ОТК в области защиты информации Выполнила студентка группы И411 Суркова В.М. - презентация

1 ОТК в области защиты информации Выполнила студентка группы И411 Суркова В.М.

2 2 Сертификация средств защиты информации – это комплекс мероприятий по проверке соответствия сертифицируемых средств формальным требованиям по обеспечению безопасности, описанным в нормативных документах.

3 3 Преимущества сертификации: Определенная гарантия качества СЗИ (подтвержденная сертификатом) со стороны государства с точки зрения выполняемых функций по защите. Возможность аттестации информационной системы, в которой используются сертифицированные средства защиты. Гарантия отсутствия программных закладок, заложенных производителем с целью несанкционированного доступа к защищаемым системам. Маркетинговый ход, призванный увеличить привлекательность программного продукта и поднять престиж компании-заявителя, а также повысить доверие потребителя к сертифицируемому продукту.

4 4 Сертификация средств защиты конфиденциальной информации "информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации" ФЗ "Об информации, информатизации и защите информации«, ст.19.2

5 5 "Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации" Положение о сертификации средств защиты информации 608, ст. 1

6 6 Федеральные органы в области защиты информации ФСБ Гостехкомиссия России ФАПСИСВР Министерство обороны Система сертификации СЗИ не создана Органы по сертификации СЗИ Испыта- тельные лаборатории Органы по сертификации СЗИ Испыта- тельные лаборатории Органы по сертификации СЗИ Испыта- тельные лаборатории Система сертификации СЗИ в стадии развертывания Заявители (разработчика, поставщики, пользователи)

7 7 Варианты создания других систем сертификации СЗИ Создание системы добровольной сертификации, заменяющей существующие системы сертификации Создание под эгидой АДЭ системы добровольной сертификации СЗИ по их потребительским свойствам

8 8 Недостатки традиционной системы сертификации СЗИ: Слишком большое число систем сертификации средств защиты информации; Существующие руководящие документы (РД), на соответствие которым происходит проверка СЗИ, уже устарели; Пересертификация; Сертифицировать можно единичный экземпляр или партию; Срок действия сертификата на СЗИ - 3 года (Госстандарт в своих документах указывает, что сертификат считается действующим в пределах срока службы (годности) продукта, на который он выдан)

9 9 Несмотря на существующие недостатки действующей в России системы сертификации средств защиты информации, нет необходимости в создании альтернативных систем.

10 10 Действия по улучшению действующей системы сертификации СЗИ: Гостехкомиссия России приводит свои документы в соответствие с общемировыми стандартами, в частности она адаптирует стандарт ISO/IEC "Критерии оценки безопасности информационных технологий" к российским условиям

11 11 Спасибо за внимание!