Обязательность оценки соответствия по требованиям безопасности информации (обязательная сертификация СЗИ) — НА ПРАКТИКЕ.
Несколько добрых предложений по поводу, когда надо сертифицировать средства защиты информации, а также продукты и системы по требованиям безопасности информации. Где здесь теория, а где реальные дела.
Дело в том, что на практике обязательность оценки соответствия (в области безопасности информации – это сертификация и аттестация) вытекает из требований заказчика, который формулирует требования к разработке, поставке, внедрению продукта или системы в организацию на ее объекты информатизации (объекты ЭВТ, АС, КСА и т.д.).
Например, в ТЗ (ТП) по ОКР (и дальнейшего авторского надзора или техподдержки) может быть указан ГОСТ Р 51583-2000 (Порядок создания автоматизированных систем в защищенном исполнении, см. п.4.15) или указаны требования ФСТЭК России по защите информации и др.
В практической плоскости для взаимодействия с заказчиком полезно знать законодательные требования, но не более того. Можно предложить условную классификацию по признакам: «тип собственности информационного ресурса», «вид тайны», «дополнительные требования к объекту информатизации или системе».
I. Все предельно просто, когда мы работаем с государственным информационным ресурсом, здесь тайна принадлежит государству, системы разрабатываются за средства государства или инициативно (но по требованиям государства).
1.1) Гостайна: средства защиты информации, составляющей сведения, отнесенные к государственной тайне, подлежат обязательной сертификации. См. ФЗ № 5485-I «О гостайне», ПП 608 (Положение по сертификации средств защиты информации).
1.2) Информация ограниченного доступа (информация конфиденциального характера, конфиденциальная информация, в том числе служебная тайна).
Основания для сертификации СЗКИ:
— ПП 330 («Положение об особенностях оценки соответствия продукции…»);
— требования ФСТЭК (СТР-К, «Положение по сертификации..» и др.) и ФСБ, отраслевые и внутриведомственные дополнительные требования (которые опираются на документы ФСТЭК России и других систем обязательной сертификации: Минобороны России, ФСБ России, СВР России).
1.3) Требования к объектам (для ряда систем, независимо от конфиденциальности обрабатываемой информации, определены требования по сертификации ПО, АС, ТС, СЗИ от НСД и др.):
— СЗИ ИТКС МИО (СОП, Интернет) и СЗИ Федеральных государственных ИС ОП;
— системы управления экологически опасным производством, объектами, имеющими важное оборонное и экономическое значение;
— ПО, АО, СЗИ критически важных объектов КСИИ, КСИИ;
— системы вооружения (ГОСТ Р 51189, прил.В) и автоматизированные системы в защищенном исполнении (ГОСТ Р 51583-2000).
Примечание: перечени СЗИ формально определены в ведомственных документах в рамках компетенции ФСТЭК, ФСБ, Минобороны, СВР. Например, в Перечень СЗИ в Минобороны включены, кроме собственно средств защиты, еще информационные системы, пдсч, программное обеспечение общего назначения и разное другое. В ФСТЭК обязательная сертификация систем происходит в виде обязательной аттестации.
II. В настоящее время можно выделить особо персональные данные – личная и семейная тайна, принадлежит субъекту.
Основание для сертификации СЗ ПДн: ПП 781, ПП 330.
Примечание: в «Положении о методах и способах…» приведен более широкий спектр СЗИ, подлежащих сертификации, чем в СТР-К.
III. Негосударственные (частные, общественные) организации, где коммерческая тайна, банковская тайна и другие виды тайн принадлежат негосударственной организации.
Здесь все зависит от дополнительных требований к объектам информатизации (ИС). Можно встретить требования по сертификации:
— ПО, АО, СЗИ критически важных объектов КСИИ, КСИИ;
— «экзотических» продуктов и систем: игральные автоматы, СЗИ кредитных историй;
Могут быть внутрикорпоративные требования.
Надо понимать, что выполнение рекомендаций по аттестации объекта информатизации автоматически определит обязательные требования по сертификации СЗИ.
Само собой, получение госзаказа, комплексирование негосударственных систем с государственными и т.д, в результате которых можно получить информацию, отнесенную к ГИР, требует от частных компаний соблюдения требований, указанных ранее в п.I.
Когда же «добровольно» обращаются к добровольным системам сертификации по требованиям безопасности информации? 🙂
Добровольные системы используются либо когда имеется неопределенность (выраженный субъективизм) в требованиях заказчика по времени получения или форме сертификата («АйТиСертифика»), либо имеется элемент, так сказать, условной добровольности («Газпромсерт»).
Нудно получилось, пардон. 🙂
Добрый день! Можно уточнить, когда же в теории и на практике все-таки можно прибегнуть к добровольной сертификации? Спасибо.
добровольное лицензирование как и все добровольное звучит как-то смешно для нашей страны
>> когда же в теории и на практике все-таки можно прибегнуть к добровольной сертификации
Спасибо за вопрос, см:
http://s3r.ru/09/01/2011/sertifikatsiya_szi/voluntary-certification/
Добрый день!
Не совсем понял насчет сертификации СЗИ КСИИ. Подскажите должны ли быть сертификаты на СЗИ КСИИ КВО? На основании каких документов?
Спасибо!
Добрый день!
Сейчас есть нормативно-методическая база ФСТЭК России (ДСП), которая касается непосредственно КСИИ:
— Базовая модель угроз безопасности информации…
— Методика определения актуальных угроз безопасности…
— Общие требования по обеспечению безопасности информации…
— Рекомендации по обеспечению безопасности информации..
В этих документах четко сказано, что системы должны быть сертифицированы и тд.
Далее. Есть еще много нечеткостей… Например, согласно Положению по сертификации ФСТЭК России (п.1.6) СЗИ КВО подлежат обязательной сертификации по требованиям безопасности информации.
Еще есть РД по АСУ ТП, но они закрытые.
Проблема в том, что на практике не понятно, какие конкретно информационные системы подпадают под понятия КСИИ и КВО с официальной документированной точки зрения.
Федеральный закон по этой тематике на этапе обсуждения и чтения.
Скорее всего, после его принятия, начнутся изменения НПА органов исполнительной власти в части их касающейся.