Нормативную базу в области сертификации безопасности автоматизированных систем в нашей стране составляют государственные стандарты, руководящие документы Гостехкомиссии РФ, Министерства обороны РФ и ФАПСИ. Правовой базой работ по сертификации информационных технологий являются законы РФ "О сертификации продукции и услуг”, "О стандартизации”, "Об информатизации и защите информации”, "О государственной тайне”, "О защите прав потребителей”, Указы президента РФ, постановления правительства РФ, а также ряд других подзаконных актов. Национальным органом по сертификации определен Госстандарт РФ. Процедура сертификации безопасности автоматизированных систем, входящая в состав более общей процедуры сертификации качества функционирования АС, должна опираться на государственные стандарты, определяющие систему функциональных показателей, оцениваемых при сертификации, регламентирующие управление проектированием и документирование программного обеспечения. Поскольку комплексы отечественных стандартов, регламентирующих документирование АС на различных стадиях ее создания, представляют во многом морально устаревшие стандарты серий "Информационная технология”, "Единая система стандартов автоматизированной системы управления” и "Единой системы программной документации”, поэтому не имеет смысла приводить их полный перечень. Указом Президента РФ от 30.03.94г. № 614 функции межведомственной комиссии по защите гостайны были временно возложены на Гостехкомиссию при Президенте РФ. В целом же на Гостехкомиссию возложены обязанности по координации, организационно-методическому руководству, лицензированию деятельности предприятий и сертификации продукции в области защиты информации. В соответствии с Постановлением Правительства РФ от 26.06.95г. № 608 "О сертификации средств защиты информации" созданы системы сертификации Гостехкомиссии при Президенте РФ, Министерства обороны РФ, разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации в этих системах. Центральным органом системы сертификации средств криптографической защиты информации является ФАПСИ. В нашей стране методологической базой нормативно-технических и методических документов, посвященных вопросам сертификации безопасности СВТ и АС, является РД Гостехкомиссии "Концепция защиты СВТ и АС от НСД к информации”, а также "Защита от НСД к информации. Термины и определения.” Эти документы содержат: Основные термины и определения в области защиты информации
Определение понятия НСД
Основные принципы защиты от НСД
Модель нарушителя в АС
Основные способы НСД
Основные направления обеспечения защиты от НСД
Основные характеристики технических средств защиты от НСД
Классификация АС
Организация работ по защите от НСД
Другим основополагающим РД в области сертификации СЗИ является "Положение о сертификации средств защиты информации по требованиям безопасности информации”, устанавливающее организационную структуру системы сертификации, порядок проведения сертификации СЗИ и контроля и основные требования к нормативным и методическим документам по сертификации СЗИ. Организационную структуру системы сертификации образуют: Гостехкомиссия России (федеральный орган по сертификации средств защиты информации);
центральный орган системы сертификации средств защиты информации;
органы по сертификации средств защиты информации;
испытательные центры (лаборатории);
заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).
Порядок проведения сертификации включает следующие действия: подачу и рассмотрение заявки на сертификацию средств защиты информации;
испытания сертифицируемых средств защиты информации и аттестация их производства;
экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
информирование о результатах сертификации средств защиты информации;
рассмотрение апелляций.
Критерии оценки безопасности АС и СВТ выражены в РД Гостехкомиссии РФ: "АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”. РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты: первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой содержит только первый класс.
РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС. РД "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ” регламентирует следующие основные вопросы: организационную структуру и порядок проведения работ по защите информации от НСД и взаимодействия при этом на государственном уровне;
систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме;
порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД;
порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации.
Согласно настоящему временному положению, при разработке средств и систем защиты в АС и СВТ необходимо руководствоваться требованиями следующих руководящих документов: Концепция защиты СВТ и АС от НСД к информации;
Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ;
Термины и определения по защите от НСД к информации;
Показатели защищенности СВТ от НСД к информации;
Классификация АС и требования по защите информации от НСД в АС различных классов.