ДЕПАРТАМЕНТ СИСТЕМНЫХ РЕШЕНИЙ
Сертификация средств защиты информации по уровням доверия
Действующее законодательство определяет требования к защите информации ограниченного доступа, обрабатываемой в информационных системах. Чтобы гарантировать соблюдение требований регулятора, разработчики предоставляют технические, программные и программно-аппаратные средства защиты информации на сертификационные испытания. При сертификации средствам защиты информации присваивается уровень доверия. Регламентируется уровень доверия приказом ФСТЭК № 55 от 3 апреля 2018 г.
В отличие от класса средства защиты информации (СЗИ), уровень доверия зависит не от функциональных возможностей средства, а от того, как разрабатывалось и тестировалось данное СЗИ и каким образом поддерживается информационная безопасность в ходе его эксплуатации. Всего уровней доверия шесть: самый низкий – шестой, а самый высокий – первый. СЗИ 1, 2 и 3 уровня доверия применяются только для защиты информации, относящейся к государственной тайне.
Полный список требований к СЗИ с разными уровнями доверия приведен в приказе ФСТЭК № 76 от 2 июня 2020 г. Предназначен данный список, прежде всего, для разработчиков и производителей средств защиты информации, а также для испытательных лабораторий и органов по сертификации. В него входят требования к разработке и производству СЗИ (например, требования к проектированию архитектуры безопасности, функциональной спецификации и проектированию СЗИ), к проведению испытаний СЗИ (в том числе требования к тестированию и выявлению уязвимостей и недекларируемых возможностей и другие), а также к поддержке безопасности (устранению недостатков и обновлению).
Сертифицировать используемые в информационной системе СЗИ обязательно, если информационную систему можно отнести к одной из следующих категорий:
- Государственные информационные системы (ГИС)
- Информационные системы, содержащие сведения, составляющие государственную тайну (ГТ)
- Информационные системы, содержащие информацию с пометкой «для служебного пользования» (служебная информация).
Для защиты следующих объектов информатизации применение сертифицированных СЗИ носит рекомендательный характер:
- Автоматизированные системы управления технологическим процессом (АСУ ТП)
- Информационные системы персональных данных (ИСПДн)
- Критическая информационная инфраструктура (КИИ)
Полученный в ходе сертификации уровень доверия определяет, в информационных системах каких классов и категорий может использоваться данное СЗИ:
Тип информационной системы
Использование СЗИ в зависимости от уровня доверия
ИБ: Уровни доверия к СЗИ
В данной статье будут рассмотрены еще пара базовых сущностей и понятий на которые ссылаются нормативные документы регуляторов. В частности, в соответствии с приказом ФСТЭК России от 30 июля 2018 г. N 131 утверждены Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий ( Документ ) и Документ .
.
Используемые сокращения
АС — Автоматизированная система
АСУТП — автоматизированных системах управления производственными и технологическими процессами
ГИС — Государственная информационная система
ЗО КИИ — Значимых объектах критической информационной инфраструктуры
ИС — Информационная система
ИСПДн — Информационная система персональных данных
СВТ — Средства вычислительной техники
СЗИ — Средства защиты информации
СОБИТ — Средства обеспечения безопасности информационных технологий
УД — Уровень доверия
УЗ — Уровень защищенности
Требования к уровням доверия предназначены компаний создающей СЗИ. Выполнение Требований к уровню доверия является обязательным при проведении работ по сертификации СЗИ, организуемых ФСТЭК России в пределах своих полномочий. Требования к уровням доверия устанавливают требования к разработке и производству СЗИ, к проведению испытаний СЗИ, а также к поддержке безопасности СЗИ в ходе их применения.
Уровни доверия
Согласно документу устанавливается 6 уровней доверия: Самый низкий уровень – шестой, самый высокий – первый.
- в ЗО КИИ 3 категории;
- в ГИС 3 класса;
- в АСУТП 3 класса;
- в ИСПДн УЗ 3 и УЗ 4.
- в ЗО КИИ 2 категории;
- в ГИС 2 класса;
- в АСУТП 2 класса;
- в ИСПДн УЗ 2.
- в ЗО КИИ 1 категории;
- в ГИС 1 класса;
- в АСУТП 1 класса;
- в ИСПДн УЗ 1;
- в ИС общего пользования II класса.
Устанавливается следующее соответствие классов средств защиты информации и средств вычислительной техники уровням доверия:
СЗИ 6 класса должны соответствовать 6 уровню доверия;
СЗИ 5 класса должны соответствовать 5 уровню доверия;
СЗИ 4 класса и СВТ 5 класса должны соответствовать 4 уровню доверия.
С полным списком требований по созданию СЗИ соответствующего класса, можно ознакомиться по ссылке: Документ .
Уровень доверия и профиль защиты, что это такое — Форум по вопросам информационной безопасности
Уровень доверия и профиль защиты, что это такое — Форум по вопросам информационной безопасности
Здравствуйте, подскажите пожалуйста, что означает следующая фраза: Операционная система соответствует требованиям доверия 6 уровня, требованиям безопасности информации к операционным системам и профилю защиты операционных систем типа А шестого класса защиты.
Вот прям для чайника на пальцах,что за 6 уровень доверия и что за профиль типа А шестого класса защиты , заранее благодарю.
Это означает, что ОС соответствует предъявленным к ней требованиям ФСТЭК (приказ 76 устанавливает требования к уровням доверия, приказ 119 устанавливает требования к ОС. Оба приказа ДСП.
На практике уровень доверия соответствует классу, т.е. если ОС 6-го класса, то и уровень доверия у нее тоже 6.
Подтверждение выполнения данных требований выполняется в форме сертификации. Т.е. если ОС сертифицирована по 6 классу, то требования к ней выполнены.
Хорошо, а как понять для защиты какой информации (КИ, Пдн, КИИ или ГТ) используется ОС с 6 уровнем доверия и профилем защиты операционных систем типа А шестого класса защиты, ну или вообще, как понять какие уровни и профили защищают ГТ, а какие другой тип информации?
Те приказы ФСТЭК которые устанавливают требования к защите информации (открытые, ДСП. закрытые — в зависимости от . (17, 21, 31, 25, 239 и пр.), ну и в упомянутых выше WORMом
6 УД и 6 класс применяется в самых низких классах (уровнях): К3 (ГИС), УЗ-3, УЗ-4 (ИСПДн), 3 кат (КИИ). Для ГТ, конечно, не катит.
Скажем, 5 класс применяется для К2, УЗ2, 2 кат.
И т.д.
Это все в приказах ФСТЭК.
Приказ ФСТЭК России №76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к СТЗИ и СОБИТ»
Текст полностью не публиковался, доступно только общее описание содержания и выписка:
- Информационное сообщение ФСТЭК России от 15 октября 2020 г. N 240/24/4268
- Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76
Статус: зарегистрирован Минюстом России 11 сентября 2020 года
Обзор документа
- Документ предназначен для:
- организаций, осуществляющих в соответствии с законодательством РФ работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищённые средства обработки информации (далее — средства),
- заявителей на осуществление сертификации,
- испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.
- с 1 января 2022: седьмой абзац пункта 12.2 и девятый абзац пункта 12.4;
- с 1 января 2024: пятый абзац пункта 12.5;
- с 1 января 2028: пятый абзац пункта 12.3.
- Средства, соответствующие 6 уровню доверия, применяются
- ЗО КИИ 3: в значимых объектах критической информационной инфраструктуры 3 категории,
- ГИС 3: в государственных информационных системах 3 класса защищенности,
- АСУПиТП 3: в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности,
- ИСПДн 3,4: в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
- ЗО КИИ 2: в значимых объектах критической информационной инфраструктуры 2 категории,
- ГИС 2: в государственных информационных системах 2 класса защищенности,
- АСУПиТП 2:в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности,
- ИСПДн 2: в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
- ЗО КИИ 1: в значимых объектах критической информационной инфраструктуры 1 категории,
- ГИС 1: в государственных информационных системах 1 класса защищенности,
- АСУПиТП 1:в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности,
- ИСПДн 1: в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
- Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля,
- 5 уровню доверия – по 5 уровню контроля,
- 4 уровню доверия – по 4 уровню контроля,
- 3 уровню доверия – по 3 уровню контроля,
- 2 уровню доверия – по 2 уровню контроля,
- 1 уровню доверия – по 1 уровню контроля.
Порядок получения новых Требований описан на сайте ФСТЭК России: Порядок обеспечения документами ФСТЭК России.