Закрыть окно

Сертификация на соответствие требованиям защиты от несанкционированного доступа к информации

К средствам защиты информации от несанкционированного доступа (НСД) могут относиться:

межсетевые экраны;
средства обнаружения вторжений;
операционные системы;
средства антивирусной защиты;
средства доверенной загрузки;
средства контроля съемных носителей;
другие виды СрЗИ.

Испытания предусматривают:

Проверку программной и эксплуатационной документации на СрЗИ;
Проверки соответствия заявленных функций безопасности;
Испытания на соответствие требованиям к уровню доверия.

Межсетевые экраны

Межсетевые экраны (МЭ) относятся к программным и программно-техническим средствам, реализующим функции контроля и фильтрации в соответствии с заданными правилами проходящих через них информационных потоков и используемым в целях обеспечения защиты (некриптографическими методами) информации ограниченного доступа.

Сертификация МЭ проводится на соответствие Требованиям к МЭ и Профилям защиты МЭ.

Требования к МЭ утверждены приказом ФСТЭК России от 9 февраля 2016 г. № 9 (зарегистрирован Минюстом России 25 марта 2016 г., регистрационный № 41564).

Требования доверия к безопасности МЭ с 1 июня 2019 г. определяются Требованиями к уровням доверия, утвержденными приказом ФСТЭК России от 30 июля 2018 г. № 131.

В заявке на сертификацию в пункте «Требования по безопасности информации» необходимо указывать Требования к МЭ, Профиль(и) защиты МЭ, Требования к уровню доверия.

При сертификации программно-технического МЭ проводятся проверки аппаратной платформы МЭ и программного обеспечения, включая микропрограммное обеспечение, общесистемное и прикладное программное обеспечение.

! В программно-техническом МЭ не должно содержаться незадекларированных функций безопасности или сторонних программ.

Интеграция МЭ с другими видами СрЗИ допускается в составе единого средства, но в этом случае проводится сертификация всех компонентов средства либо исключается возможность их использования.

Типы МЭ

тип «А»	уровня сети	- МЭ, применяемый на физической границеинформационной системы или между физическими границами сегментов информационной системы; - только программно-техническое исполнение
тип «Б»	уровня логических границ сети	- МЭ, применяемый на логической границе информационной системы или между логическими границами сегментов информационной системы; - программное или программно-техническое исполнение
тип «В»	уровня узла	- МЭ, применяемый на узле (хосте) информационной системы; - только программное исполнение; - установка на мобильных или стационарных технических средствах конкретного узла информационной системы
тип «Г»	уровня веб-сервера	- МЭ, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов; - программное или программно-техническое исполнение; - обеспечение контроля и фильтрации информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера
тип «Д»	уровня промышленной сети	- МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами; - программное или программно-техническое исполнение; - обеспечение контроля и фильтрации промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы)

Классы защиты МЭ

Класс защиты МЭ	Использование в информационных системах
1	АС, содержащие сведения, составляющие государственную тайну
2
3
4	ГИС 1 класса АСУТП 1 класса ИСПДн 1 уровня ИСОП II класса
5	ГИС 2 класса АСУТП 2 класса ИСПДн 2 уровня
6	ГИС 3 и 4 класса АСУТП 3 класса ИСПДн 3 и 4 уровня

Средства обнаружения вторжений

Системы обнаружения вторжений (СОВ) относятся к программным и программно-техническим средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации с ограниченным доступом, и реализующим функции автоматизированного обнаружения действий в информационных системах, направленных на преднамеренный НСД к информации, специальные воздействия на информацию в целях ее добывания, уничтожения, искажения и блокировки доступа к ней.

Сертификация СОВ проводится на соответствие Требованиям к СОВ и Профилям защиты СОВ.

Требования к СОВ утверждены приказом ФСТЭК России от 1 декабря 2011 г. № 638 (зарегистрирован Минюстом России 1 февраля 2012 г., регистрационный № 23088).

Требования доверия к безопасности СОВ с 1 июня 2019 г. определяются Требованиями к уровням доверия, утвержденными приказом ФСТЭК России от 30 июля 2018 г. № 131.

Типы СОВ

уровня сети	Обеспечивают сбор информации об информационных потоках, передаваемых в рамках сегмента информационной системы, в котором установлены датчики
уровня узла (хоста)	Обеспечивают сбор информации о событиях, происходящих на узлах информационной системы, на которых установлены их сенсоры (датчики)

Классы защиты СОВ

Класс защиты СОВ	Использование в информационных системах
1	АС, содержащие сведения, составляющие государственную тайну
2
3
4	ГИС 1 класса АСУТП 1 класса ИСПДн 1 уровня ИСОП II класса
5	ГИС 2 класса АСУТП 2 класса ИСПДн 2 уровня
6	ГИС 3 и 4 класса АСУТП 3 класса ИСПДн 3 и 4 уровня

Операционные системы

Операционные системы (ОС) могут использоваться в целях обеспечения защиты (некриптографическими методами) информации ограниченного доступа при ее обработке в информационных системах (автоматизированных системах управления).

Сертификация ОС проводится на соответствие Требованиям к ОС и Профилям защиты ОС.

Требования к ОС утверждены приказом ФСТЭК России от 19 августа 2016 г. № 119 (зарегистрирован Минюстом России 19 сентября 2016 г., регистрационный № 43691).

Требования доверия к безопасности ОС с 1 июня 2019 г. определяются Требованиями к уровням доверия, утвержденными приказом ФСТЭК России от 30 июля 2018 г. № 131.

При сертификации ОС проводятся проверки ее компонентов: загрузчика, ядра, модулей уровня ядра и служб.

При эксплуатации сертифицированной ОС должна быть исключена возможность эксплуатации ее компонентов, не прошедших процедуру сертификации.

Типы ОС

тип «А»	общего назначения	ОС, предназначенная для функционирования на средствах вычислительной техники общего назначения (автоматизированные рабочие места, серверы, смартфоны, планшеты, телефоны и иные)
тип «Б»	встраиваемая	ОС, встроенная (прошитая) в специализированные технические устройства, предназначенные для решения заранее определенного набора задач
тип «В»	реального времени	ОС, предназначенная для обеспечения реагирования на события в рамках заданных временных ограничений при заданном уровне функциональности.

Классы защиты ОС

Класс защиты ОС	Использование в информационных системах
1	АС, содержащие сведения, составляющие государственную тайну
2
3
4	ГИС 1 класса АСУТП 1 класса ИСПДн 1 уровня ИСОП II класса
5	ГИС 2 класса АСУТП 2 класса ИСПДн 2 уровня
6	ГИС 3 и 4 класса АСУТП 3 класса ИСПДн 3 и 4 уровня

Средства антивирусной защиты

Средства антивирусной защиты (САВЗ) относятся к программным средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации ограниченного доступа и реализующим функции обнаружения компьютерных программ, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования информации или нейтрализации средств защиты информации, а также реагирования на обнаружение этих программ.

Сертификация САВЗ проводится на соответствие Требованиям к САВЗ и Профилям защиты САВЗ.

Требования к САВЗ утверждены приказом ФСТЭК России от 20 марта 2012 г. № 27 (зарегистрирован Минюстом России 3 мая 2012 г., регистрационный № 24045).

Требования доверия к безопасности САВЗ с 1 июня 2019 г. определяются Требованиями к уровням доверия, утвержденными приказом ФСТЭК России от 30 июля 2018 г. № 131.

Обновления программной части САВЗ подлежат контролю испытательной лабораторией не реже одного раза в год. Обновления базы данных признаков вредоносных программ проводится испытательной лабораторией ежегодно.

Типы САВЗ

тип «А»	САВЗ, предназначенные для централизованного администрирования САВЗ, установленными на компонентах информационных систем (серверах, АРМ)
тип «Б»	САВЗ, предназначенные для применения на серверах информационных систем;
тип «В»	САВЗ, предназначенные для применения на АРМ информационных систем
тип «Г»	САВЗ, предназначенные для применения на автономных АРМ

САВЗ типа «А» применяются только совместно с САВЗ типов «Б» и (или) «В».

Классы защиты САВЗ

Класс защиты САВЗ	Использование в информационных системах
1	АС, содержащие сведения, составляющие государственную тайну
2
3
4	ГИС 1 класса АСУТП 1 класса ИСПДн 1 уровня ИСОП II класса
5	ГИС 2 класса АСУТП 2 класса ИСПДн 2 уровня
6	ГИС 3 и 4 класса АСУТП 3 класса ИСПДн 3 и 4 уровня

Средства доверенной загрузки

Средства доверенной загрузки (СДЗ) относятся к программным и программно-техническим средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации с ограниченным доступом и реализующим функции по предотвращению несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники на этапе его загрузки

Сертификация СДЗ проводится на соответствие Требованиям к СДЗ и Профилям защиты СДЗ.

Требования к СДЗ утверждены приказом ФСТЭК России от 27 сентября 2013 г. № 119 (зарегистрирован Минюстом России 16 декабря 2013 г., регистрационный № 30604).

Требования доверия к безопасности СДЗ с 1 июня 2019 г. определяются Требованиями к уровням доверия, утвержденными приказом ФСТЭК России от 30 июля 2018 г. № 131.

Типы СДЗ

уровня базовой системы ввода-вывода

уровня платы расширения

уровня загрузочной записи

Классы защиты СДЗ

Класс защиты СДЗ	Использование в информационных системах
1	АС, содержащие сведения, составляющие государственную тайну
2
3
4	ГИС 1 класса АСУТП 1 класса ИСПДн 1 уровня ИСОП II класса
5	ГИС 2 класса АСУТП 2 класса ИСПДн 2 уровня
6	ГИС 3 и 4 класса АСУТП 3 класса ИСПДн 3 и 4 уровня

Средства контроля съемных носителей

Средства контроля съемных носителей (СКН) относятся к программным и программно-техническим средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации с ограниченным доступом и реализующим функции по предотвращению НСД к информации с использованием съемных машинных носителей информации, подключаемых к информационной системе, и (или) по предотвращению несанкционированного отчуждения (переноса) информации ограниченного доступа с зарегистрированных (учтенных) съемных машинных носителей информации.

Сертификация СКН проводится на соответствие Требованиям к СКН и Профилям защиты СКН.

Требования к СКН утверждены приказом ФСТЭК России от 28 июля 2014 г. № 87 (зарегистрирован Минюстом России 5 сентября 2014 г., регистрационный № 33994).

Требования доверия к безопасности СКН с 1 июня 2019 г. определяются Требованиями к уровням доверия, утвержденными приказом ФСТЭК России от 30 июля 2018 г. № 131.

Типы СКН

средства контроля подключения съемных машинных носителей информации

средства контроля отчуждения (переноса) информации со съемных машинных носителей информации

Классы защиты СКН

Класс защиты СКН	Использование в информационных системах
1	АС, содержащие сведения, составляющие государственную тайну
2
3
4	ГИС 1 класса АСУТП 1 класса ИСПДн 1 уровня ИСОП II класса
5	ГИС 2 класса АСУТП 2 класса ИСПДн 2 уровня
6	ГИС 3 и 4 класса АСУТП 3 класса ИСПДн 3 и 4 уровня

Другие средства защиты

К СрЗИ от НСД также относятся такие средства как: средства идентификации и аутентификации, средства обеспечения целостности информации, средства управления доступом, средства ограничения программной среды, средства контроля удаления информации, средства управления потоками информации, защищенные СУБД, средства контроля (анализа) защищенности, средства защиты от утечки информации (DLP).

При отсутствии конкретных требований руководящих документов ФСТЭК России к определенным видам СрЗИ предусматривается сертификация на соответствие требованиям к функциям безопасности, декларируемым в документации на СрЗИ (в технических условиях или заданиях по безопасности).

В данном случае при составлении документации на СрЗИ в части функций безопасности средства следует руководствоваться Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утв. приказом ФСТЭК России от 11 февраля 2013 г. № 17).

Рекомендуемые меры защиты информации в информационных системах для составления функций безопасности СрЗИ:

Условное обозначение и номер меры	Меры защиты информации в информационных системах
Условное обозначение и номер меры	Меры защиты информации в информационных системах
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1	Идентификация и аутентификация пользователей, являющихся работниками оператора
ИАФ.3	Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
ИАФ.4	Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
ИАФ.5	Защита обратной связи при вводе аутентификационной информации
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1	Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
УПД.2	Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
УПД.4	Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы
УПД.5	Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
УПД.6	Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
УПД.10	Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
V. Регистрация событий безопасности (РСБ)
РСБ.3	Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
РСБ.7	Защита информации о событиях безопасности
РСБ.8	Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе
IX. Обеспечение целостности информационной системы и информации (ОЦЛ)
ОЦЛ.7	Контроль точности, полноты и правильности данных, вводимых в информационную систему
ОЦЛ.8	Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

Телефон: +7(495) 589-99-53

Техническая поддержка: +7(499) 110-90-40

E-mail: [email protected]