Направления совершенствования сертификации средств защиты информации

Направления совершенствования

сертификации средств защиты

информации

2СИСТЕМА СЕРТИФИКАЦИИ ФСТЭК РОССИИ

Положение о

сертификации средств

защиты информации

по требованиям

безопасности

информации,

утвержденное

приказом от 27.10.1995

№ 199

Закон

Российской Федерации

от 21.07.1993

№ 5485-1

«О государственной

тайне»

Постановление

Правительства


от 26.06.1995

№ 608

«О сертификации

средств защиты

информации»

СТРУКТУРА СИСТЕМЫ СЕРТИФИКАЦИИ ФСТЭК РОССИИ

3

9 органов по сертификации

(более 100 экспертов)

42 испытательных лабораторий

(более 600 специалистов)

ФСТЭК России

350 разработчиков и производителей

(более 17 500 специалистов)

425 органов по аттестации

(более 10 000 специалистов)

4ПОКАЗАТЕЛИ ДЕЯТЕЛЬНОСТИ СИСТЕМЫ СЕРТИФИКАЦИИ ФСТЭК РОССИИ

Количество сертифицированных средств

защиты информации

Количество произведенных

средств защиты информации

5ПОКАЗАТЕЛИ ДЕЯТЕЛЬНОСТИ СИСТЕМЫ СЕРТИФИКАЦИИ ФСТЭК РОССИИ

Средства защиты информации, содержащей

сведения, составляющие государственную тайну

Средства защиты

конфиденциальной информации

ОСНОВНЫЕ НАПРАВЛЕНИЯ СОВЕРШЕНСТВОВАНИЯ

СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

6

Разработка и совершенствование требований к средствам

защиты информации и методических подходов по их

сертификации

Совершенствование порядка аккредитации органов по

сертификации и испытательных лабораторий

Совершенствование порядка сертификации средств защиты


1. Разработка и совершенствование

требований к средствам защиты

информации и методических подходов

по их сертификации

8ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ

Требования к системам обнаружения вторжений, утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638,

приказ зарегистрирован Минюстом России

12 методических документов, устанавливающих профили защиты к системам обнаружения вторжений

Требования к средствам антивирусной защиты, утверждены приказом ФСТЭК России от 20 марта 2012 г. № 28,


24 методических документа, устанавливающих профили защиты к системам обнаружения вторжений

Требования к средствам доверенной загрузки, утверждены приказом ФСТЭК России от 27 сентября 2013 г. № 119,



Утвержденные:


Требования к средствам контроля съемных машинных носителей информации, утверждены приказом ФСТЭК России

от 28 июля 2014 г. № 87,



средства контроля подключения съемных машинных

носителей информации

средства контроля отчуждения (переноса)

информации со съемных машинных носителей


Утверждены в 2014 году:

ИНФОРМАЦИОННОЕ

СООБЩЕНИЕ

Об утверждении требований к

средствам контроля съемных

машинных носителей


от 24 декабря 2014 г.

г. № 240/24/4918

Типы средств контроля съемных

машинных носителей информации


Требования к средствам межсетевого экранирования

Требования к средствам управления потоками информации

Требования к средствам идентификации и аутентификации

Требования к средствам управления доступом

Требования к средствам защиты от несанкционированного вывода (ввода) информации (DLP – системы)

Требования к средствам контроля и анализа защищенности

Требования к средствам разграничения доступа

Требования к средствам контроля целостности

Требования к средствам очистки памяти

Требования к средствам ограничения программной среды

Разработанные, планируемые к утверждению в 2015, 2016 годах:


Требования к средствам защиты среды виртуализации

Требования к базовым системам ввода-вывода


Требования к операционным системам

Требования к системам управления базами данных

ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ

13

Требования к средствам активной защиты информации от утечки по каналам ПЭМИН

(утверждены приказом ФСТЭК России, зарегистрированным Минюстом России)

Требования к средствам виброакустической защиты информации

(утверждены приказом ФСТЭК России, направлен на регистрацию в Минюст России)

Требования к ПЭВМ защищенным от утечки информации по каналам ПЭМИН

(планируются к утверждению в 2015 году)

Требования к средствам пассивной защиты информации от утечки по каналам ПЭМИН


Требования к средствам защиты информации от утечки за счет микрофонного эффекта


СОВЕРШЕНСТВОВАНИЕ МЕТОДИЧЕСКОГО ПОДХОДА ПО СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

14

С 2015 года ФСТЭК России планируется утверждение методических

документов, устанавливающих

Типовые программы и методики

сертификационных испытаний СЗИ

Типовые программы и методики сертификационных испытаний

СЗИ обеспечат:

единство подходов при проведении сертификационных испытаний СЗИ

повышение качества проведения


воспроизводимость результатов


15РАЗРАБОТКА ЗАЩИЩЕННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Проект национального

стандарта


ГОСТ Р XXXXХ-20XX

«Защита информации.

Разработка защищенного

программного

обеспечения. Общие

положения»

Меры, применяемые на стадии формирования требований к программному

обеспечению

Меры, применяемые на стадии проектирования программного обеспечения

Меры, применяемые на стадии разработки программного обеспечения

Меры, применяемые на стадии тестирования программного обеспечения

Меры, применяемые на стадии передачи программного обеспечения потребителю

Меры, применяемые на стадии сопровождения и модернизации

программного обеспечения

Управление конфигурациями программного обеспечения

16ПОДДЕРЖКА ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS XP

Спланировать перевод до декабря 2016 г. информационных систем на

сертифицированные операционные системы

Установить все актуальные сертифицированные обновления

операционной системы Windows XP

Исключить подключение информационных систем к сети Интернет и к ведомственным

локальным вычислительным сетям

Регламентировать и обеспечивать контроль за применением съемных машинных

носителей информации

Проводить анализ уязвимостей информационных систем, а также

периодический контроль целостности установленных операционных систем

ФЕДЕРАЛЬНАЯ СЛУЖБА

ПО ТЕХНИЧЕСКОМУ И

ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

О применении сертифицированной по

требованиям безопасности информации

операционной системы Windows XP в

условиях прекращения ее поддержки

разработчиком

от 7 апреля 2014 г. № 240/24/1208

2. Совершенствование порядка

аккредитации органов по

сертификации и испытательных

лабораторий

18

НОРМАТИВНАЯ ПРАВОВАЯ БАЗА ПО АККРЕДИТАЦИИ




от 15.05.2010 № 330

«Об утверждении

Положения об

особенностях оценки

соответствия продукции

(работ, услуг)…»

Федеральный закон

от 27.12.2002

№ 184-ФЗ

«О техническом

регулировании»




от 26.06.1995 № 608

«О сертификации средств

защиты информации»

19НОРМАТИВНАЯ ПРАВОВАЯ БАЗА ПО АККРЕДИТАЦИИ

Положение об аккредитации

испытательных лабораторий

и органов по сертификации

средств защиты информации

по требованиям

безопасности информации,

утвержденное председателем

Гостехкомиссии России

25 ноября 1994 г.

Типовое положение об

испытательной лаборатории,




Типовое положение об

органе по сертификации,




20

НОВАЯ НОРМАТИВНАЯ ПРАВОВАЯ БАЗА ПО АККРЕДИТАЦИИ


от 28.12.2013

№ 412-ФЗ

«Об аккредитации в

национальной системе

аккредитации»




от 03.11.2014 № 1149

«Об аккредитации

органов по сертификации

и испытательных

лабораторий (центров)….»

21


Постановление Правительства Российской Федерации

от 03.11.2014 № 1149

Правила аккредитации органов по сертификации и

испытательных лабораторий (центров)

Критерии аккредитации Порядок аккредитации

22


пункт 2 постановления Правительства Российской Федерации

от 03.11.2014 № 1149

ФСТЭК России в 6-месячный срок (до 3 мая 2015 г.) утвердить:

• формы заявлений об аккредитации;

• перечень, формы и требования к содержанию прилагаемых к заявлению об

аккредитации документов и документов, необходимых для организации и

проведения аккредитации, а также документов, подтверждающих соответствие

заявителя (аккредитованного лица) критериям аккредитации;

• форму аттестата аккредитации;

• перечень правовых, нормативных и методических документов, необходимых

для выполнения работ в соответствующей области аккредитации;

• правила выполнения отдельных работ по аккредитации;

• форму и порядок ведения реестра аккредитованных органов по сертификации и

испытательных лабораторий.

23

Форма аттестата аккредитации

Форма и содержание областей аккредитации органа по сертификации и испытательной

лаборатории




ПРИКАЗ

Об утверждении формы аттестата

аккредитации

от 18 января 2015 г. № 5


Наименования сертифицируемой продукции

1. Cредства противодействия иностранным техническим разведкам

2. Средства защиты информации от утечки по техническим каналам

3. Средства защиты информации от утечки по техническим каналам

4. Средства обеспечения безопасности информационных технологий, включая защищенные средства обработки


24




ПРОЕКТ ПРИКАЗА

Об утверждении Правил выполнения

отдельных работ по аккредитации органов

по сертификации и испытательных

лабораторий, выполняющих работы по

оценке (подтверждению) соответствия в

отношении продукции (работ, услуг),

используемой в целях защиты сведений,

составляющих государственную тайну

или относимых к охраняемой в

соответствии с законодательством

Российской Федерации иной информации

ограниченного доступа, и продукции

(работ, услуг), сведения о которой

составляют государственную тайну, в

установленной ФСТЭК России сфере

деятельности


Правила выполнения отдельных работ по аккредитации органов по сертификации и

испытательных лабораторий в установленной ФСТЭК России сфере деятельности

Детализированные процедуры аккредитации:

Детализированные и дополнительные критерии аккредитации

www.fstec.ru

[email protected] [email protected]

http://www.fstec.ru/

mailto:[email protected]

mailto:[email protected]

25НОВАЯ НОРМАТИВНАЯ ПРАВОВАЯ БАЗА ПО АККРЕДИТАЦИИ

Детализированные процедуры аккредитации:

• прием и регистрация заявления об аккредитации и документов, представленных

заявителем;

• оценка соответствия заявителя критериям аккредитации;

• принятие решения по результатам оценки соответствия заявителя критериям

аккредитации;

• подтверждение компетентности аккредитованного лица;

• прекращение действия аттестата аккредитации;

• сокращение области аккредитации;

• расширение области аккредитации;

• переоформление аттестата аккредитации;

• предоставление дубликата аттестата аккредитации.

3. Совершенствование порядка



27СОВЕРШЕНСТВОВАНИЕ ПОРЯДКА СЕРТИФИКАЦИИ

СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Проект документа

ФСТЭК России

«Организация и порядок

проведения сертификации

продукции, используемой в

целях защиты информации

конфиденциального

характера»




от 15.05.2010 № 330

«Об утверждении

Положения об

особенностях оценки

соответствия продукции

(работ, услуг)…»


от 27.12.2002

№ 184-ФЗ

«О техническом

регулировании»

28

28




ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

по вопросу продления сроков действия

сертификатов соответствия на средства

защиты информации, эксплуатируемые на

объектах информатизации

от 23 января 2015 г. № 240/24/223

Условия продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации

Состав документов, представляемых в ФСТЭК России для продления сертификатов

соответствия на средства защиты информации, эксплуатируемые на объектах информатизации

Требования к документам, прилагаемым к заявке на продление сертификатов соответствия на средства

защиты информации, эксплуатируемые на объектах информатизации

Порядок рассмотрения ФСТЭК России заявок на продление сертификатов соответствия на средства

защиты информации, эксплуатируемые на объектах информатизации

Форма заявки на продление сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации

ПОРЯДОК ПРОДЛЕНИЕ СРОКОВ ДЕЙСТВИЯ

СЕРТИФИКАТОВ СООТВЕТСТВИЯ

Направления совершенствования



Technology

Направления совершенствования сертификации средств защиты информации