Сертификация средств защиты информации

 

Порядок сертификации средств защиты информации (из перечня приведённого в таблице) в Российской Федерации и ее учреждениях за рубежом устанавливает Положение о сертификации средств защиты информации.
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам. Существует система обязательной и добровольной сертификации. Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утвержденных правительством РФ и федеральными органами по сертификации в пределах их компетенции и по требованиям безопасности информации. Координацию работ по сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны.

Участниками сертификации средств защиты информации являются:

- федеральный орган по сертификации;

- центральный орган системы сертификации (создается при необходимости) – орган, возглавляющий систему сертификации однородной продукции;

- органы по сертификации средств защиты информации – органы, проводящие сертификацию определенной продукции;

- испытательные лаборатории – лаборатории, проводящие сертификационные испытания определенной продукции;

- изготовители – продавцы, исполнители продукции.

Центральные органы системы сертификации, органы по сертификации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

Испытательные лаборатории проводят сертификационные мероприятия, испытания средств защиты информации, по их результатам оформляют заключения и протоколы, которые направляют в соответствующие органы по сертификации.

Система сертификации средств ЗИ по требованиям безопасности информации включает в себя и аттестацию объекта информатизации. Основными схемами проведения сертификации средств защиты информации являются:

- единичных образцов средств защиты информации – проведение испытаний этих образцов на соответствие требованиям по защите информации;

-

для серийного производства средств защиты информации – проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.

Органы, осуществляющие сертификацию средств защиты информации несут ответственность, установленную законодательством РФ, за выполнение возложенных на них обязанностей обеспечения защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, за соблюдение авторских прав изготовителя при сертификационных испытаниях средств защиты информации.

Перечень средств защиты информации, подлежащих сертификации по требованиям безопасности информации, и область применения данных средств представлены в табл. 6.1.

Таблица. 6.1

Средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении Область применения средств защиты информации
1. Средства защиты информации от перехвата оптических сигналов в видимом инфракрасном и ультрафиолетовом диапазонах, осуществляемого оптическими, оптико-электронными, тепловизионными, телевизионными, лазерными, фото- и др. визуальными средствами съема информации. 2. Средства защиты информации от перехвата акустических сигналов, распространяемых в воздушной, водной и твердой средах, осуществляемых акустическими, гидроакустическими, виброакустическими, лазерными и сейсмическими средствами. 3.
Средства защиты информации от перехвата электромагнитных сигналов, возникающих при функционировании объектов защиты, в т.ч. от перехвата побочных электромагнитных излучений и наводок, возникающих при работе ТСОИ, осуществляемого магнитными, метрическими, радио- и радиотехническими, радиолокационными средствами

 Информационные ресурсы ограниченного доступа, представленные в виде носителей на магнитной или оптической основе, информативных физических полей, информационных массивов и баз данных. Средства и системы информатизации (СВТ, информационно-вычислительные комплексы, сети и системы), автоматизированные системы управления, системы связи, приема, передачи, обработки и хранения информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления тиражирования документов и др. технические средства обработка графической, смысловой и буквенно-цифровой информации), используемых для обработки информации ограниченного доступа.  

Продолжение табл. 6.1

Средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении Область применения средств защиты информации
4. Средства защиты информации от перехвата электрических сигналов, распространяемых в токопроводящих коммуникациях и являющихся причиной электромагнитных наводок за счет побочных электромагнитных излучений, вследствие эффекта электроакустических преобразований, а также ВЧ-облучения и навязывания. 5. Основные технические средства обработки информации с нормированным уровнем электромагнитных излучений и наводок. 6. Вспомогательные технические средства в защищенном исполнении Технические средства и системы, не обрабатывающие информацию, но размещаемые в помещениях, где циркулирует информация, относящаяся к категории ограниченного доступа, сами выделенные помещения. Программные, программно-аппаратные средства оценки защиты информации от утечки по техническим каналам  

 

6.4. Аттестация объектов информатизации по требованиям

безопасности информации

Под объектами информатизации (ОИ), аттестуемыми по требованиям безопасности информации, понимают автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения, предназначенные для обработки и передачи информации, подлежащей защите, вместе с помещениями, в которых они установлены, а также помещения, предназначенные для ведения конфиденциальных переговоров /6/.
Основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также проведение контроля и надзора за аттестацией и эксплуатацией аттестуемых объектов информатизации устанавливает Положение по аттестации объектов информатизации по требованиям безопасности информации. Система аттестации ОИ по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации ОИ по требованям безопасности информации. Деятельность системы сертификации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Под аттестацией ОИ понимается комплекс организационно технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов иных нормативно-технических документов по безопасности информации. Наличие на ОИ действительного «Аттестата соответствия» дает право на обработку документов с уровнем секретности на период времени, установленным в «Аттестате соответствия».

Обязательной аттестации подлежат ОИ, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация добровольная.

Аттестация по требованиям безопасности информации предшествует началу обработке подлежащей защите информации и необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информации мер и средств защиты информации. При аттестации ОИ подтверждается его соответствие требованиям по защите информации:

- от несанкционированного доступа, в том числе от компьютерных вирусов;

- от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (ВЧ-облучение, электромагнитное и радиационное воздействие);

- от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

 
 

Аттестация предусматривает комплексную проверку /8,10/ защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации. Аттестация проводится органом по аттестации в установленном порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:

- анализ исходных данных по аттестуемому ОИ;

- предварительное ознакомление с аттестуемым ОИ;

- проведение экспертного обследования ОИ и анализ разработанной документации по информатизации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

- проведение испытаний отдельных средств и систем защиты информации на аттестуемом ОИ с помощью специальной аппаратуры и тестовых средств;

- проведение испытаний отдельных средств и систем информатизации в испытательных центрах по сертификации средств защиты информации по требованиям безопасности информации;

- проведение комплексных аттестационных испытаний ОИ в реальных условиях эксплуатации;

- анализ результатов экспертного обследования и комплексных аттестационных испытаний ОИ и утверждение заключения по результатам аттестации.

Органы по аттестации ОИ несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.
Испытательные лаборатории по требованиям безопасности информации проводят сертификационные испытания по заказам заявителей не сертифицированной продукции, используемой на ОИ, подлежащей обязательной сертификации. Заявители осуществляют:

- подготовку ОИ путем необходимых организационно-технических мероприятий к аттестации;

- привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;

- предоставляют органам по аттестации необходимые документы и условия проведения аттестации;

- привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры по сертификации;

- осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;

- извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации;

- предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

Порядок проведения аттестации включает следующие действия:

- подачу и рассмотрение заявки на аттестацию;

- предварительное ознакомление с аттестуемым объектом;

- испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте;

- заключение договоров на аттестацию;

- разработка программы и методики аттестационных испытаний;

- проведение аттестационных испытаний;

-

оформление, регистрацию и выдачу «Аттестата соответствия»;

- осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;

- рассмотрение апелляций.

Владелец аттестованного объекта несет ответственность за выполнение установленных условий функционирования ОИ, технологию обработки информации и требования по безопасности информации. Подробно алгоритм аттестации ОИ показан на рисунке 6.1.