Отечественная нормативная база в области информационной безопасности

Нормативную базу в области сертификации безопасности автоматизированных систем в нашей стране составляют государственные стандарты, руководящие документы Гостехкомиссии РФ, Министерства обороны РФ и ФАПСИ.

Правовой базой работ по сертификации информационных технологий являются законы РФ “О сертификации продукции и услуг”, “О стандартизации”, “Об информатизации и защите информации”, “О государственной тайне”, “О защите прав потребителей”, Указы президента РФ, постановления правительства РФ, а также ряд других подзаконных актов. Национальным органом по сертификации определен Госстандарт РФ. Процедура сертификации безопасности автоматизированных систем, входящая в состав более общей процедуры сертификации качества функционирования АС, должна опираться на государственные стандарты, определяющие систему функциональных показателей, оцениваемых при сертификации, регламентирующие управление проектированием и документирование программного обеспечения. Поскольку комплексы отечественных стандартов, регламентирующих документирование АС на различных стадиях ее создания, представляют во многом морально устаревшие стандарты серий “Информационная технология”, “Единая система стандартов автоматизированной системы управления” и “Единой системы программной документации”, поэтому не имеет смысла приводить их полный перечень.

Указом Президента РФ от 30.03.94г. № 614 функции межведомственной комиссии по защите гостайны были временно возложены на Гостехкомиссию при Президенте РФ. В целом же на Гостехкомиссию возложены обязанности по координации, организационно-методическому руководству, лицензированию деятельности предприятий и сертификации продукции в области защиты информации. В соответствии с Постановлением Правительства РФ от 26.06.95г. № 608 “О сертификации средств защиты информации" созданы системы сертификации Гостехкомиссии при Президенте РФ, Министерства обороны РФ, разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации в этих системах. Центральным органом системы сертификации средств криптографической защиты информации является ФАПСИ.

В нашей стране методологической базой нормативно-технических и методических документов, посвященных вопросам сертификации безопасности СВТ и АС, является РД Гостехкомиссии “Концепция защиты СВТ и АС от НСД к информации”, а также “Защита от НСД к информации. Термины и определения.” Эти документы содержат:

• Основные термины и определения в области защиты информации
• Определение понятия НСД
• Основные принципы защиты от НСД
• Модель нарушителя в АС
• Основные способы НСД
• Основные направления обеспечения защиты от НСД
• Основные характеристики технических средств защиты от НСД
• Классификация АС
• Организация работ по защите от НСД

Другим основополагающим РД в области сертификации СЗИ является “Положение о сертификации средств защиты информации по требованиям безопасности информации”, устанавливающее организационную структуру системы сертификации, порядок проведения сертификации СЗИ и контроля и основные требования к нормативным и методическим документам по сертификации СЗИ.

Организационную структуру системы сертификации образуют:

• Гостехкомиссия России (федеральный орган по сертификации средств защиты информации);
• центральный орган системы сертификации средств защиты информации;
• органы по сертификации средств защиты информации;
• испытательные центры (лаборатории);
• заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).

Порядок проведения сертификации включает следующие действия:

• подачу и рассмотрение заявки на сертификацию средств защиты информации;
• испытания сертифицируемых средств защиты информации и аттестация их производства;
• экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
• осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
• информирование о результатах сертификации средств защиты информации;
• рассмотрение апелляций.

Критерии оценки безопасности АС и СВТ выражены в РД Гостехкомиссии РФ: “АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.

РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

• первая группа содержит только один седьмой класс;
• вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
• третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
• четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
• режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

РД “Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ” регламентирует следующие основные вопросы:

• организационную структуру и порядок проведения работ по защите информации от НСД и взаимодействия при этом на государственном уровне;
• систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме;
• порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД;
• порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации.

Согласно настоящему временному положению, при разработке средств и систем защиты в АС и СВТ необходимо руководствоваться требованиями следующих руководящих документов:

• Концепция защиты СВТ и АС от НСД к информации;
• Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ;
• Термины и определения по защите от НСД к информации;
• Показатели защищенности СВТ от НСД к информации;
• Классификация АС и требования по защите информации от НСД в АС различных классов.