Сертификация и аттестация

Общее описание процедуры аттестации автоматизированных систем по требованиям информационной безопасности

В современных условиях наиболее перспективным способом проверки достигнутого качества функционирования и уровня защищенности автоматизированных систем (АС) является процедура аттестации. В то время как для многих коммерческих АС аттестация носит добровольный характер, существует достаточно многочисленная категория АС, для которых аттестация, согласно действующему законодательству, является обязательным условием для начала или продолжения их эксплуатации. В их число входят АС, предназначенные для обработки информации, составляющей государственную тайну, для управления экологически опасными объектами и для ведения секретных переговоров.

Может ли сертификация гарантировать безопасность?

В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация "не работает" и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим вопросом.

Методология оценки безопасности информационных технологий по общим критериям

В 1990 году под эгидой Международной организации по стандартизации (ИСО) и при содействии в дальнейшем государственных организаций США, Канады, Великобритании, Франции, Германии и Нидерландов были развернуты работы по созданию международного стандарта (исторически сложившееся название — Общие критерии) в области оценки безопасности информационных технологий (ИТ).

Нормативная база информационной безопасности: время строительства

Весной этого года в соответствии с Программой разработки технических регламентов на 2005 – 2006 гг., утвержденной Распоряжением Правительства РФ №1421-р от 06. 11. 2004, начата разработка двух технических регламентов: «О безопасности информационных технологий» и «О требованиях к средствам обеспечения безопасности информационных технологий» . Они станут дополнением к закону «О техническом регулировании» и будут иметь силу закона РФ.

О роли государства в регулировании разработки, производства и обращения средств защиты информации

С момента возникновения на территории бывшего СССР ряда независимых образований и формирования России как самостоятельного государства остро встал вопрос о необходимости коренной переработки законодательной базы страны во всех областях деятельности общества и государства. В полной мере это относилось и к сфере деятельности, связанной с вопросами обеспечения информационной безопасности как Российской Федерации в целом, так и по отдельным частным направлениям этой проблемы.

Проблемы лицензирования и сертификации при использовании электронной цифровой подписи

Вопрос об использовании электронной цифровой подписи (ЭЦП) для многих участников предпринимательской деятельности уже давно решен. Предпочитая обмениваться электронными документами, заключать договоры и подписывать акты на расстоянии, совершать иные действия дистанционно, частные предприниматели и организации используют в своей деятельности криптографические средства шифрования, пользуясь преимуществами, что дает ЭЦП. Банки для привлечения клиентов предлагают систему "Банк-Клиент. С помощью дистанционного банковского обслуживания, клиент может осуществлять расчеты через сеть Интернет, что убыстряет сам процесс проведения расчетов между хозяйственными субъектами.

Аттестация автоматизированной системы по требованиям безопасности информации

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект отвечает требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.

О лицензировании и сертификации в области защиты информации

Данная работа представляет собой сокращенный, актуализированный с учетом ряда происшедших за последний период изменений, вариант изданной в качестве учебного пособия книги "Лицензирование и сертификация в области защиты информации", опубликованной в прошедшем году в МИФИ. Не проходящий и не снижающийся интерес к этой проблематике, несмотря на относительно большой объем публикаций по данному вопросу, объясняется тем, что происходящие в стране процессы существенно затронули проблему организации системы защиты информации во всех ее сферах - разработки, производства, реализации, эксплуатации средств защиты, подготовки соответствующих кадров. Прежние традиционные подходы в современных условиях уже не в состоянии обеспечить требуемый уровень безопасности государственно значимой и частной конфиденциальной информации, циркулирующей в информационно-телекоммуникационных системах страны.

Инструментальные средства аттестации программных ресурсов объектов информатизации

При аттестации распределенных объектов информатизации (ОИ) самым сложным и трудоемким является испытание программных ресурсов (ПР) ОИ по требованиям информационной безопасности (ИБ) [4]. Так, если вопросы спецпрповерок и специсследований аппаратуры, категорирования помещений, защиты отдельного компьютера достаточно проработаны [2,7,9], то задача анализа и контроля защищенности ПР сложных распределенных систем до сих пор не имеет законченного решения.

Отсутствие сертификата российского образца стало конкурентным недостатком

В мире существует множество систем сертификации программных продуктов, как международных, так и национальных. Они нужны любому государству, стремящемуся обеспечить контроль над информацией определенной категории, в первую очередь связанной с обеспечением национальной безопасности. Производители ПО обязаны учитывать требования, налагаемые международными и национальными законами на информационные системы, предназначенные для работы с такой информацией. О задачах и особенностях организации российских систем сертификации ПО для госсектора научный редактор PC Week/RE Валерий Васильев беседует с Владимиром Мамыкиным, директором по информационной безопасности Microsoft Россия и Павлом Ершовым, директором департамента по работе с государственными и общественными организациями Microsoft Россия.

Сертификация ИБ-продуктов: что будет после 1 июля?

Вступление в силу закона "О персональных данных" подстегивает спрос на ИБ-средства, прошедшие государственную сертификацию. Сегодня на российском рынке далеко не все вендоры предлагают подобные решения. О том, какие выгоды приносит сертификация и в чем собственно она заключается, CNews рассказали специалисты российского представительства компании Trend Micro.

Kerio Control 7.2.3 сертифицирован ФСТЭК по 4 классу защищенности

Прошло всего лишь чуть более четырех лет с той поры, как силиконовые эмигранты пришли к выводу, что в России все равно придется играть по российским правилам, какой бы Буш их нам не устанавливал. Осознав это, гении мелкого софта смирились с существованием такой странной организации, как ФСТЭК и даже решили попытаться извлечь выгоду из ее существования, переложив всю заботу о пополнении откатной фстековской кормушки на самих фстековцев. Таким вот образом в России появились единственно законные средства (на языке мздоимцев - сертифицированные ФСТЭК) защиты информации - Windows ХР, Windows 2003 Server, MS SQL Server 2005 и т.п. ранее "неизвестные" широкой публике шедевры безопасности.