«Положением о сертификации средств защиты информации», утверждённым Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608.
Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Основными схемами проведения сертификации средств защиты информации являются:
22. единичные образцы средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
23. для серийного производства средства защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований
Основными органами сертификации в области технической защиты информации являются:
• ФСБ России и
• ФСТЭК (Федеральной службы по техническому и экспортному контролю) России.
При этом ФСБ России действует в области криптографической защиты информации, а ФСТЭК России - в области технической защиты информации некриптографическими методами.
Объекты защиты информации и их классификация
Под объектами информатизации, аттестуемыми по требованиям безопасности информатизации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров
На настоящее время защита информации на государственном уровне сконцентрирвана вокруг вопросов обеспечения конфиденциальности информации.
Классов защищенности
станавливаются 7 классов защищённости СВТ от НСД к информации, при этом самый низкии класс - седьмой, самый высокий - первый.
Каждый класс разбит на 4 группы:
I. 7 класс - СВТ, которые были представлены к оценке, однако не удовлетворяют требованиям более высоких классов.
II. 6 и 5 классы - дискреционная защита.
III. 4, 3 и 2 классы - мандатная защита.
IV. 1 класс - верифицированная защита.
Классы являются иерархически упорядоченными: каждый последующий класс содержит требования всех предыдущих. Выбор класса защищённости СВТ для автоматизированных систем, создаваемых на базе защищённых СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.
В общем случае требования предъявляются к следующим показателям защищённости:
• дискреционный принцип контроля доступа;
• мандатный принцип контроля доступа;
• очистка памяти;
• изоляция модулей;
• маркировка документов.