Система сертификации средств защиты информации

1.

МОСКОВСКИЙ УНИВЕРСИТЕТ МВД РОССИИИМЕНИ В.Я. КИКОТЯ
кафедра специальных информационных технологий
Программно-аппаратные средства обеспечения
информационной безопасности
Тема № 3.1. «Система сертификации средств защиты информации »
Москва
2024

2.

Вопросы
1. Основы государственной системы сертификации
2. Система сертификации средств защиты информации

3.

1. Основы государственной системы сертификации

4.

Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ
Сертификация - форма осуществляемого
органом по сертификации подтверждения
соответствия
объектов
требованиям
технических регламентов, документам по
стандартизации или условиям договоров

5.

Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ
Техническое регулирование
В области установления
обязательных требований
К продукции
К процессам
В области установления на
добровольной основе требований
К продукции
К работам
К процессам
К услугам
В области оценки соответствия
Подтверждение соответствия
Обязательное
Сертификация
Стандартизация
Технический
регламент
Стандарт
Добровольное
Сертификация
Декларирование
Сертификат
соответствия
Декларация
соответствия
Сертификат
соответствия

6.

Орган по сертификации (ФЗ от 27.12.2002 № 184-ФЗ)
Орган по сертификации - юридическое лицо или
индивидуальный
предприниматель,
аккредитованные
в
соответствии
с
законодательством Российской Федерации об
аккредитации в национальной системе аккредитации
для выполнения работ по сертификации
Статья 31. Аккредитация органов по сертификации и
испытательных лабораторий (центров)
1. Аккредитация органов по сертификации и испытательных
лабораторий (центров), выполняющих работы по оценке
(подтверждению) соответствия, осуществляется национальным
органом по аккредитации в соответствии с законодательством
Российской Федерации об аккредитации в национальной
системе аккредитации.

7.

Федеральный закон от 28.12.2013 № 412-ФЗ «Об аккредитации в
национальной системе аккредитации»
Статья 5. Цели и принципы аккредитации
1. Аккредитация в национальной системе аккредитации осуществляется
в целях обеспечения доверия к результатам оценки соответствия и
создания условий для взаимного признания государствами - торговыми
партнерами Российской Федерации результатов оценки соответствия.
Статья 2. Порядок и особенности аккредитации в отдельных сферах
деятельности
4. Порядок аккредитации органов по сертификации и испытательных
лабораторий
(центров),
выполняющих
работы
по
оценке
(подтверждению) соответствия в отношении оборонной продукции
(работ, услуг), поставляемой по государственному оборонному заказу,
продукции (работ, услуг), используемой в целях защиты сведений,
составляющих государственную тайну или относимых к охраняемой в
соответствии с законодательством Российской Федерации иной
информации ограниченного доступа, продукции (работ, услуг), сведения
о которой составляют государственную тайну, устанавливается
Правительством Российской Федерации.

8.

Аттестат аккредитации

9.

Аттестат аккредитации

10.

Постановление Правительства РФ от 3 ноября 2014 г. N 1149
Постановление Правительства РФ от 3 ноября 2014 г. N 1149
«Об аккредитации органов по сертификации и испытательных
лабораторий
(центров),
выполняющих
работы
по
оценке
(подтверждению) соответствия в отношении оборонной продукции
(работ, услуг), поставляемой по государственному оборонному заказу,
продукции (работ, услуг), используемой в целях защиты сведений,
составляющих государственную тайну или относимых к охраняемой в
соответствии с законодательством Российской Федерации иной
информации ограниченного доступа, и продукции (работ, услуг),
сведения о которой составляют государственную тайну, а также о
внесении изменений в некоторые акты Правительства Российской
Федерации в части оценки соответствия указанной продукции (работ,
услуг)»
Положение об аккредитации испытательных лабораторий и органов по сертификации средств
защиты информации по требованиям безопасности информации (25 ноября 1994 года)

11.

Постановление Правительства РФ от 3 ноября 2014 г. N 1149
4. Критериями аккредитации являются:
а) наличие у заявителя (аккредитованного лица) необходимых для выполнения
работ в соответствующей области аккредитации правовых, нормативных и
методических документов (в том числе по вопросам защиты информации
ограниченного доступа) в соответствии с перечнем, определяемым органом по
аккредитации;
б) наличие у заявителя (аккредитованного лица) помещений на праве
собственности или иных законных основаниях, необходимых для выполнения
работ в соответствующей области аккредитации;
в) наличие у заявителя (аккредитованного лица) измерительных приборов и
испытательного оборудования, программных (программно-аппаратных)
средств, необходимых для выполнения работ в соответствующей области
аккредитации;

12.

Постановление Правительства РФ от 3 ноября 2014 г. N 1149
г) наличие у заявителя (аккредитованного лица) в штате работников,
заключивших с ним трудовой договор, которые обладают знаниями в
определенной области аккредитации и могут выполнять (выполняют) работы
по оценке (подтверждению) соответствия продукции (работ, услуг);
д) наличие у заявителя (аккредитованного лица) выданной в установленном
порядке лицензии на проведение работ, связанных с использованием
сведений, составляющих государственную тайну (в случае если выполнение
работ по оценке (подтверждению) соответствия продукции (работ, услуг)
связано с использованием сведений, составляющих государственную тайну);
е) наличие у заявителя (аккредитованного лица) автоматизированных систем,
обрабатывающих информацию ограниченного доступа, а также средств ее
защиты, прошедших процедуру оценки соответствия (аттестованных и (или)
сертифицированных по требованиям безопасности информации) в
соответствии с законодательством Российской Федерации (в случае если такие
автоматизированные системы и средства защиты информации необходимы для
осуществления деятельности в заявленной области аккредитации).

13.

Приказ ФСТЭК России от 10 апреля 2015 г. N 33
1. Настоящие Правила разработаны в соответствии с Федеральным законом от
28 декабря 2013 г. N 412-ФЗ "Об аккредитации в национальной системе
аккредитации" (Собрание законодательства Российской Федерации, 2013, N 52,
ст. 6977) и Правилами аккредитации органов по сертификации и испытательных
лабораторий (центров), выполняющих работы по оценке (подтверждению)
соответствия в отношении продукции (работ, услуг), используемой в целях
защиты сведений, составляющих государственную тайну или относимых к
охраняемой в соответствии с законодательством Российской Федерации иной
информации ограниченного доступа, и продукции (работ, услуг), сведения о
которой составляют государственную тайну, утвержденными постановлением
Правительства Российской Федерации от 3 ноября 2014 г. N 1149 (Собрание
законодательства Российской Федерации, 2014, N 46, ст. 6350) (далее - Правила
аккредитации).

14.

Приказ ФСТЭК России от 10 апреля 2015 г. N 33
3. Настоящие Правила распространяются на организации, претендующие на
получение аккредитации (далее - заявители), и организации, получившие
аккредитацию в соответствии с настоящими Правилами (далее аккредитованные лица) и выполняющие работы по оценке (подтверждению)
соответствия требованиям по безопасности информации следующей
продукции:
• средств противодействия иностранным техническим разведкам, включая
средства, в которых они реализованы, а также средства контроля
эффективности противодействия иностранным техническим разведкам;
• средств технической защиты информации, включая средства, в которых они
реализованы, а также средства контроля эффективности технической защиты
информации;
• средств обеспечения безопасности информационных технологий, включая
защищенные средства обработки информации.

15.

Национальная система сертификации (Добровольная)
• удостоверения соответствия объектов оценки соответствия
требованиям документов национальной системы стандартизации;
• создания условий для информирования заинтересованных лиц об
объектах оценки соответствия, соответствующих требованиям
документов национальной системы стандартизации;
• содействия потребителям в компетентном выборе продукции,
работ, услуг;
• повышения конкурентоспособности продукции, работ, услуг на
российском и международном рынках;
• содействия в создании условий для обеспечения экспорта
продукции, работ, услуг, а также для осуществления
международного
экономического,
научно-технического
сотрудничества и международной торговли;
• создания условий для снижения рисков производства продукции
несоответствующей требованиям документов национальной
системы стандартизации на всех этапах производства;
• создания условий для снижения рисков поставки потребителю
фальсификата и контрафактной продукции.

16.

Национальная система сертификации (Приказ от 29.12.16 № 2033)
https://ncs.gostinfo.ru/

17.

Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ
Статья 25. Обязательная сертификация
1. Обязательная сертификация осуществляется органом по
сертификации на основании договора с заявителем. Схемы
сертификации, применяемые для сертификации определенных
видов продукции, устанавливаются соответствующим техническим
регламентом. Круг заявителей устанавливается соответствующим
техническим регламентом.
Сертификат соответствия выдается на серийно выпускаемую
продукцию, на отдельно поставляемую партию продукции или на
единичный экземпляр продукции.
Срок
действия
сертификата
соответствия
определяется
соответствующим техническим регламентом. В случае расхождения
сведений между сертификатом соответствия, выданным на
бумажном носителе, и сведениями, внесенными в реестр
сертификатов соответствия и деклараций о соответствии, приоритет
имеют сведения, внесенные в реестр сертификатов соответствия и
деклараций о соответствии.

18.

единый перечень продукции, подлежащей обязательной сертификации

19.

2. Система сертификации средств защиты информации

20.

ПП РФ от 26.06.1995 г. N 608 «О сертификации средств защиты информации»
1. Настоящее Положение устанавливает порядок сертификации
средств защиты информации в Российской Федерации и ее
учреждениях за рубежом.
Технические, криптографические, программные и другие средства,
предназначенные для защиты сведений, составляющих
государственную тайну, средства, в которых они реализованы, а
также средства контроля эффективности защиты информации
являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации,
которая проводится в рамках систем сертификации средств
защиты
информации.
При
этом
криптографические
(шифровальные) средства должны быть отечественного
производства и выполнены на основе криптографических
алгоритмов, рекомендованных ФСБ Российской Федерации.

21.

ПП РФ от 26.06.1995 г. N 608 «О сертификации средств защиты информации»
Системы сертификации создаются Федеральной службой по
техническому и экспортному контролю, Федеральной службой
безопасности Российской Федерации, Министерством обороны
Российской Федерации, уполномоченными проводить работы по
сертификации средств защиты информации в пределах
компетенции, определенной для них законодательными и иными
нормативными актами Российской Федерации
Сертификация средств защиты информации осуществляется на
основании требований государственных стандартов, нормативных
документов,
утверждаемых
Правительством
Российской
Федерации и федеральными органами по сертификации в
пределах их компетенции. Координацию работ по организации
сертификации средств защиты информации осуществляет
Межведомственная комиссия по защите государственной тайны

22.

Приказ ФСТЭК России от 11 февраля 2013 г. N 17
II. Требования к организации защиты
содержащейся в информационной системе
информации,
11. Для обеспечения защиты информации, содержащейся в
информационной системе, применяются средства защиты
информации, прошедшие оценку соответствия в форме
обязательной сертификации на соответствие требованиям по
безопасности информации в соответствии со статьей 5
Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О
техническом
регулировании"
(Собрание
законодательства
Российской Федерации, 2002, N 52, ст. 5140; 2007, N 19, ст. 2293; N
49, ст. 6070; 2008, N 30, ст. 3616; 2009, N 29, ст. 3626; N 48, ст. 5711;
2010, N 1, ст. 6; 2011, N 30, ст. 4603; N 49, ст. 7025; N 50, ст. 7351;
2012, N 31, ст. 4322; 2012, N 50, ст. 6959).

23.

Сертификат соотвествия

24.

Приказ ФСТЭК России от 3 апреля 2018 г. N 55
1. Настоящее Положение разработано в соответствии:
со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N
5485-1 «О государственной тайне»
статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О
техническом регулировании»
подпунктом 13 пункта 8 Положения о Федеральной службе по
техническому и экспортному контролю, утвержденного Указом
Президента Российской Федерации от 16 августа 2004 г. N 1085
Постановлением Правительства Российской Федерации от 26 июня
1995 г. N 608 «О сертификации средств защиты информации»
Постановлением Правительства Российской Федерации от 15 мая
2010 г. N 330 «Об особенностях оценки соответствия продукции
(работ, услуг), используемой в целях защиты сведений, относимых
к охраняемой в соответствии с законодательством…

25.

Система сертификации ФСТЭК России
3. Сертификации в системе сертификации ФСТЭК России подлежат:
• средства
противодействия
иностранным
техническим
разведкам, а также средства контроля эффективности
противодействия иностранным техническим разведкам;
• средства технической защиты информации, включая средства, в
которых они реализованы, а также средства контроля
эффективности технической защиты информации;
• средства
обеспечения
безопасности
информационных
технологий, включая защищенные средства обработки
информации.
Сертификация средств защиты информации иностранного
производства, в отношении которых нормативными правовыми
актами Российской Федерации установлены ограничения или
запреты на их использование в Российской Федерации, в системе
сертификации ФСТЭК России не осуществляется.

26.

Система сертификации ФСТЭК России
3. Сертификации в системе сертификации ФСТЭК России подлежат:
• средства
противодействия
иностранным
техническим
разведкам, а также средства контроля эффективности
противодействия иностранным техническим разведкам;
• средства технической защиты информации, включая средства, в
которых они реализованы, а также средства контроля
эффективности технической защиты информации;
• средства
обеспечения
безопасности
информационных
технологий, включая защищенные средства обработки
информации.
Сертификация средств защиты информации иностранного
производства, в отношении которых нормативными правовыми
актами Российской Федерации установлены ограничения или
запреты на их использование в Российской Федерации, в системе
сертификации ФСТЭК России не осуществляется.

27.

Система сертификации ФСТЭК России
5. Участниками системы сертификации ФСТЭК России являются:
• федеральный орган по сертификации;
• организации, аккредитованные ФСТЭК России в качестве органа
по сертификации (далее - органы по сертификации);
• организации, аккредитованные ФСТЭК России в качестве
испытательной лаборатории (далее - испытательные
лаборатории);
• изготовители средств защиты информации.

28.

Схемы сертификации ФСТЭК России
12. Сертификация средств защиты
осуществляется по следующим схемам:
информации
• для единичного образца средства защиты
информации - проведение испытаний образца
средства защиты информации и проверки
организации его технической поддержки;
• для партии средства защиты информации проведение испытаний выборки образцов средства
защиты информации и проверки организации его
технической поддержки;

29.

Схемы сертификации ФСТЭК России
• для серийного производства средства защиты
информации - проведение испытаний выборки образцов
средства защиты информации и проверки организации
его производства и технической поддержки.
• Сертификация единичного образца или партии средства
защиты
информации
организуется
заявителем,
планирующим применять средство защиты информации,
в случае, если отсутствуют идентичные серийно
производимые сертифицированные средства защиты
информации.
• Сертификация серийного производства средства защиты
информации организуется заявителем, осуществляющим
разработку и (или) производство средства защиты
информации.

30.

Срок действия сертификата
14. Срок действия сертификата соответствия не может
превышать 5 лет.
Сертификат соответствия выдается на срок, указанный в
заявке на сертификацию.
15. По окончании срока действия сертификата соответствия
заявитель вправе подать заявку на продление срока
действия сертификата соответствия.

31.

Порядок проведения сертификации средства защиты информации
18. Сертификация средства защиты информации включает
следующие процедуры:
• подача заявки на сертификацию;
• принятие решения о проведении сертификации средства защиты
информации;
• сертификационные испытания средства защиты информации;
• оформление экспертного заключения по результатам сертификации
средства защиты информации и проекта сертификата соответствия;
• выдача (отказ в выдаче) сертификата соответствия;
• предоставление дубликата сертификата соответствия;
• маркирование средств защиты информации;
• внесение изменений в сертифицированное средство защиты
информации;
• переоформление сертификата соответствия;
• продление срока действия сертификата соответствия;
• приостановление действия сертификата соответствия;
• прекращение действия сертификата соответствия.

32.

Маркирование средств защиты информации
63. На основании сертификата соответствия заявитель организует
маркирование средства защиты информации идентификатором,
состоящим из прописных букв и групп цифр, разделенных точками,
который имеет вид: РОСС RU.01.XXXXX.XXXXXX.
Первая группа знаков содержит прописные буквы и цифры РОСС RU.01,
указывающие на систему сертификации ФСТЭК России.
Вторая группа знаков содержит число от 00001 до 99999, указывающее
на номер сертификата соответствия средства защиты информации.
Третья группа знаков содержит число от 000001 до 999999,
указывающее на заводской или серийный номер образца
сертифицированного средства защиты информации.
Идентификатор может содержать наименование заявителя и (или) его
фирменный знак, наименование средства защиты информации.

33.

Маркирование средств защиты информации
64. В случае сертификации единичного образца средства защиты информации
или партии средства защиты информации идентификатор сертифицированных
образцов средства защиты информации указывается в сертификате
соответствия.
67. Маркирование средств защиты информации осуществляется только при
наличии сертификата соответствия.
Заявитель маркирует идентификатором каждый образец средства защиты
информации, на которое выдан сертификат соответствия.
68. Заявитель ведет журнал, в котором регистрирует промаркированные
образцы средства защиты информации с указанием идентификаторов.
69. Идентификатором маркируется корпус изделия (при наличии) или
съемный машинный носитель информации, содержащий программное
обеспечения сертифицированного средства защиты информации.
Идентификатор заносится в формуляр (паспорт) на средство защиты
информации.
70. Маркирование средств защиты информации, являющихся программным
обеспечением, распространяемым по сетям связи, осуществляется с
применением электронной подписи или любым способом, подтверждающим
подлинность средств защиты информации.

34.

Порядок сертификации в системе сертификации ФСТЭК России
Испытания
1. Проверка документации
Эксперты испытательной лаборатории проверяют соответствие документации предъявляемым к
ней требованиям, а также соответствие между документацией и программным обеспечением
2. Функциональное тестирование
Эксперты испытательной лаборатории проверяют соответствие ПО предъявляемым к нему
функциональным требованиям безопасности
3. Выявление уязвимостей и недекларированных возможностей
Эксперты испытательной лаборатории проводят испытания по выявлению уязвимостей и
недекларированных возможностей в соответствии с применимым уровнем контроля (уровнем
доверия)
В первую очередь эксперты проверяют то, как организация самостоятельно реализует меры по
выявлению уязвимостей и недекларированных возможностей. Если меры реализованы в
соответствии с Методикой ФСТЭК России, то испытательная лаборатория может засчитать отчеты
и результаты, полученные организацией, за сертификационные испытания. Это позволяет
значительно ускорить процесс сертификации

35.

Порядок сертификации в системе сертификации ФСТЭК России
4. Проверка производства
Эксперты испытательной лаборатории проверяют производство ПО.
Обычно проверка производства представляет собой внешний аудит на территории
заявителя, в которой задействовано 2 или 3 эксперта со стороны испытательной
лаборатории.
5. Оформление технического заключения
По результатам всех работ эксперты испытательной лаборатории оформляют
техническое заключение, в котором отражают свои выводы о соответствии или
несоответствии ПО, документации и процессов предъявляемым требованиям.
Техническое заключение вместе со всеми материалами испытаний и документацией
заявителя направляется на экспертизу в орган по сертификации

36.

Выявление уязвимостей и недекларированных возможностей
анализ документации и иных исходных данных;
определение поверхности атаки ПО;
подготовка исследовательского стенда;
анализ архитектуры ПО;
анализ ПО по открытым источникам;
фаззинг-тестирование;
статический анализ (с 5 уровня доверия);
регрессионное и модульное тестирование ПО (с 4 уровня
доверия);
системное тестирование (с 3 уровня доверия);
ручной анализ (при необходимости).

37.

Приказ ФСБ РФ от 13 ноября 1999 г. N 564
Обязательная сертификация в системе сертификации СЗИ-ГТ
проводится на основании федеральных законов "О государственной
тайне", "Об органах федеральной службы безопасности в Российской
Федерации" и постановления Правительства Российской Федерации от
26.06.95 г. N 608 "О сертификации средств защиты информации".
Настоящее
Положение
устанавливает
основные
принципы,
организационную структуру системы сертификации СЗИ-ГТ, порядок
проведения сертификации этих средств, порядок регистрации
сертифицированных средств, а также порядок проведения
инспекционного контроля за сертифицированными средствами.
Государственный контроль и надзор за соблюдением заявителями,
испытательными центрами (лабораториями) и органами по
сертификации правил обязательной сертификации осуществляет ФСБ
России в порядке, установленном законодательством Российской
Федерации.

38.

Виды средств защиты информации, подлежащих сертификации
1. Технические средства защиты информации, включая средства
контроля эффективности принятых мер защиты информации
2. Технические средства и системы в защищенном исполнении
3. Технические средства защиты специальных оперативно-технических
мероприятий (специальных технических средств, предназначенных для
негласного получения информации).
4. Технические средства защиты информации от несанкционированного
доступа (НСД)
5. Программные средства защиты информации от НСД и программных
закладок
6. Защищенные программные средства обработки информации
7. Программно-технические средства защиты информации
8. Специальные средства защиты от идентификации личности
9. Программно-аппаратные средства защиты от несанкционированного
доступа к системам оперативно-розыскных мероприятий (СОРМ) на
линиях связи

39.

Организационная структура системы сертификации СЗИ-ГТ
• ФСБ России (федеральный орган исполнительной власти,
уполномоченный проводить работу по обязательной сертификации
средств защиты информации);
• центральный орган
необходимости);
системы
сертификации
(создается
при
• органы по сертификации СЗИ-ГТ;
• испытательные центры (лаборатории);
• учебно-методический центр;
• заявители (разработчики, изготовители, продавцы, потребители
СЗИ-ГТ).

40.

Форма знака соответствия обязательной сертификации

41.

Для самостоятельного изучения

42.

Спасибо!