Сертификация средств защиты информации от несанкционированного доступа


Комплексная система безопасности информации на объекте информатизации служит для обеспечения объективности оценки состояния объектов информатизации и обеспечение уровня гарантии информационной безопасности объектов информатизации путем сертификации и аттестации.

Сертификация - деятельность по подтверждению соответствия СЗИ требованиям безопасности информации. Требования определяются государственными стандартами или иными нормативными документами.

Аттестация - это комплекс организационно-технических мероприятий, в результате которых подтверждается, что ОИ соответствует требованиям стандартов или иных нормативных документов по безопасности информации.


Законодательная база сертификации средств защиты информации в Российской Федерации


1. Закон Российской Федерации 1993 года № 5076-1 «О защите прав потребителей».

2. Федеральный закон от 27 декабря 2002г. № 184-ФЗ «О техническом регулировании».

3. Закон Российской Федерации 21 июля 1993г. № 5485-1 «О государственной тайне».

4. Федеральный Закон от 27 июля 2006г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

5. Постановление Правительства Российской Федерации от 26 июня 1995г. №608 «О сертификации средств защиты информации».


Организационные документы системы сертификации средств защиты информации ФСТЭК России


1. Положение о сертификации средств защиты информации по требованиям безопасности информации.

2. Положение об аккредитации испытательных лабораторий по сертификации средств защиты информации по требованиям безопасности информации.

3. Положение по аттестации объектов информатизации по требованиям безопасности информации.

Схемы сертификации могут быть различными: для единичных продуктов, для партии продукции, для серийного производства.


Средства защиты информации, подлежащие сертификации в системе сертификации ФСТЭК России


Сертификации в системе сертификации ФСТЭК России подлежат:

средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;

средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;

средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.

(п.3 Положения о системе сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55).

По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия. Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.

(п.15 Положения о системе сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55).

Требования о необходимости применения сертифицированных средств защиты информации вытекают из пункта 8 статьи 14 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ:

«Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании».

В соответствии с пунктом 3 статьи 7 Федерального закона «О техническом регулировании» от 27 декабря 2002 г. № 184-ФЗ оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.

Кроме того, согласно пункта 3 статьи 19 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ обеспечение безопасности персональных данных достигается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

На интернет-портале Федеральной службы по техническому и экспортному контролю (ФСТЭК России) разделе «Реестр сертифицированных средств защиты информации» на сегодняшний день представлено свыше 1400 сертифицированных средств защиты.


Срок действия сертификата соответствия


Согласно пункту 8 «Положения о сертификации средств защиты информации», утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, срок действия сертификата не может превышать пяти лет.

Пункт 3.4.1. «Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия», утвержденного приказом ФСБ России от 13 ноября 1999 г. № 564 также устанавливает срок действия сертификата не более чем на пять лет.

Согласно Пункт 14. «Положения о системе сертификации средств защиты информации», утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55, срок действия сертификата соответствия также не может превышать пять лет.

Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.

При выборе средств защиты информации следует обращать внимание на Требования к средствам защиты информации от утечки по техническим каналам:

Требования к средствам активной защиты информации от утечки по каналам ПЭМИН с изменениями , утвержденными приказом ФСТЭК России от 05.02.2016 № 04. Утверждены приказом ФСТЭК России от 04.02.2015 № 033 – применяются с 01.04.2015 (зарегистрирован Минюстом России – рег. № 35057 от 02.12.2014);

Требования к средствам активной акустической и вибрационной защиты акустической речевой информации.

Требования к ПЭВМ защищенным от утечки информации по каналам ПЭМИН;

Требования к пассивным средствам защиты информации за счет побочных электромагнитных наводок на линии электропитания. Утверждены Приказом ФСТЭК России от 31.09.2015 № 036 – применяются с 01.06.2016 (зарегистрирован Минюстом России – рег. № 39504 от 28.10.2015);

Требования к средствам защиты информации от утечки за счет микрофонного эффекта (планируются к утверждению в 2018 году).

Средства активной защиты от утечки по каналам ПЭМИН:

Тип «А» – Средства активной защиты информации от утечки за счет побочных электромагнитных излучений;

Тип «Б» – Средства активной защиты информации от утечки за счет наводок информативного сигнала на проводники, в том числе на цепи заземления и электропитания, токопроводящие линии и инженерно-технические коммуникации, выходящие за пределы контролируемой зоны.

Оба средства предназначены для защиты информации категорий: совершенно секретно, секретно, особой важности и конфиденциальной информации.

Средства активной акустической и вибрационной защиты акустической речевой информации:

Тип «А» – Средства акустической и вибрационной защиты информации с центральным генераторным блоком и подключаемыми к нему по линиям связи пассивными (не содержащими в своей конструкции индивидуальные задающие источники шума, требующие электропитания) преобразователями;

Тип «Б» – Средства акустической и вибрационной защиты информации с активными (содержащими в своей конструкции индивидуальные задающие источники шума преобразователями, питаемыми по линиям вторичного электропитания от центрального блока питания.

Категории защищаемой информации: совершенно секретно, секретно, особой важности и конфиденциальная информация, так же как и у пассивных средств защиты информации за счет побочных электромагнитных наводок на линии электропитания.


Требования к средствам защиты информации от утечки за счет несанкционированного доступа


1. Требования к средствам обнаружения вторжений – утверждены приказом ФСТЭК России от 6 декабря 2011 года №638 – содержит 12 методических документов, содержащих профили защиты систем обнаружения вторжений.

2. Требования к средствам антивирусной защиты - утверждены приказом ФСТЭК России от 20 марта 2012 года №28 –24 методических документов, содержащих профили защиты средств антивирусной защиты.

3. Требования к средствам доверенной загрузки - утверждены приказом ФСТЭК России от 27 сентября 2013 года №119 – содержит 10 методических документов, содержащих профили защиты средств доверенной загрузки.

4. Требования к средствам контроля съемных машинных носителей информации - утверждены приказом ФСТЭК России от 28 июля 2014 года №87 – содержит 10 методических документов, содержащих профили защиты средств контроля съемных МНИ.

5. Требования к межсетевым экранам - утверждены приказом ФСТЭК России от 9 февраля 2016 года №9 – содержит 24 методических документа, содержащих профили защиты межсетевых экранов.

6. Требования безопасности информации к операционным системам - утверждены приказом ФСТЭК России от 19 августа 2016 года №119 – содержит 18 методических документов, содержащих профили защиты операционных систем.

Требования к средствам защиты информации и схемы защиты различаются в зависимости от типа (вида) средств защиты, например, требования к системам обнаружения вторжений отличаются в зависимости от того, какая система обнаружения реализуется: уровня узла или уровня сети.

Требования к средствам антивирусной защиты делятся на четыре группы:

Тип «А» - администрирование;

Тип «Б» - сервера;

Тип «В» - сетевые АРМ;

Тип «Г» - автономные АРМ.

Требования к средствам контроля съемных машинных носителей информации различны для средств контроля подключения СМНИ и средств контроля отчуждения (переноса).

Требования к средствам доверенной загрузки различаются в зависимости от уровня загрузки:

Уровень базовой системы ввода-вывода (BIOS);

Уровень загрузочной записи;

Уровень платы расширения.

Требования к межсетевым экранам устанавливают 5 типов межсетевых экранов:

Типа А - уровня сети;

Типа Б - уровня логических границ сети;

Типа В - уровня узла;

Типа Г - уровня веб-сервера;

Типа Д - уровня промышленной сети (АСУ ТП).

С 1 декабря 2016 г. в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертификация разработанных и (или) производимых межсетевых экранов осуществляется на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.

Допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности информации) в информационных (автоматизированных) системах, созданных до вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Аттестация информационных (автоматизированных) систем после вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21, возможна только в случае применения в них межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.

Требования безопасности информации к операционным системам устанавливают 3 типа операционных систем:

Тип А - общего назначения;

Тип Б – встраиваемая операционная система;

Тип В - операционная система реального времени.

Операционные системы типа «А» устанавливаются на серверы, рабочие станции, телефоны, смартфоны.

Операционные системы типа «Б» характеризует:

Компактность;

Фиксированность состава решаемых задач;

Сложность модификации;

Отсутствие пользовательского интерфейса;

Исполнение в различных аппаратных средах;

Операционные системы типа «Б» используются в сим-картах мобильных операторов и банковских картах.

Операционные системы типа «В» характеризует:

Повышенные требования к отказоустойчивости и надежности;

Приоритизация процессов;

Выполнение определенных процессов строго в установленный интервал времени;

Модульная архитектура;

Повышенные требования к корректности архитектуры и реализации;

Верификация модели и реализации.

Операционные системы типа «В» используются в системах промышленной автоматики, станках с ЧПУ и др.

Требования к средствам защиты информации предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации , заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.


Требования к средствам защиты информации от утечки за счет несанкционированного доступа


Готовы к утверждению и готовятся:


1. Требования к системам управления базами данных

2. Требования к средствам управления потоками информации

3. Требования к средствам идентификации и аутентификации;

4. Требования к средствам управления доступом;

5. Требования к средствам от несанкционированного вывода (ввода) информации (DLP-системам);

6. Требования к средствам контроля и анализа защищенности;

7. Требования к средствам мониторинга событий безопасности (SIEM);

8. Требования к средствам защиты среды виртуализации;

9. Требования к базовым системам ввода-вывода (BIOS).


Контроль отсутствия недекларированных возможностей в средствах защиты информации от утечки за счет несанкционированного доступа, сертифицированных на соответствие новым требованиям к СЗИ


Для программного обеспечения, используемого для защиты информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже:

Первого для СЗИ, используемых для защиты информации с грифом «ОВ»;

Второго для СЗИ, используемых для защиты информации с грифом «CC»;

Третьего для СЗИ, используемые для защиты информации с грифом «C».

Для программного обеспечения, используемого для защиты конфиденциальной информации, должен быть обеспечен уровень контроля не ниже:

Четвертого для СЗИ, используемых для защиты информации в государственных и муниципальных информационных системах 1 и 2 классов;

Четвертого для СЗИ, используемых для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых актуальны угрозы 2-го типа.

Например, для средства защиты информации от несанкционированного доступа «Блокхост-сеть К»: «Настоящий сертификат удостоверяет, что средство защиты информации от несанкционированного доступа «Блокхост-сеть К» является программно-техническим средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России. 1992) - по 3 классу защищенности, «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России. 1999) – по 2 уровню контроля».

В тоже время, сертификат соответствия № 3025 на программное изделие Kaspersky Endpoint Security 10 для Windows на соответствие требованиям к САВЗ 3 класса и сертификат соответствия № 3285 на программно-аппаратный комплекс ViPNet IDS 2.0 на соответствие требованиям к СОВ 4 класса не содержат информации про контроль отсутствия недекларированных возможностей.

Требования по контролю отсутствия недекларированных возможностей, конкретизированы в самих профилях защиты на средства защиты информации.

Для СЗИ 1 класса обеспечивается уровень контроля отсутствия НДВ, требуемый для защиты информации с грифом «ОВ»;

Для СЗИ 2 класса обеспечивается уровень контроля отсутствия НДВ, требуемый для защиты информации с грифом «СС»;

Для СЗИ 3 класса обеспечивается уровень контроля отсутствия НДВ, требуемый для защиты информации с грифом «С»;

Для СЗИ 4 класса обеспечивается уровень контроля отсутствия НДВ, достаточный для защиты конфиденциальной информации.

Требования по контролю отсутствия недекларированных возможностей к средствам защиты информации 5 и 6 классов не предъявляются.

Контроль отсутствия недекларированных возможностей в настоящее время ведется по руководящему документу ФСТЭК России. «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», утвержденному решением председателя Государственной технической комиссии при Президенте Российской Федерации 4 июня 1999 г. № 114. В ближайшее время ожидается принятие его «наследника»- Методики анализа уязвимостей и недекларированных возможностей программного обеспечения.


Порядок обновления сертифицированных средств защиты информации


1. Установка обновлений программного обеспечения средств защиты информации, выпускаемых разработчиками (производителями) средств защиты информации или по их поручению.

2. Получение обновления средства защиты информации.

3. Получение изменений в документацию на средство защиты информации (формуляр, паспорт, инструкции по эксплуатации).

4. При получении обновлений в виде отличном от оригинального дистрибутива (интернет, корпоративные сети, иные открытые сети и т.д.) обязательно проведение процедуры верификации (проверки контрольных сумм).

5. Внесение изменений в организационно-распорядительную документацию.

6. Установка обновления сертифицированного средства защиты информации.

Обновление версии СЗИ в рамках одного сертификата не является основанием для повторной аттестации.

Статьей 13.12 Кодекса об административных правонарушениях установлена ответственность за нарушение правил защиты информации:

Часть 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну) – влечет наложение административного штрафа:

на граждан – в размере от 1,5 до 2,5 тысяч рублей;

на должностных лиц – от 2,5 до 3 тысяч рублей;

на юридических лиц - от 20 до 25 тысяч рублей.

Часть 4. Использование несертифицированных средств защиты информации , предназначенных для защиты информации, составляющей государственную тайну – влечет наложение административного штрафа:

на должностных лиц – от 3 до 4 тысяч рублей;

на юридических лиц - от 20 до 30 тысяч рублей.


Продление срока действия сертификата СЗИ


Вопрос продления срока действия сертификата регулируется информационным сообщением ФСТЭК России по вопросу продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации от 23 января 2015 г. № 240/24/223. В информационном сообщении устанавливается порядок продления сертификата соответствия на СЗИ, эксплуатирующими организациями и образец заявки на продление сертификата соответствия.

В соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» и Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом Гостехкомиссии России от 27 октября 1995 г. № 199, на отдельные экземпляры средств защиты информации, эксплуатируемые на объекте (объектах) информатизации, продление сроков действия сертификатов соответствия может быть обеспечено организацией, эксплуатирующей данные средства защиты, и проведено по упрощенной схеме.

Заявитель на сертификацию средства защиты информации не позднее, чем за 3 месяца до окончания срока действия сертификата соответствия принимает решение о продлении или об отказе в продлении срока действия сертификата соответствия и информирует организации, эксплуатирующие данное средство защиты информации, о принятом решении любым доступным способом, в том числе через официальный сайт заявителя в сети Интернет.

Организация, эксплуатирующая средство защиты информации, до окончания срока действия сертификата соответствия может в инициативном порядке обратиться к заявителю для получения информации о принятом заявителем решении. В случае отказа заявителя в продлении срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, самостоятельно организует продление срока действия данного сертификата соответствия.


Условия продления срока действия сертификата СЗИ


средство защиты информации функционирует с требуемой эффективностью;

в организации имеется в наличии эксплуатационная документация на СЗИ;

в организации имеется в наличии эксплуатационная документация на СЗИ;

своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы защиты информации объекта информатизации, в состав которой входит средство защиты информации.

Для продления срока действия сертификата соответствия организация, эксплуатирующая средство защиты информации, заблаговременно направляет в ФСТЭК России заявку на продление срока действия сертификата соответствия (образец заявки прилагается).



В заявке указывается: дата выдачи и номер сертификата, наименование продукции, на которую выдан сертификат, кем и когда оформлен протокол испытаний. В протоколе испытаний содержатся общие сведения об объекте контроля, сведения о проверке подсистем средства защиты информации, о подсчете контрольных сумм, делаются выводы о проведенном контроле.

В разделе «Общие сведения» приводится описание объекта контроля, где установлено средство ЗИ, назначение объекта, вид и метод контроля, цель контроля, класс защищенности от НСД, применяемые нормативные и руководящие документы.

Информация о средствах защиты от НСД, применяемых на объекте контроля оформляется в виде таблицы:


Наименование

Заводской номер

Знак соответствия

Номер сертификата соответствия

Срок действия сертификата соответствия

Secret Net 7 (пример)


Фиксация и контроль целостности информации и подсчет контрольных сумм производится при помощи специальных программ, сертифицированных ФСТЭК России.


Примеры программ:


Наименование средства

Сертификат соответствия

Назначение средства

«ФИКС» (версия 2.0.1)

№ 913

(действителен
до 01.06.2019)

Программа фиксации и контроля исходного состояния программного комплекса – по 3 уровню НДВ

«Трафарет»

№ 1363

(действителен
до 06.04.2019)

Программа фиксации и контроля исходного состояния программных комплексов – по 2 уровню контроля по НДВ

«ФИКС» (версия 2.0.2)

№ 1548

(действителен
до 15.01.2017)

Программа фиксации и контроля исходного состояния программного комплекса – по 2 уровню НДВ

«Трафарет 2.0»

№ 2031

(действителен
до 03.02.2019)

Программа фиксации и контроля исходного состояния программных комплексов – по 2 уровню контроля по НДВ