Учебное пособие санкт-Петербург 2008 удк 621. 865. 8 Гатчин Ю. А., Симоненко З. Г. Учебное пособие.Вопросы технологии сертификации средств защиты информации. Спб гу итмо, 2008.  120с. Рецензенты

Вид материалаУчебное пособие

Содержание


Перечень контрольных вопросов по усвоению материала
Подобный материал:
1   2   3   4   5   6   7

5.2.2.Порядок разработки, сертификации, внедрения и

эксплуатации средств криптографической защиты информации от НСД


В действующем сегодня нормативном документе "Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации.Москва. 1992 " мы рассмотрим пункт 6 ( ПРИЛОЖЕНИЕ № )

5.2.2.1.Данные раздел определяет взаимодействие сторон и порядок проведения работ при создании, сертификации и эксплуатации средств криптографической защиты информации (СКЗИ) от несанкционированного доступа на государственных предприятиях, в ведомствах. Действие данного раздела распространяется на программные, технические и программно-технические средства в составе СВТ и АС, применяемые для криптографической защиты от НСД к информации, обрабатываемой, хранимой, накапливаемой и передаваемой в вычислительных системах, построенных на базе отдельных ЭВМ, комплексов ЭВМ и локальных вычислительных сетей, расположенных в пределах одной контролируемой зоны.

Разрешается применение положений данного раздела также в случае нескольких контролируемых зон при условии, что для связи между ними используются защищенные с помощью аппаратуры ЗАС или СКЗИ каналы, по которым в соответствии с действующими нормативными документами разрешена передача секретной информации соответствующего грифа (см. п.6.15 данного раздела).

5.5.2.2. Организационно-методическое руководство работами по созданию и эксплуатации СКЗИ, сертификацию СКЗИ, а также контроль за состоянием и развитием этого направления работ осуществляет Гостехкомиссия и Главный шифрорган страны при посредстве ряда уполномоченных ими специализированных организаций.

5.2.2.3. С помощью СКЗИ может осуществляться защита от несанкционированного доступа к несекретной и служебной информации, а также к информации, имеющей грифы "секретно", "совершенно секретно" и "особой важности".

5.2.2..4. При выполнении разработки СКЗИ (или изделия СВТ, содержащего в своем составе СКЗИ), предназначаемого для защиты секретной информации любых грифов, а также для защиты ценной и особо ценной информации*), техническое задание на СКЗИ должно быть согласовано с Гостехкомиссией России и Главным шифрорганом страны.

Вместе с техническим заданием должна быть направлена схема конфигурации защищаемых СВТ или АС, описание структуры подлежащих защите информационных объектов (с указанием максимального грифа секретности), а также данные о характеристиках допуска и предполагаемых административных структурах пользователей.

5.2.2.5. По результатам рассмотрения исходных данных вышеупомянутые органы предоставляют разработчику СКЗИ рекомендации поиспользованию одного из аттестованных алгоритмов шифрования, а также (при необходимости) описание его криптосхемы, криптографические константы, тестовые примеры для проверки правильности реализации алгоритма, рекомендации по построению ключевой системы СКЗИ и ряд других документов.

5.2.2.6. На основе полученных документов разработчик реализует СКЗИ в виде программного или технического изделия и с привлечением специализированных организаций готовит необходимые материалы для сертификации СКЗИ. Приемку полученных в результате разработки опытных образцов осуществляет комиссия, создаваемая Заказчиком СКЗИ. В состав комиссии должны быть включены представители Гостехкомиссии России и Главного шифроргана страны.

5.2.2.7. Сертификация СКЗИ осуществляется на хозрасчетных началах. Положительная сертификация СКЗИ завершается выдачей сертификационного удостоверения.

5.2.2.8. Применение СКЗИ, не прошедших в установленном порядке сертификацию для защиты от НСД к секретной информации любых грифов, а также ценной и особо ценной информации запрещается.

5.2.2.9. При внедрении АС, содержащей в своем составе сертифицированное СКЗИ и при условии, что данная АС предназначается для обработки секретной информации с грифами не выше "совершенно секретно" или для обработки ценной информации дополнительного разрешения на эксплуатацию сертифицированного СКЗИ не требуется (кроме случаев, специально оговоренных в сертификационном удостоверении на СКЗИ). Для АС, предназначенных для обработки информации с грифом "особой важности" или для обработки особо ценной информации, должно быть получено письменное разрешение Гостехкомиссии России и Главного шифроргана страны на эксплуатацию СКЗИ в составе конкретной АС.

5.2.2.10. Эксплуатация СКЗИ, применяемых для защиты секретной или ценной информации, должна осуществляться в соответствии с разрабатываемыми "Инструкцией по обеспечению безопасности эксплуатации СКЗИ в составе АС" и "Инструкцией о порядке использования действующих сменных ключей". В организации, осуществляющей эксплуатацию АС, должна быть создана служба (орган) безопасности информации, на которую возлагаются ответственность за реализацию мероприятий, предусмотренных вышеназванными инструкциями.

5.2.2.11. Гриф секретности действующих сменных ключей и соответствующих ключевых документов при защите информации от НСД с помощью СКЗИ, должен соответствовать максимальному грифу секретности информации, шифруемой с использованием этих ключей. Носители с записанной на них ключевой документацией СКЗИ учитываются, хранятся и уничтожаются как обычные документы соответствующего грифа секретности согласно "Инструкции по обеспечению режима секретности..." ¹ 0126.

5.2.2.12. СКЗИ без введенных криптографических констант и действующих сменных ключей имеют гриф секретности, соответствующий грифу описания криптосхемы. СКЗИ с загруженными криптографическими константами имеет гриф секретности, соответствующий грифу криптографических констант. Гриф секретности СКЗИ с загруженными криптографическими константами и введенными ключами определяется максимальным грифом содержащихся в СКЗИ ключей и криптографических констант.

5.2.2.13. Шифртекст, полученный путем зашифрования с помощью СКЗИ открытой секретной информации любых грифов, является несекретным. Внешние носители данных (магнитные ленты, диски, кассеты, дискеты и т.п.) с зашифрованной информацией могут пересылаться, храниться и учитываться как несекретные, если они не содержат и ранее не содержали открытой секретной информации.

5.2.2.14. Для передачи за пределы контролируемой зоны шифртекста, полученного путем зашифрования с помощью СКЗИ несекретной информации, могут использоваться незащищенные каналы связи. Если гриф исходной информации (до зашифрования) был "для служебного пользования", то допускается применение только сертифицированного СКЗИ.

5.2.2.15. Для передачи за пределы контролируемой зоны шифртекста, полученного путем зашифрования с помощью СКЗИ информации с грифами "секретно" и выше, должны использоваться каналы связи, защищенные с помощью связной шифраппаратуры, для которых в соответствии с действующими нормативными документами получено разрешение на передачу секретной информации. Специальное разрешение на эксплуатацию СКЗИ в этом случае не требуется. Порядок создания шифраппаратуры, т.е. криптографических средств различных видов (технических и программно-технических), предназначенных для защиты информации, передаваемой за пределы контролируемой зоны по незащищенным каналам связи, регламентируется "Положением о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, государственных и ведомственных систем связи и управления и комплексов вооружения, использующих шифровальную технику" (Положение ПШ-89), утвержденным Постановлением СМ СССР от 30.04.90 ¹ 439-67.

5.2.2.16. Ответственность за надлежащее исполнение правил эксплуатации СКЗИ (в том числе в период проведения приемочных испытаний), возлагается на руководство предприятий, эксплуатирующих данные СКЗИ.

5.2.2.17. Контроль за выполнением требований инструкций по эксплуатации СКЗИ возлагается на службы защиты информации предприятий, эксплуатирующих данные СКЗИ.


Замечание. Национальная инструкция об обеспечении безопасности связи США № 6002, принятая в июне 1984 года, устанавливает, что потребности в обеспечении безопасности связи государственных подрядчиков определяются компетентными государственными органами. Эти же органы обеспечивают контроль за соблюдением требований по безопасности связи. Инструкция разрешает использовать государственным подрядчикам шифровальную технику, либо изготовленную по заказу Агентства национальной безопасности, либо прошедшую сертификацию в этом агентстве. Фирмы-изготовители средств шифрования не должны находиться в иностранном владении или под иностранным влиянием. Кроме того, эти фирмы должны быть допущены к работе с секретной информацией установленным порядком. Вывоз любых криптографических устройств из Соединенных Штатов возможен только с разрешения АНБ. При этом директива Президента страны "Об управлении шифрованием в обществе" ("Public Encryption Management") однозначно устанавливает, что вывозимые криптографические средства не должны служить препятствием для органов электронной разведки США при добывании ими информации.

Во Франции государственному контролю подлежат изготовление, экспорт и использование шифровального оборудования. Экспорт возможен только с разрешения Премьер-министра страны, выдаваемого после консультаций со специальным комитетом по военному оборудованию. Импорт шифровальных средств на территорию Французской республики вообще запрещен. Закон объявляет экспорт и снабжение криптографическими средствами без специального разрешения преступлением, которое наказывается штрафом в размере до 500 000 франков или тюремным заключением на срок от 1 до 3 месяцев.


ПЕРЕЧЕНЬ КОНТРОЛЬНЫХ ВОПРОСОВ ПО УСВОЕНИЮ МАТЕРИАЛА


1.Что такое информация?

2.Определение защиты информации

3.Основные задачи защиты информации

4.Цели защиты информации

5.Из чего состоят основные организационные мероприятия по защите информации?

6.Что такое техническое мероприятие?

7.Из чего состоят основные организационно-технические мероприятия по защите информации?

8.Что составляет основу организационно-правовых мероприятий?

9.Субъекты системы защиты информации в РФ

10.Функции Палаты Федерального Собрания в области защиты информации;

11. Функции Президента РФ в области защиты информации

12.Функции Правительства РФ в области защиты информации

13.Функции органов судебной власти

14.Какие службы включают в себя органы федеральной исполнительной власти?

15.Функции и полномочия ФСТЭК

16.Классификация средств защиты информации

17.Определение технических средств защиты информации

18.На какие средства подразделяются технические средства защиты информации, включая средства контроля эффективности принятых мер защиты информации?

19.Из чего состоят технические средства и системы в защищенном исполнении?

20.Что включают в себя технические средства защиты информации от несанкционированного доступа (НСД)

21.Определение программных средс тв

22.Из чего состоят программные средства защиты информации от НСД и программных закладок?

23.Что включают в себя защищенные программные средства обработки информации?

24.Определение программно-аппаратных средств защиты информации

25. Определение средств криптографической защиты информации

26.Что включают в себя средства криптографической защиты информации?

27.Что такое сертификация?

1 – документальное удостоверение соответствия продукции;

2 – общая документация на продукциию

3 – форма подтверждения соответствия объектов технического регламента.

28.Основные понятия сертификации

29. Система сертификации – её определение?

1 – документация на право производства продукции;

2 – установление тождественности продукции её признакам;

3 – совокупность правил по сертификации.

30. Что понимается под сертификатом соответствия?

1 – документ соответствия объекта требованиям технических регламентов, стандартов или договоров;

2 – документ на право выпуска продукции;

3 – документальное удостоверение соответствия продукции

31.Что такое сертификационные испытания ?

32.Что означает идентификация продукции?

32.Что означает знак соответствия?

1 – обозначение соответствия объекта требованиям добровольной сертификации или национальному стандарту;

2 – соответствие ТЗ или ТУ;

3 – соответствие требованиям качества продукции.

33.Общие положения ФЗ №5140 «О техническом регулировании»

34. Основные понятия ФЗ №5140 «О техническом регулировании»

35. Законодательство и принципы технического регулирования.

36. Технические регламенты и их цели, содержание и применение.

37. Что понимается под техническим регламентом?

1 – документ применения и исполнения требований к объектам технического регулирования;

2 – перечень работ по обеспечению процесса производства;

3 – правила эксплуатации, хранения, перевозки и т.д..

38. Цели принятия технических регламентов?

1 – для защиты жизни и здоровья животных и птицы, с.х. продукции;

2 – для защиты жизни и здоровья граждан, государств или муниципального имущества, охраны окружающей среды, или здоровья животных и растений;

3 – для предупреждения действий, вводящих в заблуждение приобретателей.

39. Перечислите виды технических регламентов?

1 – общие технические; специальные;

2 – для безопасной эксплуатации по пожарной безопасности;

3 – против ядерной и радиационной безопасности.

40. Что относится к специальным техническим регламентам?

1 – требования по общим вопросам производства;

2 – документы на право производства той или иной продукции;

3 – требования к отдельным видам продукции, процессам производства

41. Кто может быть разработчиком проекта технического регламента?

1 – юридическое лицо;

2 – любое лицо;

3 – любая организация.

42. Необходима ли публикация уведомления о разработке проекта о техническом регламенте?

1 – и да и нет;

2 – да – в информационной системе или электронной форме;

3 – на рассмотрение разработчика.

43. В чем заключается доступность проекта о техническом регламенте?

1 – предоставление копий публичное обсуждение не менее чем 2 месяца до опубликования;

2 – информация в СМИ;

3 – открытая печать, устная информация.

44. Как проводится уведомление о завершении публичного обсуждения проекта технического регламента?

1 – публикация с информацией об ознакомлении с проектом, перечень замечаний, доступность всех заинтересованных лиц;

2 – через СМИ и ограниченный круг лиц;

3 – перечень замечаний в кругу заинтересованных лиц.

45. Обязан ли федеральный орган исполнительной власти по техническому регулированию публиковать уведомления по проектам технических регламентов?

1 – нет;

2 – да;

3 – на усмотрение федерального органа.

46.Наличие каких документов необходимо для принятия проекта технического регламента?

1 – обоснование необходимости, финансово-экономическое обоснование, документы уведомления о публикации и их подтверждение, перечень замечаний;

2 – перечень документов законодательной инициативы;

3 – на усмотрение федерального органа по согласованию с разработчиком.

47.Порядок утверждения проекта закона о техническом регламенте?

1 – первое чтение Гос. Думы, публикация; принятие поправок; публикация Федеральным органом; второе чтение Гос. Думой отзыв в течение месяца;

2 – утверждение Федеральным органом и публикация в открытой печати;

3 – обсуждение заинтересованными лицами; замечания; утверждение Федеральным органом.

48. Как проводится экспертиза проектов технических регламентов?

1 – обсуждение в открытой печати;

2 – экспертиза комиссии, её заключение и публикация;

3 – закрытое обсуждение замечаний и утверждение регламентов.

49. Особый порядок принятия технических регламентов.

1 – в исключительных случаях Президент РФ издает регламент без его обсуждения. По условиям международного договора. Предварительное издание постановления Правительства РФ;

2 – только исключительное право президента;

3 – во всех исключительных случаях по процедуре принятия общих законов.

50.Законодательство и принципы стандартизации

51.Что такое стандарт?

1 – совокупность мер, направленных на унификацию производства;

2 – документ о характеристике продукции, требования терминологии, символика, упаковка и т.д.;

3 – разрешительная система регулирования процессов производства.

52. Что понимается под стандартизацией?

1 – деятельность по установлению правил и характеристик продукции, направленных на упорядоченность и её конкурентоспособность;

2 – система разрешения производства той или иной продукции, выполнение работ или услуг;

3 – система правильного применения стандартов, Гостов и т.д.

53. Перечислите основные цели стандартизации?

1 – повышение общего уровня различных отраслей производства;

2 – повышение уровня безопасности; обеспечение научно-технического прогресса; взаимозаменяемость продукции ;

3 – соответствие продукции требованиям стандартов.

54. Назовите основные принципы стандартизации?

1 – добровольность применения; учет законных интересов; применение международных стандартов; недопустимость создания препятствий производству; отсутствие противоречий техническим регламентам; единообразное применение стандартов;

2 – соблюдение основных требований стандартов, договоров, согласований при производстве продукции;

3 – производство только стандартизованной, узаконенной продукции.

55. Назовите основные документы в области стандартизации?

1 – международные и национальные стандарты, договора, соглашения;

2 – национальные стандарты, правила, нормы, рекомендации, классификации, классификаторы, стандарты организаций;

3 – вся документация по стандартизации.

56. Кто может быть разработчиком стандарта?

1 – любое лицо;

2 – любая организация;

3 – юридическое лицо.

57. Для чего нужно уведомление о разработке национального стандарта?

1 – для объективного обсуждения и законного принятия;

2 – для устранения противоречий и замечаний;

3 – для общей информации заинтересованных лиц.

58. Кто дорабатывает проект национального стандарта?

1 – специальная комиссия;

2 – разработчик с учетом замечаний;

3 – национальный орган по стандартизации.

59. Кто организует экспертизу стандартов?

1 – технический комитет по стандартизации;

2 – специальная межведомственная комиссия;

3 – федеральный орган исполнительной власти.

60. Что означает подтверждение соответствия?

1 – соответствие продукции ТУ или ТЗ;

2 – соблюдение требований, предъявляемых к объекту;

3 – документальное удостоверение соответствия продукции.

61.Что означают оценки соответствия?

1 – прямое или косвенное определение соблюдения требований к объекту;

2 – общая оценка продукции;

3 – соответствие продукции ТЗ или ТУ.

62. Что означает декларирование соответствия?

1 – заявки на выпускаемую продукцию;

2 – форма подтверждения соответствия продукции техническому регламенту;

3 – патент на изобретение, знак или полезную модель.

63. Что такое знак обращения на рынке?

1 – соответствие существенным признакам продукции;

2 – отличительный знак продукции;

3 – обозначение для приобретателей соответствия продукции.

64.Что означает знак соответствия?

1 – обозначение соответствия объекта требованиям добровольной сертификации или национальному стандарту;

2 – соответствие ТЗ или ТУ;

3 – соответствие требованиям качества продукции.

65.Что означает добровольное подтверждение соответствия?

1 – сертификат соответствия на объект или продукцию;

2 – осуществляется по инициативе заявителя на условиях договора и органом по сертификации;

3 – форма добровольной сертификации.

66. Основные принципы подтверждения соответствия?

1 – доступность информации, защита имущественных интересов заявителя, недопустимость обязательной сертификации над добровольной;

2 – желание и воля заявителя, права товаропроизводителя;

3 – соблюдение прав потребителя по качеству продукции.

67.Перечистите формы обязательной сертификации?

1 – наличие всей необходимой документации для сертификации;

2 – знак обращения и знак соответствия;

3 – декларация соответствия и обязательная сертификация.


68. Что означает декларирование соответствия?

1 – подтверждение соответствия продукции требованиям технического регламента с получением декларации;

2 – декларация и сертификация соответствия;

3 – знак соответствия объекта сертификации.

69. Кем осуществляется обязательная сертификация?

1 – экспертной комиссией;

2 – экспертом;

3 – органом сертификации.

70. Чем подтверждается обязательная сертификация?

1 – знаком обращения на рынке;

2 – сертификатом соответствия;

3 – знаком соответствия.

71. Кто является органом по сертификации?

72. Что существляется органом по сертификации?

1 – надзор над выдачей сертификатов и их отменой;

2 – испытания, контроль, прекращает действие сертификата;

3 – ведет всю подготовительную работу.

73. Для чего ведется единый реестр выданных сертификатов?

1 – для порядка ведения, выдачи, отмены и оплаты сертификатов на государственном уровне;

2 – для справок, составления каталогов, сертификатов;

3 – для формы контроля и отчетности.

74. Кем проводятся сертификационные испытания?

1 – специальными комиссиями;

2 – аккредитованными лабораториями (центрами);

3 – научно-исследовательскими институтами.

75. Как оформляются результаты испытаний?

1 – протоколом испытаний;

2 – актом испытаний;

3 – предложениями и рекомендациями.

76. Что такое знак обращения на рынке?

1 – сертификат соответствия;

2 – обозначение о соответствии продукции требованиям технических регламентов;

3 – соответствие сертификату или знаку соответствия.

77.. Кем устанавливается знак обращения на рынке?

1 – Правительством РФ;

2 – Государственной Думой;

3 – Законодательным собранием.

78.Общие положения ФЗ №5151-1«О сертификации продукции и услуг»

79. Основные понятия ФЗ №№5151-1«О сертификации продукции и услуг» 80. Основные цели аккредитации органов по сертификации и испытательных лабораторий (центров)?

1 – подтверждение компетентности, обеспечение доверия, создания условий для достоверной проверки или испытаний ;

2 – соответствие предъявленным требованиям качества;

3 – наличие необходимого набора приборов и оборудования.

81.Основные принципы органов сертификации и испытательных лабораторий?

1 – получение объективных показателей в соответствии со стандартными;

2 – добровольность, открытость, компетентность, обеспечение равных условий;

3 – независимость и государственный подход.

82.Что такое испытание?

1 – техническая операция установления характеристик продукции, процесса или услуги в соответствии с процедурой;

2 – проверка в лабораторных или полевых условиях;

3 – получение параметров и характеристик объекта.

83.Что обозначает область аккредитации центров или лабораторий?

1 – совокупность выполняемых работ;

2 – методы и способы оценки объектов;

3 – одна или несколько работ, на выполнение которых аккредитована данная организация.

84. Чем определяется область аккредитации?

1 – номенклатурой продукции, видами испытаний в соответствии с требованиями НД;

2 – перечнем функциональных обязанностей;

3 – наличием приборов, оборудования и условий.

85. На основе чего устанавливают методы испытаний?

1 – по договоренности с производителем;

2 – на основе стандартов, НД или процедуры;

3 – по соглашению сторон и органа сертификации.

86. Что включает процедура аккредитации?

1 – оформление и получение лицензии или сертификата;

2 – заявку, экспертизу документов, аттестацию лаборатории, оформление аттестата с выдачей аттестата;

3 – оценка комиссией полномочий лаборатории.

87. Для чего нужен государственный контроль (надзор)?

1 – для обеспечения порядка и дисциплины в испытательных лабораториях;

2 – соблюдения ГОСТов и НД;

3 – для соблюдений технических регламентов.

88.Кто осуществляет государственный контроль (надзор)?

1 – вышестоящими законодательными и исполнительными органами;

2 – специальными комиссиями;

3 – федеральный орган исполнительной власти, должностными лицами госконтроля.

89. Нормативная база сертификции программных средств защиты информации
  1. Положение об Испытательном Центре
  2. Сертификация криптографических средств защиты информации