Стандартизация и сертификация средств защиты информации в Вооруженных силах РФ

Следует отметить, что федеральные органы по сертификации трактуют СЗИ в широком смысле, как средство защиты от угроз информационной безопасности и ее составных свойств: целостности, доступности, конфиденциальности и др.
В этом смысле под понятие СЗИ при самой общей модели угроз подпадает любое изделие в защищенном исполнении, например, «безопасное» от программных закладок ПО.
Несмотря на то, что сертификация систем в ФСТЭК проводится в форме аттестации объектов информатизации, последняя реально (при защите конфиденциальной информации) таковой не является, т.к. не полностью соблюдается самый главный закон сертификации о третьей стороне. Несмотря на то, что сформулированы требования к системам менеджмента информационной безопасности (серия ГОСТ 27000), они не нашли отражение в нормативно-методических документах обязательных систем сертификации.
В жизни и в документах регуляторов можно встретить классы общепринятых СЗИ, таких как: средства контент анализа, средства контроля утечек, средства анализа защищенности, средства управления и мониторинга, средства доверенной загрузки, генераторы паролей, защищенные BIOS, средства безопасности программных приложений, средства безопасности виртуализации, средства безопасности облачных технологий, средства защиты в промышленных системах и системах высокой готовности и др., однако требования к ним либо пока отсутствуют, либо (в противоречие 2-му правилу Керкго ффса) не подлежат публичному информированию или обсуждению.
Согласно Доктрине информационной безопасности РФ19 сертификация СЗИ является важнейшим методом обеспечения безопасности страны, а значит, государственную важность приобретает совершенствование мер, направленных на повышение эффективности и достоверности результатов сертификации СЗИ [4]. Именно поэтому процесс сертификации включает несколько уровней независимых проверок: экспертизу заявки в федеральном органе, проведение испытаний в аккредитованной испытательной лаборатории, проверку материалов испытаний в...

К организационно-техническим мерам защиты относятся:
организация работы по выполнению требований правовых актов Министерства обороны по защите ПДн;
установление ответственности и определение обязанностей должностным лицам воинских частей (организаций) по защите ПДн;
создание органов (назначение ответственных) для непосредственного выполнения комплекса работ по защите ПДн;
применение средств защиты информации, поддержание их и технических средств ИСПДн в исправном состоянии.
Обработка ПДн в ИСПДн разрешается после завершения работ по созданию СЗПДн, проверке ее комиссией, назначаемой приказом командира воинской части (руководителя организации), и оценки соответствия (аттестации или декларирования соответствия) ИСПДн требованиям безопасности информации.
Разрешением на обработку ПДн на объекте ИСПДн является приказ командира воинской части (руководителя организации) о вводе указанного объекта в эксплуатацию, который издается на основании положительных выводов акта внутренней комиссии и результатов оценки соответствия требованиям безопасности информации.
Обработка ПДн на объектах ИСПДн воинских частей (организаций) осуществляется после направления уведомления об их обработке в Восьмое управление Генерального штаба.
Технические задания на разработку и модернизацию ИСПДн подлежат согласованию с Восьмым управлением Генерального штаба.
Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Средства защиты информации, в том числе криптографические, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
При создании ИСПДн, комплексов средств автоматизации, баз и банков ПДн в состав конструкторской и эксплуатационной документации должны включаться разделы по защите информации, специальные инструкции о...