SlideShare a Scribd company logo

Сертификация - это просто ?

C
cnpo

Никулин М.Ю.

1 of 18
Сертификация – это просто? Михаил Никулин Директор департамента тестирования и сертификации
Сертификация и лицензирование • Лицензирование – разрешение на определённый вид деятельности • Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
Сертификация и аттестация • Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям • Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России 3
Обязательная или добровольная? • Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 4
Системы сертификации СЗИ Добровольные системы сертификации 5
Виды сертификационных испытаний • Функциональное BlackBox-тестирование • проводится на соответствие либо одному из руководящих документов (например, для межсетевых экранов), либо на соответствие реальных и декларированных в документации функциональных возможностей. • Анализ исходных текстов на предмет отсутствия недекларированных возможностей • испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации. 6
Виды сертификационных испытаний • Функциональное тестирование: – На соответствие классу защищенности от несанкционированного доступа (НСД) – по РД Гостехкомиссии России – На соответствие техническим условиям – На соответствие заданию по безопасности (по «Общим критериям») – На соответствие требованиям к криптографическим СЗИ (ФСБ России) • Анализ исходных текстов: – На соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 7
Руководящие документы ФСТЭК России • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Безопасные информационные технологии. Критерии оценки безопасности информационных технологий (2002). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). 8
Требования к СЗИ • Конфиденциально (служебная, коммерческая тайна и персональные данные): – АС: 3Б, 2Б, 1Г и выше – МЭ: до 4 класса защищенности (до 3 – для ПД) – СВТ: до 5 класса защищенности – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ • Гостайна: – АС: 3А, 2А, 1В-1А – МЭ: не ниже 3 класса защищенности – СВТ: не ниже 4 класса защищенности – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ 9
Сертификация по ТУ или ЗБ Применяется для средств защиты информации, не укладывающихся в рамки традиционных руководящих документов Гостехкомиссии РФ, таких как: – Антивирусные средства – Системы обнаружения и предотвращения вторжений – Системы анализа защищенности –… 10
Схемы проведения сертификационных испытаний • Единичный экземпляр: • Партия: • Серийное производство: 11
Участники сертификационного процесса Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Оператор) Сертификат Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК) Материалы для Заключение проведения испытаний Решение Орган по сертификации Материалы испытаний Испытательная лаборатория 12
Требования к участникам процесса сертификации • Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. • Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. • Орган по сертификации – аттестат аккредитации органа по сертификации. 13
Необходимость сертификации в ИСПДн Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Постановление правительства РФ №781) Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Приказ ФСТЭК России №58) Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации (ФСБ России) …. 14
Требования к СЗИ в ИСПДн Средства защиты информации от несанкционированного доступа (РД СВТ + РД НДВ) Средства межсетевого экранирования (РД МЭ + РД НДВ) Средства антивирусной защиты (РД НДВ + ТУ) Средства криптографической защиты информации (по требованиям ФСБ) Системы обнаружения и предотвращения вторжений (РД НДВ + ТУ) 15
Наш опыт • Более 300 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 16
Наши зарубежные клиенты 17
Михаил Никулин ЗАО «НПО» «Эшелон» Директор департамента E-mail: m.nikulin@npo-echelon.ru тестирования и сертификации Тел.: +7(495) 645-38-09

Recommended

Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераcnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовcnpo
 
Certification
CertificationCertification
Certificationcnpo
 
Licensing
LicensingLicensing
Licensingcnpo
 
Politics
PoliticsPolitics
Politicscnpo
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 

Recommended

Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераcnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовcnpo
 
Certification
CertificationCertification
Certificationcnpo
 
Licensing
LicensingLicensing
Licensingcnpo
 
Politics
PoliticsPolitics
Politicscnpo
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...КРОК
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиExpolink
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...NAUMEN. Информационные системы управления растущим бизнесом
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Правила аудита
Правила аудитаПравила аудита
Правила аудитаОтшельник
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)Ignat Dydyshko
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification processУчебный центр "Эшелон"
 
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2Компания УЦСБ
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Ancud Ltd.
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...SQALab
 
Технические требования к ИСПДн
Технические требования к ИСПДнТехнические требования к ИСПДн
Технические требования к ИСПДнУчебный центр "Эшелон"
 

More Related Content

What's hot

Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...КРОК
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиExpolink
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)Ignat Dydyshko
 
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2Компания УЦСБ
 

What's hot (18)

Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 

Similar to Сертификация - это просто ?

Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Ancud Ltd.
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...SQALab
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России1С-Битрикс
 
Направления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииНаправления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииjournalrubezh
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibExpolink
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Аттестация
АттестацияАттестация
Аттестацияpesrox
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияAndrey Kondratenko
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
 

Similar to Сертификация - это просто ? (20)

Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
 
Технические требования к ИСПДн
Технические требования к ИСПДнТехнические требования к ИСПДн
Технические требования к ИСПДн
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
 
Направления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииНаправления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информации
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Аттестация
АттестацияАттестация
Аттестация
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решения
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 

More from cnpo

защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)cnpo
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Net graph
Net graphNet graph
Net graphcnpo
 
Net topology
Net topology Net topology
Net topology cnpo
 
Russian information security market
Russian information security marketRussian information security market
Russian information security marketcnpo
 
Certification
CertificationCertification
Certificationcnpo
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weaknesscnpo
 
Siem
SiemSiem
Siemcnpo
 
P dn docs
P dn docsP dn docs
P dn docscnpo
 
Social engineering
Social engineeringSocial engineering
Social engineeringcnpo
 
Rubicon
RubiconRubicon
Rubiconcnpo
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиcnpo
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубиконcnpo
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензияcnpo
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБcnpo
 
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011cnpo
 

More from cnpo (17)

защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
Net graph
Net graphNet graph
Net graph
 
Net topology
Net topology Net topology
Net topology
 
Russian information security market
Russian information security marketRussian information security market
Russian information security market
 
Certification
CertificationCertification
Certification
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
 
Siem
SiemSiem
Siem
 
P dn docs
P dn docsP dn docs
P dn docs
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
Rubicon
RubiconRubicon
Rubicon
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубикон
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
 
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011
 

Сертификация - это просто ?

  • 1. Сертификация – это просто? Михаил Никулин Директор департамента тестирования и сертификации
  • 2. Сертификация и лицензирование • Лицензирование – разрешение на определённый вид деятельности • Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
  • 3. Сертификация и аттестация • Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям • Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России 3
  • 4. Обязательная или добровольная? • Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 4
  • 5. Системы сертификации СЗИ Добровольные системы сертификации 5
  • 6. Виды сертификационных испытаний • Функциональное BlackBox-тестирование • проводится на соответствие либо одному из руководящих документов (например, для межсетевых экранов), либо на соответствие реальных и декларированных в документации функциональных возможностей. • Анализ исходных текстов на предмет отсутствия недекларированных возможностей • испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации. 6
  • 7. Виды сертификационных испытаний • Функциональное тестирование: – На соответствие классу защищенности от несанкционированного доступа (НСД) – по РД Гостехкомиссии России – На соответствие техническим условиям – На соответствие заданию по безопасности (по «Общим критериям») – На соответствие требованиям к криптографическим СЗИ (ФСБ России) • Анализ исходных текстов: – На соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 7
  • 8. Руководящие документы ФСТЭК России • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Безопасные информационные технологии. Критерии оценки безопасности информационных технологий (2002). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). 8
  • 9. Требования к СЗИ • Конфиденциально (служебная, коммерческая тайна и персональные данные): – АС: 3Б, 2Б, 1Г и выше – МЭ: до 4 класса защищенности (до 3 – для ПД) – СВТ: до 5 класса защищенности – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ • Гостайна: – АС: 3А, 2А, 1В-1А – МЭ: не ниже 3 класса защищенности – СВТ: не ниже 4 класса защищенности – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ 9
  • 10. Сертификация по ТУ или ЗБ Применяется для средств защиты информации, не укладывающихся в рамки традиционных руководящих документов Гостехкомиссии РФ, таких как: – Антивирусные средства – Системы обнаружения и предотвращения вторжений – Системы анализа защищенности –… 10
  • 11. Схемы проведения сертификационных испытаний • Единичный экземпляр: • Партия: • Серийное производство: 11
  • 12. Участники сертификационного процесса Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Оператор) Сертификат Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК) Материалы для Заключение проведения испытаний Решение Орган по сертификации Материалы испытаний Испытательная лаборатория 12
  • 13. Требования к участникам процесса сертификации • Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. • Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. • Орган по сертификации – аттестат аккредитации органа по сертификации. 13
  • 14. Необходимость сертификации в ИСПДн Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Постановление правительства РФ №781) Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Приказ ФСТЭК России №58) Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации (ФСБ России) …. 14
  • 15. Требования к СЗИ в ИСПДн Средства защиты информации от несанкционированного доступа (РД СВТ + РД НДВ) Средства межсетевого экранирования (РД МЭ + РД НДВ) Средства антивирусной защиты (РД НДВ + ТУ) Средства криптографической защиты информации (по требованиям ФСБ) Системы обнаружения и предотвращения вторжений (РД НДВ + ТУ) 15
  • 16. Наш опыт • Более 300 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 16
  • 18. Михаил Никулин ЗАО «НПО» «Эшелон» Директор департамента E-mail: m.nikulin@npo-echelon.ru тестирования и сертификации Тел.: +7(495) 645-38-09