2. Рассматриваемые вопросы
• Основание для создания
• Условия создания
• Существующие системы
• Базовые принципы системы сертификации
• Признание системы сертификации
• Участники системы сертификации
• Правовые вопросы
• Классификация требований
• Формирование требований
• Порядок оценки соответствия
• Способы получения сертификата
• Институт декларации соответствия
• Практическая польза для участников рынка ИБ
• Шаги по созданию
3. Основные предпосылки создания добровольной
системы сертификации в области ИБ
• Развитие отрасли ИБ в РФ и как следствие п.2.
• Расширение сферы деятельности в области защиты информации за
пределами защиты государственной тайны в область защиты
конфиденциальных данных бизнеса и конечных пользователей
информационных систем.
• Либерализация законодательства в области ИБ в РФ и как следствие
сужение области по обязательной сертификации.
• Предпосылки для использования бизнесом независимой оценки
продукции для получения конкурентных преимуществ на рынке ИБ.
• "Кризис доверия" образовавшийся в отрасли ИБ в части независимых
оценок продукции.
• Сложившийся "вакуум" за пределами обязательных систем
сертификации, отсутствие альтернатив.
• Необходимость обеспечения устойчивого баланса между запросами
динамичной IT-отрасли и статичностью действующих систем
сертификации.
4. Признание как самой системы сертификации так и
результатов оценок возможно при условии:
• Открытости процедур:
формирования требований;
методов и процедур оценки;
формирования результатов оценки;
формирования экспертных групп;
сопровождения сертифицированной продукции и услуг.
• Доступности:
документов определяющих порядок сертификации;
документов содержащих требования к продукции и услугам;
методов оценки и экспертных заключений;
документов содержащих разъяснения результатов сертификации.
• Ответственном участии всех участников рынка ИБ в формировании и
развитии системы сертификации.
• Взаимное признание результатов других/другими системами
сертификации и экспертными сообществами.
5. Условия для создания
• 1993-2002гг. - ФЗ "О сертификации продукции и
услуг" - утратил силу в связи с выходом ФЗ п.2.
• с 2002г. - ФЗ-184 "О техническом регулировании".
• ***.
Правовая база РФ предоставляет возможность
создания добровольной системы сертификации:
6. ФЗ "О техническом регулировании"
• Применении и исполнении на добровольной основе требований к
продукции, процессам проектирования (включая изыскания),
производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации и утилизации, выполнению работ
или оказанию услуг.
• Оценке соответствия.
Федеральный закон регулирует отношения,
возникающие при:
Определяет права и обязанности участников регулируемых
настоящим Федеральным законом отношений. Вводит ряд
определений так:
"Сертификация" - форма подтверждения соответствия объектов
требованиям технических регламентов, положениям стандартов,
сводов правил или условиям договоров.
7. Существующие системы
• Система добровольной сертификации "ГАЗПРОМСЕРТ". Она
создана ОАО "Газпром" приказом от 06 февраля 1999 г. № 10
(регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 г.).
Ориентирована только на Газпром и его дочерние предприятия.
За время существования выдано около 500
сертификатов. Практически все не относятся к средствм защиты
информации.
• Система добровольной сертификации "АйТиСертифика". Она
создана ассоциацией "ЕВРААС" (регистрационный № РОСС
RU.М089.04ИТ00). За 4 года выдано 38 сертификатов.
• Система добровольной сертификации "Ecomex"
(регистрационный № РОСС RU.З680.04УЭТ0). Данная система
сертификации создана в сентябре 2010 года в связи с чем
широкого распространения она пока не получила.
В настоящее время существуют несколько добровольных
систем сертификации:
8. Базовые принципы системы сертификации
• Доверие участников рынка ИБ в России.
• Требования к продукции должны быть открытыми и доступными
для всех участников системы сертификации и представителей
рынка ИБ.
• Порядок оценки соответствия должен быть прозрачным.
• Оценка соответствия должна быть независимой.
• Участники системы сертификации должны иметь возможность
принимать участие в её совершенствовании и развитии.
• Потребитель должен быть уверен в том, что наличие сертификата у
продукта даёт практическую выгоду.
• Гибкость системы и готовность к адаптации с изменением правовой
и экономической среды касающихся рынка ИБ.
• Отсутствие завышенных требований к участникам (лицензий).
Добровольная система может существовать только на принципах
доверия всех участников системы сертификации и
представителей рынка ИБ а так же баланса их интересов:
9. Участники системы сертификации
• Центральный Орган по сертификации.
• Экспертный совет системы сертификации.
• Заявители оценки соответствия - участники рынка ИБ.
• Эксперты системы сертификации - физ. лица.
• Испытательные центры - юр. лица.
• Учредители системы сертификации.
• Партнеры системы сертификации - юр. лица.
• Образовательные учреждения высшего и средне-
специального уровня, повышения квалификации и т.п.
10. Порядок оценки соответствия
• Выбор требований и условий проведения сертификации.
• Консалтинг по вопросам проведения сертификации.
• Декларация соответствия.
• Проведение сертификации продукции и/или услуг.
• Экспертиза полученных результатов сертификации.
• Выпуск сертификата.
• Регистрация сертифицированной продукции и услуг.
• Сопровождение сертифицированной продукции включая
процедуры отзыва сертификата.
Реализация базовых принципов предполагает следующий
порядок сертификации продукции:
11. Классификация требований
• Международные стандарты и требования к продукции
и оказываемым услугам.
• Требования аналогичные требованиям национальных регуляторов
(ФСТЭК, ФСБ и т.д.) и других ведомств и систем сертификации.
• Требования систем обеспечения качества и производства продукции.
• Требования разработанные/доработанные участниками системы
сертификации.
• Требования других нормативных документов (внутренние стандарты
предприятий, отраслей, ТУ, и т.п.).
• Лучшие бизнес-практики в области ИБ (CISecurity и т.п.)
• Необходимо отметить что введение оценочных уровней доверия для
большинства требований от декларации до независимой оценки
должны расширить возможности системы сертификации.
12. Формирование требований
• Должны быть открытыми и доступными всем участникам
рынка ИБ.
• Пройти ряд открытых экспертиз перед вступлением в силу.
• Должны получить признание участниками рынка ИБ.
• Должны соответствовать реалиям рынка ИБ.
• Должны быть предусмотрены процедуры их
совершенствования, критики и отзыва.
• ***.
Формируемые требования должны отвечать
следующим качествам:
13. Методы оценки и получения сертификата
• [Сертификат] = [Декларация Заявителя]+[Оценка Органа].
• [Сертификат] = [Декларация Заявителя]+[Проведение оценки
своими силами]+[Оценка Органа].
• [Сертификат] = [Декларация Заявителя]+[Проведение оценки
своими силами]+[Оценка независимыми экспертами]+[Оценка
Органа].
• [Сертификат] = [Декларация Заявителя]+[Проведение оценки
независимыми экспертами]+[Оценка независимыми
экспертами]+[Оценка Органа].
Система сертификации должна предусмотреть не только набор
требований и несколько способов получения сертификатов но и
учитывать степень доверия по аналогии с ОУД в "общих
критериях" где это возможно:
14. Декларация соответствия
• Декларация представляет собой документальное подтверждение
соответствия продукции и/или услуг тем или иным требованиям.
• Декларация о соответствии - документ, удостоверяющий
соответствие.
• Институт декларации должен предусматривать ответственность
поставщика/производителя.
• Декларация является гарантией поставщика о соответствии
продукции и/или услуг.
• Декларация должна быть доступной участникам рынка ИБ.
• Декларация открывает возможность оценки/проверки соответствия
заявленным требованиям участниками рынка ИБ.
• Не соответствие продукции и/или услуг декларированным
требованиям могут нанести ущерб репутации поставщика.
Институт декларации соответствия является базовым
элементом формирования доверия: