Отечественная нормативная база в области информационной безопасности Нормативную базу в области сертификации безопасности автоматизированных систем в нашей стране составляют государственные стандарты, руководящие документы Гостехкомиссии РФ, Министерства обороны РФ и ФАПСИ. Правовой базой работ по сертификации информационных технологий являются законы РФ "О сертификации продукции и услуг”, "О стандартизации”, "Об информатизации и защите информации”, "О государственной тайне”, "О защите прав потребителей”, Указы президента РФ, постановления правительства РФ, а также ряд других подзаконных актов. Национальным органом по сертификации определен Госстандарт РФ. Процедура сертификации безопасности автоматизированных систем, входящая в состав более общей процедуры сертификации качества функционирования АС, должна опираться на государственные стандарты, определяющие систему функциональных показателей, оцениваемых при сертификации, регламентирующие управление проектированием и документирование программного обеспечения. Поскольку комплексы отечественных стандартов, регламентирующих документирование АС на различных стадиях ее создания, представляют во многом морально устаревшие стандарты серий "Информационная технология”, "Единая система стандартов автоматизированной системы управления” и "Единой системы программной документации”, поэтому не имеет смысла приводить их полный перечень. Указом Президента РФ от 30.03.94г. № 614 функции межведомственной комиссии по защите гостайны были временно возложены на Гостехкомиссию при Президенте РФ. В целом же на Гостехкомиссию возложены обязанности по координации, организационно-методическому руководству, лицензированию деятельности предприятий и сертификации продукции в области защиты информации. В соответствии с Постановлением Правительства РФ от 26.06.95г. № 608 "О сертификации средств защиты информации" созданы системы сертификации Гостехкомиссии при Президенте РФ, Министерства обороны РФ, разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации в этих системах. Центральным органом системы сертификации средств криптографической защиты информации является ФАПСИ. В нашей стране методологической базой нормативно-технических и методических документов, посвященных вопросам сертификации безопасности СВТ и АС, является РД Гостехкомиссии "Концепция защиты СВТ и АС от НСД к информации”, а также "Защита от НСД к информации. Термины и определения.” Эти документы содержат: Основные термины и определения в области защиты информации Определение понятия НСД Основные принципы защиты от НСД Модель нарушителя в АС Основные способы НСД Основные направления обеспечения защиты от НСД Основные характеристики технических средств защиты от НСД Классификация АС Организация работ по защите от НСД Другим основополагающим РД в области сертификации СЗИ является "Положение о сертификации средств защиты информации по требованиям безопасности информации”, устанавливающее организационную структуру системы сертификации, порядок проведения сертификации СЗИ и контроля и основные требования к нормативным и методическим документам по сертификации СЗИ. Организационную структуру системы сертификации образуют: Гостехкомиссия России (федеральный орган по сертификации средств защиты информации); центральный орган системы сертификации средств защиты информации; органы по сертификации средств защиты информации; испытательные центры (лаборатории); заявители (разработчики, изготовители, поставщики, потребители средств защиты информации). Порядок проведения сертификации включает следующие действия: подачу и рассмотрение заявки на сертификацию средств защиты информации; испытания сертифицируемых средств защиты информации и аттестация их производства; экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия; осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации; информирование о результатах сертификации средств защиты информации; рассмотрение апелляций. Критерии оценки безопасности АС и СВТ выражены в РД Гостехкомиссии РФ: "АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”. РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты: первая группа содержит только один седьмой класс; вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы; третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы; четвертая группа характеризуется верифицированной защитой содержит только первый класс. РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: наличие в АС информации различного уровня конфиденциальности; уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; режим обработки данных в АС - коллективный или индивидуальный. Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС. РД "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ” регламентирует следующие основные вопросы: организационную структуру и порядок проведения работ по защите информации от НСД и взаимодействия при этом на государственном уровне; систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме; порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД; порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации. Согласно настоящему временному положению, при разработке средств и систем защиты в АС и СВТ необходимо руководствоваться требованиями следующих руководящих документов: Концепция защиты СВТ и АС от НСД к информации; Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ; Термины и определения по защите от НСД к информации; Показатели защищенности СВТ от НСД к информации; Классификация АС и требования по защите информации от НСД в АС различных классов.
|