Progress28.ru

IT Новости
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Процедура оценки соответствия средств защиты информации

Почему оценка соответсвия средств защиты информации и есть сертификация

В предыдущем посте Сертификация средств защиты и персональные данные не хватало конкретики в вопросе сертификации как таковой.
В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
Статья получилась немного сумбурная, но, надеюсь, понятная.

Откуда растут ноги?

4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:…
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Таким образом при нейтрализации угроз с помощью средств защиты необходимо использовать СЗИ, прошедшие оценку соответствия.
Для многих встает вопрос на этом пункте, так как в прямых документах по защите информации не дается внятного определения оценки соответствия.

Что есть «оценка соответствия»?

декларирование соответствия — форма подтверждения соответствия продукции требованиям технических регламентов;
декларация о соответствии — документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов;
оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
технический регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации);
форма подтверждения соответствия — определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.

Формы подтверждения соответствия
1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
— принятия декларации о соответствии (далее — декларирование соответствия);
— обязательной сертификации.

— выясняем, что существует добровольная сертификация и обязательное подтверждение соответствия.
В свою очередь обязательное может проходить в двух формах: декларирование соответствия и обязательная сертификация.
По сути мы получаем 3 способа подтверждения соответствия:
— добровольная сертификация
— обязательная сертификация
— декларирование соответствия
Обязательную сертификацию рассматривать не будем: по данной теме она для нас интереса не представляет. Рассмотрим оставшиеся.

Добровольная сертификация

Статья 21. Добровольное подтверждение соответствия
1. Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.…
2. Система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.

— видно, что она больше используется для соответствия корпоративным стандартам.
Одно время было движение по созданию системы добровольной сертификации в разрезе защиты ПДн, но похоже толком дело не пошло.
Да и разница в трате времени и ресурсов по сравнению с обязательной сертификацией выходит незначительная (если вообще выходит).

Декларирование соответствия

Статья 24. Декларирование соответствия
1. Декларирование соответствия осуществляется по одной из следующих схем:
— принятие декларации о соответствии на основании собственных доказательств;
— принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее — третья сторона).

2. При декларировании соответствия на основании собственных доказательств заявитель самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технических регламентов. В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технических регламентов. Состав доказательственных материалов определяется соответствующим техническим регламентом.

3. Декларация о соответствии и сертификат соответствия имеют равную юридическую силу независимо от схем обязательного подтверждения соответствия и действуют на всей территории Российской Федерации.

Состав доказательственных материалов определяется соответствующим техническим регламентом.

1. Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.

Суммирую все перечисленное, получается следующее: Закон ни в коем разе не ограничивает наше право в декларировании соответствия средств защиты информации требованиям по защите информации (в соответствии с пунктом 1 статьи 28 «Заявитель вправе… выбирать форму и схему подтверждения соответствия, предусмотренные для определенных видов продукции соответствующим техническим регламентом; „), но данная процедура должна проходить в соответствии с техническим регламентом (в соответствии с пунктом 2 статьи 28 “Заявитель обязан… обеспечивать соответствие продукции требованиям технических регламентов»).
Но что такое технический регламент? В соответствии с определением, описанным выше — это нормативный документ, изданный на уровне Правительства и определяющий требования к продукции.

Читать еще:  Назовите основное средство защиты от вирусов

Так почему же «сертификация» = «оценка соответствия»?

Отмечу, что данное утверждение верно отчасти… лучше сделать приписку: в настоящее время.
Выше мы выяснили, что декларирование соответствия должно осуществляться в соответствии с техническими регламентами, которые, в нашем случае, должны разработать сотрудники ФСТЭК. Но… «воз и ныне там».
За все время существования закона о ПДн не выпущено ни одного техничекого регламента. Единственное, что на данный момент существует — это профили защиты, но они предназначены для разработчиков средств защиты (и содраны, кстати, кажется с NIST). Ознакомиться можно с ними здесь: Пакет проектов профилей защиты.

С ФЗ 184 «О техническом регулировании» можно ознакомиться на официальном сайте ФСТЭК России:
Федеральный закон от 27 декабря 2002 г. N 184-ФЗ
Если появился интерес по профилям защиты, то нормативные документы можно посмотреть здесь.

Информационная безопасность

Аналитика, обзоры, исследования из мира Информационной Безопасности | (с) Иван Пискунов

МОИ ПРОЕКТЫ

понедельник, 4 апреля 2016 г.

Альтернативы использования сертифицированных СЗИ для ФЗ №152

  1. Оператор самостоятельно выбирает меры защиты — в пределах ограничений, накладываемых этим или иными федеральными законами, а также актами регуляторов (ФСТЭК России, ФСБ России, Роскомнадзора).
  2. Слова «в частности» означают, что список мер, включенных в закон, — это список того, что можно, но не обязательно применять. И (забегая вперед) скажем, что необязательность применения средств сертификации видна и в других подзаконных актах!
    Ведущие блогеры и эксперты могут утверждать (и утверждают), что в неком документе/законе/стандарте сказано, что процедура оценки соответствия — это… Но толковать законы в нашей стране не могут ни эксперты, ни регуляторы — толькоГосударственная Дума и Суд. Желательно Верховный Суд РФ. Но подобные комментарии Верховного Суда РФ можно пересчитать по пальцам. Так что пока в законе не пропишут, что есть оценка соответствия, или по этому поводу не сделает разъяснения Верховный Суд РФ — никто не может своим веским словом определить какое-либо понятие.

Исходя из этого Правительство РФ и регуляторы могут и обязаны выпускать требования по защите. Остальные органы могут только определить список угроз , а также порядок учета персональных данных.

И все было бы хорошо, если бы не:

Для более высоких уровней защиты требования по оценке соответствия не изменяются, поэтому приводить здесь мы их не будем.

  • «соответствия требованиям законодательства Российской Федерации». Закон этого не требовал, и получается, что выбранный вами продукт может соответствовать международным — не российским — критериям безопасности — расширять требования закона нельзя!
  • требования должны быть в области обеспечения безопасности информации. Это тоже ограничение, хотя и логичное. Возможно, оно возникло в связи с тем, что один из вендоров прописывал в сертификате «соответствие ГОСТ», не говоря, какому ГОСТу продукт соответствует.
  • «использоваться такие средства должны только для нейтрализации актуальных угроз». Очень забавное требование. Понимать его можно двояко. Скажем, для обнаружения/ограничения проникновения и т. д., получается, можно использовать продукты, не прошедшие оценку соответствия. Это, кстати, важно: в приказе ФСТЭК России от антивируса требуется только обнаружение, но не нейтрализация.
  • Первый раз встречается слово «сертифицированных». Но сертификация не равна оценке соответствия. Оценка соответствия может быть в форме испытаний, регистрации… В свою очередь, сертификация может быть добровольной, обязательной или форме декларирования соответствия. Исходя из этого пункта средства антивирусной защиты и межсетевые экраны должны подвергаться обязательной сертификации, а иные средства, необходимые для нейтрализации угроз, — нет? А ведь системное ПО, не относящееся согласно Приказу к антивирусным средствам, — тоже может немало.
  • Ключевая фраза: «при использовании»! То есть если мы не используем сертифицированные средства, то и вопросов нет.
  1. Федеральный закон №152-ФЗ не определяет требования ни к используемым для защиты персональных данных продуктам, ни к порядку их оценки соответствия/сертификации.
  2. Поскольку регуляторы не имеют права расширять требования закона, то (теоретически!) все такие расширения можно игнорировать.
  3. Сертификация не равна оценке соответствия.
  4. Сертифицированные средства защиты не являются обязательными.
  5. Антивирусные средства должны применяться для обнаружения угроз и реагирования на них. Средства, прошедшие оценку соответствия, должны использоваться для нейтрализации угроз.

А вот рекомендации Алексей Лукацкого по составлению модели угроз и выбору соответствующих мер защиты ПДн:

Сертификация систем защиты информации (СЗИ) и персональных данных (ПНд)

Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности. В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств. Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.

Читать еще:  Правовые меры направленные на защиту информации

С организационной точки зрения допускается деление деление рисков на недопустимые и допустимые – но оно условно, зависит от многих факторов: размеров компании, ее известности, способов обработки персональных данных, репутации, политики взаимодействия с клиентами. Наиболее сильным риск является для организаций, которые поддерживают сайты с персональными данными либо формами для их регистрации, проводят массированные е-mail рассылки, ведут агрессивные рекламные кампании.

Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.

Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов. Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей. Утечка или утрата персональных данных автоматически признается виной оператора связи.

Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.

Сертификация средств защиты персональных данных по 152-ФЗ

Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.

Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:

  1. Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
  2. Опубликовать документ – политику, с описанием способов работы с персональных данных.
  3. Подать уведомление в Роскомнадзор.

Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов – Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.

Порядок работ по методике, утвержденной ФСТЭК, выглядит так:

  1. Проводится обследование информационной системы персональных данных (ИСПДн).
  2. Проектируется система защиты.
  3. Внедряется система, защищающая информацию.
  4. Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.

Стоимость сертификации в соответствии с 152-ФЗ складывается из:

  1. Наличия подключения к сети Интернет.
  2. Количества компьютеров.
  3. Наличия сервера или общей сети.
  4. Техподдержки.
  5. Юридического сопровождения.

Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.

Сертификат соответствия ФСТЭК

Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи. Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций. Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.

Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей. Взаимодействуя с лабораториями и экспертами, они сравнивают продаваемые версии продукта с сертифицированным образцом-эталоном. В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.

Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.

Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.

Аттестация систем персональных данных

Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры. Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке. Соответствующая документация получается в территориальном отделении ФСТЭКа.

Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов. В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков. В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.

Читать еще:  Диагностика вирусов на компьютере

Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.

После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.

Сертификация средств защиты информации

Устройства, препятствующие утечке данных и обеспечивающие их сохранность от несанкционированного доступа, являются средствами защиты информации (СЗИ). Контроль за техническими характеристиками СЗИ осуществляется с помощью сертификации. Это позволяет предпринимателю своевременно устранять недостатки и несоответствия в системе управления информационной безопасностью. В результате существенно снижаются риски и расходы после возможных инцидентов, связанных с безопасностью данных.

Разновидности СЗИ

Различают несколько групп средств защиты данных:

  • технические — способны маскировать и перекрывать каналы утечки информации (генераторы шума, сетевые фильтры, сканирующие радиоприемники, программы прерывания передачи сведений, пожарная сигнализация);
  • программные — могут идентифицировать пользователя, зашифровывать сведения, удалять временные файлы, контролировать доступ (антивирусы, криптографические системы, межсетевые экраны, виртуальная частная сеть VPN);
  • смешанные — обладают свойствами первых двух групп;
  • организационные — обеспечивают подготовку помещений с компьютерами, грамотную прокладку кабельной системы, разработку руководством конкретного предприятия положений и правил работы.

Требования законодательства

Согласно Положению ФСТЭК России №55 от 3.04.2018 г., обязательной оценке соответствия подлежат:

  1. программы противодействия иностранным техническим разведкам и устройства контроля эффективности СЗИ;
  2. средства технической защиты важных сведений, составляющих государственную тайну;
  3. устройства, обеспечивающие безопасность информационных технологий.

Сертификация импортных и отечественных СЗИ проводится по одним и тем же правилам, установленным ПП РФ №608 от 26 июня 1995 г.

По итогам испытаний присваиваются соответствующие уровни доверия. Их всего шесть. Первые три могут применяться в информационных системах, содержащих особо важные сведения — государственную тайну. Остальные уровни доверия присваиваются программам, которые могут применяться в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн).

Административная ответственность

Статья 13.12. КоАП РФ предусматривает наказание за нарушение правил защиты данных:

  1. штрафные санкции в сумме до 30 т.р. (нарушение условий лицензирования, использование несертифицированных продуктов);
  2. конфискация нелегальной продукции.

Преимущества добровольной сертификации

Если устройство не вошло в список для обязательной сертификации, предприниматель может пройти добровольную оценку соответствия.

  • повысить имидж предприятия;
  • участвовать в государственных тендерах;
  • сотрудничать с крупными заказчиками;
  • увеличить оборот продукции и прибыльность бизнеса.

Схемы оценки соответствия

Выбор схемы проведения сертификации СЗИ зависит от формы изготовления продукции:

Экспертиза товара на соответствие требованиям по защите информации

Исследование образцов СЗИ на соблюдение установленных стандартов по охране информации и последующий инспекционный контроль за сертифицированными товарами. Также имеет место предварительная проверка производства.

Как выглядит сертификат на средства защиты информации?

Документ включает в себя сведения о:

  • наименовании и адресе заявителя;
  • описании продукции, уровне доверия, области применения;
  • результатах проведенных лабораторных испытаний;
  • названии и реквизитах аккредитованной лаборатории;
  • инспекционном контроле и маркировке;
  • регистрационном номере;
  • дате выдачи и сроке действия;
  • подписи ответственного лица.

Период действия сертификата на средства защиты информации не может превышать пять лет.

Какие документы требуется предоставить?

В сертификационный орган заявителю необходимо предъявить следующие сведения:

  • копии регистрационных документов (ИНН, ОГРН, ЕГРЮЛ, устава);
  • действующая лицензия на ведение деятельности;
  • подробное описание товара, его назначение, характеристики;
  • имеющиеся зарубежные сертификаты (при наличии);
  • технические и эксплуатационные документы на продукцию (паспорт);
  • контракт на поставку для импортных средств.

Процедура сертификации

Рассмотрим основные этапы оценки соответствия:

  1. подача заявки на проведение сертификации средств защиты информации предприятием-изготовителем в центр “Севтест”;
  2. заключение договора на оказание услуг;
  3. подготовка и предоставление заявителем необходимой информации;
  4. отбор образцов продукции для исследования;
  5. экспертиза товара в специализированной лаборатории и (при необходимости) аттестация производства;
  6. подготовка протокола лабораторных испытаний;
  7. анализ полученных результатов;
  8. оформление и регистрация сертификата на право использования знака соответствия;
  9. выдача готового документа заявителю;
  10. маркировка СЗИ;
  11. осуществление инспекционного контроля за сертифицированными товарами уполномоченным органом (центром).

Условия аннулирования сертификата

По результатам контроля действие сертификата может быть приостановлено или аннулировано, если:

  • были внесены изменения в действующее законодательство касаемо требований к СЗИ, методам их испытаний;
  • зафиксировано изменение технологии производства, конструкции, комплектности товара;
  • установлено нарушение требований технологии, контроля и испытаний продукции;
  • выявлено несоответствие сертифицированной продукции действующим стандартам;
  • заявитель отказал в допуске инспекторов на производство.

Условия проведения процедуры

Центр “Севтест” предлагает услуги по сертификации СЗИ в минимальные сроки.

Мы проводим подтверждение соответствия:

  1. защищенности от несанкционированного доступа;
  2. отсутствия недекларированных возможностей;
  3. продуктов ИТ согласно требованиям ГОСТ Р ИСО/МЭК 15408;
  4. программных датчиков случайных чисел по криптографическим и инженерно-криптографическим требованиям;
  5. безопасности технологии разработки и др.

Стоимость процедуры можно узнать у нашего менеджера по телефону +7 (499) 450-38-24 или с помощью формы обратной связи на нашем сайте.

Ссылка на основную публикацию
Adblock
detector