Руслан Рахметов, Security Vision
При реализации проектов по кибербезопасности следует тщательно относится к выбору средств защиты информации, особенно при защите информации ограниченного доступа, охраняемой в соответствии с требованиями законодательства РФ, включая персональные данные, данные критической информационной инфраструктуры и государственных информационных систем, а также государственную тайну. Средства технической защиты информации (сокращенно СТЗИ, СрЗИ или СЗИ) и средства обеспечения безопасности информационных технологий (сокращенно СОБИТ) предназначены для снижения уровня киберрисков организации посредством реализации технических мер и соответствующих процессов ИБ, которые обеспечивают безопасность активов и бизнес-процессов. Сами средства защиты предназначены в том числе для выполнения действия по выявлению, анализу, устранению киберугроз, а также мониторингу состояния систем, сетей и сущностей (интерфейсов, приложений, устройств, учетных записей пользователей и т.д.).
В российской регуляторной практике есть деление СЗИ на средства антивирусной защиты информации, системы обнаружения вторжений, межсетевые экраны, средства доверенной загрузки, средства защиты от неправомерной передачи защищаемой информации, средства контроля съемных машинных носителей, системы управления событиями ИБ и т.д. Организациям также следует учитывать требования российских нормативных правовых актов при выборе решений, которые с законодательной точки зрения будут реализовывать корректные функции безопасности для защиты информации и противодействия тем или иным угрозам. Такие СЗИ называются сертифицированными, поскольку прошли процедуры сертификации на соответствие требованиям по безопасности информации; такую сертификацию проводят государственные органы (ФСТЭК России, ФСБ РФ, МО РФ) или коммерческие структуры (например, существует система добровольной сертификации «Газпромсерт»). В данной статье расскажем про наиболее популярную систему сертификации ФСТЭК России, про классы сертифицированных решений, уровни доверия и уровни контроля.
Итак, основополагающим документом в системе сертификации ФСТЭК России является Положение о системе сертификации средств защиты информации, утвержденное Приказом ФСТЭК России №55 от 03.04.2018 г. В данном документе описан общий порядок проведения сертификации средств противодействия иностранным техническим разведкам, средств технической защиты информации, средств обеспечения безопасности информационных технологий, а также средств контроля эффективности данных решений. Отдельно подчеркивается, что сертификация не проводится для СЗИ иностранного производства - в реалиях 2024 года это очевидно, но и до 2022 года иностранные вендоры крайне редко решались на прохождение отечественных процедур сертификации (в основном, это было связано с необходимостью предоставлять регулятору обширную информацию о продуктах). Участниками процедуры сертификации СЗИ являются:
-
Непосредственный производитель решения (разрабатывает решение, предоставляет его на проверку в испытательную лабораторию, формирует сопроводительную документацию, а также устраняет выявляемые уязвимости и недекларированные возможности, выпускает обновления, актуализирует документацию);
-
Испытательная лаборатория (проводит сертификационные испытания СЗИ);
-
Орган по сертификации (проводит сертификацию и оформляет сертификат соответствия);
-
Федеральный орган по сертификации (ФСТЭК России организует и контролирует всю систему сертификации СЗИ).
Сертификация ФСТЭК проводится для единичного образца или партии СЗИ (если отсутствует серийное производство решения), а также для серийного производства СЗИ (проводятся испытания выборочных образцов решения, проверяется также процесс его производства и поддержки). В документе подчеркивается, что в рамках системы сертификации испытательные лаборатории и органы по сертификации должны обеспечивать защиту информации, полученной от производителя СЗИ, а также защищать сведения о методиках сертификационных испытаний.
Сам процесс сертификации включает в себя следующие этапы:
-
Подача заявки на сертификацию;
-
Принятие решения о проведении сертификации СЗИ;
-
Сертификационные испытания СЗИ;
-
Оформление экспертного заключения по результатам сертификации;
-
Выдача сертификата соответствия.
Кроме этого, могут выполняться дополнительные и сопутствующие действия, такие как переоформление сертификата, продление срока его действия, приостановление или прекращение действия (отзыв) сертификата. Действие сертификата может быть приостановлено на срок не более 90 дней по различным причинам, в том числе при выявлении уязвимостей или недекларированных возможностей в сертифицированном решении или при прекращении оказания производителем технической поддержки пользователям продукта. В случае, если вендор не устранит выявленные недостатки или не возобновит оказание технической поддержки, сертификат соответствия может быть отозван. Регулятор ведет и поддерживает государственный реестр сертифицированных средств защиты информации, размещенный на сайте https://reestr.fstec.ru/reg3.
Далее перейдем к описанию классов сертифицированных решений, расскажем про уровни доверия и уровни контроля - данные термины описаны в документе «Требования по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденном Приказом ФСТЭК России №76 от 02.06.2020 г. В данном документе определены 6 уровней доверия к СЗИ и СОБИТ, которые характеризуют безопасность их применения для обработки и защиты информации ограниченного доступа и для обеспечения безопасности значимых объектов КИИ РФ. Самый низкий уровень доверия - шестой, самый высокий - первый, при этом они дифференцированы следующим образом:
-
СЗИ и СОБИТ, соответствующие 6 уровню доверия, можно использовать на ЗОКИИ с 3 категорией значимости, в ГИС с 3 классом защищенности, в АСУТП с 3 классом защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровней защищенности ПДн;
-
СЗИ и СОБИТ, соответствующие 5 уровню доверия, можно использовать на ЗОКИИ с 2 категорией значимости, в ГИС с 2 классом защищенности, в АСУТП с 2 классом защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности ПДн;
-
СЗИ и СОБИТ, соответствующие 4 уровню доверия, можно использовать на ЗОКИИ с 1 категорией значимости, в ГИС с 1 классом защищенности, в АСУТП с 1 классом защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности ПДн, в информационных системах общего пользования II класса;
-
СЗИ и СОБИТ, соответствующие 1, 2, 3 уровням доверия, применяются в информационных системах, обрабатывающих государственную тайну.
В документе также установлено соответствие между классами СЗИ и СВТ (средств вычислительной техники) и уровнями доверия: СЗИ 6 класса должны соответствовать 6 уровню доверия, СЗИ 5 класса - 5 уровню доверия, СЗИ 4 класса и СВТ 5 класса - 4 уровню доверия. В тексте приводится также набор требований к разработке, производству, проведению испытаний (в рамках сертификации), поддержке СЗИ и СОБИТ. Требования к разработке и производству СЗИ и СОБИТ включают в себя требования к разработке модели безопасности, проектированию решения и его архитектуры безопасности, разработке функциональной спецификации и документации (проектной, эксплуатационной, по безопасной разработке), а также к средствам разработки и к управлению конфигурацией решений. Требования к проведению испытаний включают в себя требования к тестированию решений, к испытаниям для поиска уязвимостей и недекларированных возможностей, к анализу скрытых каналов управления и передачи данных в решении. Наконец, требования к поддержке безопасности решений включают в себя требования к устранению недостатков решения (в том числе уязвимостей и недекларированных возможностей), к установке обновлений и предоставлению актуализированной документации, уведомлению пользователей об окончании поддержки или производства решения, а также к документированию процедур установки обновлений и устранения недостатков.
Кроме того, к работам по поиску уязвимостей и недекларированных возможностей в СЗИ и СОБИТ предъявляются дополнительные требования по уровням контроля:
-
Испытания решений, соответствующих 6 уровню доверия, должны проводиться по 6 уровню контроля, включая проверку аппаратных платформ решений на наличие микросхем, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз;
-
Испытания решений, соответствующих 5 уровню доверия, должны проводиться по 5 уровню контроля, включая дополнительную к 6 уровню проверку корректности структурной и функциональной схем аппаратной платформы, а также проверку корректности данных из формуляра на решение;
-
Испытания решений, соответствующих 4 уровню доверия, должны проводиться по 4 уровню контроля, включая дополнительную к 5 уровню проверку компонентов аппаратной платформы на соответствие структурной и функциональной схемам, а также проверку потенциально опасных аппаратных компонентов, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз.