ЛЕКЦИЯ 13. СЕРТИФИКАТЫ БЕЗОПАСНОСТИ

Сертификация программного обеспечения — это подтверждение соот- ветствия показателей надежности, мобильности, эффективности, корректности и других его характеристик, а также заявленных свойств требованиям норма- тивных документов (например, в соответствии с ГОСТ 28195-89 или ГОСТ Р ИСО/МЭК 9126-93).

Для сертификации программ применяются стандарты и методы оценки, используемые в международной практике (ИСО/МЭК), которые достоверно могут определить соответствие программных средств требованиям норматив- ных документов.

К обязательным требованиям к продукции законодательно отнесены: безопасность (электрическая, пожарная, гигиеническая, электромагнитная со- вместимость) для жизни и здоровья населения, охрана окружающей среды, со- вместимость и взаимозаменяемость, а также требования по защите информации (государственная и военная тайна). Особое место занимает направление серти- фикации в сфере информатизации по требованиям информационной безопасно- сти, которое включает как обязательные требования, так и необязательные с точки зрения закона.

1.  Сертификация средств информатизации в Российской Федерации

В соответствии с действующими законодательными и нормативными до- кументами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях:

–  обязательная сертификация средств информатизации на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспе- чивающим безопасность жизни, здоровья, имущества потребителей и охрану среды обитания;

–  обязательная сертификация средств защиты информации;

–  добровольная сертификация функциональных параметров средств и систем информатизации по номенклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами и учитывающим различные аспекты применения аппаратуры и программного обеспечения.

Обязательная сертификация по требованиям электромагнитной со- вместимости и параметрам безопасности. В соответствии с действующими законодательными и нормативными документами выполнение работ по серти- фикации средств информатизации в данном направлении возложено на Гос- стандарт России. В 1994 г. Госстандарт России ввел в действие нормативный документ «Номенклатура продукции и услуг, подлежащих обязательной серти- фикации в Российской Федерации». Этот документ ежегодно пересматривается и уточняется с учетом практики, условий торговли, производства и тенденций научно-технического развития.

Указанным документом к продукции, подлежащей обязательной серти- фикации в рассматриваемом направлении, отнесены следующие средства ин- форматизации:

1)  вычислительные машины и комплексы;

2)  персональные ЭВМ;

3)  устройства внешней памяти, ввода-вывода и отображения информа-

ции;

4)  устройства подготовки и телеобработки данных.

Поскольку основу сертификации по параметрам безопасности составляют

общие требования к оборудованию, остановимся подробнее на специфической для средств информатизации характеристике — электромагнитной совмести- мости.

Обеспечение электромагнитной совместимости заключается в выполне- нии требований по допустимым уровням электромагнитных помех, создавае- мых функционирующими средствами, и требований к помехоустойчивости технических средств при воздействии внешних электромагнитных помех.

Невыполнение требований электромагнитной совместимости приводит к неэффективному использованию радиочастотного спектра, являющегося хотя и нерасходуемым, но ограниченным ресурсом, к различным нарушениям в работе технических средств, а в ряде случаев и к аварийным ситуациям.

Сертификация средств информатизации по требованиям электромагнит- ной совместимости и параметрам безопасности возложена на Госстандарт Рос- сии и проводится органами (центрами) сертификации, аккредитованными Гос- стандартом в рамках Системы сертификации ГОСТ Р. Для получения сертифи- ката изготовитель или поставщик технических средств информатизации должен обратиться в аккредитованный Госстандартом России орган сертификации, представив комплект документов, определяемый правилами сертификации. Ор- ган сертификации организует проведение соответствующих испытаний (прове- рок) и при положительном результате испытаний выдает сертификат соответст- вия. В тексте сертификата указываются конкретные виды требований, по кото- рым проведены испытания, и соответствующие им нормативные документы.

Необходимо иметь в виду, что сертификат соответствия по требованиям электромагнитной совместимости и параметрам безопасности является необхо- димым, но в ряде случаев недостаточным условием полноты сертификации средств информатизации. Это объясняется тем, что данный сертификат соот- ветствия практически не затрагивает функциональные характеристики объекта и соответствие их современным требованиям. Такой сертификат дает только определенную уверенность в том, что предлагаемое оборудование не создает недопустимого уровня помех и безопасно в эксплуатации. Упрощенно говоря, объект может не выполнять ряда возложенных на него, согласно имеющейся документации, функций или выполнять их некачественно, но в полном соответ- ствии с установленными правилами может получить сертификат по электро- магнитной совместимости и безопасности.

Обязательная сертификация средств защиты информации. Законом

«Об информации, информатизации и защите информации» определено, что ин-

формационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физи- ческих, юридических лиц и государства, подлежат обязательному учету и за- щите как всякое материальное имущество собственника. При этом собственни- ку предоставляется право самостоятельно, в пределах своей компетенции, ус- танавливать режим защиты информационных ресурсов и доступа к ним.

Российская Федерация и ее субъекты являются собственниками инфор- мационных ресурсов, создаваемых за счет средств федерального бюджета и бюджетов субъектов Российской Федерации.

Законом «Об информации, информатизации и защите информации» вве- дено также понятие документированной информации с ограниченным досту- пом, которая подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (т. е. представляющую коммерческую, личную, служебную и другие тайны).

В соответствии с положениями этого закона собственник информацион- ных ресурсов, содержащих государственную тайну, вправе распоряжаться этой собственностью только с разрешения соответствующих органов государствен- ной власти.

Таким образом, законодательно определяется некоторая категория ин- формации, которая требует определенных ограничений в ее использовании, а сама информация требует защиты.

Целями защиты информации упомянутый Закон определяет:

1)  предотвращение утечки, хищения, утраты, искажения, подделки ин- формации;

2)  предотвращение угроз безопасности личности, общества, государства;

3)  предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

4)  предотвращение других форм незаконного вмешательства в информа- ционные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

5)  защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

6)  сохранение государственной тайны, конфиденциальности документи- рованной информации в соответствии с законодательством;

7)  обеспечение прав субъектов в информационных процессах при разра- ботке, производстве и применении информационных систем, технологий и средств их обеспечения.

Государство, владея информацией, составляющей национальное достоя- ние или содержащей сведения ограниченного доступа, неправомерное обраще- ние с которой может нанести ущерб ее собственнику, изыскивает специальные меры, обеспечивающие контроль ее использования и качества защиты. Одной из таких мер является сертификация средств защиты информации.

Необходимость сертификации средств защиты, применяемых при обра- ботке информации, составляющей государственную тайну, закреплена в Законе

Российской Федерации «О государственной тайне». Сертификации подлежат защищенные технические, программно-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Обязательной сертификации подлежат сред- ства, в том числе и иностранного производства, предназначенные для обработ- ки информации с ограниченным доступом, и прежде всего составляющей госу- дарственную тайну, а также использующиеся в управлении экологически опас- ными объектами, вооружением и военной техникой, и средства их защиты. На- личие у владельца информационной системы сертифицированных средств об- работки информации является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования.

Порядок сертификации средств защиты информации в Российской Феде- рации и ее учреждениях за рубежом установлен Положением «О сертификации средств защиты информации», утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608. Основной объем работ по сертификации средств защиты информации в пределах Российской Федерации возлагается на Гостехкомиссию России и Федеральное агентство правительст- венной связи и информации (ФАПСИ). Координация работ по организации сер- тификации этой продукции возложена на Межведомственную комиссию по за- щите государственной тайны.

Государственная техническая комиссия при Президенте Российской Фе- дерации (Гостехкомиссия России) является федеральным органом исполни- тельной власти, осуществляющим межотраслевую координацию и функцио- нальное регулирование деятельности по обеспечению защиты информации не- криптографическими методами.

В ведении Гостехкомиссии России находится сертификация программ- ных и технических средств защиты информации, не использующих методы криптографии (шифрования), а в ведении ФАПСИ — сертификация средств защиты информации, использующих эти методы.

В соответствии с установленным распределением сфер деятельности Гос- техкомиссии России и ФАПСИ в Российской Федерации созданы и функцио- нируют две системы сертификации средств защиты информации:

«Система сертификации средств защиты информации по требованиям безопасности информации», разработанная Гостехкомиссией России и зареги- стрированная Госстандартом за № РОСС RU.OOOI.OIBHOO;

«Система сертификации средств криптографической защиты информации

(СКЗИ)», разработанная ФАПСИ и зарегистрированная Госстандартом за

№ РОСС RU.OOO 1.030001.

Эти системы сертификации технических и программных средств направ- лены на защиту интересов государства и государственного информационного ресурса, а также интересов и прав собственников и владельцев информации — предпринимателей и граждан России, потребителей продукции и услуг от не- добросовестной работы исполнителей.

Добровольная сертификация по функциональным параметрам. Доб- ровольная сертификация применяется для средств информатизации, не подле-

жащих в соответствии с законодательными актами Российской Федерации обя- зательной сертификации, и проводится по требованиям, на соответствие кото- рым законодательными актами Российской Федерации не предусмотрено про- ведение обязательной сертификации. Добровольная сертификация проводится для удостоверения качества средств и систем информатизации с целью повы- шения их конкурентоспособности, расширения сферы использования и получе- ния дополнительных экономических преимуществ.

В общем случае упрощенную схему добровольной сертификации можно представить следующим образом. Необходимость добровольной сертификации обычно определяет разработчик или поставщик средств информатизации, руко- водствуясь при этом указанными выше соображениями. Разработчик или по- ставщик обращается в аккредитованный в установленном порядке сертифика- ционный центр и финансирует проведение работ по сертификации.

Совокупность и значения показателей качества, по которым проводится сертификация, формируются совместно заявителем и сертификационным цен- тром. При положительных результатах испытаний средств информатизации, представленных для сертификации, заявитель получает сертификат соответст- вия, который используется, например, для рекламы при взаимодействии с по- тенциальным пользователем или потребителем. Последние не имеют непосред- ственных контактов с сертификационным центром. В случае выявления недос- татков в сертифицированном изделии они обращаются непосредственно к по- ставщику, который обязан обеспечить доработку и повторные сертификацион- ные испытания.

В соответствии с действующим законодательством добровольная серти- фикация средств информатизации может проводиться как в Системе сертифи- кации ГОСТ Р, так и в других системах сертификации, зарегистрированных Госстандартом России в установленном порядке.

Обязательная сертификация необходима для ИС и ПС, выполняющих особо ответственные функции, в которых недостаточное качество и ошибки могут нанести большой ущерб или опасны для жизни и здоровья людей.

Этот ущерб может определяться степенью безопасности применения комплексов программ в авиации, для управления в космосе, в атомной энерге- тике, в военных системах; или большими экономическими потерями в резуль- тате низкого качества функционирования ПС в системах государственного управления, в финансовых, банковских, транспортных системах. В подобных системах обязательная сертификация программных продуктов способствует значительному снижению риска заказчика и повышению безопасности функ- ционирования программного продукта у потребителя до необходимого уровня. В этих случаях разработчики и поставщики программного продукта обязаны подвергать свои изделия сертификации на соответствие требованиям качества и безопасности для получения разрешения компетентных органов на их реальную эксплуатацию и применение по прямому назначению.

2.  Сертификаты безопасности: виды, функции, срок действия. Проверка наличия сертификата безопасности

Сертификат безопасности — документ, подтверждающий соответст- вие продукции всем нормам и требованиям безопасности жизнедеятельности, установленным законодательными актами Российской Федерации. Сертификат соответствия также иногда называют сертификатом качества, сертификатом безопасности, таможенным сертификатом и т. д.

Основанием для выдачи сертификата безопасности служит протокол ис- пытаний продукции, которые проводят аккредитованные лаборатории. Серти- фикат соответствия выдается по результатам независимой экспертизы и вклю- чает в себя информацию о продукции, ее изготовителе или поставщике, норма- тивных документах, на соответствие требованиям которых была проверена продукция, а также сведения об органе по сертификации, выдавшем этот доку- мент, сроке действия сертификата и основаниях для его выдачи.

Срок действия сертификата соответствия может составлять от одного го- да до трех лет, однако бывают и «одноразовые» сертификаты, которые выдают- ся на партию продукции.

В случае обязательной сертификации выдается сертификат безопасности (сертификат качества) на желтом бланке, а в случае добровольной сертифика- ции — бланк сертификата безопасности (сертификата соответствия) голубого цвета.

Приостановление действия сертификата соответствия. Орган по сертифи- кации, который имеет полномочия в выдаче сертификата соответствия, также имеет полномочия приостановить срок его действия. Причины этого могут быть различные: непрохождение инспекционного контроля, техническая ошиб- ка, недостоверность предоставленной информации, ликвидация производства. Можно возобновить действие сертификата в том случае, если изготовитель предоставит нужную информацию или отчет об устранении всех нарушений, если причиной, к примеру, стал инспекционный контроль.

Все без исключения органы регистрации в обязательном порядке должны передавать сведения о предоставленных сертификатах в Росакредитацию. Сам реестр сертификатов расположен по адресу: fsa.gov.ru.

Алгоритм действия проверки и действия сертификата: необходимо из- начально определить реестр, в котором содержится интересующий вас серти- фикат либо декларация. Отыскать интересующий сертификат в выбранном подразделе с помощью специально разработанной формы поиска. После указа- ния имеющихся сведений результат будет отображен на экране монитора в те- чение нескольких минут. Помимо этого варианта можно обратиться в террито- риальный центр подтверждения.

Расшифровка обозначений. Обозначения по результатам проверки могут быть следующими: статус «действует» (круг в виде зеленого цвета) — отобра- жает факт того, что сертификат является действующим. Наличие статуса «при- остановлен» (круг в виде оранжевого оттенка) — отображает, что документ на текущий момент приостановлен по каким-либо причинам. Возможная причина

этого и дата приостановки действия документа будут указаны внутри описания сертификата. Допускается вероятность того, что после устранения причин дей- ствие документа будет возобновлено в полном объеме. Статус «аннулирован» (круг в виде красного оттенка) отображает факт того, что данный документ яв- ляется недействительным и восстановлению не подлежит. Сама причина и дата аннуляции указываются внутри описания этого сертификата. Отображение ста- туса «архивный» показывает факт завершения периода действия документа в текущий момент. Как видно, через Интернет можно узнать всю необходимую информацию о сертификатах соответствия, в том числе и о наличии того или иного статуса.

КОНТРОЛЬНЫЕ ВОПРОСЫ

Общие понятия и обязательная сертификация

1.         Что такое сертификация программного обеспечения согласно лекции?

2.         На соответствие каким документам проводится сертификация ПО?

3.         Какие характеристики программного обеспечения могут подтверждаться в процессе сертификации?

4.         Какие требования к продукции отнесены законодательством к обязательным?

5.         Назовите три основных направления сертификации средств информатизации в Российской Федерации.

6.         Что такое электромагнитная совместимость (ЭМС) и почему ее обеспечение важно?

7.         Кто был уполномочен проводить сертификацию по требованиям ЭМС и параметрам безопасности согласно лекции?

8.         Какой документ определяет номенклатуру продукции, подлежащей обязательной сертификации, и кем он введен?

9.         Какие средства информатизации подлежат обязательной сертификации по параметрам безопасности и ЭМС? (Назовите 4 типа)

10.     Почему сертификат соответствия по ЭМС и безопасности является необходимым, но не всегда достаточным условием?

11.     Каков общий порядок получения сертификата соответствия для изготовителя?

12.     Что является основанием для выдачи сертификата безопасности?

Сертификация средств защиты информации (СЗИ)

13.     Каким законом введено понятие «документированная информация с ограниченным доступом»?

14.     На какие две категории подразделяется информация с ограниченным доступом?

15.     Перечислите не менее четырех целей защиты информации, установленных Законом.

16.     Каким законом закреплена необходимость сертификации средств защиты, применяемых при обработке информации, составляющей государственную тайну?

17.     Какие средства подлежат обязательной сертификации в области защиты информации?

18.     Кто осуществлял межотраслевую координацию по защите информации некриптографическими методами?

19.     Как было распределено сфера деятельности между Гостехкомиссией России и ФАПСИ в области сертификации СЗИ?

20.     Какие две системы сертификации средств защиты информации были созданы в РФ и кем?

21.     Как называется система сертификации для средств, использующих криптографию (шифрование)?

22.     На защиту каких интересов направлены системы сертификации СЗИ?

23.     Является ли наличие сертифицированных средств обработки информации преимуществом для владельца системы? Если да, то каким?

24.     Какой нормативный документ устанавливает порядок сертификации средств защиты информации в РФ?

Добровольная сертификация (вопросы 25-30)

25.     Что является основной целью проведения добровольной сертификации?

26.     Кто обычно является инициатором проведения добровольной сертификации?

27.     По каким требованиям проводится добровольная сертификация?

28.     Кто формирует перечень показателей качества, по которым проводится добровольная сертификация?

29.     В каких системах может проводиться добровольная сертификация средств информатизации?

30.     Для каких информационных систем и программного обеспечения обязательная сертификация особенно необходима? (Приведите примеры из лекции)

Сертификаты безопасности: виды, функции, проверка

31.     Что такое сертификат безопасности?

32.     Как еще может называться сертификат соответствия?

33.     Какой срок действия может иметь сертификат соответствия?

34.     Чем отличается бланк сертификата при обязательной и добровольной сертификации?

35.     Каковы возможные причины приостановления действия сертификата соответствия?

36.     Можно ли возобновить действие приостановленного сертификата? Если да, то при каком условии?

37.     Куда передаются сведения о выданных сертификатах?

38.     Опишите алгоритм проверки подлинности и действия сертификата через интернет.

39.     Что означает статус сертификата «действует» и как он обозначается визуально?

40.     Каковы значения и последствия статусов «приостановлен», «аннулирован» и «архивный»?

Общие понятия и нормативная база

41. В чем заключается ключевое различие между подтверждением соответствия по ГОСТ 28195-89 и ГОСТ Р ИСО/МЭК 9126-93?
42. Какие последствия может повлечь невыполнение требований электромагнитной совместимости для радиочастотного спектра?
43. Кто, помимо Госстандарта России, может быть вовлечен в процесс сертификации средств информатизации по требованиям электромагнитной совместимости?
44. Что означает фраза «сертификат соответствия по ЭМС и безопасности не затрагивает функциональные характеристики объекта»?
45. Каким документом определяется право собственника устанавливать режим защиты своих информационных ресурсов?
46. Кто является собственником информационных ресурсов, созданных за счет средств федерального бюджета?
47. Какие два федеральных органа исполнительной власти исторически были ключевыми в сертификации средств защиты информации в РФ?
48. Какова была роль Межведомственной комиссии по защите государственной тайны в системе сертификации?
49. Что означает регистрационный номер системы сертификации (например, РОСС RU.OOOI.OIBHOO)?
50. Каковы были сферы ответственности Гостехкомиссии России и ФАПСИ в области сертификации СЗИ?

Процедурные аспекты и особенности

51. Каковы обязанности поставщика в случае выявления недостатков в изделии, прошедшем добровольную сертификацию?
52. Может ли производитель выбрать систему сертификации для проведения добровольной сертификации произвольно? Какое условие при этом должно быть соблюдено?
53. Что является основанием для выдачи сертификата соответствия?
54. Какая информация, помимо данных о продукции и изготовителе, обязательно должна содержаться в сертификате соответствия?
55. Чем отличается процедура обязательной сертификации от добровольной с точки зрения инициатора и финансирования?
56. Каков максимальный срок действия сертификата соответствия на серийный выпуск продукции?
57. Что такое «инспекционный контроль» и какова его роль в процессе сертификации?
58. Каковы последствия для изготовителя при ликвидации его производства в контексте действия сертификата?
59. Каким цветом бланка оформляется сертификат соответствия при обязательной сертификации?
60. Где именно на сайте Росаккредитации (fsa.gov.ru) следует искать реестр сертификатов?

Сертификация средств защиты информации (СЗИ)

61. Какие виды средств, согласно Закону «О государственной тайне», подлежат обязательной сертификации?
62. Почему наличие сертифицированных средств обработки информации дает владельцу преимущества при страховании?
63. Какая категория информации с ограниченным доступом, помимо государственной тайны, указана в законе?
64. В чем состоит основная цель защиты конституционных прав граждан в контексте информационной безопасности?
65. Каким постановлением Правительства РФ был установлен порядок сертификации средств защиты информации?
66. На защиту чьих интересов, помимо государства, направлены системы сертификации СЗИ?
67. Подлежат ли обязательной сертификации средства защиты информации иностранного производства? В каких случаях?
68. Каков был правовой статус Гостехкомиссии России?
69. Как называется система сертификации для средств, не использующих методы криптографии?
70. Какая организация осуществляла регистрацию систем сертификации средств защиты информации?

Анализ и последствия

71. Почему обязательная сертификация особенно критична для ПО, используемого в финансовых и банковских системах?
72. Какие риски минимизирует получение сертификата соответствия по электромагнитной совместимости?
73. Что может случиться, если средство защиты информации используется после аннулирования его сертификата?
74. Каковы юридические последствия эксплуатации несертифицированного средства защиты информации, обрабатывающего государственную тайну?
75. В чем состоит экономический смысл для разработчика при прохождении добровольной сертификации?
76. Как изменение в конструкции изделия может повлиять на действие ранее выданного сертификата соответствия?
77. Почему сертификат на партию продукции («одноразовый») не может быть применен к дополнительным партиям того же товара?
78. Какая существует процедура обжалования решения органа по сертификации?
79. Как взаимодействуют между собой системы обязательной и добровольной сертификации в России?
80. Каковы могут быть косвенные преимущества для компании, имеющей добровольные сертификаты на свою продукцию, кроме повышения конкурентоспособности?

ЗАДАНИЯ

Блок 1: Определение типа и необходимости сертификации

1.      Ситуация: Компания «Альфа» разработала новую операционную систему с собственной подсистемой шифрования файлов. Система планируется к использованию в коммерческих банках для хранения внутренней отчетности. 

Задание: Определите, подлежит ли данное ПО обязательной сертификации. Если да, то в какой системе и по каким требованиям? Обоснуйте ответ, ссылаясь на положения лекции.

2.      Ситуация: Завод производит промышленные компьютеры для установки в цехах. Компьютеры имеют мощные блоки питания и, как выяснилось на предварительных тестах, создают значительные электромагнитные помехи. 

Задание: Какой вид обязательной сертификации необходим для этой продукции? Кто является уполномоченным органом, и какие риски минимизирует данный сертификат?

3.        Ситуация: Разработчик создал мобильное приложение для ведения личного дневника с функцией синхронизации через облако. Он хочет повысить доверие пользователей. 

Задание: Какой вид сертификации ему целесообразно пройти? Сформулируйте примерный перечень параметров, которые можно проверить в рамках этой сертификации, и объясните, кто их будет формировать.

4.      Ситуация: Госпиталь закупает партию медицинских серверов для хранения историй болезни. Поставщик предоставил сертификат соответствия на голубом бланке, подтверждающий высокую надежность и отказоустойчивость.

 Задание: Достаточно ли этого документа для законного использования серверов в медицинском учреждении? Какие еще обязательные сертификаты, по вашему мнению, должны быть у этой продукции и почему?

Блок 2: Средства защиты информации (СЗИ)

5.      Ситуация: Крупный онлайн-ритейлер обрабатывает персональные данные миллионов клиентов. Для защиты базы данных используется комплексная система, включающая как средства разграничения доступа (некриптографические), так и средства шифрования каналов передачи данных. 

Задание: В каких системах сертификации должны быть сертифицированы компоненты этого комплекса? Назовите органы, ответственные за сертификацию, и обоснуйте ваше решение.

6.      Ситуация: Компания-интегратор предлагает зарубежное программное обеспечение для защиты электронной почты, использующее шифрование, для нужд министерства, работающего с информацией, составляющей государственную тайну. 

Задание: Возможно ли использование данного ПО? Опишите процедуру, которую должна пройти компания-поставщик, чтобы ее продукт мог легально использоваться в данном министерстве.

7.      Ситуация: При проведении аудита информационной системы оборонного завода выяснилось, что сертификат соответствия на систему криптографической защиты информации (СКЗИ) был выдан 4 года назад и более не действует. 

Задание: К каким правовым и организационным последствиям это может привести для завода? Предложите план действий по устранению данной ситуации.

8.      Ситуация: Разработано новое средство контроля эффективности защиты информации (например, программный сканер уязвимостей). 

Задание: Подлежит ли оно обязательной сертификации согласно Закону «О государственной тайне»? Обоснуйте свой ответ, цитируя лекцию.

Блок 3: Процесс сертификации и документооборот

9.      Ситуация: Производитель персональных компьютеров подал заявку на обязательную сертификацию. После проведения испытаний орган по сертификации выдал сертификат соответствия. Через 6 месяцев в конструкцию компьютеров были внесены изменения, повлиявшие на электромагнитное излучение. 

Задание: Каковы дальнейшие обязательные действия производителя? Опишите регламентированную процедуру.

10.  Ситуация: Компания получила добровольный сертификат на свою систему управления предприятием (ERP). Через год несколько клиентов обратились с рекламациями на некорректную работу ключевых модулей системы. 

Задание: Каковы обязательства компании-поставщика в рамках действия добровольной сертификации? К кому должны обращаться клиенты и какие действия должна предпринять компания?

11.  Ситуация: При попытке проверить сертификат соответствия на сайте Росаккредитации вы обнаружили, что его статус имеет «оранжевый круг» с пометкой «приостановлен». 

Задание: Расшифруйте этот статус. Каковы наиболее вероятные причины его появления и возможные пути восстановления действия сертификата?

12.  Ситуация: Поставщик импортного серверного оборудования предоставил вам сертификат, выданный на конкретную партию в 100 единиц товара. 

Задание: На что именно распространяется действие этого «одноразового» сертификата? Можете ли вы, как заказчик, докупить еще 10 единиц такого же оборудования и использовать тот же сертификат? Почему?

Блок 4: Анализ и аргументация

13.  Ситуация: Руководство IT-компании считает, что прохождение обязательной сертификации их защищенного программного комплекса — это излишние затраты времени и денег, так как их внутреннее тестирование и так все проверяет. 

Задание: Составьте аргументированное обращение к руководству, используя тезисы из лекции, объясняющее, почему сертификация необходима с точки зрения защиты интересов государства, прав собственников и получения конкурентных преимуществ.

14.  Ситуация: Вам необходимо выбрать поставщика средств защиты информации для корпоративной сети. Один поставщик предлагает более дешевое решение без сертификатов, аргументируя это его «передовой архитектурой». Другой — дорогое, но с действующими сертификатами ФСТЭК России. 

Задание: Проведите сравнительный анализ рисков обоих вариантов, основываясь на материалах лекции. Какой выбор вы обоснуете и почему?

15.  Ситуация: В лекции указано, что сертификат по ЭМС и безопасности не гарантирует высокого качества функциональных характеристик. 

Задание: Приведите конкретный пример программного продукта, который мог бы успешно получить такой сертификат, но при этом быть абсолютно бесполезным или некачественным с точки зрения пользователя. Объясните, почему это возможно.

16.  Ситуация: Разработчик создал приложение для обработки персональных данных, которое не использует шифрование, но имеет сложную систему ролевого доступа. Он уверен, что добровольной сертификации достаточно. 

Задание: Проанализируйте, прав ли он. Может ли в данном случае требоваться обязательная сертификация? Ответ обоснуйте, ссылаясь на цели защиты информации из Закона.

Блок 5: Сложные и комбинированные кейсы

17.    Ситуация: Авиастроительная компания разрабатывает программное обеспечение для системы управления полетами нового самолета. 

Задание: Определите полный перечень видов сертификатов (обязательных и, возможно, добровольных), которые необходимо получить данному ПО. Для каждого вида укажите обоснование, основанное на его критически важных функциях.

18.  Ситуация: После слияния двух компаний в единую ИТ-инфраструктуру потребовалось интегрировать две разные сертифицированные СКЗИ (одна сертифицирована в системе ФСТЭК, другая — в системе ФСБ). 

Задание: С какими основными нормативно-правовыми и техническими сложностями может столкнуться компания при такой интеграции?

19.  Ситуация: В ходе плановой проверки Роскомнадзора у оператора персональных данных выявлено использование несертифицированного средства шифрования при передаче данных через интернет. 

Задание: Какие последствия могут наступить для оператора? Нарушение каких именно целей защиты информации, перечисленных в лекции, имело место?

20.  Ситуация: Крупный банк решил разработать собственную мобильную платежную систему. 

Задание: Постройте дорожную карту (план) по сертификации всех компонентов этой системы, указав, какие компоненты подлежат обязательной сертификации, какие — добровольной, и в каких системах это должно происходить.

21.  Ситуация: Производитель получил сертификат на серийный выпуск ноутбуков сроком на 3 года. На второй год действия сертификата он решил сменить модель процессора на более энергоэффективную.

 Задание: Будет ли продолжаться действие ранее выданного сертификата? Какие действия должен предпринять производитель?

22.  Ситуация: Зарубежный вендор хочет поставлять в Россию оборудование для АЭС, которое включает в себя как аппаратную часть, так и программное обеспечение для управления технологическими процессами. 

Задание: Опишите все возможные «зоны» обязательной сертификации, через которые должно пройти это оборудование и ПО перед началом эксплуатации. Укажите, какие российские органы, скорее всего, будут вовлечены в процесс.

23.  Ситуация: Компания-разработчик проводит добровольную сертификацию своего CRM. В процессе испытаний выявлены несоответствия по одному из заявленных параметров (время отклика). 

Задание: Какие варианты действий есть у компании? Может ли она получить сертификат с оговорками?

24.  Ситуация: Государственное учреждение объявляет тендер на поставку защищенных рабочих станций. В документации к тендеру указано требование о наличии действующего сертификата соответствия требованиям безопасности информации (ФСТЭК России). Один из участников тендера предоставил сертификат, выданный на «желтом бланке» органом по сертификации в системе ГОСТ Р. 

Задание: Является ли данное предложение соответствующим требованиям тендера? Дайте развернутое юридически обоснованное заключение.

25.  Ситуация: При проверке реестра сертификатов вы обнаружили, что сертификат на вашу систему защиты информации имеет статус «архивный». 

Задание: Что это означает на практике? Можете ли вы продолжать эксплуатацию данной системы? Каковы ваши дальнейшие шаги?

26.  Ситуация: Сотрудник отдела закупок по ошибке приобрел для обработки конфиденциальной информации средство защиты, имеющее сертификат, который был аннулирован за неделю до покупки. 

Задание: Кто несет ответственность за данную ошибку? Опишите процедуру проверки, которая позволила бы избежать этой ситуации.

27.  Ситуация: Проект федерального закона предлагает отменить обязательную сертификацию средств защиты информации для коммерческих организаций, не работающих с гостайной. 

Задание: Используя тезисы из лекции, составьте два аргумента «за» (с позиции бизнеса) и два аргумента «против» (с позиции национальной безопасности и защиты прав граждан) данному предложению.

28.  Ситуация: Интегратор установил в банке систему видеонаблюдения, которая по техническим причинам создает сильные помехи в работе сертифицированного оборудования защищенной связи. 

Задание: Какое требование нарушено? К каким последствиям это может привести? Кто и как может обязать интегратора устранить проблему?

29.  Ситуация: Разработчик создал принципиально новый алгоритм шифрования на основе нейронных сетей. Традиционные методы сертификации СКЗИ к нему плохо применимы. 

Задание: С какими трудностями столкнется разработчик при попытке сертифицировать свой продукт в установленном порядке? Предложите возможный путь решения этой проблемы.

30.  Ситуация: В ИТ-инфраструктуре компании используются как сертифицированные, так и несертифицированные средства защиты (например, межсетевые экраны). Аудит показал, что несертифицированные средства настроены строже и, по результатам тестирования, обеспечивают лучшую защиту. 

Задание: Является ли такая конфигурация легитимной с точки зрения требований законодательства, рассмотренного в лекции? Дайте развернутый ответ с обоснованием.

31.  Ситуация: Компания разрабатывает облачный сервис для хранения электронных документов с истекшим сроком давности для госархивов. Документы не являются гостайной, но подлежат защите. 

Задание: Определите стратегию сертификации данного сервиса. Нужно ли сертифицировать сам облачный сервис как систему или достаточно сертифицировать отдельные СЗИ в его составе? Ответ обоснуйте.

32.  Ситуация: Поставщик представил сертификат, выданный на программно-аппаратный комплекс. В ходе приемки выяснилось, что версия ПО в поставке новее, чем указана в сертификате. 

Задание: Правомерно ли использование данного комплекса? Каковы риски? Какие действия должна предпринять принимающая сторона?

33.  Ситуация: Международная компания хочет использовать в своем российском филиале единую корпоративную систему шифрования трафика, уже сертифицированную по стандарту Common Criteria в ЕС. 

Задание: Будет ли достаточно этого сертификата для выполнения требований российского законодательства? Что компании необходимо сделать дополнительно?

34.  Ситуация: В результате реорганизации федерального органа исполнительной власти его функции по сертификации некриптографических СЗИ переданы другому ведомству. 

Задание: Как это повлияет на действие ранее выданных сертификатов? Должны ли владельцы таких сертификатов проходить процедуру заново?

35.  Ситуация: Специалист по безопасности настаивает на обязательной сертификации всего ПО, используемого в компании, включая офисные пакеты, ссылаясь на «требования защиты информации». 

Задание: Прав ли он? Разграничьте, какое ПО в типичной компании подлежит обязательной сертификации, а какое — нет, приведя критерии из лекции.

36.  Ситуация: Производитель сертифицировал свою ИС для госоргана. Через год вышло обновление законодательства, ужесточившее требования к защите информации. 

Задание: Обязан ли производитель привести систему в соответствие с новыми требованиями и пройти пересертификацию, если срок действия текущего сертификата еще не истек?

37.  Ситуация: При проведении обязательной сертификации ПО для системы управления финансами выявлено несоответствие по одному некритичному параметру надежности. 

Задание: Может ли орган по сертификации выдать сертификат с исключением данного параметра? Обоснуйте, опираясь на принципы обязательной сертификации.

38.  Ситуация: Компания закупила сертифицированные средства защиты, но в ходе эксплуатации отключила некоторые их функции для повышения производительности. 

Задание: Соответствует ли такой режим эксплуатации целям выдачи сертификата? К каким последствиям это может привести?

39.  Ситуация: Разработчик подал заявку на добровольную сертификацию, но в процессе испытаний орган по сертификации потребовал проверить параметры, которые разработчик считает коммерческой тайной. 

Задание: Кто прав в этой ситуации? Может ли разработчик отказаться от предоставления таких данных без риска не получить сертификат?

40.  Ситуация: В стране-партнере России создан новый международный стандарт по безопасности ИТ-продуктов. 

Задание: Опишите возможный механизм, как этот стандарт может быть интегрирован в российскую систему сертификации, чтобы его выполнение могло быть учтено при выдаче национального сертификата. Какие органы и процедуры будут задействованы?

Блок 6: Применение знаний в новых ситуациях

41.   Ситуация: Компания разработала новое средство биометрической аутентификации. Оно не использует шифрование, но преобразует биометрический шаблон в уникальный цифровой идентификатор.
Задание: Определите, в системе сертификации какого органа (ФСТЭК России или ФСБ России) должно сертифицироваться данное средство. Ответ обоснуйте, ссылаясь на распределение зон ответственности.

42.   Ситуация: Производитель получил сертификат ЭМС на партию мониторов. В ходе эксплуатации выяснилось, что мониторы создают помехи для медицинского оборудования, находящегося в том же помещении.
Задание: Означает ли это, что сертификат ЭМС был выдан ошибочно? Ответ обоснуйте, раскрыв суть требований электромагнитной совместимости.

43.   Ситуация: Законодательство изменилось, и теперь определенный класс систем видеонаблюдения подлежит обязательной сертификации как средство защиты информации.
Задание: Опишите пошаговый алгоритм действий для компании-производителя таких систем, у которых уже есть клиенты с ранее установленным оборудованием.

44.   Ситуация: При добровольной сертисии офисного пакета разработчик отказался предоставлять исходный код, сославшись на коммерческую тайну.
Задание: Правомочен ли орган по сертификации отказать в выдаче сертификата на этом основании? Дайте развернутый ответ.

Блок 7: Анализ рисков и последствий

45.   Ситуация: Сертифицированная система защиты информации была взломана, что привело к утечке данных. Расследование показало, что атака использовала неизвестную на момент сертификации уязвимость (zero-day).
Задание: Освобождает ли это факт владельца системы от ответственности? Снимает ли он вину с органа по сертификации?

46.   Ситуация: Компания использует два разных сертифицированных межсетевых экрана в режиме активного-активного резервирования. Конфигурация их взаимодействия не проходила сертификацию как единый комплекс.
Задание: Оцените риски такой конфигурации. Сохраняется ли действие сертификатов на каждый экран в отдельности?

47.   Ситуация: Программное обеспечение для автоматизированного рабочего места (АРМ) судьи прошло обязательную сертификацию. Через год вышло обновление операционной системы, на которой оно работает.
Задание: Требует ли данное обновление проведения повторной сертификации ПО АРМ? Почему?

48.   Ситуация: Поставщик предлагает аренду (SaaS) сертифицированной системы электронного документооборота. Клиент физически не владеет серверами, но обрабатывает на них конфиденциальную информацию.
Задание: Достаточно ли наличия сертификата у поставщика для легального использования сервиса клиентом? Какие дополнительные риски возникают у клиента?

Блок 8: Процедурные и нормативные коллизии

49.   Ситуация: Орган по сертификации приостановил действие сертификата из-за несоответствия продукции, выявленного во время внепланового инспекционного контроля.
Задание: Имеет ли право производитель оспорить это решение до предоставления отчета об устранении нарушений? Куда он может подать жалобу?

50.   Ситуация: Программный продукт был сертифицирован в системе ФСТЭК России. Впоследствии выяснилось, что он также содержит функции простого шифрования файлов (не являющиеся основной функцией).
Задание: Требуется ли для данного ПО дополнительная сертификация в системе ФСБ России? Аргументируйте вашу позицию.

51.   Ситуация: Между двумя аккредитованными лабораториями возникли разногласия в результатах испытаний одного и того же образца продукции на ЭМС.
Задание: Какой механизм разрешения таких споров должен существовать согласно описанной в лекции системе? Кто является арбитром?

52.   Ситуация: Компания-разработчик ликвидирована. Ее сертифицированное ПО продолжает использоваться в государственном учреждении.
Задание: Как этот факт влияет на действие сертификата и легитимность использования ПО? Что должно сделать государственное учреждение?

Блок 9: Специализированные и комплексные кейсы

53.   Ситуация: Разработано ПО для «умного дома», управляющее системами отопления, освещения и безопасности. Оно собирает данные о привычках жильцов.
Задание: Требуется ли для данного ПО обязательная сертификация? Если да, то по каким направлениям? Если нет, то какая сертификация целесообразна и почему?

54.   Ситуация: Зарубежный облачный провайдер хочет получить сертификат соответствия на свои услуги, чтобы привлекать российских клиентов из госсектора. Все его дата-центры расположены за пределами РФ.
Задание: Возможна ли в принципе сертификация такого провайдера по требованиям российского законодательства? С какими основными трудностями он столкнется?

55.   Ситуация: В рамках проекта «цифровой двойник» промышленного предприятия создана точная копия его АСУ ТП, используемая для моделирования и обучения.
Задание: Подлежит ли эта виртуальная копия обязательной сертификации, если сама реальная АСУ ТП сертифицирована? Ответ обоснуйте.

56.   Ситуация: Средство защиты информации, сертифицированное 5 лет назад, формально соответствует всем заявленным в сертификате параметрам, но морально устарело и не защищает от современных угроз.
Задание: Является ли его использование нарушением? Кто несет ответственность за актуальность применяемых средств защиты?

Блок 10: Стратегия и управление

57.   Ситуация: Крупная компания приняла решение о постепенном переходе на отечественное ПО. Часть его имеет сертификаты, часть — нет.
Задание: Разработайте критерии приоритизации, какое ПО необходимо сертифицировать в первую очередь, исходя из критичности выполняемых функций.

58.   Ситуация: Поставщик получил сертификат на свою ERP-систему, но в контракте с клиентом указал пункт, снимающий с себя ответственность за ущерб, вызванный ошибками в ПО.
Задание: Насколько правомерен такой пункт с учетом наличия сертификата? Снижает ли он ценность сертификата для конечного потребителя?

59.   Ситуация: При миграции с одной сертифицированной СУБД на другую, также сертифицированную, возникли проблемы с конвертацией данных, приведшие к их частичной потере.
Задание: Указывает ли это на недостаток системы сертификации? Чья зона ответственности — обеспечение совместимости миграции?

60.   Ситуация: Разработан открытый исходный код (Open Source) криптографического алгоритма. Сообщество разработчиков считает его безопасным.
Задание: Может ли данный алгоритм быть использован в сертифицированных СКЗИ без проведения его собственной сертификации? Почему нет?

61.   Ситуация: Компания использует «виртуализацию вложенного типа» (контейнеризацию), когда на одном сервере работают изолированные экземпляры ПО с разным уровнем критичности.
Задание: Должна ли платформа виртуализации (хост) быть сертифицирована, если все гостевые системы, работающие с защищаемой информацией, сертифицированы?

62.   Ситуация: Поставщик сертифицированного ПО скрыл от органа по сертификации известные ему уязвимости, которые не были выявлены в ходе испытаний.
Задание: Каковы правовые последствия для поставщика после раскрытия этой информации?

63.   Ситуация: Требования законодательства обязывают сертифицировать средства защиты информации, но не определяют четко, что считать таким средством в случае сложных комплексных систем.
Задание: Кто и как на практике должен определять границы сертифицируемого компонента в системе, например, в CRM с модулем шифрования?

64.   Ситуация: Международный стандарт, на котором базировался российский нормативный документ, устарел и был отменен.
Задание: Как это влияет на действие сертификатов, выданных на соответствие этому российскому документу? Требуется ли обязательная пересертификация?

65.   Ситуация: Орган по сертификации был лишен аккредитации по решению Росаккредитации.
Задание: Что происходит с сертификатами, выданными этим органом до момента лишения аккредитации? Действительны ли они?

66.   Ситуация: Производитель вносит в сертифицированное ПО изменения, направленные исключительно на оптимизацию производительности и не затрагивающие функции безопасности.
Задание: Требует ли каждая такая модификация проведения повторных испытаний в полном объеме? Возможны ли упрощенные процедуры?

67.   Ситуация: В результате кибератаки на орган по сертификации были скомпрометированы базы данных с результатами испытаний и закрытой информацией о продуктах.
Задание: Какие риски это создает для владельцев сертифицированных средств и для всей системы сертификации в целом?

68.   Ситуация: Разработчик создал ПО, которое динамически подгружает и исполняет непроверенные модули (плагины) от третьих лиц.
Задание: Возможна ли в принципе сертификация такого ПО? Если да, то какие ограничения должны быть наложены на плагины?

69.   Ситуация: Сертифицированное средство защиты было интегрировано с несертифицированной системой мониторинга и управления.
Задание: Может ли данная интеграция повлиять на безопасность сертифицированного средства и, как следствие, на действие его сертификата?

70.   Ситуация: Владелец информационной системы с сертифицированными СЗИ решил провести ее независимый пентест (тестирование на проникновение).
Задание: Могут ли результаты пентеста, выявившие уязвимости, стать основанием для приостановки действия сертификатов на СЗИ?

71.   Ситуация: Законодатель ввел переходный период для обязательной сертификации нового класса продукции — «интернета вещей (IoT) для критической инфраструктуры».
Задание: Какие мероприятия должны провести производители такой продукции в течение переходного периода для легального вывода ее на рынок?

72.   Ситуация: Программный продукт использует облачный AI-сервис для анализа данных. Сам продукт сертифицирован, а AI-сервис — нет, и его алгоритмы постоянно меняются.
Задание: Ставит ли использование несертифицированного и изменяющегося внешнего сервиса под угрозу действие сертификата на основной продукт?

73.   Ситуация: При проведении обязательной сертификации выяснилось, что продукт частично соответствует требованиям, но имеет уникальные функции, компенсирующие выявленные несоответствия.
Задание: Существует ли в практике сертификации механизм учета таких компенсирующих мер при выдаче сертификата?

74.   Ситуация: Компания хочет использовать для обработки персональных данных систему, которая ранее была сертифицирована для обработки коммерческой тайны.
Задание: Достаточно ли этого сертификата или требуется специальная сертификация именно для целей обработки персональных данных?

75.   Ситуация: Производитель сертифицировал свою систему, но ее реальная эксплуатация показала, что для достижения заявленной производительности необходимо отключать некоторые функции безопасности.
Задание: Является ли такая практика нарушением условий сертификации? Кто и как может это проконтролировать?

76.   Ситуация: Эксперты предлагают ввести «сертификацию жизненного цикла» (Development Security Operations — DevSecOps) для критически важного ПО.
Задание: В чем принципиальное отличие такого подхода от описанной в лекции сертификации готового продукта? Какие новые объекты оценки появляются?

77.   Ситуация: Поставщик предоставил сертификат, выданный на основе испытаний, проведенных в лаборатории, которая на момент испытаний была аккредитована, но позднее лишилась аккредитации.
Задание: Является ли такой сертификат действительным? Ответ обоснуйте.

78.   Ситуация: В рамках ЕАЭС принимается решение о взаимном признании сертификатов соответствия стран-участниц.
Задание: Опишите, как российский орган по сертификации должен будет проверять и учитывать сертификат, выданный, например, в Беларуси.

79.   Ситуация: Средство защиты информации, сертифицированное для работы под управлением ОС Windows, решено портировать на Linux.
Задание: Требуется ли полная повторная сертификация или возможна ускоренная процедура? Какие факторы повлияют на это решение?

80.   Ситуация: Владелец сертифицированной системы защиты подал в суд на производителя из-за ущерба, вызванного сбоем системы. Производитель в качестве защиты предоставил сертификат соответствия.
Задание: Является ли сертификат соответствия безусловным доказательством отсутствия вины производителя? Какую роль он играет в судебном разбирательстве?

Скачано с www.znanio.ru