Виды испытаний и экспертиз

В Системе сертификации по требованиям безопасности информации предусмотрены следующие виды испытаний на соответствие требованиям по защите информации от НСД

1. Сертификация на соответствие требованиям Руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей»

В качестве недекларированных возможностей ПО принято рассматривать функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Результатом наличия НДВ в программном коде будет являться ситуация, приводящая к сбоям в нормальном функционировании программы, что является недопустимым
В РД устанавливается четыре уровня контроля отсутствия недекларированных возможностей, каждый характеризуется определенной минимальной совокупностью требований:

  • Самый высокий уровень контроля – первый, достаточен для ПО, используемого при защите информации с грифом «ОВ»;
  • 2 уровень контроля достаточен для ПО, используемого при защите информации с грифом «CC»;
  • 3 уровень контроля достаточен для ПО, используемого при защите информации с грифом «C»;
  • Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.

2. Сертификация на соответствие требованиям Руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

  • наличие в АС информации различного уровня конфиденциальности;
  • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  • режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

  • Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
  • Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
  • Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

3. Сертификация на соответствие требованиям Руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»

В РД устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

  • первая группа содержит только один седьмой класс;
  • вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
  • третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
  • четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы.

4. Сертификация на соответствие требованиям Руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»

В РД устанавливается пять классов защищенности МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия автоматизированных систем класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:

  • при обработке информации с грифом “секретно” - не ниже 3 класса;
  • при обработке информации с грифом “совершенно секретно” - не ниже 2 класса;
  • при обработке информации с грифом “особой важности” - не ниже 1 класса.

5. Сертификация на соответствие требованиям Технического задания / Технических условий на испытываемое программное (программно-техническое) средство для подтверждения соответствия функциональной спецификации требованиям, определенным ТЗ / ТУ на него