Услуги
Сертификация средств защиты информации по уровням доверия
Действующее законодательство определяет требования к защите информации ограниченного доступа, обрабатываемой в информационных системах. Чтобы гарантировать соблюдение требований регулятора, разработчики предоставляют технические, программные и программно-аппаратные средства защиты информации на сертификационные испытания. При сертификации средствам защиты информации присваивается уровень доверия. Регламентируется уровень доверия приказом ФСТЭК № 55 от 3 апреля 2018 г.
В отличие от класса средства защиты информации (СЗИ), уровень доверия зависит не от функциональных возможностей средства, а от того, как разрабатывалось и тестировалось данное СЗИ и каким образом поддерживается информационная безопасность в ходе его эксплуатации. Всего уровней доверия шесть: самый низкий – шестой, а самый высокий – первый. СЗИ 1, 2 и 3 уровня доверия применяются только для защиты информации, относящейся к государственной тайне.
Полный список требований к СЗИ с разными уровнями доверия приведен в приказе ФСТЭК № 76 от 2 июня 2020 г. Предназначен данный список, прежде всего, для разработчиков и производителей средств защиты информации, а также для испытательных лабораторий и органов по сертификации. В него входят требования к разработке и производству СЗИ (например, требования к проектированию архитектуры безопасности, функциональной спецификации и проектированию СЗИ), к проведению испытаний СЗИ (в том числе требования к тестированию и выявлению уязвимостей и недекларируемых возможностей и другие), а также к поддержке безопасности (устранению недостатков и обновлению).
Сертифицировать используемые в информационной системе СЗИ обязательно, если информационную систему можно отнести к одной из следующих категорий:
- Государственные информационные системы (ГИС)
- Информационные системы, содержащие сведения, составляющие государственную тайну (ГТ)
- Информационные системы, содержащие информацию с пометкой «для служебного пользования» (служебная информация).
Для защиты следующих объектов информатизации применение сертифицированных СЗИ носит рекомендательный характер:
- Автоматизированные системы управления технологическим процессом (АСУ ТП)
- Информационные системы персональных данных (ИСПДн)
- Критическая информационная инфраструктура (КИИ)
Полученный в ходе сертификации уровень доверия определяет, в информационных системах каких классов и категорий может использоваться данное СЗИ:
Тип информационной системы |
Использование СЗИ в зависимости от уровня доверия |
|||||
1 |
2 |
3 |
4 |
5 |
6 |
|
Значимые объекты критической информационной инфраструктуры (ЗО КИИ) |
- |
- |
- |
ЗО КИИ |
ЗО КИИ |
ЗО КИИ |
Государственные информационные системы (ГИС) |
- |
- |
- |
ГИС |
ГИС |
ГИС |
Автоматизированная система управления технологическим процессом (АСУ ТП) |
- |
- |
- |
АСУ ТП |
АСУ ТП |
АСУ ТП |
Информационные системы персональных данных (ИСПДн) |
- |
- |
- |
ИСПДн |
ИСПДн |
ИСПДн |
Информационные системы общего пользования (ИСОП) |
- |
- |
- |
ИСОП |
- |
- |
Информационные системы (ИС), содержащие сведения, составляющие государственную тайну |
да |
да |
да |
- |
- |
- |
Проводить сертификационные испытания на соответствие уровням доверия ФСТЭК России рекомендует в аккредитированных испытательных лабораториях. Испытательная лаборатория обладает ресурсами и специалистами для проведения тестирования функционала СЗИ, проверки на уязвимости и наличие недекларированных возможностей. Полученные результаты предоставляются в орган по сертификации, а затем во ФСТЭК России для оформления сертификатов соответствия.
Сертификация позволяет не только подтвердить соответствие используемых СЗИ требованиям нормативного законодательства, но и значительно упрощает выполнение требований регулятора по построению систем защиты информации информационных систем и их последующую аттестацию.
Использование несертифицированных СЗИ в системах, где применение сертифицированных средств защиты информации является обязательным, может повлечь за собой наказание: от административной ответственности в виде штрафов, налагаемых на организацию, до уголовной ответственности для руководителя.
Аттестация объектов информатизации
Как аттестовать информационную систему (ГИС и ИСПДн) на соответствие требованиям регуляторов?
Этап 1: обследование системы
Аттестация – это наиболее распространенная форма оценки эффективности текущего состояния защищенности информационной системы. Ее цель – подтвердить, что система защиты информации (СЗИ) информационной системы соответствует требованиям к безопасности информации, установленным уполномоченным федеральным органом исполнительной власти — ФСТЭК России.
Согласно требованиям регуляторов, государственные информационные системы (ГИС) обязательно должны быть аттестованы по требованиям защиты информации еще до начала эксплуатации. В случае информационных систем, использующих персональные данные (ИСПДн), аттестация носит рекомендательный характер.
По итогам проведенной аттестации информационной системе выдается аттестат соответствия – документ, подтверждающий соответствие системы защиты информации информационной системы требованиям безопасности информации и дающий право обрабатывать конфиденциальную информацию, в том числе, персональные данные. Для ГИС такой аттестат действует в течение всего срока эксплуатации, но с одним условием: система должна оставаться структурно и функционально неизменной. Для ИСПДн аттестат соответствия действует только 3 года и тоже только при структурной и функциональной неизменности информационной системы.
Процесс аттестации условно можно разделить на несколько этапов. На первом этапе проводится обследование, или аудит, информационной системы и состояния процессов обработки и защиты информации в компании. Такое обследование позволяет оценить, соответствует ли текущая организация обработки и защиты информации требованиям законодательства в этой сфере, и собрать исходные данные, необходимые для проведения технического проектирования СЗИ для ИСПДн или ГИС.
Комментирует Евгений Шувалов, руководитель департамента системных решений:
Обследование информационной системы не рекомендуется проводить силами внутренней команды проектировщиков и разработчиков системы. Работы по аудиту ИС обычно проводят компании, имеющие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Аудит начинается с анализа документации, регламентирующей порядок обработки и защиты информации, уже имеющейся в компании-заказчике. Затем аудитор собирает информацию из интервью с сотрудниками компании и заполненных ими опросных листов. Такие работы обычно проводятся по месту размещения головного офиса компании, но могут быть организованы и по телефону или электронной почте.
В ходе обследования также собирается информация о:
- Программно-аппаратном обеспечении информационной системы
Составляется перечень серверов, рабочих станций и коммуникационного оборудования, входящих в состав ГИС или ИСПДн; собираются сведения о периферийном оборудовании, программном обеспечении, установленном на рабочих станциях и аппаратных конфигурациях серверов и рабочих станций.
- Топологии информационной системы
Исследуются типы каналов связи, используемые сетевые протоколы и работающие в информационной системе сетевые сервисы; анализируются карта локальной вычислительной сети и схема информационных потоков.
- Используемых средствах защиты, если они есть
Составляется перечень моделей средств защиты и их производителей, анализируются настройки конфигурации и схема установки СЗИ.
Нередко при аудите используется наблюдение за ходом реальных процессов, связанных с обеспечением информационной безопасности.
Комментирует Евгений Шувалов, руководитель департамента системных решений:
После сбора и анализа информации о процессах обработки и защиты информации в компании, эксперт-аудитор выделяет критичные с точки зрения обработки персональных данных технологические и бизнес-процессы и оценивает их на степень соответствия требованиям по обработке информации ограниченного доступа.
По итогам обследования разрабатываются рекомендации по доработке локальных нормативных актов, регламентирующих порядок обработки и защиты информации, и реализации необходимых организационных и технических мер защиты ГИС/ИСПДн, среди которых:
- Рекомендации по составу и качеству необходимых организационно-технических мероприятий, например, по необходимым изменениям в бизнес-процессах, связанных с обработкой информации ограниченного доступа
- Рекомендации, как привести процессы обработки информации ограниченного доступа, в т.ч. ПДн с использованием ИС (ИСПДн/ГИС), в соответствие требованиям нормативных и методических документов по защите информации
- Планы мероприятий по реализации требований законодательства РФ в сфере обработки и защиты информации (разрабатываются совместно со специалистами заказчика)
Вся эта информация будет собрана и предоставлена компании-заказчику в Отчете по результатам анализа процессов обработки информации ограниченного доступа и оценки их соответствия требованиям законодательства Российской Федерации, нормативных и методических документов, регламентирующих порядок обработки и защиты информации ограниченного доступа.
После того, как проведен аудит информационной системы, можно переходить к следующему этапу процесса аттестации — разработке модели угроз и модели нарушителя безопасности информации, т.е. описанию существующих угроз, их реалистичности и вероятности, а также возможных последствий. Об этом этапе аттестации читайте в следующей статье серии.
Полный список требований к защите информации в ГИС можно найти в приказе ФСТЭК № 17. Он определяет, какие мероприятия нужно провести, чтобы обеспечить защиту информации, содержащейся в ГИС и при этом не относящейся к государственной тайне.
При хранении и обработке данных в ИСПДн, требования к уровню защищенности данных регулируются Постановлением Правительства РФ №1119 и приказом ФСТЭК №21.