Система лицензирования и сертификации продукции и услуг по требованиям безопасности информации БОНДАРЕВ ВАЛЕРИЙ ВАСИЛЬЕВИЧ МГТУ им. Н.Э. Баумана
Система лицензирования деятельности в области защиты государственной тайны в части ПД ТР и ТЗИ, а также технической защиты конфиденциальной информации
ИНФОРМАЦИОННЫЕ РЕСУРСЫ ПО КАТЕГОРИЯМ ДОСТУПА ( ФЗ «Об информации, информатизации и защите информации») Открытаяинформация Информация с ограниченным доступом Информация, отнесенная к гостайне Конфиденциальная информация «О перечне сведений, отнесенных к государственной тайне» ( ) « Об утверждении перечня сведений конфиденциального характера» ( ) 1
ЗАКОНОДАТЕЛЬНАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ ГОСТАЙНЫ Федеральный закон от г. 128-ФЗ «О лицензировании отдельных видов деятельности» 2 Закон Российской Федерации 1993 г «О государственной тайне» Закон Российской Федерации 1996 г. 85-ФЗ «О международном информационном обмене» Указ Президента Российской Федерации 1999 г. 212 «Вопросы государственной технической комиссии при Президенте Российской Федерации» Постановление Правительства Российской Федерации 1995 г. 333 «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»
Основные правовые и организационно-распорядительные документы, определяющие организацию, порядок и правила проведения работ по лицензированию деятельности предприятий (учреждений, организаций) Основные правовые и организационно-распорядительные документы, определяющие организацию, порядок и правила проведения работ по лицензированию деятельности предприятий (учреждений, организаций) 3 Закон Российской Федерации 1993 г «О государственной тайне»ПРАВОВЫЕ Постановление Правительства Российской Федерации 1995 г. 333 «О лицен- зировании деятельности предприятий и организаций по проведению работ, свя- занных с использованием сведений составляющих государственную тайну, соз- данием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫЕ Инструкция о порядке проведения специальных экспертиз предприятий, учреждений и организаций на право осуществления мероприятий и (или) ока- зания услуг в области противодействия технической разведке (утверждена председателем Гостехкомиссии России г.) Инструкция о порядке проведения экспертиз предприятий, учреждений и орга- низаций на право получения лицензии в области защиты информации (утвер- ждена председателем Гостехкомиссии России г.) Инструкция о порядке проведения специальных экспертиз по допуску предпри- ятий, учреждений и организаций к проведению работ, связанных с использова- нием сведений, составляющих государственную тайну (утверждена директором ФСБ Российской Федерации г., согласована с первым заместителем председателя Гостехкомиссии России г. и первым заместителем дирек- тора ФАПСИ г.)
ФСБ России, МО РФ, СВР РФ, Гостехкомиссия России свои предприятия по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну на право проведения работ, связанных с созданием средств защиты информации на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны ФСБ России СВР РФ Гостехкомиссия России ФСБ России СВР РФ Гостехкомиссия России ФСБ России СВР РФ ОРГАНЫ, УПОЛНОМОЧЕННЫЕ НА ВЕДЕНИЕ ЛИЦЕНЗИОННОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (Координируется межведомственной комиссией по защите гостайны) 4
РАБОТЫ И УСЛУГИ, ЛИЦЕНЗИРУЕМЫЕ ГОСТЕХКОМИССИЕЙ РОССИИ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ 5 ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части проведения специальных экспертиз) ПРОВЕДЕНИЕ РАБОТ, СВЯЗАННЫХ С СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части технической защиты информации) ОСУЩЕСТВЛЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части противодействия техническим разведкам)
проектирование объектов в защищенном исполнении (автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров) проведение специальных исследований на ПЭМИН технических средств обработки информации контроль защищенности информации, составляющей государственную тайну, аттестация средств и систем на соответствие требованиям по защите информации (АС различного уровня и назначения, систем связи, приема, обработки и передачи данных, систем отображения и размножения; технических средств (систем), не обрабатывающих информацию, составляющей государственную тайну, но размещенные в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров) 1. ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части технической защиты информации) сертификация и сертификационные испытания (технических СЗИ; защищенных ТСОИ; технических средств контроля эффективности мер ЗИ; программных (программно-технических) СЗИ; защищенных программных (программно-технических) СОИ; программных (программно- технических) средств контроля защищенности информации 6
2. ВЫПОЛНЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части противодействия техническим разведкам) 7 Радиоэлектронная ВИДЫ ТЕХНИЧЕСКОЙ РАЗВЕДКИ Сейсмическая Химическая Фотографическая Магнитометрическая Визуальная оптическая Компьютерная Радио Радиотехническая ПЭМИН Радиолокационная видовая Радиолокационная параметрическая Радиотепловая Гидроакустическая Шумовых полей Видовая Параметрическая Сигнальная Звукоподводной связи Акустическая Речевая Сигнальная Оптико- Электронная Лазерных излучений Инфракрасная параметрическая (теплопеленгационная) Визуальная Инфракрасная видовая (тепловизионная ) Телевизионная Радиационная 25 видов
3. ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части проведения специальных экспертиз) проведение специальных экспертиз организаций – соискателей лицензии Гостехкомиссии России на оказание услуг в области защиты государственной тайны (в части технической защиты информации) 8 проведение специальных экспертиз организаций – соискателей лицензии Гостехкомиссии России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия техническим разведкам) проведение специальных экспертиз организаций – соискателей лицензии Гостехкомиссии России на выполнение работ, связанных с созданием средств защиты информации
4. ПРОВЕДЕНИЕ РАБОТ, СВЯЗАННЫХ С СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ Разработка, производство, реализация, установка, монтаж, наладка, испытания, ремонт, сервисное обслуживание: 9 технических средств защиты информации; защищенных технических средств обработки информации технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации защищенных программных (программно-технических) средств обработки информации программных (программно-технических) средств контроля защищенности информации
эксперты учетная карта заявителя, заключение 7 Управление Гостехкомиссии России по федеральному округу экспертная комиссия уведомление лицензия (отказ в выдаче) заявка Организация-соискатель лицензии 1 материалы экспертизы 6 8 Аттестационный центр список аттеста- ционных центров 2 Центральный аппарат Гостехкомиссии России 5 3 договор, экспертиза, документы 10 СХЕМА ЛИЦЕНЗИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в соответствии с Приказом Гостехкомиссии России от г. 312) 4
СОГЛАСОВАНО Ответственный секретарь Межведомственной комиссии по защите государственной тайны В. Гладышев «____» _____________2003 г. УТВЕРЖДАЮ Председатель Государственной технической комиссии при Президенте Российской Федерации С. Григоров «____» ____________ 2003 г. ПРОЕКТ ИНСТРУКЦИЯ по организации и порядку проведения специальных экспертиз организаций при лицензировании деятельности по проведению работ, связанных с созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны (в части противодействия иностранным техническим разведкам и технической защиты информации) 1
Специальные экспертизы организаций - соискателей лицензий Гостехкомиссии России проводятся: 1.Гостехкомиссией России; 2. Управлениями Гостехкомиссии России по федеральным округам; 3. Государственным научно-исследовательским испытательным институтом проблем технической защиты информации Гостехкомиссии России; 4. Отраслевыми аттестационными центрами; 5. Региональными аттестационными центрами. ОСНОВНЫЕ ПОЛОЖЕНИЯ ИНСТРУКЦИИ… 12 Специальные экспертизы проводятся с целью оценки фактической готовности выполнения соискателем следующих требований: 1.Соблюдения законодательства Российской Федерации, государственных стандартов Российской Федерации; В состав экспертных комиссий аттестационных центров могут включаться сотрудники 1.Центрального аппарата Гостехкомиссии России 2.Управлений Гостехкомиссии России по федеральным округам 3.ГНИИИ ПТЗИ.
ОСНОВНЫЕ ПОЛОЖЕНИЯ ИНСТРУКЦИИ… (продолжение) 13 Специальные экспертизы проводятся с целью оценки фактической готовности выполнения соискателем следующих требований: 1.Соблюдения законодательства Российской Федерации, государственных стандартов Российской Федерации 2.Выполнения требований нормативных актов, методических документов, регламентирующих осуществление лицензируемого вида деятельности, издаваемых Гостехкомиссией России 3.Наличия у соискателя лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну (при необходимости) 4.Осуществления лицензируемого вида деятельности специалистами, имеющими высшее или среднее техническое образование по профилю в области защиты информации, либо специалистами, прошедшими переподготовку в области защиты информации 5.Наличия нормативных правовых актов, государственных стандартов, руководящих и нормативно-методических документов, необходимых для обеспечения конкретных работ, мероприятий и (или) услуг в рамках заявленного вида деятельности 6.Наличия производственного, испытательного и контрольно-измерительного оборудования; средств контроля защищенности информации; средств защиты информации, необходимых при выполнении конкретных работ, мероприятий и (или) услуг в рамках заявленного вида деятельности 7.Соответствия контрольно-измерительного и испытательного оборудования, средств контроля защищенности информации и средств защиты информации требованиям законов Российской Федерации «О государственной тайне» 8.Наличия аттестованных по требованиям безопасности информации объектов информатизации, предназначенных для обработки, передачи и хранения информации, содержащей сведения, составляющие государственную тайну, помещений для ведения переговоров, необходимых для осуществления заявленного вида деятельности 9.Наличия документов, подтверждающих права соискателя на собственность, аренду, хозяйственное ведение или оперативное управление производственными помещениями и оборудованием, необходимым для осуществления заявленного вида деятельности
ЗАКОНОДАТЕЛЬНАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Федеральный закон от г. 128-ФЗ «О лицензировании отдельных видов деятельности» 14 Указ Президента Российской Федерации от г. 212 «Вопросы государственной технической комиссии при Президенте Российской Федерации» Постановление Правительства Российской Федерации от г. 135 «О лицензировании отдельных видов деятельности» Постановление Правительства Российской Федерации от г. 290 «О лицензировании деятельности по технической защите конфиденциальной информации» Постановление Правительства Российской Федерации от г. 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»
деятельность по разработке и (или) производству средств защиты конфиденциальной информации ФСБ России Гостехкомиссия России деятельность по технической защите конфиденциальной информации Гостехкомиссия России ОРГАНЫ, УПОЛНОМОЧЕННЫЕ НА ВЕДЕНИЕ ЛИЦЕНЗИОННОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (Федеральный закон от г. 128-ФЗ «О лицензировании отдельных видов деятельности») 15
РАБОТЫ И УСЛУГИ, ЛИЦЕНЗИРУЕМЫЕ ГОСТЕХКОМИССИЕЙ РОССИИ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 16 ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ДЕЯТЕЛЬНОСТЬ ПО РАЗРАБОТКЕ И (ИЛИ) ПРОИЗВОДСТВУ СРЕДСТВ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА (утв. Указом Президента Российской Федерации от 6 марта 1997 г. 188) Персональные данные Персональные данные – сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законом случаях 1717 Тайна следствия и судопроизводства Тайна следствия и судопроизводства Служебная тайна Служебная тайна – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами Профессиональная тайна Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых сообщений, телеграфных и иных сообщений и т.д. Коммерческая тайна Коммерческая тайна – сведения, связанные с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами Сведения Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них.
а) а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации; ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ И УСЛОВИЯ ОСУЩЕСТВЛЕНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 18 б) б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно-методическими документами, утвержденными приказами Государственной технической комиссии при Президенте Российской Федерации; в) в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации; г) г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.
1.Основной вид (виды) деятельности соискателя лицензии (из Устава). 1. Основной вид (виды) деятельности соискателя лицензии (из Устава). ПОЯСНИТЕЛЬНАЯ ЗАПИСКА о подтверждении возможности соискателя лицензии соблюдения лицензионных требований и условий Какие мероприятия и (или) услуги по технической защите конфиденциальной информации предполагает осуществлять (осуществляет) соискатель лицензии. 3. Перечень конфиденциальной информации, подлежащей защите в организации - соискателе лицензии (с учетом положений Указа Президента РФ от 6 марта 1997 года 188). 4. Сведения об объекте (объектах) информатизации, на которых обрабатывается конфиденциальная информация с приложением копий сертификатов (аттестатов по требованиям безопасности информации) на эти объекты. 5. С помощью каких средств осуществляется обработка и защита конфиденциальной информации. 6. Какое программное обеспечение используется для обработки конфиденциальной информации с приложением копий договоров пользователей с правообладателем и сертификатов соответствия по требованиям безопасности. 7. В случае оказания услуг – перечень контрольно-измерительной аппаратуры, средств контроля защищенности информации и объектов с указанием заводских номеров, с приложением договоров аренды (в случае аренды) и копий свидетельств о поверке средств измерений и сертификатов средств контроля защищенности. 8. Перечень нормативной и нормативно-методической литературы, необходимой для осуществления заявляемых видов деятельности
Система сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации
Комплексная система безопасности информации Объекты информатизации Сертификация задачи Аттестация способы Обеспечение объективности оценки состояния объектов Обеспечение уровня гарантии информационной безопасности объектов 1
СООТНОШЕНИЕ ПОНЯТИЙ СЕРТИФИКАЦИИ И АТТЕСТАЦИИСертификация деятельность по подтверждению соответствия СЗИ требованиям безопасности информации. Требования определяются государственными стандартами или иными нормативными документами Аттестация комплекс организационно-технических мероприятий, в результате которых подтверждается, что ОИ соответствует требованиям стандартов или иных нормативных документов по безопасности информации 2
ВЗАИМОСВЯЗЬ СЕРТИФИКАЦИИ И АТТЕСТАЦИИ Похожие формулировки Проверяется соответствие определенных характеристик определенным требованиям, которые установлены НМД Используются в большинстве случаев одни и те же НМД Процессы сертификации и аттестации обеспечивают различные этапы жизненного цикла информационных систем: сертификация связана с этапом производства СЗИ и такой категорией, как продукция, предназначенная для реализации; аттестация - с этапом эксплуатации и такой категорией, как объект информатизации (ОИ.) При аттестации оцениваются как отдельные СЗИ, так и система защиты в целом, включая организационные меры, а также конкретные условия эксплуатации Процессы сертификации и аттестации – самостоятельные процессы, отличающихся процедурами, методологией, объектами и конечными результатами. Различия в аттестации и сертификации Общее в аттестации и сертификации 3
ЗАКОНОДАТЕЛЬНАЯ БАЗА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ Закон Российской Федерации 1993 года «О защите прав потребителей» с изменениями 1996 года 2-ФЗ 4 Федеральный Закон Российской Федерации 2002 года 184-ФЗ «О техническом регулировании» Закон Российской Федерации 1993 года «О государственной тайне» Федеральный Закон 1995 года 24-ФЗ «Об информации, информатизации и защите информации» Постановление Правительства Российской Федерации 1995 года 608 «О сертификации средств защиты информации»
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ МВК по защите гостайны 5 Правительство Российской Федерации Сертификация продукции - деятельность по подтверждению соответствия продукции установленным требованиям ФСБСВР МО РФ ГостехкомиссияРоссии Федеральные органы исполнительной власти
СТРУКТУРА СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ГОСТЕХКОМИССИИ РОССИИ РОСС RU БИ00 6 Уполномоченный федеральный орган исполнительной власти Испытательные лаборатории (71), органы по аттестации объектов информатизации (195) Заявители Гостехкомиссия России Органы по сертификации средств защиты информации Автономная некоммерческая организация Секция «Информационная безопасность» ГНИИИ ПТЗИ НТСЦ «Атомзащитаинформ» Подсистема аттестации ОИ Евро-Азиатская Ассоциация производителей и товаров и в области безопасности
7 «Положение о сертификации средств защиты информации по требованиям безопасности информации» «Положение об аккредитации испытательных лабораторий по сертификации средств защиты информации по требованиям безопасности информации» «Положение по аттестации объектов информатизации по требованиям безопасности информации» ОРГАНИЗАЦИОННЫЕ ДОКУМЕНТЫ СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ГОСТЕХКОМИССИИ РОССИИ
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИЕ СЕРТИФИКАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ 8 средства защиты информации от утечки по техническим каналам, основные и вспомогательные технические средства и системы в защищенном исполнении средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности средства контроля эффективности принятых мер защиты, применения средств защиты информации (технические, программные, программно-технические) программные средства общего назначения со встроенными средствами защиты некриптографические средства защиты информации, передаваемой по сетям электросвязи системы и средства защиты информации, встроенные в средства связи
СХЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ 9 Сертификат или отказ Решение по заявке Заявка на сертификацию Заявитель (производитель, поставщик, пользователь) Гостехкомиссия России (федеральный орган по сертификации) Испытательный центр (лаборатория) Сертификационные испытания Решение по заявке Экспертное заключение, материалы испытаний Техническое заключение, материалы испытаний Сертифицируемая продукция, документация Орган по сертификации
НОРМАТИВНО-ПРАВОВАЯ БАЗА АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим каналам. Постановление Правительства Российской Федерации от г Положение о сертификации средств защиты информации. Постановление Правительства Российской Федерации от г Положение об аттестации объектов информатизации по требованиям безопасности информации. Утверждено приказом Председателя Гостехкомиссии России г. Специальные требования и рекомендации по защите государственной тайны от утечки по техническим каналам. Решение Гостехкомиссии России от г. 55. Специальные требования и рекомендации по защите конфиденциальной информации. Приказ Гостехкомиссии России от г Временные методические указания управлениям Гостехкомиссии России по федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации». Утверждены Председателем Гостехкомиссии России г.
ОБЪЕКТЫ ИНФОРМАТИЗАЦИИ, ПОДЛЕЖАЩИЕ АТТЕСТАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ 11 средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе ИВК, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи.
ОБЪЕКТЫ ИНФОРМАТИЗАЦИИ, ПОДЛЕЖАЩИЕ ОБЯЗАТЕЛЬНОЙ АТТЕСТАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ 12 ОИ, предназначенные для обработки информации, составляющей государственную тайну ОИ, предназначенные для управления экологически опасными объектами ОИ, предназначенные для ведения секретных переговоров
Информация по заявке ПОРЯДОК ПРОВЕДЕНИЯ АТТЕСТАЦИИ Орган по аттестации Региональное управление Гостехкомиссии России Центральный аппарат Гостехкомиссии России Заявитель Копия аттестата Список органов по аттестации Заявка Договор,испытания Материалы ипытаний, согласовани е Аттестат соответствия
ПО ОФОРМЛЕНИЮ МАТЕРИАЛОВ ИСПЫТАНИЙ Протоколы измерений и расчетов должны обеспечивать возможность воспроизведения результатов испытаний контролирующим органом ПО ИЗМЕРЕНИЯМ И РАСЧЕТАМ Используемая контрольно-измерительная аппаратура должна быть поверена, а программы расчета сертифицированы ТРЕБОВАНИЯ МЕТОДИЧЕСКИХ ДОКУМЕНТОВ Допускается применение либо стандартных (действующих) методик, либо согласованных Гостехкомиссией России ТРЕБОВАНИЯ К ПРОВЕДЕНИЮ РАБОТ ПО АТТЕСТАЦИИ 14
СРЕДСТВА ИЗМЕРЕНИЙ: рекомендованные средства измерений или сертифицированные автоматизированные комплексы рекомендованные средства измерений или сертифицированные автоматизированные комплексы сертифицированные средства контроля защищенности от НСД сертифицированные средства контроля защищенности от НСД сертифицированные программы расчета (ПЭМИН, акустика, виброакустика) сертифицированные программы расчета (ПЭМИН, акустика, виброакустика) подбор измерительных антенн подбор измерительных антенн проведение специсследований на ПЭМИН ТСОИ на измерительных площадках проведение специсследований на ПЭМИН ТСОИ на измерительных площадках РЕЗУЛЬТАТЫ ИЗМЕРЕНИЙ И РАСЧЕТОВ: обоснование не обнаружения информативного сигнала обоснование не обнаружения информативного сигнала испытания всего комплекса технических средств в составе ТСОИ испытания всего комплекса технических средств в составе ТСОИ анализ и обоснование полученных результатов измерений и расчетов анализ и обоснование полученных результатов измерений и расчетов ТРЕБОВАНИЯ К ИЗМЕРЕНИЯМ И РАСЧЕТАМ 15
Отсутствие сведений в протоколах испытаний (полное или частичное): об используемой контрольно - измерительной аппаратуре о поверке контрольно-измерительной аппаратуры о параметрах используемых тест-программ о применяемой программе расчета о применяемых измерительных антеннах об используемой схеме измерений По оформлению технических заключений: не содержат анализа угроз и оценки возможных технических каналов утечки отсутствие ссылок на протоколы испытаний отсутствие выводов о возможности оформления аттестата соответствия или их неоднозначность не содержат сведений о размещении объекта относительно иностранных представительств ОСНОВНЫЕ НЕДОСТАТКИ ПО ОФОРМЛЕНИЮ МАТЕРИАЛОВ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ 16
ОСНОВНЫЕ СОСТАВЛЯЮЩИЕ СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ А. Нормативно-методическое обеспечение сертификационных и аттестационных испытаний Б. Техническое и программное обеспечение аттестационных и сертификационных испытаний В. Квалификация сотрудников 17
А. А. НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ СЕРТИФИКАЦИОННЫХ И АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ Специальные требования Руководящие документы Нормы Методики специальных исследований и контроля защищенности Методики АИ ОИ Аттестация ОИ Технические условия Задания по безопасности Профили защиты Методики СИ СЗИ Сертификация СЗИ Положения, Модели 18 Общие требования по сертификации СЗИ и аттестации ОИ
ОСНОВНЫЕ НЕДОСТАТКИ ДЕЙСТВУЮЩЕЙ СИСТЕМЫ НОРМАТИВНО-МЕТОДИЧЕСКОЙ ДОКУМЕНТАЦИИ 19 Общие требования по сертификации СЗИ и аттестации ОИ Сертификация СЗИ ТКУИ НСД Нормативно-методическое обеспечение развито недостаточно полно как по номенклатуре, так и по глубине проработки, используются устаревшие (70-х, 80-х гг.) отраслевые документы. Разработана и сертифицирована лишь малая часть специализированных программных средств обеспечение СИ СЗИ. Отсутствуют типовые методики АИ ОИ Отсутствует система взаимосвязанных документов по всем каналам утечки. Отсутствуют НМД по ЗИ от 4 видов разведки Методики привязаны к методам контроля отдельных каналов утечки информации, нет увязки этих методик с методиками оценки защищенности объекта защиты в целом Отсутствует специализированное техническое и программное обеспечение для проведения СИ СЗИ от 14 видов разведки Отсутствуют методические документы Разработаны нормативные документы общего плана, специализированные отсутствуют Слабо развита база испытательного оборудова- ния и инструментальных средств для проведения испытаний Аттестация ОИ
СЕРТИФИЦИРОВАННЫЕ СРЕДСТВА ИСПЫТАНИЙ СЗИ И КОНТРОЛЯ ЗАЩИЩЕННОСТИ АС Анализаторы исходных текстов программ «АИСТ» 2. Анализаторы уязвимостей средств защиты СВТ от НСД «НКВД , », «РЕВИЗОР 1.0, 2.0» 3. Программа фиксации и контроля исходного состояния программного комплекса «ФИКС 2.0» 4. Эмулятор ПЭВМ «EMU» (Intel x86) 5. Программа поиска информации на дисках «TERRIER» 6.Сетевые сканеры защищенности «ТСП 3и», «NESSUS», «ISS» 7.Анализатор сетевого трафика «АСТРА 1.0» Б. Б. ТЕХНИЧЕСКОЕ И ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ АТТЕСТАЦИОННЫХ И СЕРТИФИКАЦИОННЫХ ИСПЫТАНИЙ
СЕРТИФИЦИРОВАННЫЕ СРЕДСТВА ИЗМЕРЕНИЙ И РАСЧЕТА… Программа оценки и контроля выполнения норм по акустической каналу «БИКАР» 2. Программа управления системой "ШЕПОТ" и расчета оценки защищенности ВП по в/акустическому каналу «АКУСТИКА» 3. Комплекс программных и аппаратных средств для проведения специсследований «ЛЕГЕНДА» 4. Программа расчета показателей защищенности информации объектов ВТ от утечки по каналу ПЭМИ «РОСА» версия Программно-аппаратный комплекс «СИГУРД» и расчета оценки защищенности технических средств по каналу ПЭМИН 6. Программно-аппаратный комплекс «НАВИГАТОР» 7. Многофункциональный комплекс радиомониторинга «АРК-Д1ТИ»
ПОДГОТОВКА ЭКСПЕРТОВ ОРГАНОВ ПО АТТЕСТАЦИИ, СЕРТИФИКАЦИИ И ИСПЫТАТЕЛЬНЫХ ЛАБОРАТОРИЙ 22 Курсы повышения квалификации «Организация проведения аттестационных испытаний» Курсы повышения квалификации «Организация проведения сертификационных испытаний» «Положение о подготовке и аттестации экспертов системы сертификации средств защиты информации по требованиям безопасности информации» В. В. КВАЛИФИКАЦИЯ СОТРУДНИКОВ
Законодательные и нормативные правовые акты по сертификации Законодательные и нормативные правовые акты по защите информации ПЭМИН Руководители органов по сертификации и испытательных лабораторий Общие критерии Общие критерии Недекларирован- ные возможности Недекларирован- ные возможности Защита сетей Защита от НСД Защита от НСД Технические специалисты органов по сертификации и испытательных лабораторий Акустоэлектрический Виброакустический Акустический Акустический средства защиты от утечки по техническим каналам средства защиты от несанкциониро- ванного доступа к информации 23 ПОДГОТОВКА СПЕЦИАЛИСТОВ ОРГАНОВ ПО СЕРТИФИКАЦИИ, ИСПЫТАТЕЛЬНЫХ ЦЕНТРОВ (ЛАБОРАТОРИЙ)
ПЭМИН Нормативно- методические документы по защите информации Законодательные и нормативные правовые акты по защите информации Руководители органов по аттестации Общие критерии Защита сетей Защита от НСД Технические специалисты по защите информации Акустоэлектрический Виброакустический Акустический от утечки по техническим каналам от несанкциониро- ванного доступа к информации ПОДГОТОВКА СПЕЦИАЛИСТОВ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ 24
ПЕРЕЧЕНЬ УЧЕБНЫХ ЦЕНТРОВ ПО ПОДГОТОВКЕ СПЕЦИАЛИСТОВ В ОБЛАСТИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ 25НазваниеАдрестелефон1 ООО ЦБИ Московская обл., г. Юбилейный ЦБИ «Маском» г. Москва , МГТУ им. Баумана (РУНЦ «Безопасность») г. Москва , (факс) 4 РГГУ (факультет ЗИ) г. Москва, ул. Чаянова, д (факс) 5 НУЦ «Информзащита» г. Москва Санкт-Петербургский Филиал «Внедренческий центр» ГУП «АЦ Желдоринформзащита МПС РФ» г. Санкт-Петербург, наб. р. Фонтанки, д. 117, офис (812) (812) Калининградский ГНИЦ г. Калининград, ул. Дм.Донского, д. 1 (0112) МИФИ (факультет информационная безопасность) г. Москва ,