Сложность положения с определением понятийного аппарата усугублялась тем обстоятельством, что многие основополагающие понятия и термины, используемые в сфере защиты информации, носили до последнего времени закрытый характер и пока не введены или не определены на общегосударственном уровне в открытом виде. Это относится и к таким, например, понятиям, как "шифрование", "защищенные технические средства". Не имеет общепринятого определения, например, и такой основополагающий термин, как "вид деятельности".
Учитывая, что предметом данной работы являются не просто лицензирование и сертификация сами по себе, а лицензирование и сертификация в области защиты информации, начнем с определения ряда основных понятий данной сферы деятельности.
Защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.
Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Эффективность защиты информации - степень соответствия достигнутых результатов действий по защите информации поставленной цели защиты.
Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты.
Безопасность информации (информационная безопасность) - состояние информации, информационных ресурсов и информационных и телекоммуникационных систем, при котором с требуемой вероятностью обеспечивается защита информации.
Требования по безопасности информации - руководящие документы ФАПСИ, регламентирующие качественные и количественные критерии безопасности информации и нормы эффективности ее защиты.
Криптографическая защита - защита данных при помощи криптографического преобразования данных.
Криптографическое преобразование - преобразование данных при помощи шифрования и (или) выработки имитовставки.
Шифрование - процесс зашифрования или расшифрования.
Зашифрование данных - процесс преобразования открытых данных в зашифрованные при помощи шифра.
Расшифрование данных - процесс преобразования зашифрованных данных в открытые при помощи шифра.
Шифр - совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей.
Имитовставка - отрезок информации фиксированной длины, полученной по определенному правилу из открытых данных и ключа.
Ключ - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности возможных для данного алгоритма преобразований.
Шифровальные средства (средства криптографической защиты информации) - это:
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в том числе и входящие в системы и комплексы защиты информации от несанкционированного доступа), циркулирующей в технических средствах, при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи;
- аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации;
- ручные шифры, документы кодирования и другие носители ключевой информации.
Скремблер - шифровальное средство, предназначенное для защиты информации только от непосредственного прослушивания, просмотра или прочтения.
Маскиратор - средство защиты информации, реализующее математический алгоритм преобразования информации, не использующее секретного ключа или передающее (хранящее) его вместе с сообщением.
Техническое средство обработки информации - техническое средство, предназначенное для приема, накопления, хранения, поиска, преобразования, отображения и передачи информации по каналам связи.
Защищенные (закрытые) системы и комплексы телекоммуникаций - системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер.
Особо прокомментируем определение шифровального средства. Во-первых, любое средство, в котором реализован криптографический алгоритм, работающий под управлением некоторого тайного элемента, называемого ключом, является шифровальным средством, и, следовательно, термины "шифровальные средства" и "криптографические средства защиты" (средства криптографической защиты) являются синонимами. Во-вторых, средство относится к категории шифровальных независимо от его назначения и способа реализации. Таким образом, средства, реализующие криптографические алгоритмы, используемые для закрытия информации в канале связи, имитозащиты сообщения, аутентификации пользователей, средства электронной цифровой подписи, средства закрытия таблицы паролей и т.д. являются шифрсредствами. В-третьих, приведенное определение охватывает не только технические шифрсредства, но и ручные шифры, а также ключевую информацию, предназначенную для шифрования.
Переходя теперь к определению таких понятий, как лицензирование и сертификация в области защиты информации, отметим, что зачастую эти термины просто путают (не говоря уже об их ошибочном понимании или трактовке). Путают и объекты, к которым они относятся. Как следствие, нормы, относящиеся к одному понятию, приписываются другому.
Лицензирование - это процесс, осуществляемый в отношении таких категорий, как "деятельность"
Лицензирование в области защиты информации - деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации, и осуществлении контроля за лицензиатом.
Заявитель в области защиты информации - предприятие, представившее документы, необходимые для получения лицензии или решения о выдаче лицензии.
Требования к заявителю - комплекс определенных Правительством Российской Федерации или ФАПСИ условий, норм и критериев, регламентирующих возможности и деятельность лицензиата, уровень производственной, испытательной, технологической, нормативно-методической базы предприятия, научный и инженерно-технический уровень персонала, а также мероприятия по обеспечению сохранности доверяемой конфиденциальной информации, соответствие которым проверяется в ходе специальной экспертизы заявителя.
Лицензиат - сторона, получившая право на проведение работ в области защиты информации.
Сертификация - это процесс, осуществляемый в отношении такой категории, как "изделие"
В рассматриваемой области — это подтверждение соответствия средства защиты информации как определенной конкретной технической реализации некоторого алгоритма заданным стандартам на этот алгоритм или описанию алгоритма, а также удовлетворения этим средством установленным требованиям по безопасности. Особо при этом следует подчеркнуть три момента. Во-первых, процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, включающей в обязательном порядке и организационно-технические и организационные средства и меры. Во-вторых, сертификации может подвергаться только готовое, законченное изделие. В-третьих, требования по безопасности включают количественные критерии и нормы, и поэтому, в отличие от других процедур, входящих в процесс лицензирования и сертификации, процедуры сертификационных испытаний базируются на формальных методах и развитой метрологической базе.
Многие термины, используемые в области сертификации, определены законом Российской Федерации "О сертификации продукции и услуг". Учитывая это, в данной работе представляется целесообразным дать определения понятий, связанных с рассматриваемой проблематикой.
Сертификация средств защиты информации - деятельность по подтверждению соответствия средств защиты информации требованиям государственных стандартов и требованиям по безопасности информации, предъявляемым ФАПСИ.
Сертификат на средство защиты информации - надлежащим образом оформленный документ, выданный по правилам системы сертификации и подтверждающий соответствие средства защиты информации требованиям по безопасности информации, предъявляемым ФАПСИ.
Из изложенного выше видно, что лицензирование и сертификация представляют собой совершенно различные процессы с точки зрения их объектов и используемых методов. Однако с точки зрения технологии их осуществления эти процессы во многом идентичны: и в том и другом случае проверяется соответствие (удовлетворение) определенным требованиям, и в том и другом случае выходные документы оформляются и выдаются на основании заключений экспертных организаций, специально уполномоченных на проведение подобных экспертиз. Более того, в ряде случаев эти процессы тесно переплетаются, поскольку для выдачи лицензии на некоторые виды деятельности или для принятия решения о выдаче лицензии на ввоз или вывоз шифрсредств, требуется проведение технической экспертизы заявляемых к ввозу (вывозу) изделий.
Необходимо отметить, что наряду с процессами лицензирования и сертификации, в области защиты информации достаточно широкое распространение получил процесс аттестации (аттестования).
Понятие "аттестация (аттестование)" близко по своей сути к понятию "сертификация", и поэтому часто происходит подмена одного из этих понятий другим.
Аттестация — это процесс, осуществляемый в отношении такой категории, как "объект информатики"
Данный блок понятий включает следующие определения:
аттестация объекта в защищенном исполнении - официальное подтверждение наличия на объекте информатики условий, обеспечивающих выполнение установленных требований по безопасности информации;
объекты информатики - автоматизированные системы различного назначения, системы телекоммуникаций, отображения и размножения вместе с помещениями, в которых они установлены, а также отдельные технические средства обработки информации и помещения, предназначенные для ведения конфиденциальных переговоров;
аттестат соответствия - документ, оформленный по правилам системы аттестации, подтверждающий, что объект информатики соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации;
защищенное техническое средство обработки информации - техническое средство обработки информации, удовлетворяющее требованиям нормативно-технических документов по безопасности информации.
Важным моментом, на который необходимо обратить внимание в последнем определении, является то, что защищенным считается не только техническое средство обработки информации, в которое внедрены дополнительные средства защиты, но и средство, техническое исполнение которого удовлетворяет действующим нормам.
В определении понятия "аттестат соответствия" используется термин "иные нормативно-технические документы по безопасности информации", под которыми, кроме требований по безопасности информации, понимаются предписания на экранирование помещений, предписания на размещение технических средств, правила их эксплуатации и другие документы аналогичного характера.
В заключение данного раздела отметим, что системы лицензирования и сертификации являются составной частью государственной системы защиты информации, под которой понимается совокупность федеральных и иных органов управления и взаимоувязанных правовых, организационных и технических мер, осуществляемых на различных уровнях управления и реализации информационных отношений и направленных на обеспечение безопасности информации.
По матералам jetinfo.isib.ru
