Сертификация средств защиты информации по уровням доверия



Действующее законодательство определяет требования к защите информации ограниченного доступа, обрабатываемой в информационных системах. Чтобы гарантировать соблюдение требований регулятора, разработчики предоставляют технические, программные и программно-аппаратные средства защиты информации на сертификационные испытания. При сертификации средствам защиты информации присваивается уровень доверия. Регламентируется уровень доверия приказом ФСТЭК № 55 от 3 апреля 2018 г.

 

В отличие от класса средства защиты информации (СЗИ), уровень доверия зависит не от функциональных возможностей средства, а от того, как разрабатывалось и тестировалось данное СЗИ и каким образом поддерживается информационная безопасность в ходе его эксплуатации. Всего уровней доверия шесть: самый низкий – шестой, а самый высокий – первый. СЗИ 1, 2 и 3 уровня доверия применяются только для защиты информации, относящейся к государственной тайне.

Полный список требований к СЗИ с разными уровнями доверия приведен в приказе ФСТЭК № 76 от 2 июня 2020 г. Предназначен данный список, прежде всего, для разработчиков и производителей средств защиты информации, а также для испытательных лабораторий и органов по сертификации. В него входят требования к разработке и производству СЗИ (например, требования к проектированию архитектуры безопасности, функциональной спецификации и проектированию СЗИ), к проведению испытаний СЗИ (в том числе требования к тестированию и выявлению уязвимостей и недекларируемых возможностей и другие), а также к поддержке безопасности (устранению недостатков и обновлению).

Сертифицировать используемые в информационной системе СЗИ обязательно, если информационную систему можно отнести к одной из следующих категорий:

  • Государственные информационные системы (ГИС)
  • Информационные системы, содержащие сведения, составляющие государственную тайну (ГТ)
  • Информационные системы, содержащие информацию с пометкой «для служебного пользования» (служебная информация).

Для защиты следующих объектов информатизации применение сертифицированных СЗИ носит рекомендательный характер:

  • Автоматизированные системы управления технологическим процессом (АСУ ТП)
  • Информационные системы персональных данных (ИСПДн)
  • Критическая информационная инфраструктура (КИИ)

 

Полученный в ходе сертификации уровень доверия определяет, в информационных системах каких классов и категорий может использоваться данное СЗИ:

 

 

 

Тип информационной системы

Использование СЗИ в зависимости от уровня доверия

1

2

3

4

5

6

Значимые объекты критической информационной инфраструктуры (ЗО КИИ)

-

-

-

ЗО КИИ
1 категории

ЗО КИИ
2 категории

ЗО КИИ
3 категории

Государственные информационные системы (ГИС)

-

-

-

ГИС
1 класса

ГИС
2 класса

ГИС
3 класса

Автоматизированная система управления технологическим процессом (АСУ ТП)

-

-

-

АСУ ТП
1 класса

АСУ ТП
2 класса

АСУ ТП
3 класса

Информационные системы персональных данных (ИСПДн)

-

-

-

ИСПДн
1 уровня

ИСПДн
2 уровня

ИСПДн
3 и 4 уровня

Информационные системы общего пользования (ИСОП)

-

-

-

ИСОП
II класса

-

-

Информационные системы (ИС), содержащие сведения, составляющие государственную тайну

да

да

да

-

-

-

 

Проводить сертификационные испытания на соответствие уровням доверия ФСТЭК России рекомендует в аккредитированных испытательных лабораториях. Испытательная лаборатория обладает ресурсами и специалистами для проведения тестирования функционала СЗИ, проверки на уязвимости и наличие недекларированных возможностей. Полученные результаты предоставляются в орган по сертификации, а затем во ФСТЭК России для оформления сертификатов соответствия.

Сертификация позволяет не только подтвердить соответствие используемых СЗИ требованиям нормативного законодательства, но и значительно упрощает выполнение требований регулятора по построению систем защиты информации информационных систем и их последующую аттестацию.

Использование несертифицированных СЗИ в системах, где применение сертифицированных средств защиты информации является обязательным, может повлечь за собой наказание: от административной ответственности в виде штрафов, налагаемых на организацию, до уголовной ответственности для руководителя.  

 

 

 

 

 

Аттестация объектов информатизации

Как аттестовать информационную систему (ГИС и ИСПДн) на соответствие требованиям регуляторов?

Этап 1: обследование системы

Аттестация – это наиболее распространенная форма оценки эффективности текущего состояния защищенности информационной системы. Ее цель – подтвердить, что система защиты информации (СЗИ) информационной системы соответствует требованиям к безопасности информации, установленным уполномоченным федеральным органом исполнительной власти — ФСТЭК России.

Согласно требованиям регуляторов, государственные информационные системы (ГИС) обязательно должны быть аттестованы по требованиям защиты информации еще до начала эксплуатации. В случае информационных систем, использующих персональные данные (ИСПДн), аттестация носит рекомендательный характер.

По итогам проведенной аттестации информационной системе выдается аттестат соответствия – документ, подтверждающий соответствие системы защиты информации информационной системы требованиям безопасности информации и дающий право обрабатывать конфиденциальную информацию, в том числе, персональные данные. Для ГИС такой аттестат действует в течение всего срока эксплуатации, но с одним условием: система должна оставаться структурно и функционально неизменной. Для ИСПДн аттестат соответствия действует только 3 года и тоже только при структурной и функциональной неизменности информационной системы.

Процесс аттестации условно можно разделить на несколько этапов. На первом этапе проводится обследование, или аудит, информационной системы и состояния процессов обработки и защиты информации в компании. Такое обследование позволяет оценить, соответствует ли текущая организация обработки и защиты информации требованиям законодательства в этой сфере, и собрать исходные данные, необходимые для проведения технического проектирования СЗИ для ИСПДн или ГИС.

Комментирует Евгений Шувалов, руководитель департамента системных решений:

Обследование информационной системы не рекомендуется проводить силами внутренней команды проектировщиков и разработчиков системы. Работы по аудиту ИС обычно проводят компании, имеющие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Аудит начинается с анализа документации, регламентирующей порядок обработки и защиты информации, уже имеющейся в компании-заказчике. Затем аудитор собирает информацию из интервью с сотрудниками компании и заполненных ими опросных листов. Такие работы обычно проводятся по месту размещения головного офиса компании, но могут быть организованы и по телефону или электронной почте.

В ходе обследования также собирается информация о:

  • Программно-аппаратном обеспечении информационной системы

Составляется перечень серверов, рабочих станций и коммуникационного оборудования, входящих в состав ГИС или ИСПДн; собираются сведения о периферийном оборудовании, программном обеспечении, установленном на рабочих станциях и аппаратных конфигурациях серверов и рабочих станций.

  • Топологии информационной системы

Исследуются типы каналов связи, используемые сетевые протоколы и работающие в информационной системе сетевые сервисы; анализируются карта локальной вычислительной сети и схема информационных потоков.

  • Используемых средствах защиты, если они есть

Составляется перечень моделей средств защиты и их производителей, анализируются настройки конфигурации и схема установки СЗИ.  

Нередко при аудите используется наблюдение за ходом реальных процессов, связанных с обеспечением информационной безопасности.

Комментирует Евгений Шувалов, руководитель департамента системных решений:

После сбора и анализа информации о процессах обработки и защиты информации в компании, эксперт-аудитор выделяет критичные с точки зрения обработки персональных данных технологические и бизнес-процессы и оценивает их на степень соответствия требованиям по обработке информации ограниченного доступа.

По итогам обследования разрабатываются рекомендации по доработке локальных нормативных актов, регламентирующих порядок обработки и защиты информации, и реализации необходимых организационных и технических мер защиты ГИС/ИСПДн, среди которых:

  1. Рекомендации по составу и качеству необходимых организационно-технических мероприятий, например, по необходимым изменениям в бизнес-процессах, связанных с обработкой информации ограниченного доступа
  2. Рекомендации, как привести процессы обработки информации ограниченного доступа, в т.ч. ПДн с использованием ИС (ИСПДн/ГИС), в соответствие требованиям нормативных и методических документов по защите информации
  3. Планы мероприятий по реализации требований законодательства РФ в сфере обработки и защиты информации (разрабатываются совместно со специалистами заказчика)

Вся эта информация будет собрана и предоставлена компании-заказчику в Отчете по результатам анализа процессов обработки информации ограниченного доступа и оценки их соответствия требованиям законодательства Российской Федерации, нормативных и методических документов, регламентирующих порядок обработки и защиты информации ограниченного доступа.

После того, как проведен аудит информационной системы, можно переходить к следующему этапу процесса аттестации — разработке модели угроз и модели нарушителя безопасности информации, т.е. описанию существующих угроз, их реалистичности и вероятности, а также возможных последствий. Об этом этапе аттестации читайте в следующей статье серии.

 

Полный список требований к защите информации в ГИС можно найти в приказе ФСТЭК № 17. Он определяет, какие мероприятия нужно провести, чтобы обеспечить защиту информации, содержащейся в ГИС и при этом не относящейся к государственной тайне.

При хранении и обработке данных в ИСПДн, требования к уровню защищенности данных  регулируются Постановлением Правительства РФ №1119 и приказом ФСТЭК №21.