Jakie istnieją systemy certyfikacji narzędzi bezpieczeństwa informacji. System certyfikacji bezpieczeństwa informacji

Certyfikacja narzędzi bezpieczeństwa informacji (ISIS) proces integralny cykl życia niemal wszystkie produkty krajowe i wiele produktów zagranicznych obecnych na dzisiejszym rynku bezpieczeństwa informacji. Otrzymanie certyfikatu jest swoistym potwierdzeniem wiarygodności i jakości certyfikowanego produktu, a także wyznacznikiem autorytetu i statusu firmy deweloperskiej. Dodatkowo certyfikowany produkt pozwala na jego wykorzystanie w celu zapewnienia ochrony informacji zgodnie z wymaganiami FSB I FSTEC, na przykład w celu ochrony nie tylko obiektów komercyjnych, ale także tajemnice państwowe. Jednak dla niewtajemniczonych certyfikacja jest często zniechęcająco złożonym i zagmatwanym procesem, wokół którego narosły mity. Dziś w naszej publikacji postaramy się to trochę zmienić.

Zacznijmy od tego, że certyfikacja środków bezpieczeństwa informacji odbywa się zgodnie z „Przepisami w sprawie certyfikacji środków bezpieczeństwa informacji”, zatwierdzonymi Dekretem Rządu Federacja Rosyjska z dnia 26 czerwca 1995 r

Według dokumentu:

orzecznictwo - forma potwierdzenia zgodności obiektów z wymaganiami przeprowadzana przez jednostkę certyfikującą przepisy techniczne, postanowienia norm, kodeksy postępowania lub warunki umów.

I ja certyfikat zgodności - dokument potwierdzający zgodność obiektu z wymaganiami przepisów technicznych, przepisów norm, kodeksów postępowania lub warunków umów.

Środki techniczne, kryptograficzne, oprogramowanie i inne służące do ochrony informacji stanowiących tajemnicę państwową, sposoby ich realizacji, a także środki monitorowania skuteczności ochrony informacji stanowią środki ochrony informacji.

Narzędzia te podlegają obowiązkowej certyfikacji, która przeprowadzana jest w ramach systemów certyfikacji narzędzi bezpieczeństwa informacji

System certyfikacji bezpieczeństwa informacji to zbiór uczestników certyfikacji, którymi są:

• federalna jednostka certyfikująca;
• organ centralny systemy certyfikacji - organ kierujący systemem certyfikacji produktów jednorodnych;
• jednostki certyfikujące środki bezpieczeństwa informacji - jednostki przeprowadzające certyfikację niektórych produktów;
• laboratoria badawcze – laboratoria prowadzące badania certyfikacyjne (niektóre rodzaje tych badań) określonych produktów;
• Producenci - sprzedawcy, wykonawcy produktów.

Prowadzona jest certyfikacja importowanych produktów bezpieczeństwa informacji według tych samych zasad , a także domowe.

Główne schematy certyfikacji narzędzi bezpieczeństwa informacji to:

• pojedyncze próbki środków bezpieczeństwa informacji – badanie tych próbek pod kątem zgodności z wymogami bezpieczeństwa informacji;
• w przypadku seryjnej produkcji środków bezpieczeństwa informacji - przeprowadzenie standardowych badań próbek środków bezpieczeństwa informacji na zgodność z wymogami bezpieczeństwa informacji, a następnie kontrola kontrolna stabilności cech certyfikowanych środków bezpieczeństwa informacji, które określają spełnienie tych wymagań.

W w niektórych przypadkach w porozumieniu z jednostką certyfikującą sprzęt zapewniający bezpieczeństwo informacji, badania mogą być przeprowadzane w placówce badawczej producenta. Termin przeprowadzenia badań ustalany jest w porozumieniu pomiędzy producentem a laboratorium badawczym.

Głównymi jednostkami certyfikującymi w zakresie bezpieczeństwa informacji technicznych są FSB Rosji I FSTEC z Rosji. Jednocześnie na tym obszarze działa FSB Rosji ochrona kryptograficzna informacja i FSTEC z Rosji – w zakresie ochrony informacji technicznych metodami niekryptograficznymi.

Wymagania dotyczące certyfikacji FSB Rosji są zamknięte; zapoznanie się z nimi zakłada dostępność specjalne zezwolenia, Wymagania FSTEC Rosja są publikowane na oficjalnej stronie internetowej i mają charakter publiczny.

Systemy certyfikacji i wymagania

1. Testy funkcjonalne narzędzi bezpieczeństwa informacji w celu sprawdzenia, czy produkt faktycznie realizuje zadeklarowane funkcje. Testy te są najczęściej przeprowadzane pod kątem zgodności z określonym dokumentem regulacyjnym - na przykład jednym z dokumentów regulujących Państwowej Komisji Technicznej Rosji. Takie dokumenty są tworzone na przykład dla zapór sieciowych i ochrony przed nieuprawnionym dostępem. Jeśli nie ma dokumentu, z którym certyfikowany produkt byłby w pełni zgodny, to wtedy wymagania funkcjonalne mogą być sformułowane wprost – np. w specyfikacjach technicznych, lub w formie specyfikacji bezpieczeństwa (zgodnie z postanowieniami normy GOST R 15408).

1. Testy strukturalne kod programu z powodu braku niezadeklarowanych zdolności. Klasyczny przykład niezadeklarowane możliwości to zakładki oprogramowania, które w określonych warunkach inicjują wykonanie funkcji nieopisanych w dokumentacji, które umożliwiają nieuprawniony wpływ na informacje (zgodnie z GOST R 51275-99). Identyfikacja niezadeklarowanych możliwości polega na przeprowadzeniu szeregu testów kodów źródłowych programów, których udostępnienie jest warunek konieczny za możliwość wykonania testy certyfikacyjne.

Działalność Rosyjskie systemy certyfikacji w Federacji Rosyjskiej regulowane przez ustawę federalną nr 184 „O przepisach technicznych”. Certyfikacja narzędzi bezpieczeństwa informacji może być dobrowolny Lub obowiązkowy- realizowane głównie w ramach Ministerstwa Obrony Narodowej, FSB i FSTEC. Dla większości spółki handlowe termin "orzecznictwo" jest synonimem pojęć „certyfikacja w systemie FSB” Dla środki kryptograficzne ochrona i „certyfikacja w systemie FSTEC” dla wszystkich pozostałych produktów. Należy jednak mieć na uwadze, że oprócz kryptografii w kompetencjach FSB znajdują się narzędzia bezpieczeństwa informacji stosowane w wyższe władze władza państwowa. Z kolei Ministerstwo Obrony Narodowej koncentruje się na systemie certyfikacji bezpieczeństwa informacji produkty oprogramowania, używany w obiektach wojskowych.

Dobrowolne systemy certyfikacji Do chwili obecnej nie otrzymaliśmy jeszcze środków bezpieczeństwa informacji rozpowszechniony. Jedynym systemem tego rodzaju, który jest w ogóle zauważalny, jest certyfikacja IT. Niestety, pomimo tego systemy dobrowolne możesz uzyskać certyfikat zgodności z dowolnym dokumentem regulacyjnym dotyczącym ochrony informacje poufne, podczas certyfikacji obiektów informatyzacji takie certyfikaty nie są uznawane przez FSTEC Rosji .

Proces organizacji i przeprowadzania testów w dowolnym systemie certyfikacji jest ściśle sformalizowany, jednak brak doświadczenia większości informatyków w uczestnictwie w takich testach, a także interakcji z regulatorami powoduje powstanie szeregu mitów i nieporozumień dotyczących zagadnień certyfikacyjnych.

Mit nr 1: Certyfikacja to handel. Niestety, niektórzy konsumenci szczerze uważają jakąkolwiek certyfikację za formalną procedurę uzyskania dokumentacja zezwalająca, naturalnie skorumpowany i całkowicie bezużyteczny. Dlatego dla wielu wnioskodawców szokiem jest fakt, że sprzęt ochronny przedstawiony do certyfikacji jest faktycznie poddawany poważnym testom, a wynik testu może być negatywny. Niezależna kontrola laboratoriów badawczych przez jednostki certyfikujące zapewnia brak zmowy pomiędzy wnioskodawcą a laboratorium.

Mit nr 2: certyfikacja przeprowadzana jest przez agencje rządowe. Oczywiście władze federalne wszystkich systemy obowiązkowe certyfikaty są własnością państwa, ale laboratoria badawcze i jednostki certyfikujące mogą mieć dowolną formę własności i w praktyce większość z nich to organizacje komercyjne.

Mit nr 3: certyfikacja jest potrzebna jedynie w celu ochrony tajemnicy państwowej. Obecnie ponad 80% narzędzi bezpieczeństwa informacji posiada certyfikaty do stosowania wyłącznie w zautomatyzowanych systemach, które nie zawierają informacji stanowiących tajemnicę państwową.

Mit nr 4: Tylko agencje rządowe potrzebują certyfikacji. Tak naprawdę klient końcowy zainteresowany jest certyfikacją obiektu informatyzacji – formalnym potwierdzeniem, że zautomatyzowany system jest bezpieczny. W większości przypadków, aby pomyślnie przejść certyfikację, system musi być zbudowany przy użyciu wyłącznie atestowanego sprzętu bezpieczeństwa – dotyczy to nie tylko systemów należących do państwa źródło informacji, ale także dla systemów związanych z przetwarzaniem danych osobowych. Możesz napotkać wymagania dotyczące obowiązkowej certyfikacji oprogramowania, nawet niezależnie od rodzaju chronionych tajemnic; np. takie wymagania istnieją dla systemów współpracujących z historiami kredytowymi obywateli, systemy do gier w przypadkach udostępniania zasobów z międzynarodowych sieci wymiany itp.

Mit nr 5: Produkt zagraniczny nie może posiadać certyfikatu. W rzeczywistości produkty takich programistów jak Microsoft, IBM, SAP, Symantec, Trend Micro itp. pomyślnie przechodzą testy certyfikacyjne, w tym testy na brak niezadeklarowanych możliwości.

Z reguły firmy zagraniczne nie przekazują kodów źródłowych do Rosji, dlatego testy przeprowadzane są na miejscu u dewelopera. Oczywiście kody programów są dostarczane pod całkowitą kontrolą służb bezpieczeństwa programistów, wykluczając jakiekolwiek wycieki. Wykonywanie pracy w tym trybie jest dość skomplikowane i wymaga wysoko wykwalifikowani specjaliści, a więc nie wszyscy laboratorium badawcze gotowi świadczyć takie usługi. Jednak z roku na rok rośnie liczba produktów zagranicznych poddawanych certyfikacji w Rosji. Dziś około 20 zagranicznych firm, w tym Microsoft, IBM, Oracle i SAP, udostępniło kody źródłowe swoich produktów do testów certyfikacyjnych. W tym względzie na uwagę zasługuje inicjatywa Microsoft Corporation - Rządowy Program Bezpieczeństwa, zgodnie z którą kod bazowy wszystkich produktów firmy został przekazany do Rosji w celu badań. W ciągu ostatnich pięciu lat prawie 40 produktów zagranicznych otrzymało certyfikaty o braku niezadeklarowanych zdolności produkcyjnych.

Mit nr 6: Certyfikowany oznacza chroniony. Nie jest to do końca prawdą. Prawidłowe sformułowanie brzmiałoby: produkt jest certyfikowany, czyli spełnia określone wymagania. Jednocześnie konsument musi jasno zrozumieć, na co dokładnie jest certyfikowany sprzęt ochronny, aby mieć pewność, że testy faktycznie zweryfikowały interesujące go cechy produktu.

Jeżeli produkt był badany pod kątem zgodności ze specyfikacjami technicznymi, to zgodność ta zostanie odnotowana w certyfikacie, jednak konsument bez zapoznania się ze specyfikacjami technicznymi produktu w zasadzie nie jest w stanie określić, jakie cechy zostały sprawdzone, co stwarza przesłankę do oszukania klienta niewykwalifikowanego konsumenta. Podobnie obecność certyfikatu na brak niezadeklarowanych możliwości nic nie mówi funkcjonalność produkt.

Bardzo ważne jest zapoznanie się z ograniczeniami użytkowania produktu, które są określone w specyfikacjach technicznych: specyficzne środowiska i platformy operacyjne, tryby pracy, konfiguracje, zastosowania dodatkowe fundusze ochrona itp. Na przykład certyfikat dla niektórych wersji systemy operacyjne Windows i WSWS działają tylko z zaufanym modułem rozruchowym. Prawie wszystkie certyfikaty dla środki zewnętrzne zabezpieczenia obowiązują tylko dla określonych wersji systemu operacyjnego, a ograniczenia w korzystaniu z szeregu zaufanych narzędzi startowych wskazują, że należy je zapewnić ochrona fizyczna komputer. Znany zabawny przypadek, gdy ograniczenia jednej starszej funkcji zabezpieczeń określały, że system Windows powinien działać tylko w trybie poleceń.

Mit nr 7: Podczas certyfikacji nic nie zostaje znalezione. Niezależnie od Twoich wymagań dokumenty regulacyjne, dzisiaj to się stało niepisana zasada, zgodnie z którym w ramach testów certyfikacyjnych eksperci dokładnie sprawdzają kod źródłowy (jeśli jest udostępniony), a także przeprowadzają różne opcje testów obciążeniowych. Ponadto eksperci zapoznają się z różnymi biuletynami bezpieczeństwa dotyczącymi produktów i środowiska ich działania. W rezultacie doświadczone laboratorium otrzymuje listę krytycznych podatności, które wnioskodawca musi naprawić lub opisać w dokumentacji. Przykładowo certyfikacja identyfikuje takie podatności jak wbudowane hasła i algorytmy ich generowania, błędy architektoniczne (nieprawidłowa implementacja zasad dyskretnego i obowiązkowego dostępu itp.), błędy programistyczne (podatności na przepełnienie bufora, błędy w operatorach logicznych i czasowych, wyścigi , możliwość pobierania niezaufanych plików itp.), a także błędy w przetwarzaniu danych aplikacji (wstrzykiwanie SQL, cross-site scripting), których wdrożenie może znacząco obniżyć poziom bezpieczeństwa systemu. Zgodnie z naszą praktyką, w 70% testowanych urządzeń komunikacyjnych wykryto wbudowane hasła główne, a w prawie 30% testowanych systemów operacyjnych zidentyfikowano błędy we wdrażaniu systemu kontroli dostępu. Zdarzały się również przypadki, gdy produkty zawierały nawet logiczne bomby zegarowe.

Mit nr 8: produkt posiada certyfikat potwierdzający brak niezadeklarowanych możliwości, co oznacza, że ​​nie posiada luk w zabezpieczeniach. Do chwili obecnej nie ma metod gwarantujących identyfikację wszystkich możliwych podatności. oprogramowanie — pomyślne zakończenie certyfikacja na brak niezadeklarowanych możliwości gwarantuje wykrycie tylko określonej klasy podatności zidentyfikowanych przy użyciu określonych metod. Z drugiej strony zdanie certyfikatu na brak niezadeklarowanych możliwości gwarantuje, że programista posiada system jakości przy produkcji programu, to znaczy, że wszystkie prawdziwe kody źródłowe i środowisko kompilacji zostały odnalezione i nagrane, można zagwarantować, że kompilacja i montaż zostaną powtórzono, istnieje także dokumentacja w języku rosyjskim.

Mit nr 9: Wymagania analityczne kod źródłowy istnieją tylko w naszym kraju. Często można spotkać się z krytyką rygoru certyfikacja krajowa związane z udostępnianiem kodów źródłowych programów. Rzeczywiście międzynarodowy system certyfikacji Common Criteria umożliwia testowanie produktów przetwarzających informacje niesklasyfikowane jako tajemnice państwowe bez podawania kodów źródłowych, ale w tym przypadku sprawdzenie pod kątem braku ukrytych kanałów i luk musi być uzasadnione. Dla systemów przetwarzania tajemnicy państwowej i systemów płatności jest przewidziany analiza strukturalna bezpieczeństwo kodu źródłowego. Wymagania dotyczące audytów bezpieczeństwa kodu źródłowego komercyjnych produktów oprogramowania można znaleźć w międzynarodowych standardach PCI DSS, PA DSS i NISTIR 4909.

Mit nr 10: Certyfikacja jest droga. Certyfikacja oprogramowania pod kątem wymogów bezpieczeństwa informacji jest procesem dość długim i pracochłonnym, który nie może być darmowy. Jednocześnie obecność certyfikatu zgodności znacznie poszerza rynek dla produktu wnioskodawcy i zwiększa liczbę sprzedaży, a wtedy koszt certyfikacji w stosunku do innych kosztów okazuje się niewielki.

Certyfikacja nie w sposób uniwersalny rozwiązań wszystkich istniejących problemów w dziedzinie bezpieczeństwa informacji, ale dziś jest to jedyny naprawdę funkcjonujący mechanizm, który zapewnia niezależną kontrolę jakości narzędzi bezpieczeństwa informacji, a korzyści z tego płynące są większe niż szkody. Przy prawidłowym zastosowaniu mechanizm certyfikacji może z powodzeniem rozwiązać problem osiągnięcia gwarantowany poziom bezpieczeństwo systemów automatycznych.

Patrząc w przyszłość, można założyć, że certyfikacja jako narzędzie regulacyjne zmieni się w kierunku udoskonalania przepisów odzwierciedlających rozsądne wymagania w zakresie ochrony przed aktualne zagrożenia z jednej strony, a z drugiej w kierunku doskonalenia metod sprawdzania podzespołów krytycznych według kryterium „efektywność/czas”.

Uchwała z dnia 26 czerwca 1995 r. nr 608 zestawy ogólne zasady organizacja systemów certyfikacji środków bezpieczeństwa informacji zawierających informacje stanowiące tajemnicę państwową przez wszystkie wydziały Federacji Rosyjskiej upoważnione przez prawo do przeprowadzania takiej certyfikacji.

Artykuły uchwały określają: uczestnicy systemu certyfikacji bezpieczeństwa informacji; ich prawa i obowiązki; schematy przeprowadzania testów certyfikacyjnych; procedura wydawania, zawieszania i unieważniania certyfikatów; procedura płatności za usługi certyfikacyjne; procedura kontroli jakości certyfikowanych produktów; odpowiedzialność stron za wypełnianie swoich obowiązków w systemie certyfikacji.

Orzecznictwo– Jest to proces realizowany w odniesieniu do takiej kategorii jak „produkt” (towary, środki), gdy w wyniku wykonania zespołu czynności, określone przez zasady oraz procedurę jego realizacji, ustala się, certyfikuje lub potwierdza jakość produktu. Certyfikacja to zatem działanie strony trzeciej, niezależnej od producenta (sprzedawcy) i konsumenta produktów lub usług, mające na celu potwierdzenie zgodności tych produktów lub usług. ustalone wymagania.

Certyfikację środków bezpieczeństwa informacji przeprowadza Państwowa Komisja Techniczna Rosji i FAPSI. W tym przypadku ustala się certyfikację funduszy wchodzących w zakres kompetencji FAPSI „System certyfikacji” środków ochrony informacji kryptograficznej (CIPF)” ROSS.RU.0001.030001.

Ten dokument to akt prawny zawierający przepisy i normy określające zasady i ogólny tryb certyfikacji w danej dziedzinie. Opiera się na prawie Federacji Rosyjskiej „ O certyfikacji produktów i usług”, inne przepisy zatwierdzone przez Państwową Normę Rosji i spełnia wynikające z nich wymagania dotyczące procedury, schematu wdrażania, a także struktury organizacyjnej systemów certyfikacji. Uwzględnia to aktualnie istniejące zasady międzynarodowe organizowanie i prowadzenie prac nad certyfikacją wyrobów. Ponadto uwzględnia i podsumowuje cechy oraz zgromadzone wieloletnie doświadczenie w zakresie bezpieczeństwa informacji, oceniając jakość opracowywanych i wytwarzanych produktów bezpieczeństwa.

Na czym opiera się procedura certyfikacji narzędzi bezpieczeństwa informacji następujące zasady.

1. Obowiązkowa certyfikacja wyrobów stanowiących tajemnicę państwową lub podlegających certyfikacji zgodnie z regulamin Federacja Rosyjska. Obecnie taki wymóg stawiany jest narzędziom bezpieczeństwa informacji w systemach elektronicznego zarządzania dokumentami, z którymi odbywa się wymiana Bank Centralny Rosji, a także za fundusze i systemy przedsiębiorstw państwowych lub przedsiębiorstw, w których złożono zamówienie państwowe.

2. Do certyfikacji przyjmowane są wyłącznie produkty od wnioskodawców posiadających licencję na dany rodzaj działalności. Rejestracja prawa do prowadzenia działalności w zakresie ochrony informacji zgodnie z ustaloną procedurą ma charakter pierwotny. Tylko licencjonowane przedsiębiorstwa mogą opracowywać algorytmy i narzędzia bezpieczeństwa w oparciu o nie jako produkty lub towary oferowane na rynku. W różnych publikacjach eksperci wielokrotnie zwracali uwagę, że nawet same wysoce niezawodne środki ochrony, w tym algorytmy kryptograficzne lub pojedyncze bloki i moduły (hardware, hardware-software i software), realizujące część procesu ochrony, nie są w stanie zapewnić wymaganego poziomu informacji ochrona w kompleksie. Na przykład bez wdrożenia specjalne środkiśrodki te można po prostu ominąć lub uzyskać niezbędne informacje z boku promieniowanie elektromagnetyczne i wskazówki. Dla systemów i kompleksów, które zawierają zestaw kompletnych funkcjonalnie i strukturalnie elementów, które można wyraźnie rozróżnić jako samodzielne produkty, istnieje możliwość wystawienia certyfikatu dla każdego z nich.

3. Postępowanie certyfikacyjne przeprowadza się wyłącznie w odniesieniu do środki techniczne lub techniczną część systemu zabezpieczeń, z uwzględnieniem warunków ich funkcjonowania.

4. Dwuetapowy proces certyfikacji z zachowaniem niezależności organizacji przeprowadzających badania i badania certyfikacyjne: certyfikacja środków bezpieczeństwa informacji prowadzona jest przez Centralną Jednostkę Certyfikującą, a badania przeprowadzane są w akredytowanych ośrodkach badawczych (laboratoriach).

5. Zróżnicowane podejście do poziomu ochrony różnych typów
informacja.

6. Obowiązkowe stosowanie algorytmów kryptograficznych będących standardami lub wcześniej zalecanych lub opracowanych przez FAPSI.

Szczególnie podkreślamy, że zatwierdzenie algorytmu przez FAPSI przed jego techniczną implementacją jest jednym z głównych wymagań stawianych produktom ochrony kryptograficznej zgłaszanym do certyfikacji. Zatwierdzenie to można uzyskać poprzez zatwierdzenie algorytmu: jako standardu państwowego; Rząd Federacji Rosyjskiej; FAPSI. W związku z tym do certyfikacji nie są przyjmowane produkty powstałe w oparciu o własne autorskie algorytmy, które nie zostały wcześniej zgłoszone do FAPSI, a także produkty wykorzystujące algorytmy opracowane za granicą lub importowane narzędzia szyfrujące.

W zależności od kompletności realizowanej ochrony Dla poufnego systemu zarządzania dokumentami elektronicznymi ustalane są trzy poziomy bezpieczeństwa (certyfikacji).:

· poziom „A”– certyfikat wydawany jest dla całego systemu bezpieczeństwa i potwierdza zgodność wdrożenia narzędzi szyfrujących z określonymi algorytmami kryptograficznymi, kompleksowa realizacja Wymagania FAPSI dotyczące narzędzi szyfrujących, biorąc pod uwagę ich środowisko programowe, obecność bezpiecznego (bez nieudokumentowanych możliwości) środowiska sprzętowego i programowego;

· poziom „B”– certyfikat wydawany jest dla systemu bezpieczeństwa, w tym narzędzi szyfrujących i środowiska ich oprogramowania, i potwierdza zgodność wdrożenia narzędzi szyfrujących z określonymi algorytmami kryptograficznymi i wymaganiami FAPSI, zgodność z wymaganiami FAPSI dla środowiska programowego narzędzi szyfrujących;

· poziom „C”– certyfikat wydawany jest wyłącznie dla narzędzi szyfrujących i potwierdza zgodność wdrożenia narzędzi szyfrujących z określonymi algorytmami i wymaganiami kryptograficznymi.

7. Przyjęcie przez Centralną Jednostkę Certyfikującą i ośrodki badawcze (laboratoria) odpowiedzialności za realizację powierzonych im funkcji zgodnie z aktualne ustawodawstwo i zobowiązania umowne.

8. Badania certyfikacyjne narzędzi bezpieczeństwa informacji mogą być przeprowadzane wyłącznie w drodze badań akredytowanych centra certyfikacji. Ważne dopasowanie wyroby zgodne z normami państwowymi i gwarancja spełnienia wymagań bezpieczeństwa potwierdzone są jedynie certyfikatem Państwowej Komisji Technicznej lub FAPSI.

9. Akceptacja i ścisłe przestrzeganie przez wnioskodawcę zasad ustalonych w systemie certyfikacji.

Ważność wydanego certyfikatu może zostać zawieszona lub w całości unieważniona na podstawie wyników kontroli inspekcji certyfikowane środki ochrona informacji.

Przyczyny zawieszenia i unieważnienia certyfikatu mogą to być: zmiany w dokumentach regulacyjnych i metodologicznych dotyczących środków bezpieczeństwa informacji lub ich elementów, a także testowania i kontroli; zmiany w projekcie, składzie lub kompletności urządzenia zabezpieczającego informacje; nieprzestrzeganie wymagań technologicznych lub specyfikacji technicznych produktu; odmowa wnioskodawcy dopuszczenia kontroli naukowej, technicznej i inspekcyjnej.

Struktura organizacyjna systemu certyfikacji obejmuje Państwową Komisję Techniczną lub FAPSI as Organ rządowy w sprawie certyfikacji środków bezpieczeństwa informacji, jednostka centralna systemu certyfikacji i ośrodki testujące (laboratoria) środków bezpieczeństwa informacji, a także wnioskodawcy.

Podsumowując, należy zauważyć, że systemy licencjonowania i certyfikacji znajdują się obecnie w fazie doskonalenia pod względem rozwoju ramy prawne, mechanizm i zasady ich funkcjonowania. Z tego oczywiście wynika, że ​​poszczególne postanowienia można zmieniać, doprecyzować lub uzupełnić.

CZĘŚĆ 3. organizacyjno-techniczna
zapewnienie BEZPIECZEŃSTWA INFORMACJI

6. POZIOM WSPARCIA ADMINISTRACYJNEGO
BEZPIECZEŃSTWO INFORMACJI

Po ustaleniu podstaw prawnych bezpieczeństwa elektrowni jądrowych i obiektów tymczasowego aresztowania, zajęcia praktyczne stworzenie systemu bezpieczeństwa informacji (ISS). Działania te obejmują następujące gradacja :

1) kształtowanie polityki bezpieczeństwa;

2) przeprowadzanie analizy ryzyka;

3) planowanie bezpieczeństwa informacji;

4) planowanie działań w sytuacje awaryjne;

5) wybór mechanizmów i środków zapewnienia bezpieczeństwa informacji.

Pierwsze dwa etapy interpretowane są zazwyczaj jako rozwinięcie polityki bezpieczeństwa i stanowią tzw poziom administracyjny systemu OBI.

Etap trzeci i czwarty mają opracować procedury bezpieczeństwa. Na tych etapach powstaje Poziom planowania systemu OBI.

NA ostatni etap określane są działania praktyczne poziom oprogramowania i sprzętu systemu OBI.

Przepisy prawa i standardy z zakresu bezpieczeństwa informacji stanowią jedynie wyjściową podstawę regulacyjną dla OBI w AS i IVS. Podstawą praktycznej budowy systemu OBI jest kreacja poziom administracyjny systemy wyznaczające ogólny kierunek prac nad OBI.

Cel poziomu administracyjnego jest sformułowanie programu prac w zakresie bezpieczeństwa informacji i zapewnienie jego realizacji. Program przedstawia oficjalna polityka bezpieczeństwo, odzwierciedlając jego własne podejście koncepcyjne organizacje do OBI. Specyfikacja polityki bezpieczeństwa wyrażona jest w plany bezpieczeństwa informacji.

Cicha sympatia

Leonidowicz

Kandydat nauk technicznych, profesor nadzwyczajny

Nikulin Michaił Juriewicz

Podstawa prawna certyfikacji narzędzi bezpieczeństwa informacji

Streszczenie: W artykule dokonano przeglądu głównych aktów prawnych i rozporządzeń leżących u podstaw certyfikacji narzędzi bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji. Rozważono strukturę głównych obowiązkowych systemów certyfikacji. Prowadzone analiza porównawcza aspekty prawne organizację każdego z systemów certyfikacji.

Słowa kluczowe: przepisy techniczne, obowiązkowa certyfikacja, ochrona tajemnicy.

Zadanie certyfikacji narzędzi bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji pojawia się podczas budowy zautomatyzowanych systemów różne poziomy w wielu sektorach gospodarki. Pomimo tego, że pozostają najtrudniejsze aspekty planowania i wdrażania testów certyfikacyjnych aspekty techniczne, cechy prawne tego rodzaju pracy również mają wiele niuansów i zasługują na osobne rozpatrzenie.

Podstawą wszelkiego rodzaju działań w zakresie oceny zgodności, a w szczególności certyfikacji środków bezpieczeństwa informacji, jest ustawa federalna z dnia 27 grudnia 2002 r. nr 184-FZ „W sprawie przepisów technicznych”. W tym prawie przez potwierdzenie zgodności rozumie się dokumentujące poświadczenie zgodności wyrobów lub innych przedmiotów, procesów projektowych (w tym przeglądów), produkcji, budowy, instalacji, regulacji, eksploatacji, przechowywania, transportu, sprzedaży i utylizacji, wykonywania pracy lub świadczenie usług zgodnie z wymaganiami przepisów technicznych, przepisów, norm, kodeksów postępowania lub warunków umów. Z kolei jedną z form potwierdzenia zgodności jest certyfikacja. W dziedzinie bezpieczeństwa informacji certyfikacja odnosi się do działań stron trzecich mających na celu potwierdzenie cech narzędzi bezpieczeństwa informacji zgodnie z wymogami dokumentów regulacyjnych dotyczących bezpieczeństwa informacji.

Jednocześnie art. 5 wspomnianej wcześniej ustawy nr 184-FZ podnosi oddzielnie te kwestie przepis techniczny w sprawie produkty obronne(roboty budowlane, usługi) świadczone w ramach państwa rozkaz obrony, produkty (prace, usługi) służące do ochrony informacji stanowiących tajemnicę państwową lub sklasyfikowane jako inne informacje o ograniczonym dostępie chronione zgodnie z ustawodawstwem Federacji Rosyjskiej, produkty (prace, usługi), o których informacje stanowią tajemnicę państwową.

Zatem różne rodzaje informacji sklasyfikowanych jako informacje o ograniczonym dostępie (patrz tabela 1) implikują istnienie różnych wymogów regulacyjnych dotyczących odpowiednich środków bezpieczeństwa informacji. Jednak w praktyce większość rodzajów tajemnic wymienionych w tabeli 1 uważa się po prostu za poufne

informacji, problematykę organizowania testów certyfikacyjnych narzędzi bezpieczeństwa informacji przeznaczonych do ochrony tajemnicy państwowej, osobowej

Tabela 1

danych i wiele innych określone typy chronione informacje.

Na przykład ustawa Federacji Rosyjskiej z dnia 21 lipca 1993 r. nr 5485-1 „O państwie

Informacje klasyfikowane jako objęte ograniczonym dostępem Podstawy zaklasyfikowania informacji jako kategorii o ograniczonym dostępie.

Tajemnica państwowa Artykuł 5 ustawy Federacji Rosyjskiej z dnia 21 lipca 1993 r. N 5485-1 „O tajemnicach państwowych”

Dekret Prezydenta Federacji Rosyjskiej z dnia 30 listopada 1995 r. N 1203 „W sprawie zatwierdzenia Wykazu informacji objętych tajemnicą państwową”

Tajemnica handlowa Ustawa federalna z dnia 29 lipca 2004 r. N 98-FZ „O tajemnicach handlowych”

Artykuł 12 Prawo federalne z dnia 28 listopada 2011 r. nr 335-FZ „O spółkach inwestycyjnych”

Dane osobowe Artykuł 7 ustawy federalnej z dnia 27 lipca 2006 r. N 152-FZ „O danych osobowych”

Inne rodzaje tajemnic Odpowiednie przepisy Federacji Rosyjskiej

tajne” definiuje certyfikację jako jedyna forma ocenę przydatności takich zabezpieczeń. Artykuł 28 ustawy nr 5485-1 stanowi, że środki bezpieczeństwa informacji muszą posiadać certyfikat potwierdzający ich zgodność z wymogami ochrony informacji o odpowiednim stopniu tajności. W takim przypadku organizację certyfikacji środków bezpieczeństwa informacji powierzono organowi federalnemu władza wykonawcza uprawnionych w dziedzinie zwalczania wywiadu technicznego i technicznej ochrony informacji, federalnego organu wykonawczego uprawnionego w dziedzinie bezpieczeństwa oraz federalnego organu wykonawczego upoważnionego w dziedzinie obronności, zgodnie z funkcjami powierzonymi im przez ustawodawstwo Federacji Rosyjskiej.

W związku z tym szczegółowe wymagania dotyczące organizacji odpowiednich systemów certyfikacji przypisano odpowiednio FSTEC Rosji, FSB Rosji i Ministerstwu Obrony Rosji. Wszystkie systemy certyfikacji mają podobną strukturę organizacyjną, pokazaną na ryc. 1.

W niektórych przypadkach organ federalny pełni rolę jednostki certyfikującej. Zazwyczaj schemat certyfikacji wygląda następująco:

Wnioskodawca (jest to deweloper lub inna firma zainteresowana certyfikacją) składa wniosek do federalnej jednostki certyfikującej o przeprowadzenie testów certyfikacyjnych określonego produktu.

Organ federalny określa laboratorium badawcze i jednostkę certyfikującą.

Laboratorium badawcze pozostając w stałym kontakcie z wnioskodawcą prowadzi badania certyfikacyjne. Jeżeli podczas procesu testowania zostaną ujawnione pewne niezgodności z określonymi wymaganiami, wówczas wnioskodawca może je wyeliminować w stanie sprawnym - co ma miejsce w większości przypadków, lub

Ryc.1. Uogólniona struktura głównych systemów certyfikacji

Informatyka prawnicza

może zostać podjęta decyzja o zmianie wymagań wobec produktu – np. o obniżeniu klasy bezpieczeństwa. Oczywiście może się zdarzyć, że testy certyfikacyjne zakończą się wynikiem negatywnym.

Szczegółowe raporty z badań przekazywane są jednostce certyfikującej, która je przeprowadza niezależne badanie. Z reguły w badaniu tym uczestniczy co najmniej dwóch ekspertów, którzy muszą niezależnie potwierdzić, że badania zostały przeprowadzone prawidłowo i w całości.

Federalna jednostka certyfikująca na podstawie wniosków jednostki certyfikującej wystawia certyfikat zgodności.

Należy stwierdzić, że osoba ubiegająca się o certyfikację musi posiadać uprawnienia do pracy w zakresie tworzenia narzędzi bezpieczeństwa informacji, a laboratorium badawcze i jednostka certyfikująca muszą posiadać odpowiednie certyfikaty akredytacji.

Jeśli chodzi o dokumenty dotyczące zgodności z testami certyfikującymi, są one prawie identyczne we wszystkich systemach certyfikacji. Istnieją dwa główne podejścia do certyfikacji - i odpowiednio dwa rodzaje dokumentów regulacyjnych.

Testy funkcjonalne narzędzi bezpieczeństwa informacji w celu sprawdzenia, czy produkt faktycznie realizuje zadeklarowane funkcje. Takie testy są najczęściej przeprowadzane pod kątem zgodności z określonym dokumentem regulacyjnym - na przykład jednym z dokumentów regulujących Państwowej Komisji Technicznej Rosji. Takie dokumenty istnieją na przykład dla zapór sieciowych, w celu ochrony przed nieautoryzowanym dostępem. Jeżeli nie ma dokumentu, z którym certyfikowany wyrób byłby w pełni zgodny, to wymagania funkcjonalne można sformułować wprost – np. Dane techniczne lub w formie Zadania Bezpieczeństwa (zgodnie z postanowieniami normy GOST R 15408). W rosyjskim systemie certyfikacji FSTEC opracowano nowoczesne dokumenty regulacyjne oparte na „Kryteriach ogólnych” dla wielu klas systemów bezpieczeństwa informacji (w szczególności dla systemów wykrywania włamań i programów antywirusowych).

Testowanie kodu programu pod kątem braku niezadeklarowanych możliwości – tj. możliwości, które nie są opisane lub nie odpowiadają opisanym w dokumentacji. Klasyczny przykład niezadeklarowanego

możliwościami są zakładki oprogramowania – obiekty funkcjonalne zawarte w oprogramowaniu, które, kiedy pewne warunki(dane wejściowe) inicjują realizację funkcji nieopisanych w dokumentacji, umożliwiając nieuprawniony wpływ na informacje. Identyfikacja niezadeklarowanych możliwości polega na przeprowadzeniu określonych testów w stosunku do kodów źródłowych oprogramowania – w związku z tym udostępnienie kodów źródłowych jest warunkiem koniecznym możliwości przeprowadzenia testów certyfikacyjnych.

W większości przypadków narzędzie bezpieczeństwa informacji musi być certyfikowane zarówno pod względem podstawowej funkcjonalności, jak i braku niezadeklarowanych możliwości.

Ważnym punktem certyfikacji jest wybór schematu certyfikacji, a mianowicie: partia (jeden lub więcej produktów) lub seria ( standardowa próbka). W przypadku serii organizacja składająca wniosek musi dodatkowo przejść specjalne badanie w celu sprawdzenia zdolności do wytwarzania produktów zapewniających bezpieczeństwo informacji. Obecnie Komitet Techniczny w sprawie standaryzacji TK-362 „Bezpieczeństwo Informacji”, prowadzone są badania mające na celu sformułowanie wymagań dla systemów zarządzania bezpieczeństwem informacji w aspekcie zarządzania bezpieczna produkcja oprogramowanie do systemów ochrony informacji.

Podsumowując, należy zauważyć, że obecnie praktycznie nie ma procedury wzajemnego uznawania certyfikatów zgodności między różne systemy certyfikacja środków bezpieczeństwa informacji - zdarzają się jedynie pojedyncze przypadki, gdy decyzję o możliwości wykorzystania materiałów testowych uzyskanych w ramach pracy w innym systemie podejmuje federalna jednostka certyfikująca w indywidualnie. Naszym zdaniem opracowanie systemu ujednolicania wymagań mogłoby stać się ciekawym obszarem działalności regulacyjnej.

Literatura

1. Barabanov A.V. Standaryzacja procesu tworzenia bezpiecznego oprogramowania // Zagadnienia cyberbezpieczeństwa. 2013. Nr 1(1). - s. 37-41.

2. Barabanov A.V., Markov A.S., Fadin A.A. Certyfikacja programów bez kodu źródłowego

kuchenka // Systemy otwarte. DBMS. 2011. Nr 4. - s. 38-41.

3. Barabanov A.V., Markov A.S., Tsirlov V.L. Certyfikacja systemów wykrywania włamań // Systemy Otwarte. DBMS. 2012. Nr 3. - s. 31-33.

4. Barabanov A.V., Markov A.S., Tsirlov V.L. Certyfikacja narzędzi ochrony antywirusowej według nowych wymagań bezpieczeństwa informacji // Biuletyn MSTU im. NE Baumana. Ser. „Budowa instrumentów”. 2012. Numer specjalny nr 5 „Informatyka i systemy sterowania”. - s. 272-278.

5. Barabanov V., Markov A.S., Tsirlov V.L. Aparatura metodologiczna do oceny zgodności systemów zautomatyzowanych z wymogami bezpieczeństwa informacji // Sprzęt specjalny i łączność. 2011. nr 3. - s. 48-52.

6. Żidkow I.V., Kadushkin I.V. O oznakach potencjalnie niebezpiecznych zdarzeń w systemy informacyjne ah // Kwestie cyberbezpieczeństwa. 2014. Nr 1(2). - s. 40-48.

7. Klyanchin A.I. Katalog zakładek NSA (Spigel). Część 1. Infrastruktura // Zagadnienia cyberbezpieczeństwa. 2014. Nr 2 (3). - s. 60-65.

8. Markov A.S., Mironov S.V., Tsirlov V.L. Identyfikacja luk w oprogramowaniu podczas procesu certyfikacji // Izvestia Yuzhny uniwersytet federalny. Nauki Inżynieryjne. 2006. T. 62. nr 7. - s. 82-87.

9. Markov A.S., Tsirlov V.L. Doświadczenie w identyfikowaniu podatności w oprogramowaniu zagranicznym

produkty // Kwestie cyberbezpieczeństwa. 2013. Nr 1(1). - s. 42-48.

10. Markov A.S., Tsirlov V.L. Certyfikacja programu: mity i rzeczywistość // Systemy Otwarte. DBMS. 2011. Nr 6. - s. 26-29.

11. Markov A.S., Tsirlov V.L., Maslov V.G., Oleksenko I.A. Testowanie i testowanie oprogramowania pod kątem wymagań bezpieczeństwa informacji // Aktualności Instytutu Fizyki Inżynierskiej. 2009. T.2, nr 12. - str. 2-6.

12. Matveev V.A., Tsirlov V.L. Stan i perspektywy rozwoju branży bezpieczeństwa informacji Federacji Rosyjskiej w 2014 roku // Zagadnienia cyberbezpieczeństwa. 2013. Nr 1(1). - s. 61-64.

13. Rieber G., Malmquist K., Shcherbakov A. Wielopoziomowe podejście do oceny bezpieczeństwa oprogramowania // Zagadnienia cyberbezpieczeństwa. 2014. Nr 1(2). - s. 36-39.

14. Fedichev A.V., Artamoshin S.A. Usystematyzowanie rodzajów relacji i odpowiedzialności przy uzyskiwaniu dostępu do informacji // Zagadnienia cyberbezpieczeństwa. 2014. Nr 2 (3). - s. 51-59.

15. Szachałow I.Yu. Licencjonowanie działalności zabezpieczenie techniczne informacje poufne // Zagadnienia cyberbezpieczeństwa. 2013. Nr 1(1). - s. 49-54.

16. Shakhalov I.Yu., Dorofeev A.V. Podstawy zarządzania bezpieczeństwem informacji współczesnej organizacji // Informatyka prawna. 2013. Nr 3. - s. 4-14.

Jednym z obowiązkowych warunków uzyskania zezwolenia na pracę z tajemnicą państwową jest obecność w organizacji certyfikowanych narzędzi bezpieczeństwa informacji.

Certyfikacja środków bezpieczeństwa informacji polega przede wszystkim na ich sprawdzeniu cechy jakościowe realizować główną funkcję - ochronę informacji w oparciu o standardy państwowe i wymogi bezpieczeństwa informacji. W odniesieniu do informacji stanowiących tajemnicę państwową ogólne zasady organizacji certyfikacji środków bezpieczeństwa informacji określają normy art. 28 ustawy Federacji Rosyjskiej „O tajemnicach państwowych” - środki bezpieczeństwa informacji muszą posiadać certyfikat poświadczający ich przestrzeganie wymogów ochrony informacji o odpowiednim stopniu tajemnicy. Organizację certyfikacji środków bezpieczeństwa informacji powierzono Federalnej Agencji Kontroli Eksportu i Technologii, Ministerstwu Obrony Federacji Rosyjskiej, zgodnie z funkcjami powierzonymi im przez ustawodawstwo Federacji Rosyjskiej. Certyfikacja odbywa się w oparciu o wymagania norm państwowych Federacji Rosyjskiej i innych dokumentów regulacyjnych zatwierdzonych przez Rząd Federacji Rosyjskiej. Jednym z głównych dokumentów przewodnich dotyczących certyfikacji bezpieczeństwa informacji jest obecnie Regulamin Certyfikacji Narzędzi Bezpieczeństwa Informacji, zatwierdzony uchwałą Rząd Federacji Rosyjskiej z dnia 25 czerwca 1995 r. Nr 608, wdrażający normy Ustawy Federacji Rosyjskiej „O certyfikacji wyrobów i usług”.

Procedura certyfikacji opiera się na następujących zasadach:

1. Obowiązek certyfikacji wyrobów zapewniających ochronę tajemnicy państwowej.

2. Obowiązkowe stosowanie algorytmów kryptograficznych będących standardami.

3. Przyjmowanie do certyfikacji wyłącznie wyrobów pochodzących od licencjonowanych wnioskodawców.

Tym samym, zgodnie z powyższymi dokumentami, opracowano i wdrożono wykazy narzędzi bezpieczeństwa informacji podlegających obowiązkowej certyfikacji; organizacje rządowe i przedsiębiorstwom zabrania się stosowania narzędzi szyfrujących w systemach informatycznych (m.in. podpis elektroniczny i chronione środki techniczne służące do przechowywania, przetwarzania i przekazywania informacji), które nie posiadają certyfikatu.

Wdrożone następne zamówienie orzecznictwo(Rys. 4.2.):

1. Wniosek wraz z kompletem składa się do Centralnej Jednostki Certyfikującej (organu akredytowanego przez FSTEC Rosji). dokumentacja techniczna.

2. Organ centralny powołuje ośrodek (laboratorium) przeprowadzający badanie.

3. Badania przeprowadza się na podstawie kontrakt gospodarczy pomiędzy wnioskodawcą a ośrodkiem egzaminacyjnym.

4. Certyfikację (badanie materiałów i przygotowanie dokumentów do wydania) przeprowadza organ centralny. Certyfikat wydawany jest na okres do 5 lat.

Oprócz tych celów, aby rozwiązać problemy, konieczna jest również certyfikacja narzędzi bezpieczeństwa informacji bezpieczeństwo ekonomiczne organizacji dzięki ciągłemu rozwojowi przestępstwa komputerowe. Podstawą prawną zapobiegania przestępstwom komputerowym jest Dekret Prezydenta Federacji Rosyjskiej „W sprawie środków zapewniających przestrzeganie praworządności w zakresie rozwoju, produkcji, sprzedaży i eksploatacji narzędzi szyfrujących, a także udostępniania usług w zakresie szyfrowania informacji” nr 334 z dnia 03.04.95. Oto niektóre fragmenty tego dekretu:

· organizacjom rządowym i przedsiębiorstwom zabrania się stosowania narzędzi szyfrujących, technicznych środków przechowywania, przetwarzania i przesyłania informacji, które nie posiadają certyfikatu;

· Zabrania się składania zamówień rządowych w przedsiębiorstwach i organizacjach korzystających określone fundusze którzy nie posiadają certyfikatu;

· zakazać działalności osób fizycznych i prawnych w zakresie szyfrowania i środków zabezpieczających bez licencji;

· zakazać importu do Rosji nielicencjonowanych narzędzi szyfrujących i bezpiecznego sprzętu produkcja zagraniczna.

Po otrzymaniu certyfikatu uprawniającego do świadczenia usług organizacja podlega kontrola państwowa(nadzór) nad przestrzeganiem wymagań przepisów technicznych.

System certyfikacji obiektów informatyzacji pod kątem wymagań bezpieczeństwa informacji jest integralna część ujednolicony system certyfikacji środków bezpieczeństwa informacji i certyfikacji obiektów informatyzacji zgodnie z wymogami bezpieczeństwa informacji i podlega rejestracji państwowej w określony sposób. Działalność systemu certyfikacji organizuje federalny organ ds. certyfikacji produktów i certyfikacji obiektów informatyzacji zgodnie z wymogami bezpieczeństwa informacji, federalny organ ds. certyfikacji i atestacji, którym jest FSTEC Rosji.

Pod certyfikacja obiektów informatycznych rozumiany jest jako zespół środków organizacyjnych i technicznych, w wyniku których specjalny dokument- „Certyfikat zgodności” potwierdza, że ​​obiekt spełnia wymagania norm lub innych dokumentów regulacyjnych i technicznych dotyczących bezpieczeństwa informacji zatwierdzonych przez FSTEC Rosji. Posiadanie ważnego „Certyfikatu zgodności” w obiekcie informatyzacyjnym uprawnia do przetwarzania informacji z zachowaniem stopnia tajności (poufności) i przez okres czasu określony w „Certyfikacie zgodności”.

Obowiązkowa certyfikacja Informatyzacji podlegają przedmioty przeznaczone do przetwarzania informacji stanowiących tajemnicę państwową i prowadzenia tajnych rokowań.

Certyfikacja zapewnia należytą staranność chroniony obiekt informatyzacji w realne warunki operacji w celu oceny zgodności zastosowanego zestawu środków i środków ochrony z wymaganym poziomem bezpieczeństwa informacji. Certyfikacja pod kątem wymogów bezpieczeństwa informacji poprzedza rozpoczęcie przetwarzania informacji objętych ochroną i jest spowodowana potrzebą oficjalne potwierdzenie skuteczność zastosowanego kompleksu konkretny obiekt informatyzacja środków i środków ochrony informacji. Podczas certyfikacji obiektu informatyzacji sprawdzana jest jego zgodność z wymogami ochrony informacji przed nieuprawnionym dostępem, w tym przed wirusy komputerowe, przed wyciekiem spowodowanym bocznym promieniowaniem elektromagnetycznym i zakłóceniami spowodowanymi specjalnymi uderzeniami w obiekt (nakładanie i napromienianie o wysokiej częstotliwości, narażenie elektromagnetyczne i promieniowanie), przed wyciekiem lub uderzeniem w niego w wyniku specjalnych urządzeń wbudowanych w obiekty informacyjne.

Literatura

1. Averchenkov, V.I. Audyt bezpieczeństwa informacji: podręcznik. zasiłek/V.I. Awierczenkow. – Briańsk: BSTU, 2005 – 269 s.

2. Averchenkov, V.I. Ochrona informacji organizacyjnej: podręcznik. zasiłek/V.I. Averchenkov, M.Yu. Rytów – Briańsk: BSTU, 2005 – 184 s.

3. Averchenkov, V.I., Służba bezpieczeństwa informacji: organizacja i zarządzanie: podręcznik. zasiłek / V.I. Averchenkov, M.Yu. Rytów – Briańsk: BSTU, 2005 – 186 s.

4. Averchenkov, V.I. System bezpieczeństwa Federacji Rosyjskiej: podręcznik. zasiłek / V.I. Averchenkov, V.V. Erokhin. – Briańsk: BSTU, 2005. – 120 s.

5. Averchenkov, V.I. Systemy bezpieczeństwa informacji w wiodących obce kraje: podręcznik podręcznik dla uniwersytetów / V.I. Averchenkov, M.Yu. Rytow, G.V. Kondraszyn, M.V. Rudanowski. – Briańsk: BSTU, 2007. – 225 s.

6. Domarev, V.V. Bezpieczeństwo technologia informacyjna. Podejście systematyczne / V.V. Domarev - Kijów: LLC „TiD”, 2004. - 914 s.

7. Miedwiedowski, I.D. Praktyczne zastosowanie norma międzynarodowa bezpieczeństwo systemów informatycznych ISO 17799 www.dsec.ru/cd-courses/iso 17799 cd.php/

8. Petrenko, SA Audyt bezpieczeństwa Iuranrt / S.A. Petrenko, A.A.Petrenko - M: Akademia A&T: DMK Press, 2002. - 438 s.

9. Petrenko, SA Zarządzanie ryzykiem informacyjnym. Bezpieczeństwo uzasadnione ekonomicznie / S.A. Petrenko, S.V. Simonov - M: Akademia A&T: DMK Press, 2004. - 384 s.

10. Pokrovsky, P. Ocena ryzyka informacyjnego / P. Pokrovsky - 2004. - nr 10. Wydawnictwo „Systemy otwarte” (www.osp.ru).

11. Semkin, S.I. Podstawy wsparcie organizacyjne bezpieczeństwo informacji obiektów informatyzacji: podręcznik. dodatek. / SI Semkin, E.V. Belyakov, S.V. Grebnev, V.I. Kozichok – M: Helios ARV, 2005 – 192 s.

13. www.rg.ru – strona internetowa „Rossijskaja Gazeta”.

14. www.fstek.ru- Oficjalna strona internetowa FSTEC w Rosji.

15. www.fsb.ru - Oficjalna strona internetowa FSB Rosji.

16. www.egovernment.ru - magazyn internetowy „ Bezpieczeństwo informacji”.

17. www.gtk.lissi.ru - Oficjalne dokumenty Państwowa Komisja Techniczna Rosji.

18. www.gdezakon.ru - strona internetowa „Kompletny zbiór praw Rosji”.

19. www.law.yarovoiy.com - - Strona internetowa „Wszystkie prawa Rosji”.

20. Galatenko, A. Aktywny audyt / A. Galatenko // Jet Info on line – 1999. – nr 8 (75). artykuł 1.8. 1999……

21. Guzik, S. Po co audytować systemy informacyjne? /Z. Guzik // Jet Info on-line. – 2000. – 10 (89). artykuł.10.2000.

22. Kobzarev, M. Metodologia oceny bezpieczeństwa technologii informatycznych wg kryteria ogólne/ M. Kobzarev, A. Sidak // Informacje o Jet w Internecie. – 2004. – 6 (133). artykuł 1.6.2004.

23. Petrenko, S. Bezpieczeństwo informacji: Aspekty ekonomiczne/ S. Petrenko, S. Simonov, R. Kislov // Informacje o Jet on-line. – 2003 – nr 10 (125). artykuł 10.01.2003.

©2015-2019 strona
Wszelkie prawa należą do ich autorów. Ta witryna nie rości sobie praw do autorstwa, ale zapewnia bezpłatne korzystanie.
Data utworzenia strony: 2016-08-07

Postanowienia ogólne

Struktura organizacyjna systemu certyfikacji

Narzędzia ochrony informacji zgodnie z wymogami bezpieczeństwa

Informacja

Procedura certyfikacji i kontroli

Wymagania dotyczące dokumentów regulacyjnych i metodologicznych dot

Certyfikaty bezpieczeństwa informacji

Załącznik 1

Dodatek 2

Dodatek 3

Dodatek 4

Dodatek 5

1. POSTANOWIENIA OGÓLNE

1.1. Niniejsze rozporządzenie określa podstawowe zasady, strukturę organizacyjną systemu obowiązkowej certyfikacji środków bezpieczeństwa informacji, tryb certyfikacji tych środków ochrony zgodnie z wymogami bezpieczeństwa informacji, a także państwową kontrolę i nadzór nad certyfikacją i certyfikowanymi środkami bezpieczeństwa informacji.

Środki bezpieczeństwa informacji oznaczają środki techniczne, kryptograficzne, programowe i inne przeznaczone do ochrony informacji stanowiących tajemnicę państwową, sposoby ich realizacji, a także środki monitorowania skuteczności ochrony informacji.

Certyfikacja środków bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji (zwana dalej certyfikacją) odnosi się do działań mających na celu potwierdzenie ich zgodności z wymaganiami norm państwowych lub innych dokumentów regulacyjnych dotyczących bezpieczeństwa informacji zatwierdzonych przez Państwową Komisję Techniczną pod przewodnictwem Prezydenta Rosji Federacja (Państwowa Komisja Techniczna Rosji).

1.2. Regulamin został opracowany zgodnie z przepisami Federacji Rosyjskiej „O certyfikacji produktów i usług” oraz „O tajemnicy państwowej”, dekretem Rządu Federacji Rosyjskiej z dnia 26 czerwca 1995 r. nr 608 „W sprawie certyfikacji bezpieczeństwa informacji Narzędzia”, „Przepisy dotyczące Państwowego Systemu Ochrony Informacji w Federacji Rosyjskiej przed zagraniczną wywiadem technicznym i przed jego wyciekiem kanały techniczne„, w oparciu o „System certyfikacji GOST R” i „Zasady certyfikacji w Federacji Rosyjskiej”.

1.3. System certyfikacji narzędzi bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji obejmuje certyfikację obiektów informatyzacji zgodnie z wymogami bezpieczeństwa informacji i podlega rejestracji państwowej w sposób określony w Państwowym Standardzie Rosji.

Przez przedmioty informatyzacji certyfikowane zgodnie z wymogami bezpieczeństwa informacji rozumie się: systemy automatyczne(AS) różnego poziomu i przeznaczenia, systemy łączności, wyświetlania i odtwarzania dokumentów wraz z pomieszczeniami, w których są zainstalowane, przeznaczonymi do przetwarzania i przekazywania informacji podlegających ochronie, a także same pomieszczenia, przeznaczone do prowadzenia poufnych rokowań .

Podstawowe zasady, strukturę organizacyjną systemu certyfikacji obiektów informatyzacji według wymagań bezpieczeństwa informacji, zasady postępowania, a także inne kwestie certyfikacyjne określa „Regulamin certyfikacji obiektów informatyzacji według wymagań bezpieczeństwa informacji”.

Działalność systemu certyfikacji organizuje Państwowa Komisja Techniczna Rosji w granicach jej kompetencji określonych w aktach prawnych i innych aktach prawnych Federacji Rosyjskiej.

1.4. Celem stworzenia systemu certyfikacji jest:

zapewnienie realizacji wymagań system państwowy ochrona informacji;

tworzenie warunków dla wysokiej jakości i efektywnego udostępniania konsumentom certyfikowanych narzędzi bezpieczeństwa informacji;

bezpieczeństwo bezpieczeństwo narodowe w dziedzinie informacji;

promowanie tworzenia rynku bezpiecznych technologii informatycznych i środków ich wspierania;

tworzenie i wdrażanie jednolitego systemu naukowego, technicznego i politykę przemysłową w dziedzinie technologii informatycznych, biorąc pod uwagę nowoczesne wymagania o ochronie informacji;

wsparcie projektów i programów informatycznych.

1,5. Sprzęt, także zagraniczny, przeznaczony do ochrony informacji stanowiących tajemnicę państwową i innych informacji ograniczony dostęp, a także narzędzia stosowane w zarządzaniu obiektami niebezpiecznymi dla środowiska. Wykaz środków bezpieczeństwa informacji podlegających obowiązkowej certyfikacji opracowuje Państwowa Komisja Techniczna Rosji i uzgadnia z Międzyresortową Komisją ds. Ochrony Tajemnicy Państwowej. W pozostałych przypadkach certyfikacja jest dobrowolna ( dobrowolna certyfikacja) i jest przeprowadzana z inicjatywy twórcy, producenta lub konsumenta narzędzia bezpieczeństwa informacji.

1.6. Główne systemy certyfikacji narzędzi bezpieczeństwa informacji to:

dla pojedynczych próbek środków bezpieczeństwa informacji – badanie próbki pod kątem zgodności z wymogami bezpieczeństwa informacji;

do seryjnej produkcji sprzętu ochronnego informacja - trzymanie standardowe badanie próbek produktów pod kątem zgodności z wymogami bezpieczeństwa informacji i późniejsza kontrola kontrolna stabilności właściwości certyfikowane produkty, zapewniający (określający) spełnienie tych wymagań. Dodatkowo decyzją jednostki certyfikującej przeprowadzona jest wstępna kontrola (certyfikacja) produkcji wg zatwierdzony program. W porozumieniu z jednostką certyfikującą w zakresie wymagań bezpieczeństwa informacji można zastosować inne schematy certyfikacji stosowane w praktyce międzynarodowej.

1.7. Certyfikację środków bezpieczeństwa informacji przeprowadza Państwowa Komisja Techniczna Rosji i akredytowane jednostki certyfikujące, a testy przeprowadzają akredytowane centra badawcze (laboratoria) na ich bazie materiałowej i technicznej. W niektórych przypadkach, w porozumieniu z Państwową Komisją Techniczną Rosji lub jednostką certyfikującą, dozwolone jest przeprowadzanie testów w bazie testowej dewelopera (producenta, dostawcy, konsumenta) to narzędzie ochrona informacji.

Zasady akredytacji określa obowiązujący system „Regulamin akredytacji ośrodków badawczych (laboratoriów) i jednostek certyfikujących środki bezpieczeństwa informacji.

1.8. Procedura płatności za certyfikację poszczególnych narzędzi bezpieczeństwa informacji prowadzona jest przez wnioskodawcę na podstawie porozumień pomiędzy uczestnikami certyfikacji. Kwota środków wydanych przez wnioskodawcę na certyfikację narzędzia bezpieczeństwa informacji jest wliczona w jego koszt.

1.9. Jednostki certyfikujące i ośrodki badawcze (laboratoria) odpowiadają za wypełnianie powierzonych im funkcji, zapewnienie bezpieczeństwa tajemnicy państwowej itp. informacje poufne, aktywa materialne dostarczonych przez wnioskodawcę, a także przestrzegania praw autorskich wnioskodawcy przy testowaniu jego narzędzi bezpieczeństwa informacji.

2. STRUKTURA ORGANIZACYJNA SYSTEMU CERTYFIKACJI

2.1. Struktura organizacyjna formularz systemów certyfikacji:

Państwowa Komisja Techniczna Rosji (federalny organ ds. certyfikacji środków bezpieczeństwa informacji);

centralny organ systemu certyfikacji bezpieczeństwa informacji;

jednostki certyfikujące narzędzia bezpieczeństwa informacji;

centra badawcze (laboratoria);

wnioskodawcy (programiści, producenci, dostawcy, konsumenci produktów zapewniających bezpieczeństwo informacji).

2.2. Państwowa Komisja Techniczna Rosji w ramach swoich kompetencji pełni następujące funkcje:

tworzy system certyfikacji narzędzi bezpieczeństwa informacji oraz ustala zasady certyfikacji określone typyśrodki ochrony informacji w tym systemie;

organizuje funkcjonowanie systemu certyfikacji środków bezpieczeństwa informacji;

ustala listę narzędzi bezpieczeństwa informacji podlegających obowiązkowej certyfikacji w tym systemie;

ustala zasady akredytacji i wydawania licencji na wykonywanie prac certyfikacyjnych;

organizuje i finansuje opracowywanie dokumentów regulacyjnych i metodologicznych dla systemu certyfikacji narzędzi bezpieczeństwa informacji;

wyznacza centralny organ systemu certyfikacji bezpieczeństwa informacji (jeżeli jest to konieczne) lub pełni funkcje tego organu;

zatwierdza dokumenty regulacyjne dotyczące bezpieczeństwa informacji, zgodnie z którymi przeprowadzana jest certyfikacja środków bezpieczeństwa informacji w systemie, oraz dokumenty metodyczne do przeprowadzania testów certyfikacyjnych;

akredytuje jednostki certyfikujące i ośrodki badawcze (laboratoria), wydaje im licencje na prowadzenie działalności pewne typy fabryka;

prowadzi państwowy rejestr uczestników i obiektów certyfikacji;

prowadzi kontrolę i nadzór państwowy oraz ustala tryb kontroli kontrolnej przestrzegania zasad certyfikacji i certyfikowanych środków bezpieczeństwa informacji;

rozpatruje odwołania dotyczące kwestii certyfikacyjnych;

prezenty dalej rejestracja państwowa System certyfikacji Gosstandart Rosji i znak zgodności;

organizuje okresową publikację informacji o certyfikacji;

wchodzi w interakcję z odpowiednimi upoważnione organy inne kraje i organizacje międzynarodowe w sprawach certyfikacyjnych podejmuje decyzje o uznawaniu certyfikatów międzynarodowych i zagranicznych;

organizuje szkolenia i certyfikację biegłych rewidentów;

wydaje certyfikaty i licencje na używanie znaku zgodności;

zawiesza lub unieważnia ważność wydanych certyfikatów.

Państwowa Komisja Techniczna Rosji może delegować niektóre swoje funkcje centralnemu organowi systemu certyfikacji i jednostkom certyfikującym.

2.3. Jednostka centralna systemu certyfikacji bezpieczeństwa informacji:

koordynuje działalność jednostek certyfikujących i ośrodków badawczych (laboratoriów) objętych systemem;

opracowuje propozycje zakresu certyfikowanych w systemie narzędzi bezpieczeństwa informacji i przedstawia je Państwowej Komisji Technicznej Rosji;

uczestniczy w pracach nad udoskonaleniem funduszu dokumentów regulacyjnych, na zgodność z którymi prowadzona jest certyfikacja środków bezpieczeństwa informacji w systemie, oraz dokumentów metodycznych do przeprowadzania testów certyfikacyjnych;

uczestniczy w rozpatrywaniu odwołań dotyczących działań jednostek certyfikujących i ośrodków badawczych (laboratoriów) objętych systemem;

uczestniczy w akredytacji jednostek certyfikujących i ośrodków badawczych (laboratoriów) w zakresie certyfikacji narzędzi bezpieczeństwa informacji wchodzących w skład systemu;

prowadzi ewidencję jednostek certyfikujących i ośrodków badawczych (laboratoriów) objętych systemem, wydanych i unieważnionych certyfikatów i licencji na używanie znaku zgodności, dokumentów regulacyjnych i metodologicznych zawierających zasady, wymagania, metody i zalecenia dotyczące certyfikacji;

udostępnia uczestnikom certyfikacji informacje o działaniu systemu i przygotowuje niezbędne materiały do publikacji.

2.4. Jednostki certyfikujące narzędzia bezpieczeństwa informacji w ustalonym zakresie akredytacji:

określić schemat certyfikacji dla poszczególnych narzędzi bezpieczeństwa informacji, uwzględniając propozycje wnioskodawcy;

wyjaśnić wymagania dotyczące zgodności, z którymi przeprowadzane są badania certyfikacyjne;

zatwierdza programy i metody przeprowadzania testów certyfikacyjnych;

przeprowadzać badania dokumentacji techniczno-eksploatacyjnej środków bezpieczeństwa informacji oraz materiałów do badań certyfikacyjnych tych środków;

sporządzić ekspertyzę w sprawie certyfikacji środków bezpieczeństwa informacji, projekty certyfikatów i licencji na używanie znaku zgodności i przedłożyć je Państwowej Komisji Technicznej Rosji;

zorganizować, jeśli to konieczne, wstępną kontrolę (certyfikację) produkcji certyfikowanych narzędzi bezpieczeństwa informacji;

uczestniczyć w akredytacji ośrodków badawczych (laboratoriów);

uczestniczyć w kontroli inspekcji stabilności cech certyfikowanych narzędzi bezpieczeństwa informacji oraz działalności ośrodków testujących (laboratoriów);

przechowywać dokumentację (oryginały) potwierdzającą poświadczenie środków bezpieczeństwa informacji;

zwraca się do Państwowej Komisji Technicznej Rosji o unieważnienie ważności wydanych certyfikatów;

tworzyć i aktualizować fundusz dokumentów normatywnych i metodologicznych niezbędnych do certyfikacji, uczestniczyć w ich opracowywaniu;

dostarczyć wnioskodawcy niezbędne informacje dotyczące certyfikacji.

2.5. Ośrodki badawcze (laboratoria) w ustalonym zakresie akredytacji:

przeprowadzać testy certyfikacyjne poszczególnych narzędzi bezpieczeństwa informacji, sporządzać wnioski i protokoły z testów certyfikacyjnych, opracowywać programy i metody testów certyfikacyjnych;

przeprowadzić dobór próbek środków bezpieczeństwa informacji do badań certyfikacyjnych;

uczestniczyć we wstępnej weryfikacji (certyfikacji) produkcji certyfikowanych narzędzi bezpieczeństwa informacji.

Ośrodki badawcze (laboratoria) odpowiadają za kompletność badań sprzętu bezpieczeństwa informacji, rzetelność, obiektywność i wymaganą dokładność pomiarów, terminową weryfikację przyrządów pomiarowych oraz certyfikację sprzętu badawczego.

2.6. Wnioskodawcy (programiści, producenci, dostawcy, konsumenci produktów zapewniających bezpieczeństwo informacji):

zapewnić zgodność środków bezpieczeństwa informacji z wymogami dokumentów regulacyjnych dotyczących bezpieczeństwa informacji;

przeprowadzać przygotowanie produkcji i podejmować działania zapewniające stabilność cech narzędzi bezpieczeństwa informacji, które decydują o bezpieczeństwie informacji;

wskazać w dokumentacji technicznej informacje o certyfikowanym narzędziu bezpieczeństwa informacji, dokumentach regulacyjnych, z którymi musi być zgodny, zapewnić przekazanie tych informacji konsumentowi;

w ten sposób oznakować certyfikowane środki bezpieczeństwa informacji znakiem zgodności ustalone przepisami systemy certyfikacji;

stosować certyfikat i znak zgodności, kierując się akty prawne Federacja Rosyjska i zasady systemu certyfikacji;

powiadamiać jednostkę certyfikującą i ośrodek badawczy (laboratorium), które przeprowadziły certyfikację, o wszelkich zmianach w technologii, projekcie (składzie) certyfikowanych środków bezpieczeństwa informacji w celu podjęcia decyzji o konieczności ponownej certyfikacji tych środków bezpieczeństwa informacji;

zapewnić sprawne wykonywanie swoich uprawnień urzędnicy organy sprawujące kontrolę kontrolną nad certyfikowanymi środkami bezpieczeństwa informacji;

zawiesić lub zakończyć wdrażanie środków bezpieczeństwa informacji, jeżeli nie spełniają one wymagań dokumentów regulacyjnych, a także po wygaśnięciu certyfikatu, jego zawieszeniu lub unieważnieniu;

W przypadku wykrycia rozbieżności między certyfikowanymi środkami bezpieczeństwa informacji a wymaganiami dokumentów regulacyjnych podejmowane są działania w celu udoskonalenia tych środków bezpieczeństwa informacji i przeprowadzania testów certyfikacyjnych.

Wnioskodawcy (programiści, producenci, dostawcy) muszą posiadać licencję Państwowej Komisji Technicznej Rosji na odpowiedni rodzaj działalności.

2.7. Jednostki certyfikujące i centra badawcze (laboratoria) są akredytowane przez Państwową Komisję Techniczną Rosji.

Jednostki certyfikujące i centra badawcze (laboratoria) muszą być osobami prawnymi, posiadać przeszkolonych specjalistów, niezbędne środki pomiary, sprzęt testujący i metody testowania, dokumenty regulacyjne dotyczące wykonywania całego zakresu prac związanych z testowaniem określonych narzędzi bezpieczeństwa informacji w obszarze ich akredytacji.

Akredytacja przeprowadzana jest tylko wtedy, gdy istnieje licencja Państwowej Komisji Technicznej Rosji na odpowiednie rodzaje działalności.

Akredytacja jako jednostek certyfikujących i ośrodków badawczych (laboratoriów) przedsiębiorstw podległych federalnym organom wykonawczym przeprowadzana jest na wniosek tych organów.

3. PROCEDURA CERTYFIKACJI I KONTROLI

3.1. Procedura certyfikacji obejmuje następujące kroki:

złożenie i rozpatrzenie wniosku o certyfikację narzędzi bezpieczeństwa informacji; testowanie certyfikowanych narzędzi bezpieczeństwa informacji i certyfikacja ich produkcji;

badanie wyników badań, rejestracja, rejestracja i wydanie certyfikatu i licencji na prawo używania znaku zgodności;

wdrożenie państwowej kontroli i nadzoru, inspekcji kontroli przestrzegania zasad obowiązkowej certyfikacji oraz certyfikowanych środków bezpieczeństwa informacji.

informowanie o wynikach certyfikacji środków bezpieczeństwa informacji;

rozpatrywanie odwołań.

3.2. Złożenie i rozpatrzenie wniosku o certyfikację narzędzi bezpieczeństwa informacji.

3.2.1. Aby uzyskać certyfikat, wnioskodawca składa wniosek (załącznik 1) do Państwowej Komisji Technicznej Rosji w celu przeprowadzenia testów, wskazując schemat certyfikacji, normy i inne dokumenty regulacyjne dotyczące zgodności z wymaganiami, których należy przeprowadzić certyfikację.

3.2.2. Państwowa Komisja Techniczna Rosji w okres miesięczny po otrzymaniu wniosku przesyła wnioskodawcy, do jednostki certyfikującej i ośrodka badawczego (laboratorium) wyznaczonego do certyfikacji, decyzję o przeprowadzeniu certyfikacji (załącznik nr 2). Na wniosek wnioskodawcy jednostka certyfikująca i ośrodek badawczy (laboratorium) mogą ulec zmianie.

Po otrzymaniu decyzji wnioskodawca jest zobowiązany do przedłożenia jednostce certyfikującej i placówce badawczej (laboratorium) urządzenia zabezpieczającego informacje zgodnego ze specyfikacją techniczną tego produktu oraz kompletu dokumentacji techniczno-ruchowej, zgodnie z dokumenty regulacyjne dla ESKD, ESPD dla certyfikowanego urządzenia bezpieczeństwa informacji.

3.3. Testowanie certyfikowanych narzędzi bezpieczeństwa informacji w centrach testowych (laboratoriach).

3.3.1. Badania certyfikowanych środków bezpieczeństwa informacji przeprowadza się na próbkach, których projekt, skład i technologia produkcji muszą być takie same jak próbki dostarczone konsumentowi, klientowi, zgodnie z programami i metodami badań uzgodnionymi z wnioskodawcą i zatwierdzonym jednostka certyfikująca. Dokumentacja techniczno-ruchowa seryjnych środków zabezpieczenia informacji musi mieć literę nie mniejszą niż „O1” (wg ESKD).

Liczba próbek, procedura ich selekcji i identyfikacji muszą być zgodne z wymogami dokumentów regulacyjnych i metodologicznych ten typśrodki bezpieczeństwa informacji.

Jeżeli w momencie certyfikacji nie ma ośrodków badawczych (laboratoriów), jednostka certyfikująca określa możliwość, miejsce i warunki przeprowadzania badań, aby zapewnić obiektywność ich wyników.

3.3.2. Termin przeprowadzenia testów ustalany jest w porozumieniu pomiędzy wnioskodawcą a ośrodkiem egzaminacyjnym (laboratorium).

3.3.3. Na wniosek wnioskodawcy jego przedstawiciele muszą mieć możliwość zapoznania się z warunkami przechowywania i testowania próbek środków bezpieczeństwa informacji w ośrodku testowym (laboratorium).

3.3.4. Wyniki badań dokumentowane są w protokołach i wnioskach, które ośrodek badawczy (laboratorium) przesyła do jednostki certyfikującej, a kopię – do wnioskodawcy.

3.3.5 W przypadku wprowadzenia zmian w konstrukcji (składzie) środków bezpieczeństwa informacji lub technologii ich produkcji, które mogą mieć wpływ na właściwości środków bezpieczeństwa informacji, wnioskodawca (programista, producent, dostawca) powiadamia jednostkę certyfikującą. Ten ostatni decyduje o konieczności przeprowadzenia nowych testów tych narzędzi bezpieczeństwa informacji.

3.3.6. Certyfikacja importowanych narzędzi bezpieczeństwa informacji odbywa się według takich samych zasad jak narzędzia krajowe.

3.4. Badanie wyników badań, wykonanie, rejestracja i wydanie certyfikatu i licencji na prawo używania znaku zgodności.

3.4.1. Jednostka certyfikująca bada wyniki badań i sporządza ekspertyzę. Jeżeli wyniki testów są zgodne z wymogami dokumentów regulacyjnych dotyczących ochrony informacji, jednostka certyfikująca sporządza projekt certyfikatu, który wraz z ekspertyzą i specyfikacjami urządzenia do ochrony informacji jest przesyłany do Państwowej Komisji Technicznej Rosji.

Po zatwierdzeniu ekspertyzy, zatwierdzeniu specyfikacji narzędzia bezpieczeństwa informacji, nadaniu certyfikatu numer rejestracyjny Państwowa Komisja Techniczna Rosji wydaje certyfikat (załącznik 3), a następnie wszystkie dokumenty są wydawane wnioskodawcy. Okres ważności certyfikatu ustala się na nie więcej niż pięć lat.

Jeżeli wyniki testu nie spełniają wymagań norm lub innych dokumentów regulacyjnych dotyczących ochrony informacji, Państwowa Komisja Techniczna Rosji podejmuje decyzję o odmowie wydania certyfikatu i przesyła wnioskodawcy uzasadniony wniosek. W przypadku braku zgody na odmowę wydania certyfikatu wnioskodawca ma prawo zwrócić się do komisji odwoławczej Państwowej Komisji Technicznej Rosji w celu dodatkowego rozpatrzenia materiałów certyfikacyjnych.

3.4.2. Otrzymanie certyfikatu przez producenta środków bezpieczeństwa informacji daje mu prawo do uzyskania licencji certyfikacyjnej (załącznik 4) od Państwowej Komisji Technicznej Rosji w celu oznaczenia tych środków znakiem zgodności. Formę znaku zgodności ustala Państwowa Komisja Techniczna Rosji (załącznik 5).

Właściciel licencji na używanie znaku zgodności jest odpowiedzialny za dostawę oznakowanych produktów służących zabezpieczeniu informacji, które nie spełniają wymagań regulacyjnych i dokumentacja metodologiczna określone w certyfikacie.

3.4.3. W celu uznania zagranicznego certyfikatu wnioskodawca przesyła jego kopię oraz wniosek o uznanie certyfikatu do Państwowej Komisji Technicznej Rosji, która powiadamia wnioskodawcę o uznaniu lub konieczności przeprowadzenia badań certyfikacyjnych nie później niż dwa miesiące po ich otrzymaniu . W przypadku uznania wnioskodawca otrzymuje certyfikat ustalona próbka(Załącznik 3).

3.5. Kontrola i nadzór państwa, kontrola inspekcji nad przestrzeganiem zasad obowiązkowej certyfikacji oraz certyfikowane środki bezpieczeństwa informacji.

3.5.1. Kontrolę państwową i nadzór nad przestrzeganiem przez wnioskodawców, ośrodków testujących (laboratoria), jednostek certyfikujących zasad obowiązkowej certyfikacji i certyfikowanych środków bezpieczeństwa informacji sprawuje Państwowa Komisja Techniczna Rosji. Zakres, treść i tryb kontroli i nadzoru państwa określa dokumentacja regulacyjna i metodologiczna funkcjonująca w systemie certyfikacji bezpieczeństwa informacji.

3.5.2. Kontrolę kontrolną certyfikowanych środków bezpieczeństwa informacji przeprowadza jednostka certyfikująca, która certyfikowała te środki bezpieczeństwa informacji. Ogólne zasady kontrola inspekcyjna poszczególnych rodzajów certyfikowanych środków bezpieczeństwa informacji jest ustalona w dokumentach regulacyjnych i metodologicznych systemu certyfikacji środków bezpieczeństwa informacji. Częstotliwość i zakres testowania certyfikowanych narzędzi bezpieczeństwa informacji w ośrodkach testujących (laboratoriach) muszą być przewidziane w dokumentach regulacyjnych i metodologicznych dotyczących certyfikacji poszczególnych rodzajów narzędzi bezpieczeństwa informacji.

3.5.3. Na podstawie wyników kontroli Państwowa Komisja Techniczna Rosji może zawiesić lub unieważnić ważność certyfikatu i certyfikatu akredytacji, o co jednostka certyfikująca może wystąpić. Decyzja o unieważnieniu certyfikatu zostaje podjęta tylko wtedy, gdy w wyniku podjętych doraźnie działań nie można przywrócić zgodności zabezpieczeń informacji z ustalonymi wymaganiami. Powody, które mogą wymusić taką decyzję to:

zmiany w dokumentach regulacyjnych i metodologicznych dotyczących środków bezpieczeństwa informacji lub metod testowania i kontroli;

zmiany w projekcie (składzie), kompletności środków bezpieczeństwa informacji i systemie ich kontroli jakości;

nieprzestrzeganie wymagań technologii wytwarzania, kontroli i testowania sprzętu zapewniającego bezpieczeństwo informacji;

odmowa wnioskodawcy przyjęcia (przyjęcia) osób uprawnionych do sprawowania kontroli i nadzoru państwowego, kontroli inspekcyjnej nad certyfikacją i certyfikowanymi środkami bezpieczeństwa informacji.

3.5.4. Informacja o zawieszeniu (unieważnieniu) certyfikatu lub certyfikatu akredytacji zostaje natychmiast przekazana producentom, konsumentom produktów zapewniających bezpieczeństwo informacji, jednostkom certyfikującym i ośrodkom badawczym (laboratoriom).

3.6. Informacja o certyfikacji narzędzi bezpieczeństwa informacji.

3.6.1. Państwowa Komisja Techniczna Rosji zapewnia uczestnikom certyfikaty niezbędne informacje o działaniu systemu certyfikacji, w tym: wykazie narzędzi bezpieczeństwa informacji (ich certyfikowanych parametrach), dla których wydano certyfikaty; wykaz narzędzi bezpieczeństwa informacji (ich certyfikowane parametry), dla których unieważniono certyfikaty; wykaz jednostek certyfikujących dla poszczególnych rodzajów środków bezpieczeństwa informacji; wykaz ośrodków badawczych (laboratoriów); wykaz dokumentów regulacyjnych dotyczących zgodności z wymaganiami, których przeprowadzana jest certyfikacja środków bezpieczeństwa informacji, oraz dokumenty metodyczne dotyczące przeprowadzania testów certyfikacyjnych.

3.7. Rozpatrzenie odwołań.

3.7.1. Odwołanie wnosi się do jednostki certyfikującej, centralnego organu systemu certyfikacji lub do komisji odwoławczej Państwowej Komisji Technicznej Rosji w sprawach związanych z działalnością odpowiednio ośrodków badawczych (laboratoriów) i jednostek certyfikujących. Odwołanie jest rozpatrywane w terminie miesiąca przy udziale zainteresowanych. O podjętą decyzję Odwołujący zostaje powiadomiony.

4. WYMOGI REGULACYJNE I METODOLOGICZNE

DOKUMENTY CERTYFIKACYJNE

ŚRODKI OCHRONY INFORMACJI

4.1. Certyfikacja krajowych i importowanych środków bezpieczeństwa informacji przeprowadzana jest pod kątem zgodności z wymaganiami norm państwowych i innych dokumentów regulacyjnych dotyczących bezpieczeństwa informacji, zatwierdzonych przez Państwową Komisję Techniczną Rosji, określonych we wniosku, programach i metodach testowych.

Normy dotyczące metod badawczych są obowiązkowe, jeśli dokumentacja środków bezpieczeństwa informacji jest pod kątem weryfikacji właściwości techniczne podlega certyfikacji, ustanawia się odniesienie do tej normy.

4.2. Przy zatwierdzaniu dokumentów regulacyjnych i metodologicznych ekspertyza na ich temat musi zawierać informację o ich przydatności do celów certyfikacji.

4.3. Teksty dokumentów regulacyjnych i metodologicznych stosowanych do certyfikacji narzędzi bezpieczeństwa informacji muszą być formułowane w sposób jasny i precyzyjny, zapewniający ich trafną i jednolitą interpretację. Sekcja „Zakres” powinna zawierać wskazanie możliwości wykorzystania dokumentu (normy, wymagania techniczne itp.) dla celów certyfikacji.

4.4. W specjalnej sekcji lub poprzez odniesienie do innego dokumentu regulacyjnego lub metodologicznego należy ustalić metody, warunki, zakres i kolejność badań w celu określenia wskaźników, cech i wymagań weryfikowanych podczas certyfikacji. Treść i prezentacja tych informacji musi być taka, aby zminimalizować błędy w wynikach badań i umożliwić wykwalifikowany personel dowolnym ośrodku badawczym (laboratorium) w celu uzyskania porównywalnych wyników. Należy określić kolejność badań, jeżeli kolejność ta ma wpływ na wyniki badań.

4,5. W części „Oznaczenie” należy zawrzeć wymagania zapewniające jednoznaczną identyfikację urządzenia zabezpieczającego informację, a także instrukcję dotyczącą sposobu nanoszenia znaku zgodności.

4.6. Oficjalnym językiem systemu jest rosyjski. Wszystkie dokumenty regulacyjne i metodologiczne systemu certyfikacji są sporządzane w języku rosyjskim.

Załącznik 1

Do kogo________________________________________________________________

(Nazwa organ federalny poprzez zaświadczenie, adres)

o certyfikację narzędzi bezpieczeństwa informacji w systemie

Certyfikaty w zakresie wymagań bezpieczeństwa informacji

Nie. POCC RU. 0001.01BIOO

1._____________________________

(imię i nazwisko wnioskodawcy, adres)

żąda certyfikacji następujących produktów:

______________

_____________________________________________________________________

(nazwa produktu, kod OKP, kod)

zgodnie z wymogami bezpieczeństwa informacji dotyczącymi zgodności

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

2. Wnioskodawca proponuje zbadanie produktów zgodnie ze schematem

_____________________________________________________________________________________________________________

(wskazany system certyfikacji)

V____________________________________________________________________________________________________________

(nazwa ośrodka badawczego (laboratorium))

3. Wnioskodawca zobowiązuje się:

spełniać wszystkie warunki certyfikacji;

Zapewnić stabilność certyfikowanych cech narzędzi bezpieczeństwa informacji oznaczonych znakiem zgodności;

Zapłać wszystkie koszty certyfikacji.

5. Dodatkowe warunki lub informacje do zamówienia:

a) proponujemy przeprowadzenie wstępnej kontroli produkcji w okresie ______________________________________________________________________________________________________________

Oficjalna pieczęć

Nazwisko I.O

(podpis)

________________

Dodatek 2

______________________________________________________

Nie. POCC RU. 0001.01BIOO

od „______” ____199__

po złożeniu wniosku o certyfikację

Po rozpatrzeniu wniosku______________________________________________________________________________________________

(nazwa wnioskodawcy)

do certyfikacji______________________________________________________________________________________________

(nazwa produktu)

informujemy:

1. Certyfikacja zostanie przeprowadzona ________________________________________________________________________________

_____________________________________________________________________________________________________________

(nazwa jednostki certyfikującej, adres)

2. Badania certyfikowanych wyrobów należy przeprowadzać w__________________________________________________________

_____________________________________________________________________________________________________________

(nazwa ośrodka badawczego (laboratorium), adres)

3. Certyfikacja zostanie przeprowadzona na zgodność z wymaganiami

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

(nazwa dokumentów regulacyjnych i metodologicznych)

4. Przeprowadzona zostanie kontrola kontrolna

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

(nazwa organizacji, adres)

poprzez badanie próbek pobranych w handlu i (lub) od producenta w określonych odstępach czasu ______________________________________________________________________________________________________________

Oficjalna pieczęć

Nazwisko I.O

(podpis)

________________

Dodatek 3

PAŃSTWOWA KOMISJA TECHNICZNA

POD PREZYDENTEM FEDERACJI ROSYJSKIEJ

______________________________________________________

SYSTEM CERTYFIKACJI BEZPIECZEŃSTWA INFORMACJI

ZGODNIE Z WYMOGAMI BEZPIECZEŃSTWA INFORMACJI

Nie. POCC RU. 0001.01BIOO

CERTYFIKAT

№ ______________

Wydane przez „___”_____________ 199

Obowiązuje do „___”____________ 199

Certyfikat ten zaświadcza, że:

1. ___________________________________________________________________________________________________________

(nazwa typu produktu, kod, nr TU)

spełnia wymagania______________________________________________________________________________________________

_____________________________________________________________________________________________________________

(wykaz określonych norm lub dokumentów regulacyjnych, na zgodność z którymi przeprowadzono badania certyfikacyjne)

2. Certyfikat został wydany na podstawie opinii biegłego ____________________________________________________________

_____________________________________________________________________________________________________________

(nazwa jednostki certyfikującej)

i wyniki badań określonych produktów ________________________________________________________________________________

_____________________________________________________________________________________________________________

(nazwa ośrodka badawczego (laboratorium))

3. Wnioskodawca________________________________________________________________________________________________

_____________________________________________________________________________________________________________

(nazwa organizacji składającej wniosek, adres)

Oficjalna pieczęć

Nazwisko I.O

(podpis)

________________

Dodatek 4

PAŃSTWOWA KOMISJA TECHNICZNA

POD PREZYDENTEM FEDERACJI ROSYJSKIEJ

______________________________________________________

SYSTEM CERTYFIKACJI BEZPIECZEŃSTWA INFORMACJI

ZGODNIE Z WYMOGAMI BEZPIECZEŃSTWA INFORMACJI

Nie. POCC RU. 0001.01BIOO

LICENCJA CERTYFIKACYJNA

Wydane przez „___”_____________ 199

Obowiązuje do „___”____________ 199

Niniejsza licencja certyfikacyjna została wydana przez ________________________________________________________

_____________________________________________________________________________________________________________

(nazwa producenta, adres)

za używanie znaku zgodności do oznakowania ____________________________________________________

_____________________________________________________________________________________________________________

(nazwa rodzaju produktu)

Oficjalna pieczęć

Nazwisko I.O

(podpis)

________________

Dodatek 5

PAŃSTWOWA KOMISJA TECHNICZNA

POD PREZYDENTEM FEDERACJI ROSYJSKIEJ