Несколько добрых предложений по поводу, когда надо сертифицировать средства защиты информации, а также продукты и системы по требованиям безопасности информации. Где здесь теория, а где реальные дела.
Дело в том, что на практике обязательность оценки соответствия (в области безопасности информации – это сертификация и аттестация) вытекает из требований заказчика, который формулирует требования к разработке, поставке, внедрению продукта или системы в организацию на ее объекты информатизации (объекты ЭВТ, АС, КСА и т.д.).
Например, в ТЗ (ТП) по ОКР (и дальнейшего авторского надзора или техподдержки) может быть указан ГОСТ Р 51583-2000 (Порядок создания автоматизированных систем в защищенном исполнении, см. п.4.15) или указаны требования ФСТЭК России по защите информации и др.
В практической плоскости для взаимодействия с заказчиком полезно знать законодательные требования, но не более того. Можно предложить условную классификацию по признакам: «тип собственности информационного ресурса», «вид тайны», «дополнительные требования к объекту информатизации или системе».
I. Все предельно просто, когда мы работаем с государственным информационным ресурсом, здесь тайна принадлежит государству, системы разрабатываются за средства государства или инициативно (но по требованиям государства).
1.1) Гостайна: средства защиты информации, составляющей сведения, отнесенные к государственной тайне, подлежат обязательной сертификации. См. ФЗ № 5485-I «О гостайне», ПП 608 (Положение по сертификации средств защиты информации).
1.2) Информация ограниченного доступа (информация конфиденциального характера, конфиденциальная информация, в том числе служебная тайна).
Основания для сертификации СЗКИ:
— ПП 330 («Положение об особенностях оценки соответствия продукции…»);
— требования ФСТЭК (СТР-К, «Положение по сертификации..» и др.) и ФСБ, отраслевые и внутриведомственные дополнительные требования (которые опираются на документы ФСТЭК России и других систем обязательной сертификации: Минобороны России, ФСБ России, СВР России).
1.3) Требования к объектам (для ряда систем, независимо от конфиденциальности обрабатываемой информации, определены требования по сертификации ПО, АС, ТС, СЗИ от НСД и др.):
— СЗИ ИТКС МИО (СОП, Интернет) и СЗИ Федеральных государственных ИС ОП;
— системы управления экологически опасным производством, объектами, имеющими важное оборонное и экономическое значение;
— ПО, АО, СЗИ критически важных объектов КСИИ, КСИИ;
— системы вооружения (ГОСТ Р 51189, прил.В) и автоматизированные системы в защищенном исполнении (ГОСТ Р 51583-2000).
Примечание: перечени СЗИ формально определены в ведомственных документах в рамках компетенции ФСТЭК, ФСБ, Минобороны, СВР. Например, в Перечень СЗИ в Минобороны включены, кроме собственно средств защиты, еще информационные системы, пдсч, программное обеспечение общего назначения и разное другое. В ФСТЭК обязательная сертификация систем происходит в виде обязательной аттестации.
II. В настоящее время можно выделить особо персональные данные – личная и семейная тайна, принадлежит субъекту.
Основание для сертификации СЗ ПДн: ПП 781, ПП 330.
Примечание: в «Положении о методах и способах…» приведен более широкий спектр СЗИ, подлежащих сертификации, чем в СТР-К.
III. Негосударственные (частные, общественные) организации, где коммерческая тайна, банковская тайна и другие виды тайн принадлежат негосударственной организации.
Здесь все зависит от дополнительных требований к объектам информатизации (ИС). Можно встретить требования по сертификации:
— ПО, АО, СЗИ критически важных объектов КСИИ, КСИИ;
— «экзотических» продуктов и систем: игральные автоматы, СЗИ кредитных историй;
Могут быть внутрикорпоративные требования.
Надо понимать, что выполнение рекомендаций по аттестации объекта информатизации автоматически определит обязательные требования по сертификации СЗИ.
Само собой, получение госзаказа, комплексирование негосударственных систем с государственными и т.д, в результате которых можно получить информацию, отнесенную к ГИР, требует от частных компаний соблюдения требований, указанных ранее в п.I.
Когда же «добровольно» обращаются к добровольным системам сертификации по требованиям безопасности информации? 🙂
Добровольные системы используются либо когда имеется неопределенность (выраженный субъективизм) в требованиях заказчика по времени получения или форме сертификата («АйТиСертифика»), либо имеется элемент, так сказать, условной добровольности («Газпромсерт»).
Нудно получилось, пардон. 🙂
Possibly Related Posts: