ݺߣ

ݺߣShare a Scribd company logo

Сертификация - это просто ?

C
cnpo

Никулин М.Ю.

1 of 18
Сертификация – это просто? Михаил Никулин Директор департамента тестирования и сертификации
Сертификация и лицензирование • Лицензирование – разрешение на определённый вид деятельности • Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
Сертификация и аттестация • Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям • Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России 3
Обязательная или добровольная? • Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 4
Системы сертификации СЗИ Добровольные системы сертификации 5
Виды сертификационных испытаний • Функциональное BlackBox-тестирование • проводится на соответствие либо одному из руководящих документов (например, для межсетевых экранов), либо на соответствие реальных и декларированных в документации функциональных возможностей. • Анализ исходных текстов на предмет отсутствия недекларированных возможностей • испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации. 6
Виды сертификационных испытаний • Функциональное тестирование: – На соответствие классу защищенности от несанкционированного доступа (НСД) – по РД Гостехкомиссии России – На соответствие техническим условиям – На соответствие заданию по безопасности (по «Общим критериям») – На соответствие требованиям к криптографическим СЗИ (ФСБ России) • Анализ исходных текстов: – На соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 7
Руководящие документы ФСТЭК России • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Безопасные информационные технологии. Критерии оценки безопасности информационных технологий (2002). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). 8
Требования к СЗИ • Конфиденциально (служебная, коммерческая тайна и персональные данные): – АС: 3Б, 2Б, 1Г и выше – МЭ: до 4 класса защищенности (до 3 – для ПД) – СВТ: до 5 класса защищенности – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ • Гостайна: – АС: 3А, 2А, 1В-1А – МЭ: не ниже 3 класса защищенности – СВТ: не ниже 4 класса защищенности – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ 9
Сертификация по ТУ или ЗБ Применяется для средств защиты информации, не укладывающихся в рамки традиционных руководящих документов Гостехкомиссии РФ, таких как: – Антивирусные средства – Системы обнаружения и предотвращения вторжений – Системы анализа защищенности –… 10
Схемы проведения сертификационных испытаний • Единичный экземпляр: • Партия: • Серийное производство: 11
Участники сертификационного процесса Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Оператор) Сертификат Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК) Материалы для Заключение проведения испытаний Решение Орган по сертификации Материалы испытаний Испытательная лаборатория 12
Требования к участникам процесса сертификации • Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. • Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. • Орган по сертификации – аттестат аккредитации органа по сертификации. 13
Необходимость сертификации в ИСПДн Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Постановление правительства РФ №781) Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Приказ ФСТЭК России №58) Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации (ФСБ России) …. 14
Требования к СЗИ в ИСПДн Средства защиты информации от несанкционированного доступа (РД СВТ + РД НДВ) Средства межсетевого экранирования (РД МЭ + РД НДВ) Средства антивирусной защиты (РД НДВ + ТУ) Средства криптографической защиты информации (по требованиям ФСБ) Системы обнаружения и предотвращения вторжений (РД НДВ + ТУ) 15
Наш опыт • Более 300 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 16
Наши зарубежные клиенты 17
Михаил Никулин ЗАО «НПО» «Эшелон» Директор департамента E-mail: m.nikulin@npo-echelon.ru тестирования и сертификации Тел.: +7(495) 645-38-09

Recommended

Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
cnpo
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктов
cnpo
Certification
CertificationCertification
Certification
cnpo
Licensing
LicensingLicensing
Licensing
cnpo
Politics
PoliticsPolitics
Politics
cnpo
Audit intro
Audit introAudit intro
Audit intro
cnpo
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
КРОК
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
aspectspb
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
NAUMEN. Информационные системы управления растущим бизнесом
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
a_a_a
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
Training center "Echelon"
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
Dmitry Evteev
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
Teymur Kheirkhabarov
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
Andrey Fadin
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
Dmitry Evteev
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
Ignat Dydyshko
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
Учебный центр "Эшелон"
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2
Компания УЦСБ
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
Учебный центр "Эшелон"
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»
Ancud Ltd.
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
SQALab
Технические требования к ИСПДн
Технические требования к ИСПДнТехнические требования к ИСПДн
Технические требования к ИСПДн
Учебный центр "Эшелон"

More Related Content

What's hot (18)

Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
КРОК
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
aspectspb
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
NAUMEN. Информационные системы управления растущим бизнесом
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
a_a_a
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
Training center "Echelon"
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
Dmitry Evteev
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
Teymur Kheirkhabarov
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
Andrey Fadin
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
Dmitry Evteev
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
Ignat Dydyshko
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
Учебный центр "Эшелон"
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2
Компания УЦСБ
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
Учебный центр "Эшелон"
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
КРОК
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
aspectspb
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
NAUMEN. Информационные системы управления растущим бизнесом
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
a_a_a
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
Training center "Echelon"
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
Dmitry Evteev
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
Teymur Kheirkhabarov
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
Andrey Fadin
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
Dmitry Evteev
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
Ignat Dydyshko
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
Учебный центр "Эшелон"
ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2ИБ Стратегия обороны. Серия №4 ч.2
ИБ Стратегия обороны. Серия №4 ч.2
Компания УЦСБ
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
Учебный центр "Эшелон"

Similar to Сертификация - это просто ? (20)

Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»
Ancud Ltd.
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
SQALab
Технические требования к ИСПДн
Технические требования к ИСПДнТехнические требования к ИСПДн
Технические требования к ИСПДн
Учебный центр "Эшелон"
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
Учебный центр "Эшелон"
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
1С-Битрикс
Направления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииНаправления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информации
journalrubezh
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
Sergey Borisov
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
Expolink
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
Аттестация
АттестацияАттестация
Аттестация
pesrox
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
Demian Ramenskiy
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
Uladzislau Murashka
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Expolink
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решения
Andrey Kondratenko
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
Demian Ramenskiy
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»
Ancud Ltd.
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
SQALab
Технические требования к ИСПДн
Технические требования к ИСПДнТехнические требования к ИСПДн
Технические требования к ИСПДн
Учебный центр "Эшелон"
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
Учебный центр "Эшелон"
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
1С-Битрикс
Направления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииНаправления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информации
journalrubezh
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
Sergey Borisov
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
Expolink
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
Аттестация
АттестацияАттестация
Аттестация
pesrox
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
Demian Ramenskiy
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
Uladzislau Murashka
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Expolink
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решения
Andrey Kondratenko
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
Demian Ramenskiy

More from cnpo (17)

защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)
cnpo
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
cnpo
Net graph
Net graphNet graph
Net graph
cnpo
Net topology
Net topology Net topology
Net topology
cnpo
Russian information security market
Russian information security marketRussian information security market
Russian information security market
cnpo
Certification
CertificationCertification
Certification
cnpo
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
cnpo
Siem
SiemSiem
Siem
cnpo
P dn docs
P dn docsP dn docs
P dn docs
cnpo
Social engineering
Social engineeringSocial engineering
Social engineering
cnpo
Rubicon
RubiconRubicon
Rubicon
cnpo
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
cnpo
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
cnpo
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубикон
cnpo
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
cnpo
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
cnpo
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011
cnpo
защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)
cnpo
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
cnpo
Net graph
Net graphNet graph
Net graph
cnpo
Net topology
Net topology Net topology
Net topology
cnpo
Russian information security market
Russian information security marketRussian information security market
Russian information security market
cnpo
Certification
CertificationCertification
Certification
cnpo
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
cnpo
Siem
SiemSiem
Siem
cnpo
P dn docs
P dn docsP dn docs
P dn docs
cnpo
Social engineering
Social engineeringSocial engineering
Social engineering
cnpo
Rubicon
RubiconRubicon
Rubicon
cnpo
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
cnpo
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
cnpo
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубикон
cnpo
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
cnpo
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
cnpo
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011
cnpo

Сертификация - это просто ?

  • 1. Сертификация – это просто? Михаил Никулин Директор департамента тестирования и сертификации
  • 2. Сертификация и лицензирование • Лицензирование – разрешение на определённый вид деятельности • Сертификация – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат), что продукция соответствует установленным требованиям. 2
  • 3. Сертификация и аттестация • Сертификация продукта – процесс подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (Сертификат), что продукция соответствует установленным требованиям • Аттестация объекта информатизации – комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России 3
  • 4. Обязательная или добровольная? • Положение о сертификации СЗИ: – Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение… – В остальных случаях сертификация носит добровольный характер. 4
  • 5. Системы сертификации СЗИ Добровольные системы сертификации 5
  • 6. Виды сертификационных испытаний • Функциональное BlackBox-тестирование • проводится на соответствие либо одному из руководящих документов (например, для межсетевых экранов), либо на соответствие реальных и декларированных в документации функциональных возможностей. • Анализ исходных текстов на предмет отсутствия недекларированных возможностей • испытания включают в себя статический анализ исходных текстов, динамический анализ исходных текстов, подтверждение взаимно однозначного соответствия исходных текстов и исполняемых модулей, а также контроль документации. 6
  • 7. Виды сертификационных испытаний • Функциональное тестирование: – На соответствие классу защищенности от несанкционированного доступа (НСД) – по РД Гостехкомиссии России – На соответствие техническим условиям – На соответствие заданию по безопасности (по «Общим критериям») – На соответствие требованиям к криптографическим СЗИ (ФСБ России) • Анализ исходных текстов: – На соответствие уровню контроля отсутствия недекларированных возможностей (НДВ) – по РД Гостехкомиссии России 7
  • 8. Руководящие документы ФСТЭК России • АС. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации (1992). • СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации (1992). • СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации (1997). • Безопасные информационные технологии. Критерии оценки безопасности информационных технологий (2002). • Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (1999). 8
  • 9. Требования к СЗИ • Конфиденциально (служебная, коммерческая тайна и персональные данные): – АС: 3Б, 2Б, 1Г и выше – МЭ: до 4 класса защищенности (до 3 – для ПД) – СВТ: до 5 класса защищенности – ПО СЗИ: до 4 уровня контроля на отсутствие НДВ • Гостайна: – АС: 3А, 2А, 1В-1А – МЭ: не ниже 3 класса защищенности – СВТ: не ниже 4 класса защищенности – ПО СЗИ: не ниже 3 уровня контроля на отсутствие НДВ 9
  • 10. Сертификация по ТУ или ЗБ Применяется для средств защиты информации, не укладывающихся в рамки традиционных руководящих документов Гостехкомиссии РФ, таких как: – Антивирусные средства – Системы обнаружения и предотвращения вторжений – Системы анализа защищенности –… 10
  • 11. Схемы проведения сертификационных испытаний • Единичный экземпляр: • Партия: • Серийное производство: 11
  • 12. Участники сертификационного процесса Заявитель (Оператор, Разработчик) Заявитель (Разработчик, Оператор) Сертификат Заявка Федеральный орган (ФСТЭК, ФСБ) Федеральный Орган (ФСТЭК) Материалы для Заключение проведения испытаний Решение Орган по сертификации Материалы испытаний Испытательная лаборатория 12
  • 13. Требования к участникам процесса сертификации • Заявитель – лицензия на деятельность по разработке (производству) средств защиты конфиденциальной информации. • Испытательная лаборатория – аттестат аккредитации испытательной лаборатории. • Орган по сертификации – аттестат аккредитации органа по сертификации. 13
  • 14. Необходимость сертификации в ИСПДн Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Постановление правительства РФ №781) Положение об обеспечении безопасности ПДн при их обработке в ИСПДн (Приказ ФСТЭК России №58) Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации (ФСБ России) …. 14
  • 15. Требования к СЗИ в ИСПДн Средства защиты информации от несанкционированного доступа (РД СВТ + РД НДВ) Средства межсетевого экранирования (РД МЭ + РД НДВ) Средства антивирусной защиты (РД НДВ + ТУ) Средства криптографической защиты информации (по требованиям ФСБ) Системы обнаружения и предотвращения вторжений (РД НДВ + ТУ) 15
  • 16. Наш опыт • Более 300 сертификатов в различных системах сертификации. • Ни одной неудачной сертификации за всю историю работы компании. Продукты, которые не смогут получить сертификат, отсекаются на этапе предварительного анализа. • Список продуктов, прошедших процедуру сертификации доступен в официальном реестре на сайте www.fstec.ru, по другим системам сертификации списки не подлежат опубликованию. 16
  • 18. Михаил Никулин ЗАО «НПО» «Эшелон» Директор департамента E-mail: m.nikulin@npo-echelon.ru тестирования и сертификации Тел.: +7(495) 645-38-09