Под сертификацией продукции по требованиям защиты информации и информационной безопасности будем понимать комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата и знака соответствия с определенной степенью достоверности подтверждается, что продукция соответствует требованиям:

государственных стандартов или иных нормативных правовых актов, утвержденных Правительством РФ - для продукции, используемой при обработке информации, содержащей сведения, составляющие государственную тайну;

государственных или отраслевых стандартов, иных нормативных актов, утвержденных Правительством РФ или ФСБ РФ для продукции, используемой при обработке конфиденциальной информации, не содержащей сведений, составляющих ГТ.

При этом подлежат обязательной сертификации в рамках системы сертификации следующие средства защиты информации:

технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих ГТ;

средства, в которых реализованы перечисленные средства;

средства контроля эффективности защиты информации.

Правовой основой сертификации средств защиты информации по требованиям безопасности информации являются следующие нормативные правовые акты: 1)

Положение о сертификации средств защиты информации по требованиям безопасности информации, введенное в действие приказом Председателя Гостехкомиссии России № 199 от 2.7 октября 1995 г.; 2)

Закон Российской Федерации «О сертификации продукции и услуг» №5151-1 от 10 июня 1993 г. ; 3)

Закон Российской Федерации «О государственной тайне»; 4)

Постановление Правительства РФ № 608 «О сертификации средств защиты информации» от 26 июня 1995 г.; 5)

Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам; 6)

Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ); 7)

Положение о «Системе сертификации ГОСТ Р»; 8)

Правила по проведению сертификации в Российской Федерации и др.

Структура системы сертификации средств защиты информации по требованиям ее безопасности включает аттестацию объектов информатизации по требованиям безопасности информации и государственную регистрацию в установленном Госстандартом порядке, который и организует деятельность системы сертификации в пределах ее компетенции, определенной законодательными и иными нормативными актами РФ.

Аттестации по требованиям безопасности информации подлежат следующие объекты информатизации: автоматизированные системы (АС) различного уровня и назначения; системы связи; системы отображения и размножения документов, предназначенные для обработки и передачи информации, подлежащей защите вместе с помещениями, в которых они установлены; помещения, предназначенные для ведения конфиденциаль- н ы х пер е го в op ов.

Цели создания системы сертификации: обеспечение реализации требований государственной системы защиты информации; создание условий для качественного и эффективного обеспечения потребителей сертифицированными средствами защиты информации; обеспечение национальной безопасности в сфере информатизации; содействие формированию рынка защищенных информационных технологий и средств их обеспечения; формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современных требований по защите информации; поддержка проектов и программ информатизации.

Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается ФСТЭК России, согласовывается с Межведомственной комиссией по защите ГТ и включает:

средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей ГТ, и другой информации с ограниченным доступом;

средства, используемые в управлении экологически опасными объектами.

В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.

Система сертификации СЗИ-ГТ. Федеральная служба безопасности РФ создала систему обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих ГТ (система сертификации СЗИ-ГТ). Основными целями создания такой системы являются: обеспечение национальной безопасности в сфере информатизации; формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом требований системы защиты ГТ; регулирование и контроль разработки, а также последующего производства СЗИ-ГТ. Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).

Основными схемами сертификации СЗИ-ГТ (в соответствии с Порядком проведения сертификации продукции в Российской Федерации, утвержденным постановлением Госстандарта России № 15 от 21 сентября 1994 г.) являются:

для серийного производства СЗИ-ГТ - проведение испытаний типа продукции на соответствие нормативным документам и требованиям, предъявляемым для защиты сведений, составляющих ГТ, и последующий инспекционный контроль стабильности характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации может проводиться предварительная проверка производства;

для единичных образцов СЗИ-ГТ - проведение испытаний образца на соответствие нормативным документам и требованиям, предъявляемым для защиты сведений, составляющих государственную тайну.

Сертификация СЗИ-ГТ" осуществляется аккредитованными органами по сертификации, а испытания проводятся аккредитованными испытательными центрами (лабораториями) па их материально-технической базе. В отдельных случаях по согласованию с органом по сертификации и при согласии разработчика (изготовителя, продавца) допускается проведение испытаний на испытательной базе разработчика данного СЗИ-ГТ в присутствии представителя органа по сертификации.

Организационную структуру системы сертификации образуют:

ФСБ России (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации);

центральный орган системы сертификации (создастся при необходимости);

органы по сертификации СЗИ-ГТ;

испытательные центры (лаборатории);

учебно-методический центр;

заявители (разработчики, изготовители, продавцы, потребители

Порядок проведения сертификации включает следующие действия: подача и рассмотрение заявки на сертификацию СЗИ-ГТ; испытания сертифицируемых СЗИ-ГТ и анализ состояния их производства; экспертиза результатов испытаний, оформление, регистрация и выдача сертификата соответствия и лицензии на право применения знака соответствия; осу- ществление инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными СЗИ-ГТ, информирование о результатах сертификации СЗИ-ГТ; рассмотрение апелляций.

Сертификация средств защиты информации, не относящейся

к ГТ, осуществляется ФСТЭК России и аккредитованными органами по сертификации. Испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с ФСТЭК России или органом по сертификации допускается проведение испытаний на испытательной базе разработчика (изготовителя, поставщика, потребителя) данного средства защиты информации. Правила аккредитации определяются действующим в системе «Положением об аккредитации испытательных центров (лабораторий) и органов по сертификации средств защиты информации».

Порядок оплаты работ по сертификации конкретных средств защиты информации производится заявителем на основании договоров между участниками сертификации. Сумма средств, израсходованных заявителем на проведение сертификации средства защиты информации, относится на ее себестоимость.

Органы по сертификации и испытательные центры (лаборатории) несут ответственность: за выполнение возложенных на них функций; обеспечение сохранности ГТ, других конфиденциальных сведений, материальных ценностей, предоставленных заявителем; соблюдение авторских прав заявителя при испытаниях его средств защиты информации.

Организационную структуру системы сертификации средств защиты информации по требованиям безопасности составляют:

ФСТЭК России (федеральный орган по сертификации средств защиты информации);

центральный орган системы сертификации средств защиты информации (ЦО);

органы по сертификации средств защиты информации (ОС);

испытательные центры (лаборатории) (ИЦ);

заявители (разработчики) средств защиты информации;

изготовители;

поставщики;

потребители.

Для организации и ведения соответствующего вида деятельности заявители (разработчики, изготовители, поставщики) должны иметь лицензию ФСТЭК России.

Органы по сертификации и испытательные центры (лаборатории) аккредитуются ФСТЭК России. Они должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям конкретных средств защиты информации в своей области аккредитации.

Аккредитация производится только при наличии лицензии ФСТЭК России на соответствующие виды деятельности. Аккредитация предприятий, подведомственных федеральным органам исполнительной власти, в качестве органов по сертификации и испытательных центров (лабораторий) осуществляется по представлению этих органов власти.

Порядок проведения сертификации и контроля. Его можно представить следующим алгоритмом (рис. 10.2): 1)

подача и рассмотрение заявки на сертификацию средств защиты информации; 2)

испытание сертифицируемых средств защиты информации и аттестация их производства; 3)

экспертиза результатов испытаний; 4)

оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия; 5)

осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации; 6)

информирование о результатах сертификации средств защиты информации; 7)

рассмотрение апелляций.

Рассмотрим подробнее составляющие алгоритма сертификации средств защиты информации.

1. Подача и рассмотрение заявки на сертификацию средств защиты информации. Заявитель для получения сертификата направляет в ФСТЭК России заявку на проведение испытаний с указанием схемы проведения сертификации, стандартов и иных нормативных документов, на соответствие требо в а ниям кото р ы х до л ж и а п р о в о д ит ь с я се рт и ф и к ац и я.

ФСТЭК в месячный срок после получения заявки направляет заявителю решение на проведение сертификации в назначенных для проведения сертификат!и органе по сертификации и испытательном центре (лаборатории). По желанию заявителя орган по сертификации и испытательный центр (лаборатория) могут быть изменены. После получения решения заявитель обязан представить в орган по сертификации и испытательный центр (лабораторию) средства защиты информации, технические условия на это средство, а также комплект технической и эксплуатационной документации согласно нормативным документам по единой системе документации - конструкторской (ЕСКД) и проектной (ЕСПД) - на сертифицируемое средство защиты информации. ?МШ Подача и рассмотрение заявки

Испытание средств и аттестация их производства

Экспертиза результатов испытаний

\ Оформление, регистрация и выдача сертификата

Информирование о результатах сертификации

Рассмотрение апелляций

Рис, 10.2. Алгоритм сертификации средств защиты информации

2. Испытания сертифицируемых средств защиты информации в испытательных центрах (лабораториях). Испытания проводятся на образцах и конструкциях по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации. Состав и технология изготовления испытуемых образцов должны быть такими же, как и у образцов, поставляемых потребителю, заказчику.

Техническая и эксплуатационная документация на серийные средства защиты информации должна иметь литеру не ниже «01» (по ЕСКД).

Количество образцов, порядок их отбора и идентификации должны соответствовать требованиям нормативных и методических документов на данный вид средства защиты информации. В случае если на момент сертификации испытательный центр (лаборатория) отсутствует, орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией). По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов средств защиты информации в испытательном центре (лаборатории).

Результаты испытаний оформляются протоколами и заключением, оригиналы которых испытательный центр (лаборатория) направляет органу по сертификации, а копии - заявителю.

При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства, которые могут повлиять на характеристики этих средств защиты информации, заявитель извещает об этом орган по сертификации, который принимает решение о необходимости проведения новых испытаний этих средств.

Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных. 3.

Экспертиза результатов испытаний. Экспертизу результатов испытаний, оформление экспертного заключения и проекта сертификата, при соответствии результатов испытаний требованиям нормативных документов по защите информации, проводит орган по сертификации. Далее он направляет эти документы и технические условия на средство защиты информации в ФСТЭК России. 4.

Оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия. После утверждения экспертного заключения, согласования технических условий на средство защиты информации и присвоения сертификату регистрационного номера ФСТЭК России оформляет сертификат. Затем все документы выдаются заявителю.

Срок действия сертификата устанавливается не более чем на пять лет.

В случае несоответствия результатов испытаний требованиям стандартов или иных нормативных документов по защите информации ФСТЭК России принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. При несогласии с отказом заявитель имеет право обратиться в апелляционный совет ФСТЭК России для дополнительного рассмотрения материалов сертификации.

Получение сертификата дает изготовителю право получить у ФСТЭК России сертификационную лицензию на маркировку этих средств знаком соответствия. Форма знака соответствия устанавливается ФСТЭК России. Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации, не отвечающих требованиям нормативной и методической документации, указанной в сертификате.

Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в ФСТЭК России, которая не поз- днее двух месяцев после их получения уведомляет заявителя о признании или необходимости проведения сертификационных испытаний. В случае признания заявителю выдается сертификат установленного образца. 5.

Государственный контроль и надзор, инспекционный контроль соблюдения правил обязательной сертификации и сертифицированных средств защиты информагрш. Рассматриваемые виды контроля осуществляет ФСТЭК России, а их объем, содержание, порядок, периодичность и правила организации и проведения контроля за конкретными видами сертифицированных средств защиты устанавливаются нормативной и методической документацией, действующей в системе сертификации средств защиты информации.

Инспекционный контроль сертифицированных средств защиты информации осуществляет орган по сертификации, проводивший сертификацию этих средств защиты информации. По результатам контроля ФСТЭК России может приостановить или отменить действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом.

Решение об отмене действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям в силу следующих причин:

изменение нормативных и методических документов на средст ва защиты информации или методов испытаний и контроля;

изменение конструкции (состава) и комплектности средств защиты информации, системы контроля их качества;

невыполнение требований технологии изготовления, контроля, испытаний средств защиты информации;

отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за сертификацией и за сертифицированными средствами защиты информации.

Информация о приостановлении (отмене) действия сертификата или аттестата аккредитации немедленно доводится до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий). 6.

Информирование о сертификации средств защиты информации. Этот процесс является одной из важных функций ФСТЭК России. Она обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, в числе которой:

перечень средств защиты информации (их сертифицированных параметров), на которые выданы сертификаты; в перечень средств защиты информации (их сертифицированных параметров), на которые действие сертификатов отменено;

перечень органов по сертификации конкретных видов средств защиты информации;

перечень испытательных центров (лабораторий);

перечень нормативных документов, на соответствие требованиям которых проводится сертификация средств защиты информации, и методических документов по проведению сертификационных испытаний.

7. Рассмотрение апелляций. Апелляция подается в орган по сертификации, центральный орган системы сертификации или в апелляционный совет ФСТЭК России по вопросам, связанным с деятельностью испытательных центров (лабораторий), органов по сертификации и рассматривается в месячный срок с привлечением заинтересованных сторон. О принятом решении извещается податель апелляции.

Сертификация средств защиты информации (СЗИ) неотъемлемый процесс жизненного цикла почти всех отечественных и многих зарубежных продуктов представленных сегодня рынке ИБ. Получение сертификата это своего рода это признание надежности и качества сертифицируемого продукта, а так же показатель авторитета и статуса компании-разработчика. Помимо этого сертифицируемый продукт позволяет использовать его для обеспечения защиты информации по требованиям ФСБ и ФСТЭК, например для защиты не только коммерческой, но и государственной тайны. Однако, для непосвященных сертификация это зачастую пугающе сложный и запутанный процесс вокруг которого выростают мифы. Вот сегодня в нашей публикации мы и попытаемся это чуть чуть изменить.

Начнем с того, что сертификация средств защиты информации производится в соответствии с "Положением о сертификации средств защиты информации" , утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г.

Согласно документа:

сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

А сам сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющихгосударственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, которыми являются:

• федеральный орган по сертификации;
• центральный орган системы сертификации - орган, возглавляющий систему сертификации однородной продукции;
• органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
• испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
• изготовители - продавцы, исполнители продукции.

Сертификация импортных средств защиты информации проводится по тем же правилам , что и отечественных.

Основными схемами проведения сертификации средств защиты информации являются:

• единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
• для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.

В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.

Основными органами сертификации в области технической защиты информации являются ФСБ России и ФСТЭК России . При этом ФСБ России действует в области криптографической защиты информации , а ФСТЭК России – в области технической защиты информации некриптографическими методами .

Требования по сертификации ФСБ России являются закрытыми, ознакомление с ними предполагает наличие специальных допусков, требования ФСТЭК России публикуются на официальном сайте и являются публичными.

Системы сертификации и требования

1. Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Гостехкомиссии России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408).

1. Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.

Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании» . Сертификация средств защиты информации может быть добровольной или обязательной — проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения.

Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются .

Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации.

Миф №1: сертификация – это торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией.

Миф №2: сертификацию проводят государственные органы. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации.

Миф № 3: сертификация нужна только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну.

Миф № 4: сертификация нужна только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др.

Миф № 5: зарубежный продукт нельзя сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей.

Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft — Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей.

Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.

Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.

Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.

Миф № 7: при сертификации ничего не находят. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы.

Миф № 8: продукт сертифицирован на отсутствие недекларированных возможностей – значит в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения — успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация.

Миф № 9: требования по анализу исходного кода существуют только в нашей стране. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909.

Миф № 10: сертификация стоит дорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой.

Сертификация не является универсальным способом решения всех существующих проблем в области информационной безопасности, однако сегодня это единственный реально функционирующий механизм, который обеспечивает независимый контроль качества средств защиты информации, и пользы от него больше, чем вреда. При грамотном применении механизм сертификации позволяет вполне успешно решать задачу достижения гарантированного уровня защищенности автоматизированных систем.

Заглядывая вперед, можно предположить, что сертификация как инструмент регулятора будет изменяться в направлении совершенствования нормативных документов, отражающих разумные требования по защите от актуальных угроз, с одной стороны, и в направлении улучшения методов проверки критических компонентов по критерию «эффективность/время» — с другой.

Постановление от 26 июня 1995 года № 608 устанавливает общие принципы организации систем сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, всеми ведомствами Российской Федерации, наделенными законом правом проводить подобную сертификацию.

Статьи постановления определяют : участников системы сертификации средств защиты информации; их права и обязанности; схемы проведения сертификационных испытаний; порядок выдачи, приостановления и аннулирования сертификатов; порядок оплаты услуг по сертификации; порядок контроля за качеством сертифицированных изделий; ответственность сторон за выполнение ими своих обязательств в системе сертификации.

Сертификация – это процесс, осуществляемый в отношении такой категории, как “изделие” (товар, средство), когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Таким образом, сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям.

Сертификация средств защиты информации осуществляется Гостехкомиссией России и ФАПСИ. При этом сертификация средств, отнесенных к компетенции ФАПСИ, определяется “Системой сертификации” средств криптографической защиты информации (СКЗИ)” РОСС.RU.0001.030001.

Данный документ представляет собой нормативный акт, который включает в себя положения и нормы, определяющие правила и общий порядок проведения сертификации в рассматриваемой предметной области. Он базируется на Законе Российской федерации “О сертификации продукции и услуг ”, иных нормативных актах, утвержденных Госстандартом России, и соответствует вытекающим из них требованиям к порядку, схеме проведения, а также организационной структуре систем сертификации. Тем самым учитываются сложившиеся к настоящему времени международные правила организации и проведения работ по сертификации продукции. Кроме того, в нем учтены и обобщены особенности и накопленный многолетний опыт работы в области защиты информации, оценки качества разрабатываемых и производимых средств защиты.

Порядок проведения сертификации средств защиты информации основан на следующих принципах.

1. Обязательность сертификации изделий, обеспечивающих защиту государственной тайны или подлежащих сертификации в соответствии с нормативными актами Российской Федерации. В настоящее время такое требование установлено для средств защиты информации в системах электронного документооборота, используемых для обмена с Центральным Банком России, а также для средств и систем государственных предприятий или предприятий, на которых размещен государственный заказ.

2. На сертификацию принимаются изделия только от заявителей, имеющих лицензию на соответствующие виды деятельности. Оформление установленным порядком права на осуществление деятельности в области защиты информации является первичным. Разрабатывать алгоритмы и средства защиты на их базе как продукцию, товар, предлагаемый на рынок, могут только предприятия, имеющие лицензию. В различных публикациях специалисты неоднократно указывали, что сами по себе даже высоконадежные средства защиты, в том числе криптографические алгоритмы или отдельные блоки и модули (аппаратные, аппаратно-программные и программные), реализующие часть процесса защиты, не могут обеспечить требуемый уровень защиты информации в комплексе. Например, без реализации специальных мер эти средства могут быть просто обойдены или необходимая информация может быть получена за счет побочных электромагнитных излучений и наводок. Для систем и комплексов, включающих совокупность явно различимых как самостоятельные изделия функционально и конструктивно законченных элементов, возможно оформление сертификата на каждый из них.

3. Процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты с учетом условий их эксплуатации.

4. Двухступенчатость процесса сертификации при независимости организаций, проводящих экспертизу и сертификационные испытания: сертификация средств защиты информации осуществляется Центральным органом по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).

5. Дифференцированность подхода к уровню защиты различных видов
информации.

6. Обязательность использования криптографических алгоритмов, являющихся стандартами или ранее рекомендованных либо разработанных ФАПСИ.

Специально подчеркнем, что факт одобрения ФАПСИ алгоритма до его технической реализации является одним из основных требований к представляемым на сертификацию изделиям криптозащиты. Это одобрение может быть осуществлено путем утверждения алгоритма: в качестве государственного стандарта; Правительством Российской Федерации; ФАПСИ. Следовательно, изделия, созданные на базе собственных оригинальных алгоритмов, ранее не представлявшихся в ФАПСИ, а также изделия, реализующие алгоритмы иностранной разработки или импортные шифровальные средства, на сертификацию не принимаются.

В зависимости от полноты реализуемой защиты для системы конфиденциального электронного документооборота устанавливаются три уровня обеспечения безопасности (сертификации) :

· уровень “А” – сертификат выдается на систему защиты в целом и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам, комплексное выполнение требований ФАПСИ к шифровальным средствам с учетом их программного окружения, наличие защищенной (без недокументированных возможностей) аппаратно-программной среды;

· уровень “В” – сертификат выдается на систему защиты, включающую шифровальные средства и их программное окружение, и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям ФАПСИ, выполнение требований ФАПСИ к программному окружению шифровальных средств;

· уровень “С” – сертификат выдается только на шифровальные средства и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям.

7. Принятие Центральным органом по сертификации и испытательными центрами (лабораториями) ответственности за выполнение возложенных на них функций в соответствии с действующим законодательством и договорными обязательствами.

8. Сертификационные испытания средств защиты информации могут осуществляться только аккредитованными испытательными сертификационными центрами. Действительное соответствие изделия государственным стандартам и гарантию удовлетворения требований по безопасности удостоверяет только сертификат Гостехкомиссии или ФАПСИ.

9. Принятие и неуклонное соблюдение заявителем правил, установленных в системе сертификации.

Действие выданного сертификата может быть приостановлено, или сертификат может быть вообще аннулирован по результатам инспекционного контроля за сертифицированными средствами защиты информации.

Причинами приостановления и аннулирования сертификата могут быть: изменение нормативных и методических документов на средства защиты информации или их элементов, а также на испытания и контроль; изменения конструкции, состава или комплектности средства защиты информации; невыполнение требований технологии или технических условий на изделие; отказ заявителя в допуске для проведения научно-технического и инспекционного контроля.

Организационная структура системы сертификации включает в себя Гостехкомиссию или ФАПСИ как Государственный орган по сертификации средств защиты информации, Центральный орган системы сертификации и Испытательные центры (лаборатории) средств защиты информации, а также заявителей.

В заключение необходимо отметить, что системы лицензирования и сертификации проходят сейчас стадию совершенствования с точки зрения развития правовой базы, механизма и правил их функционирования. Отсюда, разумеется, следует, что отдельные положения могут быть изменены, уточнены или дополнены.

ЧАСТЬ 3. организационно-техниЧеское
обеспеЧение ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

6. АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

После определения правовых основ безопасности АС и ИВС осуществляются практические мероприятия по созданию системы обеспечения безопасности информации (ОБИ). Указанные мероприятия включают следующие этапы :

1) разработка политики безопасности;

2) проведение анализа рисков;

3) планирование обеспечения информационной безопасности;

4) планирование действий в чрезвычайных ситуациях;

5) подбор механизмов и средств обеспечения информационной безопасности.

Первые два этапа обычно трактуются как выработка политики безопасности и составляют так называемый административный уровень системы ОБИ .

Третий и четвертый этапы заключаются в разработке процедур безопасности. На этих этапах формируется уровень планирования системы ОБИ .

На последнем этапе практических мероприятий определяется программно-технический уровень системы ОБИ .

Законы и стандарты в области информационной безопасности являются лишь отправным нормативным базисом ОБИ в АС и ИВС. Основу практического построения системы ОБИ составляет создание административного уровня системы, определяющее генеральное направление работ по ОБИ.

Целью административного уровня является формирование программы работ в области информационной безопасности и обеспечение ее выполнения. Программа представляет официальную политику безопасности, отражающую собственный концептуальный подход организации к ОБИ. Конкретизация политики безопасности выражается в планах по обеспечению информационной безопасности .

Сертификация средств защиты информации (СЗИ) неотъемлемый процесс жизненного цикла почти всех отечественных и многих зарубежных продуктов представленных сегодня рынке ИБ. Получение сертификата это своего рода это признание надежности и качества сертифицируемого продукта, а так же показатель авторитета и статуса компании-разработчика. Помимо этого сертифицируемый продукт позволяет использовать его для обеспечения защиты информации по требованиям ФСБ и ФСТЭК, например для защиты не только коммерческой, но и государственной тайны. Однако, для непосвященных сертификация это зачастую пугающе сложный и запутанный процесс вокруг которого выростают мифы. Вот сегодня в нашей публикации мы и попытаемся это чуть чуть изменить.

Начнем с того, что сертификация средств защиты информации производится в соответствии с "Положением о сертификации средств защиты информации" , утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г.

Согласно документа:

сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

А сам сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющихгосударственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, которыми являются:

• федеральный орган по сертификации;
• центральный орган системы сертификации - орган, возглавляющий систему сертификации однородной продукции;
• органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
• испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
• изготовители - продавцы, исполнители продукции.

Сертификация импортных средств защиты информации проводится по тем же правилам , что и отечественных.

Основными схемами проведения сертификации средств защиты информации являются:

• единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
• для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.

В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.

Основными органами сертификации в области технической защиты информации являются ФСБ России и ФСТЭК России . При этом ФСБ России действует в области криптографической защиты информации , а ФСТЭК России – в области технической защиты информации некриптографическими методами .

Требования по сертификации ФСБ России являются закрытыми, ознакомление с ними предполагает наличие специальных допусков, требования ФСТЭК России публикуются на официальном сайте и являются публичными.

Системы сертификации и требования

1. Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Гостехкомиссии России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408).

1. Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.

Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании» . Сертификация средств защиты информации может быть добровольной или обязательной — проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения.

Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются .

Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации.

Миф №1: сертификация – это торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией.

Миф №2: сертификацию проводят государственные органы. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации.

Миф № 3: сертификация нужна только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну.

Миф № 4: сертификация нужна только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др.

Миф № 5: зарубежный продукт нельзя сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей.

Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft — Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей.

Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.

Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.

Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.

Миф № 7: при сертификации ничего не находят. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы.

Миф № 8: продукт сертифицирован на отсутствие недекларированных возможностей – значит в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения — успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация.

Миф № 9: требования по анализу исходного кода существуют только в нашей стране. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909.

Миф № 10: сертификация стоит дорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой.

Сертификация не является универсальным способом решения всех существующих проблем в области информационной безопасности, однако сегодня это единственный реально функционирующий механизм, который обеспечивает независимый контроль качества средств защиты информации, и пользы от него больше, чем вреда. При грамотном применении механизм сертификации позволяет вполне успешно решать задачу достижения гарантированного уровня защищенности автоматизированных систем.

Заглядывая вперед, можно предположить, что сертификация как инструмент регулятора будет изменяться в направлении совершенствования нормативных документов, отражающих разумные требования по защите от актуальных угроз, с одной стороны, и в направлении улучшения методов проверки критических компонентов по критерию «эффективность/время» — с другой.