Сертификация средств защиты информации

ОТК в области
защиты информации
Выполнила студентка
группы И411
Суркова В.М.
Сертификация средств защиты
информации – это комплекс
мероприятий по проверке
соответствия сертифицируемых
средств формальным требованиям
по обеспечению безопасности,
описанным в нормативных
документах.
2
Преимущества сертификации:
 Определенная гарантия качества СЗИ
(подтвержденная сертификатом) со стороны
государства с точки зрения выполняемых функций по
защите.
 Возможность аттестации информационной системы, в
которой используются сертифицированные средства
защиты.
 Гарантия отсутствия программных закладок,
заложенных производителем с целью
несанкционированного доступа к защищаемым
системам.
 Маркетинговый ход, призванный увеличить
привлекательность программного продукта и поднять
престиж компании-заявителя, а также повысить
доверие потребителя к сертифицируемому продукту.
3
Сертификация средств защиты
конфиденциальной информации
 "информационные системы органов государственной
власти Российской Федерации и органов
государственной власти субъектов Российской
Федерации, других государственных органов,
организаций, которые обрабатывают
документированную информацию с ограниченным
доступом, а также средства защиты этих систем
подлежат обязательной сертификации"
ФЗ "Об информации, информатизации и
защите информации« , ст.19.2
4
 "Указанные средства подлежат обязательной
сертификации, которая проводится в рамках систем
сертификации средств защиты информации"
Положение о сертификации средств
защиты информации №608, ст. 1
5
Федеральные органы в области защиты информации
ФСБ
Гостехкомиссия
России
Система
сертификации
СЗИ не
создана
•Органы по
сертификации
СЗИ
•Испытательные
лаборатории
ФАПСИ
Министерство
обороны
•Органы по
сертификации
СЗИ
•Испытательные
лаборатории
•Органы по
сертификации
СЗИ
•Испытательные
лаборатории
СВР
Система
сертификации
СЗИ в стадии
развертывания
Заявители (разработчика, поставщики, пользователи)
6
Варианты создания других систем
сертификации СЗИ
Создание системы
добровольной
сертификации,
заменяющей
существующие
системы
сертификации
Создание под
эгидой АДЭ
системы
добровольной
сертификации
СЗИ по их
потребительским
свойствам
7
Недостатки традиционной
системы сертификации СЗИ:
 Слишком большое число систем сертификации
средств защиты информации;
 Существующие руководящие документы (РД),
на соответствие которым происходит проверка
СЗИ, уже устарели;
 Пересертификация;
 Сертифицировать можно единичный экземпляр
или партию;
 Срок действия сертификата на СЗИ - 3 года
(Госстандарт в своих документах указывает, что сертификат
считается действующим в пределах срока службы (годности)
продукта, на который он выдан)
8
Несмотря на существующие
недостатки действующей в России
системы сертификации средств
защиты информации, нет
необходимости в создании
альтернативных систем.
9
Действия по улучшению действующей
системы сертификации СЗИ:
 Гостехкомиссия России приводит свои
документы в соответствие с
общемировыми стандартами, в
частности она адаптирует стандарт
ISO/IEC 15408-99 "Критерии оценки
безопасности информационных
технологий" к российским условиям
10
Спасибо за
внимание!
11