Уровни доверия по классификации ФСТЭК: особенности присвоения

Уровни доверия по классификации ФСТЭК: особенности присвоения
Уровни доверия по классификации ФСТЭК: особенности присвоения
17.03.2023

Требования к уровням доверия ФСТЭК являются определяющим документом деятельности компаний, создающих средства защиты информации, относящийся к государственной тайне. Ими же регламентируется обеспечение безопасности сведений, которые, согласно различным нормативно-правовым актам РФ, имеют ограничения доступа.

Настольным документом для разработчиков подобных программ служит 131 приказ ФСТЭК, опубликованный в июле 2018 года. За прошедшие с этого момента почти пять лет в стране сложилась практика применения положений данного документа, а многие компании успешно адаптировались к их выполнению.

Зачем соблюдать требования к уровням

В исполнении требований по безопасности информации, устанавливающих уровни доверия ФСТЭК, заинтересованы создатели средств защиты информации, то есть занимающиеся их разработкой компании. Правда не все, а исключительно работающие с государственными структурами и объектами критической информационной инфраструктуры. Соблюдение вышеописанных требований относится к важным условиям прохождения процедуры сертификации.

Максим Карчевский

Руководитель направления GR в компании R-Vision

Уровни доверия пришли на смену сертификации устаревшей классификации по уровням контроля отсутствия недекларированных возможностей. В новом документе особое внимание уделено построению процессов безопасной разработки (SDL) и проведению испытаний на соответствие требованиям.

Многие иностранные продукты оказались не готовыми к этим изменениям: приходилось делиться информацией о внутреннем устройстве своих решений, оперативно устранять уязвимости и нести ответственность за внешние зависимости внутри продуктов.

Ряд зарубежных компаний провел пересертификацию по минимальному уровню доверия (6), где не требуется предоставлять исходные тексты. Другие потеряли часть рынка – возможность продавать свою продукцию для обеспечения информационной безопасности в государственных информационных системах, критической информационной инфраструктуре и информационных системах персональных данных. Отечественным компаниям, готовым к трансформации процессов в сторону «реальной», а не «бумажной» безопасности, это предоставило конкурентные преимущества.

Рынок сертифицированных средств защиты информации значительно сократился, но, с другой стороны, мы видим новых игроков, активно занимающих освободившиеся места.

Компании, которые успешно определили уровни доверия к СЗИ ФСТЭК, получают весомое конкурентное преимущество. Рынок для их продукта ограничивается только присвоенным уровнем доверия, а не исключительно не связанными дополнительными требованиями частными организациями, как для несертифицированных СЗИ.

Что такое уровень доверия

Это понятие используют многие дисциплины. Его можно встретить в психологии и социологии, термином активно оперирует статистика. Каждая область привносит в понятие свои оттенки значения. Уровень доверия в информационной безопасности определяется все тем же приказом №131 как основа дифференциации средств защиты информации.

Всего выделяется шесть категорий. Значимость возрастает от обратного, то есть шестой будет низшим, а первый — высшим. В зависимости от уровня доверия ФСТЭК решения могут применяться для:

  • защищенных объектов критической информационной инфраструктуры;
  • геоинформационных систем;
  • автоматизированных системах управления технологическими процессами;
  • информационных системах персональных данных.

Каждый из этих пунктов, в свою очередь, имеет классы безопасности. Соответственно, в зависимости от определенного уровня доверия, они будут использоваться для разных классов систем.

Так, шестой уровень предполагает, что средство защиты информации подходит для защищенных объектов КИИ третьей категории, геоинформационных и автоматизированных систем УТП третьего класса, третьего и четвертого уровней защищенности ИСПД. Для пятого уровня цифры везде нужно заменить на вторые. 4 уровень доверия ФСТЭК предполагает, что решение подходит для первой категории ЗО КИИ, первых классах ГИС и АСУТП, первом уровне защиты ИСПДН.

Отдельно стоит остановиться на первых трех оценочных уровнях доверия ФСТЭК. Средства защиты информации, которым они присвоены, могут использоваться для обеспечения безопасного хранения информации, которая составляет государственную тайну.

Сложности присвоения

Некоторые компании сталкиваются с трудностями в процессе соблюдения требований по безопасности информации, устанавливающих уровни доверия. Однако они связаны не со сложным порядком сертификации продукта, определенным ФСТЭК.

131-й приказ определяет необходимые действия на следующих этапах работы с СЗИ:

  1. Разработке.
  2. Испытаниях.
  3. Поддержке безопасности.

Для каждой стадии работы в документе содержится описание требуемых действий как минимум в четырех пунктах. Разработка определяет критерии, которым должна соответствовать архитектура и функционал безопасности, а также конфигурация СЗИ. Раздел об испытаниях позволяет определиться с тестированием, обнаружением уязвимостей и скрытых каналов. Наконец поддержка безопасности проясняет порядок действий при устранении выявленных недостатков с информированием пользователей по определенному образцу, а также описывает документирование данного типа процедур.

Дмитрий Юркин

К. т. н., доцент, начальник испытательной лаборатории компании «Газинформсервис»

Разработчики часто не готовы привести продукцию в соответствие с заявленным уровнем доверия. Сложностей в проведении сертификации по требованиям безопасности информации нет, если производитель полноценно реализовал процедуры безопасной разработки продукции.

Таким образом, когда все требования для присвоения продукту необходимого уровня доверия соблюдены, сложностей с сертификацией в большинстве случаев не возникает. Если цель — присвоить продукту определенный уровень доверия и подтвердить его сертификатом, лучше посвятить требуемым нюансам больше времени и усилий на стадии разработки.

Выводы

Исчерпывающую информацию по особенностям и критериям можно найти в 131 приказе ФСТЭК по уровням доверия. Знакомство с ним позволяет понять, как корректно провести процедуры разработки, испытаний и поддержки безопасности продукта.

Соблюдение требований к присвоению соответствующего уровня доверия и последующей сертификации продукта ФСТЭК выгодно разработчикам. Оно позволяет расширить рынок для своей продукции за счет возможности ее применения в государственных организациях, а также всевозможных геоинформационных системах, информационных системах УТП и прочих решениях соответствующих классов.

erid: 2SDnjdkeB3r erid: 2SDnjdkeB3r

Популярные публикации

Читайте также


Комментарии 0