Сертификация средств защиты и аттестация объектов информатизации

Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования.

В настоящее время в Госстандарте России зарегистрированы три системы сертификации средств защиты информации:

• (Гостехкомиссия России) система сертификации средств защиты информации по требованиям информационной безопасности № РОСС RU . OOO 1. O 1БИ OO ;
• (ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) №РОСС RU .0001.030001;
• (ФСБ) система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ - ГТ) №РОСС RU .0001.

Кроме того, системы сертификации средств защиты разрабатываются (имеются) в Министерстве Обороны РФ и Службе внешней разведки РФ.

Необходимой составляющей государственной системы обеспечения информационной безопасности являются Государственные стандарты и другие нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами государственного управления в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.

К основным стандартам и нормативно-техническим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:

1. в области защиты информации от несанкционированного доступа:
2. комплект руководящих документов Гостехкомиссии России (утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии с Законом "О стандартизации" можно отнести к отраслевым стандартам, в том числе:
   • "Защита от несанкционированного доступа к информации. Термины и определения"
   • "Концепция защиты СВТ и АС от НСД к информации"
   • "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации"
   • "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ"
   • "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации"
   • "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ"
   • "Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов"
   • "Защита от НСД к информации. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей"
3. ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от НСД к информации. Общие технические требования"
4. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» и другие;
5. в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН):
6. "Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН" (Решение Председателя Гостехкомиссии СССР, 1977г.)
7. "Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам" (решение Гостехкомиссии России от 23.05.97 г. № 55)
8. ГОСТ 29339-92 "Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования"
9. ГОСТ Р 50752-95 "Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний"
10. методики контроля защищенности объектов ЭВТ и другие;
11. в области криптографического преобразования информации при ее хранении и передаче по каналам связи:
12. ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"
13. ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»
14. ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»
15. ГОСТ Р 34.11 -94 «Функция хеширования»
16. "Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику" (ПШ-93)
17. Положение «О порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (ПКЗ-99) и другие
18. «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Введена приказом ФАПСИ от 13 июня 2001 года N 152 ).

За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000 - 2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищенности передаваемых сообщений от подделок и искажений.

Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утвержден приказом Госстандарта от 12.09.01 № 380. Вводится в действие с 01.07.02 г.

Старый стандарт ЭЦП не отменяется. Он будет действовать еще несколько лет, но согласно письма ФАПСИ лицензиатам - разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускается только до 31 декабря 2001 года. С 1 января 2002 года длина открытого ключа ЭЦП должна быть 1024 бита.

При публикации статьи установка активной индексируемой гиперссылки на источник - сайт E-NIGMA.RU обязательна!