Важно помнить, что сертификация всего программного обеспечения в России проводится на соответствие требованиям по безопасности информации.
Кто формулирует эти требования и на кого они распространяются?
Разберем по порядку:
Согласно положению о сертификации: сертификация средств защиты осуществляется на соответствие требованиям по обеспечению безопасности информации.
И тут оказывается, что требования устанавливаются не только нормативными правовыми актами ФСТЭК, но и документами заявителя, которые нужно согласовывать со ФСТЭК (техническими условиями, техническим заданием, заданием по безопасности). Так что, называть требования по безопасности информации «требованиями ФСТЭК» не совсем верно.
Требования ФСТЭК
В самом положении о сертификации на соответствие требованиям по безопасности информации требования не уточняются и не перечисляются. В мерах защиты упоминаются средства защиты каких типов и классов нужно применять. Типы средств защиты описаны в профилях защиты. На базе международных стандартов, известных как «Общие критерии», сначала Гостехкомиссия, а потом и ФСТЭК начали выпускать свои методические документы. Некоторые из них были приняты прямо на основании «Общих критериев», другие разработаны на базе стандартов по профилям защиты.
Профиль защиты
Документ, в котором собраны все требования безопасности информации для определенного типа ИТ-продуктов и систем, называется профиль защиты. Для сертификации программного обеспечения профили защиты – это основной тип документов с требованиями.
Тип – это рыночная категория продуктов по их функциональности и, в частности, по видам угроз, которые они должны нейтрализовать (например, профили на операционные системы, межсетевые экраны, системы обнаружения вторжений и тп).
Средства защиты делятся по их стойкости на классы защиты: принято, что чем меньше номер класса, тем выше его стойкость. Соответственно, чем более высокий уровень защиты требуется, тем выше должен быть класс защиты используемого сертифицированного ПО.
По предыдущему положению о сертификации сертифицировались средства защиты данных (на один из шести классов защиты) и средства вычислительной техники (на один из семи классов защищенности). Для определения соответствия всех этих средств руководствуются специальными таблицами соответствия.
В данный момент приняты 6 групп профилей. Каждая группа имеет несколько профилей для разных типов и классов защиты продуктов. Но, кроме профиля, универсальным набором требований являются требования доверия, которые заменили собой требования на отсутствие не декларированных возможностей.
Требования заявителя
Одних только профилей защиты недостаточно, поэтому требования ФСТЭК в виде профилей защиты и уровней доверия могут быть расширены требованиями заявителя. Эти требования составляются в виде документов. Виды этих документов перечислены в положении о сертификации, где описывается часть требований, специфичная для конкретного класса или даже продукта. Иногда, итоговые требования получаются не вполне прозрачными, сложными, но зато это дает гибкость и возможность провести сертификацию и аттестацию по требованиям безопасности информации почти для любого ПО, в котором есть что сертифицировать (присутствуют функции безопасности).
Бывает так, что для продукта вообще нет подходящего профиля. Чаще всего это бывает с прикладным ПО, в котором есть функции защиты. Тогда требования обеспечения безопасности (защиты) информации добавляются в технические условия. Они фактически описывают продукт, его основные характеристики, в том числе функции (механизмы) защиты информации. Цель этого документа – зафиксировать заявленные характеристики продукта, на соответствие которым и будут проходить сертификационные испытания. Технические условия — это тоже конструкторский документ, его формат должен соответствовать ГОСТ 2.114-95.
Все требования заявителя к функциям защиты должны быть согласованы ФСТЭК. При согласовании, проверяется соответствие показателей функций защиты методическим указаниям для государственных информационных систем. То есть если в продукте реализована какая-то функция защиты, то берется такая же функция из методических указаний, и проверяется, чтобы функция в продукте была реализована не хуже по защищенности.
В процессе сертификация программного обеспечения ФСТЭК есть 4 роли:
· федеральный орган по сертификации,
· аккредитованные органы по сертификации,
· испытательные лаборатории,
· изготовители средств защиты.
Такая структура не совсем совпадает с той, что задана в законе о техническом регулировании, но соответствует прописанной в постановлении правительства о сертификации средств защиты.