- •Глава 1. Законодательство Российской Федерации по лицензированию и сертификации в области информационной безопасности
- •Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по выявлению электронных
- •Глава 2. Лицензионная и сертификационная деятельности в области защиты информации
- •Глава 3. Органы лицензирования и их полномочия
- •Глава 4. Объекты сертификационной деятельности
- •Глава 5. Органы сертификации и их полномочия
45
Законодательством Российской Федерации
установлено, что средства
защиты информации должны иметь
сертификат, удостоверяющий их
соответствие требованиям по защите
сведений соответствующей степени
секретности [5].
Организация сертификации средств
защиты информации возлагается на
федеральный орган исполнительной
власти, уполномоченный в области
противодействия техническим разведкам
и технической защиты информации,
федеральный орган исполнительной
власти, уполномоченный в области
обеспечения безопасности, и федеральный
орган исполнительной власти, уполномоченный
в области обороны, в соответствии с
функциями, возложенными на них
законодательством Российской Федерации.
Сертификация осуществляется на основании
требований государственных стандартов
Российской Федерации и иных нормативных
документов, утверждаемых Правительством
Российской Федерации. Координация
работ по организации сертификации
средств защиты информации возлагается
на межведомственную комиссию по защите
государственной тайны.
Сертификация — это
форма осуществляемого органом по
сертификации подтверждения соответствия
объектов требованиям технических
регламентов, положениям стандартов,
сводов правил или условиям договоров.
Уполномоченный орган по сертификации
выполняет следующие функции [10]:
осуществляет подтверждение соответствия
объектов добровольного подтверждения
соответствия;
выдает сертификаты соответствия на
объекты, прошедшие добровольную
сертификацию;
предоставляет заявителям право на
применение знака соответствия, если
применение знака соответствия
предусмотрено соответствующей системой
добровольной сертификации;
приостанавливает или прекращает
действие выданных им сертификатов
соответствия.
В интересах организации планомерной
и согласованной деятельности по
сертификации создается система
сертификации, которая представляет
собой совокупность правил выполнения
работ по сертификации, ее участников
и правил функционирования системы
сертификации в целом [10].
Система сертификации средств защиты
информации представляет собой
совокупность участников сертификации,
осуществляющих ее по установленным
правилам (далее именуется — система
сертификации) [18].
В состав участников системы сертификации
входят следующие субъекты:
федеральный орган исполнительной
власти, уполномоченныйГлава 4. Объекты сертификационной деятельности
№ п/п |
Наименование видов деятельности по сертификации (системы) в сфере защиты информации и правовое основание для ее ведения |
Федеральный орган исполнительной власти |
||
ФСБ России |
ФСТЭК |
Минобороны России |
||
1 |
Система сертификации средств защиты информации |
+ |
+ |
+ |
Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации», п.1. |
||||
2 |
Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну |
+ |
|
|
Приказ ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия», п.1.1. |
|
|
||
3 |
Система сертификации средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации |
+ |
|
|
|
Указ Президента Российской Федерации от 11 |
|
|
|
|
августа 2003 г. № 960 «Вопросы Федеральной службы безопасности Российской Федерации», |
|
|
|
|
ст. 9, п.21. |
|
|
|
4 |
Организация в соответствии с законодательством Российской Федерации проведения работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры. |
|
+ |
|
|
Указ Президента Российской Федерации от 16 |
|
|
|
|
августа 2004 г. № 1085 «Вопросы Федеральной |
|
|
|
|
службы по техническому и экспортному |
|
|
|
|
контролю», ст. 8, п.13. |
|
|
|
5 |
Участие в обеспечении контроля за сертификацией и аттестацией автоматизированных систем, используемых в управлении технологическим процессом по уничтожению химического оружия, в том числе автоматизированных линий расснаряжения химических боеприпасов, с учетом требований информационной безопасности. |
|
+ |
|
|
Указ Президента Российской Федерации от 16 |
|
|
|
|
августа 2004 г. № 1085 «Вопросы Федеральной |
|
|
|
|
службы по техническому и экспортному |
|
|
|
|
контролю», ст. 8, п.39. |
|
|
|
6 |
Организация сертификации средств защиты |
+ |
+ |
+ |
|
информации на соответствие требованиям по |
|
|
|
|
защите сведений соответствующей степени |
|
|
|
|
секретности |
|
|
|
|
Закон Российской Федерации от 21 июля 1993 г. |
|
|
|
|
№ 5485-1 «О государственной тайне», ст. 28. |
|
|
|
7 |
Создание системы сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну. |
+ |
|
|
|
Приказ ФСБ России от 13 ноября 1999 г. № 563 «О создании систем сертификации ФСБ России» |
|
|
|
8 |
Создание системы добровольной сертификации специальных технических средств, предназначенных для негласного получения информации. |
+ |
|
|
Приказ ФСБ России от 13 ноября 1999 г. № 563 «О создании систем сертификации ФСБ России» |
|
|
На основании ст. 6.Федерального закона
«О внешней разведке» для
осуществления
своей деятельности Служба внешней
разведки Российской
Федерации может
при собственных лицензировании и
сертификации
приобретать, разрабатывать
(за исключением криптографических
средств
защиты), создавать,
эксплуатировать информационные системы,
системы
связи и системы передачи
данных, а также средства защиты информации
от
утечки по техническим каналам
[7].
Сертификация средств защиты информации
осуществляется на
основании требований
государственных стандартов,
нормативных
документов, утверждаемых
Правительством Российской Федерации
и
федеральными органами по сертификации
в пределах их компетенции.
Координацию работ по
организации сертификации средств
защиты
информации
осуществляет Межведомственная комиссия
по защите
государственной
тайны (далее именуется — Межведомственная
комиссия). В
каждой системе
сертификации разрабатываются и
согласовываются с
Межведомственной
комиссией положение об этой системе
сертификации, а
также перечень
средств защиты информации, подлежащих
сертификации, и
требования, которым
эти средства должны удовлетворять.
ФСТЭК России (ранее — Гостехкомиссия
России) организует в
пределах своей
компетенции, определенной законодательными
и иными
нормативными актами Российской
Федерации деятельность системы
обязательной
сертификации средств защиты информации
№ РОСС
КУ.0001.01БИОО [44].
Современная правовая база функционирования
данной системы
сертификации средств
защиты информации по требованиям
безопасности
информации включает
следующие нормативные правовые
документы:
Закон Российской Федерации «О
государственной тайне»,
Федеральный закон «О техническом
регулировании»,
Федеральный закон «Об информации,
информационных
технологиях
и о защите информации»,
Указ Президента Российской Федерации
от 16 августа 2004 г.
№ 1085 «Вопросы
Федеральной службы по техническому и
экспортному
контролю»,
постановление Правительства Российской
Федерации от 26 июня
1995 г. № 608 «О
сертификации средств защиты информации»,
Правила по проведению сертификации в
Российской Федерации,
49
утвержденные постановлением Госстандарта
России от 10 мая 2000 г. № 26,
Порядок проведения сертификации
продукции в Российской Федерации,
утвержденный постановлением Госстандарта
России от 21 сентября 1994 г. № 15.
На основании перечисленных актов
приказом Председателя Гостехкомиссии
России от 27 октября 1995 г. № 199 было
введено в действие Положение о
сертификации средств защиты информации
по требованиям безопасности информации,
которое в дальнейшем было дополнено в
соответствии с постановлением
Правительства Российской Федерации
от 26 июня 1995 г. № 608.
Данное Положение устанавливает основные
принципы, организационную структуру
системы обязательной сертификации
средств защиты информации, порядок
проведения сертификации этих средств
защиты по требованиям безопасности
информации, а также государственный
контроль и надзор за сертификацией и
сертифицированными средствами защиты
информации.
Под средствами защиты информации
понимаются технические, криптографические,
программные и другие средства,
предназначенные для защиты сведений,
составляющих государственную тайну,
средства, в которых они реализованы, а
также средства контроля эффективности
защиты информации.
Под сертификацией средств защиты
информации по требованиям безопасности
информации (далее — сертификацией) в
данном Положении понимается деятельность
по подтверждению их соответствия
требованиям государственных стандартов
или иных нормативных документов по
защите информации, утвержденных
Государственной технической комиссией
при Президенте Российской Федерации.
В этой системе сертификации обязательной
сертификации подлежат средства, в том
числе иностранного производства,
предназначенные для защиты информации,
составляющей государственную тайну,
и другой информации с ограниченным
доступом, а также средства, использующиеся
в управлении экологически опасными
объектами.
В настоящее время Перечень средств
защиты информации, подлежащих обязательной
сертификации, разрабатывается ФСТЭК
России и согласовывается с Межведомственной
комиссией по защите государственной
тайны. В остальных случаях сертификация
носит добровольный характер (добровольная
сертификация) и осуществляется по
инициативе разработчика, изготовителя
или потребителя средства защиты
информации.
ФСТЭК России в пределах своей компетенции
осуществляет следующие функции:
создает систему сертификации средств
защиты информации и устанавливает
правила проведения сертификации
конкретных видов средств защиты
информации в этой системе;
• организует функционирование системы
сертификации средств защиты информации;
50
определяет перечень средств защиты
информации, подлежащих обязательной
сертификации в данной системе;
устанавливает правила аккредитации и
выдачи лицензий на проведение работ
по сертификации;
организует и финансирует разработку
нормативных и методических документов
системы сертификации средств защиты
информации;
определяет центральный орган системы
сертификации средств защиты информации
(при его необходимости) или выполняет
функции этого органа;
утверждает нормативные документы по
безопасности информации, на соответствие
которым проводится сертификация средств
защиты информации в системе, и методические
документы по проведению сертификационных
испытаний;
аккредитует органы по сертификации и
испытательные центры (лаборатории),
выдает им лицензии на право проведения
определенных видов работ;
ведет государственный реестр участников
и объектов сертификации;
осуществляет государственный контроль
и надзор и устанавливает порядок
инспекционного контроля за соблюдением
правил сертификации и за сертифицированными
средствами защиты информации;
рассматривает апелляции по вопросам
сертификации;
представляет на государственную
регистрацию в Госстандарт России
систему сертификации и знак соответствия;
организует периодическую публикацию
информации о сертификации;
осуществляет взаимодействие с
соответствующими уполномоченными
органами других стран и международных
организаций по вопросам сертификации,
принимает решение о признании
международных и зарубежных сертификатов;
организует подготовку и аттестацию
экспертов-аудиторов;
выдает сертификаты и лицензии на
применение знака соответствия;
приостанавливает либо отменяют действие
выданных сертификатов.
Сертификация отечественных и импортируемых
средств защиты
информации проводится на соответствие
требованиям государственных стандартов
и иных нормативных документов по
безопасности информации, утвержденных
Гостехкомиссией России (в настоящее
время — ФСТЭК России), указываемых в
заявке, программах и методиках испытаний.
Стандарты на методы испытаний являются
обязательными, если в документации на
средства защиты информации в части
проверки технических характеристик,
подлежащих сертификации, установлена
ссылка на этот стандарт.
Данная система сертификации средств
защиты информации по требованиям
безопасности информации включает в
себя и аттестацию
№ п/п |
Средства защиты информации |
1. |
ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ (включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении) |
1.1. |
Средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн, осуществляемого оптическими, оптико-электронны-ми, телевизионными, тепловизионными (инфракрасными), лазерными, фото и другими визуальными средствами съема информации |
1.2. |
Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах, осуществляемого акустическими, гидроакустическими, виброакустическими, лазерными и сейсмическими средствами |
№ п/п |
Средства защиты информации |
1.3. |
Средства защиты информации от перехвата электромагнитных сигналов, возникающих при функционировании объектов защиты, в т.ч. от перехвата побочных электромагнитных излучений и наводок (ПЭМИН), возникающих при работе технических средств обработки информации, осуществляемого магнитометрическими, радио-, радиотехническими и радиолокационными средствами |
1.4. |
Средства защиты информации от перехвата электрических сигналов, распространяющихся в токопроводящих коммуникациях и являющихся причиной электромагнитной наводки за счет побочных электромагнитных излучений технических средств обработки информации или следствием эффекта электроакустического преобразования сигналов вспомогательными техническими средствами и системами |
1.5. |
Средства защиты информации от деятельности радиационной разведки по добыванию сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты |
1.6. |
Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты |
1.7. |
Средства защиты информации от возможности получения сведений магнитометрической разведкой за счет изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты |
2. |
ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА |
2.1. |
Средства пассивной защиты, в том числе:
средства обнаружения нарушителя или нарушающего воздействия; специальные средства для транспортировки и хранения физических носителей информации (кассет стримеров, магнитных и оптических дисков и т. п.) |
2.2. |
Средства защиты от несанкционированного доступа и подделки документов на основе оптико-химических технологий |
3. |
ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ |
3.1. |
Программы, обеспечивающие разграничение доступа к информации по мандатному, дискреционному или многоуровневому принципу (матрица и диспетчер доступа, электронный журнал регистрации доступа пользователей к информации, метки секретности и т. п.) |
3.2. |
Программы идентификации и аутентификации терминалов и пользователей по различным признакам (пароль, дополнительное кодовое слово, биометрические данные и т. п.), в том числе программы повышения достоверности идентификации (аутентификации) |
№ п/п |
Средства защиты информации |
3.3. |
Программы проверки функционирования системы защиты информации от несанкционированного доступа (НСД) |
3.4. |
Программы контроля целостности средств защиты |
3.5. |
Программы защиты различного назначения, в том числе антивирусные программы |
3.6. |
Программы защиты операционных систем ЭВМ (модульная программная интерпретация и т.п.) |
3.7. |
Программы контроля целостности общесистемного и прикладного программного обеспечения |
3.8. |
Программы, сигнализирующие о нарушении использования ресурсов |
3.9. |
Программы уничтожения остаточной информации в запоминающих устройствах (оперативная память, видеопамять и т.п.) после использования |
3.10. |
Программы контроля файловой структуры на внешних запоминающих устройствах и средствах восстановления |
3.11. |
Программы имитации работы системы или ее блокировки при обнаружении фактов НСД |
3.12. |
Программы определения фактов НСД и сигнализации (передачи сообщений) об их обнаружении |
3.13. |
Программы обнаружения и локализации программных закладок |
3.14. |
Программы для проведения испытаний ЭВТ на ПЭМИН, в том числе тестирующие программы обработки результатов измерений |
4. |
ЗАЩИЩЕННЫЕ ПРОГРАММНЫЕ СРЕДСТВА ОБРАБОТКИ ИНФОРМАЦИИ |
4.1. |
Пакеты прикладных программ автоматизированных рабочих мест (АРМ) |
4.2. |
Базы данных вычислительных сетей |
4.3. |
Программные средства автоматизированных систем управления (АСУ) |
4.4. |
Программные средства идентификации изготовителя программного (информационного) продукта, включая средства идентификации авторского права |
5. |
ПРОГРАММНЫЕ СРЕДСТВА ОБЩЕГО НАЗНАЧЕНИЯ |
5.1. |
Операционные системы |
5.2. |
Системы управления базами данных |
5.3. |
Языки программирования |
5.4. |
Средства разработки программного обеспечения |
5.5. |
Редакторы текстовые и графические |
5.6. |
Программные оболочки |
6. |
ПРОГРАММНО-ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ: |
6.1. |
Устройства прерывания программы пользователя при нарушении им правил доступа |
6.2. |
Устройства стирания данных |
6.3. |
Устройства выдачи сигнала тревоги при попытке несанкционированного доступа к информации |
6.4. |
Устройства локализации электронных закладок |
6.5. |
Программно-аппаратные средства разграничения доступа к информации, встроенные в информационные технологии |
54
С этой целью ФСТЭК России обеспечивает
участников сертификации необходимой
информацией о деятельности системы
сертификации, включающей:
перечень средств защиты информации
(их сертифицированных параметров), на
которые выданы сертификаты;
перечень средств защиты информации
(их сертифицированных параметров), на
которые действие сертификатов отменено;
• перечень органов по сертификации
конкретных видов средств защиты
информации;
перечень испытательных центров
(лабораторий); перечень нормативных
документов, на соответствие требованиям
которых проводится сертификация средств
защиты информации, и методических
документов по проведению сертификационных
испытаний.
Информация о приостановлении (отмене)
действия сертификата или аттестата
аккредитации немедленно доводится до
сведения изготовителей, потребителей
средств защиты информации, органов по
сертификации и испытательных центров
(лабораторий).
Основные принципы, организационная
структура системы аттестации объектов
информатизации по требованиям
безопасности информации, правила
проведения, а также другие вопросы
аттестации определяются «Положением
по аттестации объектов информатизации
по требованиям безопасности информации»
[47].
Данное Положение устанавливает основные
принципы, организационную структуру
системы аттестации объектов информатизации
по требованиям безопасности информации,
порядок проведения аттестации, а также
контроля и надзора за аттестацией и
эксплуатацией аттестованных объектов
информатизации.
Положение разработано в соответствии
с законами Российской Федерации «О
сертификации продукции и услуг» и «О
государственной тайне», а также
«Положением о государственной системе
защиты информации в Российской Федерации
от иностранных технических разведок
и от ее утечки по техническим каналам»,
«Положением о государственном
лицензировании деятельности в области
защиты информации», «Положением о
сертификации средств защиты информации
по требованиям безопасности информации»
и «Системой сертификации ГОСТ Р» [48].
Система аттестации объектов информатизации
по требованиям безопасности информации
(далее — система аттестации) является
составной частью единой системы
сертификации средств защиты информации
и аттестации объектов информатизации
по требованиям безопасности информации
и подлежит государственной регистрации
в установленном Госстандартом России
порядке. Деятельность системы аттестации
организует федеральный орган по
сертификации продукции и аттестации
объектов информатизации по требованиям
безопасности информации, которым
является ФСТЭК.
55
Под аттестацией объектов информатизации
понимается комплекс организационно-технических
мероприятий, в результате которых
посредством специального документа —
«Аттестата соответствия» подтверждается,
что объект соответствует требованиям
стандартов или иных нормативно-технических
документов по безопасности информации,
утвержденных Гостехкомиссией России
(в настоящее время — ФСТЭК России).
Наличие на объекте информатизации
действующего «Аттестата соответствия»
дает право обработки информации с
уровнем секретности (конфиденциальности)
и на период времени, установленными в
«Аттестате соответствия».
В интересах исполнения законов Российской
Федерации «О государственной тайне»,
«О сертификации продукции и услуг»
(Федеральным законом от 27 декабря 2002
г. № 184-ФЗ «О техническом регулировании»
настоящий Закон признан утратившим
силу по истечении шести месяцев со дня
официального опубликования названного
Федерального закона), Указа Президента
Российской Федерации от 9 января 1996
года № 21 «О мерах по упорядочению
разработки, производства, реализации,
приобретения в целях продажи, ввоза в
Российскую Федерацию и вывоза за ее
пределы, а также использования специальных
технических средств, предназначенных
для негласного получения информации»
и постановления Правительства Российской
Федерации от 26 июня 1995 года № 608 «О
сертификации средств защиты информации»,
в ФСБ России созданы система сертификации
средств защиты информации по требованиям
безопасности для сведений, составляющих
государственную тайну (система
сертификации СЗИ-ГТ), и система
добровольной сертификации специальных
технических средств, предназначенных
для негласного получения информации
[14, 32, 33].
В ФСБ России аккредитован орган по
сертификации — специальная организация
на выполнение работ по сертификации
средств защиты информации по требованиям
безопасности для сведений, составляющих
государственную тайну [5, 18, 34].
Данный орган по сертификации является
составной частью организационной
структуры системы сертификации СЗИ-ГТ
и выполняет работы по сертификации
следующих видов средств защиты информации
по требованиям безопасности для
сведений, составляющих государственную
тайну [34]:
технические средства защиты
информации, включая средства
контроля эффективности принятых мер
защиты информации;
технические средства и системы в
защищенном исполнении;
технические средства защиты специальных
оперативно-технических мероприятий
(специальных технических средств,
предназначенных для негласного
получения информации);
технические средства защиты информации
от несанкционированного доступа (НСД);
56
программные средства защиты информации
от НСД и программных закладок;
защищенные программные средства
обработки информации;
программно-технические средства защиты
информации;
специальные средства защиты информации
от идентификации личности;
программно-аппаратные средства защиты
от несанкционированного доступа к
системам оперативно-розыскных мероприятий
на линиях связи. Данный орган по
сертификации осуществляет следующие
функции:
рассматривает заявку на сертификацию
и принимает по ней решение;
проводит идентификацию СЗИ-ГТ;
определяет схему проведения сертификации
конкретных СЗИ-ГТ с учетом предложений
заявителя;
участвует в случае необходимости в
отборе образцов СЗИ-ГТ для проведения
сертификационных испытаний;
проводит при необходимости предварительную
проверку производства при серийном
выпуске сертифицируемых СЗИ-ГТ;
разрабатывает предложения по номенклатуре
СЗИ-ГТ, сертифицируемых в системе
сертификации, и представляет их в ФСБ
России;
участвует в работе по совершенствованию
нормативных документов, на соответствие
которым проводится сертификация
СЗИ-ГТ, и методических документов по
проведению сертификационных испытаний;
проводит анализ материалов сертификационных
испытаний СЗИ-
ГТ;
готовит экспертное заключение по
сертификации СЗИ-ГТ; оформляет
сертификаты соответствия и лицензии
(при
добровольной сертификации — разрешения)
на применение знака соответствия и
представляет их в ФСБ России для
регистрации в государственном реестре;
выдает сертификаты соответствия и
лицензии (при добровольной сертификации
— разрешения) на применение знака
соответствия;
ведет перечень сертифицированных
СЗИ-ГТ в своей области аккредитации и
готовит для публикации информацию о
результатах сертификации;
осуществляет инспекционный контроль
за сертифицированными им
СЗИ-ГТ;
хранит документацию, подтверждающую
сертификацию СЗИ-ГТ; принимает решение
о приостановлении либо прекращении
действия
выданных ранее сертификатов и лицензий
(при добровольной сертификации —
разрешений) на применение знака
соответствия в случае нарушения
изготовителем требований стандартов
и иных документов, на соответствие
которым сертифицированы СЗИ-ГТ;
№ п/п |
Наименование средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ |
Примечание |
1. |
ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ И (включая средства контроля эффективности принятых м |
[НФОРМАЦИИ 1ер защиты информации) |
№ п/п |
Наименование средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ |
Примечание |
1.1. |
Средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн |
|
1.2. |
Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах |
|
1.3. |
Средства защиты информации от перехвата электромагнитных сигналов |
в том числе от перехвата побочных электромагнитных излучений и наводок (ПЭМИН), возникающих при работе технических средств регистрации, хранения, обработки и документирования информации |
1.4. |
Средства защиты информации от перехвата электрических сигналов, возникающих в токопроводящих коммуникациях. |
|
1.5. |
Средства защиты информации от деятельности радиационной разведки по получению сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты |
|
1.6. |
Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты |
|
1.7. |
Средства защиты информации от возможности получения сведений магнитометрической разведкой за счет изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты |
|
1.8 |
Технические средства обнаружения и выявления специальных технических средств, предназначенных для негласного получения информации |
т.е. устанавливаемых в конструкциях зданий и объектов (помещения, транспортные средства), инженерно-технических коммуникациях, интерьере, в бытовой технике, в технических средствах регистрации, хранения, обработки и документирования информации, системах связи и на открытой территории |
№ п/п |
Наименование средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ |
Примечание |
2 |
ТЕХНИЧЕСКИЕ СРЕДСТВА И СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ |
|
2.1. |
Средства скремблирования, маскирования или шифрования телематической информации, передаваемой по каналам связи |
|
2.2. |
Аппаратура передачи видеоинформации по оптическому каналу |
|
3. |
ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ СПЕЦИАЛЬНЫХ ОПЕРАТИВНО- ТЕХНИЧЕСКИХ МЕРОПРИЯТИЙ |
т.е. специальных технических средств, предназначенных для негласного получения информации |
4. |
ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА |
|
4.1. |
Средства защиты, в том числе:
средства обнаружения нарушителя или нарушающего воздействия;
|
|
4.2. |
Специальные средства защиты от подделки документов на основе оптико-химических технологий |
|
4.3. |
Специальные пиротехнические средства для транспортировки, хранения и экстренного уничтожения физических носителей информации |
для уничтожения бумаги, фотопленки, аудио- и видеокассет, лазерных дисков |
5. |
ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НСД И ПРОГРАММНЫХ ЗАКЛАДОК |
|
5.1. |
Программы, обеспечивающие разграничение доступа к информации |
|
5.2. |
Программы идентификации и аутентификации |
в том числе программы |
№ п/п |
Наименование средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ |
Примечание |
|
терминалов и пользователей по различным признакам (пароль, дополнительное кодовое слово, биометрические данные и т.п.), |
повышения достоверности идентификации (аутентификации) |
5.3. |
Программы проверки функционирования системы защиты информации и контроля целостности средства защиты от НСД |
|
5.4. |
Программы защиты различного вспомогательного назначения |
в том числе антивирусные программы |
5.5. |
Программы защиты операционных систем ПЭВМ |
модульная программная интерпретация и т.п. |
5.6. |
Программы контроля целостности общесистемного и прикладного программного обеспечения |
|
5.7. |
Программы, сигнализирующие о нарушении использования ресурсов |
|
5.8. |
Программы уничтожения остаточной информации в запоминающих устройствах (оперативная память, видеопамять и т.п.) после завершения ее использования |
|
5.9 |
Программы контроля и восстановления файловой структуры данных |
|
5.10 |
Программы имитации работы системы или ее блокировки при обнаружении фактов НСД |
|
5.11 |
Программы определения фактов НСД и сигнализации (передачи сообщений) об их обнаружении |
|
6. |
ЗАЩИЩЕННЫЕ ПРОГРАММНЫЕ СРЕДСТВА ОБРАБОТКИ ИНФОРМАЦИИ |
|
6.1. |
Пакеты прикладных программ автоматизированных рабочих мест |
|
6.2. |
Базы данных вычислительных сетей |
|
6.3. |
Программные средства автоматизированных систем управления |
|
6.4. |
Программные средства идентификации изготовителя программного (информационного) продукта, включая средства идентификации авторского права |
|
7. |
ПРОГРАММНО-ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ |
|
7.1 |
Программно-технические средства защиты информации от несанкционированного копирования |
|
7.2. |
Программно-технические средства криптографической и стеганографической защиты информации при ее хранении на носителях данных и при передаче по каналам связи |
включая средства маскирования информации |
7.3. |
Программно-технические средства прерывания работы программы пользователя при нарушении им правил доступа |
|
7.4. |
Программно-технические средства стирания данных |
|
7.5. |
Программно-технические средства выдачи сигнала тревоги при попытке несанкционированного доступа к информации |
|
№ п/п |
Наименование средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ |
Примечание |
7.6. |
Программно-технические средства обнаружения и локализации действия программных и программно- технических закладок |
|
8 |
СПЕЦИАЛЬНЫЕ СРЕДСТВА ЗАЩИТЫ ОТ ИДЕНТИФИКАЦИИ ЛИЧНОСТИ |
|
8.1. |
Средства защиты от фонографической экспертизы речевых сигналов |
|
8.2. |
Средства защиты от дактилоскопической экспертизы |
|
9. |
ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К СИСТЕМАМ ОПЕРАТИВНО- РОЗЫСКНЫХ МЕРОПРИЯТИЙ (СОРМ) НА ЛИНИЯХ СВЯЗИ |
|
9.1. |
В проводных системах связи |
|
9.2. |
В сотовых системах связи |
|
Признание сертификатов соответствия
на указанные в таблице 4.3 средства
защиты информации, выданных другими
системами сертификации, осуществляется
в порядке, определяемом ФСБ России и
Межведомственной комиссией по защите
государственной тайны.
Для признания зарубежного сертификата
соответствия заявитель направляет в
ФСБ России заявку на признание
сертификата, копии сертификата
соответствия и протоколов испытаний
(на языке оригинала и русском языке).
ФСБ России определяет необходимый
объем работ по сертификации и орган по
сертификации СЗИ-ГТ для их проведения.
Орган по сертификации извещает заявителя
в срок не позднее одного месяца после
получения указанных документов о
признании сертификата соответствия
или необходимости проведения
сертификационных испытаний. В случае
признания зарубежного сертификата
соответствия орган по сертификации
оформляет и выдает заявителю сертификат
соответствия и лицензию на применение
знака соответствия системы сертификации
СЗИ-ГТ.
Создание системы сертификации средств
криптографической защиты информации
начиналось с подписания Закона Российской
Федерации «О федеральных органах
правительственной связи и информации».
Данный Закон был первым российским
правовым нормативным актом по
лицензированию деятельности и
сертификации в области защиты информации
и дата его принятия — 19 февраля 1996 г. —
является исходной точкой, от которой
необходимо вести отсчет ограничения
прав на занятие предпринимательской
деятельностью в области защиты информации
[50].
Ранее, 15 ноября 1993 г., была зарегистрирована
в Государственном реестре сертификации
Госстандарта России Система сертификации
средств криптографической защиты
информации (Система сертификации СКЗИ)
за № РОСС RU.0001.030001 [31].
62
Система устанавливает правила
сертификации по требованиям безопасности
информации:
шифровальных средств;
систем и комплексов телекоммуникаций
высших органов государственной власти
Российской Федерации;
закрытых систем и комплексов
телекоммуникаций органов государственной
власти субъектов Российской Федерации,
центральных органов федеральной
исполнительной власти, организаций,
предприятий, банков и иных учреждений,
расположенных на территории Российской
Федерации, независимо от их ведомственной
принадлежности и форм собственности;
информационно-телекоммуникационных
систем и баз данных государственных
органов, Центрального банка Российской
Федерации, Внешэкономбанка и их
учреждений, иных государственных
учреждений Российской Федерации.
Перечисленные выше средства, системы
и комплексы именуются далее — продукция.
Система сертификации продукции по
требованиям безопасности информации
создана для обязательной сертификации
средств защиты информации по требованиям
безопасности, действует под управлением
ФСБ России) и является составной частью
системы сертификации продукции в
Российской Федерации.
Под сертификацией продукции по
требованиям безопасности информации
понимается комплекс организационно-технических
мероприятий, в результате которых
посредством специального документа-
сертификата соответствия подтверждается,
что эта продукция соответствует
требованиям следующих документов:
государственных стандартов или иных
нормативных документов, утвержденных
Правительством Российской Федерации
(для продукции, используемой при
обработке, хранении или передаче по
каналам связи информации, содержащей
сведения, составляющие государственную
тайну);
требованиям государственных или
отраслевых стандартов, иных нормативных
документов, утвержденных Правительством
Российской Федерации (для продукции,
используемой при обработке, хранении
или передаче по каналам связи информации,
не содержащей сведения, составляющие
государственную тайну).
При проведении сертификации продукции
подтверждается соответствие ее
требованиям безопасности информации.
Требования безопасности информации,
предъявляемые к продукции, выдаются
ФСБ России только предприятиям, имеющим
лицензию на соответствующий вид
деятельности в области защиты информации.
Система сертификации продукции
базируется на действующих в Российской
Федерации следующих организационных
структурах:
системах стандартизации и фонде
нормативной документации по
63
безопасности информации;
системах аккредитации испытательных
лабораторий (центров).
Основными схемами сертификации продукции
по требованиям безопасности информации
являются:
для единичных образцов продукции —
проведение испытаний этих образцов
по требованиям безопасности информации;
для серийного производства продукции
— проведение типовых испытаний образцов
этой продукции по требованиям
безопасности информации и последующий
контроль за стабильностью характеристик
(параметров) сертифицированных образцов
продукции, определяющих выполнение
требований безопасности информации.
По согласованию с органом по сертификации
могут быть использованы и другие схемы
сертификации.
Учитывая, что Указ Президента Российской
Федерации от 3 апреля 1995 г. № 334 «О мерах
по соблюдению законности в области
разработки, производства, реализации
и эксплуатации шифровальных средств,
а также предоставления услуг в области
шифрования информации» [13] не регулирует
порядок обращения с шифровальными
средствами защиты информации с
ограниченным доступом, не содержащей
сведений, составляющих государственную
тайну, в настоящее время действует
Положение о разработке, производстве,
реализации и эксплуатации шифровальных
(криптографических) средств защиты
информации [35].
Данное положение принято в целях
определения порядка разработки,
производства, реализации и эксплуатации
шифровальных (криптографических)
средств защиты информации с ограниченным
доступом, не содержащей сведений,
составляющих государственную тайну.
Положение регулирует отношения,
возникающие при разработке, производстве,
реализации и эксплуатации шифровальных
(криптографических) средств защиты
информации с ограниченным доступом,
не содержащей сведений, составляющих
государственную тайну, т. е. информации
конфиденциального характера.
Другими нормативными правовыми
документами в области обращения с
криптографическими средствами являются
следующие российские стандарты [40, 41,
42]:
• ГОСТ 28147-89. Системы
обработки информации. Защита
криптографическая. Алгоритм
криптографического преобразования.
Данный стандарт устанавливает единый
алгоритм криптографического преобразования
для систем обработки информации в сетях
ЭВМ, отдельных вычислительных комплексах
и ЭВМ, который определяет правила
шифрования данных и выработки
имитовставки.
Алгоритм криптографического преобразования
предназначен для аппаратной или
программной реализации, удовлетворяет
криптографическим требованиям и по
своим возможностям не накладывает
ограничений на степень секретности
защищаемой информации.
64
Стандарт обязателен для организаций,
предприятий и учреждений, применяющих
криптографическую защиту данных,
хранимых и передаваемых в сетях ЭВМ, в
отдельных вычислительных комплексах
или в ЭВМ.
ГОСТ Р 34.10-2001.
Криптографическая защита информации.
Процессы формирования и проверки
электронной цифровой подписи.
Настоящий стандарт содержит описание
процессов формирования и проверки
электронной цифровой подписи (ЭЦП),
реализуемой с использованием операций
группы точек эллиптической кривой,
определенной над конечным простым
полем.
Стандарт разработан взамен ГОСТ Р
34.10-94. Необходимость разработки настоящего
стандарта вызвана потребностью в
повышении стойкости ЭЦП к несанкционированным
изменениям. Стойкость ЭЦП основывается
на сложности вычисления дискретного
логарифма в группе точек эллиптической
кривой, а также на стойкости используемой
хэш- функции по ГОСТ Р 34.11.
Настоящий стандарт определяет схему
электронной цифровой подписи, процессы
формирования и проверки ее под заданным
сообщением (документом), передаваемым
по незащищенным телекоммуникационным
каналам общего пользования в системах
обработки информации различного
назначения.
Внедрение электронной цифровой подписи
на базе настоящего стандарта повышает
уровень защищенности передаваемых
сообщений от подделок и искажений.
Стандарт рекомендуется использовать
в новых системах обработки информации
различного назначения, а также при
модернизации действующих систем.
ГОСТ Р 34.11-94.
Информационная технология.
Криптографическая защита информации.
Функция хэширования.
Данный стандарт определяет алгоритм
и процедуру вычисления хэш- функции
для любой последовательности двоичных
символов, которые применяются в
криптографических методах обработки
и защиты информации, в том числе для
реализации процедур электронной
цифровой подписи при передаче, обработке
и хранении информации в автоматизированных
системах.
Определенная в настоящем стандарте
функция хэширования используется при
реализации систем электронной цифровой
подписи на базе асимметричного
криптографического алгоритма по ГОСТ
Р 34.10.