Система лицензирования и сертификации продукции и услуг по требованиям безопасности информации

информации

БОНДАРЕВ ВАЛЕРИЙ ВАСИЛЬЕВИЧ
МГТУ им. Н.Э. Баумана

ПД ТР и ТЗИ, а также технической защиты конфиденциальной информации

информации»)

Открытая
информация

Информация с ограниченным доступом
Информация, отнесенная к гостайне

Конфиденциальная информация
«О перечне сведений, отнесенных

«Об утверждении перечня сведений
конфиденциального характера»
(06.03.97 № 188)

1

закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов

2

Закон Российской Федерации 1993 г. № 5485-1 «О государственной тайне»

Закон Российской Федерации 1996 г. № 85-ФЗ «О международном информационном обмене»

Указ Президента Российской Федерации 1999 г. № 212 «Вопросы государственной технической комиссии при Президенте Российской Федерации»

Постановление Правительства Российской Федерации 1995 г. № 333 «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»

и правила проведения работ по лицензированию деятельности предприятий (учреждений, организаций)
3

России
свои предприятия
по допуску предприятий к проведению работ, связанных с
использованием

на право проведения работ, связанных с созданием средств
защиты информации

на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны

ФСБ России

СВР РФ

Гостехкомиссия
России

ФСБ России

СВР РФ

ОРГАНЫ, УПОЛНОМОЧЕННЫЕ НА ВЕДЕНИЕ ЛИЦЕНЗИОННОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ

(Координируется межведомственной комиссией по защите гостайны)

4

МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ

ПРОВЕДЕНИЕ РАБОТ, СВЯЗАННЫХ С СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ
(в части технической защиты информации)

ОСУЩЕСТВЛЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ
(в части противодействия техническим разведкам)

уровня и назначения; систем связи, приема, обработки и передачи данных;

проведение специальных исследований на ПЭМИН технических средств обработки информации

контроль защищенности информации, составляющей государственную тайну, аттестация средств и систем на соответствие требованиям по защите информации
(АС различного уровня и назначения, систем связи, приема, обработки и передачи данных, систем отображения и размножения; технических средств (систем), не обрабатывающих информацию, составляющей государственную тайну, но размещенные в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров)

1. ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части технической защиты информации)

сертификация и сертификационные испытания
(технических СЗИ; защищенных ТСОИ; технических средств контроля эффективности мер ЗИ; программных (программно-технических) СЗИ; защищенных программных (программно-технических) СОИ; программных (программно-технических) средств контроля защищенности информации

6

ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части противодействия техническим разведкам)



7
Радиоэлектронная










ВИДЫ ТЕХНИЧЕСКОЙ
РАЗВЕДКИ

Сейсмическая
Химическая
Фотографическая
Магнитометрическая
Визуальная
оптическая
Компьютерная
Радио
Радиотехническая
ПЭМИН
Радиолокационная
видовая
Радиолокационная
параметрическая
Радиотепловая
Гидроакустическая





Шумовых полей
Видовая

Параметрическая

Сигнальная

Звукоподводной
связи
Акустическая





Речевая
Сигнальная
Оптико-
Электронная









Лазерных

Инфракрасная
параметрическая
(теплопеленгационная)

Визуальная

Инфракрасная
видовая
(тепловизионная)

Телевизионная

Радиационная

25 видов

ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части проведения специальных экспертиз)



проведение специальных

8

проведение специальных экспертиз организаций – соискателей лицензии Гостехкомиссии России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия техническим разведкам)

проведение специальных экспертиз организаций – соискателей лицензии Гостехкомиссии России на выполнение работ, связанных с созданием средств защиты информации

установка, монтаж, наладка, испытания, ремонт, сервисное обслуживание:

9
технических средств защиты информации;

уведомление
лицензия
(отказ
в выдаче)
заявка
Организация-соискатель
лицензии
1
материалы
экспертизы
6
8
Аттестационный центр
список
аттеста-
ционных
центров
2
Центральный

5

3

договор,
экспертиза,
документы

10

СХЕМА ЛИЦЕНЗИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в соответствии с Приказом Гостехкомиссии России от 25.09.2002г. № 312)

4

деятельности по проведению работ, связанных с созданием средств защиты информации,

11

Управлениями Гостехкомиссии России по федеральным округам;
Государственным научно-исследовательским испытательным институтом

ОСНОВНЫЕ ПОЛОЖЕНИЯ ИНСТРУКЦИИ…

12

Специальные экспертизы проводятся с целью оценки фактической готовности выполнения соискателем следующих требований:
Соблюдения законодательства Российской Федерации, государственных стандартов Российской Федерации;

В состав экспертных комиссий аттестационных центров могут включаться сотрудники
Центрального аппарата Гостехкомиссии России
Управлений Гостехкомиссии России по федеральным округам
ГНИИИ ПТЗИ.

готовности выполнения соискателем следующих требований:
1. Соблюдения законодательства Российской Федерации, государственных стандартов

2. Выполнения требований нормативных актов, методических документов, регламентирующих осуществление лицензируемого вида деятельности, издаваемых Гостехкомиссией России

3. Наличия у соискателя лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну (при необходимости)

4. Осуществления лицензируемого вида деятельности специалистами, имеющими высшее или среднее техническое образование по профилю в области защиты информации, либо специалистами, прошедшими переподготовку в области защиты информации

5. Наличия нормативных правовых актов, государственных стандартов, руководящих и нормативно-методических документов, необходимых для обеспечения конкретных работ, мероприятий и (или) услуг в рамках заявленного вида деятельности

6. Наличия производственного, испытательного и контрольно-измерительного оборудования; средств контроля защищенности информации; средств защиты информации, необходимых при выполнении конкретных работ, мероприятий и (или) услуг в рамках заявленного вида деятельности

7. Соответствия контрольно-измерительного и испытательного оборудования, средств контроля защищенности информации и средств защиты информации требованиям законов Российской Федерации «О государственной тайне»

8. Наличия аттестованных по требованиям безопасности информации объектов информатизации, предназначенных для обработки, передачи и хранения информации, содержащей сведения, составляющие государственную тайну, помещений для ведения переговоров, необходимых для осуществления заявленного вида деятельности

9. Наличия документов, подтверждающих права соискателя на собственность, аренду, хозяйственное ведение или оперативное управление производственными помещениями и оборудованием, необходимым для осуществления заявленного вида деятельности

Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных

14

Указ Президента Российской Федерации от 19.02.1999 г. № 212 «Вопросы государственной технической комиссии при Президенте Российской Федерации»

Постановление Правительства Российской Федерации от 11.02.2002 г. № 135 «О лицензировании отдельных видов деятельности»

Постановление Правительства Российской Федерации от 30.04.2002 г. № 290 «О лицензировании деятельности по технической защите конфиденциальной информации»

Постановление Правительства Российской Федерации от 27.05.2002 г. № 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»

защиты конфиденциальной информации
деятельность по технической защите конфиденциальной информации
Гостехкомиссия
России
ОРГАНЫ, УПОЛНОМОЧЕННЫЕ

15

ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ






16

ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

ДЕЯТЕЛЬНОСТЬ ПО РАЗРАБОТКЕ

марта 1997 г. № 188)
Персональные данные – сведения о фактах,

17

Тайна следствия и судопроизводства

Служебная тайна – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами

Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых сообщений, телеграфных и иных сообщений и т.д.

Коммерческая тайна – сведения, связанные с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами

Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них.

специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или

ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ И УСЛОВИЯ ОСУЩЕСТВЛЕНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

18

б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно-методическими документами, утвержденными приказами Государственной технической комиссии при Президенте Российской Федерации;

в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;

г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.

возможности соискателя лицензии соблюдения лицензионных требований и условий
19
2. Какие мероприятия и

3. Перечень конфиденциальной информации, подлежащей защите в организации - соискателе лицензии (с учетом положений Указа Президента РФ от 6 марта 1997 года № 188).

4. Сведения об объекте (объектах) информатизации, на которых обрабатывается конфиденциальная информация с приложением копий сертификатов (аттестатов по требованиям безопасности информации) на эти объекты.

5. С помощью каких средств осуществляется обработка и защита конфиденциальной информации.

6. Какое программное обеспечение используется для обработки конфиденциальной информации с приложением копий договоров пользователей с правообладателем и сертификатов соответствия по требованиям безопасности.

7. В случае оказания услуг – перечень контрольно-измерительной аппаратуры, средств контроля защищенности информации и объектов с указанием заводских номеров, с приложением договоров аренды (в случае аренды) и копий свидетельств о поверке средств измерений и сертификатов средств контроля защищенности.

8. Перечень нормативной и нормативно-методической литературы, необходимой для осуществления заявляемых видов деятельности

требованиям
безопасности информации

СЗИ
требованиям безопасности информации.
Требования определяются государственными
стандартами или иными

Аттестация
комплекс организационно-технических мероприятий,
в результате которых подтверждается, что ОИ
соответствует требованиям стандартов или иных
нормативных документов по безопасности информации

2

определенным требованиям, которые установлены НМД
3. Используются в большинстве случаев

1. Процессы сертификации и аттестации обеспечивают различные этапы жизненного цикла информационных систем:
сертификация связана с этапом производства СЗИ и такой категорией, как продукция, предназначенная для реализации;
аттестация - с этапом эксплуатации и такой категорией, как объект информатизации (ОИ.)
2. При аттестации оцениваются как отдельные СЗИ, так и
система защиты в целом, включая организационные меры,
а также конкретные условия эксплуатации.
3. Процессы сертификации и аттестации – самостоятельные процессы, отличающихся процедурами, методологией, объектами и конечными результатами.

Различия в аттестации и сертификации

Общее в аттестации и сертификации

3

1993 года № 5076-1 «О защите прав потребителей» с изменениями

4

Федеральный Закон Российской Федерации 2002 года № 184-ФЗ «О техническом регулировании»

Закон Российской Федерации 1993 года № 5485-1 «О государственной тайне»

Федеральный Закон 1995 года № 24-ФЗ «Об информации, информатизации и защите информации»

Постановление Правительства Российской Федерации 1995 года № 608 «О сертификации средств защиты информации»

гостайны


5
Правительство Российской Федерации
Сертификация продукции - деятельность по

ФСБ

СВР

МО РФ

Гостехкомиссия
России

Федеральные органы исполнительной власти

ГОСТЕХКОМИССИИ РОССИИ № РОСС RU.0001.01БИ00
6
Уполномоченный федеральный орган исполнительной власти
Испытательные

Заявители

Гостехкомиссия России

Органы по сертификации средств защиты информации

Автономная некоммерческая организация Секция «Информационная безопасность»

ГНИИИ
ПТЗИ

НТСЦ
«Атомзащитаинформ»

Подсистема аттестации ОИ

Евро-Азиатская Ассоциация производителей и товаров и в области безопасности

об аккредитации испытательных лабораторий по сертификации средств защиты информации по

«Положение по аттестации объектов информатизации по требованиям безопасности информации»

ОРГАНИЗАЦИОННЫЕ ДОКУМЕНТЫ СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ГОСТЕХКОМИССИИ РОССИИ

защиты информации от утечки по техническим каналам, основные и

средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности

средства контроля эффективности принятых мер защиты, применения средств защиты информации (технические, программные, программно-технические)

программные средства общего назначения со встроенными средствами защиты

некриптографические средства защиты информации, передаваемой по сетям электросвязи

системы и средства защиты информации, встроенные в средства связи

или отказ
Решение по заявке
Решение по заявке

Заявитель
(производитель, поставщик, пользователь)

Гостехкомиссия России
(федеральный орган
по сертификации)

Испытательный центр
(лаборатория)

Сертификационные
испытания

Решение по заявке

Экспертное заключение,
материалы испытаний

Техническое заключение,
материалы испытаний

Сертифицируемая
продукция, документация

3

1

2

2

4

5

6

7

Орган по сертификации

системе защиты информации в Российской Федерации от иностранных технических разведок

10

Положение о сертификации средств защиты информации. Постановление Правительства Российской Федерации от 26.06.1995 г. №608.

Положение об аттестации объектов информатизации по требованиям безопасности информации. Утверждено приказом Председателя Гостехкомиссии России 25.10.1994 г.

Специальные требования и рекомендации по защите государственной тайны от утечки по техническим каналам. Решение Гостехкомиссии России от 23.05.1997 г. № 55.

Специальные требования и рекомендации по защите конфиденциальной информации. Приказ Гостехкомиссии России от 30.08.2002 г. № 282.

Временные методические указания управлениям Гостехкомиссии России по федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации». Утверждены Председателем Гостехкомиссии России 21.07.2002 г.

системы информатизации (СВТ, АС различного уровня и назначения на базе

технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация

выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи.

предназначенные для обработки информации, составляющей государственную тайну

ОИ, предназначенные для управления

ОИ, предназначенные для ведения секретных переговоров

аппарат Гостехкомиссии России
Заявитель
Копия аттестата



Список органов по аттестации

Заявка

Договор,
испытания
Список органов по аттестации
Материалы

Аттестат соответствия

2

5

5

4

2

3

1

1

13

воспроизведения результатов испытаний контролирующим органом
ПО ИЗМЕРЕНИЯМ И РАСЧЕТАМ

Используемая контрольно-измерительная аппаратура

ТРЕБОВАНИЯ МЕТОДИЧЕСКИХ ДОКУМЕНТОВ

Допускается применение либо стандартных (действующих) методик, либо согласованных Гостехкомиссией России

ТРЕБОВАНИЯ К ПРОВЕДЕНИЮ РАБОТ ПО АТТЕСТАЦИИ

14

защищенности от НСД
сертифицированные программы расчета (ПЭМИН, акустика, виброакустика)
подбор измерительных

ТРЕБОВАНИЯ К ИЗМЕРЕНИЯМ И РАСЧЕТАМ

15

- измерительной аппаратуре
о поверке контрольно-измерительной аппаратуры
о параметрах используемых тест-программ
о применяемой

ОСНОВНЫЕ НЕДОСТАТКИ ПО ОФОРМЛЕНИЮ МАТЕРИАЛОВ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ

16

обеспечение
сертификационных и аттестационных испытаний
Б. Техническое и программное обеспечение

В. Квалификация сотрудников

17

ОИ

Технические условия
Задания по безопасности
Профили защиты
Методики СИ СЗИ
Сертификация СЗИ

Положения,

18

Общие требования по
сертификации СЗИ
и аттестации ОИ

и аттестации ОИ
Сертификация
СЗИ
ТКУИ

НСД

Нормативно-методическое обеспечение развито
недостаточно полно как

Разработана и сертифицирована лишь малая
часть специализированных программных
средств обеспечение СИ СЗИ.

Отсутствуют типовые методики АИ ОИ

Отсутствует система взаимосвязанных документов
по всем каналам утечки.

Отсутствуют НМД по ЗИ от 4 видов разведки

Методики привязаны к методам контроля
отдельных каналов утечки информации,
нет увязки этих методик с методиками оценки
защищенности объекта защиты в целом

Отсутствует специализированное техническое и
программное обеспечение для проведения СИ
СЗИ от 14 видов разведки

Отсутствуют методические документы

Разработаны нормативные документы общего
плана, специализированные отсутствуют

Слабо развита база испытательного оборудова-
ния и инструментальных средств
для проведения испытаний

Аттестация ОИ

исходных текстов программ «АИСТ»
2. Анализаторы уязвимостей средств защиты

3. Программа фиксации и контроля исходного состояния программного комплекса «ФИКС 2.0»

4. Эмулятор ПЭВМ «EMU» (Intel x86)

5. Программа поиска информации на дисках «TERRIER»

6.Сетевые сканеры защищенности «ТСП 3и», «NESSUS», «ISS»

7.Анализатор сетевого трафика «АСТРА 1.0»

Б. ТЕХНИЧЕСКОЕ И ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ АТТЕСТАЦИОННЫХ И СЕРТИФИКАЦИОННЫХ ИСПЫТАНИЙ

норм по акустической каналу «БИКАР»
2. Программа управления системой "ШЕПОТ"

3. Комплекс программных и аппаратных средств для проведения специсследований «ЛЕГЕНДА»

4. Программа расчета показателей защищенности информации объектов ВТ от утечки по каналу ПЭМИ «РОСА» версия 1.0

5. Программно-аппаратный комплекс «СИГУРД» и расчета оценки защищенности технических средств по каналу ПЭМИН

6. Программно-аппаратный комплекс «НАВИГАТОР»

7. Многофункциональный комплекс радиомониторинга «АРК-Д1ТИ»

И ИСПЫТАТЕЛЬНЫХ ЛАБОРАТОРИЙ
22
Курсы повышения квалификации «Организация проведения

Курсы повышения квалификации «Организация проведения сертификационных испытаний»

«Положение о подготовке и аттестации экспертов системы сертификации средств защиты информации по требованиям безопасности информации»

В. КВАЛИФИКАЦИЯ СОТРУДНИКОВ

ПЭМИН
Руководители
органов
по сертификации
и испытательных
лабораторий

Общие

Недекларирован-
ные возможности

Защита сетей

Защита от НСД

Технические
специалисты
органов
по сертификации
и испытательных
лабораторий

Акустоэлектрический

Виброакустический

Акустический

средства защиты
от утечки
по техническим
каналам

средства защиты
от несанкциониро-
ванного доступа
к информации

23

ПОДГОТОВКА СПЕЦИАЛИСТОВ ОРГАНОВ ПО СЕРТИФИКАЦИИ, ИСПЫТАТЕЛЬНЫХ ЦЕНТРОВ (ЛАБОРАТОРИЙ)

защите информации

Законодательные и нормативные правовые акты по защите

Руководители
органов по
аттестации

Общие критерии

Защита сетей

Защита от НСД

Технические
специалисты
по защите
информации

Акустоэлектрический

Виброакустический

Акустический

от утечки
по техническим
каналам

от несанкциониро-
ванного доступа
к информации

ПОДГОТОВКА СПЕЦИАЛИСТОВ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ

24

ИНФОРМАЦИИ
25