Что такое уровни доверия ФСТЭК России? 1 Вернуться в блог
Что такое уровни доверия ФСТЭК России? 2

Что такое уровни доверия ФСТЭК России?

Для компаний, разрабатывающих средства защиты информации (СЗИ), основой классификацией служат требования к уровням доверия.

Для компаний, разрабатывающих средства защиты информации (СЗИ), основой классификацией служат требования к уровням доверия. Они утверждены приказом №76 ФСТЭК России от 2 июня 2020 года (далее приказ №76).

«Требования устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа, а также для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Классификация уровней доверия ФСТЭК России

В требованиях, установлено 6 уровней доверия, где самый низкий — шестой, а самый высокий — первый. 

Рассмотрим подробно с 6 по 4 уровни доверия. Информация с 3 по 1 не подлежит свободному распространению согласно Федеральному закону "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ.

В приказе №76 приведена таблица, в которой рассматриваются  требования к уровням доверия:

   • Не предъявляются требования к проведению анализа скрытых каналов в средстве на 6 и 5 уровнях доверия. Для 4 уровня доверия требуется выявить и проанализировать скрытые каналы утечки через память. Это ресурсы, куда записывается защищаемая информация, которые не учтены разработчиками СЗИ и не выявляются штатными средствами защиты.

   • Одинаковые для 6, 5 и 4 уровней доверия. К ним относятся требования к:
       ◦ проектированию архитектуры безопасности средства;
       ◦ проектированию средства;
       ◦ средствам разработки, применяемым для создания средства;
       ◦ разработке эксплуатационной документации;
       ◦ документированию процедур устранения недостатков и обновления средства;
       ◦ информированию об окончании производства и (или) поддержки безопасности средства.

К разработке документации по безопасной разработке средства предъявляются одинаковые требования только для 6 и 5 уровней доверия. Для 4 уровня доверия они усиливаются. В них входят не только требования предыдущих уровней, но и разработка документации по безопасной разработке аппаратной платформы средства. Она включает описание организационных и технических мер безопасности, применяемых в среде разработки аппаратной платформы средства для защиты целостности проектной документации и её самой.

   • Требования, которые усиливаются от уровня к уровню:
       ◦ к разработке функциональной спецификации средства;
       ◦ к разработке проектной (программной) документации;
       ◦ к управлению конфигурацией средства;
       ◦ к тестированию средства;
       ◦ к испытаниям по выявлению уязвимостей и недекларированных возможностей средства;
       ◦ к устранению недостатков средства;
       ◦ к обновлению средства.

Например, разберем требование к тестированию средства на 6, 5 и 4 уровнях доверия.

На 6 уровне доверия тестовая документация на средство, п. 18.1 приказа № 76, должна включать: 
   • план тестирования, содержащий тесты, которые необходимо выполнить;
   • описание сценариев проведения каждого теста, учитывающее зависимости последовательности выполнения тестов от результатов других тестов;
   • описание ресурсов, необходимых для проведения тестирования;
   • описание сопоставления тестов с интерфейсами функций безопасности средства, описанными в функциональной спецификации, демонстрирующее их полное покрытие тестами;
   • описание ожидаемых результатов тестирования, свидетельствующих об успешности выполнения тестов;
   • описание фактических результатов тестирования, их сопоставление с ожидаемыми результатами тестирования и на его основе – выводы об успешности тестов.

На 5 уровне доверия тестовая документация на средство, п.18.2 приказа № 76, включает в себя требования пункта 18.1, а также описание сопоставления тестов с подсистемами средства, описанными в эскизном проекте, демонстрирующее их полное покрытие тестами. При тестировании средства оценивается, как его подсистемы влияют на те компоненты, которые реализуют функции безопасности. 

На 4 уровне доверия тестовая документация на средство, п.18.3 приказа №76, помимо требований из пунктов 18.1 и 18.2 включает описание сопоставления тестов с модулями средства, реализующими функции безопасности и описанными в техническом проекте, демонстрирующее полное покрытие тестами функций безопасности. При тестировании средства оценивается влияние других модулей на те, которые реализуют функции безопасности.

Уровни доверия с 3 по 1 предназначены для защиты информации составляющей государственную тайну.

Где применяются уровни доверия ФСТЭК России?

В зависимости от уровня доверия ФСТЭК решения могут применяться для:
   • защищенных объектов критической информационной инфраструктуры (ЗОКИИ);
   • государственных информационных систем (ГИС);
   • автоматизированных систем управления технологическими процессами (АСУ ТП);
   • информационных систем персональных данных (ИСПДн).

Что значит 4 уровень доверия ФСТЭК России в ОС «Альт СП»?

Прохождение процедуры сертификации и полученный документ подтверждают, что комплекс средств защиты программного изделия «Альт СП» соответствует требованиям нормативных и методических документов ФСТЭК России для присвоения продукту необходимого уровня доверия.

Сертифицированная ФСТЭК России операционная система «Альт СП» соответствует следующим требованиям:

   • «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» утверждены приказом ФСТЭК России № 76 от 02.06.2020 г. по 4 уровню доверия.
   • «Требования безопасности информации к операционным системам», утверждённые приказом ФСТЭК России от 19 августа 2016 года №119.
   • «Профиль защиты операционных систем типа «А» четвёртого класса защиты. ИТ.ОС.А4.ПЗ», утверждённый Федеральной службой по техническому и экспортному контролю 8 февраля 2017 года.
   • «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты.
   • «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты.
   • «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты.

В информационной безопасности защита не должна мешать работе пользователя. Меры, направленные на обеспечение доступности, целостности и конфиденциальности данных требуют соблюдения определённых принципов, принятия определённых мер, использования подходящих средств защиты и обучения сотрудников.