Сертификация средств защиты и персональные данные. Мифы о сертификации средств защиты информации (СЗИ)
Одним из обязательных условий получения лицензии на работу с государственной тайной является наличие в организации сертифицированных средств защиты информации.
Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации основной функции – защиты информации на основании государственных стандартов и требований по безопасности информации . Применительно к сведениям, составляющим государственную тайну, общие принципы организации сертификации средств защиты информации определены нормами статьи 28 Закона РФ "О государственной тайне" – средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Федеральное агентство контроля экспорта и технологий, Министерство обороны РФ в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ. Одним из основных руководящих документов по сертификации защиты информации в настоящее время является Положение о сертификации средств защиты информации, утвержденное Постановлением Правительства РФ от 25.06.95 г. № 608, реализующим нормы Закона РФ "О сертификации продукции и услуг".
Порядок проведения сертификации основан на следующих принципах :
1. Обязанность сертификации изделий, обеспечивающих защиту государственной тайны.
2. Обязательность использования криптографических алгоритмов, являющихся стандартами.
3. Принятие на сертификацию только изделий от заявителей, имеющих лицензию.
Таким образом, в соответствии с вышеназванными документами разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации; государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в т.ч. электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата.
Осуществляется следующий порядок сертификации (рис. 4.2.):
1. В Центральный орган по сертификации (орган, аккредитованный ФСТЭК России) подается заявление и полный комплект технической документации.
2.Центральный орган назначает испытательный центр (лабораторию) для проведения испытания.
3. Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром.
4. Сертификация (экспертиза материалов и подготовка документов для выдачи) осуществляется Центральным органом. Сертификат выдается на срок до 5 лет.
Кроме указанных целей, сертификация средств защиты информации необходима также для решения вопросов экономической безопасности организации в связи с постоянным ростом компьютерных преступлений. Правовой основой предупреждения компьютерных преступлений является Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03.04.95 г. Приведем некоторые выдержки из данного указа:
· государственным организациям и предприятиям запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата;
· запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата;
· запретить деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии;
· запретить ввоз на территорию России не лицензированных шифровальных средств и защищенной техники иностранного производства.
После получения сертификата на право оказания услуг за организацией осуществляется государственный контроль (надзор) по соблюдению требований технических регламентов.
Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации федеральный орган по сертификации и аттестации, которым является ФСТЭК России.
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну и ведения секретных переговоров.
Аттестация предусматривает комплексную проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса меp и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Литература
1. Аверченков, В.И. Аудит информационной безопасности: учеб. пособие/В.И. Аверченков. – Брянск: БГТУ, 2005 – 269 с.
2. Аверченков, В.И. Организационная защита информации: учеб. пособие/В.И. Аверченков, М.Ю. Рытов – Брянск: БГТУ, 2005 – 184с.
3. Аверченков, В.И., Служба защиты информации: организация и управление: учеб. пособие / В.И. Аверченков, М.Ю. Рытов – Брянск: БГТУ, 2005 – 186с.
4. Аверченков, В.И. Система обеспечения безопасности Российской Федерации: учеб. пособие / В.И. Аверченков, В.В. Ерохин. – Брянск: БГТУ, 2005. – 120 с.
5. Аверченков, В.И. Системы защиты информации в ведущих зарубежных странах: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов, Г.В. Кондрашин, М.В. Рудановский. – Брянск: БГТУ, 2007. – 225 с
6. Домарев, В.В. Безопасность информационных технологий. Системный подход / В.В. Домарев – Киев: ООО «ТиД», 2004. – 914с.
7. Медведовский, И.Д. Практическое применение международного стандарта безопасности информационных систем ISO 17799 www.dsec.ru/cd-courses/iso 17799 cd.php/
8. Петренко, С.А. Аудит безопасности Iuranrt / С.А. Петренко, А.А.Петренко – М: Академии АиТи: ДМК Пресс, 2002. – 438с.
9. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность/ С.А. Петренко, С.В. Симонов – М: Академия АиТи: ДМК Пресс, 2004. – 384с.
10. Покровский, П. Оценка информационных рисков/ П. Покровский – 2004. – №10. Изд-во «Открытые системы» (www.osp.ru).
11. Семкин, С.И. Основы организационного обеспечения информационной безопасности объектов информатизации: учеб. пособие. / С.И. Семкин, Э.В. Беляков, С.В. Гребнев, В.И. Козичок – М: Гелиос АРВ, 2005 – 192 с.
13. www.rg.ru – Интернет-сайт «Российской Газеты».
14. www.fstek.ru - Официальный сайт ФСТЭК России.
15. www.fsb.ru - Официальный сайт ФСБ России.
16. www.egovernment.ru - Интернет - журнал “Информационная безопасность”.
17. www.gtk.lissi.ru - Официальные документы Гостехкомисссии России.
18. www.gdezakon.ru - Интернет - сайт “Полное собрание законов России”.
19. www.law.yarovoiy.com - - Интернет - сайт “Все законы России”.
20. Галатенко, А. Активный аудит/ А. Галатенко // Jet Info on line.– 1999.– №8(75). article 1.8. 1999……
21. Гузик, С. Зачем проводить аудит информационных систем? /С. Гузик // Jet Info on line. – 2000. – 10 (89). articlel.10.2000.
22. Кобзарев, М Методология оценки безопасности информационных технологий по общим критериям / М. Кобзарев, А. Сидак // Jet Info on line. – 2004. – 6 (133). article 1.6.2004.
23. Петренко, С Информационная безопасность: Экономические аспекты / С. Петренко, С. Симонов, Р. Кислов // Jet Info on line. – 2003 – №10 (125). article 1.10.2003.
©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-08-07
Согласно Закону Российской Федерации «О государственной тайне» средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Кроме того, в соответствии с «Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам» (постановление Совета Министров - Правительства Российской Федерации от 15.09.1993 № 912-51) информация, содержащая сведения, отнесённые к государственной или служебной тайне, должна обрабатываться с использованием защищённых систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке. Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесённые к государственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия принимаемых методов, мер и средств защиты требуемому уровню безопасности информации.
Также следует отметить, что согласно требованиям «Положения о лицензировании деятельности по технической защите конфиденциальной информации» (постановление Правительства Российской Федерации от 3.02.2012 № 79) допускается использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации. Не невыполнение данных требований является грубым нарушением лицензионных требований и условий.
В «Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17.11.2007 № 781) сказано, что средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
В Указе Президента Российской Федерации от 17.03.2008 № 351 сказано, что:
при необходимости подключения информационных систем, информационно телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия
государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю;
размещение технических средств, подключаемых к информационно телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется только при наличии сертификата , разрешающего эксплуатацию таких технических средств в указанных помещениях.
В постановлении Правительства Российской Федерации от 18.05.2009 № 424 сказано, что:
операторы федеральных государственных информационных систем, созданныхили используемых в целях реализации полномочий федеральных органов исполнительной власти и содержащих сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно телекоммуникационной сети Интернет, утверждённом постановлением Правительства Российской Федерации от 12 февраля 2003 г. № 98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (далее - информационные системы общего пользования), при подключении информационных систем общего пользования к информационно телекоммуникационным сетям, доступ к которым не ограничен определённым кругом лиц, обязаны обеспечить: использование при подключении информационных систем общего пользования к информационно телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаяхсертификацию ), в порядке, установленном законодательством Российской Федерации.
В постановлении Правительства Российской Федерации от 15.05.2010 № 330 сказано, что аккредитация органа по сертификации и испытательной лаборатории (центра), выполняющих работы по подтверждению соответствия продукции (работ, услуг), указанной в пункте 2 настоящего постановления, осуществляется органом по аккредитации в установленном законодательством Российской Федерации порядке при условии наличия у органа по сертификации и испытательной лаборатории (центра): автоматизированных систем, обрабатывающих информацию ограниченного доступа, а также средств её защиты, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации.
В остальных случаях сертификация и аттестация носят добровольный характер (добровольная сертификация и аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
В Федеральном законе от 27.12.2002 № 184-ФЗ «О техническом регулировании » даны следующие определения:
оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров;
сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров;
декларирование соответствия - форма подтверждения соответствия продукции требованиям технических регламентов;
технический регламент - документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или межправительственным соглашением, заключённым в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям или к связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации);
форма подтверждения соответствия - определённый порядок документального удостоверения соответствия продукции или иных объектов,процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
схема подтверждения соответствия - перечень действий участников подтверждения соответствия, результаты которых рассматриваются ими в качестве доказательств соответствия продукции и иных объектов установленным требованиям.
Подтверждение соответствия осуществляется в целях:
удостоверения соответствия продукции, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов техническим регламентам, стандартам, сводам правил, условиям договоров;
содействия приобретателям в компетентном выборе продукции, работ, услуг;
повышения конкурентоспособности продукции, работ, услуг на российском и международном рынках;
создания условий для обеспечения свободного перемещения товаров по территории Российской Федерации, а также для осуществления международного экономического, научно-технического сотрудничества и международной торговли.
Подтверждение соответствия осуществляется на основе принципов:
доступности информации о порядке осуществления подтверждения соответствия заинтересованным лицам;
недопустимости применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов;
установления перечня форм и схем обязательного подтверждения соответствия в отношении определённых видов продукции в соответствующем техническом регламенте;
уменьшения сроков осуществления обязательного подтверждения соответствия и затрат заявителя;
недопустимости принуждения к осуществлению добровольного подтверждения соответствия, в том числе в определённой системе добровольной сертификации;
защиты имущественных интересов заявителей, соблюдения коммерческой тайны в отношении сведений, полученных при осуществлении подтверждения соответствия;
недопустимости подмены обязательного подтверждения соответствия добровольной сертификацией.
Подтверждение соответствия разрабатывается и применяется равным образом и в равной мере независимо от страны и (или) места происхождения продукции, осуществления процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ и оказания услуг, видов или особенностей сделок и (или) лиц, которые являются изготовителями, исполнителями, продавцами, приобретателями.
Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
Обязательное подтверждение соответствия осуществляется в формах:
обязательной сертификации.
Порядок применения форм обязательного подтверждения соответствия устанавливается Федеральным законом «О техническом регулировании».
В отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции и указанных объектов обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами). Особенности оценки соответствия указанной продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации.
Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия (в том числе в техническом регламенте могут содержаться схемы подтверждения соответствия, порядок продления срока действия выданного сертификата соответствия), определяемые с учетом степени риска, предельные сроки оценки соответствия в отношении каждого объекта технического регулирования и (или) требования к терминологии, упаковке, маркировке или этикеткам и правилам их нанесения. Технический регламент должен содержать требования энергетической эффективности.
Оценка соответствия проводится в формах:
государственного контроля (надзора);
аккредитации;
испытания;
регистрации;
подтверждения соответствия;
приёмки и ввода в эксплуатацию объекта, строительство которого закончено;
в иной форме.
Не включённые в технические регламенты требования к продукции или к связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, правилам и формам оценки соответствия, правила идентификации, требования к терминологии, упаковке, маркировке или этикеткам и правилам их нанесения не могут носить обязательный характер.
Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации.
Форма и схемы обязательного подтверждения соответствия могут устанавливаться только техническим регламентом с учётом степени риска недостижения целей технических регламентов.
Декларация о соответствии и сертификат соответствия имеют равную юридическую силу и действуют на всей территории Российской Федерации в отношении каждой единицы продукции, выпускаемой в обращение на территории Российской Федерации во время действия декларации о соответствии или сертификата соответствия, в течение срока годности или срока службы продукции, установленных в соответствии с законодательством Российской Федерации.
Работы по обязательному подтверждению соответствия подлежат оплате на основании договора с заявителем. Стоимость работ по обязательному подтверждению соответствия продукции определяется независимо от страны и (или) места её происхождения, а также лиц, которые являются заявителями.
Декларирование соответствия осуществляется по одной из следующих схем:
принятие декларации о соответствии на основании собственных доказательств;
принятие декларации о соответствии на основании собственных доказательств,доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее - третья сторона).
При декларировании соответствия заявителем может быть зарегистрированные в соответствии с законодательством Российской Федерации на её территории юридическое лицо или физическое лицо в качестве индивидуального предпринимателя, либо являющиеся изготовителем или продавцом, либо выполняющие функции иностранного изготовителя на основании договора с ним в части обеспечения соответствия поставляемой продукции требованиям технических регламентов и в части ответственности за несоответствие поставляемой продукции требованиям технических регламентов (лицо, выполняющее функции иностранного изготовителя). Круг заявителей устанавливается соответствующим техническим регламентом. Схема декларирования соответствия с участием третьей стороны устанавливается в техническом регламенте в случае, если отсутствие третьей стороны приводит к недостижению целей подтверждения соответствия.
При декларировании соответствия на основании собственных доказательств заявитель самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технических регламентов. В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технических регламентов. Состав доказательственных материалов определяется соответствующим техническим регламентом.
При декларировании соответствия на основании собственных доказательств и полученных с участием третьей стороны доказательств заявитель по своему выбору в дополнение к собственным доказательствам:
включает в доказательственные материалы протоколы исследований (испытаний)и измерений, проведённых в аккредитованной испытательной лаборатории (центре);
предоставляет сертификат системы качества, в отношении которого предусматривается контроль (надзор) органа по сертификации, выдавшего данный сертификат, за объектом сертификации.
Сертификат системы качества может использоваться в составе доказательств при принятии декларации о соответствии любой продукции, за исключением случая, если для такой продукции техническими регламентами предусмотрена иная форма подтверждения соответствия.
Декларация о соответствии оформляется на русском языке и должна содержать:
наименование и местонахождение изготовителя;
информацию об объекте подтверждения соответствия, позволяющуюидентифицировать этот объект;
наименование технического регламента, на соответствие требованиям которого подтверждается продукция;
указание на схему декларирования соответствия;
заявление заявителя о безопасности продукции при её использовании в соответствии с целевым назначением и принятии заявителем мер по обеспечению соответствия продукции требованиям технических регламентов;
сведения о проведённых исследованиях (испытаниях) и измерениях, сертификате системы качества, а также документах, послуживших основанием для подтверждения соответствия продукции требованиям технических регламентов;
срок действия декларации о соответствии;
иные предусмотренные соответствующими техническими регламентами сведения.
Срок действия декларации о соответствии определяется техническим регламентом. Форма декларации о соответствии утверждается федеральным органом исполнительной власти по техническому регулированию.
Оформленная заявителем декларация о соответствии подлежит регистрации в едином реестре деклараций о соответствии в течение трёх дней. Порядок формирования и ведения единого реестра деклараций о соответствии, порядок регистрации деклараций о соответствии, предоставления содержащихся в указанном реестре сведений определяются уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.
Обязательная сертификация осуществляется органом по сертификации на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определённых видов продукции, устанавливаются соответствующим техническим регламентом.
Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.
Сертификат соответствия включает в себя:
наименование и местонахождение заявителя;
наименование и местонахождение изготовителя продукции, прошедшей сертификацию;
наименование и местонахождение органа по сертификации, выдавшего сертификат соответствия;
информацию об объекте сертификации, позволяющую идентифицировать этот объект;
наименование технического регламента, на соответствие требованиям которого проводилась сертификация;
информацию о проведённых исследованиях (испытаниях) и измерениях;
информацию о документах, представленных заявителем в орган по сертификации в качестве доказательств соответствия продукции требованиям технических регламентов;
срок действия сертификата соответствия.
Срок действия сертификата соответствия определяется соответствующим техническим регламентом. Форма сертификата соответствия утверждается федеральным органом исполнительной власти по техническому регулированию.
Обязательная сертификация осуществляется органом по сертификации, аккредитованным в порядке, установленном Правительством Российской Федерации.
В соответствии с действующим законодательством обязательная сертификация проводится в рамках систем сертификации средств защиты информации, созданных федеральными органами исполнительной власти, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определённой для них законодательными и иными нормативными правовыми актами Российской Федерации. В качестве таких нормативных правовых актов следует отметить:
Постановление Правительства Российской Федерации от 26.06.1995 № 608«О сертификации средств защиты информации»;
Постановление Правительства Российской Федерации от 21.04.2010 № 266 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов её проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации»;
Постановление Правительства Российской Федерации от 15.05.2010 № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов её проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)».
Согласно требованиям Постановления Правительства Российской Федерации от 26.06.1995 № 608 «О сертификации средств защиты информации» были созданы системы обязательной сертификации пяти федеральных органов исполнительной власти:
ФАПСИ - Система сертификации средств криптографической защиты информации (утверждена генеральным директором ФАПСИ 28 октября 1993 г., зарегистрирована Госстандартом России в Государственном реестре 15 ноября 1993 г. /Свидетельство № РОСС RU.0001.030001/)- в соответствии с Указом Президента Российской Федерации от 11.03.2003 № 308 в связи с расформированием ФАПСИ соответствующие функции переданы Федеральной службе безопасности Российской Федерации;
ФСТЭК России - Положение о сертификации средств защиты информации по требованиям безопасности информации (введено в действие приказом Председателя Гостехкомиссии России от 27.10.1995 № 199, зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995 г. /Свидетельство № РОСС RU.OOO 1.01 БИ00/);
ФСБ России - Положение о система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (утверждено приказом ФСБ России от 13 ноября 1999 г. № 564, зарегистрировано в Минюсте России 27 декабря 1999 г. № 2028);
Минобороны России - Система сертификации средств защиты информации по требованиям безопасности информации (введено в действие приказом Министра обороны Российской федерации 1996 г. № 058, зарегистрировано Госстандартом России в Государственном реестре в 1996 г. /Свидетельство № РОСС RU.OOOl.OiriUOO/);
СВР России - Положение о системе сертификации средств защиты информации по требованиям безопасности информации (утверждено директором СВР России 05.08.1998, зарегистрировано Госстандартом России в Государственном реестре 15 марта 1999 г. /Свидетельство № РОСС RU.0001.04C300/).
Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае её утечки, уничтожения, модификации или блокирования.
Необходимой составляющей государственной системы обеспечения информационной безопасности являются национальные (государственные стандарты) и другие руководящие, нормативно-технические и методические документы по безопасности информации, утверждённые федеральными органами исполнительной власти в соответствии с их компетенцией, и определяющие нормы защищённости информации и требования в различных направлениях защиты информации.
К основным стандартам и руководящим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся: ■ в области защиты информации от несанкционированного доступа:
ГОСТ Р 50922-96. Защита информации. Основные термины и определения;
ГОСТ Р 50739-95. Средства вычислительной техники. Защита отнесанкционированного доступа к информации. Общие техническиетребования;
ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;
Руководящие документы Гостехкомиссии России (ФСТЭК России):
■ Защита от несанкционированного доступа к информации. Термины и определения; ■ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации; ■ Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации; ■ Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации; ■ Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники; ■ Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации; ■ Защита информации. Специальные защитные знаки. Классификация и общие требования;
■ Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин автоматизированных кассовых систем и требования по защите информации;
■ Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей; ■ Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (Часть 1, Часть 2, Часть 3); ■ и другие; в области защиты информации от утечки по техническим каналам:
ГОСТ Р В50170-2005. Противодействие иностранной технической разведке. Термины и определения;
ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счёт побочных электромагнитных излучений при её обработке средствами вычислительной техники. Методы испытаний;
ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счёт побочных электромагнитных излучений при её обработке средствами вычислительной техники. Общие технические требования»;
ГОСТ 30373-95/ГОСТ 50414-92. Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний;
нормативно-методические документы ФСТЭК России:
■ Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К); ■ Методические рекомендации по технической защите информации, составляющей коммерческую тайну; ■ Временная методика оценки защищённости помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам; ■ Временная методика оценки защищённости ОТСС, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации; ■ Временная методика оценки защищённости конфиденциальной информации, обрабатываемой ОТСС, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации; ■ Временная методика оценки защищённости помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований
■ в области криптографического преобразования информации при ее хранении и передаче по каналам связи:
ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;
ГОСТ Р 34.11-94. Функция хеширования;
документы ФСБ России:
■ Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику (ПШ-93); ■ Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005); ■ Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну;
Остановимся более детально на вопросах сертификации средств защиты. Следует отметить, что после передачи лицензирующих подразделений ФАПСИ в ведение ФСБ России основные принципы системы лицензирования и сертификации не изменились. Все ранее выданные ФАПСИ лицензии и сертификаты оставались действительными на обозначенный в них срок.
Сертификация
Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утверждённых уполномоченными федеральными органами исполнительной власти в пределах ргх компетенции.
Сертификат соответствия - документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.
Знак соответствия - зарегистрированный в установленном порядке знак, которым по правилам, установленным в данной системе сертификации, подтверждается соответствие маркированной им продукции установленным требованиям.
Средства защиты информации (СЗИ) - технические, криптографические, программные и другие средства, предназначенные для защиты сведений конфиденциального характера, а также средства контроля эффективности защиты информации.
Руководящий документ ФСТЭК России «Средства вычислительной техники. Зашита от несанкционированного доступа к информации. Показатели защищённости средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищённости от несанкционированного доступа к информации на базе перечня показателей защищённости и совокупности описывающих их требований.
В соответствии с этим руководящим документом возможные показатели защищённости исчерпываются 7-ю классами. По классу защищённости можно судить о номенклатуре используемых механизмов защиты - наиболее защищённым является 1 класс. Выбор класса защищённости зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы на рисунке "Показатели защищённости СВТ". В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса.
рисунок - Показатели защищённости СВТ
Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей на рисунке "Классификация по уровню контроля отсутствия недекларированных возможностей".
Недекларироеанные возможности (НДВ) - функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации.
рисунок - Классификация по уровню контроля отсутствия недекларированных возможностей
Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищённости от несанкционированного доступа к информации на базе перечня показателей защищённости и совокупности описывающих их требований на рисунке "Классификация МЭ по уровню защищённости от НСД".
Межсетевой экран - локальное (однокомпонентное) или функционально- распределённое средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. её анализа по совокупности критериев и принятия решения о её распространении в (из) АС.
рисунок - Классификация МЭ по уровню защищённости от НСД
За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000 - 2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых, а его стойкость сновывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищённости передаваемых сообщений от подделок и искажений. Кроме того, новый стандарт терминологически и концептуально увязан с международными стандартами ИСО 2382-2, ИСО/МЭК 9796 и др.
Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утверждён приказом Госстандарта от 12.09.2001 № 380, введён в действие с 01.07.2002.
Старый стандарт ЭЦП сразу не отменялся. Он действовал ещё несколько лет, но согласно письму ФАПСИ лицензиатам - разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускалось только до 31 декабря 2001 г. С 1 января 2002 г. д лина открытого ключа ЭЦП должна быть 1024 бита.
Отметим в заключение, что применение сертифицированных средств защиты информации является обязательным условием при рассмотрении в судебном порядке спорных вопросов, связанных с удостоверением подлинности электронных документов и идентификацией личности пользователей системы.
Аттестация
При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям по безопасности информации.
Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.
Под объектами информатизации , аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.
Под аттестацией объектов информатизации понимается комплекс организационно технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утверждённых уполномоченными федеральными органами исполнительной власти. Наличие на объекте информатизации действующего «Аттестата соответствия» даёт право обработки информации с определённым уровнем конфиденциальности и в указанный в «Аттестате соответствия» период времени.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счёт побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на неё за счёт специальных устройств, встроенных в объекты информатизации.
Аттестация проводится уполномоченными органами по аттестации объектов информатизации, аккредитованными федеральными органами исполнительной власти. Правила аккредитации определяются действующими в соответствующих системах сертификации положениями. В системе сертификации ФСТЭК России разработано и утверждено 25 ноября 1994 г. «Положением об аккредитации органов по аттестации объектов информатизации по требованиям безопасности информации». Каждый такой орган имеет лицензию на право выполнения работ в области защиты информации и Аттестат аккредитации. Виды работ, которые он может выполнять, указываются в области аккредитации, являющейся приложением к Аттестату аккредитации. В своей деятельности органы по аттестации руководствуются нормативно-методическими документами ФСТЭК России.
Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несёт юридическую и финансовую ответственность за качество проведённых работ. Кроме того, органы по аттестации несут ответственность за обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.
Аттестация информационных систем может производиться в соответствии с Руководящим документом ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», который вводит в рассмотрение 9 классов защищённости АС, объединённых в три группы на рисунке "Классы защищённости АС".
рисунок - Классы защищённости АС
Основные признаки группировки в различные классы связаны с:
наличием в АС информации различного уровня конфиденциальности;
уровнем полномочий субъектов доступа АС на доступ к конфиденциальной информации (одинаковый или разный);
режимом обработки данных в АС (коллективный или индивидуальный).
Для каждого класса сформулирован определённый набор требований для подсистем:
управления доступом;
регистрации и учета;
криптографической;
обеспечения целостности.
Группа 1 классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А . Группа 2 классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б и 2А . Группа 3 классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещённой на носителях одного уровня конфиденциальности. Группа содержит два класса: ЗБ и ЗА.
Соответствие классов защищённости различным уровням конфиденциальности приведено на рисунке "Классы защищенности ли и категории информации ограниченного доступа"
рисунок - Классы защищенности ли и категории информации ограниченного доступа
Постановление от 26 июня 1995 года № 608 устанавливает общие принципы организации систем сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, всеми ведомствами Российской Федерации, наделенными законом правом проводить подобную сертификацию.
Статьи постановления определяют : участников системы сертификации средств защиты информации; их права и обязанности; схемы проведения сертификационных испытаний; порядок выдачи, приостановления и аннулирования сертификатов; порядок оплаты услуг по сертификации; порядок контроля за качеством сертифицированных изделий; ответственность сторон за выполнение ими своих обязательств в системе сертификации.
Сертификация – это процесс, осуществляемый в отношении такой категории, как “изделие” (товар, средство), когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Таким образом, сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям.
Сертификация средств защиты информации осуществляется Гостехкомиссией России и ФАПСИ. При этом сертификация средств, отнесенных к компетенции ФАПСИ, определяется “Системой сертификации” средств криптографической защиты информации (СКЗИ)” РОСС.RU.0001.030001.
Данный документ представляет собой нормативный акт, который включает в себя положения и нормы, определяющие правила и общий порядок проведения сертификации в рассматриваемой предметной области. Он базируется на Законе Российской федерации “О сертификации продукции и услуг ”, иных нормативных актах, утвержденных Госстандартом России, и соответствует вытекающим из них требованиям к порядку, схеме проведения, а также организационной структуре систем сертификации. Тем самым учитываются сложившиеся к настоящему времени международные правила организации и проведения работ по сертификации продукции. Кроме того, в нем учтены и обобщены особенности и накопленный многолетний опыт работы в области защиты информации, оценки качества разрабатываемых и производимых средств защиты.
Порядок проведения сертификации средств защиты информации основан на следующих принципах.
1. Обязательность сертификации изделий, обеспечивающих защиту государственной тайны или подлежащих сертификации в соответствии с нормативными актами Российской Федерации. В настоящее время такое требование установлено для средств защиты информации в системах электронного документооборота, используемых для обмена с Центральным Банком России, а также для средств и систем государственных предприятий или предприятий, на которых размещен государственный заказ.
2. На сертификацию принимаются изделия только от заявителей, имеющих лицензию на соответствующие виды деятельности. Оформление установленным порядком права на осуществление деятельности в области защиты информации является первичным. Разрабатывать алгоритмы и средства защиты на их базе как продукцию, товар, предлагаемый на рынок, могут только предприятия, имеющие лицензию. В различных публикациях специалисты неоднократно указывали, что сами по себе даже высоконадежные средства защиты, в том числе криптографические алгоритмы или отдельные блоки и модули (аппаратные, аппаратно-программные и программные), реализующие часть процесса защиты, не могут обеспечить требуемый уровень защиты информации в комплексе. Например, без реализации специальных мер эти средства могут быть просто обойдены или необходимая информация может быть получена за счет побочных электромагнитных излучений и наводок. Для систем и комплексов, включающих совокупность явно различимых как самостоятельные изделия функционально и конструктивно законченных элементов, возможно оформление сертификата на каждый из них.
3. Процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты с учетом условий их эксплуатации.
4. Двухступенчатость процесса сертификации при независимости организаций, проводящих экспертизу и сертификационные испытания: сертификация средств защиты информации осуществляется Центральным органом по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).
5. Дифференцированность подхода к уровню защиты различных видов
информации.
6. Обязательность использования криптографических алгоритмов, являющихся стандартами или ранее рекомендованных либо разработанных ФАПСИ.
Специально подчеркнем, что факт одобрения ФАПСИ алгоритма до его технической реализации является одним из основных требований к представляемым на сертификацию изделиям криптозащиты. Это одобрение может быть осуществлено путем утверждения алгоритма: в качестве государственного стандарта; Правительством Российской Федерации; ФАПСИ. Следовательно, изделия, созданные на базе собственных оригинальных алгоритмов, ранее не представлявшихся в ФАПСИ, а также изделия, реализующие алгоритмы иностранной разработки или импортные шифровальные средства, на сертификацию не принимаются.
В зависимости от полноты реализуемой защиты для системы конфиденциального электронного документооборота устанавливаются три уровня обеспечения безопасности (сертификации) :
· уровень “А” – сертификат выдается на систему защиты в целом и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам, комплексное выполнение требований ФАПСИ к шифровальным средствам с учетом их программного окружения, наличие защищенной (без недокументированных возможностей) аппаратно-программной среды;
· уровень “В” – сертификат выдается на систему защиты, включающую шифровальные средства и их программное окружение, и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям ФАПСИ, выполнение требований ФАПСИ к программному окружению шифровальных средств;
· уровень “С” – сертификат выдается только на шифровальные средства и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям.
7. Принятие Центральным органом по сертификации и испытательными центрами (лабораториями) ответственности за выполнение возложенных на них функций в соответствии с действующим законодательством и договорными обязательствами.
8. Сертификационные испытания средств защиты информации могут осуществляться только аккредитованными испытательными сертификационными центрами. Действительное соответствие изделия государственным стандартам и гарантию удовлетворения требований по безопасности удостоверяет только сертификат Гостехкомиссии или ФАПСИ.
9. Принятие и неуклонное соблюдение заявителем правил, установленных в системе сертификации.
Действие выданного сертификата может быть приостановлено, или сертификат может быть вообще аннулирован по результатам инспекционного контроля за сертифицированными средствами защиты информации.
Причинами приостановления и аннулирования сертификата могут быть: изменение нормативных и методических документов на средства защиты информации или их элементов, а также на испытания и контроль; изменения конструкции, состава или комплектности средства защиты информации; невыполнение требований технологии или технических условий на изделие; отказ заявителя в допуске для проведения научно-технического и инспекционного контроля.
Организационная структура системы сертификации включает в себя Гостехкомиссию или ФАПСИ как Государственный орган по сертификации средств защиты информации, Центральный орган системы сертификации и Испытательные центры (лаборатории) средств защиты информации, а также заявителей.
В заключение необходимо отметить, что системы лицензирования и сертификации проходят сейчас стадию совершенствования с точки зрения развития правовой базы, механизма и правил их функционирования. Отсюда, разумеется, следует, что отдельные положения могут быть изменены, уточнены или дополнены.
ЧАСТЬ 3. организационно-техниЧеское
обеспеЧение ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
6. АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
После определения правовых основ безопасности АС и ИВС осуществляются практические мероприятия по созданию системы обеспечения безопасности информации (ОБИ). Указанные мероприятия включают следующие этапы :
1) разработка политики безопасности;
2) проведение анализа рисков;
3) планирование обеспечения информационной безопасности;
4) планирование действий в чрезвычайных ситуациях;
5) подбор механизмов и средств обеспечения информационной безопасности.
Первые два этапа обычно трактуются как выработка политики безопасности и составляют так называемый административный уровень системы ОБИ .
Третий и четвертый этапы заключаются в разработке процедур безопасности. На этих этапах формируется уровень планирования системы ОБИ .
На последнем этапе практических мероприятий определяется программно-технический уровень системы ОБИ .
Законы и стандарты в области информационной безопасности являются лишь отправным нормативным базисом ОБИ в АС и ИВС. Основу практического построения системы ОБИ составляет создание административного уровня системы, определяющее генеральное направление работ по ОБИ.
Целью административного уровня является формирование программы работ в области информационной безопасности и обеспечение ее выполнения. Программа представляет официальную политику безопасности, отражающую собственный концептуальный подход организации к ОБИ. Конкретизация политики безопасности выражается в планах по обеспечению информационной безопасности .
Общие положения
Организационная структура системы сертификации
Средств защиты информации по требованиям безопасности
Информации
Порядок проведения сертификации и контроля
Требования к нормативным и методическим документам по
Сертификации средств защиты информации
Приложение 1
Приложение 2
Приложение 3
Приложение 4
Приложение 5
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств защиты по требованиям безопасности информации, а также государственный контроль и надзор за сертификацией и сертифицированными средствами защиты информации.
Под средствами защиты информации понимаются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Под сертификацией средств защиты информации по требованиям безопасности информации (далее - сертификацией) понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).
1.2. Положение разработано в соответствии с Законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 “О сертификации средств защиты информации”, "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", на основании "Системы сертификации ГОСТ Р" и "Правил по проведению сертификации в Российской Федерации".
1.3. Система сертификации средств защиты информации по требованиям безопасности информации включает в себя и аттестацию объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.
Под объектами инфоpматизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
Основные принципы, организационная структура системы аттестации объектов информатизации по требованиям безопасности информации, правила проведения, а также другие вопросы аттестации определяются "Положением по аттестации объектов информатизации по требованиям безопасности информации".
Деятельность системы сертификации организует Гостехкомиссия России в пределах ее компетенции, определенной законодательными и иными нормативными актами Российской Федерации.
1.4. Целями создания системы сертификации являются:
обеспечение реализации требований государственной системы защиты информации;
создание условий для качественного и эффективного обеспечения потребителей сертифицированными средствами защиты информации;
обеспечение национальной безопасности в сфере информатизации;
содействие формированию рынка защищенных информационных технологий и средств их обеспечения;
формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современных требований по защите информации;
поддержка проектов и программ информатизации.
1.5. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается Гостехкомиссией России и согласовывается с Межведомственной комиссией по защите государственной тайны. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.
1.6. Основными схемами сертификации средств защиты информации являются:
для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации;
для серийного производства средств защиты информации- проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе. По согласованию с органом по сертификации по требованиям безопасности информации могут быть использованы и другие схемы сертификации, применяемые в международной практике.
1.7. Сертификация средств защиты информации осуществляется Гостехкомиссией России и аккредитованными органами по сертификации, а испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с Гостехкомиссией России или органом по сертификации допускается проведение испытаний на испытательной базе разработчика (изготовителя, поставщика, потребителя) данного средства защиты информации.
Правила аккредитации определяются действующим в системе “Положением об аккредитации испытательных центров (лабораторий) и органов по сертификации средств защиты информации.
1.8. Порядок оплаты работ по сертификации конкретных средств защиты информации производится заявителем на основании договоров между участниками сертификации. Сумма средств, израсходованных заявителем на проведение сертификации средства защиты информации, относится на ее себестоимость.
1.9. Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственной тайны, других конфиденциальных сведений, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав заявителя при испытаниях его средств защиты информации.
2. ОРГАНИЗАЦИОННАЯ СТРУКТУРА СИСТЕМЫ СЕРТИФИКАЦИИ
2.1. Организационную структуру системы сертификации образуют:
Гостехкомиссия России (федеральный орган по сертификации средств защиты информации);
центральный орган системы сертификации средств защиты информации;
органы по сертификации средств защиты информации;
испытательные центры (лаборатории);
заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).
2.2. Гостехкомиссия России в пределах своей компетенции осуществляет следующие функции:
создает систему сертификации средств защиты информации и устанавливает правила проведения сертификации конкретных видов средств защиты информации в этой системе;
организует функционирование системы сертификации средств защиты информации;
определяет перечень средств защиты информации, подлежащих обязательной сертификации в данной системе;
устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;
организует и финансирует разработку нормативных и методических документов системы сертификации средств защиты информации;
определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;
утверждает нормативные документы по безопасности информации, на соответствие которым проводится сертификация средств защиты информации в системе, и методические документы по проведению сертификационных испытаний;
аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ;
ведет государственный реестр участников и объектов сертификации;
осуществляет государственный контроль и надзор и устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными средствами защиты информации;
рассматривает апелляции по вопросам сертификации;
представляет на государственную регистрацию в Госстандарт России систему сертификации и знак соответствия;
организует периодическую публикацию информации о сертификации;
осуществляет взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации, принимает решение о признании международных и зарубежных сертификатов;
организует подготовку и аттестацию экспертов - аудиторов;
выдает сертификаты и лицензии на применение знака соответствия;
приостанавливает либо отменяют действие выданных сертификатов.
Гостехкомиссия России может передавать некоторые из своих функций центральному органу системы сертификации и органам по сертификации.
2.3. Центральный орган системы сертификации средств защиты информации:
координирует деятельность органов по сертификации и испытательных центров (лабораторий), входящих в систему;
разрабатывает предложения по номенклатуре средств защиты информации, сертифицируемых в системе и представляет их в Гостехкомиссию России;
участвует в работах по совершенствованию фонда нормативных документов, на соответствие которым проводится сертификация средств защиты информации в системе, и методических документов по проведению сертификационных испытаний;
участвует в рассмотрении апелляций по поводу действий органов по сертификации и испытательных центров (лабораторий), входящих в систему;
участвует в аккредитации органов по сертификации и испытательных центров (лабораторий) по сертификации средств защиты информации, входящих в систему;
ведет учет входящих в систему органов по сертификации и испытательных центров (лабораторий), выданных и аннулированных сертификатов и лицензий на применение знака соответствия, нормативных и методических документов, содержащих правила, требования, методики и рекомендации по сертификации;
обеспечивает участников сертификации информацией о деятельности системы и готовит необходимые материалы для опубликования.
2.4. Органы по сертификации средств защиты информации в пределах установленной области аккредитации:
определяют схему проведения сертификации конкретных средств защиты информации с учетом предложений заявителя;
уточняют требования на соответствие которым проводятся сертификационные испытания;
утверждают программы и методики проведения сертификационных испытаний;
проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний этих средств;
оформляют экспертное заключение по сертификации средств защиты информации, проекты сертификатов и лицензий на применение знака соответствия и представляют их в Гостехкомиссию России;
организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации;
участвуют в аккредитации испытательных центров (лабораторий);
участвуют в инспекционном контроле за стабильностью характеристик сертифицированных средств защиты информации и за деятельностью испытательных центров (лабораторий);
хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации;
ходатайствует перед Гостехкомиссией России об отмене действия выданных сертификатов;
формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке;
представляют заявителю необходимую информацию по сертификации.
2.5. Испытательные центры (лаборатории) в пределах установленной области аккредитации:
осуществляют сертификационные испытания конкретных средств защиты информации, оформляют заключения и протоколы сертификационных испытаний, разрабатывают программы и методики сертификационных испытаний;
осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;
участвуют в предварительной проверке (аттестации) производства сертифицируемых средств защиты информации.
Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования.
2.6. Заявители (разработчики, изготовители, поставщики, потребители средств защиты информации):
обеспечивают соответствие средств защиты информации требованиям нормативных документов по безопасности информации;
осуществляют подготовку производства и принимают меры для обеспечения стабильности характеристик средств защиты информации, определяющих безопасность информации;
указывают в технической документации сведения о сертифицированном средстве защиты информации, нормативных документах, которым оно должно соответствовать, обеспечивают доведение этой информации до потребителя;
маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;
применяют сертификат и знак соответствия, руководствуясь законодательными актами Российской Федерации и правилами системы сертификации;
извещают орган по сертификации и испытательный центр (лабораторию), проводивших сертификацию, о всех изменениях в технологии, конструкции (составе) сертифицированных средств защиты информации для принятия решения о необходимости проведения повторной сертификации данных средств защиты информации;
обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих инспекционный контроль за сертифицированными средствами защиты информации;
приостанавливают или прекращают реализацию средств защиты информации, если они не отвечают требованиям нормативных документов, а также по истечению срока действия сертификата, при приостановке его действия или отмены;
при обнаружении несоответствия сертифицированных средств защиты информации требованиям нормативных документов осуществляют мероприятия по доработке этих средств защиты информации и проведения сертификационных испытаний.
Заявители (разработчики, изготовители, поставщики) должны иметь лицензию Гостехкомиссии России на соответствующий вид деятельности.
2.7. Органы по сертификации и испытательные центры (лаборатории) аккредитуются Гостехкомиссией России.
Органы по сертификации и испытательные центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям конкретных средств защиты информации в своей области аккредитации.
Аккредитация производится только при наличии лицензии Гостехкомиссии России на соответствующие виды деятельности.
Аккредитация в качестве органов по сертификации и испытательных центров (лабораторий) предприятий, подведомственных федеральным органам исполнительной власти, осуществляется по представлению этих органов власти.
3. ПОРЯДОК ПРОВЕДЕНИЯ СЕРТИФИКАЦИИ И КОНТРОЛЯ
3.1. Порядок проведения сертификации включает следующие действия:
подачу и рассмотрение заявки на сертификацию средств защиты информации; испытания сертифицируемых средств защиты информации и аттестация их производства;
экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации.
информирование о результатах сертификации средств защиты информации;
рассмотрение апелляций.
3.2. Подача и рассмотрение заявки на сертификацию средств защиты информации.
3.2.1. Заявитель для получения сертификата направляет в Гостехкомиссию России заявку (Приложение 1) на проведение испытаний с указанием схемы проведения сертификации, стандартов и иных нормативных документов, на соответствие требованиям которых должна проводиться сертификация.
3.2.2. Гостехкомиссия России в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение на проведение сертификации (Приложении 2). По желанию заявителя орган по сертификации и испытательный центр (лаборатория) могут быть изменены.
После получения решения заявитель обязан представить в орган по сертификации и испытательный центр (лабораторию) средства защиты информации согласно ТУ на это средство, а также комплект технической и эксплуатационной документации, согласно нормативных документов по ЕСКД, ЕСПД на сертифицируемое средство защиты информации.
3.3. Испытания сертифицируемых средств защиты информации в испытательных центрах (лабораториях).
3.3.1. Испытания сертифицируемых средств защиты информации проводятся на образцах, конструкция, состав и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю, заказчику по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации. Техническая и эксплуатационная документация на серийные средства защиты информации должна иметь литеру не ниже “О1” (по ЕСКД).
Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов на данный вид средства защиты информации.
В случае отсутствия на момент сертификации испытательных центров (лабораторий) орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.
3.3.2. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией).
3.3.3. По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов средств защиты информации в испытательном центре (лаборатории).
3.3.4. Результаты испытаний оформляются протоколами и заключением, которые направляются испытательным центром (лабораторией) органу по сертификации, а в копии - заявителю.
3.3.5, При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства, которые могут повлиять на характеристики средств защиты информации, заявитель (разработчик, изготовитель, поставщик) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых испытаний этих средств защиты информации.
3.3.6. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.
3.4. Экспертиза результатов испытаний, оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия.
3.4.1. Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение. При соответствии результатов испытаний требованиям нормативных документов по защите информации орган по сертификации оформляет проект сертификата, который вместе с экспертным заключением и ТУ на средство защиты информации направляет в Гостехкомиссию России.
После утверждения экспертного заключения, согласования ТУ на средство защиты информации, присвоения сертификату регистрационного номера Гостехкомиссия России оформляет сертификат (Приложение 3) и все документы затем выдаются заявителю. Срок действия сертификата устанавливается не более, чем на пять лет.
При несоответствии результатов испытаний требованиям стандартов или иных нормативных документов по защите информации Гостехкомиссия России принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет Гостехкомиссии России для дополнительного рассмотрения материалов сертификации.
3.4.2. Получение изготовителем средств защиты информации сертификата дает ему право получить у Гостехкомиссии России сертификационную лицензию (Приложение 4) на маркировку этих средств знаком соответствия. Форма знака соответствия устанавливается Гостехкомиссией России (Приложение 5).
Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации, не отвечающих требованиям нормативной и методической документации, указанной в сертификате.
3.4.3. Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в Гостехкомиссию России, которая извещает заявителя о признании или необходимости проведения сертификационных испытаний не позднее двух месяцев после их получения. В случае признания - заявителю выдается сертификат установленного образца (Приложение 3).
3.5. Государственный контроль и надзор, инспекционный контроль за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации.
3.5.1. Государственный контроль и надзор за соблюдением заявителями, испытательными центрами (лабораториями), органами по сертификации правил обязательной сертификации и за сертифицированными средствами защиты информации осуществляет Гостехкомиссия России. Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации, действующей в системе сертификации средств защиты информации.
3.5.2. Инспекционный контроль за сертифицированными средствами защиты информации осуществляет орган по сертификации, проводивший сертификацию этих средств защиты информации. Общие правила инспекционного контроля за конкретными видами сертифицированных средств защиты информации устанавливаются в нормативных и методических документах системы сертификации средств защиты информации. Периодичность и объемы испытаний сертифицированных средств защиты информации в испытательных центрах (лабораториях) должны предусматриваться в нормативных и методических документах по сертификации конкретных видов средств защиты информации.
3.5.3. По результатам контроля Гостехкомиссия России может приостановить или отменить действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом. Решение об отмене действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям. Причинами, которые могут заставить принять такое решение, являются:
изменение нормативных и методических документов на средства защиты информации или методов испытаний и контроля;
изменение конструкции (состава), комплектности средств защиты информации, системы контроля их качества;
невыполнение требований технологии изготовления, контроля, испытаний средств защиты информации;
отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за сертификацией и за сертифицированными средствами защиты информации.
3.5.4. Информация о приостановлении (отмене) действия сертификата или аттестата аккредитации немедленно доводится до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий).
3.6. Информирование о сертификации средств защиты информации.
3.6.1. Гостехкомиссия России обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, включающей: перечень средств защиты информации (их сертифицированных параметров), на которые выданы сертификаты; перечень средств защиты информации (их сертифицированных параметров), на которые действие сертификатов отменено; перечень органов по сертификации конкретных видов средств защиты информации; перечень испытательных центров (лабораторий); перечень нормативных документов, на соответствие требованиям которых проводится сертификация средств защиты информации, и методических документов по проведению сертификационных испытаний.
3.7. Рассмотрение апелляций.
3.7.1. Апелляция подается в орган по сертификации, центральный орган системы сертификации или в апелляционный совет Гостехкомиссии России по вопросам, связанным с деятельностью соответственно испытательных центров (лабораторий), органов по сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон. О принятом решении извещается податель апелляции.
4. ТРЕБОВАНИЯ К НОРМАТИВНЫМ И МЕТОДИЧЕСКИМ
ДОКУМЕНТАМ ПО СЕРТИФИКАЦИИ
СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
4.1. Сертификация отечественных и импортируемых средств защиты информации проводится на соответствие требованиям государственных стандартов и иных нормативных документов по безопасности информации, утвержденных Гостехкомиссией России, указываемых в заявке, программах и методиках испытаний.
Стандарты на методы испытаний являются обязательными, если в документации на средства защиты информации в части проверки технических характеристик, подлежащих сертификации, установлена ссылка на этот стандарт.
4.2. При утверждении нормативных и методических документов экспертное заключение о них должно содержать сведения об их пригодности для целей сертификации.
4.3. Тексты нормативных и методических документов, используемых при сертификации средства защиты информации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование. В разделе “Область применения” должно содержаться указание о возможности использования документа (стандарты, технические требования и т.д.) для целей сертификации.
4.4. В специальном разделе или путем ссылки на другой нормативный или методический документ должны быть установлены методы, условия, объем и порядок испытаний для определения показателей, характеристик и требований, проверяемых при сертификации. Содержание и изложение этих сведений должны быть таковы, чтобы свести к минимуму погрешности результатов испытаний и позволить квалифицированному персоналу любого испытательного центра (лаборатории) получать сопоставимые результаты. Должна быть указана последовательность проведения испытаний, если эта последовательность влияет на результаты испытаний.
4.5. В разделе “Маркировка” должны содержаться требования, которые обеспечивают однозначную идентификацию средства защиты информации, а также указания о способе нанесения знака соответствия.
4.6. Официальным языком системы является русский. Все нормативные и методические документы системы сертификации оформляются на русском языке.
Приложение 1
Кому________________________________________________________________
(наименование федерального органа по сертификации, адрес)
на проведение сертификации средства защиты информации в системе
Сертификации по требованиям безопасности информации
№ POCC RU. 0001. 01БИОО
1._____________________________
(наименование заявителя, адрес)
просит провести сертификацию следующей продукции:
______________
_____________________________________________________________________
(наименование продукции, код ОКП, шифр)
по требованиям безопасности информации на соответствие
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
2. Заявитель предлагает провести испытания продукции по схеме
_____________________________________________________________________________________________________________
(указывается схема сертификации)
в____________________________________________________________________________________________________________
(наименование испытательного центра (лаборатории))
3. Заявитель обязуется:
выполнять все условия сертификации;
Обеспечивать стабильность сертифицированных характеристик средств защиты информации, маркированных знаком соответствия;
Оплатить все расходы по проведению сертификации.
5. Дополнительные условия или сведения для договора:
а) предварительную проверку производства предлагаем провести в период _____________________________________________________________________________________________________________
Гербовой печати
Фамилия И.О
(подпись)
________________
Приложение 2
______________________________________________________
№ POCC RU. 0001. 01БИОО
от “_____” __________________199__ г.
по заявке на проведение сертификации
Рассмотрев заявку_____________________________________________________________________________________________
(наименование заявителя)
на сертификацию_______________________________________________________________________________________________
(наименование продукции)
сообщаем:
1. Сертификация будет проведена ________________________________________________________________________________
_____________________________________________________________________________________________________________
(наименование органа по сертификации, адрес)
2. Испытания сертифицируемой продукции следует провести в__________________________________________________________
_____________________________________________________________________________________________________________
(наименование испытательного центра (лаборатории), адрес)
3. Сертификация будетпроведена на соответствие требованиям
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
(наименование нормативных и методических документов)
4. Инспекционный контроль будет осуществлять
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
(наименование организации, адрес)
путем испытаний образцов, взятых в торговле и (или) у изготовителя с периодичностью _____________________________________________________________________________________________________________
Гербовой печати
Фамилия И.О
(подпись)
________________
Приложение 3
ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ
ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
______________________________________________________
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
№ POCC RU. 0001. 01БИОО
СЕРТИФИКАТ
№ ______________
Выдан “___”_____________ 199 г.
Действителен до “___”_____________ 199 г.
Настоящий сертификат удостоверяет, что:
1. ___________________________________________________________________________________________________________
(наименование вида продукции, код, № ТУ)
соответствует требованиям______________________________________________________________________________________
_____________________________________________________________________________________________________________
(перечисление конкретных стандартов или нормативных документов, на соответствие которым проведены сертификационные испытания)
2. Сертификат выдан на основании экспертного заключения ____________________________________________________________
_____________________________________________________________________________________________________________
(наименование органа по сертификации)
и результатов испытаний указанной продукции _______________________________________________________________________
_____________________________________________________________________________________________________________
(наименование испытательного центра (лаборатории))
3. Заявитель__________________________________________________________________________________________________
_____________________________________________________________________________________________________________
(наименование организации-заявителя, адрес)
Гербовой печати
Фамилия И.О
(подпись)
________________
Приложение 4
ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ
ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
______________________________________________________
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
№ POCC RU. 0001. 01БИОО
СЕРТИФИКАЦИОННАЯ ЛИЦЕНЗИЯ
Выдана “___”_____________ 199 г.
Действительна до “___”_____________ 199 г.
Настоящая сертификационная лицензия выдана _____________________________________________________________________
_____________________________________________________________________________________________________________
(наименование предприятия-изготовителя, адрес)
на применение знака соответствия для маркирования _________________________________________________________________
_____________________________________________________________________________________________________________
(наименование вида продукции)
Гербовой печати
Фамилия И.О
(подпись)
________________
Приложение 5
ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ
ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
Под сертификацией продукции по требованиям защиты информации и информационной безопасности будем понимать комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата и знака соответствия с определенной степенью достоверности подтверждается, что продукция соответствует требованиям:
государственных стандартов или иных нормативных правовых актов, утвержденных Правительством РФ - для продукции, используемой при обработке информации, содержащей сведения, составляющие государственную тайну;
государственных или отраслевых стандартов, иных нормативных актов, утвержденных Правительством РФ или ФСБ РФ для продукции, используемой при обработке конфиденциальной информации, не содержащей сведений, составляющих ГТ.
При этом подлежат обязательной сертификации в рамках системы сертификации следующие средства защиты информации:
технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих ГТ;
средства, в которых реализованы перечисленные средства;
средства контроля эффективности защиты информации.
Правовой основой сертификации средств защиты информации по требованиям безопасности информации являются следующие нормативные правовые акты: 1)
Положение о сертификации средств защиты информации по требованиям безопасности информации, введенное в действие приказом Председателя Гостехкомиссии России № 199 от 2.7 октября 1995 г.; 2)
Закон Российской Федерации «О сертификации продукции и услуг» №5151-1 от 10 июня 1993 г. ; 3)
Закон Российской Федерации «О государственной тайне»; 4)
Постановление Правительства РФ № 608 «О сертификации средств защиты информации» от 26 июня 1995 г.; 5)
Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам; 6)
Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ); 7)
Положение о «Системе сертификации ГОСТ Р»; 8)
Правила по проведению сертификации в Российской Федерации и др.
Структура системы сертификации средств защиты информации по требованиям ее безопасности включает аттестацию объектов информатизации по требованиям безопасности информации и государственную регистрацию в установленном Госстандартом порядке, который и организует деятельность системы сертификации в пределах ее компетенции, определенной законодательными и иными нормативными актами РФ.
Аттестации по требованиям безопасности информации подлежат следующие объекты информатизации: автоматизированные системы (АС) различного уровня и назначения; системы связи; системы отображения и размножения документов, предназначенные для обработки и передачи информации, подлежащей защите вместе с помещениями, в которых они установлены; помещения, предназначенные для ведения конфиденциаль- н ы х пер е го в op ов.
Цели создания системы сертификации: обеспечение реализации требований государственной системы защиты информации; создание условий для качественного и эффективного обеспечения потребителей сертифицированными средствами защиты информации; обеспечение национальной безопасности в сфере информатизации; содействие формированию рынка защищенных информационных технологий и средств их обеспечения; формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современных требований по защите информации; поддержка проектов и программ информатизации.
Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается ФСТЭК России, согласовывается с Межведомственной комиссией по защите ГТ и включает:
средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей ГТ, и другой информации с ограниченным доступом;
средства, используемые в управлении экологически опасными объектами.
В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.
Система сертификации СЗИ-ГТ. Федеральная служба безопасности РФ создала систему обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих ГТ (система сертификации СЗИ-ГТ). Основными целями создания такой системы являются: обеспечение национальной безопасности в сфере информатизации; формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом требований системы защиты ГТ; регулирование и контроль разработки, а также последующего производства СЗИ-ГТ. Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).
Основными схемами сертификации СЗИ-ГТ (в соответствии с Порядком проведения сертификации продукции в Российской Федерации, утвержденным постановлением Госстандарта России № 15 от 21 сентября 1994 г.) являются:
для серийного производства СЗИ-ГТ - проведение испытаний типа продукции на соответствие нормативным документам и требованиям, предъявляемым для защиты сведений, составляющих ГТ, и последующий инспекционный контроль стабильности характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации может проводиться предварительная проверка производства;
для единичных образцов СЗИ-ГТ - проведение испытаний образца на соответствие нормативным документам и требованиям, предъявляемым для защиты сведений, составляющих государственную тайну.
Сертификация СЗИ-ГТ" осуществляется аккредитованными органами по сертификации, а испытания проводятся аккредитованными испытательными центрами (лабораториями) па их материально-технической базе. В отдельных случаях по согласованию с органом по сертификации и при согласии разработчика (изготовителя, продавца) допускается проведение испытаний на испытательной базе разработчика данного СЗИ-ГТ в присутствии представителя органа по сертификации.
Организационную структуру системы сертификации образуют:
ФСБ России (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации);
центральный орган системы сертификации (создастся при необходимости);
органы по сертификации СЗИ-ГТ;
испытательные центры (лаборатории);
учебно-методический центр;
заявители (разработчики, изготовители, продавцы, потребители
Порядок проведения сертификации включает следующие действия: подача и рассмотрение заявки на сертификацию СЗИ-ГТ; испытания сертифицируемых СЗИ-ГТ и анализ состояния их производства; экспертиза результатов испытаний, оформление, регистрация и выдача сертификата соответствия и лицензии на право применения знака соответствия; осу- ществление инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными СЗИ-ГТ, информирование о результатах сертификации СЗИ-ГТ; рассмотрение апелляций.
Сертификация средств защиты информации, не относящейся
к ГТ, осуществляется ФСТЭК России и аккредитованными органами по сертификации. Испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с ФСТЭК России или органом по сертификации допускается проведение испытаний на испытательной базе разработчика (изготовителя, поставщика, потребителя) данного средства защиты информации. Правила аккредитации определяются действующим в системе «Положением об аккредитации испытательных центров (лабораторий) и органов по сертификации средств защиты информации».
Порядок оплаты работ по сертификации конкретных средств защиты информации производится заявителем на основании договоров между участниками сертификации. Сумма средств, израсходованных заявителем на проведение сертификации средства защиты информации, относится на ее себестоимость.
Органы по сертификации и испытательные центры (лаборатории) несут ответственность: за выполнение возложенных на них функций; обеспечение сохранности ГТ, других конфиденциальных сведений, материальных ценностей, предоставленных заявителем; соблюдение авторских прав заявителя при испытаниях его средств защиты информации.
Организационную структуру системы сертификации средств защиты информации по требованиям безопасности составляют:
ФСТЭК России (федеральный орган по сертификации средств защиты информации);
центральный орган системы сертификации средств защиты информации (ЦО);
органы по сертификации средств защиты информации (ОС);
испытательные центры (лаборатории) (ИЦ);
заявители (разработчики) средств защиты информации;
изготовители;
поставщики;
потребители.
Для организации и ведения соответствующего вида деятельности заявители (разработчики, изготовители, поставщики) должны иметь лицензию ФСТЭК России.
Органы по сертификации и испытательные центры (лаборатории) аккредитуются ФСТЭК России. Они должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям конкретных средств защиты информации в своей области аккредитации.
Аккредитация производится только при наличии лицензии ФСТЭК России на соответствующие виды деятельности. Аккредитация предприятий, подведомственных федеральным органам исполнительной власти, в качестве органов по сертификации и испытательных центров (лабораторий) осуществляется по представлению этих органов власти.
Порядок проведения сертификации и контроля. Его можно представить следующим алгоритмом (рис. 10.2): 1)
подача и рассмотрение заявки на сертификацию средств защиты информации; 2)
испытание сертифицируемых средств защиты информации и аттестация их производства; 3)
экспертиза результатов испытаний; 4)
оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия; 5)
осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации; 6)
информирование о результатах сертификации средств защиты информации; 7)
рассмотрение апелляций.
Рассмотрим подробнее составляющие алгоритма сертификации средств защиты информации.
1. Подача и рассмотрение заявки на сертификацию средств защиты информации. Заявитель для получения сертификата направляет в ФСТЭК России заявку на проведение испытаний с указанием схемы проведения сертификации, стандартов и иных нормативных документов, на соответствие требо в а ниям кото р ы х до л ж и а п р о в о д ит ь с я се рт и ф и к ац и я.
ФСТЭК в месячный срок после получения заявки направляет заявителю решение на проведение сертификации в назначенных для проведения сертификат!и органе по сертификации и испытательном центре (лаборатории). По желанию заявителя орган по сертификации и испытательный центр (лаборатория) могут быть изменены. После получения решения заявитель обязан представить в орган по сертификации и испытательный центр (лабораторию) средства защиты информации, технические условия на это средство, а также комплект технической и эксплуатационной документации согласно нормативным документам по единой системе документации - конструкторской (ЕСКД) и проектной (ЕСПД) - на сертифицируемое средство защиты информации. ?МШ Подача и рассмотрение заявки
Испытание средств и аттестация их производства
Экспертиза результатов испытаний
\ Оформление, регистрация и выдача сертификата
Информирование о результатах сертификации
Рассмотрение апелляций
Рис, 10.2. Алгоритм сертификации средств защиты информации
2. Испытания сертифицируемых средств защиты информации в испытательных центрах (лабораториях). Испытания проводятся на образцах и конструкциях по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации. Состав и технология изготовления испытуемых образцов должны быть такими же, как и у образцов, поставляемых потребителю, заказчику.
Техническая и эксплуатационная документация на серийные средства защиты информации должна иметь литеру не ниже «01» (по ЕСКД).
Количество образцов, порядок их отбора и идентификации должны соответствовать требованиям нормативных и методических документов на данный вид средства защиты информации. В случае если на момент сертификации испытательный центр (лаборатория) отсутствует, орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией). По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов средств защиты информации в испытательном центре (лаборатории).
Результаты испытаний оформляются протоколами и заключением, оригиналы которых испытательный центр (лаборатория) направляет органу по сертификации, а копии - заявителю.
При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства, которые могут повлиять на характеристики этих средств защиты информации, заявитель извещает об этом орган по сертификации, который принимает решение о необходимости проведения новых испытаний этих средств.
Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных. 3.
Экспертиза результатов испытаний. Экспертизу результатов испытаний, оформление экспертного заключения и проекта сертификата, при соответствии результатов испытаний требованиям нормативных документов по защите информации, проводит орган по сертификации. Далее он направляет эти документы и технические условия на средство защиты информации в ФСТЭК России. 4.
Оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия. После утверждения экспертного заключения, согласования технических условий на средство защиты информации и присвоения сертификату регистрационного номера ФСТЭК России оформляет сертификат. Затем все документы выдаются заявителю.
Срок действия сертификата устанавливается не более чем на пять лет.
В случае несоответствия результатов испытаний требованиям стандартов или иных нормативных документов по защите информации ФСТЭК России принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. При несогласии с отказом заявитель имеет право обратиться в апелляционный совет ФСТЭК России для дополнительного рассмотрения материалов сертификации.
Получение сертификата дает изготовителю право получить у ФСТЭК России сертификационную лицензию на маркировку этих средств знаком соответствия. Форма знака соответствия устанавливается ФСТЭК России. Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации, не отвечающих требованиям нормативной и методической документации, указанной в сертификате.
Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в ФСТЭК России, которая не поз- днее двух месяцев после их получения уведомляет заявителя о признании или необходимости проведения сертификационных испытаний. В случае признания заявителю выдается сертификат установленного образца. 5.
Государственный контроль и надзор, инспекционный контроль соблюдения правил обязательной сертификации и сертифицированных средств защиты информагрш. Рассматриваемые виды контроля осуществляет ФСТЭК России, а их объем, содержание, порядок, периодичность и правила организации и проведения контроля за конкретными видами сертифицированных средств защиты устанавливаются нормативной и методической документацией, действующей в системе сертификации средств защиты информации.
Инспекционный контроль сертифицированных средств защиты информации осуществляет орган по сертификации, проводивший сертификацию этих средств защиты информации. По результатам контроля ФСТЭК России может приостановить или отменить действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом.
Решение об отмене действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям в силу следующих причин:
изменение нормативных и методических документов на средст ва защиты информации или методов испытаний и контроля;
изменение конструкции (состава) и комплектности средств защиты информации, системы контроля их качества;
невыполнение требований технологии изготовления, контроля, испытаний средств защиты информации;
отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за сертификацией и за сертифицированными средствами защиты информации.
Информация о приостановлении (отмене) действия сертификата или аттестата аккредитации немедленно доводится до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий). 6.
Информирование о сертификации средств защиты информации. Этот процесс является одной из важных функций ФСТЭК России. Она обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, в числе которой:
перечень средств защиты информации (их сертифицированных параметров), на которые выданы сертификаты; в перечень средств защиты информации (их сертифицированных параметров), на которые действие сертификатов отменено;
перечень органов по сертификации конкретных видов средств защиты информации;
перечень испытательных центров (лабораторий);
перечень нормативных документов, на соответствие требованиям которых проводится сертификация средств защиты информации, и методических документов по проведению сертификационных испытаний.
7. Рассмотрение апелляций. Апелляция подается в орган по сертификации, центральный орган системы сертификации или в апелляционный совет ФСТЭК России по вопросам, связанным с деятельностью испытательных центров (лабораторий), органов по сертификации и рассматривается в месячный срок с привлечением заинтересованных сторон. О принятом решении извещается податель апелляции.