Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЗАКОНОДАТЕЛЬСТВО НОРМАТИВНЫЕ ДОКУМЕНТЫ ФСТЭК РОССИИ Отечественная нормативная база в области информационной безопасности
Protectiva Compliance Manager
Навигация
 

Отечественная нормативная база в области информационной безопасности

Операции с документом
Нормативную базу в области сертификации безопасности автоматизированных систем в нашей стране составляют государственные стандарты, руководящие документы Гостехкомиссии РФ, Министерства обороны РФ и ФАПСИ.

Правовой базой работ по сертификации информационных технологий являются законы РФ “О сертификации продукции и услуг”, “О стандартизации”, “Об информатизации и защите информации”, “О государственной тайне”, “О защите прав потребителей”, Указы президента РФ, постановления правительства РФ, а также ряд других подзаконных актов. Национальным органом по сертификации определен Госстандарт РФ. Процедура сертификации безопасности автоматизированных систем, входящая в состав более общей процедуры сертификации качества функционирования АС, должна опираться на государственные стандарты, определяющие систему функциональных показателей, оцениваемых при сертификации, регламентирующие управление проектированием и документирование программного обеспечения. Поскольку комплексы отечественных стандартов, регламентирующих документирование АС на различных стадиях ее создания, представляют во многом морально устаревшие стандарты серий “Информационная технология”, “Единая система стандартов автоматизированной системы управления” и “Единой системы программной документации”, поэтому не имеет смысла приводить их полный перечень.

Указом Президента РФ от 30.03.94г. № 614 функции межведомственной комиссии по защите гостайны были временно возложены на Гостехкомиссию при Президенте РФ. В целом же на Гостехкомиссию возложены обязанности по координации, организационно-методическому руководству, лицензированию деятельности предприятий и сертификации продукции в области защиты информации. В соответствии с Постановлением Правительства РФ от 26.06.95г. № 608 “О сертификации средств защиты информации" созданы системы сертификации Гостехкомиссии при Президенте РФ, Министерства обороны РФ, разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации в этих системах. Центральным органом системы сертификации средств криптографической защиты информации является ФАПСИ.

В нашей стране методологической базой нормативно-технических и методических документов, посвященных вопросам сертификации безопасности СВТ и АС, является РД Гостехкомиссии “Концепция защиты СВТ и АС от НСД к информации”, а также “Защита от НСД к информации. Термины и определения.” Эти документы содержат:

  • Основные термины и определения в области защиты информации
  • Определение понятия НСД
  • Основные принципы защиты от НСД
  • Модель нарушителя в АС
  • Основные способы НСД
  • Основные направления обеспечения защиты от НСД
  • Основные характеристики технических средств защиты от НСД
  • Классификация АС
  • Организация работ по защите от НСД

Другим основополагающим РД в области сертификации СЗИ является “Положение о сертификации средств защиты информации по требованиям безопасности информации”, устанавливающее организационную структуру системы сертификации, порядок проведения сертификации СЗИ и контроля и основные требования к нормативным и методическим документам по сертификации СЗИ.

Организационную структуру системы сертификации образуют:

  • Гостехкомиссия России (федеральный орган по сертификации средств защиты информации);
  • центральный орган системы сертификации средств защиты информации;
  • органы по сертификации средств защиты информации;
  • испытательные центры (лаборатории);
  • заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).

Порядок проведения сертификации включает следующие действия:

  • подачу и рассмотрение заявки на сертификацию средств защиты информации;
  • испытания сертифицируемых средств защиты информации и аттестация их производства;
  • экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
  • осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
  • информирование о результатах сертификации средств защиты информации;
  • рассмотрение апелляций.

Критерии оценки безопасности АС и СВТ выражены в РД Гостехкомиссии РФ: “АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.

РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

  • первая группа содержит только один седьмой класс;
  • вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
  • третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
  • четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

  • наличие в АС информации различного уровня конфиденциальности;
  • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  • режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

РД “Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ” регламентирует следующие основные вопросы:

  • организационную структуру и порядок проведения работ по защите информации от НСД и взаимодействия при этом на государственном уровне;
  • систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме;
  • порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД;
  • порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации.

Согласно настоящему временному положению, при разработке средств и систем защиты в АС и СВТ необходимо руководствоваться требованиями следующих руководящих документов:

  • Концепция защиты СВТ и АС от НСД к информации;
  • Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ;
  • Термины и определения по защите от НСД к информации;
  • Показатели защищенности СВТ от НСД к информации;
  • Классификация АС и требования по защите информации от НСД в АС различных классов.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2023 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex