"КАСКАД"Система добровольной сертификации
Рассматриваемые вопросы• Основание для создания• Условия создания• Существующие системы• Базовые принципы системы сертификации• Признание системы сертификации• Участники системы сертификации• Правовые вопросы• Классификация требований • Формирование требований • Порядок оценки соответствия• Способы получения сертификата• Институт декларации соответствия• Практическая польза для участников рынка ИБ• Шаги по созданию
Основные предпосылки создания добровольной системы сертификации в
области ИБ• Развитие отрасли ИБ в РФ и как следствие п.2.• Расширение сферы деятельности в области защиты
информации за пределами защиты государственной тайны в область защиты конфиденциальных данных бизнеса и конечных пользователей информационных систем.
• Либерализация законодательства в области ИБ в РФ и как следствие сужение области по обязательной сертификации.
• Предпосылки для использования бизнесом независимой оценки продукции для получения конкурентных преимуществ на рынке ИБ.
• "Кризис доверия" образовавшийся в отрасли ИБ в части независимых оценок продукции.
• Сложившийся "вакуум" за пределами обязательных систем сертификации, отсутствие альтернатив.
• Необходимость обеспечения устойчивого баланса между запросами динамичной IT-отрасли и статичностью действующих систем сертификации.
Признание как самой системы сертификации так и результатов оценок возможно при
условии:• Открытости процедур:формирования требований;методов и процедур оценки;формирования результатов оценки;формирования экспертных групп;сопровождения сертифицированной продукции и услуг.
• Доступности:документов определяющих порядок сертификации;документов содержащих требования к продукции и услугам;методов оценки и экспертных заключений;документов содержащих разъяснения результатов сертификации.
• Ответственном участии всех участников рынка ИБ в формировании и развитии системы сертификации.
• Взаимное признание результатов других/другими системами сертификации и экспертными сообществами.
Условия для создания• 1993-2002гг. - ФЗ "О сертификации
продукции и услуг" - утратил силу в связи с выходом ФЗ п.2.
• с 2002г. - ФЗ-184 "О техническом регулировании".
• ***.
Правовая база РФ предоставляет возможность создания добровольной системы сертификации:
ФЗ "О техническом регулировании"
• Применении и исполнении на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг.
• Оценке соответствия.
Федеральный закон регулирует отношения, возникающие при:
Определяет права и обязанности участников регулируемых настоящим Федеральным законом отношений. Вводит ряд определений так:
"Сертификация" - форма подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Существующие системы
• Система добровольной сертификации "ГАЗПРОМСЕРТ". Она создана ОАО "Газпром" приказом от 06 февраля 1999 г. № 10 (регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 г.). Ориентирована только на Газпром и его дочерние предприятия. За время существования выдано около 500 сертификатов. Практически все не относятся к средствм защиты информации.
• Система добровольной сертификации "АйТиСертифика". Она создана ассоциацией "ЕВРААС" (регистрационный № РОСС RU.М089.04ИТ00). За 4 года выдано 38 сертификатов.
• Система добровольной сертификации "Ecomex" (регистрационный № РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года в связи с чем широкого распространения она пока не получила.
В настоящее время существуют несколько добровольных систем сертификации:
Базовые принципы системы сертификации
• Доверие участников рынка ИБ в России.• Требования к продукции должны быть открытыми и
доступными для всех участников системы сертификации и представителей рынка ИБ.
• Порядок оценки соответствия должен быть прозрачным.• Оценка соответствия должна быть независимой.• Участники системы сертификации должны иметь
возможность принимать участие в её совершенствовании и развитии.
• Потребитель должен быть уверен в том, что наличие сертификата у продукта даёт практическую выгоду.
• Гибкость системы и готовность к адаптации с изменением правовой и экономической среды касающихся рынка ИБ.
• Отсутствие завышенных требований к участникам (лицензий).
Добровольная система может существовать только на принципах доверия всех участников системы сертификации и представителей рынка ИБ а так же баланса их интересов:
Участники системы сертификации
• Центральный Орган по сертификации.
• Экспертный совет системы сертификации.
• Заявители оценки соответствия - участники рынка ИБ.
• Эксперты системы сертификации - физ. лица.
• Испытательные центры - юр. лица.
• Учредители системы сертификации.
• Партнеры системы сертификации - юр. лица.
• Образовательные учреждения высшего и средне-специального уровня, повышения квалификации и т.п.
Порядок оценки соответствия
• Выбор требований и условий проведения сертификации.
• Консалтинг по вопросам проведения сертификации.
• Декларация соответствия.
• Проведение сертификации продукции и/или услуг.
• Экспертиза полученных результатов сертификации.
• Выпуск сертификата.
• Регистрация сертифицированной продукции и услуг.
• Сопровождение сертифицированной продукции включая процедуры отзыва сертификата.
Реализация базовых принципов предполагает следующий порядок сертификации продукции:
Классификация требований
• Международные стандарты и требования к продукции и оказываемым услугам.
• Требования аналогичные требованиям национальных регуляторов (ФСТЭК, ФСБ и т.д.) и других ведомств и систем сертификации.
• Требования систем обеспечения качества и производства продукции.
• Требования разработанные/доработанные участниками системы сертификации.
• Требования других нормативных документов (внутренние стандарты предприятий, отраслей, ТУ, и т.п.).
• Лучшие бизнес-практики в области ИБ (CISecurity и т.п.)• Необходимо отметить что введение оценочных уровней
доверия для большинства требований от декларации до независимой оценки должны расширить возможности системы сертификации.
Формирование требований
• Должны быть открытыми и доступными всем участникам рынка ИБ.
• Пройти ряд открытых экспертиз перед вступлением в силу.
• Должны получить признание участниками рынка ИБ.
• Должны соответствовать реалиям рынка ИБ.
• Должны быть предусмотрены процедуры их совершенствования, критики и отзыва.
• ***.
Формируемые требования должны отвечать следующим качествам:
Методы оценки и получения сертификата
• [Сертификат] = [Декларация Заявителя]+[Оценка Органа].
• [Сертификат] = [Декларация Заявителя]+[Проведение оценки своими силами]+[Оценка Органа].
• [Сертификат] = [Декларация Заявителя]+[Проведение оценки своими силами]+[Оценка независимыми экспертами]+[Оценка Органа].
• [Сертификат] = [Декларация Заявителя]+[Проведение оценки независимыми экспертами]+[Оценка независимыми экспертами]+[Оценка Органа].
Система сертификации должна предусмотреть не только набор требований и несколько способов получения сертификатов но и учитывать степень доверия по аналогии с ОУД в "общих критериях" где это возможно:
Декларация соответствия
• Декларация представляет собой документальное подтверждение соответствия продукции и/или услуг тем или иным требованиям.
• Декларация о соответствии - документ, удостоверяющий соответствие.
• Институт декларации должен предусматривать ответственность поставщика/производителя.
• Декларация является гарантией поставщика о соответствии продукции и/или услуг.
• Декларация должна быть доступной участникам рынка ИБ.• Декларация открывает возможность оценки/проверки
соответствия заявленным требованиям участниками рынка ИБ.
• Не соответствие продукции и/или услуг декларированным требованиям могут нанести ущерб репутации поставщика.
Институт декларации соответствия является базовым элементом формирования доверия: