Сертификация средств защиты информации по уровням доверия

Сертификация средств защиты информации

Действующее законодательство определяет требования к защите информации ограниченного доступа, обрабатываемой в информационных системах. Чтобы гарантировать соблюдение требований регулятора, разработчики предоставляют технические, программные и программно-аппаратные средства защиты информации на сертификационные испытания. При сертификации средствам защиты информации присваивается уровень доверия. Регламентируется уровень доверия приказом ФСТЭК № 55 от 3 апреля 2018 г.

 

В отличие от класса средства защиты информации (СЗИ), уровень доверия зависит не от функциональных возможностей средства, а от того, как разрабатывалось и тестировалось данное СЗИ и каким образом поддерживается информационная безопасность в ходе его эксплуатации. Всего уровней доверия шесть: самый низкий – шестой, а самый высокий – первый. СЗИ 1, 2 и 3 уровня доверия применяются только для защиты информации, относящейся к государственной тайне.

Полный список требований к СЗИ с разными уровнями доверия приведен в приказе ФСТЭК № 76 от 2 июня 2020 г. Предназначен данный список, прежде всего, для разработчиков и производителей средств защиты информации, а также для испытательных лабораторий и органов по сертификации. В него входят требования к разработке и производству СЗИ (например, требования к проектированию архитектуры безопасности, функциональной спецификации и проектированию СЗИ), к проведению испытаний СЗИ (в том числе требования к тестированию и выявлению уязвимостей и недекларируемых возможностей и другие), а также к поддержке безопасности (устранению недостатков и обновлению).

Сертифицировать используемые в информационной системе СЗИ обязательно, если информационную систему можно отнести к одной из следующих категорий:

  • Государственные информационные системы (ГИС)
  • Информационные системы, содержащие сведения, составляющие государственную тайну (ГТ)
  • Информационные системы, содержащие информацию с пометкой «для служебного пользования» (служебная информация).

Для защиты следующих объектов информатизации применение сертифицированных СЗИ носит рекомендательный характер:

  • Автоматизированные системы управления технологическим процессом (АСУ ТП)
  • Информационные системы персональных данных (ИСПДн)
  • Критическая информационная инфраструктура (КИИ)

 

Полученный в ходе сертификации уровень доверия определяет, в информационных системах каких классов и категорий может использоваться данное СЗИ:

 

 

 

Тип информационной системы

Использование СЗИ в зависимости от уровня доверия

1

2

3

4

5

6

Значимые объекты критической информационной инфраструктуры (ЗО КИИ)

-

-

-

ЗО КИИ
1 категории

ЗО КИИ
2 категории

ЗО КИИ
3 категории

Государственные информационные системы (ГИС)

-

-

-

ГИС
1 класса

ГИС
2 класса

ГИС
3 класса

Автоматизированная система управления технологическим процессом (АСУ ТП)

-

-

-

АСУ ТП
1 класса

АСУ ТП
2 класса

АСУ ТП
3 класса

Информационные системы персональных данных (ИСПДн)

-

-

-

ИСПДн
1 уровня

ИСПДн
2 уровня

ИСПДн
3 и 4 уровня

Информационные системы общего пользования (ИСОП)

-

-

-

ИСОП
II класса

-

-

Информационные системы (ИС), содержащие сведения, составляющие государственную тайну

да

да

да

-

-

-

 

Проводить сертификационные испытания на соответствие уровням доверия ФСТЭК России рекомендует в аккредитированных испытательных лабораториях. Испытательная лаборатория обладает ресурсами и специалистами для проведения тестирования функционала СЗИ, проверки на уязвимости и наличие недекларированных возможностей. Полученные результаты предоставляются в орган по сертификации, а затем во ФСТЭК России для оформления сертификатов соответствия.

Сертификация позволяет не только подтвердить соответствие используемых СЗИ требованиям нормативного законодательства, но и значительно упрощает выполнение требований регулятора по построению систем защиты информации информационных систем и их последующую аттестацию.

Использование несертифицированных СЗИ в системах, где применение сертифицированных средств защиты информации является обязательным, может повлечь за собой наказание: от административной ответственности в виде штрафов, налагаемых на организацию, до уголовной ответственности для руководителя.