Компания «Лайтигард» оказывает консультационные услуги по разработке программного обеспечения в области средств защиты информации и программного обеспечения со встроенными функциями обеспечения безопасности информации.
Одним из методически правильных подходов к защите информации является создание системы защиты на базе специального прикладного программного обеспечения (СППО) в защищённом исполнении. Такое СППО должно реализовывать функции защиты информации в отношении объектов прикладной среды, с которой взаимодействует пользователь при решении своих задач в рамках сервисов, предоставляемых информационной системой (или автоматизированной системой) на базе СППО.
Функциональность и работоспособность механизмов обеспечения безопасности информации СППО должна быть подтверждена путём прохождения оценки соответствия требованиям по обеспечению безопасности. Единственным широко признаваемым на сегодня является процесс оценки соответствия, установленный регулятором в форме сертификации средств защиты информации.
Такой подход находит всё больший отклик в среде квалифицированных специалистов, стремящихся к достижению объективных целевых задач деятельности по защите информации.
Компания «Лайтигард» оказывает услуги по подготовке ПО к сертификации на соответствие требованиям безопасности в системе сертификации ФСТЭК России РОСС.RU.0001.0100, в том числе:
— обследование объекта разработки;
— разработка требований по защите и/или технического задания (частного технического задания) на комплекс средств защиты информации (далее КСЗ);
— консалтинговые услуги в рамках внедрения предъявленных требований по их реализации для объекта разработки;
— разработка программной документации на КСЗ в составе, необходимом для прохождения сертификации по требованиям ФСТЭК России, включая: технические условия (ТУ), задания по безопасности, документы по требованиям стандартов ЕСПД (ПЗ, Спецификация, описание программы, описание применения, исходные тексты программ).
Отдельной строкой в отношении программного обеспечения со встроенными механизмами защиты информации, подлежащего сертификации в системе Федеральной службы технического и экспортного контроля (ФСТЭК) России №РОСС RU.0001.01БИ00, проходит вопрос о документировании.
Так, по требованиям руководящего документа ФСТЭК России «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», программное средство защиты информации должно сопровождаться программной документацией, которая может включать:
| Спецификацию (по ГОСТ 19.202-78) | содержащую сведения о составе ПО и документации на него |
| Описание программы (по ГОСТ 19.402-78)1.2. | содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО; |
| Описание применения (ГОСТ 19.502-78) | содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы. |
| Пояснительную записку (ГОСТ 19.404-79) | содержащую основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п. |
| Тексты программ (ГОСТ 19.401-78) | содержащие форматированные исходные тексты программ, входящих в состав ПО. |
Функциональные характеристики специального программного обеспечения со встроенными средствами защиты информации фиксируются либо в Технических условиях (ТУ), либо в задании по безопасности в отношении средств, принадлежащих функциональному классу, для которого Федеральной службой технического и экспортного контроля разработаны профили защиты в соответствии с комплексом стандартов серии ISO 15408 (Общих критериев):
‑ ГОСТ Р ИСО/МЭК 15408-1-2012. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;
‑ ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности;
‑ ГОСТ Р ИСО/МЭК 15408-3-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
Система сертификации средств защиты информации, а равно и СППО со встроенным КСЗ, также регулируется следующими нормативно-методическим документами системы сертификации РОСС RU.0001.01БИ00:
‑ Руководящим документом ФСТЭК России «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники»;
‑ «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом председателя Гостехкомиссии России от 27.10.1995 N 199);
‑ Руководящим документом ФСТЭК России «Руководство по разработке профилей защиты и заданий по безопасности».
Любые вопросы по составу и содержанию работ по подготовке ПО к сертификации во ФСТЭК Вы можете задать, заполнив форму обратной связи. Наши специалисты обязательно свяжутся с Вами.
Также Вы можете связаться с нами по телефону или электронной почте.