Что такое оценка соответствия в области информационной безопасности?

Часто возникают споры, что такое оценка и подтверждение соответствия, когда они обязательно нужны, в какой форме, в чем специфика относительно области технической защиты информации и ИБ?
Дело в том, что основным источником полемики выступает ФЗ-184 «О техническом регулировании». Но Закон, как известно, в явном виде никак не касается технической защиты информации, поэтому хотелось бы чуть абстрагироваться от политесов. В этом случае весьма любопытна международная нормативная практика, например, есть международный стандарт ISO 17000 (аналог — ГОСТ Р ИСО/МЭК 17000-2009).

В этом стандарте под оценкой соответствия, вообщем-то, понимается доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу выполнены . Допускается, что доказательство может быть прямым или косвенным, формальным или неформальным. По ИСО 17000 выдача документально оформленного заявления (удостоверения) о соответствии заданным требованиям называют подтверждением соответствия. Примерами таких заявлений могут быть сертификаты, аттестаты,  заключения, выданные официальными органами по оценке соответствия.

Совокупность участников, правил, процедур и менеджмента, используемых для выполнения оценки соответствия, представляет собой некую систему оценки соответствия. В нашей стране в области безопасности информации примерами таких систем являются федеральные обязательные системы сертификации Минобороны России, СВР России, ФСБ России и ФСТЭК России, а также добровольные системы сертификации по безопасности информации.

Базовыми видами деятельности по оценке соответствия являются:

• испытание,
• контроль,
• сертификация,
• аккредитация органов по оценке соответствия.

В области информационной безопасности примерами видов деятельности по оценке соответствия или их процедурами являются сертификация средств защиты информации, аттестация объектов информатизации, лицензирование деятельности, аккредитация органов, лабораторий, центров, различные виды испытаний и контроля по требованиям безопасности информации, а также аудит безопасности программных средств, информационных систем и систем менеджмента информационной безопасности.

С точки зрения независимости (для нашей страны читай — достоверности) доказательства оценки соответствия различают деятельность трех сторон:

• первая сторона, представляющая объект оценки, например: корпорация-разработчик или поставщик;
• вторая сторона, заинтересованная в объекте оценки как ее пользователь, например, представитель заказчика (военная приемка);
• третья сторона, независимая от первой и второй сторон, например, аккредитованная испытательная лаборатория.

К примеру, средства защиты информации подлежат оценке соответствия в форме обязательной сертификации. Аккредитованные органы сертификации и испытательные лаборатории, участвующие в процессе сертификации, должны быть независимы, т.е. являться третьими сторонами. В тоже время аттестация объектов информатизации может быть проведена самой организацией, т.е. первой стороной. Однако подтверждение соответствия первой стороной называется декларированием (декларацией) о соответствии.  Получается, что аттестация (которая в документах ФСТЭК России определена как часть сертификации) может быть на деле каким-то там декларированием. 🙂

Приведем примеры видов деятельности и объектов оценки соответствия по требованиям безопасности информации.

 * лицензиат ФСТЭК может аттестовать любые ОИ, не отнесенные к гостайне.

Справедливости ради следует сказать, что область определений и терминов по оценке соответствия имеет весьма размытые рамки. Например, в славном ГОСТ ИСО 17000-2009 под подтверждением соответствия понимают выдачу документа (заявления) о соответствии или несоответствии, а вот в Законе № 184-ФЗ «О техническом регулировании»   написали, пардон-мадам, что это вид деятельности: сертификация или декларация (точнее декларирование, декларация — это документ)…