защищенные программные средства обработки информации - Форум по вопросам информационной безопасности

Закон РФ "О государственной тайне" от 21.07.1993 N 5485-1 установил, что «средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности». Согласно «перечня средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности информации гостехкомиссии россии (N Росс Ru.0001.01БИ00)» утв. Приказом Гостехкомиссии от 27.10.95 N 119 в класс «защищенных программных средств обработки информации» входят: пакеты прикладных программ; программные средства, входящие в состав автоматизированных систем управления. Реестр сертифицированных средств защиты информации ФСТЭК России удостоверяет соответствие «защищенных программных средств обработки информации» требованиям «по защите сведений соответствующей степени секретности» в рамках Приказа председателя Гостехкомиссии России от 4 июня 1999 г. N 114.
ВОПРОС: Если совокупность «накладные средства защиты информации с подтвержденным соответствием требованиям по защите сведений соответствующей степени секретности» с семейством коммерческих не сертифицированных ФСТЭК России в рамках класса «защищенных программных средств обработки информации» операционных систем корпорации Microsoft образуют сертифицированную систему защиты информации. То в чем фишка использования «защищенных программных средств обработки информации» с подтверждением требования «по защите сведений соответствующей степени секретности» в рамках Приказа председателя Гостехкомиссии России от 4 июня 1999 г. N 114 в вышеописанной системе.

Для организации «разработчика и производителя» «защищенного программного средства обработки информации» наличие сертификата «обеспечивает уверенность для заинтересованных сторон в отношении согласованности, результативности и эффективности ее деятельности» /ГОСТ Р ИСО 9000-2015/

…уровень доверия являющейся обязательным при проведении работ по сертификации средств защиты информации, организуемым ФСТЭК России в пределах своих полномочий выше к операционным системам для персональных компьютеров и рабочих станций, разработанных корпорацией Microsoft чем к самостийным произведенным отечественными товаропроизводителями…

Сертификат 2317 на операционную систему «Альт Линукс СПТ 6.0» о соответствии ее требованиям документов: ТУ. (https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00)
СЗИ соответствует требованиям ТУ и ничего…

ОДНО СЗИ соответствует двум профилям защиты ОС и при этом функционирование ОС обеспечивается только на рекомендованном изготовителем ОС совместимом оборудовании.

Сертификат 2557 на операционную систему специального назначения «Astra Linux Special Edition о соответствии ее требованиям документов: Требования доверия(1), Требования к ОС, Профиль защиты ОС(А первого класса защиты. ИТ.ОС.А1.ПЗ), Профиль защиты ОС(А второго класса защиты. ИТ.ОС.А2.ПЗ) (https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00)
При этом:
…..ОС предоставляет следующие возможности:
- установку и функционирование на современных серверах и рабочих станциях на платформах с процессорной архитектурой x86-64, а также поддержку современного периферийного оборудования;
НО ПРИ ЭТОМ:
Для функционирования ОС необходима следующая минимальная конфигурация оборудования:
- аппаратная платформа — процессор с архитектурой x86-64 (AMD, Intel);
……………………..
Штатное, предусмотренное документацией, функционирование ОС обеспечивается только на рекомендованном изготовителем ОС совместимом оборудовании. Перечень рекомендуемого к применению оборудования, а также регламент сертификации на совместимость опубликованы на сайте……..

ИТОГО
Ве?ра - признание чего-либо истинным независимо от фактического или логического обоснования, преимущественно в силу самого характера отношения субъекта к предмету веры
Федеральный закон "О техническом регулировании" от 27.12.2002 N 184-ФЗ
подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, документам по стандартизации или условиям договоров
сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, документам по стандартизации или условиям договоров
сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, документам по стандартизации или условиям договоров

…Многие потребители ИТ из-за недостатка знаний, компетентности или ресурсов не будут уверены в безопасности применяемых продуктов и систем ИТ, и, возможно, не захотят полагаться исключительно на заверения разработчиков. Чтобы повысить свою уверенность в мерах безопасности продукта или системы ИТ, потребители могут заказать проведение анализа безопасности этого продукта или системы (т.е. оценку безопасности). /РД Безопасность информационных технологий. Критерии оценки безопасности информационных технологий