Сертификация средств защиты и аттестование объектов информатизации

Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования.

В настоящее время в Госстандарте России зарегистрированы три системы сертификации средств защиты:

• (Гостехкомиссия России) система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU. OOO 1. O 1БИ OO;

• (ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) №РОСС RU.0001.030001;

• (ФСБ) система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ - ГТ) №РОСС RU.0001.

Кроме того, системы сертификации средств защиты разрабатываются (имеются) в Министерстве Обороны РФ и Службе внешней разведки РФ.

Необходимой составляющей государственной системы обеспечения информационной безопасности являются Государственные стандарты и другие нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами государственного управления в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных. направлениях защиты информации.

К основным стандартам и нормативно-техническим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:

• в области защиты информации от несанкционированного доступа:

• комплект руководящих документов Гостехкомиссии России (утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии с Законом "О стандартизации" можно отнести к отраслевым стандартам, в том числе:

- "Защита от несанкционированного доступа к информации. Термины и определения"

- "Концепция защиты СВТ и АС от НСД к информации"

- "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации"

- "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ"

- "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации"

- "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ"

- "Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов"

- "Защита от НСД к информации. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей"

• ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от НСД к информации. Общие технические требования"

• ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» и другие;

• в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН):

• "Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН" (Решение Председателя Гостехкомиссии СССР, 1977г.)

• "Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам" (решение Гостехкомиссии России от 23.05.97 г. № 55)

• ГОСТ 29339-92 "Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования"

• ГОСТ Р 50752-95 "Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний"

• методики контроля защищенности объектов ЭВТ и другие;

• в области криптографического преобразования информации при ее хранении и передаче по каналам связи:

• ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"

• ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»

• ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»

• ГОСТ Р 34.11 -94 «Функция хеширования»

• "Положение о разработке, изготовлении и обеспечении эксплуатации

шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику" (ПШ-93)

• Положение «О порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (ПКЗ-99) и другие

• «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Введена приказом ФАПСИ от 13 июня 2001 года N 152).

За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000 - 2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищенности передаваемых сообщений от подделок и искажений.

Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утвержден приказом Госстандарта от 12.09.01 № 380. Вводится в действие с 01.07.02 г.

Старый стандарт ЭЦП не отменяется. Он будет действовать еще несколько лет, но согласно письма ФАПСИ лицензиатам - разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускается только до 31 декабря 2001 года. С 1 января 2002 года длина открытого ключа ЭЦП должна быть 1024 бита.