ПРАКТИКА ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ В ФОРМЕ
advertisement
ПРАКТИКА ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ В ФОРМЕ СЕРТИФИКАЦИИ (в системе сертификации ФСТЭК для средств защиты информации по требованиям безопасности информации РОСС RU.0001.01БИОО) МОСКВА 2014 СОДЕРЖАНИЕ СОДЕРЖАНИЕ ................................................................................................................................................... 2 1 ПОСТАНОВКА ЗАДАЧИ ........................................................................................................................... 3 2 СЕРТИФИКАЦИЯ В СИСТЕМЕ СЕРТИФИКАЦИИ ФСТЭК ДЛЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ РОСС RU.0001.01БИОО................................................... 8 2.1 Перечень НПА, регламентирующих проведение сертификации ................................................ 8 2.2 Средства защиты информации, подлежащих сертификации ...................................................... 9 2.3 Состав участников процесса сертификации и их основные функции ....................................... 10 2.3.1 Заявитель ............................................................................................................................ 11 2.3.2 Федеральный орган по сертификации средств защиты информации 2.3.3 Испытательная лаборатория ............................................................................................ 12 2.3.4 Орган по сертификации средств защиты информации .................................................. 13 2.4 12 Этапы сертификации ..................................................................................................................... 13 2.4.1 Заявка на сертификацию ................................................................................................... 16 2.4.2 Решение на сертификацию ............................................................................................... 19 2.4.3 Договор на проведение сертификационных испытаний ............................................... 21 2.4.4 Подготовка исходных данных .......................................................................................... 22 2.4.5 Сертификационные испытания ........................................................................................ 24 2.4.6 Оформление результатов сертификационных испытаний ............................................ 26 2.4.7 Договор на проведение экспертизы результатов испытаний ....................................... 27 2.4.8 Экспертиза результатов испытаний ................................................................................. 27 2.4.9 Оформление и выдача сертификата ................................................................................ 28 2.5 Подведение итогов ........................................................................................................................ 32 3 РЕЗЮМЕ ................................................................................................................................................ 34 4 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ИНФОРМАЦИИ (ЛИТЕРАТУРА И ИНТЕРНЕТ-РЕСУРСЫ) 35 5 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ ......................................................................................................... 38 1 ПОСТАНОВКА ЗАДАЧИ Итак, Ваша организация благополучно получила необходимые лицензии ФСТЭК России и / или ФСБ России и создала, если и не революционный, то, как минимум, востребованный рынком или Заказчиком продукт. Можно ли теперь легитимно начать использовать его? Ответ на данный вопрос зависит от формы и вида деятельности организации, в которой предполагается использовать Ваш продукт, а также от состава функций, выполняемых данным ПО. Так откуда берутся дополнительные требования, к какой продукции / выполняемым функциям они предъявляются, зачем они нужны и в чём, собственно говоря, эти требования заключаются? В данной статье рассматривается случай программной реализация средств защиты информации (таких, например, как разграничение доступа, контроль целостности, аутентификация) реализованных, как правило, в составе основного функционала ППО. Есть множество сфер деятельности (работа с персональными данными, государственной тайной, государственными информационными системами), где на законодательном уровне [1]-[13] 1 требуется применение, прошедших в установленном порядке процедуру оценки соответствия, средств защиты информации. Исчерпывающий перечень нормативных актов, требующих проведения оценки соответствия, с указанием предмета регулирования, формы оценки соответствия и субъекта такой оценки, приведён в материале Алексея Лукацкого, бизнес-консультанта по безопасности, Cisco Systems [30] – таковых насчитывается более 50! У некоторых организаций может встать вопрос: почему бы для определения того – требуется сертификация или нет – не отталкиваться от существующего единого перечня продукции, подлежащей обязательной сертификации [13]? Однако тут следует учитывать, что данное Постановление не распространяется на отношения, возникающие при проведении оценки соответствия продукции, требования к которой устанавливаются в соответствии со статьей 5 ФЗ "О техническом регулировании" [1] (смысловая нагрузка выделена жирным шрифтом): 1 В данном перечне присутствует Постановление Правительства Российской Федерации от 15.05. 2010 № 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения" [5]. Документ носит закрытый характер и в свободном доступе отсутствует, однако на него ссылается другой документ из этого перечня - информационное сообщение ФСТЭК России от 04.05.2012 № 240/24/1701 "О работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа" [12]. В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами). Краткое резюме: для средств защиты информации предъявляются дополнительные требования, не исключающие, в том числе, и требований по проведению оценки соответствия. Какие же формы оценки соответствия существуют и аналогичен ли термин "оценка соответствия" термину "сертификация"? ФЗ "О техническом регулировании" [1] определяет следующие формы проведения оценки соответствия: - Государственный контроль и надзор; - Аккредитация; - Испытания; - Регистрация; - Подтверждение соответствия: - Добровольная сертификация; - Декларирование соответствия; - Обязательная сертификация; - Приёмка и ввод в эксплуатацию; - В иной форме. Как видно, сертификация является лишь одним из способов. Так какую форму оценки соответствия необходимо использовать в отношении ПО, разработанного Вашей организацией? Часть НПА указывает конкретно – сертификация, другая часть содержит формулировки более общего характера – оценка соответствия. Существует множество мнений и до сих пор не утихают дискуссии по требуемым (или достаточным) формам проведения оценки соответствия средств защиты информации для той или иной области применения. Данная статья рассматривает лишь одну форму (правда весьма распространённую) оценки соответствия – в виде проведения сертификации. Оставляя, при этом, в стороне вопросы правомочности и необходимости использования именной такой формы оценки. А вообще – какие виды сертификатов существуют, и какой именно сертификат нам требуется? Действительно, имеется множество разновидностей сертификатов. Например: - Сертификат соответствия; - Сертификат происхождения товара; - Гигиенический сертификат; - Сертификат радиационной безопасности; - Фитосанитарный сертификат; - Ветеринарный сертификат; - Сертификат химического состава; - Прочие типы сертификатов. Всех их объединяет одно слово – certificate. Даже не глядя в многочисленные глоссарии, дословно это слово переводится как "свидетельство", "справка", "удостоверение". Сертификат, независимо от области применения, своей сущностью призван что-то перед кем-то подтверждать, удостоверять. Даже в области электронной подписи - сертификат ключа проверки электронной подписи (СКП ЭП) призван удостоверять человека (информационную систему, юридическое лицо) в электронном мире. В отношении средств защиты информации из множества типов сертификатов актуальным является сертификат соответствия. Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров [1]. Система сертификации - совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом [1]. В нашей стране существует множество систем сертификации, как добровольных [29] (в законодательно нерегулируемой области), так и обязательных (в законодательно регулируемой области) - создаваемых только федеральными государственными структурами. Среди них выделяется подмножество систем сертификации средств защиты информации по требованиям безопасности информации 2, представленных в Таблице 1: 2 Три последние системы сертификации (Газпромсерт, ЕВРААС, Ecomex) из представленной таблицы являются негосударственными Таблица 1 - Системы сертификации средств защиты информации по требованиям безопасности информации Регистрационный номер Наименование системы Организация, представившая систему на регистрацию РОСС RU.0001.01БИОО Система сертификации средств защиты информации по требованиям безопасности информации ФСТЭК РОСС RU.0001.01ГШ00 Система сертификации средств защиты информации Министерства обороны Российской Федерации по требованиям безопасности информации МО РФ РОСС RU.0001.030001 Система сертификации средств криптографической защиты информации ФСБ (ФАПСИ) РОСС RU.0003.01БИ00 Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну ФСБ РОСС RU.0001.01СЗ00 Система сертификации средств защиты информации по требованиям безопасности Службы внешней разведки Российской Федерации СВР РОСС RU.З022.04ГО00 Система добровольной сертификации ГАЗПРОМСЕРТ РОСС RU.М089.04ИТ00 Система добровольной сертификации средств информационных технологий по требованиям информационной безопасности (Система "АйТиСертифика") ЕВРААС РОСС RU.З680.04УЭТ0 Система добровольной сертификации услуг электронной торговли "Ecomex" Ecomex Газпромсерт В данной работе будет рассмотрен процесс сертификации в наиболее распространённой системе сертификации средств защиты информации по требованиям безопасности информации РОСС RU.0001.01БИОО (ФСТЭК). Сертификация средств защиты информации в иных системах носит менее распространённый характер 3, а также имеет более урегулированный характер, и в рамках данной работы 3 Реестр ФСТЭК сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 на начало февраля 2014 года содержит 2256 позиций. рассматриваться не будет. Также за рамками данной работы останется процесс сертификации средств криптографической защиты информации. Перечень средств защиты информации, сертифицированных ФСБ России, на ту же дату содержит примерно в 5 раз меньше позиций – 419. 2 СЕРТИФИКАЦИЯ В СИСТЕМЕ СЕРТИФИКАЦИИ ФСТЭК ДЛЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ РОСС RU.0001.01БИОО На данный момент Ваша организация уже получила понимание того, что в отношении рассматриваемого ППО необходимо проведение процедуры сертификации (так как в нём реализуется функционал средств защиты). И не просто сертификации, а конкретно в системе сертификации ФСТЭК для средств защиты информации по требованиям безопасности информации РОСС RU.0001.01БИОО 4. Почему же именно в системе сертификации ФСТЭК (не встаём ли мы в очередь, которая просто короче), уполномочена ли эта служба? Вопрос отнюдь не праздный, так как весьма вероятно, что выделение финансовых и временных ресурсов на данные активности необходимо обосновать руководству Вашей организации. Ответ на этот вопрос даёт Указ Президента РФ "Вопросы Федеральной службы по техническому и экспортному контролю" [9], в котором определено, что ФСТЭК России, помимо прочей деятельности, осуществляет следующие полномочия: "организует в соответствии с законодательством Российской Федерации проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры". Далее будут рассмотрены этапы проведения сертификации, регламентирующие данный процесс документы, состав участников процесса и необходимых для проведения сертификации документов, примерные сроки и стоимость. 2.1 Перечень НПА, регламентирующих проведение сертификации Помимо вышеперечисленных НПА [1]-[13], процесс сертификации регулируется следующими документами: 1) Постановление Госстандарта РФ от 21.09.1994 № 15 "Об утверждении Порядка проведения сертификации продукции в Российской Федерации" [14]; 2) Постановление Госстандарта РФ от 10.05.2000 № 26 "Об утверждении Правил по проведению сертификации в Российской Федерации" [15]; 3) Постановление Госстандарта РФ от 23.08.1999 № 44 "Об утверждении правил по сертификации "Оплата работ по сертификации продукции и услуг" [16]; 4) Постановление Госстандарта РФ от 14.03.1996 № 167 "Об утверждении "Рекомендаций по сертификации. Оплата работ по сертификации продукции и услуг. Р 50.3.001-96" [17]; 5) Федеральный закон от 07.02.1992 № 2300-1 "О защите прав потребителей" [18]; 4 Далее по тексту – сертификация. 6) Положение о сертификации средств защиты информации по требованиям безопасности информации (утв. Приказом Гостехкомиссии РФ от 27.10.1995 № 199) [19]; 7) Инструкция о порядке маркирования сертификатов соответствия, их копий и сертифицированных средств защиты информации (утв. Приказом Гостехкомиссии РФ от 1999 г.) [20]. 2.2 Средства защиты информации, подлежащих сертификации Итак, основными документами в области сертификации являются Постановление Правительства РФ "О сертификации средств защиты информации" [6] и "Положение о сертификации средств защиты информации по требованиям безопасности информации" [19]. "Положение о сертификации средств защиты информации по требованиям безопасности информации" конкретизирует перечень средств защиты информации, подлежащих сертификации. С его помощью организация может окончательно определиться – требуется ли ей сертифицировать своё ПО в системе сертификации ФСТЭК. В рассматриваемом нами случае – механизмы защиты в составе прикладного программного обеспечения – наиболее часто "срабатывающими триггерами" являются следующие категории средств из этого Положения: - Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности; - Программы, обеспечивающие разграничение доступа к информации; - Программы идентификации и аутентификации пользователей и терминалов; - Программы контроля целостности информационных массивов. Прочие категории средств защиты информации (такие, например, как "Антивирусные программы" или "Межсетевые экраны") реализуются, как правило, в виде основного функционала продукта, и как второстепенная функция в разрабатываемом ППО встречаются нечасто. Данные продукты являются основными источниками дохода разработчиков этих решений и, что естественно, процесс сертификации для разработчиков является хорошо изученной активностью в деятельности компании (при условии её присутствия на рынке сертифицированных СЗИ). Из этого следует следующий нюанс: не являясь основным функционалом в ППО, средства защиты часто реализуются "частичным" образом. "Частичность" эта означает, что представляемый на сертификацию функционал часто лишь в определённом объёме соответствует требованиям РД ФСТЭК (например, руководящим документам Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации"). Как быть в таком случае? ФСТЭК России позволяет при соответствии не в полном объёме требованиям к средствам защиты, определённым в своих руководящих документах, проводить сертификацию по "облегчённому варианту" – на соответствие техническим условиям, в которых описывается имеющаяся часть реализованного функционала средства защиты. Однако, по имеющейся информации, ФСТЭК России намерен отказаться от практики сертификации по ТУ, как в прочем и по нынешним РД. Планируется постепенное замещение имеющихся РД (и создание новых требований) в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408 [24] локализованным аналогом так называемых "Общих критериев". В соответствие с данным стандартом ФСТЭК Росси уже разработаны требования к средствам антивирусной защиты (САЗ) [21], к системам обнаружения вторжений (СОВ) [22] и к средствам доверенной загрузки (СДЗ) [23]. Также с 2014 года ФСТЭК планирует выпуск ряда НПА [26], включая требования к: - Средствам контроля съемных носителей; - Средствам контроля утечек информации (DLP); - Средствам аутентификации; - Средствам разграничения доступа; - Средствам контроля целостности; - Средствам очистки памяти; - Средствам ограничения программной среды; - Средствам управления потоками информации (МСЭ, однонаправленные МСЭ, коммутаторы…). Далее же будет рассмотрен процесс сертификации на соответствие требованиям технических условий и по 4 уровню контроля отсутствия недекларированных возможностей [25]. Процесс сертификации в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408 пока актуален только для вновь создаваемых средств антивирусной защиты, систем обнаружения вторжений и средств доверенной загрузки и останется вне рамок данной работы. 2.3 Состав участников процесса сертификации и их основные функции Какие же стороны участвуют в процессе сертификации СЗИ? "Положение о сертификации средств защиты информации по требованиям безопасности информации" [19] определяет следующий состав участников данного процесса: - 5 федеральный орган по сертификации средств защиты информации (Гостехкомиссия России 5); Ныне ФСТЭК России - центральный орган системы сертификации средств защиты информации; - органы по сертификации средств защиты информации; - испытательные центры (лаборатории); - заявители. В нашем случае ФСТЭК России выступает одновременно в роли федерального органа по сертификации средств защиты информации и центрального органа системы сертификации средств защиты информации. Какие же функции, интересные с точки зрения инициатора сертификации - Заявителя, выполняют в процессе сертификации его участники? 2.3.1 Заявитель Заявителем может являться организация-разработчик, изготовитель, поставщик СЗИ или потребитель. Он: - Подаёт во ФСТЭК России заявку на сертификацию; - Указывает в технической документации сведения о сертифицируемой технике защиты информации, нормативных документах, которым она должна соответствовать, обеспечивает доведение этой информации до потребителя. Заявитель, если он выступает в качестве организации-разработчика или изготовителя СЗИ, должен иметь лицензию ФСТЭК России на соответствующий вид деятельности. Поставщик СЗИ или потребитель, в рамках работ по сертификации, иметь соответствующие лицензии не обязаны. Важно: Замечу, что в отношении последнего утверждения нет единой сформированной позиции [31], однако обращу внимание на следующее: Сертификация - это процесс, осуществляемый в отношении такой категории, как "изделие" (товар, средство), когда в результате выполнения комплекса мероприятий, определенных правилами и порядком её проведения (системой сертификации), устанавливается, удостоверяется или подтверждается качество изделия. Таким образом, сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям. Лицензирование же - это процесс, осуществляемый в отношении таких категорий, как "деятельность" (направления, виды деятельности) и "субъект" (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, состав, правила и порядок осуществления которых предписываются законодательными и нормативными актами, получает право на осуществление определенного вида деятельности. Как видно – сертификация и лицензирование являются различными категориями. Пересечения этих категорий, требующих у данных типов Заявителей (поставщик или потребитель) наличия какой-либо лицензии для проведения процесса сертификации, в открытых НПА я не встречал 6 (или встречал, но не увидел). 2.3.2 Федеральный орган по сертификации средств защиты информации По отношению к Заявителю ФСТЭК России выполняет следующие практически важные функции: - Рассматривает заявки на сертификацию, принимает по ним решения, определяет схему проведения сертификации средств защиты информации и испытательный центр (лабораторию) с учётом предложений Заявителя и назначает орган по сертификации; - Выдаёт сертификаты и, в зависимости от схемы сертификации, знаки соответствия. 2.3.3 Испытательная лаборатория ФСТЭК России ведёт реестр аккредитованных органов по сертификации и испытательных лабораторий. Основные выполняемые функции испытательной лаборатории: - осуществляет отбор образцов средств защиты информации для проведения сертификационных испытаний; - разрабатывает программы и методики сертификационных испытаний, осуществляет сертификационные испытания средств защиты информации, оформляет протоколы сертификационных испытаний и технические заключения. На практике встречается, что организация может являться одновременно и органом по сертификации и испытательной лабораторией. Однако в процессе сертификации конкретного продукта организация может выступать только в одной ипостаси – одновременно совмещать и ту и другую роль при сертификации запрещено. Учитывайте, что не все аккредитованные организации ведут практические работы и присутствуют в соответствующих реестрах ФСТЭК России фактически номинально. Изучайте отзывы, уточняйте объём проведённых ранее работ у самой организации – это поможет определиться с действующим, а значит компетентным участником процесса сертификации. Данная рекомендация имеет смысл, так как на практике ФСТЭК России позволяет в заявке указать испытательную лабораторию, в которой Ваша организация хотела бы провести сертификационные испытания. Всё в Ваших руках. А вот орган по сертификации ФСТЭК России назначает с использованием своих внутренних критериев и тут как уж сложится. Ещё одна практическая рекомендация – если имеется альтернатива, то лучше выбрать лабораторию из Вашего города, или ближайшую к нему. В процессе сертификации Вам придётся много общаться и обмениваться документацией, так что факт оперативности имеет своё немаловажное значение. Тем более, что основной объём работы и основное время Вы из всех участников сертификации отдадите именно испытательной лаборатории. 6 Исключение составляет требование по наличию лицензии ФСБ России на деятельность по распространению криптографических средств. Однако данная категория СЗИ в данной работе не рассматривается. 2.3.4 Орган по сертификации средств защиты информации Орган по сертификации выполняет контрольные функции и фактически проверяет корректность работ, проведённых испытательной лабораторией. Таким образом, реализуется принцип невозможности выполнения критичных функций одним субъектом. По аналогии: в банках такая связка при выполнении критичных операций (выдача наличных) называется кассир-операционист. Из интересующих нас функций, выполняемых органом по сертификации: 2.4 - проводит экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний; - оформляет экспертное заключение по сертификации средств защиты информации и представляет их в федеральный орган по сертификации – ФСТЭК России. Этапы сертификации После того, как стал понятен состав участников и их основные функции, перейдём к рассмотрению этапов сертификации – их очерёдности, выполняемым работам, документам, как на входе, так и на выходе этапов. В общем виде процедура сертификации включает: - подачу и рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации; - сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства; - экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия; - осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации; - информирование о результатах сертификации средств защиты информации; - рассмотрение апелляций. Для рассматриваемого нами случая этапы сертификации можно представить в общем виде, представленном на Рисунке 1: Рисунок 1 – Этапы сертификации Далее рассмотрим эти этапы более подробно. Но перед тем, как начать их предметное рассмотрение, приведу несколько критичных замечаний Алексея Лукацкого [30], сформулированных им в немного юмористической и местами утрированной форме в отношении сложившейся практики сертификации средств защиты, которая почти не менялась с середины 90-х годов, когда появились 608-е Постановление Правительства [6] и 199-й Приказ [19]: Только в России… … регулятор выдает сертификат на СЗИ, даже не спросив о легальности испытаний с точки зрения прав на интеллектуальную собственность. … продавец или потребитель может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив партнерский договор. …, чтобы сертифицировать СКЗИ для мобильной платформы, производитель ОФИЦИАЛЬНО рекомендует сделать jailbreak ;) … за сертификацию средств защиты (исключая ГТ) несёт ответственность НЕ их производитель, а потребитель ;) … испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, извлекающем прибыль из своей деятельности, что позволяет органу по сертификации, получив результаты интеллектуальной собственности и ноу-хау разработчиков и других испытательных лабораторий, использовать их как свои наработки будучи уже в качестве испытательной лаборатории по другим проектам. … испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, участвовать в борьбе за заказчика как ИЛ, а если проиграет, стать для выигравшего конкурента органом по сертификации и отомстить. … производителем средства защиты может считаться не тот, кто реально его разработал и производит, а тот, кто подал его на сертификацию. … качество и возможности средства защиты определяются не его реальными характеристиками и защитными свойствами, а голограммой и копией сертификата. … средство защиты может быть сертифицировано на соответствие ТУ или ЗБ, которые тщательно скрываются от потребителя. … сертификация на отсутствие недекларированных возможностей, требующая обязательного предоставления исходных кодов, может быть проведена без предоставления исходных кодов. … в один момент времени могут существовать несколько копий одной версии одного средства защиты, сертифицированные по разным требованиям и даже по разным классам защищенности. … сертификат соответствия на средство защиты, сертифицированное в одной системе сертификации, не признается в другой системе сертификации, даже если он там сертифицировался по тем же самым требованиям. … срок действия сертификата на средство защиты определяется не сроком эксплуатации сертифицированного средства защиты в условиях неизменности среды функционирования, а сроком, установленным Правительством. … условия применения, ограничения по использованию и другие характеристики сертифицированного средства защиты могут быть отнесены к коммерческой тайне и не выдаваться по запросу потребителей или разработчиков. … специалист по сертификации средств защиты может быть не знаком с принципами функционирования оцениваемого им средства защиты и вообще не видеть его в глаза. … пройдя всего лишь по 10-20 % всех ветвей алгоритма исходных кодов ПО средства защиты испытательная лаборатория делает вывод об отсутствии недекларированных возможностей. 2.4.1 Заявка на сертификацию Заявка подаётся Заявителем в Федеральный орган по сертификации - ФСТЭК России. Заявка оформляется на бланке Заявителя и заверяется печатью. В заявке указывается: - наименование Заявителя, адрес Заявителя; - наименование продукции, которую Заявитель просит сертифицировать; - перечень нормативных и методических документов, на соответствие требованиям которых Заявителю необходимо сертифицировать продукцию; - предложения Заявителя по схеме сертификации (испытания единичного образца продукции / партии из N экземпляров / образца продукции для серийного производства); - предложения Заявителя по выбору испытательной лаборатории, которая будет проводить сертификационные испытания; - дополнительные условия или сведения. Образец заявки представлен на Рисунке 2: Рисунок 2 – Образец заявки на сертификацию Перед отправкой рекомендуется согласовать текст Заявки с выбранной Вами испытательной лабораторией. Заявка подаётся в экспедицию ФСТЭК России по адресу: г. Москва, Большой Козловский переулок, д. 6, 4-й ОФПС. Корреспонденция принимается законвертированной, при наличии двух реестров (второй остаётся Вам с отметкой о приёме) с печатью организации отправителя. Ещё лучше – передать заявку во ФСТЭК России через представителей лаборатории, так получится гораздо оперативней. Также предпочтительно предварительно согласовать с испытательной лабораторией текст технических условий на изделие, в которых описываются реализованные механизмы защиты. Технические условия выполняются в соответствии с ГОСТ 2.114-95. В процессе проведения сертификационных испытаний текст технических условий может быть подвержен корректировке в соответствии с замечаниями испытательной лаборатории (например, если выяснится, что анонсированная номенклатура регистрируемых событий отличается от фактической). Касательно различий в схемах сертификации: испытания единичного образца продукции, партии из N экземпляров, образца продукции для серийного производства. Испытания единичного образца продукции или партии из N экземпляров в рассматриваемом нами случае чисто программной реализации не имеют никаких отличий ни по составу работ, ни по стоимости или срокам. Иное дело - сертификация образца продукции для серийного производства. Процесс этот гораздо более ёмкий по составу работ (и, соответственно, по затратам) и требует аттестации производства данного ПО. Что касается ТУ, на соответствие которым предлагается провести сертификацию, обсуждалось ранее - если функционал СЗИ реализуется в полном соответствии с требованиями РД, то в заявке необходимо ссылаться на них. Если требования РД не выполняются в полном объёме, то тогда разрабатываются ТУ на реализованные механизмы защиты. Важно: В свете миграции в подходе в своих РД в сторону ГОСТ Р ИСО/МЭК 15408 [24] ФСТЭК России рекомендует реализовывать и описывать в ТУ функционал в соответствии с мерами защиты, как это определено в 17-м [11] и 21-м [10] Приказах. Относительно проведения контроля отсутствия недекларированных возможностей – многие НПА в области использования СЗИ, помимо проверки функциональных требований на соответствие РД (ТУ), требуют проведения сертификационных испытаний также и по данному направлению. Как правило, наиболее востребованный – 4 уровень контроля. Ещё один нюанс при оформлении заявки на сертификацию, который следует учесть. Юристы нашей компании, когда в первый раз столкнулись с текстом заявки, долго не могли согласовать фразу "Заявитель обязуется … оплатить все расходы по проведению сертификации" без указания самой этой стоимости (мы же не у таксиста чистый бланк после поездки берём ). С одной стороны структура текста заявки определена ФСТЭК России и правкам не подлежит, с другой – стоимость работ испытательной лаборатории если и определена, то пока только "на словах" и соответствующий договор не подписан. А с органом по сертификации вообще невозможно заранее о цене договориться, так как он (орган по сертификации) может быть определён только после подачи заявки (да и то не Заявителем). А заявка не может быть подана, потому что… Такой вот Deadlock получается. У себя в организации получилось согласовать с юристами "под честное пионерское", а вот для бόльшей формализации данного процесса предлагаю использовать документы [16]-[18], определяющие структуру цены работ при проведении сертификации. При большом желании можно высчитать и определить хотя бы верхний потолок цен. Реальную стоимость работ я укажу в соответствующих разделах. 2.4.2 Решение на сертификацию ФСТЭК России после рассмотрения заявки направляет Заявителю и в назначенные для проведения сертификации орган по сертификации и испытательную лабораторию решение на проведение сертификационных испытаний, в котором указывается: - наименование Заявителя, адрес Заявителя; - наименование сертифицируемой продукции; - схема проведения сертификации (испытания единичного образца продукции / партии из N образцов / образца продукции для серийного производства); - наименование испытательной лаборатории, назначенной для проведения сертификационных испытаний, адрес; - перечень нормативных и методических документов, на соответствие требованиям которых должна проводиться сертификация; - наименование испытательной лаборатории, назначенной для проведения последующего инспекционного контроля; - орган по сертификации, назначенный для проведения экспертизы результатов сертификационных испытаний; - вариант оплаты работ. Образец решения на проведение сертификационных испытаний представлен на Рисунке 3: Рисунок 3 – Образец решения ФСТЭК России на проведение сертификационных испытаний По регламенту предусмотрен месячный срок на рассмотрение и принятие решения по заявке на сертификацию. Орган по сертификации и испытательная лаборатория могут быть изменены по согласованию с Заявителем. Решение, как правило, не высылается почтой, за ним необходимо прислать курьера в ФСТЭК России по предварительной записи по телефону или получить его через представителей испытательной лаборатории (если заявка подавалась через них). Решение является основанием для выполнения испытательной лабораторией сертификационных испытаний. 2.4.3 Договор на проведение сертификационных испытаний Как правило, заключение договора между Заявителем и испытательной лабораторией происходит после выпуска соответствующего решения. В случае заключения договора до выпуска решения может возникнуть несоответствие объёмов и типов работ / услуг, указанных в договоре и в решении, что может повлечь за собой пересмотр сроков, стоимости и других условий договора. Заявитель в соответствии с решением заключает договор с испытательной лабораторией на проведение сертификационных испытаний продукции Заявителя, в котором оговариваются сроки, стоимость и порядок проведения сертификационных испытаний, а также прочие необходимые условия. Примечание: Если Вы планируете не ограничиваться единственной сертификацией, а и в дальнейшем взаимодействовать с выбранной испытательной лабораторией, не лишним будет подписать с ней совместное соглашение о неразглашении конфиденциальных данных (NDA). Испытательная лаборатория, как правило, представляет Заявителю коммерческое предложение с обоснованием стоимости и сроков проведения сертификационных испытаний, а также сам проект договора. Для определения объёма и стоимости работ лаборатория может попросить заполнить опросный лист. Перечень вопросов у каждой лаборатории свой, но отличаются они несущественно. Необходимо предоставить: - Полное и краткое наименование продукта, краткое описание; - Назначение продукта; - Реализуемые продуктом функции защиты информации от НСД; - Производитель продукции, представляемой на сертификацию (страна, фирма изготовителя); - Режим эксплуатации ПО (программно-аппаратного комплекса) – автономный / сетевой; - Используемые при эксплуатации программно-аппаратная среда, платформа, операционная система, СУБД (наименования, версии); - Используемые при разработке языки программирования, средства программирования, компиляции и сборки (утилиты, среда программирования, языки); - Объём исходных текстов ПО; - Объём исполняемых кодов ПО; - Вид сертификации, соответствующий Вашим интересам: единичный образец / партия / производство; - Наличие программных компонентов, включаемых в состав Вашего ПО, не подлежащих испытаниям в выбранной системе сертификации [криптосредства] (наименование, изготовитель, наличие сертификатов); - Состав стенда, необходимого для проведения испытаний Вашей продукции в реальных (приближенных к реальным) условиях функционирования. Как видно из опросника стоимость работ по сертификации зависит от самого объекта сертификации (например, от объёма ПО), который каждый раз различный, но в среднем стоимость услуг испытательной лаборатории составляет от 800 тыс. руб. до 1200 тыс. руб. Как правило, в комплект договорных документов входят: договор, техническое задание на проведение работ / предоставление услуг, ведомость исполнения, протокол согласования договорной цены. Перечень исходных данных, которые необходимы для проведения сертификационных испытаний, предоставляемых Заявителем в испытательную лабораторию, включается в техническое задание к договору. 2.4.4 Подготовка исходных данных Для фактической возможности проведения испытательной лабораторией работ по сертификации необходимо будет подготовить и предоставить следующее: - Полный комплект исходных текстов программ, входящих в состав программного обеспечения (ПО); - Дистрибутив программного обеспечения; - Стенд компиляции и сборки программного обеспечения; - Программную документацию, оформленную в соответствии с требованиями ЕСПД, в следующем составе: - Спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и документации на него; - Описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО; - Описание применения (ГОСТ 19.502-78), содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы. - Формуляр (ГОСТ 19.501-78, ГОСТ 2.610—2006) на изделие; - Технические условия (ГОСТ 2.114-95) на изделие; - Эксплуатационную документацию на изделие (Руководство администратора / пользователя); - Стенд для проверки функционирования изделия в части соответствия требованиям технических условий. Следует обратить внимание на то, что большая часть документации для испытательной лаборатории готовится по ГОСТ 19 серии (на единую систему программной документации), а не по 34 (на автоматизированные системы). Бывает, что организации в рамках контракта требуется сдать автоматизированную систему, включающую в себя часть с сертифицированным ПО. И тут номенклатура документов для испытательной лаборатории и требования по их содержанию и оформлению может не совпадать с контрактными. Документы эти незначительные по объёму и трудозатратам – нужно просто иметь этот нюанс ввиду и учитывать при планировании. Что касается стендов для компиляции и сборки программного обеспечения и для проверки функционирования изделия в части соответствия требованиям технических условий – при нынешнем развитии различных технологий виртуализации трудностей с их предоставлением быть не должно. Можно передать в лабораторию готовые образа виртуальных машин. В ряде случаев, по согласованию, представители испытательной лаборатории могут проводить работы не на автономном, переданном в лабораторию стенде, а на стенде Вашей организации. Это бывает актуально при трудностях с конфигурированием отчуждаемого стенда (например, если для работы стенда требуются сторонние сервисы), а также по причине присутствия "под боком" всех необходимых технических специалистов заказчика сертификации: архитекторов, программистов, технических писателей и т. д. 2.4.5 Сертификационные испытания Этапность работ испытательной лаборатории можно представить на Рисунке 4 в следующем виде: Готовность продукта к представлению на сертификационные испытания Отбор образца для проведения испытаний (Акт отбора образца) Проведение контрольной сборки ПО (Протокол контрольной сборки) Разработка и согласование спецификаций стендов (Спецификации) Сборка и настройка стендов (Материалы в Программу и методику - ПМИ) Разработка и согласование ПМИ с Органом по сертификации Проведение испытаний по требованиям ТУ (Протокол) Проведение испытаний по требованиям РД НДВ (Протокол) Оформление и отправка отчетных материалов (Техническое заключение) Рисунок 4 – Этапы работы испытательной лаборатории Отбор образца продукции Отбор образца продукции, как упоминалось выше, осуществляется по Акту отбора образца, и представляет собой передачу исходных файлов ПО с указанием в Акте следующей информации: - Наименование Заявителя; - Наименование испытательной лаборатории; - Цель отбора; - Наименование продукции; - Единица измерения и объем выборки; - Дата отбора; - Место отбора; - Условия отбора; - Результат наружного осмотра образцов; - Результат идентификации образцов (с указанием перечня документации, файлов и их контрольных сумм). Важно: Испытательная лаборатория проводит сертификационные испытания именно над тем образцом ПО, который получила по Акту отбора образца. Что это означает в практическом смысле? На сертификацию сдаётся "замороженная", финализированная, готовая к промышленной эксплуатации / продаже на рынке версия ПО. Процесс написания ПО, его доводки и сертификационные испытания принципиально нельзя распараллелить. Иначе сертифицироваться будет одно, а продаваться / сдаваться по контракту совершенно другое – непроверенное на соответствие требованиям по защищённости и на отсутствие недекларированных возможностей. Это как в магазине при покупке проверить на стенде один телевизор, а взять со склада другой – упакованный. С учётом сроков полного цикла сертификации (итоговый срок сложится позднее) это может представлять определённую проблему и обязательно должно учитываться при планировании сроков (особенно, если работы по сертификации выполняются в соответствии с контрактными обязательствами). Имеется определённый нюанс – как правило, доработки ПО касаются устранения ошибок / добавление новых возможностей в основной функционал программы, а не в реализованные средства защиты (например, в подсистему регистрации). В данных случаях код, реализующий функции ЗИ, может оставаться и неизменным. Если при разработке архитектуры ПО выделить подсистему ЗИ в отдельный модуль – со своим наименованием, комплектом документации, - то на сертификацию можно подавать только эту достаточно небольшую и стабильную (от вносимых в ППО изменений) часть кода. И при изменении функциональности в основных модулях ППО имеется возможность не проводить повторную сертификацию, сохраняя средства и время. А возможно ли смягчить бремя сертификации, если не удалось выделить в отдельную подсистему / модуль, ответственный за ЗИ, или когда вносимые изменения затрагивают и его? Такая возможность имеется, если объём вносимых изменений достаточно небольшой – в рамках процедур инспекционного контроля, проводимых на основании уведомления Заявителем. В этом случае возможно распространение действия имеющегося сертификата на новую версию ПО. Причём данные процедуры не требуют привлечения органа по сертификации, что позволяет сэкономить ещё и время. Имеется и ложка дёгтя: у испытательных лабораторий и органов по сертификации есть свои регламенты, положения и инструкции, недоступные Заявителям, и степень изменений, при которых действие сертификата можно распространить на новую версию ПО в рамках инспекционного контроля, а не полного цикла сертификации, определяется самой лабораторией без каких-либо формализованных (для Заявителя) критериев. На практике я сталкивался со следующими показателями – допускается изменения не более 10 %. Хотя, повторюсь, каждый случай частный и рассматривается индивидуально: 10 % изменений кода может затронуть 100 % кода СЗИ и тут будет обязательна только сертификация по-новой, с нуля. Контрольная сборка Проведение контрольной сборки ПО подразумевают собой процедуры, при которых по предоставленным Заявителем инструкциям испытательной лабораторией из исходных кодов собирается / компилируется ПО. Возможен вариант, когда Заявитель передаёт в лабораторию уже подготовленный стенд с собранным и настроенным ПО – в этом случае лаборатория сверяет, что контрольные суммы файлов, получившиеся при сборке, совпадают с контрольными суммами соответствующих файлов готового стенда. Ещё одна причина, по которой должна производится контрольная сборка – в процессе компиляции / сборки с использованием специального ПО осуществляется контроль за отсутствием несанкционированных вызовов, обращений, подключением сторонних библиотек и т. п. действий, не указанных в документации. Программа и методика сертификационных испытаний Программа и методика сертификационных испытаний разрабатывается испытательной лабораторией, согласуется с Заявителем и утверждается органом по сертификации. Как правило, когда СЗИ являются неосновной функциональностью сертифицируемого ПО (т. е. объём кода СЗИ значительно меньше общего объёма кода ППО), срок работы испытательной лаборатории составляет порядка 2-х (двух) месяцев с момента предоставления исходных данных. 2.4.6 Оформление результатов сертификационных испытаний Испытательная лаборатория оформляет результаты сертификационных испытаний в виде Протоколов испытаний и Технического заключения и представляет их в орган по сертификации для проведения экспертизы, а копии Технического заключения (выписку) – Заявителю. Как правило, в случае отсутствия мотивированных замечаний к результатам испытаний от органа по сертификации и / или Заявителя услуги испытательной лаборатории по договору считаются оказанными. 2.4.7 Договор на проведение экспертизы результатов испытаний Для получения экспертного заключения по сертификации средств защиты информации испытательной лаборатории необходимо заключить на основании имеющегося Решения договор с органом по сертификации на проведение экспертизы материалов сертификационных испытаний, в котором оговариваются сроки, стоимость, порядок проведения экспертизы и прочие необходимые условия. В некоторых случаях орган по сертификации требует заключение договора с самим Заявителем. Данный вопрос необходимо учесть изначально с испытательной лабораторией, в том числе для определения того, включать ли в сумму договора с лабораторией оплату экспертного заключения органа по сертификации. Четкого положения "с кем орган по сертификации должен заключать договор" не определено. Рекомендуется также учесть порядок передачи исходных данных и т. п. на этапе согласования порядка сертификации. Как правило, всеми необходимыми материалами орган по сертификации и испытательная лаборатория обмениваются самостоятельно, без привлечения Заявителя. Стоимость проведения экспертизы отчётных материалов по результатам сертификационных испытаний и сроки проведения экспертизы необходимо учитывать в условиях договора между Заявителем и испытательной лабораторией. Средняя стоимость таких услуг составляет примерно от 100 тыс. руб. до 200 тыс. руб. 2.4.8 Экспертиза результатов испытаний Экспертиза результатов сертификационных испытаний ПО проводится органом по сертификации, как правило, в течение 30 (тридцати) рабочих дней с момента представление документации и материалов, необходимых для проведения экспертизы результатов сертификационных испытаний ПО. В частности, должны быть представлены следующие материалы: - техническая документация на объект сертификации в соответствии с требованиями Системы сертификации средств защиты информации по требованиям безопасности информации № POCC RU.0001.01.БИ00; - программы и методики проведения сертификационных испытаний; - протоколы проведения сертификационных испытаний; - техническое заключение по результатам проведения сертификационных испытаний. Орган по сертификации в соответствии с договором проводит экспертизу технических и эксплуатационных документов на сертифицируемую продукцию и материалов сертификационных испытаний. Результаты экспертизы оформляются в виде экспертного заключения органа по сертификации. Экспертное заключение вместе с техническим заключением, материалами испытаний, комплектом необходимой технической и эксплуатационной документации на объект сертификации представляется во ФСТЭК России для принятия решения о выдаче сертификата соответствия, а Заказчику направляет акт сдачи-приёмки работ. 2.4.9 Оформление и выдача сертификата На основании результатов сертификационных испытаний (технического заключения испытательной лаборатории) и экспертного заключения органа по сертификации ФСТЭК России принимает решение о выдаче сертификата соответствия (или отказе в выдаче 7) сроком на 3 года (или менее), который удостоверяет, что объект сертификации соответствует предъявляемым требованиям. Образец сертификата представлен на Рисунке 5 8: 7 Но это не наш случай 8 В данный момент начальником 2 Управления ФСТЭК России является Лютиков Виталий Сергеевич Рисунок 5 – Образец сертификата соответствия К вопросу о сроке действия сертификата на программное СЗИ, ограниченного, максимум, 3-мя годами. По моему скромному мнению, срок действия сертификата соответствия должен быть предназначен для обеспечения контроля за временной деградацией характеристик продукта / услуги в процессе производства / предоставления. И тут временное ограничение понятно и логично "нужно раз в N лет пройти медицинскую комиссию повторно". Что же касается данного ограничения в отношении программного продукта… Ну как с течением времени могут разъехаться контрольные суммы файлов, указанные в формуляре? Почему через 2 года "Ок" при проведении сверки корректен, а вот, например, через 4 года уже нет. И даже если рассчитанные контрольные суммы совпали с суммами, приведёнными в формуляре, то всё равно использование данного СЗИ уже нелегитимно. По данному вопросу существуют контраргументы, мол, могут поменяться требования к СЗИ и имеющееся ограничение по сроку действия сертификата определено именно этим аспектом. Но требования эти меняются очень редко (вспомните действующие РД ФСТЭК 90-х годов), а в распоряжении данной системы сертификации есть прекрасное "лекарство" – реестр действующих сертификатов и возможность отзыва выданных ранее. Приведу ещё несколько мнений (тут и тут). Основная предпосылка которых следующая: "Согласно Федеральному закону от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании" (ст. 23. п. 3) [1]: "декларация соответствии и сертификат соответствия имеют равную юридическую силу и действуют на всей территории Российской Федерации в отношении каждой единицы продукции, выпускаемой в обращение на территории Российской Федерации во время действия декларации о соответствии или сертификата соответствия, в течение срока годности или срока службы продукции, установленных в соответствии с законодательством Российской Федерации". Таким образом, если вы приобрели ключи / ПО во время срока действия сертификата (который выдается на производство) - они являются сертифицированными на протяжении всего жизненного цикла продукта и не перестают быть сертифицированными после истечения срока действия сертификата. Для нашей продукции срок годности не применим, устанавливать срок службы Вы можете самостоятельно. В данном случае можно ориентироваться на закон "О защите прав потребителей" (Статья 6), где указано: "…Изготовитель обязан обеспечить возможность использования товара в течение его срока службы. … а при отсутствии такого срока в течение десяти лет со дня передачи товара потребителю". Но как бы то ни было, а исходить мы должны из имеющихся реалий – минимум раз в три года требуется продление сертификата соответствия даже на программное СЗИ. По факту готовности специалисты испытательной лаборатории (или органа по сертификации) сообщат Заявителю о необходимости получить сертификат соответствия. Также об этом можно узнать самостоятельно, позвонив во ФСТЭК России по контактному телефону: 8 (495) 693-68-72, и сообщив реквизиты экспертного заключения. Право получить в ФСТЭК России сертификат соответствия имеет Генеральный директор Заявителя, либо другое уполномоченное им лицо по доверенности. Выдача сертификатов осуществляется строго по предварительной записи в здании ФСТЭК России по адресу: г. Москва, ул. Старая Басманная, д. 17. Наряду с сертификатом соответствия Заявитель получает утверждённые ФСТЭК России технические условия и формуляр на изделие, а также знаки соответствия, если сертифицировалось не производство, а единичный экземпляр или партия. В случае сертификации производства получение изготовителем СЗИ сертификата даёт ему право получить лицензию на применение знака соответствия [20]. 2.5 Подведение итогов Детализированная схема процесса сертификации, в соответствии с ранее рассмотренными этапами, приведена на Рисунке 6 9: 9 Изображение взято с портала ЗАО "ИБТранс" http://www.ibtrans.ru/index.php/ru/certification/11-ndv.html Рисунок 6 - Детализированная схема процесса сертификации Полный цикл сертификации занимает от 4-х (четырёх) месяцев и складывается из следующих этапов: - до 1 месяца – подача Заявления и получение Решения на сертификацию; - 2 месяца – проведение сертификационных испытаний; - 1 месяц – получение экспертного заключения; - до 1 месяца – принятие Решения о выдаче сертификата соответствия и оформление сертификата. На практике – с учётом возможных корректировок ПМИ и ТУ, создания документации, организационных вопросов (конфигурация стенда, заключение договоров), проведения дополнительных проверок, времени пересылок материалов и их рассмотрения, - срок становится ещё больше и составляет порядка 6-10 месяцев. Финансовые затраты составляет порядка 0,9 - 1,4 млн. руб. 3 РЕЗЮМЕ Пассажиру легче смириться с тем, что самолёт летает, хотя крыльями не машет. А вот в отношении СЗИ у потребителя должна быть уверенность, а ни как не смирение. И уверенность должна быть если и не в отношении понимания того, как всё это работает, то обязательно в том – что СЗИ выполняет свои функции и выполняет их должным образом. Эта уверенность - и есть то, за что Вы платите, сертифицируя средства защиты информации. По крайней мере, изначально это задумывалось именно так 10 . Данная работа даёт понимание перечня основополагающих в области сертификации документов, нормативных актов, требующих оценки соответствия, этапов сертификации, сроков её проведения и стоимости, состава документов на ПО и участников данного процесса. И в качестве завершающего аккорда рекомендую ознакомиться с проектом методического документа ФСТЭК России - Рекомендации по обновлению сертифицированных средств защиты информации [27]. Это только наброски, мысли о мыслях. Но общее представление о том, куда будет дуть "ветер перемен" в области сертификации СЗИ даёт. Удачи! 10 Целями создания системы сертификации [19] являются: - реализация требований статьи 28 Закона Российской Федерации "О государственной тайне"; - реализация требований государственной системы защиты информации в Российской Федерации от технических разведок и от ее утечки по техническим каналам; - создание условий для качественного и эффективного обеспечения потребителей сертифицированной техникой защиты информации; - обеспечение национальной безопасности Российской Федерации в информационной сфере; - содействие формированию рынка защищенных информационных технологий и средств их обеспечения; - формирование и осуществление единой научно-технической и промышленной политики в информационной сфере с учетом современных требований по противодействию техническим разведкам и технической защите информации. 4 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ИНФОРМАЦИИ (ЛИТЕРАТУРА И ИНТЕРНЕТ-РЕСУРСЫ) 1. Федеральный закон от 27.12.2002 № 184-ФЗ "О техническом регулировании"; 2. Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации"; 3. Закон РФ от 21.07.1993 № 5485-1 "О государственной тайне"; 4. Постановление Правительства РФ от 21.04.2010 № 266 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в положение о сертификации средств защиты информации"; 5. Постановление Правительства Российской Федерации от 15.05. 2010 № 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения"; 6. Постановление Правительства РФ от 26.06.1995 № 608 "О сертификации средств защиты информации"; 7. Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных"; 8. Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; 9. Указ Президента РФ от 16.08.2004 № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" (Выписка); 10. Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"; 11. Приказ ФСТЭК России от 11.02.2013 № 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"; 12. Информационное сообщение ФСТЭК России от 04.05.2012 № 240/24/1701 "О работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа"; 13. Постановление Правительства РФ от 01.12.2009 № 982 "Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии"; 14. Постановление Госстандарта РФ от 21.09.1994 № 15 "Об утверждении Порядка проведения сертификации продукции в Российской Федерации"; 15. Постановление Госстандарта РФ от 10.05.2000 № 26 "Об утверждении Правил по проведению сертификации в Российской Федерации"; 16. Постановление Госстандарта РФ от 23.08.1999 № 44 "Об утверждении правил по сертификации "Оплата работ по сертификации продукции и услуг"; 17. Постановление Госстандарта РФ от 14.03.1996 № 167 "Об утверждении "Рекомендаций по сертификации. Оплата работ по сертификации продукции и услуг. Р 50.3.001-96"; 18. Федеральный закон от 07.02.1992 № 2300-1 "О защите прав потребителей"; 19. Положение о сертификации средств защиты информации по требованиям безопасности информации (утв. Приказом Гостехкомиссии РФ от 27.10.1995 № 199); 20. Инструкция о порядке маркирования сертификатов соответствия, их копий и сертифицированных средств защиты информации (утв. Приказом Гостехкомиссии РФ от 1999 г.); 21. Информационное сообщение ФСТЭК России от 30.07.2012 № 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"; 22. Информационное письмо ФСТЭК России от 06.12.2011 № 638 "Об утверждении требований к системам обнаружения вторжений"; 23. Информационное сообщение ФСТЭК России от 06.02.2014 № 240/24/405 "Об утверждении Требований к средствам доверенной загрузки"; 24. ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий"; 25. ГТК РФ. Руководящий документ. Защита от несанционированного доступа к информации. Часть1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (введён в действие Приказом Председателя Гостехкомиссии России от 04.06.1999 № 114); 26. План разработки нормативных правовых актов Федеральной службы по техническому и экспортному контролю на 2014 год; 27. Проект методического документа ФСТЭК России "Рекомендации по обновлению сертифицированных средств защиты информации"; 28. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) (http://fstec.ru/); 29. Федеральное агентство по техническому регулированию и метрологии (Росстандарт) (http://www.gost.ru); 30. Блог Алексея Лукацкого, бизнес-консультанта по безопасности, Cisco Systems (http://lukatsky.blogspot.ru); 31. Страница-форум для ответов на наиболее часто задаваемые вопросы, находящиеся в ведении ФСТЭК России, а также для предложений и замечаний по публикуемым на сайте проектам документов (http://www.itsec.ru/forum.php). ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ 5 Сокращение Наименование NDA Non-disclosure agreement (соглашение о конфиденциальности) ГТ Государственная тайна ЗБ Задание по безопасности ЗИ Защита информации ИЛ Испытательная лаборатория МО РФ Министерство обороны Российской Федерации НПА Нормативно-правовой акт ПМИ Программа и методика испытаний ПО Программное обеспечение ПП Постановление Правительства РФ ППО Прикладное программное обеспечение РД Руководящий документ РФ Российская Федерация СЗИ Средство защиты информации СКЗИ Средство криптографической защиты информации СКП ЭП Сертификат ключа проверки электронной подписи ТУ Технические условия ФАПСИ Федеральное агентство правительственной связи и информации (ныне ФСБ России) ФЗ Федеральный закон ФСТЭК Федеральная служба по техническому и экспортному контролю ФСБ Федеральная служба безопасности
