Команда > Авторские публикации > 2013 год > Подготовка документации для сертификации ФСТЭК

Подготовка документации для сертификации ФСТЭК

Защита конфиденциальной информации, к которой относятся персональные данные или данные в сфере бизнеса, является на сегодняшний день актуальной как для граждан и хозяйствующих субъектов, так и для государства в целом. Защита информации на уровне организаций является составной частью системы безопасности бизнеса, на уровне государства — составной частью национальной безопасности. Обеспечение сохранности, целостности и конфиденциальности информации является на сегодняшний день обязательным условием при реализации любой деятельности.

Использование защищенных программных средств защиты информации (далее — ПСЗИ) позволяет обеспечить максимальную сохранность, целостность и конфиденциальность информации, сохраняемой на машинных носителях.

Особое внимание уделяется ПСЗИ, которое используется в информационных системах следующих сфер: государственных органов власти; правоохранительных органов; систем банковской и финансово-кредитной деятельности; сетях связи силовых структур и правоохранительных органов; системах автоматизированного управления энергоснабжением и транспортом.

Федеральная служба по техническому и экспортному контролю (далее — ФСТЭК) России является федеральным органом исполнительной власти, который в соответствии с законодательством Российской Федерации организует проведение работ по сертификации средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры.

Сертификация ПСЗИ заключается в проведении сертификационных испытаний и проверок сертифицированными центрами, аккредитованными ФСТЭК, к которым относятся испытательные лаборатории и органы по сертификации.

Процесс сертификации представлен на следующей схеме:

Сертификация

 

Для проверки соответствия ПСЗИ должно пройти процедуру сертификации. Сертификация ФСТЭК выполняется поэтапно:
  • 1 этап. Оформление и подача заявки на проведение сертификации ПСЗИ.
  • 2 этап. Оформление решения на проведение сертификации федеральным органом по сертификации.
  • 3 этап. Заключение договора с Испытательной лабораторией на проведение сертификационных испытаний.
  • 4 этап. Подготовка Испытательной лабораторией перечня исходных данных, предоставляемых Заявителем.
  • 5 этап. Проведение сертификационной лабораторией испытаний ПСЗИ.
  • 6 этап. Оформление Испытательной лабораторией протоколов сертификационных испытаний и технических заключений.
  • 7 этап. Заключение договора о проведении экспертизы результатов сертификационных испытаний в Органе по сертификации для получения экспертного заключения.
  • 8 этап. Экспертиза результатов сертификационных испытаний, оформленная в виде экспертного заключения Органа по сертификации.
  • 9 этап. Оформление сертификата ФСТЭК.

 

К объектам, которые предоставляются на сертификацию ФСТЭК, относятся:
  • антивирусные программы;
  • операционные системы;
  • системы управления базами данных;
  • прикладные информационные системы;
  • межсетевые экраны;
  • электронные системы документооборота и др. 
Сертификация по требованиям ФСТЭК осуществляется на основании требований ГОСТ, нормативных документов, утверждаемых Правительством РФ и Федеральными органами по сертификации в пределах их компетенции.
Как правило, состав технических документов на программные средства, обозначаемый сертифицирующими лабораториями, включает в себя:
  • Спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПСЗИ и документации на программное средство.
  • Описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПСЗИ), логической структуре и среде функционирования ПСЗИ, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПСЗИ.
  • Описание применения (ГОСТ 19.502-78), содержащее сведения о назначении ПСЗИ, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы.
  • Исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПСЗИ.
Сертификация ПСЗИ подразумевает проведение целого ряда испытаний:
  • на соответствие требованиям, связанным с защитой от неразрешенного доступа к информации;
  • на соответствие требованиям Технических условий;
  • на соответствие функциональных возможностей, которые имеются у исследуемого продукта описаниям, указанным в документации на эксплуатацию;
  • на соответствие декларируемой безопасности исследуемого ПСЗИ;
  • на отсутствие возможностей, которые не указаны в документации, и связанные с безопасностью информации;
  • на соответствие требованиям стандартов предприятий, международным стандартам в сфере средств защиты информации;
  • на определение класса защищенности ПСЗИ от несанкционированного доступа.
Определение класса защищенности ПСЗИ от несанкционированного доступа производится в соответствии с Руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». В указанном Руководящем документе выделяется 9 (девять) классов защищенности автоматизированной системы от несанкционированного доступа (далее — НСД), распределенных на 3 (три) группы:
  1. Третья группа: Автоматизированные системы (или АС), в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
  2. Вторая группа: АС, в которых пользователи имеют одинаковые права доступа ко всей информации АС, обрабатываемой и хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
  3. Первая группа: многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
Классы АС характеризуются определенной минимальной совокупностью требований по защите информации и отличаются уровнем конфиденциальности информации, уровнем доступа к конфиденциальной информации и особенностями обработки данных.
При подготовке документации на сертификацию компания-разработчик ПСЗИ должна выбрать соответствующий класс программного средства и в зависимости от него детально описать подсистемы, реализуемых в рамках защиты информации от НСД (в соответствии с Руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»):
  • Подсистема управления доступом;
Подсистема управления доступом должна обеспечивать идентификацию и проверку подлинности субъекта доступа в систему и т. д.
  • Подсистема регистрации и учета;
Подсистема регистрации и учета должна обеспечивать регистрацию даты и времени входа/выхода субъектов доступа в систему/из системы (либо регистрация загрузки/программного останова операционной системы), а также проводиться учет всех защищаемых носителей информации с помощью любой маркировки и с занесением учетных данных в журнал и т. д.
  • Подсистема криптографической защиты;
Подсистема криптографической защиты должна обеспечивать шифрование всей конфиденциальной информации, записываемой на различные носители данных (использование разных криптографических ключей для шифрования информации, принадлежащей различным субъектам доступа, использование сертифицированных средств криптографической защиты и т. д.).
  • Подсистема обеспечения целостности.
Подсистема обеспечения целостности должна обеспечивать целостность и постоянство программной среды (контроль доступа посторонних лиц к АС, тестирование средств защиты информации от НСД, средства восстановления защиты информации от НСД, использование сертифицированных средств защиты информации и т. д.).
В разрезе требований Руководящего документа по каждой из подсистем должны быть описаны алгоритмы функций ПСЗИ, которые определяют реализацию того или иного требования.
Например, в ПСЗИ, определенном как АС класса 3А, в составе Подсистемы регистрации и учета должна быть реализована функция Регистрация и учет выдачи печатных (графических) выходных документов. Если указанное ПСЗИ определяется как АС класса 3Б, функция Регистрация и учет выдачи печатных (графических) выходных документов не является обязательной, в документации на сертификацию описана не будет. При сертификации ПСЗИ, определенном как АС класса 2А, в составе Криптографической подсистемы должна быть реализована функция Шифрование конфиденциальной информации. При определении ПСЗИ классом 2Б функция обязательной не является.
Среди крупнейших компаний-разработчиков программного обеспечения, которые имеют сертификаты ФСТЭК на свои продукты, можно выделить:
  • Microsoft;
  • ESET;
  • Лаборатория Касперского;
  • Dr.Web;
  • Symantec.
Сертификат ФСТЭК признается в Российской Федерации гарантом качества в области защиты информации. В связи с этим сертифицированные ПСЗИ могут быть использованы в государственных структурах и организациях, работающих с персональными данными и предъявляющих повышенные требования к уровню безопасности.
Специалисты Команды Docco имеют опыт разработки технической документации с учетом специализированных требований и оказывают содействие в подготовке ПСЗИ и сопроводительной документации к сертификации ФСТЭК.