Под сертификациейсредств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утверждённых уполномоченными федеральными органами исполнительной власти в пределах ргх компетенции.
Сертификат соответствия — документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.
Знак соответствия- зарегистрированный в установленном порядке знак, которым по правилам, установленным в данной системе сертификации, подтверждается соответствие маркированной им продукции установленным требованиям.
Средства защиты информации (СЗИ)- технические, криптографические, программные и другие средства, предназначенные для защиты сведений конфиденциального характера, а также средства контроля эффективности защиты информации.
Руководящий документ ФСТЭК России «Средства вычислительной техники. Зашита от несанкционированного доступа к информации. Показатели защищённости средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищённости от несанкционированного доступа к информации на базе перечня показателей защищённости и совокупности описывающих их требований.
В соответствии с этим руководящим документом возможные показатели защищённости исчерпываются 7-ю классами. По классу защищённости можно судить о номенклатуре используемых механизмов защиты - наиболее защищённым является 1 класс. Выбор класса защищённости зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы на рисунке "Показатели защищённости СВТ". В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса.
рисунок - Показатели защищённости СВТ
Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей на рисунке "Классификация по уровню контроля отсутствия недекларированных возможностей".
Недекларироеанные возможности (НДВ)— функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации.
рисунок - Классификация по уровню контроля отсутствия недекларированных возможностей
Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищённости от несанкционированного доступа к информации на базе перечня показателей защищённости и совокупности описывающих их требований на рисунке "Классификация МЭ по уровню защищённости от НСД".
Межсетевой экран— локальное (однокомпонентное) или функционально- распределённое средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. её анализа по совокупности критериев и принятия решения о её распространении в (из) АС.
рисунок - Классификация МЭ по уровню защищённости от НСД
За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000 - 2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых, а его стойкость сновывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищённости передаваемых сообщений от подделок и искажений. Кроме того, новый стандарт терминологически и концептуально увязан с международными стандартами ИСО 2382-2, ИСО/МЭК 9796 и др.
Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утверждён приказом Госстандарта от 12.09.2001 № 380, введён в действие с 01.07.2002.
Старый стандарт ЭЦП сразу не отменялся. Он действовал ещё несколько лет, но согласно письму ФАПСИ лицензиатам - разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускалось только до 31 декабря 2001 г. С 1 января 2002 г. д лина открытого ключа ЭЦП должна быть 1024 бита.
Отметим в заключение, что применение сертифицированных средств защиты информации является обязательным условием при рассмотрении в судебном порядке спорных вопросов, связанных с удостоверением подлинности электронных документов и идентификацией личности пользователей системы.
