Уровень контроля определяется выполнением набора требований, предъявляемого
- к составу и содержанию документации
- к содержанию испытаний.
Самый высокий уровень контроля — первый, достаточен для ПО, используемого при защите информации с грифом Особой важности. Использование для оценки сертифицированных средств.
Второй достаточен для ПО, используемого при защите информации с грифом Совершенно секретно. Предъявляются те же требования, что и ко второму, плюс те же требования к документации.
Третий достаточен для ПО, используемого при защите информации с грифом Секретно. Контроль избыточности, особенности функционирования модулей, особенности программного кода.
Самый низкий уровень контроля — четвертый, достаточен для ПО, используемого при защите конфиденциальной ифнормации. Программы должны работать согласно описанию.
Общие критерии.
Полное название ГОСТ Р ИСО/МЭК 15408-1—2002 методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Документ был принят в 2002 году и является переводом международного стандарта ISO/IEC 15408-199 общие критерии. Данный документ был подготовлен международным сообществом в 1999 году на основе нескольких национальных стандартов:
- американский стандарт. Оранжевая книга TCSRC. Взят принцип классификации.
- европейский стандарт BITSEC. Взяты требования доверия и группировка по уровням доверия.
- канадский стандарт
Документ состоит из трех частей:
- введение
- функциональные требования
- требования к доверию.
Функциональные требования определяют требования к функционированию объекта, то есть как и что объект должен делать, какие меры защиты должны быть включены.
Требования к доверию определяет доверие к безопасности. Достижение уверенности, корректности работы функциональных требований.
Ответственным является владелец. Составляется список угроз и контрмер для каждой угрозы. Система должны быть устойчива к атакам, в том числе и к не предусмотренным. Ущерб должен быть минимальным.
Термин "класс" применяется для наиболее общего группирования требований безопасности. Все составляющие класса имеют общую направленность, но различаются по охвату целей безопасности.
Семейство— группа наборов требований безопасности, имеющих общие цели безопасности, но различающихся акцентами или строгостью.
Компонент описывает специфический набор требований безопасности, который является выбираемым набором требований безопасности для включения в структуры.
Документ содержит только требования, но не содержит механизмы реализации.
На основе общих критериев составляются два документа:
- профиль защиты
- задание по безопасности.
Профиль защиты — независимая от реализации совокупность требований безопасности для некоторой категории объекта защиты, отвечающая специфическим запросам потребителя.
Задание по безопасности — совокупность требований безопасности и спецификаций, предназначенная для использований в качестве основы для оценки конкретного объекта защиты.
Обозначение функциональных требований. Первая буква F — функциональное требование, DP — класс "защита данных пользователя" _IFF — семейство"функции управления информационными потоками", 4 — четвертый компонент "частичное устранение неразрешенных информационных потоков", 2 — второй элемент компонента.
СВТ сертифицируют, АС аттестуют.
Сертификацией занимаются:
- ФСТЭК
- мин обороны
- ФСБ.
Основные участники сертификации
- федеральный орган
- центральный орган
- орган по сертификации
- лаборатории для сертификации
- заявители.
Координирующий орган по вопросам сертификации — межведомственная комиссия. Она занимается: согласование стандартов по продукции, участвует в разработке, утверждает перечень средств защиты информации.
Разница сертификации для единичных — испытание, и все, а для серийного производства — еще и последующий контроль
02.04.15
Лицензирование.
Перечень федеральных органов исполнительной власти, осуществляющих лицензирование конкретных видов деятельности.
ФСБ России, ФСЭК России: разработка и производство средств защиты конфиденциальной информации
ФСТЭК России: деятельность по технической защите конфиденциальной информации
ФСБ России: разработка, производство, распространение криптографических средств, информационных систем и телекоммуникационных систем, защищенных с использованием криптографических средств, выполнение работ, оказание услуг в области шифрования информации. Так же занимается негласными средствами получения информации.
При осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации лицензированию подлежат следующие виды работ:
1) разработка
А) защита информации, обработка информации и контроль эффективности технических и программных средств защиты
2) производство
А) защита информации, обработка информации и контроль эффективности технических и программных средств защиты.
В постановлении номер 171 пункты 4 и 6 про ФСЭК , 5 и 7 про ФСБ, причем пункты 4 и 5 для получения лицензии требования, 6 и 7 для лицензиатов (получившие лицензию).
Переоформление лицензии происходит при:
- лицензиат хочет выполнять новые работы
- при намерении осуществлять не по адресу, указанному в лицензии.
Постановление о лицензировании деятельности по технической защите конфиденциальной информации. Номер 79. Особенностью документа является то, что он ориентирован на закон о лицензировании 2001 года.
ФТЭК выдает лицензию бессрочно, ФСБ — на пять лет.
Положение о лицензировании деятельности шифровальных средств. Номер 691.
К шифровальным средствам относятся:
- средства шифрования
- средства имитозащиты
- средства электронной цифровой подписи
- средства кодирования
- средства изготовления ключевых документов
- ключевые документы.
Настоящее положение не распространяется на деятельность по распространению:
- шифровальных средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли
- персональных кредитных карточек
- портативных или мобильных радиотелефонов гражданского назначения
- приемной аппаратуры радиовещания
- специально разработанных и применяемых только для банковских и финансовых операций шифровальных средств
- специально разработанных и применяемых только в составе контрольно-кассовых машин шифровальных средств защиты фискальной памяти
- шифровальных средств, реализующих симметричные криптографические алгоритмы.
Лицензионными требованиями и условиями при распространении шифровальных средств являются:
- выполнение нормативных правовых актов РФ
- выполнение нормативных документов лицензирующего органа
- представление в лицензирующий орган перечня шифровальных средств, используемой при осуществлении лицензируемой деятельности
- ввоз на территорию РФ в порядке, установленном нормативными правовыми актами РФ
- представление в лицензирующий орган по его запросу образцов шифровальных средств иностранного производства
- наличие принадлежащих лицензиату на праве собственности или на ином законном основании сооружений, помещений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности
- обслуживание указанного оборудования в соответствии с регламентом
- использование программ или баз данных третьими лицами на основании договора с правообладателями
- наличие системы поэкземплярного учета шифровальных средств
- установление порядка доступа лиц к конфиденциальной информации, связанной с осуществлением лицензируемой деятельности
- обеспечение безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации, связанной с осуществлением лицензированной деятельности