Главная - Услуги - Консалтинг, подготовка программного обеспечения к сертификационным испытаниям в системе сертификации ФСТЭК России
 



Документы

Консалтинг, подготовка программного обеспечения к сертификационным испытаниям в системе сертификации ФСТЭК России

Компания «Лайтигард» оказывает консультационные услуги по разработке программного обеспечения в области средств защиты информации и программного обеспечения со встроенными функциями обеспечения безопасности информации.

Одним из методически правильных подходов к защите информации является создание системы защиты на базе специального прикладного программного обеспечения (СППО) в защищённом исполнении. Такое СППО должно реализовывать функции защиты информации в отношении объектов прикладной среды, с которой взаимодействует пользователь при решении своих задач в рамках сервисов, предоставляемых информационной системой (или автоматизированной системой) на базе СППО.

Функциональность и работоспособность механизмов обеспечения безопасности информации СППО должна быть подтверждена путём прохождения оценки соответствия требованиям по обеспечению безопасности. Единственным широко признаваемым на сегодня является процесс оценки соответствия, установленный регулятором в форме сертификации средств защиты информации.

Такой подход находит всё больший отклик в среде квалифицированных специалистов, стремящихся к достижению объективных целевых задач деятельности по защите информации.

Компания «Лайтигард» оказывает услуги по подготовке ПО к сертификации на соответствие требованиям безопасности в системе сертификации ФСТЭК России РОСС.RU.0001.0100, в том числе:

- обследование объекта разработки;

- разработка требований по защите и/или технического задания (частного технического задания) на комплекс средств защиты информации (далее КСЗ);

- консалтинговые услуги в рамках внедрения предъявленных требований по их реализации для объекта разработки;

- разработка программной документации на КСЗ в составе, необходимом для прохождения сертификации по требованиям ФСТЭК России, включая: технические условия (ТУ), задания по безопасности, документы по требованиям стандартов ЕСПД (ПЗ, Спецификация, описание программы, описание применения, исходные тексты программ).

Отдельной строкой в отношении программного обеспечения со встроенными механизмами защиты информации, подлежащего сертификации в системе Федеральной службы технического и экспортного контроля (ФСТЭК) России №РОСС RU.0001.01БИ00, проходит вопрос о документировании.

Так, по требованиям руководящего документа ФСТЭК России «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», программное средство защиты информации должно сопровождаться программной документацией, которая может включать:

Спецификацию (по ГОСТ 19.202-78)

содержащую сведения о составе ПО и документации на него

Описание программы (по ГОСТ 19.402-78)1.2.

содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;

Описание применения (ГОСТ 19.502-78)

содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы.

Пояснительную записку (ГОСТ 19.404-79)

содержащую основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.

Тексты программ (ГОСТ 19.401-78)

содержащие форматированные исходные тексты программ, входящих в состав ПО.

Функциональные характеристики специального программного обеспечения со встроенными средствами защиты информации фиксируются либо в Технических условиях (ТУ), либо в задании по безопасности в отношении средств, принадлежащих функциональному классу, для которого Федеральной службой технического и экспортного контроля разработаны профили защиты в соответствии с комплексом стандартов серии ISO 15408 (Общих критериев):

‑ ГОСТ Р ИСО/МЭК 15408-1-2012. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;

‑ ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности;

‑ ГОСТ Р ИСО/МЭК 15408-3-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

Система сертификации средств защиты информации, а равно и СППО со встроенным КСЗ, также регулируется следующими нормативно-методическим документами системы сертификации РОСС RU.0001.01БИ00:

‑ Руководящим документом ФСТЭК России «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники»;

‑ «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом председателя Гостехкомиссии России от 27.10.1995 N 199);

‑ Руководящим документом ФСТЭК России «Руководство по разработке профилей защиты и заданий по безопасности».

Любые вопросы по составу и содержанию работ по подготовке ПО к сертификации во ФСТЭК Вы можете задать, заполнив форму обратной связи. Наши специалисты обязательно свяжутся с Вами.

Также Вы можете связаться с нами по телефону или электронной почте