Сертификация средств защиты информации
Порядок сертификации средств защиты информации (из перечня приведённого в таблице) в Российской Федерации и ее учреждениях за рубежом устанавливает Положение о сертификации средств защиты информации.
|
|
Участниками сертификации средств защиты информации являются:
- федеральный орган по сертификации;
- центральный орган системы сертификации (создается при необходимости) – орган, возглавляющий систему сертификации однородной продукции;
- органы по сертификации средств защиты информации – органы, проводящие сертификацию определенной продукции;
- испытательные лаборатории – лаборатории, проводящие сертификационные испытания определенной продукции;
- изготовители – продавцы, исполнители продукции.
Центральные органы системы сертификации, органы по сертификации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.
Испытательные лаборатории проводят сертификационные мероприятия, испытания средств защиты информации, по их результатам оформляют заключения и протоколы, которые направляют в соответствующие органы по сертификации.
Система сертификации средств ЗИ по требованиям безопасности информации включает в себя и аттестацию объекта информатизации. Основными схемами проведения сертификации средств защиты информации являются:
- единичных образцов средств защиты информации – проведение испытаний этих образцов на соответствие требованиям по защите информации;
-
|
Органы, осуществляющие сертификацию средств защиты информации несут ответственность, установленную законодательством РФ, за выполнение возложенных на них обязанностей обеспечения защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, за соблюдение авторских прав изготовителя при сертификационных испытаниях средств защиты информации.
Перечень средств защиты информации, подлежащих сертификации по требованиям безопасности информации, и область применения данных средств представлены в табл. 6.1.
Таблица. 6.1
Средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении | Область применения средств защиты информации | ||
1. Средства защиты информации от перехвата оптических сигналов в видимом инфракрасном и ультрафиолетовом диапазонах, осуществляемого оптическими, оптико-электронными, тепловизионными, телевизионными, лазерными, фото- и др. визуальными средствами съема информации. 2. Средства защиты информации от перехвата акустических сигналов, распространяемых в воздушной, водной и твердой средах, осуществляемых акустическими, гидроакустическими, виброакустическими, лазерными и сейсмическими средствами. 3.
| Информационные ресурсы ограниченного доступа, представленные в виде носителей на магнитной или оптической основе, информативных физических полей, информационных массивов и баз данных. Средства и системы информатизации (СВТ, информационно-вычислительные комплексы, сети и системы), автоматизированные системы управления, системы связи, приема, передачи, обработки и хранения информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления тиражирования документов и др. технические средства обработка графической, смысловой и буквенно-цифровой информации), используемых для обработки информации ограниченного доступа. |
Продолжение табл. 6.1
Средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении | Область применения средств защиты информации |
4. Средства защиты информации от перехвата электрических сигналов, распространяемых в токопроводящих коммуникациях и являющихся причиной электромагнитных наводок за счет побочных электромагнитных излучений, вследствие эффекта электроакустических преобразований, а также ВЧ-облучения и навязывания. 5. Основные технические средства обработки информации с нормированным уровнем электромагнитных излучений и наводок. 6. Вспомогательные технические средства в защищенном исполнении | Технические средства и системы, не обрабатывающие информацию, но размещаемые в помещениях, где циркулирует информация, относящаяся к категории ограниченного доступа, сами выделенные помещения. Программные, программно-аппаратные средства оценки защиты информации от утечки по техническим каналам |
6.4. Аттестация объектов информатизации по требованиям
безопасности информации
Под объектами информатизации (ОИ), аттестуемыми по требованиям безопасности информации, понимают автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения, предназначенные для обработки и передачи информации, подлежащей защите, вместе с помещениями, в которых они установлены, а также помещения, предназначенные для ведения конфиденциальных переговоров /6/.
|
Под аттестацией ОИ понимается комплекс организационно технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов иных нормативно-технических документов по безопасности информации. Наличие на ОИ действительного «Аттестата соответствия» дает право на обработку документов с уровнем секретности на период времени, установленным в «Аттестате соответствия».
Обязательной аттестации подлежат ОИ, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация добровольная.
Аттестация по требованиям безопасности информации предшествует началу обработке подлежащей защите информации и необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информации мер и средств защиты информации. При аттестации ОИ подтверждается его соответствие требованиям по защите информации:
- от несанкционированного доступа, в том числе от компьютерных вирусов;
- от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (ВЧ-облучение, электромагнитное и радиационное воздействие);
- от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
|
Аттестация предусматривает комплексную проверку /8,10/ защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации. Аттестация проводится органом по аттестации в установленном порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
- анализ исходных данных по аттестуемому ОИ;
- предварительное ознакомление с аттестуемым ОИ;
- проведение экспертного обследования ОИ и анализ разработанной документации по информатизации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
- проведение испытаний отдельных средств и систем защиты информации на аттестуемом ОИ с помощью специальной аппаратуры и тестовых средств;
- проведение испытаний отдельных средств и систем информатизации в испытательных центрах по сертификации средств защиты информации по требованиям безопасности информации;
- проведение комплексных аттестационных испытаний ОИ в реальных условиях эксплуатации;
- анализ результатов экспертного обследования и комплексных аттестационных испытаний ОИ и утверждение заключения по результатам аттестации.
Органы по аттестации ОИ несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.
|
- подготовку ОИ путем необходимых организационно-технических мероприятий к аттестации;
- привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;
- предоставляют органам по аттестации необходимые документы и условия проведения аттестации;
- привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры по сертификации;
- осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;
- извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации;
- предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
Порядок проведения аттестации включает следующие действия:
- подачу и рассмотрение заявки на аттестацию;
- предварительное ознакомление с аттестуемым объектом;
- испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте;
- заключение договоров на аттестацию;
- разработка программы и методики аттестационных испытаний;
- проведение аттестационных испытаний;
-
|
- осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
- рассмотрение апелляций.
Владелец аттестованного объекта несет ответственность за выполнение установленных условий функционирования ОИ, технологию обработки информации и требования по безопасности информации. Подробно алгоритм аттестации ОИ показан на рисунке 6.1.