Сертификация и сертификационные испытания в системах сертификации ФСТЭК России, Минобороны России, ФСБ России, «АйТи-Сертифика»

АО «НПО «Эшелон» выполняет услуги по сертификации программного обеспечения, средств защиты информации, автоматизированных систем и систем менеджмента информационной безопасности.

АО «НПО «Эшелон» аккредитовано в качестве органа по сертификации ФСТЭК России и испытательных лабораторий в системах обязательной сертификации Минобороны России, ФСБ России, ФСТЭК России и добровольной сертификации «АйТи-Сертифика».

Испытательная лаборатория АО «НПО «Эшелон» проводит полный перечень программного и программно-аппаратного обеспечения, в том числе:

на соответствие требованиям по защищенности от несанкционированного доступа к информации;
на соответствие требованиям по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий;
на соответствие требованиям профилей защиты
на отсутствие недекларированных возможностей;
на соответствие заданию безопасности (по требованиям ГОСТ Р ИСО/МЭК 15408);
на соответствие реальных и декларируемых в документации функциональных возможностей;
на соответствие криптографическим и инженерно-криптографическим требованиям (КИКТ) к программным датчикам случайных чисел (ПДСЧ);
на соответствие требованиям по безопасности технологий разработки;
на соответствие требованиям международных стандартов, стандартов предприятия и др.

За последние несколько лет сотрудники АО «НПО «Эшелон» участвовали в сертификации более 1000 продуктов и систем ведущих российских и зарубежных производителей:

антивирусных программ: Dr.Web, Stocona antivirus Professional, Антивирус Касперского, ESET Nod32;
межсетевых экранов: линейки «Континент», «ФПСУ-IP», «МЭ-023», CheckPoint Firewall-1/VPN-1, Check Point UTM-1 Edge, ESET NOD32Firewall, Nortel, Cisco PIX, Cisco ASA, Eudemon, TrustAccess и МЭ Huawei;
систем анализа защищенности системного и сетевого уровня: «Мобильный комплекс контроля защищенности», средства мониторинга событий NetForensis, сканеров безопасности линейки XSpider, средства мониторинга нарушений «Секретер», системы комплексного мониторинга информационной безопасности MaxPatrol;
комплексных средств защиты от несанкционированного доступа к информации: «Security Studio», линейки «Secret Net», специализированных СЗИ линейки «Ключ»;
систем управления базами данных: «Линтер-ВС», «Firebird», «Oracle», «Microsoft SQL Server», «Линтер-Бастион»;
программно-аппаратных устройств CRYPTOCard, RUTOKEN, «Соболь», «ОАЗИС-мульти»;
прикладных сред SAP NetWeaver, системы комплексного управления безопасностью «КУБ»;
систем электронного документооборота: «ЭЛАР Саперион», «iPension»;
систем генерации паролей: «Браслетка», «УСГП»;
более сотни распределенных автоматизированных систем специального назначения.

Компания провела сертификацию продукции большинства зарубежных разработчиков, таких как: Microsoft, IBM, SAP, Symantec, Trend Micro, Oracle, Cisco, Check Point, Nortel, Huawei, Avaya, McAfee, Polycom, Inspur, Juniper Networks, FoxIT, ESRI, Hewlett-Pascard и др.

АО «НПО «Эшелон» неоднократно проводила успешные проекты по сертификации программного обеспечения за рубежом.

В рамках испытательной лаборатории АО «НПО «Эшелон» организован центр компетенции по применению стандартов и нормативных документов, основанных на методологии «Общие критерии» (ИСО/МЭК 15408, Common Criteria, РД Гостехкомиссии “Критерии оценки безопасности информационных технологий” и др.).

Центр специализируется на:

разработке профилей защиты и заданий по безопасности;
оказании консалтинговых услуг по подготовке средств защиты информации к сертификации в соответствии с методологией стандарта «Общие критерии»;
разработке документов разработчика, необходимых при проведении сертификационных испытаний (свидетельства оценщика);
консультировании испытательных лабораторий по проведению испытаний в соответствии с методологией стандарта “Общие критерии”;
независимой оценки средств защиты информации и документации;
организации и проведении учебных курсов для экспертов испытательных лабораторий и разработчиков.

Компания неоднократно выполняла тематические НИР. Сотрудники компании являются авторами ряда публикаций в области сертификационных испытаний.

Сотрудники испытательной лабораторииАО «НПО «Эшелон» являются экспертами ряда федеральных, ведомственных и аккредитованных органов по сертификации СЗИ и лицензированию в области защиты информации.

Учебный центр АО «НПО «Эшелон» проводит авторские курсы по подготовке экспертов испытательных лабораторий.

Что такое сертификация ФСТЭК?

Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.

Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:

Защиту конфиденциальной информации строго определенного уровня.
Возможность для потребителей выбирать качественные и эффективные средства защиты информации.
Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.

Зачем нужна сертификация ФСТЭК?

Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.

Сферы деятельности с обязательной сертификацией средств защиты информации:

Государственные информационные системы (ГИС).
Автоматизированные системы управления технологическим процессом (АСУ ТП).
Персональные данные (ЗПДн).
Критическая информационная инфраструктура (КИИ).
Государственная тайна (ЗГТ).
Конфиденциальная информация (служебная информация).

Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.

Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.

Отличия сертифицированных версий от версий общего пользования

Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.

У сертифицированных версий продуктов есть свои особенности:

Их непросто обновлять. Сертификация продукта занимает от 0,5 до 1 года. И обычно ее делают на версии продуктов, которые уже отлажены, проверены на практике, имеют достаточное количество накопленных обновлений. Таким образом, сертифицированные версии запаздывают по сравнению с версиями общего пользования.
У сертифицированной версии могут быть дополнительные ограничения, связанные с определенным уровнем защищенности или классом защиты. Если мы говорим про ОС и офисные продукты, то в версии с сертификацией ФСТЭК могут быть закрыты некоторые функции и опции. Особенно, если есть сертификат на отсутствие недекларированных возможностей.

Когда можно покупать решения общего пользования, а когда нужны сертифицированные?

В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.

Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?

При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:

Их установка не требует замены пакетов, входящих в состав сертифицированного дистрибутива.
Они не имеют отношения к средствам защиты информации.
Они могут работать в замкнутой программной среде.

Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.

В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.

Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?

Есть два варианта дальнейшего развития событий:

Приобретение сертифицированной версии продукта, возможно, со скидкой производителя, если предыдущая версия принадлежит тому же разработчику. В этом случае с большой вероятностью придется сделать даунгрейд – откат решения до предыдущей сертифицированной версии.
Можно не менять решение, а приобрести сертифицированные наложенные программные или программно-аппаратные средства, в зависимости от того, какую подсистему нужно закрыть.

Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?

Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.

Чем может помочь компания Softline?

В ряде случаев поставщики сертифицированных решений также должны обладать соответствующими лицензиями. У нас есть все необходимые статусы для поставки широкого круга сертифицированных продуктов и оказания услуг по их внедрению.
У нас большая экспертиза в вопросе поставок сертифицированных решений и ведется сотрудничество с огромным количеством вендоров. Мы всегда сможем квалифицированно определить, в каком случае нужна сертифицированная, а в каком – несертифицированная версия продуктов, а затем выбрать оптимальный вариант.

Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков

СКЗИ (средство криптографической защиты информации), или криптопровайдер — это программа (служба), которая требуется для работы с электронной подписью.

Виды СКЗИ

СКЗИ может быть встроено в носитель: JaCarta-2 SE, Рутокен ЭЦП 2.0 и 3.0 — либо устанавливаться как отдельная программа:

КриптоПро CSP — для Windows 7/8/8.1/10/Server 2008 R2/2012 R2, для UNIX-подобных операционных систем.
VipNet CSP — для Windows 8/8.1/10/Server 2008 R2/2012/2012 R2.

Приобрести СКЗИ или носители со встроенным криптопровайдером можно в наших офисах продаж.

Ограничения

На одном компьютере нельзя работать с несколькими СКЗИ одновременно. Если вы используете, например, КриптоПро CSP для сдачи отчетности, а VipNet CSP для клиент-банка, установите их на разные ПК.
Если будете отправлять в ФСС электронные листы нетрудоспособности (ЭЛН), подтверждение основного вида экономической деятельности (ПОВЭД) и сообщения СЭДО, в качестве СКЗИ выберите КриптоПро CSP, VipNet CSP, Рутокен ЭЦП 2.0 или 3.0. Использовать для этого JaCarta-2 SE нельзя, потому что СКЗИ на этом носителе не поддерживает расшифровку данных в режиме шифрования CBC.

С чего начать

Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.

Основные принципы, организационная структура системы обязательной сертификации средств защиты информации установлены в Положении о сертификации средств защиты информации по требованиям безопасности информации (утв. Приказом Гостехкомиссии РФ от 27.10.1995 № 199), которое распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации.

Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).

Система добровольной сертификации средств защиты информации по требованиям безопасности информации от 20.03.1995 (РОСС RU.0001.01БИ00) была представлена на регистрацию Гостехкомиссией РФ, которая была преобразована в ФСТЭК России Указом Президента РФ от 09.03.2004 № 314 «О системе и структуре федеральных органов исполнительной власти».

В соответствии со статьей 13.12 Кодекса об административных правонарушениях РФ использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от одной тысячи до двух тысяч рублей; на юридических лиц – от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц – от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

В настоящее время ФСБ России осуществляет:

сертификацию средств защиты информации по требованиям безопасности сведений, составляющих государственную тайну;
добровольную сертификацию специальных технических средств, предназначенных для негласного получения информации.

В соответствии с Положением о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утв. приказом ФСБ РФ от 13.11.1999 № 564, по правилам системы сертификации средств защиты информации по требованиям безопасности сведений, составляющих государственную тайну, по инициативе разработчика, изготовителя или потребителя может также проводиться добровольная сертификация средств защиты информации, не предназначенных для работы со сведениями, составляющими государственную тайну.

Система сертификации средств криптографической защиты информации от 15.11.1993 (РОСС RU.0001.030001) была представлена на регистрацию ФАПСИ России, которое было упразднено Указом Президента Российской Федерации от 11.03.2003 № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации». Этим же документом функции ФАПСИ России были переданы, в том числе, ФСБ России.

Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, от 19.01.2000 (РОСС RU.0003.01БИ00) была представлена на регистрацию ФСБ России.

Что такое СКЗИ и для чего нужны средства криптографической защиты

Подробно разбираем, как работают электронная подпись, хеш-функции, асимметричное шифрование и другие средства защиты данных.

Иллюстрация: Катя Павловская для Skillbox Media

Журналист, изучает Python. Любит разбираться в мелочах, общаться с людьми и понимать их.

В конце девяностых — начале нулевых в научно-популярном журнале «Наука и жизнь» публиковали логические задачки с двумя детективами: инспектором Боргом и сержантом Глумом.

В одной из них инспектор хотел отправить сержанту посылку, но почтальоны всё время воровали содержимое. Борг нашёл выход: сначала он послал коробку, запертую на большой амбарный замок, а на следующий день — бандероль с ключом от него. В итоге Глум получил свой подарок в целости и сохранности.

По схожему принципу работает и криптографическое шифрование данных. Даже если злоумышленники перехватят защищённую информацию, «вскрыть» её будет нелегко — придётся ломать «амбарный замок». Чтобы его навесить, и нужны СКЗИ.

Из этой статьи вы узнаете:

СКЗИ (средства криптографической защиты информации) — это программы и устройства, которые шифруют и дешифруют информацию и проверяют, вносились ли в неё изменения. СКЗИ используют для безопасного хранения и передачи данных. С их помощью также создают электронные подписи.

Чтобы защитить информацию, её шифруют одним из криптографических алгоритмов. Например, сравнительно простым шифром Цезаря. В нём каждая буква исходного сообщения заменяется на другую. На какую — зависит от ключа и расположения буквы в алфавите.

Например, если ключ равен трём, то все буквы в сообщении сдвигаются на три позиции вправо: А превращается в Г, Б — в Д, В — в Е, Я — в В.

Если таким образом зашифровать сообщение «Средство криптографической защиты информации», получится следующее: «Фузжфхес нултхсёугчлъзфнсм кгьлхю лрчсупгщлл».

Проблема подобных шифров в том, что их можно взломать простым перебором ключей. Поэтому сегодня для защиты информации применяют куда более изощрённые математические алгоритмы, обратить которые трудно даже с помощью суперкомпьютеров.

Например, протокол RSA в качестве одной из операций перемножает большие . Сделать это несложно, а вот для факторизации (то есть разложения на множители) удобной формулы не придумали. Затем в протоколе проводятся и другие операции: применяются функция Эйлера и возведение в степень по модулю.

Есть несколько подходов к шифрованию данных. Оно может быть:

симметричным;
асимметричным;
гибридным;
с использованием хеш-функции.

При симметричной криптографии для шифрования и расшифровки используется один и тот же секретный ключ. Шифр Цезаря, о котором мы говорили раньше, как раз симметричный.

Инфографика: Майя Мальгина для Skillbox Media

Этот метод прост и удобен, но имеет крупную уязвимость: и у отправителя, и у получателя — один и тот же ключ. Если злоумышленники его узнают (например, перехватят при передаче), то смогут без труда получить доступ к информации.

Поэтому симметричную криптографию редко применяют для отправки сообщений. Обычно таким образом шифруют данные в состоянии покоя.

При асимметричной криптографии данные шифруются одним ключом и расшифровываются другим. Причём ключ для шифрования обычно открытый, а для дешифровки — закрытый.

Открытый ключ можно передать кому угодно, а закрытый оставляют у себя и никому не сообщают. Теперь зашифровать сообщение сможет любой, у кого есть открытый ключ, а расшифровать — только владелец секретного.

Такой подход гораздо безопаснее симметричного, но его алгоритмы сложнее, требуют больше ресурсов компьютера и, следовательно, занимают больше времени.

Гибридное шифрование — компромисс между двумя предыдущими подходами. В этом случае сообщение шифруется симметрично, а ключ к нему — асимметрично. Получателю нужно сначала расшифровать симметричный ключ, а потом с его помощью — само сообщение.

Так алгоритмы работают быстрее, чем при асимметричном подходе, а узнать ключ от сообщения сложнее, чем в симметричном.

Подробнее о симметричном, асимметричном и гибридном шифровании можно прочитать в нашей статье.

Хеш-функции отличаются от других методов криптографической защиты тем, что они необратимы: преобразованные ими данные нельзя расшифровать. Они выдают строку заранее определённого фиксированного размера (например, 256 бит), которую называют хешем, хеш-суммой или хеш-кодом.

В идеальной хеш-функции, если ей захешировать одно и то же сообщение несколько раз, результат тоже будет получаться одинаковый. Но если исходное сообщение изменить хоть немного, то хеш выйдет совершенно другой.

С помощью хеш-функций проверяют, вносились ли в данные изменения, — это полезно в электронных подписях (о них мы расскажем ниже).

Многие сервисы хранят пароли пользователей не в открытом виде, а в хешированном. Когда пользователь при авторизации вводит пароль, тот хешируется и сравнивается с хешем из базы данных. Если хеши одинаковые, значит, пароль верный.

Это даёт дополнительную защиту. Даже если кто-то получит доступ к базе данных сервиса, то увидит просто список хешей, по которым никак не сможет восстановить исходные пароли пользователей.

Основная задача СКЗИ — шифровать и расшифровывать данные. Это делают как для информации, которую куда-то отправляют (при передаче она наиболее уязвима: её можно перехватить), так и для той, которая просто хранится на одном устройстве.

Если кто-то перехватит информацию или получит доступ к устройству, ломать криптографический протокол будет просто нерационально. Например, в 2019 году французские учёные взломали 795-битный ключ RSA, потратив 4000 лет компьютерного времени — это последний рекорд. При этом в современной криптографии используют ключи с длиной от 2048 бит.

Помимо шифрования и дешифрования данных, СКЗИ могут управлять электронной подписью (ЭП). Раньше её ещё называли электронной цифровой подписью (ЭЦП), но сейчас этот термин устарел.

Электронная подпись — это дополнение к пересылаемому документу, созданное криптографическими методами. Она позволяет подтвердить авторство сообщения и проверить данные на целостность: не вносились ли в них изменения после того, как поставили подпись.

Так как реальные документы могут быть большого объёма, обычно ЭП применяют не к ним самим, а к их хешу. Это ускоряет работу с подписью. Также протоколы шифрования могут не уметь работать с некоторыми видами документов — хеширование же преобразует все данные в . Это решает проблему совместимости.

Чтобы поставить ЭП, используют асимметричный метод шифрования, но наоборот: сообщение шифруют закрытым ключом, а дешифруют — открытым. В общем виде электронная подпись ставится так:

Сертификат электронной подписи (его ещё называют сертификатом открытого ключа) хранит данные об отправителе и всю информацию, которая нужна для проверки авторства и подлинности документа. Работает это по следующей схеме:

Если после применения ЭП документ был хоть немного изменён, то при проверке хеши не совпадут. Если же они одинаковые, можно быть уверенным: данные добрались до получателя в целости и сохранности.

Человек, который поставил свою ЭП, потом не сможет отрицать это. Дело в том, что доступ к закрытому ключу есть только у него, а значит, никто другой подписать документ не мог.

Современные СКЗИ бывают программные и программно-аппаратные (часто их называют просто аппаратными).

Программно-аппаратные СКЗИ вшиты в специальное устройство (обычно токен). Все операции происходят на этом устройстве и скрыты от оперативной памяти компьютера, к которому он подключён. Такой вид СКЗИ считается более безопасным, чем программный.

Главная задача СКЗИ — уберечь данные от возможного взлома, поэтому в них встраивают защиту. В зависимости от её уровня присваивется класс защиты. Каждый последующий класс включает в себя все предыдущие.

КС1. СКЗИ защищает от атак, которые совершаются из-за пределов информационной системы. Считается, что информацию о ней злоумышленники могут получить только из общего доступа.
КС2. СКЗИ защищает от атак, которые запускают изнутри информационной системы. Для этого у злоумышленников должны быть данные о том, как устроена криптографическая защита информации в системе, на которую они нападают.
КС3. СКЗИ защищает от атак злоумышленников, у которых есть доступ к средствам защиты.
КВ. СКЗИ защищает от атак злоумышленников, которые обладают полной информацией об СКЗИ и его известных уязвимостях.
КА. Самый высокий класс защиты. Считается, что злоумышленники знают о таких способностях СКЗИ и информационной системы, которые даже не задекларированы.

Вот что нужно запомнить:

СКЗИ (средства криптографической защиты информации) — это программы и устройства, которые позволяют шифровать и дешифровать данные, а также управлять электронной подписью.
В криптографии есть два основных метода: симметричный и асимметричный. В первом случае для шифрования и дешифровки используется один и тот же ключ, во втором — разные. Часто их объединяют в гибридный метод, чтобы использовать скорость симметричного и надёжность асимметричного.
Также в криптографии применяют хеш-функции, которые безвозвратно зашифровывают данные в уникальную последовательность символов. Сравнив хеш двух документов, можно узнать, есть ли между ними разница.
ЭП (электронная подпись) позволяет определить отправителя данных и узнать, вносились ли в них изменения после того, как ЭП поставили.
СКЗИ бывают программные, которые скачиваются на устройство, и программно-аппаратные, которые вшиты в устройство.
СКЗИ делятся по классам защиты. Чем выше класс, тем от более сложных атак они могут защитить информационную систему.

Научитесь: Профессия Специалист по кибербезопасности с нуля