1. Сертификация – это просто?
Михаил Никулин
Директор департамента
тестирования и сертификации
2. Сертификация и лицензирование
• Лицензирование – разрешение на
определённый вид деятельности
• Сертификация – процесс подтверждения
соответствия, посредством которой независимая
от изготовителя (продавца, исполнителя) и
потребителя (покупателя) организация
удостоверяет в письменной форме (сертификат),
что продукция соответствует установленным
требованиям.
2
3. Сертификация и аттестация
• Сертификация продукта – процесс подтверждения
соответствия, посредством которой независимая от
изготовителя (продавца, исполнителя) и потребителя
(покупателя) организация удостоверяет в письменной
форме (Сертификат), что продукция соответствует
установленным требованиям
• Аттестация объекта информатизации – комплекс
организационно-технических мероприятий, в результате
которых посредством специального документа -
"Аттестата соответствия" подтверждается, что объект
соответствует требованиям стандартов или иных
нормативно-технических документов по безопасности
информации, утвержденных ФСТЭК России
3
4. Обязательная или добровольная?
• Положение о сертификации СЗИ:
– Обязательной сертификации подлежат средства
защиты информации, предназначенные для защиты
сведений, составляющих государственную тайну, а
также другой информации с ограниченным доступом,
подлежащей защите в соответствии с действующим
законодательством, систем управления экологически
опасными производствами, объектами, имеющими
важное оборонное или экономическое значение…
– В остальных случаях сертификация носит
добровольный характер.
4
6. Виды сертификационных
испытаний
• Функциональное BlackBox-тестирование
• проводится на соответствие либо одному из руководящих
документов (например, для межсетевых экранов), либо
на соответствие реальных и декларированных в
документации функциональных возможностей.
• Анализ исходных текстов на предмет
отсутствия недекларированных возможностей
• испытания включают в себя статический анализ
исходных текстов, динамический анализ исходных
текстов, подтверждение взаимно однозначного
соответствия исходных текстов и исполняемых модулей, а
также контроль документации.
6
7. Виды сертификационных
испытаний
• Функциональное тестирование:
– На соответствие классу защищенности от
несанкционированного доступа (НСД) – по РД
Гостехкомиссии России
– На соответствие техническим условиям
– На соответствие заданию по безопасности (по «Общим
критериям»)
– На соответствие требованиям к криптографическим СЗИ
(ФСБ России)
• Анализ исходных текстов:
– На соответствие уровню контроля отсутствия
недекларированных возможностей (НДВ) – по РД
Гостехкомиссии России
7
8. Руководящие документы
ФСТЭК России
• АС. Защита от НСД к информации. Классификация
автоматизированных систем и требования по защите
информации (1992).
• СВТ. Защита от НСД к информации. Показатели
защищенности от НСД к информации (1992).
• СВТ. Межсетевые экраны. Защита от НСД к информации.
Показатели защищенности от НСД к информации (1997).
• Безопасные информационные технологии. Критерии
оценки безопасности информационных технологий
(2002).
• Защита от НСД к информации. Часть 1. Программное
обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия
недекларированных возможностей (1999).
8
9. Требования к СЗИ
• Конфиденциально (служебная, коммерческая
тайна и персональные данные):
– АС: 3Б, 2Б, 1Г и выше
– МЭ: до 4 класса защищенности (до 3 – для ПД)
– СВТ: до 5 класса защищенности
– ПО СЗИ: до 4 уровня контроля на отсутствие НДВ
• Гостайна:
– АС: 3А, 2А, 1В-1А
– МЭ: не ниже 3 класса защищенности
– СВТ: не ниже 4 класса защищенности
– ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ
9
10. Сертификация по ТУ или ЗБ
Применяется для средств защиты
информации, не укладывающихся в
рамки традиционных руководящих
документов Гостехкомиссии РФ, таких
как:
– Антивирусные средства
– Системы обнаружения и предотвращения
вторжений
– Системы анализа защищенности
–…
10
11. Схемы проведения
сертификационных испытаний
• Единичный экземпляр:
• Партия:
• Серийное производство:
11
12. Участники сертификационного
процесса
Заявитель (Оператор, Разработчик)
Заявитель (Разработчик, Оператор)
Сертификат Заявка
Федеральный орган (ФСТЭК, ФСБ)
Федеральный Орган (ФСТЭК)
Материалы для
Заключение
проведения
испытаний
Решение Орган по сертификации
Материалы испытаний
Испытательная лаборатория
12
13. Требования к участникам
процесса сертификации
• Заявитель – лицензия на деятельность по
разработке (производству) средств защиты
конфиденциальной информации.
• Испытательная лаборатория – аттестат
аккредитации испытательной лаборатории.
• Орган по сертификации – аттестат
аккредитации органа по сертификации.
13
14. Необходимость сертификации в
ИСПДн
Положение об обеспечении безопасности ПДн при
их обработке в ИСПДн (Постановление
правительства РФ №781)
Положение об обеспечении безопасности ПДн при
их обработке в ИСПДн (Приказ ФСТЭК России №58)
Методические рекомендации по обеспечению с
помощью криптосредств безопасности ПДн при их
обработке в ИСПДн с использованием средств
автоматизации (ФСБ России)
….
14
15. Требования к СЗИ в ИСПДн
Средства защиты информации от
несанкционированного доступа (РД СВТ + РД
НДВ)
Средства межсетевого экранирования (РД МЭ +
РД НДВ)
Средства антивирусной защиты (РД НДВ + ТУ)
Средства криптографической защиты
информации (по требованиям ФСБ)
Системы обнаружения и предотвращения
вторжений (РД НДВ + ТУ)
15
16. Наш опыт
• Более 300 сертификатов в различных
системах сертификации.
• Ни одной неудачной сертификации за всю
историю работы компании. Продукты, которые
не смогут получить сертификат, отсекаются на
этапе предварительного анализа.
• Список продуктов, прошедших процедуру
сертификации доступен в официальном
реестре на сайте www.fstec.ru, по другим
системам сертификации списки не подлежат
опубликованию.
16