Оценка соответствия требованиям ИБ.
#1. И снова разбираемся с терминами
Мы начинаем цикл статей по оценке соответствия требованиям информационной безопасности,
в котором постараемся дать актуальные ответы на вопросы наших заказчиков и партнеров.
Безусловно, мы не первые, кто решился системно изложить вопросы оценки соответствия продуктов и процессов требованиям в области ИБ. Попытки, даже очень удачные, были и прежде.
Ссылки на некоторые материалы приведены 1.
Тем не менее, даже в профессиональной среде какие-то
нюансы остаются спорными или дискуссионными:
· Является ли сертификация средств защиты информации единственной
реально действующей» формой оценки их соответствия?
· Нужно ли сертифицировать
средства защиты или нет?
· В каком случае подтверждение соответствия должно быть обязательным,
а когда все-таки может быть добровольным?
· Как правильно провести оценку соответствия, если на ваш продукт или вашу услугу регулятором еще не разработан технический регламент?

Начнем с самых основных понятий и постепенно дойдем до методических вопросов
оценки соответствия, стандартизации и обеспечения качества услуг ее проведения.

1
https://www.securitylab.ru/blog/personal/plutsik/344126.php
https://habr.com/ru/articles/201124/
https://lukatsky.ru/sundries/blog-post_25-34.html
https://habr.com/ru/companies/acribia/articles/521162/
https://www.ec-rs.ru/blog/sredstva-zashhity-informacii/otsenka-sootvetstviya-srzi-soglasno-prikazu-fstek-31/

Это (не)страшная сертификация

Сертификация – это одна из форм подтверждения соответствия. Как сказано в Федеральном законе "О техническом регулировании" от 27.12.2002 N 184-ФЗ (далее 184-ФЗ):
«Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, документам по стандартизации или условиям договоров». Есть другая форма подтверждения соответствия - декларирование соответствия. В целом, 184-ФЗ определяет: «Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации. Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (далее - декларирование соответствия); обязательной сертификации».
Таким образом, 184-ФЗ определяет как формы подтверждения соответствия (сертификация и декларирование соответствия), так обязательность или добровольность подтверждения соответствия.
Согласно 184-ФЗ: «Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации».
А что такое технический регламент, кем он принимается? Определение дает 184-ФЗ: «Технический регламент - документ, который принят международным договором Российской Федерации, подлежащим ратификации в порядке, установленном законодательством Российской Федерации, или в соответствии с международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации». Как видно, ни ФСТЭК России, ни ФСБ России не принимают технических регламентов. Более того, технических регламентов в области ИБ нет, в чем можно убедиться, ознакомившись с действующими техническими регламентами (https://www.rst.gov.ru/portal/gost/home/standarts/technicalregulationses).
Являются ли техническими регламентами национальные стандарты? Нет. Хотя в 184-ФЗ сказано: «Национальные стандарты Российской Федерации могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов».
Таким образом, встает вопрос, каким образом и на соответствие чему осуществляется привычная нам сертификация средств защиты информации в системе сертификации ФСТЭК России или средств криптографической защиты информации в системе сертификации ФСБ России?

Руководствуемся требованиями
Дело в том, в ст.5 184-ФЗ указано: «В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами)». А особенности технического регулирования в указанных случаях устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями.
Более того, в ст.6 187-ФЗ от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации" прямо указано: «Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (требования по обеспечению безопасности информационно-телекоммуникационных сетей, которым присвоена одна из категорий значимости и которые включены в реестр значимых объектов критической информационной инфраструктуры, устанавливаются по согласованию с федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи), а также требования к созданию систем безопасности таких объектов и обеспечению их функционирования (в банковской сфере и в иных сферах финансового рынка устанавливает указанные требования по согласованию с Центральным банком Российской Федерации)». А в ст.16 149-ФЗ от 27.07.2006"Об информации, информационных технологиях и о защите информации" говорится: «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий». Конечно, прямые требования могут содержаться в Указах Президента Российской Федерации, в Постановлениях Правительства Российской Федерации. Так, в Указе Президента РФ от 3 апреля 1995 г. N 334 "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" сказано: «Запретить использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации».
Поэтому в случаях, когда мы имеем дело с ГИС, КИИ, со сведениями ограниченного доступа, то руководствуемся требованиями по сертификации, установленными государственными органами власти в виде отдельных нормативных правовых актов. Возможно, в дальнейшем будут приняты технические регламенты в области ИБ, однако сейчас регулирование идет в виде отдельных нормативных правовых актов.
Что касается понятия «обязательная сертификация», то это понятие встречается в нормативных правовых актах и не относящихся к ФЗ-184, но в целом можно сказать, что понятие «обязательная сертификация» характеризуется наличием установленных государством обязательных для выполнения требований.

Есть ли жизнь у добровольной сертификации?
Звучит почти как: «Есть ли жизнь на Марсе?». Ну что же, посмотрим! Добровольное подтверждение соответствия, как было указано, проводится в форме добровольной сертификации. Необходимо отметить, что согласно 184-ФЗ: «Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых документами по стандартизации, системами добровольной сертификации и договорами устанавливаются требования». Что здесь важно? Во-первых, можно сертифицировать не только продукцию, но и работы, услуги, процессы. А во-вторых, сертификация производится, в частности, на соответствие ГОСТу и принятым документам системы добровольной сертификации.
А что такое система добровольной сертификации?
В ФЗ-184 сказано: «Система добровольной сертификации СДС) может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.
Лицо или лица, создавшие систему добровольной сертификации, устанавливают перечень объектов, подлежащих сертификации, и их характеристик, на соответствие которым осуществляется добровольная сертификация, правила выполнения предусмотренных данной системой добровольной сертификации работ и порядок их оплаты, определяют участников данной системы добровольной сертификации».
Федеральное агентство по техническому регулированию и метрологии осуществляет ведение единого реестра зарегистрированных систем добровольной сертификации (https://www.rst.gov.ru/portal/gost/home/activity/compliance/VoluntaryAcknowledgement/reestr).
В абсолютном большинстве системы сертификации являются добровольными и в реестре можно найти примеры систем добровольной сертификации, учрежденных федеральными органами исполнительной власти. И здесь нужно понимать разницу между системой добровольной сертификации и добровольной сертификацией. Обязательная сертификация тоже может и реально проводится (именно так и обстоит дело в нашей практике) в системе добровольной сертификации. Как мы говорили, обязательность относится к наличию установленных государством требований по обязательной сертификации. Если нормативными правовыми актами не установлена сертификация в конкретной системе сертификации, то ее можно проводить в любой СДС, которая аккредитована в соответствующей области. А есть такие случаи на практике, когда можно использовать сертификат соответствия СДС, которая не учреждена органом государственной власти? Этот случай, как и другие конкретные случаи, мы рассмотрим в следующей статье.
Также в следующих статьях мы рассмотрим более подробно систему добровольной сертификации. Отметим только, что в системе сертификации должен быть орган по сертификации, также в СДС могут быть испытательные лаборатории (центры), выполняющих работы по оценке (подтверждению) соответствия продукции. Эти организации аккредитуются в соответствии с законодательством Российской Федерации об аккредитации в национальной системе аккредитации согласно Указу Президента РФ от 24.01.2011 N 86 "О единой национальной системе аккредитации". Федеральная служба по аккредитации (Росаккредитация) является федеральным органом исполнительной власти, осуществляющим функции по формированию единой национальной системы аккредитации и осуществлению контроля за деятельностью аккредитованных лиц

И что в итоге?
1.Обязательная сертификация проводится по техническим регламентам, но в области ИБ технических регламентов нет, поэтому обязательная сертификация в области ИБ проводится во исполнение и на основе требований нормативных правовых актов в системах сертификации федеральных органов исполнительной власти.
2.Законом предусмотрена добровольная сертификация в системах добровольной сертификации (СДС), которые могут быть учреждены широким кругом лиц. В СДС можно сертифицировать продукцию, в т.ч. средства защиты информации, работы (услуги), а также процедуры (процессы) на соответствие ГОСТам и другим документам, принятым в СДС.
3.В определенных документах может быть указание на то, что сертификация должна быть проведена в указанной системе сертификации. Однако, может быть задано требование, что должна быть проведена сертификация продукции (услуг, процессов) без указания на конкретную систему сертификации; в этих случаях возможна сертификация в любой СДС с требуемой областью аккредитации.
4.Обязательная сертификация может осуществляться в системе добровольной сертификации.
5.Добровольная сертификация также может проводиться по требованию заказчика.

Продолжение, конечно, следует
В следующих статьях мы разберем практические примеры, в которых рассмотрим необходимость сертификации средств защиты информации в тех или иных случаях, а также в целом процесс подтверждения соответствия.
2022-2024 © Ассоциация РУСИБ
Продолжая использовать наш сайт, вы даете согласие на обработку файлов Cookies и других
пользовательских данных в соответствии с Политикой в отношении обработки персональных данных
Мы начинаем цикл статей по оценке соответствия
требованиям информационной безопасности,
в котором постараемся дать актуальные ответы
на вопросы наших заказчиков и партнеров.
Безусловно, мы не первые, кто решился системно
изложить вопросы оценки соответствия
продуктов и процессов требованиям в области ИБ.
Попытки, даже очень удачные, были и прежде.
Ссылки на некоторые материалы приведены 1.
Тем не менее, даже в профессиональной среде
какие-то
нюансы остаются спорными или дискуссионными:
· Является ли сертификация
средств защиты информации единственной
реально
действующей» формой оценки их соответствия?
· Нужно ли сертифицировать средства защиты или нет?
· В каком случае подтверждение соответствия должно
быть обязательным, а когда все-таки может
быть добровольным?
· Как правильно провести оценку соответствия,
если на ваш продукт или вашу услугу регулятором
еще не разработан технический регламент?

Начнем с самых основных понятий и постепенно
дойдем до методических вопросов
оценки
соответствия, стандартизации и обеспечения
качества услуг ее проведения.

1
https://www.securitylab.ru/blog/personal/plutsik/344126.php

https://habr.com/ru/articles/201124/
https://lukatsky.ru
/sundries/blog-post_25-34.html
https://habr.com/ru/companies
/acribia/articles/521162/

https://www.ec-rs.ru/blog/sredstva-zashhity-informacii/otsenka
-sootvetstviya-srzi-soglasno-prikazu-fstek-31/

Это (не)страшная сертификация

Сертификация – это одна из форм подтверждения соответствия. Как сказано в Федеральном законе "О техническом регулировании" от 27.12.2002 N 184-ФЗ (далее 184-ФЗ):
«Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, документам по стандартизации или условиям договоров». Есть другая форма подтверждения соответствия - декларирование соответствия. В целом, 184-ФЗ определяет: «Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации. Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (далее - декларирование соответствия); обязательной сертификации».
Таким образом, 184-ФЗ определяет как формы подтверждения соответствия (сертификация и декларирование соответствия), так обязательность или добровольность подтверждения соответствия.
Согласно 184-ФЗ: «Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации».
А что такое технический регламент, кем он принимается? Определение дает 184-ФЗ: «Технический регламент - документ, который принят международным договором Российской Федерации, подлежащим ратификации в порядке, установленном законодательством Российской Федерации, или в соответствии с международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации». Как видно, ни ФСТЭК России, ни ФСБ России не принимают технических регламентов. Более того, технических регламентов в области ИБ нет, в чем можно убедиться, ознакомившись с действующими техническими регламентами (https://www.rst.gov.ru/portal/gost/home/standarts/technicalregulationses).
Являются ли техническими регламентами национальные стандарты? Нет. Хотя в 184-ФЗ сказано: «Национальные стандарты Российской Федерации могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов».
Таким образом, встает вопрос, каким образом и на соответствие чему осуществляется привычная нам сертификация средств защиты информации в системе сертификации ФСТЭК России или средств криптографической защиты информации в системе сертификации ФСБ России?

Руководствуемся требованиями
Дело в том, в ст.5 184-ФЗ указано: «В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами)». А особенности технического регулирования в указанных случаях устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями.
Более того, в ст.6 187-ФЗ от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации" прямо указано: «Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (требования по обеспечению безопасности информационно-телекоммуникационных сетей, которым присвоена одна из категорий значимости и которые включены в реестр значимых объектов критической информационной инфраструктуры, устанавливаются по согласованию с федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи), а также требования к созданию систем безопасности таких объектов и обеспечению их функционирования (в банковской сфере и в иных сферах финансового рынка устанавливает указанные требования по согласованию с Центральным банком Российской Федерации)». А в ст.16 149-ФЗ от 27.07.2006"Об информации, информационных технологиях и о защите информации" говорится: «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий». Конечно, прямые требования могут содержаться в Указах Президента Российской Федерации, в Постановлениях Правительства Российской Федерации. Так, в Указе Президента РФ от 3 апреля 1995 г. N 334 "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" сказано: «Запретить использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации».
Поэтому в случаях, когда мы имеем дело с ГИС, КИИ, со сведениями ограниченного доступа, то руководствуемся требованиями по сертификации, установленными государственными органами власти в виде отдельных нормативных правовых актов. Возможно, в дальнейшем будут приняты технические регламенты в области ИБ, однако сейчас регулирование идет в виде отдельных нормативных правовых актов.
Что касается понятия «обязательная сертификация», то это понятие встречается в нормативных правовых актах и не относящихся к ФЗ-184, но в целом можно сказать, что понятие «обязательная сертификация» характеризуется наличием установленных государством обязательных для выполнения требований.

Есть ли жизнь у добровольной сертификации?
Звучит почти как: «Есть ли жизнь на Марсе?». Ну что же, посмотрим! Добровольное подтверждение соответствия, как было указано, проводится в форме добровольной сертификации. Необходимо отметить, что согласно 184-ФЗ: «Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых документами по стандартизации, системами добровольной сертификации и договорами устанавливаются требования». Что здесь важно? Во-первых, можно сертифицировать не только продукцию, но и работы, услуги, процессы. А во-вторых, сертификация производится, в частности, на соответствие ГОСТу и принятым документам системы добровольной сертификации.
А что такое система добровольной сертификации?
В ФЗ-184 сказано: «Система добровольной сертификации СДС) может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.
Лицо или лица, создавшие систему добровольной сертификации, устанавливают перечень объектов, подлежащих сертификации, и их характеристик, на соответствие которым осуществляется добровольная сертификация, правила выполнения предусмотренных данной системой добровольной сертификации работ и порядок их оплаты, определяют участников данной системы добровольной сертификации».
Федеральное агентство по техническому регулированию и метрологии осуществляет ведение единого реестра зарегистрированных систем добровольной сертификации (https://www.rst.gov.ru/portal/gost/home/activity/compliance/VoluntaryAcknowledgement/reestr).
В абсолютном большинстве системы сертификации являются добровольными и в реестре можно найти примеры систем добровольной сертификации, учрежденных федеральными органами исполнительной власти. И здесь нужно понимать разницу между системой добровольной сертификации и добровольной сертификацией. Обязательная сертификация тоже может и реально проводится (именно так и обстоит дело в нашей практике) в системе добровольной сертификации. Как мы говорили, обязательность относится к наличию установленных государством требований по обязательной сертификации. Если нормативными правовыми актами не установлена сертификация в конкретной системе сертификации, то ее можно проводить в любой СДС, которая аккредитована в соответствующей области. А есть такие случаи на практике, когда можно использовать сертификат соответствия СДС, которая не учреждена органом государственной власти? Этот случай, как и другие конкретные случаи, мы рассмотрим в следующей статье.
Также в следующих статьях мы рассмотрим более подробно систему добровольной сертификации. Отметим только, что в системе сертификации должен быть орган по сертификации, также в СДС могут быть испытательные лаборатории (центры), выполняющих работы по оценке (подтверждению) соответствия продукции. Эти организации аккредитуются в соответствии с законодательством Российской Федерации об аккредитации в национальной системе аккредитации согласно Указу Президента РФ от 24.01.2011 N 86 "О единой национальной системе аккредитации". Федеральная служба по аккредитации (Росаккредитация) является федеральным органом исполнительной власти, осуществляющим функции по формированию единой национальной системы аккредитации и осуществлению контроля за деятельностью аккредитованных лиц

И что в итоге?
1.Обязательная сертификация проводится по техническим регламентам, но в области ИБ технических регламентов нет, поэтому обязательная сертификация в области ИБ проводится во исполнение и на основе требований нормативных правовых актов в системах сертификации федеральных органов исполнительной власти.
2.Законом предусмотрена добровольная сертификация в системах добровольной сертификации (СДС), которые могут быть учреждены широким кругом лиц. В СДС можно сертифицировать продукцию, в т.ч. средства защиты информации, работы (услуги), а также процедуры (процессы) на соответствие ГОСТам и другим документам, принятым в СДС.
3.В определенных документах может быть указание на то, что сертификация должна быть проведена в указанной системе сертификации. Однако, может быть задано требование, что должна быть проведена сертификация продукции (услуг, процессов) без указания на конкретную систему сертификации; в этих случаях возможна сертификация в любой СДС с требуемой областью аккредитации.
4.Обязательная сертификация может осуществляться в системе добровольной сертификации.
5.Добровольная сертификация также может проводиться по требованию заказчика.

Продолжение, конечно, следует
В следующих статьях мы разберем практические примеры, в которых рассмотрим необходимость сертификации средств защиты информации в тех или иных случаях, а также в целом процесс подтверждения соответствия.
Made on
Tilda