Что такое уровни доверия фстэк
Перейти к содержимому

Что такое уровни доверия фстэк

  • автор:

ДЕПАРТАМЕНТ СИСТЕМНЫХ РЕШЕНИЙ

Сертификация средств защиты информации по уровням доверия

Сертификация средств защиты информации

Действующее законодательство определяет требования к защите информации ограниченного доступа, обрабатываемой в информационных системах. Чтобы гарантировать соблюдение требований регулятора, разработчики предоставляют технические, программные и программно-аппаратные средства защиты информации на сертификационные испытания. При сертификации средствам защиты информации присваивается уровень доверия. Регламентируется уровень доверия приказом ФСТЭК № 55 от 3 апреля 2018 г.

В отличие от класса средства защиты информации (СЗИ), уровень доверия зависит не от функциональных возможностей средства, а от того, как разрабатывалось и тестировалось данное СЗИ и каким образом поддерживается информационная безопасность в ходе его эксплуатации. Всего уровней доверия шесть: самый низкий – шестой, а самый высокий – первый. СЗИ 1, 2 и 3 уровня доверия применяются только для защиты информации, относящейся к государственной тайне.

Полный список требований к СЗИ с разными уровнями доверия приведен в приказе ФСТЭК № 76 от 2 июня 2020 г. Предназначен данный список, прежде всего, для разработчиков и производителей средств защиты информации, а также для испытательных лабораторий и органов по сертификации. В него входят требования к разработке и производству СЗИ (например, требования к проектированию архитектуры безопасности, функциональной спецификации и проектированию СЗИ), к проведению испытаний СЗИ (в том числе требования к тестированию и выявлению уязвимостей и недекларируемых возможностей и другие), а также к поддержке безопасности (устранению недостатков и обновлению).

Сертифицировать используемые в информационной системе СЗИ обязательно, если информационную систему можно отнести к одной из следующих категорий:

  • Государственные информационные системы (ГИС)
  • Информационные системы, содержащие сведения, составляющие государственную тайну (ГТ)
  • Информационные системы, содержащие информацию с пометкой «для служебного пользования» (служебная информация).

Для защиты следующих объектов информатизации применение сертифицированных СЗИ носит рекомендательный характер:

  • Автоматизированные системы управления технологическим процессом (АСУ ТП)
  • Информационные системы персональных данных (ИСПДн)
  • Критическая информационная инфраструктура (КИИ)

Полученный в ходе сертификации уровень доверия определяет, в информационных системах каких классов и категорий может использоваться данное СЗИ:

Тип информационной системы

Использование СЗИ в зависимости от уровня доверия

ИБ: Уровни доверия к СЗИ

В данной статье будут рассмотрены еще пара базовых сущностей и понятий на которые ссылаются нормативные документы регуляторов. В частности, в соответствии с приказом ФСТЭК России от 30 июля 2018 г. N 131 утверждены Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий ( Документ ) и Документ .
.

Используемые сокращения
АС — Автоматизированная система
АСУТП — автоматизированных системах управления производственными и технологическими процессами
ГИС — Государственная информационная система
ЗО КИИ — Значимых объектах критической информационной инфраструктуры
ИС — Информационная система
ИСПДн — Информационная система персональных данных
СВТ — Средства вычислительной техники
СЗИ — Средства защиты информации
СОБИТ — Средства обеспечения безопасности информационных технологий
УД — Уровень доверия
УЗ — Уровень защищенности

Требования к уровням доверия предназначены компаний создающей СЗИ. Выполнение Требований к уровню доверия является обязательным при проведении работ по сертификации СЗИ, организуемых ФСТЭК России в пределах своих полномочий. Требования к уровням доверия устанавливают требования к разработке и производству СЗИ, к проведению испытаний СЗИ, а также к поддержке безопасности СЗИ в ходе их применения.

Уровни доверия

Согласно документу устанавливается 6 уровней доверия: Самый низкий уровень – шестой, самый высокий – первый.

  • в ЗО КИИ 3 категории;
  • в ГИС 3 класса;
  • в АСУТП 3 класса;
  • в ИСПДн УЗ 3 и УЗ 4.
  • в ЗО КИИ 2 категории;
  • в ГИС 2 класса;
  • в АСУТП 2 класса;
  • в ИСПДн УЗ 2.
  • в ЗО КИИ 1 категории;
  • в ГИС 1 класса;
  • в АСУТП 1 класса;
  • в ИСПДн УЗ 1;
  • в ИС общего пользования II класса.

Устанавливается следующее соответствие классов средств защиты информации и средств вычислительной техники уровням доверия:
СЗИ 6 класса должны соответствовать 6 уровню доверия;
СЗИ 5 класса должны соответствовать 5 уровню доверия;
СЗИ 4 класса и СВТ 5 класса должны соответствовать 4 уровню доверия.

С полным списком требований по созданию СЗИ соответствующего класса, можно ознакомиться по ссылке: Документ .

Уровень доверия и профиль защиты, что это такое — Форум по вопросам информационной безопасности

Уровень доверия и профиль защиты, что это такое — Форум по вопросам информационной безопасности

Здравствуйте, подскажите пожалуйста, что означает следующая фраза: Операционная система соответствует требованиям доверия 6 уровня, требованиям безопасности информации к операционным системам и профилю защиты операционных систем типа А шестого класса защиты.
Вот прям для чайника на пальцах,что за 6 уровень доверия и что за профиль типа А шестого класса защиты , заранее благодарю.

Это означает, что ОС соответствует предъявленным к ней требованиям ФСТЭК (приказ 76 устанавливает требования к уровням доверия, приказ 119 устанавливает требования к ОС. Оба приказа ДСП.

На практике уровень доверия соответствует классу, т.е. если ОС 6-го класса, то и уровень доверия у нее тоже 6.

Подтверждение выполнения данных требований выполняется в форме сертификации. Т.е. если ОС сертифицирована по 6 классу, то требования к ней выполнены.

Хорошо, а как понять для защиты какой информации (КИ, Пдн, КИИ или ГТ) используется ОС с 6 уровнем доверия и профилем защиты операционных систем типа А шестого класса защиты, ну или вообще, как понять какие уровни и профили защищают ГТ, а какие другой тип информации?

Те приказы ФСТЭК которые устанавливают требования к защите информации (открытые, ДСП. закрытые — в зависимости от . (17, 21, 31, 25, 239 и пр.), ну и в упомянутых выше WORMом

6 УД и 6 класс применяется в самых низких классах (уровнях): К3 (ГИС), УЗ-3, УЗ-4 (ИСПДн), 3 кат (КИИ). Для ГТ, конечно, не катит.

Скажем, 5 класс применяется для К2, УЗ2, 2 кат.
И т.д.

Это все в приказах ФСТЭК.

Приказ ФСТЭК России №76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к СТЗИ и СОБИТ»

Текст полностью не публиковался, доступно только общее описание содержания и выписка:

  • Информационное сообщение ФСТЭК России от 15 октября 2020 г. N 240/24/4268
  • Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76

Статус: зарегистрирован Минюстом России 11 сентября 2020 года

Обзор документа

  • Документ предназначен для:
    • организаций, осуществляющих в соответствии с законодательством РФ работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищённые средства обработки информации (далее — средства),
    • заявителей на осуществление сертификации,
    • испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.
    • с 1 января 2022: седьмой абзац пункта 12.2 и девятый абзац пункта 12.4;
    • с 1 января 2024: пятый абзац пункта 12.5;
    • с 1 января 2028: пятый абзац пункта 12.3.
    • Средства, соответствующие 6 уровню доверия, применяются
      • ЗО КИИ 3: в значимых объектах критической информационной инфраструктуры 3 категории,
      • ГИС 3: в государственных информационных системах 3 класса защищенности,
      • АСУПиТП 3: в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности,
      • ИСПДн 3,4: в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
      • ЗО КИИ 2: в значимых объектах критической информационной инфраструктуры 2 категории,
      • ГИС 2: в государственных информационных системах 2 класса защищенности,
      • АСУПиТП 2:в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности,
      • ИСПДн 2: в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
      • ЗО КИИ 1: в значимых объектах критической информационной инфраструктуры 1 категории,
      • ГИС 1: в государственных информационных системах 1 класса защищенности,
      • АСУПиТП 1:в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности,
      • ИСПДн 1: в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
      • Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля,
      • 5 уровню доверия – по 5 уровню контроля,
      • 4 уровню доверия – по 4 уровню контроля,
      • 3 уровню доверия – по 3 уровню контроля,
      • 2 уровню доверия – по 2 уровню контроля,
      • 1 уровню доверия – по 1 уровню контроля.

      Порядок получения новых Требований описан на сайте ФСТЭК России: Порядок обеспечения документами ФСТЭК России.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *