Что такое оценка соответствия в области информационной безопасности?

0

Часто возникают споры, что такое оценка и подтверждение соответствия, когда они обязательно нужны, в какой форме, в чем специфика относительно области технической защиты информации и ИБ?
Дело в том, что основным источником полемики выступает ФЗ-184 «О техническом регулировании». Но Закон, как известно, в явном виде никак не касается технической защиты информации, поэтому хотелось бы чуть абстрагироваться от политесов. В этом случае весьма любопытна международная нормативная практика, например, есть международный стандарт ISO 17000 (аналог — ГОСТ Р ИСО/МЭК 17000-2009).

В этом стандарте под оценкой соответствия, вообщем-то, понимается доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу выполнены . Допускается, что доказательство может быть прямым или косвенным, формальным или неформальным. По ИСО 17000 выдача документально оформленного заявления (удостоверения) о соответствии заданным требованиям называют подтверждением соответствия. Примерами таких заявлений могут быть сертификаты, аттестаты,  заключения, выданные официальными органами по оценке соответствия.

Совокупность участников, правил, процедур и менеджмента, используемых для выполнения оценки соответствия, представляет собой некую систему оценки соответствия. В нашей стране в области безопасности информации примерами таких систем являются федеральные обязательные системы сертификации Минобороны России, СВР России, ФСБ России и ФСТЭК России, а также добровольные системы сертификации по безопасности информации.

Базовыми видами деятельности по оценке соответствия являются:

  • испытание,
  • контроль,
  • сертификация,
  • аккредитация органов по оценке соответствия.

В области информационной безопасности примерами видов деятельности по оценке соответствия или их процедурами являются сертификация средств защиты информации, аттестация объектов информатизации, лицензирование деятельности, аккредитация органов, лабораторий, центров, различные виды испытаний и контроля по требованиям безопасности информации, а также аудит безопасности программных средств, информационных систем и систем менеджмента информационной безопасности.

С точки зрения независимости (для нашей страны читай — достоверности) доказательства оценки соответствия различают деятельность трех сторон:

  • первая сторона, представляющая объект оценки, например: корпорация-разработчик или поставщик;
  • вторая сторона, заинтересованная в объекте оценки как ее пользователь, например, представитель заказчика (военная приемка);
  • третья сторона, независимая от первой и второй сторон, например, аккредитованная испытательная лаборатория.

К примеру, средства защиты информации подлежат оценке соответствия в форме обязательной сертификации. Аккредитованные органы сертификации и испытательные лаборатории, участвующие в процессе сертификации, должны быть независимы, т.е. являться третьими сторонами. В тоже время аттестация объектов информатизации может быть проведена самой организацией, т.е. первой стороной. Однако подтверждение соответствия первой стороной называется декларированием (декларацией) о соответствии.  Получается, что аттестация (которая в документах ФСТЭК России определена как часть сертификации) может быть на деле каким-то там декларированием. 🙂

Приведем примеры видов деятельности и объектов оценки соответствия по требованиям безопасности информации.

 

Виды и процедуры оценки соответствия

Лицо, организация, орган

Первая сторона

Вторая сторона

Третья сторона

Объекты оценки соответствия

Предварительные
испытания
Проекты,
макеты, образцы СЗИ
   
Входной
контроль
  СЗИ  
Приемка   СЗИ  
Периодический
контроль
СЗИ СЗИ СЗИ
Экспертиза     Документы
Сертификация     СЗИ
Аттестация ОИ* ОИ* ОИ
Контроль
встраивания
    Криптографические
СЗИ
Декларирование Документация    
Поверка     Средства
измерений
Калибровка Средства измерений Средства
измерений
Средства
измерений
Спецэкспертиза     Организации
Аккредитация     Организации
Инспекционный
контроль
    СЗИ, ОИ,
организации
Аудит СЗИ,
системы, организации
СЗИ, системы, организации СЗИ,
системы, организации

 * лицензиат ФСТЭК может аттестовать любые ОИ, не отнесенные к гостайне.

 

Справедливости ради следует сказать, что область определений и терминов по оценке соответствия имеет весьма размытые рамки. Например, в славном ГОСТ ИСО 17000-2009 под подтверждением соответствия понимают выдачу документа (заявления) о соответствии или несоответствии, а вот в Законе № 184-ФЗ «О техническом регулировании»   написали, пардон-мадам, что это вид деятельности: сертификация или декларация (точнее декларирование, декларация — это документ)…

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *