Оценка средств защиты информации

Оценка соответствия средств защиты информации

Оценка соответствия средств защиты информации — это процедура тестирования и оформления доказательств соответствия средств защиты информации (СЗИ) требованиям безопасности информации.

На выходе такой процедуры специально подготовленные материалы, подтверждающие соответствие СЗИ требованиям регуляторов (ФСБ и/или ФСТЭК), подходящим для заданного средства.

Проведение оценки соответствия средства защиты — позволит применять его в информационных системах заданных классов, согласно нормативной документации ФСТЭК и ФСБ России.

Как правило, результирующим (финишным) документом является:

• Сертификат соответствия СЗИ
• Декларация соответствия СЗИ
• Акт оценки соответствия СЗИ
• Акт оценки эффективности СЗИ

Какой на выходе будет итоговый отчетный документ — зависит от формы оценки соответствия. Их существует несколько и не каждая форма оценки подходит для выполнения требований регуляторов по защите информационных систем.

Для какой ситуации подходит та или иная форма оценки — смотрите ниже.

 

Для чего нужна оценка средств защиты информации

Оценка средств защиты информации, в первую очередь, необходима для выполнения владельцами компьютерных систем требований законодательства в области защиты информации.

Вы спросите «о каких законах идет речь»?

Да о самых главных законах в области защиты информации в стране:

• ФЗ-98 «О коммерческой тайне»
• ФЗ-149 «Об информации, информационных технологиях и о защите информации»
• ФЗ-152 «О персональных данных»
• ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации»
• ФЗ-161 «О национальной платежной системе»

И нужно понимать, что помимо указанных Федеральных законов, есть еще масса подзаконных нормативно-правовых актов, которые раскрывают (детализируют) требования указанных законов.

Вот, например, конкретные пункты нормативных документов, которые требуют применение средств защиты информации, прошедших оценку соответствия:

• Подпункт 3) части 2 статьи 19 ФЗ-152 «О персональных данных»
• Пункт 13 постановления Правительства № 1119
• Пункт 12 приказ ФСТЭК № 21
• Пункт 26 приказа ФСТЭК № 17
• Пункт 24 приказа ФСТЭК № 31
• Пункт 17.2 приказа ФСТЭК № 489
• Пункт 29 приказа ФСТЭК № 239

 

Формы оценки средств защиты информации

Итак, согласно ФЗ-184 «О техническом регулировании» существует несколько форм оценки соответствия СЗИ:

• Сертификация средств защиты в форме добровольной сертификации
• Сертификация средств защиты в форме обязательной сертификации
• Декларирование соответствия

В чем разница? Разница существенная!

Во-первых: в сложности процедур оценки соответствия. Например, срок и трудоемкость сертификации во ФСТЭК в разы выше чем при декларировании соответствия.

Во-вторых: в применимости результирующего документа (сертификат, декларация соответствия) на том или ином объекте информатизации (компьютерной системе). Например, сертификат ФСТЭК обязателен для государственных информационных систем, но не обязателен для информационных систем персональных данных.

В-третьих: в цене! Стоимость сертификации также выше в разы чем для декларирования соответствия. Например, сертификация во ФСТЭК «под ключ» составляет от 10 млн., а декларирование от 1 млн. Внимание, речь про качественное декларирование, а не фиктивные «бумажки».

 

Для индивидуального расчета стоимости и сроков оценки СЗИ — оставьте заявку или позвоните:

8(800)600-60-41 или 8(800)550-44-71

 

 

Сопоставление форм оценки средств защиты информации

Вы спросите, а как же тогда сопоставить результирующие документы (сертификаты, декларации) с формами оценки соответствия.

Все просто:

• Для формы оценки «Обязательная сертификация» — это сертификат соответствия средства защиты информации по требованиям безопасности информации в системе обязательной сертификации (например: ФСБ, ФСТЭК, Министерство обороны).
• Для формы оценки «Добровольная сертификация» — это сертификат соответствия средства защиты информации по требованиям безопасности информации в системе добровольной сертификации.
• Для формы оценки «Декларирование соответствия» — это декларация соответствия средства защиты информации по требованиям безопасности информации.

 

Применение оценки средств защиты информации

Итак, давайте теперь рассмотрим: какая форма оценки для каких типов компьютерных систем может быть применена.

Тут все достаточно однозначно:

• Для государственных информационных систем (ГИС): возможно применение только сертифицированных средств защиты информации.
• Для информационных систем персональных данных (ИСПДн): возможно применение всех озвученных выше форм оценки соответствия (обязательная сертификация, декларирование, добровольная сертификация).
• Для информационных систем общего пользования (ИСОП): возможно применение всех озвученных выше форм оценки соответствия (обязательная сертификация, декларирование, добровольная сертификация).
• Для автоматизированных систем управления технологическими процессами (АСУ ТП): возможно применение всех озвученных выше форм оценки соответствия (обязательная сертификация, декларирование, добровольная сертификация).
• Для значимых объектов критической информационной инфраструктуры (ЗОКИИ): возможно применение всех озвученных выше форм оценки соответствия (обязательная сертификация, декларирование, добровольная сертификация).

 

Оценка соответствия СЗИ в форме испытаний

Возможность оценки соответствия СЗИ в форме испытаний, в частности, регламентирована приказом ФСТЭК № 239.

В п. 28 четко указано, что:

«Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки».

А также, что оценка соответствия в форме испытаний или приемки, проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.

Т.е. владелец ЗОКИИ может провести работы по тестированию СЗИ самостоятельно или заказать работы у профильной организации.

О том, какая именно должна оформляться документация в рамках оценки соответствия СЗИ в форме испытаний — см. раздел ниже.

 

Для индивидуального расчета стоимости и сроков оценки СЗИ — оставьте заявку или позвоните:

8(800)600-60-41 или 8(800)550-44-71

 

 

Оценка соответствия СЗИ в форме приемки

Оценка соответствия СЗИ в форме приемки — это то же самое, что в форме испытаний.
Тут речь о том, что сам владелец информационной системы, в рамках приемочных испытаний — проводит тестирование имеющихся средств защиты с оформлением отчетной документации.

Так какая документация должна быть оформлена?

Как таковых требований в самом 239 приказе ФСТЭК к составу отчетных документов нет, однако стоит обратиться к самому главному Федеральному закону в этой области — это ФЗ-184 «О техническом регулировании», который говорит, что если речь не о сертификации, то значит речь о «Декларировании соответствия«.

Согласно п. 2 ФЗ-184:

«В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие основанием для подтверждения соответствия продукции требованиям технического регламента«.

Как мы видим, формулировка несколько размыта и не до конца понятно как эти доказательные документы наименовать. Поэтому рекомендуется подсмотреть в системе обязательной сертификации и оформить как минимум:

• Акт отбора образца
• Формуляр
• Технические условия
• Эксплуатационная документация
• Программа и методики декларирования соответствия
• Протокол декларирования соответствия
• Заключение по результатам декларирования соответствия
• Декларация соответствия

 

 

Оценка соответствия СЗИ в форме декларирования

Итак, давайте без прелюдии обозначим основные этапы оценки соответствия СЗИ в форме декларирования соответствия:
1. Сформулировать требования по безопасности к СЗИ
2. Провести отбор контрольного образца продукции
3. Протестировать образец продукции на испытательном стенде
4. Оформить материалы испытаний, подтверждающие соответствие СЗИ требованиям безопасности
5. Оформить декларацию соответствия

Т.е. это не просто оформить документ под названием «Декларация соответствия«, а целая эпопея с тестированием продукта и сбором доказательств.

 

А что означают те или иные этапы по декларированию соответствия?
Давайте кратко обозначим:
1. Под формулированием требований по безопасности — понимается формулирование требований к СЗИ, опираясь на нормативную документацию того или иного регулятора, а в частности ФСБ или ФСТЭК России. На выходе, как правило, отчетный документ под названием Технические условия.
Данный документ оформляется по ГОСТ 2.114-2016.

2. Отбор образца проводится с целью получения некого эталонного экземпляра продукции — для его тестирования. Т.е. при оценке соответствия СЗИ — осуществляется тестирование не всей серийно выпускаемой продукции «от и до», а только выбранная часть, как правило, всего лишь один экземпляр (релиз СЗИ). Этого достаточно, чтобы сделать выводы и оформить подтверждающие материалы для всей серии.

3. Под тестированием образца на стенде — понимается разворачивание эталонного компьютерного стенда, на котором устанавливается необходимое программное обеспечение, согласно требованиям эксплуатационной документации, а также само СЗИ для его тестирования. Характеристики стенда указываются в материалах испытаний, чтобы любой другой мог проверить результаты, развернув такой же стенд и протестировав продукт.

4. Под оформлением материалов испытаний — понимается разработка отчетных документов, подтверждающих проведение тестирования и фиксирующих результаты проведенных проверок. Как правило, это: программа и методики испытаний, протоколы испытаний, заключение.

5. Под оформлением декларации соответствия — понимается выпуск результирующего документа, под названием Декларация соответствия. Именно этот документ подтверждает, что протестированное СЗИ соответствует сформулированным в Технических условиях требованиям.

 

Процедура оценки средств защиты информации

Во-первых, следует сказать, что процедура оценки средств защиты информации варьируется в зависимости от формы оценки:

• Сертификация в системе обязательной сертификации
• Сертификация в системе добровольной сертификации
• Декларирование соответствия

О процедуре сертификации в системе обязательной сертификации ФСТЭК России смотрите подробнее по ссылке.

О процедуре декларирования соответствия смотрите подробнее по ссылке.

Но тем не менее можно выделить основные этапы для всех указанных процедур:

1. Определение требований к продукту (чему он должен соответствовать).
2. Подготовка продукта к оценке соответствия (разработка документации и др.).
3. Испытания продукта и оформление доказательств (программы и методики, протоколы, заключение).
4. Экспертиза результатов (согласование с заказчиком или экспертным центром).
5. Оформление итогового (результирующего) документа, т.е. сертификата или декларации соответствия.

 

Для индивидуального расчета стоимости и сроков оценки СЗИ — оставьте заявку или позвоните:

8(800)600-60-41 или 8(800)550-44-71

 

 

Оценка эффективности средств защиты информации

Под оценкой эффективности средства защиты информации — также понимается его тестирование и оформление доказательной базы. На выходе документы, подтверждающие соответствие СЗИ требованиям защиты информации.

Предвидим ваш вопрос: а как термин «Оценка эффективности» коррелирует, например, с термином «Оценка соответствия»?
Ответ: это одно и тоже, только названо разными словами.

Но вы спросите, а какая форма оценки подходит к данной процедуре и какие отчетные документы на выходе?

В таком случае всегда стоит обращаться к самому главному закону — ФЗ-184 «О техническом регулировании», который установил все возможные формы оценки соответствия:

• Обязательная сертификация
• Добровольная сертификация
• Декларирование соответствия

Поэтому, оценка эффективности СЗИ может проводиться по одной из указанных форм — в зависимости от типа информационной системы в которой данное средство будет применяться.

Напомним, что, например, в государственных информационных системах может применяться только сертифицированные средства защиты информации, прошедшие оценку соответствия в системе обязательной сертификации ФСБ или ФСТЭК России (в зависимости от типа средства и подведомственности объектов эксплуатации).

 

Средства защиты информации прошедшие оценку соответствия

Уверены вам интересно, так где же увидеть перечень средств защиты информации, прошедших процедуру оценки соответствия?
Тут все зависит от формы оценки соответствия!

Для систем обязательной сертификации — реестры сертифицированных средств защиты полностью открыты и доступны в сети Интернет:

• Реестр сертифицированных средств защиты информации ФСТЭК России
• Реестр сертифицированных средств защиты информации ФСБ России

Для систем добровольной сертификации, как правило, реестры закрытые. Они ведутся органом по сертификации, проводившим сертификацию и хранятся исключительно внутри организации.

А при декларировании соответствия — реестр как таковой вообще не ведется, так как речь о том, что конкретный владелец информационной системы с внедренными СЗИ организует работы по декларированию и получает в итоге декларацию именно на «свои» СЗИ.

 

Методика проведения оценки соответствия СЗИ

Эх, было бы все так просто!
Дело в в том, что методики оценки СЗИ — совершенно разные для разных типов СЗИ.
Например, для тестирования межсетевого экрана — это проверки, связанные с фильтрацией сетевых пакетов, а для антивирусного средства защиты, это проверки механизмов сигнатурного и эвристического вирусного анализа.

Тем не менее, для составления методик проверки — порекомендуем обратиться к нормативной документации ФСТЭК в части требований к средствам защиты различных типов:

• Требования к операционным системам (ОС)
• Требования к средствам антивирусной защиты (АВЗ)
• Требования к межсетевым экранам (МЭ)
• Требования к системам обнаружения вторжений (СОВ)
• Требования к средствам доверенной загрузки (СДЗ)
• Требования к средствам контроля съемных носителей информации (СКН)
• Требования к средствам защиты от DDOS атак (DDOS)
• Требования к многофункциональным межсетевым экранам (ММЭ)
• Требования к средствам контейнеризации (СК)
• Требования к средствам виртуализации (СВ)
• Требования к системам управления базами данных (СУБД)
• Требования к средствам обеспечения безопасной удаленной работы (СОБДР)

Типовая техника составления методик проверки следующая:
1. Берем конкретное требование из выбранного (подходящего) нормативного документа.

2. Придумываем проверку данного требования, опираясь на функционал заданного СЗИ:

• Прописываем порядок проверки (что нужно сделать).
• Прописываем критерий оценки положительного результата.

3. Моделируем проверку на тестовом стенде и, при необходимости, корректируем методику.

 

Что предлагаем мы?

Мы профильно занимаемся оценкой соответствия СЗИ в форме сертификации и декларирования соответствия.
За 13 лет работы, нами выполнены сотни проектов в области оценки соответствия ПО и СЗИ.

Мы стараемся работать максимально лояльно (с пониманием) к клиенту, действуя на опережение и обеспечивая наивысшее качество работы, что подтверждается бесчисленными благодарственными отзывами.

В штате нашей компании работают выходцы из испытательной лаборатории ФСТЭК, ФСБ и Министерства обороны с богатым опытом работы (более 15 лет работы).

Остались сомнения? Заезжайте к нам на чай в г. Королев — убедитесь лично в нашей глубочайшей компетенции и опыте работы!

 

Для индивидуального расчета стоимости и сроков оценки СЗИ — оставьте заявку или позвоните:

8(800)600-60-41 или 8(800)550-44-71