Система сертификации средств защиты информации в Российской Федерации и её применение

    Сертификация  средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством РФ и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны .В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

    Участниками сертификации средств  защиты информации являются:

    -    федеральный орган по сертификации;

    - органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;

    - испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;

    -    изготовители - продавцы, исполнители продукции.

    Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

    Федеральный орган по сертификации создает системы  сертификации осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов. Устанавливает правила

аккредитации  центральных органов систем сертификации, органов по сертификации средств  защиты информации и испытательных лабораторий.

      Выдает сертификаты и лицензии на применение знака соответствия и

ведет государственный реестр участников сертификации и сертифицированных средств защиты информации.

    Осуществляет  контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля.

      Рассматривает апелляции по вопросам сертификации;

представляет  на государственную регистрацию в Комитет РФ по стандартизации, метрологии и сертификации системы сертификации и знак соответствия. Устанавливает порядок признания зарубежных сертификатов.

Приостанавливает или отменяет действие выданных сертификатов.

    Организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации.

      Ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия. Сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет.

    Принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации. Формируют фонд нормативных документов, необходимых для сертификации.

    По  результатам испытаний оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям. Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.

Изготовители производят (реализуют) средства защиты информации только при наличии сертификата, извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации.

    Маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;

указывают в сопроводительной технической  документации сведения о сертификации и нормативных документах, которым  средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя.

    Для данной системы сертификации, обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации. Обеспечивают беспрепятственное выполнение своих полномочий дожностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации.

    Прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.

    Изготовитель  для получения сертификата направляет в орган по сертификации средств  защиты информации заявку на проведение сертификации, к которой могут  быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации.

    Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации о проведении и сроках предварительной проверки производства средств защиты информации.

    Для признания зарубежного сертификата  изготовитель направляет его копию  и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.

    Основными схемами проведения сертификации средств защиты информации являются:

         для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;

    для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе. Срок действия сертификата не может превышать пяти лет. 

Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствовать образцам, поставляемым потребителю (заказчику). В случае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации средств защиты информации определяет возможность, место и условия проведения испытаний, обеспечивающие объективность их результатов. При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение.

    Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или  аннулировать действие сертификата  в следующих случаях:

    - изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;

    - изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;

    - отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.

      Порядок оплаты работ по обязательной  сертификации средств защиты  информации определяется федеральным  органом по сертификации по  согласованию с Министерством  финансов Российской Федерации.  Оплата работ по сертификации  конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.

    Органы, осуществляющие сертификацию средств  защиты информации, несут ответственность, установленную законодательством РФ, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдением авторских прав изготовителя при сертификационных испытаниях средств защиты информации. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Заключение.

    1) Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством РФ. Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

    Использование в Указе «защищенные технические  средства хранение, обработку и передачи информации» дает возможность толкования исключительности функций ФАПСИ. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет ФСТЭК, а в части разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах. Устанавливается организационная структура системы сертификации средств защиты информации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации.

     2) Руководство определяет содержание и порядок осуществления мероприятий по защите информации, содержащей сведения, отнесённые в установленном порядке к государственной или служебной тайне. Мероприятия по  защите информации должны быть увязаны с мероприятиями по легендированию объектов и режиму секретности. Конкретная цель, которая должна быть достигнута в результате проведения мероприятий  по  защите  информации  (охраняемых сведений) об объекте, замысел достижения этой цели и приводится перечень охраняемых сведений  об объекте и его деятельности.

    Государственная система защиты информации как система  более сложная, включает в себя подсистемы лицензирования деятельности предприятий  в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.

     3)Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации. Получение лицензии ФСТЭК на право осуществлять техническую защиту конфиденциальной информации возможно только после проведения детального обследования объекта.

    Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.