Какие схемы сертификации средств защиты информации существуют. Система сертификации средств защиты информации

Сертификация средств защиты информации (СЗИ) неотъемлемый процесс жизненного цикла почти всех отечественных и многих зарубежных продуктов представленных сегодня рынке ИБ. Получение сертификата это своего рода это признание надежности и качества сертифицируемого продукта, а так же показатель авторитета и статуса компании-разработчика. Помимо этого сертифицируемый продукт позволяет использовать его для обеспечения защиты информации по требованиям ФСБ и ФСТЭК, например для защиты не только коммерческой, но и государственной тайны. Однако, для непосвященных сертификация это зачастую пугающе сложный и запутанный процесс вокруг которого выростают мифы. Вот сегодня в нашей публикации мы и попытаемся это чуть чуть изменить.

Начнем с того, что сертификация средств защиты информации производится в соответствии с "Положением о сертификации средств защиты информации" , утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г.

Согласно документа:

сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

А сам сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющихгосударственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, которыми являются:

• федеральный орган по сертификации;
• центральный орган системы сертификации - орган, возглавляющий систему сертификации однородной продукции;
• органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
• испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
• изготовители - продавцы, исполнители продукции.

Сертификация импортных средств защиты информации проводится по тем же правилам , что и отечественных.

Основными схемами проведения сертификации средств защиты информации являются:

• единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
• для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.

В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.

Основными органами сертификации в области технической защиты информации являются ФСБ России и ФСТЭК России . При этом ФСБ России действует в области криптографической защиты информации , а ФСТЭК России – в области технической защиты информации некриптографическими методами .

Требования по сертификации ФСБ России являются закрытыми, ознакомление с ними предполагает наличие специальных допусков, требования ФСТЭК России публикуются на официальном сайте и являются публичными.

Системы сертификации и требования

1. Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Гостехкомиссии России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408).

1. Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.

Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании» . Сертификация средств защиты информации может быть добровольной или обязательной — проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения.

Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются .

Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации.

Миф №1: сертификация – это торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией.

Миф №2: сертификацию проводят государственные органы. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации.

Миф № 3: сертификация нужна только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну.

Миф № 4: сертификация нужна только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др.

Миф № 5: зарубежный продукт нельзя сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей.

Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft — Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей.

Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.

Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.

Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.

Миф № 7: при сертификации ничего не находят. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы.

Миф № 8: продукт сертифицирован на отсутствие недекларированных возможностей – значит в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения — успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация.

Миф № 9: требования по анализу исходного кода существуют только в нашей стране. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909.

Миф № 10: сертификация стоит дорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой.

Сертификация не является универсальным способом решения всех существующих проблем в области информационной безопасности, однако сегодня это единственный реально функционирующий механизм, который обеспечивает независимый контроль качества средств защиты информации, и пользы от него больше, чем вреда. При грамотном применении механизм сертификации позволяет вполне успешно решать задачу достижения гарантированного уровня защищенности автоматизированных систем.

Заглядывая вперед, можно предположить, что сертификация как инструмент регулятора будет изменяться в направлении совершенствования нормативных документов, отражающих разумные требования по защите от актуальных угроз, с одной стороны, и в направлении улучшения методов проверки критических компонентов по критерию «эффективность/время» — с другой.

Постановление от 26 июня 1995 года № 608 устанавливает общие принципы организации систем сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, всеми ведомствами Российской Федерации, наделенными законом правом проводить подобную сертификацию.

Статьи постановления определяют : участников системы сертификации средств защиты информации; их права и обязанности; схемы проведения сертификационных испытаний; порядок выдачи, приостановления и аннулирования сертификатов; порядок оплаты услуг по сертификации; порядок контроля за качеством сертифицированных изделий; ответственность сторон за выполнение ими своих обязательств в системе сертификации.

Сертификация – это процесс, осуществляемый в отношении такой категории, как “изделие” (товар, средство), когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Таким образом, сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям.

Сертификация средств защиты информации осуществляется Гостехкомиссией России и ФАПСИ. При этом сертификация средств, отнесенных к компетенции ФАПСИ, определяется “Системой сертификации” средств криптографической защиты информации (СКЗИ)” РОСС.RU.0001.030001.

Данный документ представляет собой нормативный акт, который включает в себя положения и нормы, определяющие правила и общий порядок проведения сертификации в рассматриваемой предметной области. Он базируется на Законе Российской федерации “О сертификации продукции и услуг ”, иных нормативных актах, утвержденных Госстандартом России, и соответствует вытекающим из них требованиям к порядку, схеме проведения, а также организационной структуре систем сертификации. Тем самым учитываются сложившиеся к настоящему времени международные правила организации и проведения работ по сертификации продукции. Кроме того, в нем учтены и обобщены особенности и накопленный многолетний опыт работы в области защиты информации, оценки качества разрабатываемых и производимых средств защиты.

Порядок проведения сертификации средств защиты информации основан на следующих принципах.

1. Обязательность сертификации изделий, обеспечивающих защиту государственной тайны или подлежащих сертификации в соответствии с нормативными актами Российской Федерации. В настоящее время такое требование установлено для средств защиты информации в системах электронного документооборота, используемых для обмена с Центральным Банком России, а также для средств и систем государственных предприятий или предприятий, на которых размещен государственный заказ.

2. На сертификацию принимаются изделия только от заявителей, имеющих лицензию на соответствующие виды деятельности. Оформление установленным порядком права на осуществление деятельности в области защиты информации является первичным. Разрабатывать алгоритмы и средства защиты на их базе как продукцию, товар, предлагаемый на рынок, могут только предприятия, имеющие лицензию. В различных публикациях специалисты неоднократно указывали, что сами по себе даже высоконадежные средства защиты, в том числе криптографические алгоритмы или отдельные блоки и модули (аппаратные, аппаратно-программные и программные), реализующие часть процесса защиты, не могут обеспечить требуемый уровень защиты информации в комплексе. Например, без реализации специальных мер эти средства могут быть просто обойдены или необходимая информация может быть получена за счет побочных электромагнитных излучений и наводок. Для систем и комплексов, включающих совокупность явно различимых как самостоятельные изделия функционально и конструктивно законченных элементов, возможно оформление сертификата на каждый из них.

3. Процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты с учетом условий их эксплуатации.

4. Двухступенчатость процесса сертификации при независимости организаций, проводящих экспертизу и сертификационные испытания: сертификация средств защиты информации осуществляется Центральным органом по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).

5. Дифференцированность подхода к уровню защиты различных видов
информации.

6. Обязательность использования криптографических алгоритмов, являющихся стандартами или ранее рекомендованных либо разработанных ФАПСИ.

Специально подчеркнем, что факт одобрения ФАПСИ алгоритма до его технической реализации является одним из основных требований к представляемым на сертификацию изделиям криптозащиты. Это одобрение может быть осуществлено путем утверждения алгоритма: в качестве государственного стандарта; Правительством Российской Федерации; ФАПСИ. Следовательно, изделия, созданные на базе собственных оригинальных алгоритмов, ранее не представлявшихся в ФАПСИ, а также изделия, реализующие алгоритмы иностранной разработки или импортные шифровальные средства, на сертификацию не принимаются.

В зависимости от полноты реализуемой защиты для системы конфиденциального электронного документооборота устанавливаются три уровня обеспечения безопасности (сертификации) :

· уровень “А” – сертификат выдается на систему защиты в целом и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам, комплексное выполнение требований ФАПСИ к шифровальным средствам с учетом их программного окружения, наличие защищенной (без недокументированных возможностей) аппаратно-программной среды;

· уровень “В” – сертификат выдается на систему защиты, включающую шифровальные средства и их программное окружение, и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям ФАПСИ, выполнение требований ФАПСИ к программному окружению шифровальных средств;

· уровень “С” – сертификат выдается только на шифровальные средства и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям.

7. Принятие Центральным органом по сертификации и испытательными центрами (лабораториями) ответственности за выполнение возложенных на них функций в соответствии с действующим законодательством и договорными обязательствами.

8. Сертификационные испытания средств защиты информации могут осуществляться только аккредитованными испытательными сертификационными центрами. Действительное соответствие изделия государственным стандартам и гарантию удовлетворения требований по безопасности удостоверяет только сертификат Гостехкомиссии или ФАПСИ.

9. Принятие и неуклонное соблюдение заявителем правил, установленных в системе сертификации.

Действие выданного сертификата может быть приостановлено, или сертификат может быть вообще аннулирован по результатам инспекционного контроля за сертифицированными средствами защиты информации.

Причинами приостановления и аннулирования сертификата могут быть: изменение нормативных и методических документов на средства защиты информации или их элементов, а также на испытания и контроль; изменения конструкции, состава или комплектности средства защиты информации; невыполнение требований технологии или технических условий на изделие; отказ заявителя в допуске для проведения научно-технического и инспекционного контроля.

Организационная структура системы сертификации включает в себя Гостехкомиссию или ФАПСИ как Государственный орган по сертификации средств защиты информации, Центральный орган системы сертификации и Испытательные центры (лаборатории) средств защиты информации, а также заявителей.

В заключение необходимо отметить, что системы лицензирования и сертификации проходят сейчас стадию совершенствования с точки зрения развития правовой базы, механизма и правил их функционирования. Отсюда, разумеется, следует, что отдельные положения могут быть изменены, уточнены или дополнены.

ЧАСТЬ 3. организационно-техниЧеское
обеспеЧение ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

6. АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

После определения правовых основ безопасности АС и ИВС осуществляются практические мероприятия по созданию системы обеспечения безопасности информации (ОБИ). Указанные мероприятия включают следующие этапы :

1) разработка политики безопасности;

2) проведение анализа рисков;

3) планирование обеспечения информационной безопасности;

4) планирование действий в чрезвычайных ситуациях;

5) подбор механизмов и средств обеспечения информационной безопасности.

Первые два этапа обычно трактуются как выработка политики безопасности и составляют так называемый административный уровень системы ОБИ .

Третий и четвертый этапы заключаются в разработке процедур безопасности. На этих этапах формируется уровень планирования системы ОБИ .

На последнем этапе практических мероприятий определяется программно-технический уровень системы ОБИ .

Законы и стандарты в области информационной безопасности являются лишь отправным нормативным базисом ОБИ в АС и ИВС. Основу практического построения системы ОБИ составляет создание административного уровня системы, определяющее генеральное направление работ по ОБИ.

Целью административного уровня является формирование программы работ в области информационной безопасности и обеспечение ее выполнения. Программа представляет официальную политику безопасности, отражающую собственный концептуальный подход организации к ОБИ. Конкретизация политики безопасности выражается в планах по обеспечению информационной безопасности .

Валентин

Леонидович

кандидат технических наук, доцент

Никулин Михаил Юрьевич

Правовые основы сертификации средств защиты информации

Аннотация: в статье приведен обзор основных законодательных актов и нормативных документов, лежащих в основе сертификации средств защиты информации по требованиям безопасности информации. Рассматривается структура основных систем обязательной сертификации. Проводится сравнительный анализ правовых аспектов организации каждой из систем сертификации.

Ключевые слова: техническое регулирование, обязательная сертификация, защита тайн.

Задача сертификации средств защиты информации по требованиям безопасности информации возникает при построении автоматизированных систем различного уровня во многих отраслях экономики . Несмотря на то, что наиболее сложными при планировании и реализации сертификационных испытаний остаются технические аспекты, правовые особенности данного вида работ также имеют ряд нюансов и заслуживают отдельного рассмотрения.

В основе любого рода деятельности по оценке соответствия, и, в частности, сертификации средств защиты информации лежит Федеральный закон от 27.12.2002 г. №184-ФЗ «О техническом регулировании». В данном законе под подтверждением соответствия понимается документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. В свою очередь, одной из форм подтверждения соответствия является сертификация. В области информационной безопасности под сертификацией понимают деятельность третей стороны по подтверждению характеристик средств защиты информации требованиям нормативных документов по защите информации .

При этом Статья 5 названного ранее Закона №184-ФЗ ставит особняком вопросы технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну.

Тем самым различные виды сведений, отнесенных к категории ограниченного доступа (см. Таблицу 1), предполагают наличие различных нормативных требований для соответствующих средств защиты информации . Впрочем, на практике большая часть перечисленных в Таблице 1 видов тайн рассматривается просто как конфиденциальная

информация, особняком стоят вопросы организации сертификационных испытаний средств защиты информации, предназначенных для защиты государственной тайны, персональных

Таблица 1

данных, а также ряда более специфических видов защищаемой информации .

Так, например закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной

Сведения, отнесенные к категории ограниченного доступа Основания отнесения сведений к категории ограниченного доступа

Государственная тайна Статья 5 Закона РФ от 21.07.1993 N 5485-1 «О государственной тайне»

Указ Президента РФ от 30.11.1995 N 1203 «Об утверждении Перечня сведений, отнесенных к государственной тайне»

Коммерческая тайна Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне»

Статья 12 Федерального закона от 28.11.2011 № 335-ФЗ «Об инвестиционном товариществе»

Персональные данные Статья 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

Прочие виды тайн Соответствующие законы РФ

тайне» определяет именно сертификацию как единственную форму оценки соответствия таких средств защиты. Статья 28 Закона № 5485-1 гласит, что средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. При этом организация сертификации средств защиты информации возлагается на федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством Российской Федерации.

Тем самым, детализация требований по организации соответствующих систем сертификации возложена, соответственно, на ФСТЭК России, ФСБ России и Минобороны России. Все системы сертификации имеют схожую организационную структуру, указанную на рис. 1.

В ряде случаев федеральный орган выполняет роль органа по сертификации. Как правило, схема проведения сертификации выглядит следующим образом:

Заявитель (это либо разработчик, либо другая компания, заинтересованная в проведении сертификации) подает в федеральный орган по сертификации заявку на проведение сертификационных испытаний некоторого продукта.

Федеральный орган определяет испытательную лабораторию и орган по сертификации.

Испытательная лаборатория, находясь в постоянном контакте с заявителем, проводит сертификационные испытания. Если в процессе испытаний выявляются те или иные несоответствия заявленным требованиям, то они могут быть устранены заявителем в рабочем порядке - что происходит в большинстве случаев, или

Рис.1. Обобщенная структура основных систем сертификации

Правовая информатика

же может быть принято решение об изменении требований к продукту - например, о снижении класса защищенности. Безусловно, возможен вариант, когда сертификационные испытания завершаются с отрицательным результатом.

Детальные протоколы испытаний передаются в орган по сертификации, который проводит их независимую экспертизу. Как правило, в данной экспертизе участвуют не менее двух экспертов, которые независимо друг от друга должны подтвердить, что испытания проведены корректно и в полном объеме .

Федеральный орган по сертификации на основании заключения органа по сертификации оформляет сертификат соответствия.

Следует сказать, что заявитель на сертификацию должен иметь лицензию на право работы в области создания средств защиты информации, а испытательная лаборатория и орган по сертификации - соответственные аттестаты аккредитации .

Что касается документов, на соответствие которым проводятся сертификационные испытания, то они практически идентичны во всех системах сертификации. Существуют два основных подхода к сертификации - и, соответственно, два типа нормативных документов .

Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Такое тестирование чаще всего проводится на соответствие конкретному нормативному документу - например, одному из руководящих документов Гостехкомиссии России. Такие документы существуют, например, для межсетевых экранов, для средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде - например, в Технических условиях, или в виде Задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408). В системе сертификации ФСТЭК России для ряда классов СЗИ (в частности, для систем обнаружения вторжений и антивирусов) разработаны современные нормативные документы на базе «Общих критериев» .

Тестирование программного кода на отсутствие недекларированных возможностей - т.е. возможностей, не описанных или не соответствующих описанным в документации . Классическим примером недекларированных

возможностей являются программные закладки - внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию . Выявление недекларированных возможностей предполагает проведение определенных тестов в отношении исходных текстов программного обеспечения - соответственно, предоставление исходных текстов является необходимым условием для возможности проведения сертификационных испытаний .

В большинстве случаев средство защиты информации должно быть сертифицировано как в части основного функционала, так и на предмет отсутствия недекларированных возможностей.

Важным моментом сертификации является выбор схемы сертификации, а именно: партии (одного или нескольких изделий) или серии (типового образца). В случае серии организация-заявитель должна дополнительно пройти спецэкспертизу по проверке возможности осуществлять производство средств защиты информации. В настоящее время Техническим комитетом по стандартизации ТК-362 «Защита информации» проводятся изыскания по формированию требований к системам менеджмента информационной безопасности в части управления безопасным производством программных СЗИ .

В заключение необходимо отметить, что на сегодняшний день фактически не существует процедуры взаимного признания сертификатов соответствия между различными системами сертификации средств защиты информации - существуют лишь единичные случаи, когда решение о возможности использования материалов испытаний, полученных в рамках работ в другой системе, принимается федеральным органом по сертификации в индивидуальном порядке. На наш взгляд, разработка системы унификации требований могла бы стать интересным направлением нормотворческой деятельности.

Литература

1. Барабанов А. В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1(1). - С.37-41.

2. Барабанов А.В., Марков А.С., Фадин А.А. Сертификация программ без исходных тек-

стов // Открытые системы. СУБД. 2011. № 4. - С.38-41.

3. Барабанов А.В., Марков А.С., Цирлов В.Л. Сертификация систем обнаружения вторжений // Открытые системы. СУБД. 2012. № 3. - С.31-33.

4. Барабанов А.В., Марков А.С., Цирлов В.Л. Сертификация средств антивирусной защиты по новым требованиям безопасности информации // Вестник МГТУ им. Н.Э. Баумана. Сер. «Приборостроение». 2012. Спецвыпуск №5 «Информатика и системы управления». - С.272-278.

5. Барабанов В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь. 2011. № 3. - С. 48-52.

6. Жидков И.В., Кадушкин И.В. О признаках потенциально опасных событий в информационных системах // Вопросы кибербезо-пасности. 2014. № 1(2). - С. 40-48.

7. Клянчин А.И. Каталог закладок АНБ (Spigel). Часть 1. Инфраструктура // Вопросы кибер-безопасности. 2014. № 2 (3). - С. 60-65.

8. Марков А.С., Миронов С.В., Цирлов В.Л. Выявление уязвимостей программного обеспечения в процессе сертификации // Известия Южного федерального университета. Технические науки. 2006. Т. 62. № 7. - С. 82-87.

9. Марков А.С., Цирлов В.Л. Опыт выявления уязвимостей в зарубежных программных

продуктах // Вопросы кибербезопасности. 2013. № 1(1). - С.42-48.

10. Марков А.С., Цирлов В.Л. Сертификация программ: мифы и реальность // Открытые системы. СУБД. 2011. № 6. - С.26-29.

11. Марков А.С., Цирлов В.Л., Маслов В.Г., Олексенко И.А. Тестирование и испытания программного обеспечения по требованиям безопасности информации // Известия Института инженерной физики. 2009. Т.2, №12. - С.2-6.

12. Матвеев В.А., Цирлов В.Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2014 г. // Вопросы кибербезопасности. 2013. № 1(1). - С.61-64.

13. Рибер Г., Малмквист К., Щербаков А. Многоуровневый подход к оценке безопасности программных средств // Вопросы кибербе-зопасности. 2014. № 1(2). - С. 36-39.

14. Федичев А.В., Артамошин С.А. Систематизация видов отношений и ответственности при получении доступа к информации // Вопросы кибербезопасности. 2014. № 2 (3). - С. 51-59.

15. Шахалов И.Ю. Лицензирование деятельности по технической защите конфиденциальной информации // Вопросы кибербезопас-ности. 2013. № 1(1). - С.49-54.

16. Шахалов И.Ю., Дорофеев А.В. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. № 3. - С. 4-14.

Одним из обязательных условий получения лицензии на работу с государственной тайной является наличие в организации сертифицированных средств защиты информации.

Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации основной функции – защиты информации на основании государственных стандартов и требований по безопасности информации . Применительно к сведениям, составляющим государственную тайну, общие принципы организации сертификации средств защиты информации определены нормами статьи 28 Закона РФ "О государственной тайне" – средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Федеральное агентство контроля экспорта и технологий, Министерство обороны РФ в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ. Одним из основных руководящих документов по сертификации защиты информации в настоящее время является Положение о сертификации средств защиты информации, утвержденное Постановлением Правительства РФ от 25.06.95 г. № 608, реализующим нормы Закона РФ "О сертификации продукции и услуг".

Порядок проведения сертификации основан на следующих принципах :

1. Обязанность сертификации изделий, обеспечивающих защиту государственной тайны.

2. Обязательность использования криптографических алгоритмов, являющихся стандартами.

3. Принятие на сертификацию только изделий от заявителей, имеющих лицензию.

Таким образом, в соответствии с вышеназванными документами разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации; государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в т.ч. электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата.

Осуществляется следующий порядок сертификации (рис. 4.2.):

1. В Центральный орган по сертификации (орган, аккредитованный ФСТЭК России) подается заявление и полный комплект технической документации.

2.Центральный орган назначает испытательный центр (лабораторию) для проведения испытания.

3. Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром.

4. Сертификация (экспертиза материалов и подготовка документов для выдачи) осуществляется Центральным органом. Сертификат выдается на срок до 5 лет.

Кроме указанных целей, сертификация средств защиты информации необходима также для решения вопросов экономической безопасности организации в связи с постоянным ростом компьютерных преступлений. Правовой основой предупреждения компьютерных преступлений является Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03.04.95 г. Приведем некоторые выдержки из данного указа:

· государственным организациям и предприятиям запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата;

· запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата;

· запретить деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии;

· запретить ввоз на территорию России не лицензированных шифровальных средств и защищенной техники иностранного производства.

После получения сертификата на право оказания услуг за организацией осуществляется государственный контроль (надзор) по соблюдению требований технических регламентов.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации федеральный орган по сертификации и аттестации, которым является ФСТЭК России.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну и ведения секретных переговоров.

Аттестация предусматривает комплексную проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса меp и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Литература

1. Аверченков, В.И. Аудит информационной безопасности: учеб. пособие/В.И. Аверченков. – Брянск: БГТУ, 2005 – 269 с.

2. Аверченков, В.И. Организационная защита информации: учеб. пособие/В.И. Аверченков, М.Ю. Рытов – Брянск: БГТУ, 2005 – 184с.

3. Аверченков, В.И., Служба защиты информации: организация и управление: учеб. пособие / В.И. Аверченков, М.Ю. Рытов – Брянск: БГТУ, 2005 – 186с.

4. Аверченков, В.И. Система обеспечения безопасности Российской Федерации: учеб. пособие / В.И. Аверченков, В.В. Ерохин. – Брянск: БГТУ, 2005. – 120 с.

5. Аверченков, В.И. Системы защиты информации в ведущих зарубежных странах: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов, Г.В. Кондрашин, М.В. Рудановский. – Брянск: БГТУ, 2007. – 225 с

6. Домарев, В.В. Безопасность информационных технологий. Системный подход / В.В. Домарев – Киев: ООО «ТиД», 2004. – 914с.

7. Медведовский, И.Д. Практическое применение международного стандарта безопасности информационных систем ISO 17799 www.dsec.ru/cd-courses/iso 17799 cd.php/

8. Петренко, С.А. Аудит безопасности Iuranrt / С.А. Петренко, А.А.Петренко – М: Академии АиТи: ДМК Пресс, 2002. – 438с.

9. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность/ С.А. Петренко, С.В. Симонов – М: Академия АиТи: ДМК Пресс, 2004. – 384с.

10. Покровский, П. Оценка информационных рисков/ П. Покровский – 2004. – №10. Изд-во «Открытые системы» (www.osp.ru).

11. Семкин, С.И. Основы организационного обеспечения информационной безопасности объектов информатизации: учеб. пособие. / С.И. Семкин, Э.В. Беляков, С.В. Гребнев, В.И. Козичок – М: Гелиос АРВ, 2005 – 192 с.

13. www.rg.ru – Интернет-сайт «Российской Газеты».

14. www.fstek.ru - Официальный сайт ФСТЭК России.

15. www.fsb.ru - Официальный сайт ФСБ России.

16. www.egovernment.ru - Интернет - журнал “Информационная безопасность”.

17. www.gtk.lissi.ru - Официальные документы Гостехкомисссии России.

18. www.gdezakon.ru - Интернет - сайт “Полное собрание законов России”.

19. www.law.yarovoiy.com - - Интернет - сайт “Все законы России”.

20. Галатенко, А. Активный аудит/ А. Галатенко // Jet Info on line.– 1999.– №8(75). article 1.8. 1999……

21. Гузик, С. Зачем проводить аудит информационных систем? /С. Гузик // Jet Info on line. – 2000. – 10 (89). articlel.10.2000.

22. Кобзарев, М Методология оценки безопасности информационных технологий по общим критериям / М. Кобзарев, А. Сидак // Jet Info on line. – 2004. – 6 (133). article 1.6.2004.

23. Петренко, С Информационная безопасность: Экономические аспекты / С. Петренко, С. Симонов, Р. Кислов // Jet Info on line. – 2003 – №10 (125). article 1.10.2003.

©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-08-07

Общие положения

Организационная структура системы сертификации

Средств защиты информации по требованиям безопасности

Информации

Порядок проведения сертификации и контроля

Требования к нормативным и методическим документам по

Сертификации средств защиты информации

Приложение 1

Приложение 2

Приложение 3

Приложение 4

Приложение 5

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств защиты по требованиям безопасности информации, а также государственный контроль и надзор за сертификацией и сертифицированными средствами защиты информации.

Под средствами защиты информации понимаются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Под сертификацией средств защиты информации по требованиям безопасности информации (далее - сертификацией) понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).

1.2. Положение разработано в соответствии с Законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 “О сертификации средств защиты информации”, "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", на основании "Системы сертификации ГОСТ Р" и "Правил по проведению сертификации в Российской Федерации".

1.3. Система сертификации средств защиты информации по требованиям безопасности информации включает в себя и аттестацию объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.

Под объектами инфоpматизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Основные принципы, организационная структура системы аттестации объектов информатизации по требованиям безопасности информации, правила проведения, а также другие вопросы аттестации определяются "Положением по аттестации объектов информатизации по требованиям безопасности информации".

Деятельность системы сертификации организует Гостехкомиссия России в пределах ее компетенции, определенной законодательными и иными нормативными актами Российской Федерации.

1.4. Целями создания системы сертификации являются:

обеспечение реализации требований государственной системы защиты информации;

создание условий для качественного и эффективного обеспечения потребителей сертифицированными средствами защиты информации;

обеспечение национальной безопасности в сфере информатизации;

содействие формированию рынка защищенных информационных технологий и средств их обеспечения;

формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современных требований по защите информации;

поддержка проектов и программ информатизации.

1.5. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается Гостехкомиссией России и согласовывается с Межведомственной комиссией по защите государственной тайны. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.

1.6. Основными схемами сертификации средств защиты информации являются:

для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации;

для серийного производства средств защиты информации- проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе. По согласованию с органом по сертификации по требованиям безопасности информации могут быть использованы и другие схемы сертификации, применяемые в международной практике.

1.7. Сертификация средств защиты информации осуществляется Гостехкомиссией России и аккредитованными органами по сертификации, а испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с Гостехкомиссией России или органом по сертификации допускается проведение испытаний на испытательной базе разработчика (изготовителя, поставщика, потребителя) данного средства защиты информации.

Правила аккредитации определяются действующим в системе “Положением об аккредитации испытательных центров (лабораторий) и органов по сертификации средств защиты информации.

1.8. Порядок оплаты работ по сертификации конкретных средств защиты информации производится заявителем на основании договоров между участниками сертификации. Сумма средств, израсходованных заявителем на проведение сертификации средства защиты информации, относится на ее себестоимость.

1.9. Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственной тайны, других конфиденциальных сведений, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав заявителя при испытаниях его средств защиты информации.

2. ОРГАНИЗАЦИОННАЯ СТРУКТУРА СИСТЕМЫ СЕРТИФИКАЦИИ

2.1. Организационную структуру системы сертификации образуют:

Гостехкомиссия России (федеральный орган по сертификации средств защиты информации);

центральный орган системы сертификации средств защиты информации;

органы по сертификации средств защиты информации;

испытательные центры (лаборатории);

заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).

2.2. Гостехкомиссия России в пределах своей компетенции осуществляет следующие функции:

создает систему сертификации средств защиты информации и устанавливает правила проведения сертификации конкретных видов средств защиты информации в этой системе;

организует функционирование системы сертификации средств защиты информации;

определяет перечень средств защиты информации, подлежащих обязательной сертификации в данной системе;

устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;

организует и финансирует разработку нормативных и методических документов системы сертификации средств защиты информации;

определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;

утверждает нормативные документы по безопасности информации, на соответствие которым проводится сертификация средств защиты информации в системе, и методические документы по проведению сертификационных испытаний;

аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ;

ведет государственный реестр участников и объектов сертификации;

осуществляет государственный контроль и надзор и устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными средствами защиты информации;

рассматривает апелляции по вопросам сертификации;

представляет на государственную регистрацию в Госстандарт России систему сертификации и знак соответствия;

организует периодическую публикацию информации о сертификации;

осуществляет взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации, принимает решение о признании международных и зарубежных сертификатов;

организует подготовку и аттестацию экспертов - аудиторов;

выдает сертификаты и лицензии на применение знака соответствия;

приостанавливает либо отменяют действие выданных сертификатов.

Гостехкомиссия России может передавать некоторые из своих функций центральному органу системы сертификации и органам по сертификации.

2.3. Центральный орган системы сертификации средств защиты информации:

координирует деятельность органов по сертификации и испытательных центров (лабораторий), входящих в систему;

разрабатывает предложения по номенклатуре средств защиты информации, сертифицируемых в системе и представляет их в Гостехкомиссию России;

участвует в работах по совершенствованию фонда нормативных документов, на соответствие которым проводится сертификация средств защиты информации в системе, и методических документов по проведению сертификационных испытаний;

участвует в рассмотрении апелляций по поводу действий органов по сертификации и испытательных центров (лабораторий), входящих в систему;

участвует в аккредитации органов по сертификации и испытательных центров (лабораторий) по сертификации средств защиты информации, входящих в систему;

ведет учет входящих в систему органов по сертификации и испытательных центров (лабораторий), выданных и аннулированных сертификатов и лицензий на применение знака соответствия, нормативных и методических документов, содержащих правила, требования, методики и рекомендации по сертификации;

обеспечивает участников сертификации информацией о деятельности системы и готовит необходимые материалы для опубликования.

2.4. Органы по сертификации средств защиты информации в пределах установленной области аккредитации:

определяют схему проведения сертификации конкретных средств защиты информации с учетом предложений заявителя;

уточняют требования на соответствие которым проводятся сертификационные испытания;

утверждают программы и методики проведения сертификационных испытаний;

проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний этих средств;

оформляют экспертное заключение по сертификации средств защиты информации, проекты сертификатов и лицензий на применение знака соответствия и представляют их в Гостехкомиссию России;

организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации;

участвуют в аккредитации испытательных центров (лабораторий);

участвуют в инспекционном контроле за стабильностью характеристик сертифицированных средств защиты информации и за деятельностью испытательных центров (лабораторий);

хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации;

ходатайствует перед Гостехкомиссией России об отмене действия выданных сертификатов;

формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке;

представляют заявителю необходимую информацию по сертификации.

2.5. Испытательные центры (лаборатории) в пределах установленной области аккредитации:

осуществляют сертификационные испытания конкретных средств защиты информации, оформляют заключения и протоколы сертификационных испытаний, разрабатывают программы и методики сертификационных испытаний;

осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;

участвуют в предварительной проверке (аттестации) производства сертифицируемых средств защиты информации.

Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования.

2.6. Заявители (разработчики, изготовители, поставщики, потребители средств защиты информации):

обеспечивают соответствие средств защиты информации требованиям нормативных документов по безопасности информации;

осуществляют подготовку производства и принимают меры для обеспечения стабильности характеристик средств защиты информации, определяющих безопасность информации;

указывают в технической документации сведения о сертифицированном средстве защиты информации, нормативных документах, которым оно должно соответствовать, обеспечивают доведение этой информации до потребителя;

маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;

применяют сертификат и знак соответствия, руководствуясь законодательными актами Российской Федерации и правилами системы сертификации;

извещают орган по сертификации и испытательный центр (лабораторию), проводивших сертификацию, о всех изменениях в технологии, конструкции (составе) сертифицированных средств защиты информации для принятия решения о необходимости проведения повторной сертификации данных средств защиты информации;

обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих инспекционный контроль за сертифицированными средствами защиты информации;

приостанавливают или прекращают реализацию средств защиты информации, если они не отвечают требованиям нормативных документов, а также по истечению срока действия сертификата, при приостановке его действия или отмены;

при обнаружении несоответствия сертифицированных средств защиты информации требованиям нормативных документов осуществляют мероприятия по доработке этих средств защиты информации и проведения сертификационных испытаний.

Заявители (разработчики, изготовители, поставщики) должны иметь лицензию Гостехкомиссии России на соответствующий вид деятельности.

2.7. Органы по сертификации и испытательные центры (лаборатории) аккредитуются Гостехкомиссией России.

Органы по сертификации и испытательные центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям конкретных средств защиты информации в своей области аккредитации.

Аккредитация производится только при наличии лицензии Гостехкомиссии России на соответствующие виды деятельности.

Аккредитация в качестве органов по сертификации и испытательных центров (лабораторий) предприятий, подведомственных федеральным органам исполнительной власти, осуществляется по представлению этих органов власти.

3. ПОРЯДОК ПРОВЕДЕНИЯ СЕРТИФИКАЦИИ И КОНТРОЛЯ

3.1. Порядок проведения сертификации включает следующие действия:

подачу и рассмотрение заявки на сертификацию средств защиты информации; испытания сертифицируемых средств защиты информации и аттестация их производства;

экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;

осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации.

информирование о результатах сертификации средств защиты информации;

рассмотрение апелляций.

3.2. Подача и рассмотрение заявки на сертификацию средств защиты информации.

3.2.1. Заявитель для получения сертификата направляет в Гостехкомиссию России заявку (Приложение 1) на проведение испытаний с указанием схемы проведения сертификации, стандартов и иных нормативных документов, на соответствие требованиям которых должна проводиться сертификация.

3.2.2. Гостехкомиссия России в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение на проведение сертификации (Приложении 2). По желанию заявителя орган по сертификации и испытательный центр (лаборатория) могут быть изменены.

После получения решения заявитель обязан представить в орган по сертификации и испытательный центр (лабораторию) средства защиты информации согласно ТУ на это средство, а также комплект технической и эксплуатационной документации, согласно нормативных документов по ЕСКД, ЕСПД на сертифицируемое средство защиты информации.

3.3. Испытания сертифицируемых средств защиты информации в испытательных центрах (лабораториях).

3.3.1. Испытания сертифицируемых средств защиты информации проводятся на образцах, конструкция, состав и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю, заказчику по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации. Техническая и эксплуатационная документация на серийные средства защиты информации должна иметь литеру не ниже “О1” (по ЕСКД).

Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов на данный вид средства защиты информации.

В случае отсутствия на момент сертификации испытательных центров (лабораторий) орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.

3.3.2. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией).

3.3.3. По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов средств защиты информации в испытательном центре (лаборатории).

3.3.4. Результаты испытаний оформляются протоколами и заключением, которые направляются испытательным центром (лабораторией) органу по сертификации, а в копии - заявителю.

3.3.5, При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства, которые могут повлиять на характеристики средств защиты информации, заявитель (разработчик, изготовитель, поставщик) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых испытаний этих средств защиты информации.

3.3.6. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.

3.4. Экспертиза результатов испытаний, оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия.

3.4.1. Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение. При соответствии результатов испытаний требованиям нормативных документов по защите информации орган по сертификации оформляет проект сертификата, который вместе с экспертным заключением и ТУ на средство защиты информации направляет в Гостехкомиссию России.

После утверждения экспертного заключения, согласования ТУ на средство защиты информации, присвоения сертификату регистрационного номера Гостехкомиссия России оформляет сертификат (Приложение 3) и все документы затем выдаются заявителю. Срок действия сертификата устанавливается не более, чем на пять лет.

При несоответствии результатов испытаний требованиям стандартов или иных нормативных документов по защите информации Гостехкомиссия России принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет Гостехкомиссии России для дополнительного рассмотрения материалов сертификации.

3.4.2. Получение изготовителем средств защиты информации сертификата дает ему право получить у Гостехкомиссии России сертификационную лицензию (Приложение 4) на маркировку этих средств знаком соответствия. Форма знака соответствия устанавливается Гостехкомиссией России (Приложение 5).

Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации, не отвечающих требованиям нормативной и методической документации, указанной в сертификате.

3.4.3. Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в Гостехкомиссию России, которая извещает заявителя о признании или необходимости проведения сертификационных испытаний не позднее двух месяцев после их получения. В случае признания - заявителю выдается сертификат установленного образца (Приложение 3).

3.5. Государственный контроль и надзор, инспекционный контроль за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации.

3.5.1. Государственный контроль и надзор за соблюдением заявителями, испытательными центрами (лабораториями), органами по сертификации правил обязательной сертификации и за сертифицированными средствами защиты информации осуществляет Гостехкомиссия России. Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации, действующей в системе сертификации средств защиты информации.

3.5.2. Инспекционный контроль за сертифицированными средствами защиты информации осуществляет орган по сертификации, проводивший сертификацию этих средств защиты информации. Общие правила инспекционного контроля за конкретными видами сертифицированных средств защиты информации устанавливаются в нормативных и методических документах системы сертификации средств защиты информации. Периодичность и объемы испытаний сертифицированных средств защиты информации в испытательных центрах (лабораториях) должны предусматриваться в нормативных и методических документах по сертификации конкретных видов средств защиты информации.

3.5.3. По результатам контроля Гостехкомиссия России может приостановить или отменить действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом. Решение об отмене действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям. Причинами, которые могут заставить принять такое решение, являются:

изменение нормативных и методических документов на средства защиты информации или методов испытаний и контроля;

изменение конструкции (состава), комплектности средств защиты информации, системы контроля их качества;

невыполнение требований технологии изготовления, контроля, испытаний средств защиты информации;

отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за сертификацией и за сертифицированными средствами защиты информации.

3.5.4. Информация о приостановлении (отмене) действия сертификата или аттестата аккредитации немедленно доводится до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий).

3.6. Информирование о сертификации средств защиты информации.

3.6.1. Гостехкомиссия России обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, включающей: перечень средств защиты информации (их сертифицированных параметров), на которые выданы сертификаты; перечень средств защиты информации (их сертифицированных параметров), на которые действие сертификатов отменено; перечень органов по сертификации конкретных видов средств защиты информации; перечень испытательных центров (лабораторий); перечень нормативных документов, на соответствие требованиям которых проводится сертификация средств защиты информации, и методических документов по проведению сертификационных испытаний.

3.7. Рассмотрение апелляций.

3.7.1. Апелляция подается в орган по сертификации, центральный орган системы сертификации или в апелляционный совет Гостехкомиссии России по вопросам, связанным с деятельностью соответственно испытательных центров (лабораторий), органов по сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон. О принятом решении извещается податель апелляции.

4. ТРЕБОВАНИЯ К НОРМАТИВНЫМ И МЕТОДИЧЕСКИМ

ДОКУМЕНТАМ ПО СЕРТИФИКАЦИИ

СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

4.1. Сертификация отечественных и импортируемых средств защиты информации проводится на соответствие требованиям государственных стандартов и иных нормативных документов по безопасности информации, утвержденных Гостехкомиссией России, указываемых в заявке, программах и методиках испытаний.

Стандарты на методы испытаний являются обязательными, если в документации на средства защиты информации в части проверки технических характеристик, подлежащих сертификации, установлена ссылка на этот стандарт.

4.2. При утверждении нормативных и методических документов экспертное заключение о них должно содержать сведения об их пригодности для целей сертификации.

4.3. Тексты нормативных и методических документов, используемых при сертификации средства защиты информации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование. В разделе “Область применения” должно содержаться указание о возможности использования документа (стандарты, технические требования и т.д.) для целей сертификации.

4.4. В специальном разделе или путем ссылки на другой нормативный или методический документ должны быть установлены методы, условия, объем и порядок испытаний для определения показателей, характеристик и требований, проверяемых при сертификации. Содержание и изложение этих сведений должны быть таковы, чтобы свести к минимуму погрешности результатов испытаний и позволить квалифицированному персоналу любого испытательного центра (лаборатории) получать сопоставимые результаты. Должна быть указана последовательность проведения испытаний, если эта последовательность влияет на результаты испытаний.

4.5. В разделе “Маркировка” должны содержаться требования, которые обеспечивают однозначную идентификацию средства защиты информации, а также указания о способе нанесения знака соответствия.

4.6. Официальным языком системы является русский. Все нормативные и методические документы системы сертификации оформляются на русском языке.

Приложение 1

Кому________________________________________________________________

(наименование федерального органа по сертификации, адрес)

на проведение сертификации средства защиты информации в системе

Сертификации по требованиям безопасности информации

№ POCC RU. 0001. 01БИОО

1._____________________________

(наименование заявителя, адрес)

просит провести сертификацию следующей продукции:

______________

_____________________________________________________________________

(наименование продукции, код ОКП, шифр)

по требованиям безопасности информации на соответствие

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

2. Заявитель предлагает провести испытания продукции по схеме

_____________________________________________________________________________________________________________

(указывается схема сертификации)

в____________________________________________________________________________________________________________

(наименование испытательного центра (лаборатории))

3. Заявитель обязуется:

выполнять все условия сертификации;

Обеспечивать стабильность сертифицированных характеристик средств защиты информации, маркированных знаком соответствия;

Оплатить все расходы по проведению сертификации.

5. Дополнительные условия или сведения для договора:

а) предварительную проверку производства предлагаем провести в период _____________________________________________________________________________________________________________

Гербовой печати

Фамилия И.О

(подпись)

________________

Приложение 2

______________________________________________________

№ POCC RU. 0001. 01БИОО

от “_____” __________________199__ г.

по заявке на проведение сертификации

Рассмотрев заявку_____________________________________________________________________________________________

(наименование заявителя)

на сертификацию_______________________________________________________________________________________________

(наименование продукции)

сообщаем:

1. Сертификация будет проведена ________________________________________________________________________________

_____________________________________________________________________________________________________________

(наименование органа по сертификации, адрес)

2. Испытания сертифицируемой продукции следует провести в__________________________________________________________

_____________________________________________________________________________________________________________

(наименование испытательного центра (лаборатории), адрес)

3. Сертификация будетпроведена на соответствие требованиям

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

(наименование нормативных и методических документов)

4. Инспекционный контроль будет осуществлять

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

(наименование организации, адрес)

путем испытаний образцов, взятых в торговле и (или) у изготовителя с периодичностью _____________________________________________________________________________________________________________

Гербовой печати

Фамилия И.О

(подпись)

________________

Приложение 3

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ

ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

______________________________________________________

СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

№ POCC RU. 0001. 01БИОО

СЕРТИФИКАТ

№ ______________

Выдан “___”_____________ 199 г.

Действителен до “___”_____________ 199 г.

Настоящий сертификат удостоверяет, что:

1. ___________________________________________________________________________________________________________

(наименование вида продукции, код, № ТУ)

соответствует требованиям______________________________________________________________________________________

_____________________________________________________________________________________________________________

(перечисление конкретных стандартов или нормативных документов, на соответствие которым проведены сертификационные испытания)

2. Сертификат выдан на основании экспертного заключения ____________________________________________________________

_____________________________________________________________________________________________________________

(наименование органа по сертификации)

и результатов испытаний указанной продукции _______________________________________________________________________

_____________________________________________________________________________________________________________

(наименование испытательного центра (лаборатории))

3. Заявитель__________________________________________________________________________________________________

_____________________________________________________________________________________________________________

(наименование организации-заявителя, адрес)

Гербовой печати

Фамилия И.О

(подпись)

________________

Приложение 4

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ

ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

______________________________________________________

СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

№ POCC RU. 0001. 01БИОО

СЕРТИФИКАЦИОННАЯ ЛИЦЕНЗИЯ

Выдана “___”_____________ 199 г.

Действительна до “___”_____________ 199 г.

Настоящая сертификационная лицензия выдана _____________________________________________________________________

_____________________________________________________________________________________________________________

(наименование предприятия-изготовителя, адрес)

на применение знака соответствия для маркирования _________________________________________________________________

_____________________________________________________________________________________________________________

(наименование вида продукции)

Гербовой печати

Фамилия И.О

(подпись)

________________

Приложение 5

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ

ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ