Проблемы защиты личной информации непосредственно связаны с интересами государства, общества, бизнеса и граждан. В современное время в связи с формированием информационного единого пространства защита конфиденциальных сведений является основным составным элементом задач, которые решаются органами государства, организациями и учреждениями в процессе разработки, создания, эксплуатации систем и баз информации, а также персонального банка данных.
Общие положения о системах информационных инфраструктур
Каждое государство старается обеспечить на своей территории контроль над сферой распространения информации, а также ее защиты и обеспечения безопасности на национальном уровне. В связи с этим к поставляемому на рынок программному и используемому в дальнейшем программному обеспечению предъявляются особенно жесткие требования, особенно если программы связаны с построением базовых систем в информационной структуре.
В перечень таких систем входят:
- Базы данных государственных органов власти и управления, а также системы правоохранительных органов.
- Системы банковской и финансово-кредитной деятельности.
- Информационно-телекоммуникационные базы особого назначения.
- Системы связи структуры правоохранительных органов.
- Системы для связи на участках общего пользования, на которых не предусмотрено альтернативных иди резервных видов сообщения.
- Системы автоматизированного типа для управления разными типами энергоснабжения.
- Системы управления воздушным и наземным транспортом.
- Системы автоматизированного типа для осуществления добычи и транспортировки газа и нефти.
- Автоматизированные компьютерные базы по предупреждению и ликвидации чрезвычайных происшествий.
- Системы автоматизированного типа для управления производствами, признанными опасными для экологии.
- Системы по управлению водоснабжением.
- Навигационные и географические системы.
В этот перечень входят также прошедшие сертификацию ФСТЭК средства защиты информации. В любой из перечисленных систем собирается, передается и обрабатывается информация, которая связана с организационно-экономической, производственной, кредитно-финансовой, научно-технической и иными сферами деятельности государства и его органов.
В перечне прошедших сертификацию ФСТЭК сетей и систем обрабатывается информация, связанная с оперативно-диспетчерским и технологическим управлением, которая определяет безопасность и надежность функционирования общей хозяйственной сферы России. Также он оказывает особое влияние на сохранение безопасности национального уровня в области информации.
На основании вышеизложенного создатели программного обеспечения, которое должно в дальнейшем пройти сертификацию ФСТЭК, должны учитывать необходимые требования, накрадывающиеся национальными и международными законами на системы информации, которые предназначаются для обработки соответствующей информации.
Нормы законодательства
Сертификация ФСТЭК в банковской сфере и других направлениях проводится в виде проверки программ на соответствие нормативным требованиям. Эти положения должны исполняться в точности всеми организациями государственного и негосударственного типа, если их деятельность связана с информацией служебного характера, связанной с деятельностью органов государства.
Указанные требования содержатся в ряде правовых актов. К ним относятся:
- Федеральный закон № 149 об информации, технологиях информационного типа и их защите от 27 июля 2006 года. В восьмом пункте 14-й статьи указано, что средства технического типа, которые предназначаются для обработки данных, содержащихся в информационных государственных системах (включая программно-технические и защитные информационные средства), должны быть созданы в соответствии с требованиями российского законодательства о техническом регулировании. В 15-й статье этого же нормативного правового акта указано, что основной орган, который осуществляет сертификацию программного обеспечения, - ФСТЭК Российской Федерации.
- Федеральный закон № 184 от 27 декабря 2002 года, рассматривающий вопросы технического регулирования. В четвертой статье указанного нормативного правового акта определено, что исполнительные органы федеральной власти вправе издавать акты, имеющие обязательный характер, в сфере технического регулирования, если это предусмотрено пятой статьей этого же закона. Согласно этой норме, издаваемые акты могут касаться не только самой информации, но и продукции, используемой для защиты данных, которые относятся к охраняемым сведениям.
- Закон от 21 июля 1993 года № 5485-1, регулирующий вопросы охраны государственной тайны, определяет способы информационной защиты как составной элемент компьютерных систем и продуктов.
Указанные нормативные правовые акты определяют необходимость использования программных и аппаратных средств соответствующими организациями. При этом указанные средства должны в обязательном порядке пройти сертификацию ФСТЭК.
Положения специальных требований по защите конфиденциальной информации
В Российской Федерации действует нормативное положение, которое отражает специальные требования, касающиеся защиты конфиденциальной (личной) информации. Документ, рассматривающий систему сертификации ФСТЭК России, содержит следующие условия защиты данных:
- Рекомендации и требования, зафиксированные в Положении, распространяются на охрану информационных государственных ресурсов с использованием некриптографических методов, которые направлены на предотвращение возможных утечек информации по каналам технического характера. Также защита данных распространяется на несанкционированный доступ к данным, а также специальное воздействие на любые сведения конфиденциального характера с целью их уничтожения, блокирования или искажения (пункт 2.3).
- Защита тайной информации должна осуществляться с использованием средств специальной защиты, которые прошли сертификацию ФСТЭК России. Порядок проведения сертификации утверждается российским законодательством (пункт 2.16).
- Объекты компьютеризации должны пройти аттестацию согласно требованиям информационной безопасности, которые установлены документами нормативного характера, утвержденным российской ФСТЭК, и требованиями данного документа (пункт 2.17).
Органы проверки соответствия
Органы по сертификации (ФСТЭК, Министерство обороны, ФСБ и другие) осуществляют выдачу сертификатов в отношении программного обеспечения. Выбор субъекта сертификации зависит от типа компьютерных программ, которым требуется проверка соответствия нормативным требованиям. Основными органами, проводящими сертификацию, являются ФСБ и ФСТЭК. Особенности выдачи документов заключаются в следующем:
- Сертификация ФСБ предназначается для проведения проверки всех подсистем программного обеспечения, которые используют защиту криптографического типа. Для ознакомления с ними субъектам требуются специальные пропуска, так как требования сертификационных систем публичными не являются.
- Система сертификации ФСТЭК используется для проверки наличия технических средств защиты данных при помощи некриптографических методов. Указанные требования размещены в открытом доступе на официальном сайте органа.
Сущность сертифицированных продуктов в Российской Федерации
Сертификация ФСТЭК для Windows и других типов программного обеспечения в России отличается от тех систем, которые используются в зарубежных странах. Копия программного обеспечения, которой требуется сертификация, проходит соответствующую проверку на идентичность другого продукта, который ранее был сертифицирован, то есть два элемента сравниваются на бинарном уровне.
Согласно новым требованиям сертификации, ФСТЭК и другой орган, который отвечает за целость указанных продуктов, вправе в любой момент проконтролировать у пользователей наличие необходимого набора обновлений и патчей, прошедших проверку. Также контроль производится в отношении отсутствия изменений несертифицированного типа.
В отличие от российского положения о сертификации ФСТЭК, международная проверяющая система Common Cruteria считает каждый лицензионный продукт прошедшим проверку. В отдельном порядке все программы не сертифицируются. При этом программное обеспечение постоянно обновляется, дополняется или улучшается.
В Российской Федерации любая организация, купившая продукты, прошедшие сертификацию ФСТЭК (Windows 10, например), получает защищенный специальными программами доступ к своей персональной странице на специальном сайте. Здесь при появлении обновлений и дополнительной информации предприятие получает его по защищенным каналам после тщательной проверки потенциальных угроз.
Функции ФСТЭК в Российской Федерации
Положение о сертификации ФСТЭК закрепляет понятие и функции данного органа как федеральную исполнительную ветвь власти. Полномочия этого органа включают в себя четыре пункта:
- сохранение информации, находящейся в главных системах телекоммуникационной и информационной инфраструктуры, в безопасности;
- противодействие зарубежным разведкам технической направленности;
- обеспечение защиты данных с использованием технических средств и не криптографических методов;
- проведение контроля экспортного типа.
Согласно Положению о сертификации ФСТЭК в банковской сфере и иных направлениях работы компьютерных систем, основная задача указанного органа – организация работы государственного аппарата, занимающегося противодействием технической разведки, а также защиты технического типа на государственном, региональном, межрегиональном, отраслевом и организационном уровнях. Дополнительной целью работы органа является руководство соответствующей федеральной системой.
Все правовые нормативные акты и документы методического типа, которые издаются государственными органами по вопросам сертификации ФСТЭК (Windows 10 или другие программы), являются обязательными для исполнения всеми отделами аппарата государственных органов власти, органов на уровне субъектов, муниципальных образований и организаций.
Процесс осуществления сертификации
Проведение ФСТЭК сертификации Cisco и других программ является воздействием объектами контроля не самого органа, а его лицензиарами. К ним относятся лаборатории испытательного типа и организации экспертного характера. Лаборатории осуществляют исследование программного обеспечения, а экспертные организации проверяют качество проведенных испытаний.
Заказчик вправе сам выбирать, какая испытательная лаборатория из списка одобренных ФСТЭК будет проводить исследования. При этом отдел сертификации ФСТЭК для проведения контрольной проверки выбирает самостоятельно.
Таким образом, имеет место здоровая конкуренция, при которой лаборатории испытательного типа могут вести борьбу за клиентуру (цена работы, сроки проведения и прочие факторы). При этом качество проводимых испытаний контролируется независимыми экспертными организациями, одобренными ФСТЭК.
Как и сертификация ФСТЭК (Java и прочие программы), ФСБ проводит проверки аналогичным образом. В этой системе имеются также институты заявителей. В них входят компании, которые работают непосредственно с лабораториями испытательного типа и организациями, осуществляющими проверки. Целью их деятельности является проведение сравнения копий продаваемых продуктов с оригиналами, прошедшими соответствующую сертификацию. Также их полномочия включают в себя издание установленных образцов документов для каждой отдельной копии продуктов, которые прошли проверку, и их учет.
На эти компании возлагаются расходы по проверке продуктов, выписке документов соответствующего типа, ведению учета продуктов, прошедших сертификацию ФСТЭК, а также сертификации патчей.
Нормативный документ № РОСС RU.0001.01БИ00
Указанный документ отражает сведения о сертификационной системе обязательного типа для средств, способствующих защите данных по требованиям безопасности конфиденциальных сведений.
Все данные, которые относятся каким-либо образом к государственной, коммерческой или банковской тайне либо к информации, имеющей ограниченный доступ, подлежат обязательной сертификации и дальнейшей защите в соответствии с нормами действующего законодательства. В этот перечень также входят следующие объекты:
- системы управления опасными для экологии производствами;
- объекты, которые имеют важное экономическое или оборонное значение и оказывают влияние на государственную безопасность;
- средства, применяющиеся в качестве средств противодействия разведкам технического характера.
Если деятельность организации не связана с указанными типами работы, ее сертификация носит добровольный характер. Заявителями могут выступать разработчики, изготовители, поставщики или потребители средств охраны и защиты данных.
Сертификационная система действует на программные, технические и иные средства, обеспечивающие защиту информации, ее охрану от несанкционированного проникновения или технической разведки. Также указанные средства распространяют свое действие на осуществление контроля эффективности использования защитных методов.
В организационную структуру сертификационной системы входят следующие органы:
- Российский ФСТЭК, который осуществляет организацию работы по проведению сертификации обязательного типа и контроль над ней.
- Органы, проводящие сертификацию средств информационной защиты, цель которых проверять на соответствие нормативным требованиям определенные продукты.
- Лаборатории испытательного типа, которые проводят отдельные типы испытаний конкретных видов продукции.
- Заявители, которые организуют заказ соответствующих проверок (продавцы, изготовители, потребители).
Отдельные функции ФСТЭК
ФСТЭК выполняет следующие функции:
- Создает сертификационную систему средств информационной защиты по требованиям безопасности данных.
- Устанавливает требования к проведению сертификации средств информационной защиты.
- Осуществляет аккредитацию органов по проведению проверки защитных информационных средств и лабораторий испытательного типа.
- Выбирает способы подтверждения соответствия проверяемого объекта нормативным требованиям различных документов.
- Определяет правила аккредитации различных сертификационных органов по информационной защите или осуществляет указанные функции самостоятельно.
- Осуществляет выдачу сертификатов и лицензий на использование знаков соответствия.
- Ведет федеральный реестр субъектов сертификации и соответствующих защитных средств.
- Осуществляет федеральный надзор и контроль над соблюдением всеми сертифицируемыми субъектами правил проведения проверки.
- Определяет порядок проведения инспекционных проверок использования сертифицированных средств информационной защиты.
- Проводит рассмотрение апелляций по указанным вопросам.
- Представляет на регистрацию в государственный российский Комитет по метрологии, стандартизации и сертификации соответствующую проверяющую систему и знаки соответствия.
- Утверждает документы нормативного характера, которые являются базовыми для проведения сертификации защитных информационных средств, а также документы методического типа по проведению испытаний.
- Отменяет или приостанавливает действие выданных заявителям сертификатов.
Полномочия органов по сертификации защитных информационных средств
Органы, подведомственные ФСТЭК, осуществляют следующие функции:
- Сертифицируют защитные информационные средства, выдают лицензии и сертификаты на использование знаков соответствия, предоставляют их копии в руководящий орган (ФСТЭК), ведут учет.
- Отменяют или приостанавливают действие выданных заявителям сертификатов или лицензий на использование знаков соответствия.
- Проводят при необходимости повторную сертификацию, если в технологии изготовления или в составе средств защиты данных появились серьезные изменения.
- Составляют перечень документов нормативного характера, которые необходимы для осуществления проверки.
- Предоставляют по требованию изготовителей необходимые данные в рамках предоставленной им компетенции.
- Проводят контроль инспекционного типа за защитными сертифицированными информационными средствами.
Лаборатории испытательного типа осуществляют проведение проверок защитных информационных средств, по итогам которых оформляется заключение и протокол. Указанные документы в дальнейшем направляются в соответствующие сертификационные органы и изготовителям. За правильность и полноту заключений лаборатории отвечают в полном объеме.
Заявители в лице изготовителей и продавцов средств защиты информации должны иметь лицензию на осуществление работ, которые связаны с созданием соответствующих охранных объектов для защиты данных, относящихся к государственной, коммерческой или банковской тайне.
Заявители обладают полномочиями на реализацию средств информационной защиты при наличии соответствующего сертификата, извещение органов о возникших изменениях в способах изготовления или конструкции объектов. Также они вправе ставить маркировку на указанные средства в соответствии с порядком сертификации, указывать в документации сведения о реквизитах документа и доводить до потребителей данные сведения.
Сертификация программного обеспечения ФСТЭК является четко структурированной организацией, в которую входит много подотделов, специализирующихся на различных аспектах проверки уровня безопасности программного обеспечения.