Автор работы: Пользователь скрыл имя, 31 Марта 2012 в 12:53, реферат
Проблема обеспечения необходимого уровня защиты информации оказалась (и это предметно подтверждено как теоретическими исследованиями, так и опытом практического решения) весьма сложной, требующей для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специфических средств и методов, а создания целостной системы организационных мероприятий и применения специфических средств и методов по защите информации.
ВВЕДЕНИЕ
Научно-техническая революция в последнее время приняла грандиозные масштабы в области информатизации общества на базе современных средств вычислительной техники, связи, а также современных методов автоматизированной обработки информации. Применение этих средств и методов приняло всеобщий характер, а создаваемые при этом информационно-вычислительные системы и сети становятся глобальными как в смысле территориальной распределенности, так и в смысле широты охвата в рамках единых технологий процессов сбора, передачи, накопления, хранения, поиска, переработки информации и выдачи ее для использования. Иными словами, человечество приступило к реализации задачи создания и использования целой индустрии переработки информации. В современном мире информационный ресурс стал одним из наиболее мощных рычагов экономического развития. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет, тем самым, высокую цену "информационного фактора". Широкое внедрение персональных ЭВМ вывело уровень "информатизации" деловой жизни на качественно новую ступень.
Проблема обеспечения необходимого уровня защиты информации оказалась (и это предметно подтверждено как теоретическими исследованиями, так и опытом практического решения) весьма сложной, требующей для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специфических средств и методов, а создания целостной системы организационных мероприятий и применения специфических средств и методов по защите информации. Координация работ по защите информации в государственном масштабе традиционно осуществлялась и осуществляется Гостехкомиссией России, которая создавалась как головная организация по противодействию иностранным техническим разведкам.
Работы по защите информации у нас в стране ведутся достаточно интенсивно и уже продолжительное время.
1.ПОНЯТИЕ СЕРТИФИКАЦИИ И АТТЕСТАЦИИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
Сертификация - это процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Если говорить о сертификации применительно к средствам защиты информации, то это деятельность по подтверждению их соответствия требованиям технических регламентов, национальных стандартов или иных нормативных документов по защите информации.
Саму систему сертификации представляет ФСТЭК России, которому подведомственны аккредитованные органы по сертификации средств защиты информации и испытательные лаборатории.
Вся система сертификации обеспечивает достижение прежде всего национальной безопасности в сфере информатизации. Не менее важным является формирование и осуществление единой научно - технической и промышленной политики в сфере информатизации. А так же содействие формированию рынка защищенных информационных технологий и средств их обеспечения, регулирование и контроль разработки, а также последующего производства средств защиты информации, помощь потребителям в компетентном выборе средств защиты информации, защита потребителя от недобросовестности исполнителя (продавца, изготовителя), подтверждение показателей качества продукции.
Нормативная правовая база системы сертификации средств защиты информации включает в себя следующее:
-Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г.
-Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»
-Положение о сертификации средств защиты информации по требованиям безопасности информации (приказ председателя Гостехкомиссии России от 27 октября 1995 г. № 199)
Сертификации подлежат технические, программные, программно-аппаратные средства защиты информации, средства в которых реализованы СЗИ и средства контроля эффективности защиты информации.
Срок действия сертификата составляет 3 года (в соответствии со ст. 8. «Положения о сертификации средств защиты информации» (утв. постановлением Правительства РФ от 26 июня 1995 г. № 608, с изменениями от 23 апреля 1996 г., 29 марта 1999 г., 17 декабря 2004г.), срок действия сертификата не может превышать пяти лет). Действие сертификата может быть продлено если не изменилось, например, количество и состав изделий подлежащих сертификации, не изменились требования, предъявляемые к СЗИ при сертификации, не изменились технические условия или конструкция изделий. В противном случае, проводится первичная сертификация (то есть в полном объеме, как и при первой сертификации).
Кроме того, в соответствии с упомянутыми законами, а также на основании закона Российской Федерации от 10.06.93 "О сертификации продукции и услуг" N 5151-1 ФАПСИ 15 ноября 1993 года зарегистрировало в Госстандарте России "Систему сертификации средств криптографической защиты информации" РОСС.RU.0001.030001. Данный документ определил организационную структуру системы сертификации шифровальных средств ФАПСИ, а также установил основные правила проведения сертификационных исследований и испытаний криптографических средств защиты информации и закрытых с их помощью систем и комплексов обработки, хранения и передачи информации.
В рассматриваемой области сертификация - это подтверждение соответствия средства защиты информации как определенной конкретной технической реализации некоторого алгоритма заданным стандартам на этот алгоритм или описанию алгоритма, а также удовлетворения этим средством установленным требованиям по безопасности. Особо при этом следует подчеркнуть три момента.
Во-первых, процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, включающей в обязательном порядке и организационно-технические и организационные средства и меры.
Во-вторых, сертификации может подвергаться только готовое, законченное изделие.
В-третьих, требования по безопасности включают количественные критерии и нормы, и поэтому, в отличие от других процедур, входящих в процесс лицензирования и сертификации, процедуры сертификационных испытаний базируются на формальных методах и развитой метрологической базе.
Многие термины, используемые в области сертификации, определены законом Российской Федерации "О сертификации продукции и услуг". Учитывая это, в данной работе представляется целесообразным дать определения понятий, связанных с рассматриваемой проблематикой.
Сертификация средств защиты информации - деятельность по подтверждению соответствия средств защиты информации требованиям государственных стандартов и требованиям по безопасности информации, предъявляемым
ФАПСИ.
Сертификат на средство защиты информации - надлежащим образом оформленный документ, выданный по правилам системы сертификации и подтверждающий соответствие средства защиты информации требованиям по безопасности информации, предъявляемым ФАПСИ.
Порядок проведения сертификации средств защиты информации ФАПСИ основан на следующих основных принципах и правилах:
1. Обязательность сертификации изделий, обеспечивающих защиту государственной тайны, или обязательность сертификации которых установлена нормативными актами Российской Федерации.
В настоящее время такое требование установлено для средств защиты информации в системах электронного документооборота, используемых для обмена с Банком России, а также для средств и защищенных систем государственных предприятий или предприятий, на которых размещен государственный заказ.
2. Обязательность использования криптографических алгоритмов, являющихся стандартами или ранее рекомендованных либо разработанных ФАПСИ.
Специально подчеркнем, что факт одобрения ФАПСИ алгоритма до его технической реализации является одним из основных требований к представляемым на сертификацию изделиям. Это одобрение может быть осуществлено путем утверждения алгоритма:
Отсюда следует, что изделия, реализованные на базе собственных оригинальных алгоритмов, ранее не представлявшихся в ФАПСИ, а равно изделия, реализующие алгоритмы иностранной разработки, или импортные шифровальные средства на сертификацию не принимаются.
3. Принятие на сертификацию только изделий от заявителей, имеющих лицензию ФАПСИ на соответствующие виды деятельности.
Оформление установленным порядком права на осуществление деятельности в области защиты информации является первичным. Разрабатывать алгоритмы и средства защиты на их базе как продукцию, товар предлагаемый на рынок, могут только предприятия, имеющие лицензию.
4. Принятие на сертификацию только готовых изделий в целом, а не их составных частей или отдельных компонент.
В различных публикациях специалисты ФАПСИ неоднократно указывали, что сами по себе даже высоконадежные криптографические алгоритмы или отдельные блоки и модули (аппаратные, аппаратно-программные и программные), реализующие часть процесса защиты, не могут обеспечить требуемого уровня защиты информации в комплексе.
5. Процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, с учетом условий их эксплуатации.
6. Двухступенчатость процесса сертифицикации при независимости организаций, проводящих экспертизу и сертификационные испытания: сертификация средств защиты информации осуществляется Центральным органом по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).
7. Дифференцированность подхода к уровню защиты различных видов информации.
Например, в зависимости от полноты реализуемой защиты для системы конфиденциального электронного документооборота устанавливаются три уровня обеспечения безопасности (сертификации):
Уровень "А" - сертификат выдается на систему защиты в целом и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам, комплексное выполнение требований ФАПСИ к шифровальным средствам с учетом их программного окружения, наличие защищенной (без недокументированных возможностей) аппаратно-программной среды;
Уровень "В" - сертификат выдается на систему защиты, включающую шифровальные средства и их программное окружение, и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям ФАПСИ, выполнение требований ФАПСИ к программному окружению шифровальных средств;
Уровень "С" - сертификат выдается только на шифровальные средства и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям.
8. Принятие Центральным органом по сертификации и испытательными центрами (лабораториями) на себя ответственности за выполнение возложенных на них функций в соответствии с действующим законодательством и договорными обязательствами.
9. Сертификационные испытания средств криптографической защиты информации могут осуществляться только аккредитованными ФАПСИ испытательными сертификационными центрами. Действительное соответствие изделия государственным стандартам и гарантию удовлетворения требований по безопасности к шифровальным средствам соответствующего класса удостоверяет только сертификат ФАПСИ.
10. Принятие и неуклонное соблюдение заявителем правил, установленных в системе сертификации.
ФАПСИ как Государственный орган по сертификации создает систему сертификации средств защиты информации, устанавливает правила проведения сертификации конкретных средств защиты информации в этой системе, организует обязательную государственную сертификацию этих средств, устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации, определяет центральный орган системы сертификации, устанавливает правила признания зарубежных сертификатов, рассматривает апелляции по вопросам сертификации, выдает сертификаты.
В заключении можно сказать, что система сертификации является составной частью государственной системы защиты информации, под которой понимается совокупность федеральных и иных органов управления и взаимоувязанных правовых, организационных и технических мер, осуществляемых на различных уровнях управления и реализации информационных отношений и направленных на обеспечение безопасности информации.
1.2.Аттестация в области защиты информации
Аттестация объекта – официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов по защите информации.