Сертификация средств защиты информации по уровням доверия
Действующее законодательство определяет требования к защите информации ограниченного доступа, обрабатываемой в информационных системах. Чтобы гарантировать соблюдение требований регулятора, разработчики предоставляют технические, программные и программно-аппаратные средства защиты информации на сертификационные испытания. При сертификации средствам защиты информации присваивается уровень доверия. Регламентируется уровень доверия приказом ФСТЭК № 55 от 3 апреля 2018 г.
В отличие от класса средства защиты информации (СЗИ), уровень доверия зависит не от функциональных возможностей средства, а от того, как разрабатывалось и тестировалось данное СЗИ и каким образом поддерживается информационная безопасность в ходе его эксплуатации. Всего уровней доверия шесть: самый низкий – шестой, а самый высокий – первый. СЗИ 1, 2 и 3 уровня доверия применяются только для защиты информации, относящейся к государственной тайне.
Полный список требований к СЗИ с разными уровнями доверия приведен в приказе ФСТЭК № 76 от 2 июня 2020 г. Предназначен данный список, прежде всего, для разработчиков и производителей средств защиты информации, а также для испытательных лабораторий и органов по сертификации. В него входят требования к разработке и производству СЗИ (например, требования к проектированию архитектуры безопасности, функциональной спецификации и проектированию СЗИ), к проведению испытаний СЗИ (в том числе требования к тестированию и выявлению уязвимостей и недекларируемых возможностей и другие), а также к поддержке безопасности (устранению недостатков и обновлению).
Сертифицировать используемые в информационной системе СЗИ обязательно, если информационную систему можно отнести к одной из следующих категорий:
- Государственные информационные системы (ГИС)
- Информационные системы, содержащие сведения, составляющие государственную тайну (ГТ)
- Информационные системы, содержащие информацию с пометкой «для служебного пользования» (служебная информация).
Для защиты следующих объектов информатизации применение сертифицированных СЗИ носит рекомендательный характер:
- Автоматизированные системы управления технологическим процессом (АСУ ТП)
- Информационные системы персональных данных (ИСПДн)
- Критическая информационная инфраструктура (КИИ)
Полученный в ходе сертификации уровень доверия определяет, в информационных системах каких классов и категорий может использоваться данное СЗИ:
|
Тип информационной системы |
Использование СЗИ в зависимости от уровня доверия |
|||||
|
1 |
2 |
3 |
4 |
5 |
6 |
|
|
Значимые объекты критической информационной инфраструктуры (ЗО КИИ) |
- |
- |
- |
ЗО КИИ |
ЗО КИИ |
ЗО КИИ |
|
Государственные информационные системы (ГИС) |
- |
- |
- |
ГИС |
ГИС |
ГИС |
|
Автоматизированная система управления технологическим процессом (АСУ ТП) |
- |
- |
- |
АСУ ТП |
АСУ ТП |
АСУ ТП |
|
Информационные системы персональных данных (ИСПДн) |
- |
- |
- |
ИСПДн |
ИСПДн |
ИСПДн |
|
Информационные системы общего пользования (ИСОП) |
- |
- |
- |
ИСОП |
- |
- |
|
Информационные системы (ИС), содержащие сведения, составляющие государственную тайну |
да |
да |
да |
- |
- |
- |
Проводить сертификационные испытания на соответствие уровням доверия ФСТЭК России рекомендует в аккредитированных испытательных лабораториях. Испытательная лаборатория обладает ресурсами и специалистами для проведения тестирования функционала СЗИ, проверки на уязвимости и наличие недекларированных возможностей. Полученные результаты предоставляются в орган по сертификации, а затем во ФСТЭК России для оформления сертификатов соответствия.
Сертификация позволяет не только подтвердить соответствие используемых СЗИ требованиям нормативного законодательства, но и значительно упрощает выполнение требований регулятора по построению систем защиты информации информационных систем и их последующую аттестацию.
Использование несертифицированных СЗИ в системах, где применение сертифицированных средств защиты информации является обязательным, может повлечь за собой наказание: от административной ответственности в виде штрафов, налагаемых на организацию, до уголовной ответственности для руководителя.