Испытания на соответствие требованиям защищенности от несанкционированного доступа к информации

Целью испытаний является установление соответствия изделия заданным в Решении Федерального органа по сертификации СЗИ МО РФ требованиями защищенности от несанкционированного доступа к информации.

При испытаниях данного типа различают изделия, которые относятся к классу автоматизированных систем или комплексов средств автоматизации (в этом случае требования защищенности от НСД к информации формулируются в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», Гостехкомиссия России, 1992 г., далее по тексту РД АС) и изделия, которые рассматриваются Заявителем как относящиеся к классу средств вычислительной техники (в этом случае требования защищенности от НСД формулируются в соответствии с руководящим документом «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», Гостехкомиссия России, 1992г., далее по тексту РД СВТ).

Оценке в процессе сертификационных испытаний подлежат показатели защищенности и совокупность описывающих их требований, устанавливаемых для заданного класса защищенности (качественная характеристика).

Испытания должны с определенной степенью достоверности подтвердить факт того, что механизмы, атрибуты и функции безопасности способны обеспечивать выполнение политики безопасности, принятой в сертифицируемом изделии. Степень достоверности может быть установлена в отношении операций (действий), систем, операционных сред, компонентов или механизмов. Степень достоверности относится к требованиям и фактам, подтверждающим корректную работу и качество сервиса или механизма безопасности. Описание принятой в сертифицируемом изделии политики безопасности приводится в официальной эксплуатационной документации, входящей в комплект поставки изделия. Верификация соответствия политики безопасности заданным в ТТЗ на выполнения ОКР требованиям безопасности должна проводиться на этапе технического проектирования изделия.

Трудоемкость испытаний зависит от следующих факторов:

  1. Размера и сложности объекта сертификации (автоматизированной системы, комплекса средств автоматизации, средства вычислительной техники);
  2. Заданного класса защищенности;
  3. Средств безопасности, предназначенных для защиты объекта сертификации;
  4. Специфических методов и процедур, используемых в процессе испытаний для определения степени корректности реализации сервисов и механизмов безопасности.

Процесс испытаний по согласованию с Заявителем сертификационных испытаний и Федеральным органом по сертификации СЗИ МО РФ дополнительно может включать специальные мероприятия, проводимые с целью устранения недостатков средств защиты и уменьшения либо уничтожения известных и выявленных уязвимостей объекта сертификации.

Задача сертификационных испытаний изделия на соответствие требованиям защищенности от несанкционированного доступа к информации включает:

  1. Подготовку к проведению испытаний объекта сертификации;
  2. Проведение испытаний объекта сертификации;
  3. Документирование результатов испытаний.

Подготовка к проведению испытаний объекта сертификации включает сбор и анализ необходимых технологических и вспомогательных материалов, технических требований к объекту сертификации, конструкторской, программной и эксплуатационной документации, содержащей сведения о реализации средств (сервисов, механизмов) защиты, и результатах государственных испытаний объекта сертификации. Подготовка также включает выбор, а при необходимости разработку специальных методов и процедур испытаний, и определение требований к стенду испытаний.

Испытания проводятся в соответствии с утвержденными Федеральным органом по сертификации СЗИ МО РФ Программой и Методикой испытаний.

Результаты испытаний оформляются соответствующим протоколом, содержащим следующие сведения:

  1. Точное, четкое, недвусмысленное, обоснованное и объективное заключение по каждой проверке, предусмотренной Методикой испытаний;
  2. Вывод по результатам испытаний, содержащий определение того, насколько средства (сервисы, механизмы) защиты корректно реализованы, штатно функционируют и дают желаемые результаты функционирования с учетом требований, предъявленных к объекту сертификации;
  3. Рекомендации для устранения недостатков средств (сервисов, механизмов) защиты и уменьшения либо уничтожения идентифицированных уязвимостей.