Система сертификации средств защиты информации
ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Скремблеры и |
|
|
|
Генераторы помех |
|
|
Обнаружители |
|
|
|
Фильтры |
||||||||||||
маскираторы |
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Комбинированные |
|
|
|
|
|
|
|
|
|
|
|
Диктофонов |
|
|
На слаботочные |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
линии |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
НЧ-генераторы |
|
ВЧ-генераторы |
|
|
|
|
|
|
Посторонних |
|
|
|
Íà ñåòü |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
электропитания |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
подключений к |
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ТЛФ линиям |
|
|
|
|
|
|
|
|
|
Акустических |
|
|
|
Широкополосной |
|
|
|
|
|
|
|
|
На ТФ-линии |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
помех |
|
|
|
помехи |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ÎÒÑÑ è ÂÒÑÑ â |
|
|
|
Комбинированные |
|||
|
|
Вибрационных |
|
|
|
Сосредоточенной |
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
защищ¸нном |
|
|
|
|
|
|
|||||||
|
|
помех |
|
|
|
помехи |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
исполнении |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
Помех по сети |
|
|
|
Подавители |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
электропитания |
|
|
|
диктофонов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 3 Классификация технических средств защиты информации
Под системой сертификации в области защиты информации понимается система, располагающая собствен" ными правилами процедуры и управления для проведения сертификации соответствия в области защиты информации Сертификацией соответствия в области защиты информации называют действие органа по сертифика"
ции или другого органа (лица) по его поручению, доказывающее, что обеспечивается необходимая уверен" ность в том, что должным образом идентифицированные защищенные изделия, технические средства и способы защиты информации соответствуют конкретному стандарту или другому нормативному докумен" ту.
Межведомственная комиссия по защите государственной тайны разработала общие положения о сертифи кации средств защиты информации, рассмотрение и согласование Положений о конкретных системах серти фикаций и перечней средств защиты информации, подлежащих сертификации в данной системе, а так же требований, которым эти средства должны удовлетворять.
Сформированные системы обязательной сертификации средств защиты информации предусматривают сер тификацию технических, программно технических, программных средств, систем, сетей вычислительной тех ники как законченной научно технической продукции, предназначенной для обработки, передачи и хране ния информации с ограниченным доступом, средств защиты и контроля эффективности защиты информации, аттестацию автоматизированных систем различного уровня, телекоммуникационных систем и других объек тов защиты. Они призваны обеспечить потребителю средств защиты информации безопасную обработку любой информации с ограниченным доступом.
Сертифицированные средства защиты информации должны иметь сертификат" документ , выдаваемый в соответствии с правилами сертификации, указывающий, что обеспечивается необходимая уверенность в том, что должным образом идентифицированные защищенные изделия, технические средства и способы защиты информации соответствуют конкретному стандарту или другому нормативному документу.
3.Сертификация средств защиты информации
Всоответствии с Положением на систему сертификации средств защиты информации возложены следующие организационные и технические задачи (рис. 4):
16A.6
Система сертификации средств защиты информации
Технические задачи системы сертификации
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
При определении |
|
|
|
|
|
|
 õîäå |
|
возможности |
|
 õîäå |
|
|
|||||
государственных испытаний |
|
использования |
|
|
|
||||||
|
|
аттестации объекта |
|
|
|||||||
при принятии образца ВВТ |
|
серийноизготовляемых СЗИ |
|
|
|
||||||
|
|
информатики |
|
|
|||||||
на вооружение |
|
на объектах информатики |
|
|
|
||||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
проверка фактических |
|
проверка фактических |
|
получение исходных данных |
||||||||
|
значений, оцениваемых |
|
||||||||||
значений, оцениваемых |
|
|
для оценки эффективности |
|||||||||
|
показателей эффективност и |
|
||||||||||
показателей эффективност и |
|
|
защиты информации |
|||||||||
|
защиты технических |
|
||||||||||
защиты требованиям |
|
|
обрабатываемой на |
|||||||||
|
средств требованиям норм |
|
||||||||||
ÒÒÇ è ÒÓ |
|
|
|
аттестуемом объекте |
||||||||
|
|
|
по защите от ИТР |
|
|
|||||||
(методы контроля) |
|
|
|
|
(методы оценки) |
|||||||
|
|
(методы контроля) |
|
|||||||||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Требования ТТЗ и ТУ |
|
|
Нормы эффективости защиты |
|
|||||||
|
|
|
информации от ИТР |
|
||||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Нормативные документы на соответствие которым проводиться сертификация
Рис.4 Технические задачи системы сертификации
К организационным задачам системы сертификации относятся:
1.Разработка правил и процедур проведения сертификации средств защиты информации и их систем качества.
2.Разработка правил и процедур аккредитации органов по сертификации, испытательных лабораторий, учебных подразделений по подготовке экспертов, аттестации экспертов.
3.Проведение работ по сертификации средств защиты информации и их систем качества.
4.Организация взаимодействия с другими системами сертификации и заинтересованными организациями
по вопросам сертификации.
Исходя из задач возложенных на систему сертификации средств защиты информации по требования безо пасности, сертификации подлежат все технические средства защиты информации от утечки по техническим каналам, включая средства контроля защиты информации, основные и вспомогательные технические сред ства и системы, использующиеся в процессе обработки информации, содержащей государственную тайну.
По своему функциональному предназначению ТЗИ сертифицируются, в основном, в системах обязательной и добровольной сертификации Госстандарта РФ на соответствие требованиям пожарной безопасности, поме хозащищённости, электромагнитной совместимости технических средств и т.д. Однако при использовании ТЗИ на объектах обрабатывающих сведения содержащих государственную тайну, обязательным является про ведение сертификационных испытаний в системах сертификации средств защиты информации по требова ниям безопасности информации. Применение ТЗИ без наличия сертификата соответствия по требованиям безопасности информации на объектах информатики запрещено.
Кроме этого во время своего функционирования по прямому предназначению, ТЗИ образуют технические каналы утечки информации из помещений, в которых она установлена. Разрабатываемые в последнее время ТЗИ используют новые физические принципы функционирования. Это приводит к тому, что появляются не характерные для них новые технические каналы утечки, обладающие опасными с точки зрения защиты ин формации свойствами. Некоторые из них являются неприемлемыми при использовании ТЗИ на объектах ин форматики, например, акустоэлектрические преобразования, большой энергетический и частотный спектр сигналов и т.д. Осложняет положение то, что большинство ТЗИ, являются случайными антеннами с сосредо точенными параметрами. Они подключаются соединительными кабелями, которые в то же время являются случайными антеннами с распределёнными параметрами, и имеют выход по электрическим цепям за преде лы контролируемых зон.
16A.7
Система сертификации средств защиты информации
4. Сертификационные испытания
Вся техника защиты информации, применяемая на объектах информатики, должна иметь сертификат соот ветствия системы сертификации средств защиты информации по требованиям безопасности информации или их сертификация должна проводиться перед аттестацией объекта. Сертификация ТЗИ проводиться путём про ведения сертификационных испытаний.
Сертификационные испытания – контрольные испытания продукции, проводимые с целью установления характеристик её свойств национальным и (или) международным нормативно"техническим документам. Орган по сертификации анализирует результаты испытаний и организует проведение экспертизы результа тов испытаний экспертной комиссией. При соответствии результатов испытаний требованиям нормативных документов по защите информации орган по сертификации оформляет, регистрирует и выдаёт сертификат. Сертификационные испытания ТЗИ проводятся на соответствие нормам эффективности защиты информации, обрабатываемой техническими средствами и циркулирующей в помещениях от технических разведок или на соответствие ТУ на разработку таких средств . При этом такие технические средства, как системы видионаб людения, должны проходить испытания на соответствие нормам эффективности защиты информации прак тически от всех основных видов технических разведок.
Порядок проведения сертификационных испытаний ТЗИ с указанием исполнительного органа по сертифика ции и испытательной лаборатории, схемы проведения сертификации, стандартов и других нормативно мето дических документов, на соответствие которым должна проводиться сертификация, определяется Федераль ным органом по сертификации.
Целями сертификационных испытаний ТЗИ являются:
1.Проверка фактических значений, оцениваемых показателей эффективности защиты технических средств требованиям норм по защите информации от иностранных технических разведок в зависимости от усло вий расположения объекта, на котором планируется установить ТЗИ, степени конфиденциальности об рабатываемой на объекте информации и возможностей аппаратуры перехвата.
2.Получение исходных данных для оценки эффективности защиты информации в комплексных техничес ких системах и на объектах.
3.Получения исходных данных для выдачи сертификата соответствия.
4.Выработки рекомендаций об улучшении технических характеристик образца ТЗИ и способах его исполь зования на объекте.
5.Выработки рекомендаций по обеспечению защиты информации, обрабатываемой на объекте.
5.Последовательность действий заявителя при сертификации ТЗИ по требованиям безопасности информации
Последовательность сертификации ТЗИ определяется Госстандартами РФ и системой сертификации, где она проводиться, и представлена на рис. 5.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Производитель |
|
|
|
|
|
|
|
Заявка на |
|
|
|
|
|
Федеральный орган по |
|
|
1 .С ертификат |
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
сертификацию |
|
|
|
|
|
сертификации СЗИ |
|
|
2 .С ертификационная лицензия на применение |
|
|||||||||||||||||
|
|
|
|
ТЗИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
знака соответствия |
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 .А ттестат производства сертифицируемого ТЗИ |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
.Схема сертификации |
Решение |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
1 |
. Реш ениеФ едерального органа |
|
|
Экспертое |
|
|
|
|
|
|
|
|
||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||
2 |
.Договор по оплате |
|
|
|
|
|
|
|
|
|
|
|
|
2 |
.Документы на соответствие которых будет проводиться сертификация |
|||||||||||||||||||
|
|
|
|
|
|
|
|
|
заключение |
|
|
|||||||||||||||||||||||
3 |
.Техническая документация |
|
|
|
|
|
|
3 |
.И спы тательная лаборатория, где будет проводиться сертификация |
|||||||||||||||||||||||||
4 |
.О бразцы изделия |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
4 |
.Орган сертификации , где будет проводиться экспертиза |
||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Орган по |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
сертификации |
|
|
|
|
|
|
О пределяет схему сертификации |
|
Офоромление протокола и заключения |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
И спы тательная лаборатория
1 |
.П роизводитО пределяето борсхемуобразцовсертификации |
|
|
|
|
|
П роведение сертификационных |
||
2 |
. Разрабатывает программу и м етодику |
|
|
|
|
|
испытаний |
||
сертификационных испытаний |
|
|
||
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Рис. 5 Общая последовательность сертификации ТЗИ по требованиям безопасности информации
16A.8
Система сертификации средств защиты информации
1.Заявитель (изготовитель, продавец) подаёт заявку установленной формы в Федеральный орган по сер тификации, которая рассматривается в срок до 1 месяца.
2.Федеральный орган по сертификации рассматривает и принимает решение о проведении сертифика ции. В котором определяет:
схему сертификации;
нормативные документы, на соответствие которых будет проводиться сертификация;
испытательную лабораторию, где будут проводиться испытания сертифицируемой продукции;
орган по сертификации, проводящий экспертизу материалов сертификации;
сроки проведения проверки (аттестации) производства сертифицируемой продукции;
3.После получения решения, заявитель заключает договор с органом по сертификации и испытательной лабораторией на оплату работ по проведению сертификации, представляет в лабораторию образцы про дукции (отбор образцов производят специалисты испытательной лаборатории), технические условия на неё, паспорт (формуляр) и другую необходимую документацию в двух экземплярах.
4.Испытательная лаборатория после проведения сертификационных испытаний и оформления протокола и технического заключения направляет все материалы по сертификации вместе с представленной зая вителем документацией в орган по сертификации. Копии протоколов предоставляются заявителю и ос таются в испытательной лаборатории, где хранятся в течении срока определённого в системе сертифи кации, но не менее чем срок действия сертификата.
5.Орган по сертификации проводит экспертизу материалов сертификационный испытаний и представлен ной документации на ТЗИ и их соответствие требованиям ГОСТов, нормативно методических и других руководящих документов, готовит экспертное заключение о возможности (или невозможности) выдачи сертификата на ТЗИ и направляет все материалы по сертификации в Федеральный орган.
6.Федеральный орган по сертификации рассматривает полученные материалы и в случае их соответствия требованиям нормативных документов, положительных технического и экспертного заключения, офор мляет сертификат и аттестат производства сертифицированного СЗИ (в случае необходимости) и регис трирует его. Сертификат выдаётся на срок до пяти лет. При несоответствии результатов сертификацион
ных испытаний Федеральный орган по сертификации выдаёт решение об отказе в котором обязан дать мотивированное заключение о причинах отказа. В случае несогласия с решением Федерального органа заявитель имеет право обратиться в апелляционный совет системы (Гостехкомиссия РФ).
Приведённый порядок сертификации ТЗИ по требованиям безопасности информации не является догмой и определяется организационно техническими документами системы, проводящую сертификацию.
Решение о признании и регистрации зарубежных сертификатов по требованиям безопасности информации на импортируемую ТЗИ принимает Федеральный орган по сертификации в установленном порядке. Так же он имеет право при осуществлении признания зарубежных сертификатов требовать проведение испытаний в полном объёме или по некоторым характеристикам для подтверждения соответствия ТЗИ установленным тре бованиям. В любом случае на зарубежное ТЗИ выдаётся сертификат установленного образца.
Таким образом, применение средств защиты информации перекрывает возможные каналы её утечки на объектах информатики. Однако, применение таких средств на объектах, обрабатывающих сведения содержащих государственную тайну, возможно только при наличии сертификата соответствия по тре" бованиям безопасности информации.
16A.9