다고 해서 제품의 기능에 대해 아무 말도 하지 않습니다.

기술 사양에 명시된 특정 운영 환경 및 플랫폼, 운영 모드, 구성, 추가 보안 조치 사용 등 제품 사용에 대한 제한 사항을 숙지하는 것이 매우 중요합니다. 예를 들어, 인증서 일부 Windows 및 MSWS 운영 체제 버전의 경우 신뢰할 수 있는 부팅 모듈에서만 유효합니다. 거의 모든 외부 보안 인증서는 특정 버전의 OS에만 유효하며 일부 신뢰할 수 있는 부팅 도구 사용에 대한 제한 사항은 보장해야 할 사항을 지정합니다. 물리적 보호컴퓨터. Windows가 명령 모드에서만 작동해야 한다고 지정된 오래된 보안 도구의 제한 사항이 있는 흥미로운 경우가 있습니다.

오해 7번: 인증 중에는 아무 것도 발견되지 않습니다.규제 문서의 요구 사항에 관계없이 오늘날에는 인증 테스트의 일부로 전문가가 소스 코드(제공된 경우)를 주의 깊게 검사하고 다양한 로드 테스트 옵션도 수행하는 무언의 규칙이 있습니다. 또한 전문가들은 제품 및 작동 환경에 대한 다양한 안전 공지를 연구합니다. 결과적으로 숙련된 실험실은 신청자가 수정하거나 문서에 설명해야 하는 심각한 취약점 목록을 받습니다. 예를 들어, 인증은 생성을 위한 내장된 비밀번호 및 알고리즘, 아키텍처 오류(이산 및 필수 액세스 원칙의 잘못된 구현 등), 프로그래밍 오류(버퍼 오버플로 취약성, 논리 및 시간 연산자의 오류, 경합)과 같은 취약성을 식별합니다. , 신뢰할 수 없는 파일을 다운로드할 가능성 등) 및 응용 프로그램 데이터 처리 오류(SQL 주입, 사이트 간 스크립팅)가 발생하며 이를 구현하면 시스템 보안 수준이 크게 저하될 수 있습니다. 우리의 관행에 따르면 테스트된 통신 장비의 70%에서 내장된 마스터 비밀번호가 발견되었으며 테스트된 운영 체제의 거의 30%에서 접근 제어 시스템 구현 오류가 확인되었습니다. 심지어 제품에 논리적인 시한폭탄이 포함된 경우도 있었습니다.

오해 8번: 제품에는 선언되지 않은 기능이 없는 것으로 인증되었습니다. 즉, 취약점이 없다는 의미입니다. 현재까지 가능한 모든 소프트웨어 취약점을 식별할 수 있는 방법은 없습니다. 성공적인 완료선언되지 않은 기능이 없다는 인증은 특정 방법을 사용하여 식별된 특정 클래스의 취약점만 탐지하도록 보장합니다. 반면, 선언되지 않은 기능이 없음에 대한 인증을 통과하면 개발자가 프로그램 제작에 대한 품질 시스템을 보유하고 있음을 보장합니다. 즉, 실제 소스 코드와 컴파일 환경을 모두 찾아 기록하고, 컴파일 및 어셈블리를 보장할 수 있습니다. 반복되며 러시아어 문서도 있습니다.

오해 9번: 소스 코드 분석에 대한 요구 사항은 우리나라에만 존재합니다.엄격하다는 비판을 자주 접할 수 있습니다. 국내 인증프로그램 소스코드 제공과 관련된 내용입니다. 실제로, 국제 시스템 Common Criteria 인증은 소스코드 제공 없이 국가기밀로 분류되지 않은 정보를 처리하는 제품에 대한 테스트를 허용하지만, 이 경우 숨겨진 채널이 없는지 확인하고 취약점이 정당화되어야 합니다. 국가기밀 처리 시스템 및 결제 시스템에 대해 제공됩니다. 구조 분석소스 코드 보안. 상용 소스코드 보안 감사 요구사항 소프트웨어 제품국제 표준 PCI DSS, PA DSS 및 NISTIR 4909에서 찾을 수 있습니다.

오해 #10: 인증에는 비용이 많이 듭니다.정보 보안 요구 사항에 따른 소프트웨어 인증은 시간이 많이 걸리고 노동 집약적인 프로세스이므로 무료로 제공될 수 없습니다. 동시에 적합성 인증서가 있으면 신청자 제품의 시장이 크게 확대되고 판매량이 늘어나므로 다른 비용에 비해 인증 비용이 적은 것으로 나타났습니다.

인증은 정보 보안 분야의 모든 기존 문제를 해결하는 보편적인 방법은 아니지만 오늘날 정보 보안 도구의 독립적인 품질 관리를 제공하는 유일하게 실제로 작동하는 메커니즘이며 이로 인한 이점은 해로움보다 더 큽니다. 올바르게 사용하면 인증 메커니즘은 달성 문제를 성공적으로 해결할 수 있습니다. 보장된 수준자동화된 시스템의 보안.

앞으로 규제 도구로서의 인증은 현재 위협에 대한 보호를 위한 합리적인 요구 사항을 반영하는 규제 문서를 개선하는 방향과 한편으로는 주요 구성 요소를 확인하는 방법을 개선하는 방향으로 바뀔 것이라고 가정할 수 있습니다. 반면에 "효율성/시간" 기준.

일반 조항

인증 시스템의 조직 구조

보안 요구 사항에 따른 정보 보호 도구

정보

인증 및 통제 절차

규제 및 방법론 문서에 대한 요구 사항

정보보안 자격증

부록 1

부록 2

부록 3

부록 4

부록 5

1. 일반 조항

1.1. 본 규정은 정보 보안 수단의 필수 인증 시스템의 기본 원칙, 조직 구조, 정보 보안 요구 사항에 따른 이러한 보호 수단 인증 절차 및 국가 통제인증 및 인증된 정보 보안 통제에 대한 감독.

정보 보안이란 국가 비밀을 구성하는 정보를 보호하기 위해 고안된 기술, 암호화, 소프트웨어 및 기타 수단과 이를 구현하는 수단 및 정보 보호의 효율성을 모니터링하는 수단을 의미합니다.

정보 보안 요구 사항에 따른 정보 보안 도구 인증(이하 인증)은 국가가 승인한 정보 보안에 관한 국가 표준 또는 기타 규제 문서의 요구 사항을 준수하는지 확인하는 활동을 의미합니다. 기술위원회러시아 연방 대통령 (러시아 국가 기술위원회)

1.2. 규정은 러시아 연방 법률 "제품 및 서비스 인증" 및 "국가 비밀", 1995년 6월 26일자 러시아 연방 정부 법령 No. 608 "정보 보안 인증"에 따라 개발되었습니다. 도구”, “외국 기술 정보 및 유출로 인한 러시아 연방의 국가 정보 보호 시스템에 대한 규정 기술 채널", "GOST R 인증 시스템" 및 "러시아 연방 인증 규칙"을 기반으로 합니다.

1.3. 정보보안 요구사항에 따른 정보보안 도구 인증제도는 정보보안 요구사항에 따른 정보화객체 인증을 포함하며, 주정부 등록러시아 국가 표준이 정한 절차에 따라.

정보보안 요구사항에 따라 인증된 정보화 객체는 다음과 같이 이해됩니다. 자동화 시스템(AS) 다양한 수준 및 목적의 통신 시스템, 문서의 표시 및 복제, 문서가 설치된 장소, 보호할 정보를 처리 및 전송하기 위한 장소, 비밀 협상을 수행하기 위한 장소 자체 .

정보보안 요구사항에 따른 정보화 객체 인증 시스템의 기본원칙, 조직구조, 행동규칙 및 기타 인증 문제는 “정보보안 요구사항에 따른 정보화 객체 인증에 관한 규정”에서 정한다.

인증 시스템의 활동은 러시아 연방의 입법 및 기타 규제 행위에 따라 정의된 권한 내에서 러시아 국가 기술위원회에 의해 조직됩니다.

1.4. 인증 시스템 구축의 목표는 다음과 같습니다.

요구 사항 구현 보장 국가 시스템정보 보호;

인증된 정보 보안 도구를 소비자에게 고품질의 효과적으로 제공할 수 있는 조건을 조성합니다.

보안 국가 안보정보 분야에서;

보안 정보 기술 시장 형성 및 이를 지원하는 수단을 촉진합니다.

정보화 분야에서 통합된 과학, 기술 및 산업 정책의 형성 및 구현을 고려합니다. 현대적인 요구 사항정보 보호에 관한 것;

정보화 프로젝트 및 프로그램을 지원합니다.

1.5. 의무인증은 외국산을 포함하여 국가기밀을 구성하는 정보 및 기타 접근이 제한된 정보를 보호하기 위한 수단 및 환경관리에 사용되는 수단에 적용됩니다. 위험한 물건. 필수 인증이 적용되는 정보 보안 수단 목록은 러시아 국가 기술위원회에서 개발하고 다음 사항에 동의합니다. 부서간 위원회국가기밀 보호를 위해. 다른 경우에는 인증이 자발적으로 이루어집니다( 자발적 인증) 정보 보안 도구의 개발자, 제조업체 또는 소비자의 주도로 수행됩니다.

1.6. 정보 보안 도구에 대한 주요 인증 체계는 다음과 같습니다.

정보 보안 수단의 단일 샘플의 경우 - 정보 보안 요구 사항을 준수하는지 샘플을 테스트합니다.

보호 장비의 연속 생산을 위한 정보 - 보유정보 보안 요구 사항을 준수하기 위한 제품 샘플의 표준 테스트 및 후속 검사 인증된 제품의 특성 안정성에 대한 제어를 통해 이러한 요구 사항 준수를 보장(결정)합니다. 또한, 인증기관의 결정에 따라 승인된 프로그램에 따른 생산에 대한 사전검사(인증)가 허용됩니다. 정보 보안 요구 사항에 대한 인증 기관과의 합의에 따라 국제 실무에서 사용되는 다른 인증 체계를 사용할 수 있습니다.

1.7. 정보 보안 수단에 대한 인증은 러시아 국가 기술위원회 및 공인 인증 기관에서 수행하며, 테스트는 공인 테스트 센터(연구소)에서 재료 및 기술 기반에 대해 수행됩니다. 어떤 경우에는 러시아 국가 기술위원회 또는 인증 기관과 합의하여 이 정보 보안 도구의 개발자(제조업체, 공급업체, 소비자)의 테스트 기반에서 테스트를 수행하는 것이 허용됩니다.

인증 규칙은 현재 시스템인 "정보 보안 수단 인증을 위한 테스트 센터(실험실) 및 기관의 인증에 관한 규정"에 의해 결정됩니다.

1.8. 특정 정보 보안 도구의 인증에 대한 지불 절차는 인증 참가자 간의 합의에 따라 신청자가 수행합니다. 정보 보안 도구 인증을 위해 신청자가 지출한 금액은 비용에 포함됩니다.

1.9. 인증 기관 및 테스트 센터(연구소)는 자신에게 할당된 기능을 수행하고 국가 비밀 등의 안전을 보장할 책임이 있습니다. 기밀 정보, 물질적 자산정보 보안 도구를 테스트할 때 신청자의 저작권을 준수할 뿐만 아니라 신청자가 제공합니다.

2. 인증 시스템의 조직 구조

2.1. 인증 시스템의 조직 구조는 다음과 같이 구성됩니다.

러시아 국가 기술 위원회(정보 보안 수단 인증을 위한 연방 기관)

정보 보안 인증 시스템의 중앙 기관;

정보 보안 도구에 대한 인증 기관;

테스트 센터(실험실);

신청자(정보 보안 제품의 개발자, 제조업체, 공급업체, 소비자).

2.2. 러시아 국가기술위원회는 그 권한 내에서 다음 기능을 수행합니다.

정보보호 도구에 대한 인증체계를 구축하고 인증규칙을 제정합니다. 특정 유형이 시스템의 정보를 보호하는 수단

정보 보안 수단에 대한 인증 시스템의 기능을 구성합니다.

이 시스템에서 필수 인증이 적용되는 정보 보안 도구 목록을 결정합니다.

인증 작업에 대한 인증 및 라이센스 발급 규칙을 수립합니다.

정보 보안 도구 인증 시스템을 위한 규제 및 방법론 문서 개발을 조직하고 자금을 조달합니다.

(필요한 경우) 정보 보안 인증 시스템의 중앙 기관을 결정하거나 이 기관의 기능을 수행합니다.

시스템에서 정보 보안 수단 인증이 수행되는 준수를 위해 정보 보안에 관한 규제 문서와 인증 테스트 수행에 대한 방법론 문서를 승인합니다.

인증 기관 및 테스트 센터(실험실)를 인정하고 특정 유형의 작업을 수행하기 위한 라이센스를 발급합니다.

리드 상태 등록부참가자 및 인증 대상;

국가 통제 및 감독을 수행하고 인증 규칙 및 인증된 정보 보안 수단 준수에 대한 검사 통제 절차를 수립합니다.

인증 문제에 관한 항소를 검토합니다.

러시아 Gosstandart에 국가 등록을 위한 인증 시스템 및 적합성 표시를 제출합니다.

인증에 관한 정보를 정기적으로 발행합니다.

관련자와 상호작용한다 승인된 기관인증 문제에 관한 기타 국가 및 국제기구는 국제 및 외국 인증서 인정에 대한 결정을 내립니다.

전문 감사인의 교육 및 인증을 조직합니다.

적합성 마크 사용에 대한 인증서 및 라이센스를 발급합니다.

발급된 인증서의 유효성을 정지하거나 취소합니다.

러시아 국가기술위원회는 인증 시스템의 중앙 기관과 인증 기관에 일부 기능을 위임할 수 있습니다.

2.3. 중앙 당국정보 보안 인증 시스템:

시스템에 포함된 인증 기관 및 테스트 센터(실험실)의 활동을 조정합니다.

시스템에서 인증된 다양한 정보 보안 도구에 대한 제안을 개발하고 이를 러시아 국가 기술 위원회에 제출합니다.

시스템에서 정보 보안 수단 인증이 수행되는 규정 준수를 위한 규제 문서 및 인증 테스트 수행을 위한 방법론 문서의 자금을 개선하기 위한 작업에 참여합니다.

시스템에 포함된 인증 기관 및 테스트 센터(실험실)의 조치에 관한 항소 고려에 참여합니다.

시스템에 포함된 정보 보안 도구 인증을 위한 인증 기관 및 테스트 센터(실험실)의 인증에 참여합니다.

시스템에 포함된 인증 기관 및 테스트 센터(실험실), 적합성 표시 사용에 대한 발급 및 취소된 인증서 및 라이센스, 인증에 대한 규칙, 요구 사항, 방법 및 권장 사항이 포함된 규제 및 방법론 문서에 대한 기록을 유지합니다.

인증 참가자에게 시스템 활동에 대한 정보를 제공하고 출판에 필요한 자료를 준비합니다.

2.4. 확립된 인정 범위 내의 정보 보안 도구에 대한 인증 기관:

신청자의 제안을 고려하여 특정 정보 보안 도구에 대한 인증 체계를 결정합니다.

인증 테스트가 수행되는 준수 요구 사항을 명확히 합니다.

인증 테스트 수행을 위한 프로그램 및 방법을 승인합니다.

정보 보안 수단에 대한 기술 및 운영 문서와 이러한 수단의 인증 테스트를 위한 자료를 검사합니다.

정보 보안 수단 인증, 적합성 마크 사용을 위한 인증서 초안 및 라이센스에 대한 전문가 의견을 작성하여 러시아 국가 기술위원회에 제출합니다.

필요하다면 정리하고, 사전 점검(인증) 인증된 정보 보안 도구 생산;

테스트 센터(실험실) 인증에 참여합니다.

인증된 정보 보안 도구의 특성 안정성과 테스트 센터(연구소) 활동에 대한 검사 통제에 참여합니다.

정보 보안 인증 수단을 확인하는 문서(원본) 저장

발급된 인증서의 유효성을 취소하도록 러시아 국가기술위원회에 청원합니다.

인증에 필요한 규범적 및 방법론적 문서 기금을 구성 및 업데이트하고 개발에 참여합니다.

신청자에게 인증에 필요한 정보를 제공합니다.

2.5. 확립된 인증 범위 내의 테스트 센터(실험실):

특정 정보 보안 도구의 인증 테스트를 수행하고, 인증 테스트의 결론 및 프로토콜을 작성하고, 인증 테스트를 위한 프로그램 및 방법을 개발합니다.

인증 테스트를 위한 정보 보안 수단 샘플 선택을 수행합니다.

인증된 정보보안 도구 제작에 대한 사전검증(인증)에 참여합니다.

테스트 센터(실험실)는 정보 보안 장비 테스트의 완전성, 측정의 신뢰성, 객관성 및 요구되는 정확성, 측정 장비의 적시 검증 및 테스트 장비 인증을 담당합니다.

2.6. 신청자(정보 보안 제품의 개발자, 제조업체, 공급업체, 소비자):

정보 보안에 관한 규제 문서의 요구 사항에 대한 정보 보안 수단의 준수를 보장합니다.

생산 준비를 수행하고 정보 보안을 결정하는 정보 보안 도구 특성의 안정성을 보장하기 위한 조치를 취합니다.

인증된 정보 보안 도구에 대한 정보, 준수해야 하는 규제 문서를 기술 문서에 표시하고 이 정보가 소비자에게 전달되도록 합니다.

인증 시스템의 규칙에 따라 설정된 방식으로 인증된 정보 보안 도구에 적합성 표시를 표시합니다.

다음의 지침에 따라 인증서와 적합성 마크를 적용합니다. 입법 행위러시아 연방 및 인증 시스템 규칙

해당 정보 보안 수단의 재인증 필요성에 대한 결정을 내리기 위해 인증된 정보 보안 수단의 기술, 설계(구성)의 모든 변경 사항을 인증 기관 및 인증을 수행한 테스트 센터(실험실)에 통보합니다.

자신의 권한이 원활하게 집행되도록 보장 공무원인증된 정보 보안 수단에 대한 검사 통제를 행사하는 기관

정보 보안 조치가 규제 문서의 요구 사항을 충족하지 않는 경우, 인증서가 만료되거나 정지 또는 취소되는 경우 정보 보안 조치의 구현을 일시 중지하거나 종료합니다.

인증된 정보 보안 수단과 규제 문서의 요구 사항 사이에 불일치가 발견되면 이러한 정보 보안 수단을 개선하고 인증 테스트를 수행하기 위한 조치가 취해집니다.

신청자(개발자, 제조업체, 공급업체)는 관련 활동 유형에 대해 러시아 국가 기술위원회로부터 라이센스를 받아야 합니다.

2.7. 인증 기관 및 테스트 센터(실험실)는 러시아 국가 기술위원회의 인증을 받았습니다.

인증 기관 및 테스트 센터(실험실)는 법인이어야 하며, 훈련된 전문가를 보유해야 합니다. 필요한 수단측정, 테스트 장비 및 테스트 방법, 인증 영역에서 특정 정보 보안 도구 테스트에 대한 전체 작업을 수행하기 위한 규제 문서.

인증은 관련 활동 유형에 대해 러시아 국가 기술위원회로부터 라이센스가 있는 경우에만 수행됩니다.

연방 당국 산하 기업의 인증 기관 및 테스트 센터(실험실)로 인정 행정부, 이러한 당국의 제안에 따라 수행됩니다.

3. 인증 및 통제 절차

3.1. 인증 절차에는 다음 단계가 포함됩니다.

정보 보안 도구 인증 신청서 제출 및 고려 인증된 정보 보안 도구 테스트 및 생산 인증

테스트 결과 조사, 등록, 등록 및 적합성 마크 사용 권리에 대한 인증서 및 라이센스 발급;

국가 통제 및 감독 구현, 필수 인증 규칙 준수에 대한 검사 통제 및 인증된 정보 보안 수단.

정보 보안 도구 인증 결과를 통보합니다.

항소 고려.

3.2. 정보 보안 도구 인증 신청서 제출 및 고려.

3.2.1. 인증서를 얻기 위해 신청자는 테스트를 위해 러시아 국가 기술위원회에 인증을 수행해야 하는 요구 사항을 준수하기 위한 인증 체계, 표준 및 기타 규제 문서를 나타내는 신청서(부록 1)를 제출합니다.

3.2.2. 러시아 국가 기술 위원회는 신청서를 받은 후 1개월 이내에 신청자에게 인증을 위해 지정된 인증 기관 및 테스트 센터(실험실)에 인증 수행 결정을 보냅니다(부록 2). 신청자의 요청에 따라 인증기관 및 시험센터(시험소)가 변경될 수 있습니다.

결정을 받은 후 신청자는 본 제품의 기술 사양에 따른 정보 보안 장치와 기술 및 운영 문서 세트를 인증 기관 및 테스트 센터(실험실)에 제출할 의무가 있습니다. 인증받는 정보보안기기에 대한 ESKD, ESPD에 대한 규제 문서입니다.

3.3. 테스트 센터(실험실)에서 인증된 정보 보안 도구를 테스트합니다.

3.3.1. 인증된 정보 보안 수단의 테스트는 신청자와 승인된 프로그램 및 테스트 방법에 따라 소비자, 고객에게 공급되는 샘플과 설계, 구성 및 제조 기술이 동일해야 하는 샘플에 대해 수행됩니다. 인증기관. 연속 정보 보안 수단에 대한 기술 및 운영 문서에는 ESKD에 따라 "O1" 이상의 문자가 있어야 합니다.

샘플 수, 선택 및 식별 절차는 이러한 유형의 정보 보안 수단에 대한 규제 및 방법론 문서의 요구 사항을 준수해야 합니다.

인증 당시 시험센터(시험소)가 없는 경우, 인증기관은 결과의 객관성을 보장하기 위해 시험 가능성, 장소, 조건 등을 결정합니다.

3.3.2. 시험 시기는 신청자와 시험 센터(실험실) 간의 합의에 따라 결정됩니다.

3.3.3. 신청자의 요청에 따라 그의 대리인은 테스트 센터(실험실)에서 정보 보안 수단 샘플의 보관 및 테스트 조건을 숙지할 수 있는 기회를 받아야 합니다.

3.3.4. 테스트 결과는 프로토콜과 결론으로 ​​문서화되어 테스트 센터(실험실)에서 인증 기관으로 전송되고 사본으로 신청자에게 전송됩니다.

3.3.5 정보보호수단의 설계(구성) 또는 생산기술이 변경되어 정보보호수단의 특성에 영향을 미칠 수 있는 경우 신청자(개발자, 제조자, 공급자)는 인증기관에 이를 통보한다. 후자는 이러한 정보 보안 도구에 대한 새로운 테스트를 수행할 필요성을 결정합니다.

3.3.6. 수입 정보보호 도구에 대한 인증은 국내 인증과 동일하게 진행됩니다.

3.4. 테스트 결과 검토, 적합성 마크 사용 권리에 대한 인증서 및 라이센스의 실행, 등록 및 발급.

3.4.1. 인증기관은 시험 결과를 검토하고 전문가 의견을 작성합니다. 테스트 결과가 정보 보호에 관한 규제 문서의 요구 사항을 준수하는 경우 인증 기관은 정보 보호 수단에 대한 전문가 의견 및 사양과 함께 인증서 초안을 작성하여 러시아 국가 기술 위원회에 보냅니다.

승인 후 전문가 의견, 정보 보안 장치 사양 승인, 인증서에 등록 번호 할당, 러시아 국가 기술 위원회에서 인증서(부록 3)를 발급하고 모든 문서가 신청자에게 발급됩니다. 인증서의 유효기간은 5년 이내로 설정되어 있습니다.

테스트 결과가 정보 보호에 관한 표준 또는 기타 규제 문서의 요구 사항을 준수하지 않는 경우 러시아 국가 기술위원회는 인증서 발급을 거부하기로 결정하고 신청자에게 합리적인 결론을 보냅니다. 인증서 발급 거부에 동의하지 않는 경우 신청자는 인증 자료에 대한 추가 고려를 위해 러시아 국가 기술위원회 항소위원회에 항소할 권리가 있습니다.

3.4.2. 정보 보안 수단 제조업체가 인증서를 받으면 해당 수단에 적합성 표시를 표시하기 위해 러시아 국가 기술위원회로부터 인증 라이센스(부록 4)를 얻을 수 있는 권리가 부여됩니다. 적합성 마크의 형태는 러시아 국가기술위원회(부록 5)에 의해 확립됩니다.

적합성 마크 사용 라이센스 소유자는 인증서에 명시된 규제 및 방법론적 문서의 요구 사항을 충족하지 않는 표시된 정보 보안 장비의 공급에 대한 책임이 있습니다.

3.4.3. 외국 인증서를 인정하기 위해 신청자는 해당 인증서 사본과 인증서 인정 신청서를 러시아 국가 기술위원회에 보냅니다. 그러면 국가 기술위원회는 신청자에게 수령 후 2개월 이내에 인정 또는 인증 테스트를 수행해야 함을 알립니다. . 인정되면 신청자에게 정해진 양식의 증명서가 발급됩니다 (부록 3).

3.5. 국가 통제 및 감독, 필수 인증 규칙 준수에 대한 검사 통제 및 인증된 정보 보안 수단.

3.5.1. 신청자, 테스트 센터(실험실), 인증 기관의 필수 인증 규칙 및 인증된 정보 보안 수단 준수에 대한 국가 통제 및 감독은 러시아 국가 기술위원회에서 수행합니다. 국가 통제 및 감독의 범위, 내용 및 절차는 정보 보안 인증 시스템에서 운영되는 규제 및 방법론 문서에 확립되어 있습니다.

3.5.2. 인증된 정보 보안 수단에 대한 검사 통제는 해당 정보 보안 수단을 인증한 인증 기관이 수행합니다. 특정 유형의 인증된 정보 보안 수단에 대한 검사 통제에 대한 일반 규칙은 정보 보안 수단 인증 시스템의 규제 및 방법론 문서에 확립되어 있습니다. 테스트 센터(실험실)에서 인증된 정보 보안 도구의 테스트 빈도와 범위는 특정 유형의 정보 보안 도구 인증을 위한 규제 및 방법론 문서에 제공되어야 합니다.

3.5.3. 통제 결과에 따라 러시아 국가 기술위원회는 인증서 및 인정 인증서의 유효성을 정지 또는 취소할 수 있으며, 인증 기관은 이에 대해 신청할 수 있습니다. 인증서 취소 결정은 즉각적인 조치를 취한 결과 확립된 요구 사항에 대한 정보 보안 조치의 준수를 복원할 수 없는 경우에만 내려집니다. 그러한 결정을 강요할 수 있는 이유는 다음과 같습니다.

정보 보안 수단 또는 테스트 및 제어 방법에 관한 규제 및 방법론 문서의 변경

설계(구성), 정보보안 수단의 완성도 및 품질 관리 시스템의 변경

정보 보안 장비의 제조 기술, 제어 및 테스트 요구 사항을 준수하지 않음

국가 통제 및 감독, 인증에 대한 검사 통제 및 인증된 정보 보안 수단을 행사할 권한이 있는 사람을 신청자가 인정(접수)하는 것을 거부합니다.

3.5.4. 인증서 또는 인정 인증서의 정지(취소)에 대한 정보는 제조업체, 정보 보안 제품 소비자, 인증 기관 및 테스트 센터(실험실)에 즉시 통보됩니다.

3.6. 정보 보안 도구 인증에 대한 정보입니다.

3.6.1. 러시아 국가 기술 위원회는 인증 참가자에게 다음을 포함하여 인증 시스템의 활동에 대해 필요한 정보를 제공합니다. 인증서가 발급된 정보 보안 수단(인증 매개변수) 목록 인증서가 취소된 정보 보안 도구(인증된 매개변수) 목록 특정 유형의 정보 보안 수단에 대한 인증 기관 목록 테스트 센터(실험실) 목록 정보 보안 수단 인증이 수행되는 요구 사항 준수를 위한 규제 문서 목록 및 인증 테스트 수행을 위한 방법론 문서입니다.

3.7. 항소 고려.

3.7.1. 항소는 테스트 센터(실험실) 및 인증 기관의 활동과 관련된 문제에 대해 인증 기관, 인증 시스템의 중앙 기관 또는 러시아 국가 기술 위원회의 항소 위원회에 각각 제출됩니다. 이의신청은 이해관계자의 참여를 통해 한 달 이내에 검토됩니다. 항소인에게 결정이 통보됩니다.

4. 규제 및 방법론적 요구사항

인증 문서

정보 보호 수단

4.1. 국내 및 수입 정보 보안 수단에 대한 인증은 응용 프로그램, 프로그램 및 테스트 방법에 지정된 러시아 국가 기술위원회가 승인한 정보 보안에 관한 국가 표준 및 기타 규제 문서의 요구 사항을 준수하기 위해 수행됩니다.

인증 대상 기술적 특성 검증과 관련된 정보 보안 도구 문서에 이 표준에 대한 참조가 포함되어 있는 경우 테스트 방법 표준은 필수입니다.

4.2. 규제 및 방법론 문서를 승인할 때 이에 대한 전문가 의견에는 인증 목적에 대한 적합성에 대한 정보가 포함되어야 합니다.

4.3. 정보 보안 도구 인증에 사용되는 규제 및 방법론 문서의 텍스트는 정확하고 통일된 해석을 보장하기 위해 명확하고 정확하게 공식화되어야 합니다. "범위"섹션에는 문서 사용 가능성에 대한 표시가 포함되어야합니다 (표준, 기술 요구 사항등) 인증 목적으로 사용됩니다.

4.4. 특별 섹션에서 또는 다른 규제 또는 방법론 문서를 참조하여 인증 중에 검증된 지표, 특성 및 요구 사항을 결정하기 위해 테스트 방법, 조건, 범위 및 순서를 확립해야 합니다. 이 정보의 내용과 표현은 테스트 결과의 오류를 최소화하고 허용할 수 있어야 합니다. 자격을 갖춘 인력비교 가능한 결과를 얻기 위한 모든 테스트 센터(실험실). 테스트 순서가 테스트 결과에 영향을 미치는 경우 테스트 순서를 지정해야 합니다.

4.5. "마킹" 섹션에는 정보 보안 장치의 명확한 식별을 보장하는 요구 사항과 적합성 마크 적용 방법에 대한 지침이 포함되어야 합니다.

4.6. 공식 언어시스템은 러시아어입니다. 인증 시스템의 모든 규제 및 방법론 문서는 러시아어로 작성됩니다.

부록 1

누구에게________________________________________________________________

(연방 인증 기관 이름, 주소)

시스템의 정보 보안 도구 인증을 위해

정보보안 요구사항 인증

번호 POCC RU. 0001.01BIOO

1._____________________________

(지원자 이름, 주소)

다음 제품에 대한 인증을 요청합니다.

______________

_____________________________________________________________________

(제품명, OKP 코드, 코드)

규정 준수를 위한 정보 보안 요구 사항에 따라

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

2. 신청자는 계획에 따라 제품을 테스트할 것을 제안합니다.

_____________________________________________________________________________________________________________

(인증 제도 표시)

다섯____________________________________________________________________________________________________________

(시험센터(실험실)명)

3. 신청자는 다음을 수행합니다.

모든 인증 조건을 준수합니다.

적합성 마크가 표시된 정보 보안 도구의 인증된 특성의 안정성을 보장합니다.

인증을 위한 모든 비용을 지불합니다.

5. 추가 약관또는 계약에 관한 정보:

a) 우리는 _____________________________________________________________________________________________________________ 기간 동안 생산에 대한 예비 검사를 수행할 것을 제안합니다.

공식 인장

성 아이오(IO)

(서명)

________________

부록 2

______________________________________________________

번호 POCC RU. 0001.01BIOO

"_____"에서 ____199__

인증 신청 시

신청서를 고려한 후______________________________________________________________________________________________

(지원자 이름)

인증을 위해_________________________________________________________________________________

(제품명)

우리는 다음을 알려드립니다:

1. 인증이 진행됩니다 ________________________________________________________________________________

_____________________________________________________________________________________________________________

(인증기관명, 주소)

2. 인증 제품의 테스트는__________________________________________________________에서 수행되어야 합니다.

_____________________________________________________________________________________________________________

(검사센터(실험실)명, 주소)

3. 요구사항을 준수하는지에 대한 인증이 수행됩니다.

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

(규제 및 방법론 문서의 이름)

4. 점검관리를 실시합니다.

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

(단체명, 주소)

거래 중 및/또는 제조업체에서 일정 간격으로 채취한 샘플을 테스트하여 ____________________________________________________________________________________________________________

공식 인장

성 아이오(IO)

(서명)

________________

부록 3

주 기술위원회

러시아 연방 대통령 하에서

______________________________________________________

정보보안 인증제도

정보 보안 요구 사항에 따라

번호 POCC RU. 0001.01BIOO

자격증

№ ______________

발행자: "___"_____________ 199

"___"_____________ 199까지 유효합니다.

이 인증서는 다음을 인증합니다.

1. ___________________________________________________________________________________________________________

(제품 유형 이름, 코드, TU 번호)

요구 사항을 충족합니다________________________________________________________________________________

_____________________________________________________________________________________________________________

(인증 테스트가 수행된 준수에 대한 특정 표준 또는 규제 문서 목록)

2. 전문가의 의견을 바탕으로 인증서가 발급되었습니다 ______________________________________________

_____________________________________________________________________________________________________________

(인증기관명)

특정 제품의 테스트 결과 ________________________________________________________________________________

_____________________________________________________________________________________________________________

(시험센터(실험실)명)

3. 신청자________________________________________________________________________________________________

_____________________________________________________________________________________________________________

(신청단체명, 주소)

공식 인장

성 아이오(IO)

(서명)

________________

부록 4

주 기술위원회

러시아 연방 대통령 하에서

______________________________________________________

정보보안 인증제도

정보 보안 요구 사항에 따라

번호 POCC RU. 0001.01BIOO

인증 라이센스

발행자: "___"_____________ 199

"___"_____________ 199까지 유효

이 인증 라이센스는 _______________________________________________________에 의해 발행되었습니다.

_____________________________________________________________________________________________________________

(제조업체명, 주소)

마킹을 위한 적합성 마크 사용 _________________________________________________________________

_____________________________________________________________________________________________________________

(제품 유형 이름)

공식 인장

성 아이오(IO)

(서명)

________________

부록 5

주 기술위원회

러시아 연방 대통령 하에서

다음 중 하나 필수 조건국가 기밀 작업에 대한 라이센스를 얻으려면 조직에 인증된 정보 보안 도구가 있어야 합니다.

정보 보안 도구의 인증에는 우선 국가 표준 및 정보 보안 요구 사항에 따른 정보 보호라는 주요 기능을 구현하기 위해 품질 특성을 확인하는 작업이 포함됩니다. 국가 비밀을 구성하는 정보와 관련하여 정보 보안 수단 인증을 구성하는 일반 원칙은 러시아 연방 "국가 비밀"법 제28조의 규정에 따라 결정됩니다. 정보 보안 수단에는 해당 정보를 인증하는 인증서가 있어야 합니다. 해당 비밀 수준의 정보 보호 요구 사항을 준수합니다. 정보 보안 수단 인증 조직은 다음과 같습니다. 연방 기관수출 및 기술 통제, 러시아 연방 법률에 의해 할당된 기능에 따라 러시아 연방 국방부. 인증은 러시아 연방의 국가 표준 요구 사항과 러시아 연방 정부가 승인한 기타 규제 문서를 기반으로 수행됩니다. 정보 보안 인증을 위한 주요 지침 문서 중 하나는 현재 정보 보안 도구 인증에 관한 규정입니다. 결의안에서 승인됨 1995년 6월 25일자 러시아 연방 정부 No. 608은 "제품 및 서비스 인증에 관한" 러시아 연방 법률 규범을 시행합니다.

인증 절차는 다음을 기반으로 합니다. 원칙을 따르다 :

1. 국가기밀 보호를 보장하는 제품을 인증할 의무.

2. 표준인 암호화 알고리즘을 의무적으로 사용합니다.

3. 허가를 받은 신청자의 제품에 대해서만 인증 승인.

따라서 위 문서에 따라 필수 인증 대상 정보 보안 도구 목록이 개발되어 시행되었습니다. 정부 기관기업은 정보 시스템에서 암호화 도구를 사용하는 것이 금지됩니다. 전자 서명및 정보를 저장, 처리 및 전송하는 보호된 기술 수단) 인증서가 없습니다.

다음과 같은 인증절차가 진행됩니다(그림 4.2.):

1. 신청서와 전체 기술 문서 세트가 중앙 인증 기관(러시아 FSTEC에서 인정한 기관)에 제출됩니다.

2. 중앙당국은 시험을 실시할 시험센터(실험실)를 지정한다.

3. 테스트는 신청자와 테스트 센터 간의 업무 계약을 기반으로 수행됩니다.

4. 인증(발급을 위한 자료 검토 및 문서 준비)은 중앙당국이 수행합니다. 인증서는 최대 5년 동안 발급됩니다.

이러한 목적 외에도 문제 해결을 위해 정보 보안 도구에 대한 인증도 필요합니다. 경제적 안정지속적인 성장으로 인한 조직 컴퓨터 범죄. 컴퓨터 범죄 예방을 위한 법적 근거는 러시아 연방 대통령령 "암호화 도구의 개발, 생산, 판매 및 운영 및 제공 분야의 법치 준수 조치에 관한"입니다. 정보 암호화 분야 서비스” No. 334(95년 4월 3일자) 다음은 이 법령에서 발췌한 내용입니다.

· 정부 기관 및 기업은 인증서가 없는 정보를 저장, 처리 및 전송하는 암호화 도구, 기술적 수단을 사용하는 것이 금지됩니다.

· 인증서가 없는 자금을 사용하여 기업 및 조직에 정부 명령을 내리는 것은 금지되어 있습니다.

개인의 활동을 금지하고 법인라이선스가 없는 암호화 및 보안 도구 분야

· 허가되지 않은 암호화 도구의 러시아 수입을 금지하고 외국산 장비를 보호합니다.

서비스 제공 권리에 대한 인증서를 받은 후 조직은 기술 규정 요구 사항을 준수하는지 확인하기 위해 국가의 통제(감독)를 받습니다.

정보보호 요구사항에 따른 정보화 객체 인증 제도는 다음과 같습니다. 필수적인 부분 통합 시스템정보 보안 요구 사항에 따라 정보 보안 수단 인증 및 정보화 객체 인증을 받았으며 국가 등록을 거쳐야 합니다. 정해진 방법으로. 인증 시스템의 활동은 정보 보안 요구 사항에 따라 제품 인증 및 정보화 개체 인증을 위한 연방 기관인 러시아 FSTEC에 의해 조직됩니다.

아래에 정보화객체 인증조직적, 기술적 조치의 복합체로 이해되며, 그 결과 특별 문서- "적합성 인증서"는 해당 개체가 러시아 FSTEC에서 승인한 정보 보안에 관한 표준 또는 기타 규제 및 기술 문서의 요구 사항을 준수함을 확인합니다. 정보화 시설에 유효한 "준수 증명서"가 있으면 "준수 증명서"에 설정된 기간 동안 비밀 유지(기밀 유지) 수준으로 정보를 처리할 수 있는 권리가 부여됩니다.

필수인증국가기밀을 구성하는 정보를 처리하고 비밀협상을 수행하기 위한 정보화 객체는 다음과 같습니다.

인증은 다음을 제공합니다 실사정보화의 보호 대상 실제 상황적용된 일련의 조치 및 보호 수단이 필요한 정보 보안 수준에 부합하는지 평가하기 위해 운영됩니다. 정보보호 요구사항에 따른 인증은 보호 대상 정보의 처리 시작보다 먼저 이루어지며, 필요에 따라 인증됩니다. 공식 확인에 사용되는 단지의 효율성 특정 개체정보 보호 조치 및 수단의 정보화. 정보화 객체를 인증할 때, 컴퓨터 바이러스를 포함한 무단 접근, 부작용으로 인한 유출로부터 정보를 보호하기 위한 요구사항의 준수 여부를 확인합니다. 전자기 방사선물체에 특별한 영향을 미치는 간섭(고주파 부과 및 조사, 전자기 및 방사선 노출) 정보 객체에 내장된 특수 장치로 인해 정보가 누출되거나 충격을 받을 수 있습니다.

문학

1. Averchenkov, V.I. 정보 보안 감사: 교과서. 수당/V.I. Averchenkov. – 브랸스크: BSTU, 2005 – 269 p.

2. Averchenkov, V.I. 조직 방어정보: 교과서. 수당/V.I. Averchenkov, M.Yu. Rytov – Bryansk: BSTU, 2005 – 184p.

3. Averchenkov, V.I., 정보 보안 서비스: 조직 및 관리: 교과서. 수당 / V.I. Averchenkov, M.Yu. Rytov – Bryansk: BSTU, 2005 – 186p.

4. Averchenkov, V.I. 러시아 연방의 보안 시스템: 교과서. 수당 / V.I. Averchenkov, V.V. 에로킨. – 브라이언스크: BSTU, 2005. – 120p.

5. Averchenkov, V.I. 선도적인 정보 보안 시스템 외국: 교과서 대학 매뉴얼 / V.I. Averchenkov, M.Yu. 리토프, G.V. 콘드라신, M.V. Rudanovsky. – 브랸스크: BSTU, 2007. – 225p.

6. 도마레프, V.V. 정보 기술 보안. 체계적인 접근 / V.V. Domarev - Kyiv: LLC "TiD", 2004. - 914 p.

7. 메드베도프스키, I.D. 국제 정보 시스템 보안 표준 ISO 17799의 실제 적용 www.dsec.ru/cd-courses/iso 17799 cd.php/

8. 페트렌코, S.A. 보안 감사 Iuranrt / S.A. Petrenko, A.A.Petrenko - M: A&T 아카데미: DMK Press, 2002. - 438 p.

9. 페트렌코, S.A. 정보 위험 관리. 경제적으로 정당한 안전 / S.A. 페트렌코, S.V. Simonov - M: A&T 아카데미: DMK Press, 2004. - 384p.

10. Pokrovsky, P. 정보 위험 평가 / P. Pokrovsky - 2004. - No. 10. 출판사 "Open Systems"(www.osp.ru).

11. 셈킨, S.I. 기초 조직적 지원정보화 객체의 정보 보안 : 교과서. 용돈. / S.I. 셈킨, E.V. 벨랴코프, S.V. 그레브네프, V.I. Kozichok – M: Helios ARV, 2005 – 192p.

13. www.rg.ru – "Rossiyskaya Gazeta"의 인터넷 사이트.

14. www.fstek.ru- 러시아 FSTEC 공식 홈페이지.

15. www.fsb.ru - 러시아 FSB 공식 웹사이트.

16. www.egovernment.ru - 인터넷 - 잡지 "정보 보안".

17. www.gtk.lissi.ru - 러시아 국가 기술 위원회의 공식 문서.

18. www.gdezakon.ru - 인터넷 사이트 "러시아 법률 전체 모음집".

19. www.law.yarovoy.com - - 인터넷 사이트 "러시아의 모든 법률".

20. Galatenko, A. 활성 감사 / A. Galatenko // 온라인 제트 정보 – 1999. – No. 8 (75). 기사 1.8. 1999년…

21. Guzik, S. 정보 시스템을 감사하는 이유는 무엇입니까? /와 함께. Guzik // 온라인 제트 정보. – 2000. – 10 (89). 기사l.10.2000.

22. Kobzarev, M. 일반 기준을 사용하여 정보 기술의 보안을 평가하는 방법론 / M. Kobzarev, A. Sidak // Jet Info 온라인. – 2004. – 6 (133). 기사 1.6.2004.

23. Petrenko, S. 정보 보안: 경제적 측면 / S. Petrenko, S. Simonov, R. Kislov // 온라인 제트 정보. – 2003 – 10호(125). 기사 2003년 10월 1일.

©2015-2019 사이트
모든 권리는 해당 저작자에게 있습니다. 이 사이트는 저작권을 주장하지 않지만 무료로 사용할 수 있습니다.
페이지 생성일 : 2016-08-07

1995년 6월 26일 결의문 제608호국가 비밀을 구성하는 정보를 포함하는 정보 보안 수단에 대한 인증 시스템을 구성하기 위한 일반 원칙을 확립하며, 그러한 인증을 수행하도록 법에 의해 승인된 러시아 연방의 모든 부서에 의해 이루어집니다.

결의안의 조항에 따라 결정됩니다.: 정보보호 인증제도 참여자 그들의 권리와 책임; 인증 테스트 수행 계획; 인증서 발급, 정지 및 취소 절차; 인증 서비스 지불 절차; 인증된 제품의 품질 관리 절차; 인증 시스템에서 의무를 이행하는 데 대한 당사자의 책임.

인증– 이는 구현을 위한 규칙 및 절차에 의해 정의된 일련의 조치를 수행한 결과 제품의 품질이 다음과 같은 경우 "제품"(상품, 수단)과 같은 범주와 관련하여 수행되는 프로세스입니다. 확립, 인증 또는 확인되었습니다.따라서 인증은 제품 또는 서비스의 제조업체(판매자) 및 소비자와는 독립적인 제3자가 해당 제품 또는 서비스가 확립된 요구 사항을 준수하는지 확인하는 활동입니다.

정보 보안 수단의 인증은 러시아 국가 기술 위원회와 FAPSI에서 수행됩니다. 이 경우 FAPSI의 역량에 해당하는 자금의 인증이 결정됩니다. 암호정보보호수단(CIPF)에 대한 “인증제도” ROSS.RU.0001.030001.

이 문서는 규칙과 규칙을 정의하는 조항과 규범을 포함하는 규범적인 행위입니다. 일반 주문고려 중인 주제 영역에서 인증을 수행합니다. 이는 러시아 연방 법률에 기초합니다. 제품 및 서비스 인증에 대하여”, 러시아 국가 표준에서 승인한 기타 규정을 준수하며 인증 시스템의 절차, 구현 계획 및 조직 구조에 대해 해당 규정에서 발생하는 요구 사항을 준수합니다. 이는 현재 존재하는 것을 고려합니다. 국제 규칙제품 인증에 관한 작업을 조직하고 수행합니다. 또한, 정보보안 분야의 다년간의 축적된 경험과 특징을 고려하여 요약하고, 개발 및 제조된 보안 제품의 품질을 평가합니다.

정보 보안 도구 인증 절차는 다음 원칙을 기반으로 합니다.

1. 국가 기밀을 보호하거나 러시아 연방 규정에 따라 인증 대상인 제품의 필수 인증입니다. 현재 시스템의 정보 보안 도구에 대한 이러한 요구 사항이 설정되어 있습니다. 전자문서관리, 과의 교환에 사용됨 중앙은행러시아뿐만 아니라 국영 기업 또는 국가 명령이 내려진 기업의 자금 및 시스템에도 적용됩니다.

2. 관련 활동 유형에 대한 라이센스를 보유한 신청자의 제품만 인증을 받을 수 있습니다. 등록 정해진 절차에 따라정보 보호 분야의 활동을 수행할 권리가 기본입니다. 라이센스를 받은 기업만이 이를 기반으로 알고리즘과 보안 도구를 제품, 시장에 제공되는 상품으로 개발할 수 있습니다. 다양한 출판물에서 전문가들은 암호화 알고리즘이나 보호 프로세스의 일부를 구현하는 개별 블록 및 모듈(하드웨어, 하드웨어-소프트웨어 및 소프트웨어)을 포함하여 매우 신뢰할 수 있는 보호 수단 자체라도 필요한 수준의 정보를 제공할 수 없다는 점을 반복적으로 지적했습니다. 단지 내 보호. 예를 들어 구현하지 않은 경우 특별 조치이러한 수단은 간단히 우회되거나 측면 전자기 복사 및 간섭으로 인해 필요한 정보를 얻을 수 있습니다. 독립적인 제품으로 명확하게 구별되는 기능적, 구조적으로 완전한 요소 세트를 포함하는 시스템 및 단지의 경우 각각에 대한 인증서를 발급할 수 있습니다.

3. 인증 절차는 운영 조건을 고려하여 보호 시스템의 기술적 수단 또는 기술적 부분과 관련해서만 수행됩니다.

4. 시험 및 인증 테스트를 수행하는 조직이 독립적인 2단계 인증 프로세스: 정보 보안 수단에 대한 인증은 중앙 인증 기관에서 수행되며 테스트는 공인 테스트 센터(시험소)에서 수행됩니다.

5. 다양한 유형의 보호 수준에 대한 차별화된 접근 방식
정보.

6. FAPSI가 표준이거나 이전에 권장하거나 개발한 암호화 알고리즘을 의무적으로 사용합니다.

특히 FAPSI가 이전에 알고리즘을 승인했다는 사실을 강조합니다. 기술적 구현인증을 위해 제출된 암호화 보호 제품에 대한 주요 요구 사항 중 하나입니다. 이 승인은 다음과 같은 알고리즘을 승인함으로써 달성될 수 있습니다. 러시아 연방 정부; FAPSI. 따라서 이전에 FAPSI에 제출되지 않은 당사 고유의 알고리즘을 기반으로 제작된 제품뿐만 아니라 해외 개발 또는 수입 알고리즘을 구현한 제품도 있습니다. 암호화 도구, 인증이 허용되지 않습니다.

구현된 보호의 완전성에 따라 비밀전자문서관리시스템에는 3단계의 보안(인증)이 확립되어 있습니다.:

· 레벨 "A"– 인증서는 보안 시스템 전체에 대해 발행되며 지정된 암호화 알고리즘을 사용하여 암호화 도구 구현의 준수를 확인합니다. 포괄적인 구현소프트웨어 환경, 보안(문서화되지 않은 기능 없음) 하드웨어 및 소프트웨어 환경의 존재를 고려한 암호화 도구에 대한 FAPSI 요구 사항

· 레벨 "B"– 인증서는 암호화 도구 및 해당 소프트웨어 환경을 포함한 보안 시스템에 대해 발급되며 지정된 암호화 알고리즘 및 FAPSI 요구 사항을 갖춘 암호화 도구 구현의 준수, 암호화 도구의 소프트웨어 환경에 대한 FAPSI 요구 사항 준수를 확인합니다.

· 레벨 "C"– 인증서는 암호화 도구에 대해서만 발행되며 지정된 암호화 알고리즘 및 요구 사항에 따라 암호화 도구 구현의 준수를 확인합니다.

7. 중앙 인증 기관 및 테스트 센터(실험실)는 현행법 및 계약상 의무에 따라 할당된 기능을 수행할 책임을 수락합니다.

8. 인증 테스트정보 보안 조치는 공인된 테스트를 통해서만 수행될 수 있습니다. 인증 센터. 유효한 제품 규정 준수 주 표준안전 요구 사항 충족 보장은 국가 기술 위원회(State Technical Commission, FAPSI)의 인증서를 통해서만 인증됩니다.

9. 인증 시스템에 설정된 규칙을 신청자가 수락하고 엄격하게 준수합니다.

인증받은 정보보호 도구에 대한 점검 통제 결과에 따라 발급된 인증서의 유효성이 정지되거나 인증서가 모두 취소될 수 있습니다.

인증서 정지 및 취소 사유정보 보안 수단이나 그 요소, 테스트 및 통제에 관한 규제 및 방법론 문서의 변경 정보 보안 장치의 설계, 구성 또는 완성도 변경; 제품에 대한 기술 요구 사항 또는 기술 사양을 준수하지 않은 경우 신청자의 과학적, 기술적 및 검사 통제 허용을 거부합니다.

인증 시스템의 조직 구조에는 다음과 같은 국가 기술 위원회(FAPSI)가 포함됩니다. 정부 기관정보 보안 수단 인증을 위해서는 정보 보안 수단 인증 시스템의 중앙 기관과 정보 보안 수단 테스트 센터(실험실) 및 신청자가 필요합니다.

결론적으로, 현재 라이센스 및 인증 시스템은 개발 측면에서 개선 단계를 거치고 있다는 점에 유의해야 합니다. 법적 틀, 기능의 메커니즘 및 규칙. 물론 여기에서 개별 조항이 변경, 명확화 또는 보완될 수 있습니다.

PART 3. 조직적, 기술적
정보 보안 보장

6. 행정적 지원 수준
정보 보안

정의한 후 법적 틀원전 및 임시구금시설에 대한 보안을 실시하고 있습니다. 실제 활동정보보안시스템(ISS)을 구축합니다. 이러한 활동에는 다음이 포함됩니다. 단계 :

1) 보안 정책 개발;

2) 위험 분석 수행

3) 정보 보안 계획;

4) 계획 활동 비상 상황;

5) 정보 보안을 보장하는 메커니즘 및 수단 선택.

처음 두 단계일반적으로 보안 정책의 개발로 해석되며 소위 말하는 것을 구성합니다. OBI 시스템의 관리 수준.

세 번째 및 네 번째 단계안전 절차를 개발해야 합니다. 이 단계에서 형성됩니다. OBI 시스템 기획 수준.

~에 마지막 단계실질적인 활동이 결정됩니다. OBI 시스템의 소프트웨어 및 하드웨어 수준.

정보 보안 분야의 법률 및 표준은 AS 및 IVS의 OBI에 대한 시작 규제 기반일 뿐입니다. OBI 시스템의 실질적인 구축을 위한 기반은 행정 수준 OBI 작업의 일반적인 방향을 결정하는 시스템입니다.

행정 수준의 목적정보 보안 분야의 작업 프로그램을 수립하고 그 실행을 보장하는 것입니다. 프로그램이 제시하는 공식 정책보안, 자체 반영 개념적 접근 OBI에 대한 조직. 보안정책의 명세는 다음과 같이 표현된다. 정보 보안 계획.