Добровольная система сертификации отрасли ИБ. 2012

"КАСКАД"Система добровольной сертификации

Рассматриваемые вопросы• Основание для создания• Условия создания• Существующие системы• Базовые принципы системы сертификации• Признание системы сертификации• Участники системы сертификации• Правовые вопросы• Классификация требований • Формирование требований • Порядок оценки соответствия• Способы получения сертификата• Институт декларации соответствия• Практическая польза для участников рынка ИБ• Шаги по созданию

Основные предпосылки создания добровольной системы сертификации в

области ИБ• Развитие отрасли ИБ в РФ и как следствие п.2.• Расширение сферы деятельности в области защиты

информации за пределами защиты государственной тайны в область защиты конфиденциальных данных бизнеса и конечных пользователей информационных систем.

• Либерализация законодательства в области ИБ в РФ и как следствие сужение области по обязательной сертификации.

• Предпосылки для использования бизнесом независимой оценки продукции для получения конкурентных преимуществ на рынке ИБ.

• "Кризис доверия" образовавшийся в отрасли ИБ в части независимых оценок продукции.

• Сложившийся "вакуум" за пределами обязательных систем сертификации, отсутствие альтернатив.

• Необходимость обеспечения устойчивого баланса между запросами динамичной IT-отрасли и статичностью действующих систем сертификации.

Признание как самой системы сертификации так и результатов оценок возможно при

условии:• Открытости процедур:формирования требований;методов и процедур оценки;формирования результатов оценки;формирования экспертных групп;сопровождения сертифицированной продукции и услуг.

• Доступности:документов определяющих порядок сертификации;документов содержащих требования к продукции и услугам;методов оценки и экспертных заключений;документов содержащих разъяснения результатов сертификации.

• Ответственном участии всех участников рынка ИБ в формировании и развитии системы сертификации.

• Взаимное признание результатов других/другими системами сертификации и экспертными сообществами.

Условия для создания• 1993-2002гг. - ФЗ "О сертификации

продукции и услуг" - утратил силу в связи с выходом ФЗ п.2.

• с 2002г. - ФЗ-184 "О техническом регулировании".

• ***.

Правовая база РФ предоставляет возможность создания добровольной системы сертификации:

ФЗ "О техническом регулировании"

• Применении и исполнении на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг.

• Оценке соответствия.

Федеральный закон регулирует отношения, возникающие при:

Определяет права и обязанности участников регулируемых настоящим Федеральным законом отношений. Вводит ряд определений так:

"Сертификация" - форма подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Существующие системы

• Система добровольной сертификации "ГАЗПРОМСЕРТ". Она создана ОАО "Газпром" приказом от 06 февраля 1999 г. № 10 (регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 г.). Ориентирована только на Газпром и его дочерние предприятия. За время существования выдано около 500 сертификатов. Практически все не относятся к средствм защиты информации.

• Система добровольной сертификации "АйТиСертифика". Она создана ассоциацией "ЕВРААС" (регистрационный № РОСС RU.М089.04ИТ00). За 4 года выдано 38 сертификатов.

• Система добровольной сертификации "Ecomex" (регистрационный № РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года в связи с чем широкого распространения она пока не получила.

В настоящее время существуют несколько добровольных систем сертификации:

Базовые принципы системы сертификации

• Доверие участников рынка ИБ в России.• Требования к продукции должны быть открытыми и

доступными для всех участников системы сертификации и представителей рынка ИБ.

• Порядок оценки соответствия должен быть прозрачным.• Оценка соответствия должна быть независимой.• Участники системы сертификации должны иметь

возможность принимать участие в её совершенствовании и развитии.

• Потребитель должен быть уверен в том, что наличие сертификата у продукта даёт практическую выгоду.

• Гибкость системы и готовность к адаптации с изменением правовой и экономической среды касающихся рынка ИБ.

• Отсутствие завышенных требований к участникам (лицензий).

Добровольная система может существовать только на принципах доверия всех участников системы сертификации и представителей рынка ИБ а так же баланса их интересов:

Участники системы сертификации

• Центральный Орган по сертификации.

• Экспертный совет системы сертификации.

• Заявители оценки соответствия - участники рынка ИБ.

• Эксперты системы сертификации - физ. лица.

• Испытательные центры - юр. лица.

• Учредители системы сертификации.

• Партнеры системы сертификации - юр. лица.

• Образовательные учреждения высшего и средне-специального уровня, повышения квалификации и т.п.

Порядок оценки соответствия

• Выбор требований и условий проведения сертификации.

• Консалтинг по вопросам проведения сертификации.

• Декларация соответствия.

• Проведение сертификации продукции и/или услуг.

• Экспертиза полученных результатов сертификации.

• Выпуск сертификата.

• Регистрация сертифицированной продукции и услуг.

• Сопровождение сертифицированной продукции включая процедуры отзыва сертификата.

Реализация базовых принципов предполагает следующий порядок сертификации продукции:

Классификация требований

• Международные стандарты и требования к продукции и оказываемым услугам.

• Требования аналогичные требованиям национальных регуляторов (ФСТЭК, ФСБ и т.д.) и других ведомств и систем сертификации.

• Требования систем обеспечения качества и производства продукции.

• Требования разработанные/доработанные участниками системы сертификации.

• Требования других нормативных документов (внутренние стандарты предприятий, отраслей, ТУ, и т.п.).

• Лучшие бизнес-практики в области ИБ (CISecurity и т.п.)• Необходимо отметить что введение оценочных уровней

доверия для большинства требований от декларации до независимой оценки должны расширить возможности системы сертификации.

Формирование требований

• Должны быть открытыми и доступными всем участникам рынка ИБ.

• Пройти ряд открытых экспертиз перед вступлением в силу.

• Должны получить признание участниками рынка ИБ.

• Должны соответствовать реалиям рынка ИБ.

• Должны быть предусмотрены процедуры их совершенствования, критики и отзыва.

• ***.

Формируемые требования должны отвечать следующим качествам:

Методы оценки и получения сертификата

• [Сертификат] = [Декларация Заявителя]+[Оценка Органа].

• [Сертификат] = [Декларация Заявителя]+[Проведение оценки своими силами]+[Оценка Органа].

• [Сертификат] = [Декларация Заявителя]+[Проведение оценки своими силами]+[Оценка независимыми экспертами]+[Оценка Органа].

• [Сертификат] = [Декларация Заявителя]+[Проведение оценки независимыми экспертами]+[Оценка независимыми экспертами]+[Оценка Органа].

Система сертификации должна предусмотреть не только набор требований и несколько способов получения сертификатов но и учитывать степень доверия по аналогии с ОУД в "общих критериях" где это возможно:

Декларация соответствия

• Декларация представляет собой документальное подтверждение соответствия продукции и/или услуг тем или иным требованиям.

• Декларация о соответствии - документ, удостоверяющий соответствие.

• Институт декларации должен предусматривать ответственность поставщика/производителя.

• Декларация является гарантией поставщика о соответствии продукции и/или услуг.

• Декларация должна быть доступной участникам рынка ИБ.• Декларация открывает возможность оценки/проверки

соответствия заявленным требованиям участниками рынка ИБ.

• Не соответствие продукции и/или услуг декларированным требованиям могут нанести ущерб репутации поставщика.

Институт декларации соответствия является базовым элементом формирования доверия: