Сертификация средств защиты и аттестация объектов информатизации. Особенности сертификации средств защиты информации
Live Journal
Facebook
TwitterОдним из обязательных условий получения лицензии на работу с государственной тайной является наличие в организации сертифицированных средств защиты информации.
Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации основной функции – защиты информации на основании государственных стандартов и требований по безопасности информации . Применительно к сведениям, составляющим государственную тайну, общие принципы организации сертификации средств защиты информации определены нормами статьи 28 Закона РФ "О государственной тайне" – средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Федеральное агентство контроля экспорта и технологий, Министерство обороны РФ в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ. Одним из основных руководящих документов по сертификации защиты информации в настоящее время является Положение о сертификации средств защиты информации, утвержденное Постановлением Правительства РФ от 25.06.95 г. № 608, реализующим нормы Закона РФ "О сертификации продукции и услуг".
Порядок проведения сертификации основан на следующих принципах :
1. Обязанность сертификации изделий, обеспечивающих защиту государственной тайны.
2. Обязательность использования криптографических алгоритмов, являющихся стандартами.
3. Принятие на сертификацию только изделий от заявителей, имеющих лицензию.
Таким образом, в соответствии с вышеназванными документами разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации; государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в т.ч. электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата.
Осуществляется следующий порядок сертификации (рис. 4.2.):
1. В Центральный орган по сертификации (орган, аккредитованный ФСТЭК России) подается заявление и полный комплект технической документации.
2.Центральный орган назначает испытательный центр (лабораторию) для проведения испытания.
3. Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром.
4. Сертификация (экспертиза материалов и подготовка документов для выдачи) осуществляется Центральным органом. Сертификат выдается на срок до 5 лет.
Кроме указанных целей, сертификация средств защиты информации необходима также для решения вопросов экономической безопасности организации в связи с постоянным ростом компьютерных преступлений. Правовой основой предупреждения компьютерных преступлений является Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03.04.95 г. Приведем некоторые выдержки из данного указа:
· государственным организациям и предприятиям запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата;
· запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата;
· запретить деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии;
· запретить ввоз на территорию России не лицензированных шифровальных средств и защищенной техники иностранного производства.
После получения сертификата на право оказания услуг за организацией осуществляется государственный контроль (надзор) по соблюдению требований технических регламентов.
Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации федеральный орган по сертификации и аттестации, которым является ФСТЭК России.
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну и ведения секретных переговоров.
Аттестация предусматривает комплексную проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса меp и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Литература
1. Аверченков, В.И. Аудит информационной безопасности: учеб. пособие/В.И. Аверченков. – Брянск: БГТУ, 2005 – 269 с.
2. Аверченков, В.И. Организационная защита информации: учеб. пособие/В.И. Аверченков, М.Ю. Рытов – Брянск: БГТУ, 2005 – 184с.
3. Аверченков, В.И., Служба защиты информации: организация и управление: учеб. пособие / В.И. Аверченков, М.Ю. Рытов – Брянск: БГТУ, 2005 – 186с.
4. Аверченков, В.И. Система обеспечения безопасности Российской Федерации: учеб. пособие / В.И. Аверченков, В.В. Ерохин. – Брянск: БГТУ, 2005. – 120 с.
5. Аверченков, В.И. Системы защиты информации в ведущих зарубежных странах: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов, Г.В. Кондрашин, М.В. Рудановский. – Брянск: БГТУ, 2007. – 225 с
6. Домарев, В.В. Безопасность информационных технологий. Системный подход / В.В. Домарев – Киев: ООО «ТиД», 2004. – 914с.
7. Медведовский, И.Д. Практическое применение международного стандарта безопасности информационных систем ISO 17799 www.dsec.ru/cd-courses/iso 17799 cd.php/
8. Петренко, С.А. Аудит безопасности Iuranrt / С.А. Петренко, А.А.Петренко – М: Академии АиТи: ДМК Пресс, 2002. – 438с.
9. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность/ С.А. Петренко, С.В. Симонов – М: Академия АиТи: ДМК Пресс, 2004. – 384с.
10. Покровский, П. Оценка информационных рисков/ П. Покровский – 2004. – №10. Изд-во «Открытые системы» (www.osp.ru).
11. Семкин, С.И. Основы организационного обеспечения информационной безопасности объектов информатизации: учеб. пособие. / С.И. Семкин, Э.В. Беляков, С.В. Гребнев, В.И. Козичок – М: Гелиос АРВ, 2005 – 192 с.
13. www.rg.ru – Интернет-сайт «Российской Газеты».
14. www.fstek.ru - Официальный сайт ФСТЭК России.
15. www.fsb.ru - Официальный сайт ФСБ России.
16. www.egovernment.ru - Интернет - журнал “Информационная безопасность”.
17. www.gtk.lissi.ru - Официальные документы Гостехкомисссии России.
18. www.gdezakon.ru - Интернет - сайт “Полное собрание законов России”.
19. www.law.yarovoiy.com - - Интернет - сайт “Все законы России”.
20. Галатенко, А. Активный аудит/ А. Галатенко // Jet Info on line.– 1999.– №8(75). article 1.8. 1999……
21. Гузик, С. Зачем проводить аудит информационных систем? /С. Гузик // Jet Info on line. – 2000. – 10 (89). articlel.10.2000.
22. Кобзарев, М Методология оценки безопасности информационных технологий по общим критериям / М. Кобзарев, А. Сидак // Jet Info on line. – 2004. – 6 (133). article 1.6.2004.
23. Петренко, С Информационная безопасность: Экономические аспекты / С. Петренко, С. Симонов, Р. Кислов // Jet Info on line. – 2003 – №10 (125). article 1.10.2003.
©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-08-07
Согласно Закону Российской Федерации «О государственной тайне» средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Кроме того, в соответствии с «Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам» (постановление Совета Министров - Правительства Российской Федерации от 15.09.1993 № 912-51) информация, содержащая сведения, отнесённые к государственной или служебной тайне, должна обрабатываться с использованием защищённых систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке. Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесённые к государственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия принимаемых методов, мер и средств защиты требуемому уровню безопасности информации.
Также следует отметить, что согласно требованиям «Положения о лицензировании деятельности по технической защите конфиденциальной информации» (постановление Правительства Российской Федерации от 3.02.2012 № 79) допускается использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации. Не невыполнение данных требований является грубым нарушением лицензионных требований и условий.
В «Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17.11.2007 № 781) сказано, что средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
В Указе Президента Российской Федерации от 17.03.2008 № 351 сказано, что:
при необходимости подключения информационных систем, информационно телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия
государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю;
размещение технических средств, подключаемых к информационно телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется только при наличии сертификата , разрешающего эксплуатацию таких технических средств в указанных помещениях.
В постановлении Правительства Российской Федерации от 18.05.2009 № 424 сказано, что:
операторы федеральных государственных информационных систем, созданныхили используемых в целях реализации полномочий федеральных органов исполнительной власти и содержащих сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно телекоммуникационной сети Интернет, утверждённом постановлением Правительства Российской Федерации от 12 февраля 2003 г. № 98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (далее - информационные системы общего пользования), при подключении информационных систем общего пользования к информационно телекоммуникационным сетям, доступ к которым не ограничен определённым кругом лиц, обязаны обеспечить: использование при подключении информационных систем общего пользования к информационно телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаяхсертификацию ), в порядке, установленном законодательством Российской Федерации.
В постановлении Правительства Российской Федерации от 15.05.2010 № 330 сказано, что аккредитация органа по сертификации и испытательной лаборатории (центра), выполняющих работы по подтверждению соответствия продукции (работ, услуг), указанной в пункте 2 настоящего постановления, осуществляется органом по аккредитации в установленном законодательством Российской Федерации порядке при условии наличия у органа по сертификации и испытательной лаборатории (центра): автоматизированных систем, обрабатывающих информацию ограниченного доступа, а также средств её защиты, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации.
В остальных случаях сертификация и аттестация носят добровольный характер (добровольная сертификация и аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
В Федеральном законе от 27.12.2002 № 184-ФЗ «О техническом регулировании » даны следующие определения:
оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров;
сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров;
декларирование соответствия - форма подтверждения соответствия продукции требованиям технических регламентов;
технический регламент - документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или межправительственным соглашением, заключённым в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям или к связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации);
форма подтверждения соответствия - определённый порядок документального удостоверения соответствия продукции или иных объектов,процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
схема подтверждения соответствия - перечень действий участников подтверждения соответствия, результаты которых рассматриваются ими в качестве доказательств соответствия продукции и иных объектов установленным требованиям.
Подтверждение соответствия осуществляется в целях:
удостоверения соответствия продукции, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов техническим регламентам, стандартам, сводам правил, условиям договоров;
содействия приобретателям в компетентном выборе продукции, работ, услуг;
повышения конкурентоспособности продукции, работ, услуг на российском и международном рынках;
создания условий для обеспечения свободного перемещения товаров по территории Российской Федерации, а также для осуществления международного экономического, научно-технического сотрудничества и международной торговли.
Подтверждение соответствия осуществляется на основе принципов:
доступности информации о порядке осуществления подтверждения соответствия заинтересованным лицам;
недопустимости применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов;
установления перечня форм и схем обязательного подтверждения соответствия в отношении определённых видов продукции в соответствующем техническом регламенте;
уменьшения сроков осуществления обязательного подтверждения соответствия и затрат заявителя;
недопустимости принуждения к осуществлению добровольного подтверждения соответствия, в том числе в определённой системе добровольной сертификации;
защиты имущественных интересов заявителей, соблюдения коммерческой тайны в отношении сведений, полученных при осуществлении подтверждения соответствия;
недопустимости подмены обязательного подтверждения соответствия добровольной сертификацией.
Подтверждение соответствия разрабатывается и применяется равным образом и в равной мере независимо от страны и (или) места происхождения продукции, осуществления процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ и оказания услуг, видов или особенностей сделок и (или) лиц, которые являются изготовителями, исполнителями, продавцами, приобретателями.
Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
Обязательное подтверждение соответствия осуществляется в формах:
обязательной сертификации.
Порядок применения форм обязательного подтверждения соответствия устанавливается Федеральным законом «О техническом регулировании».
В отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции и указанных объектов обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами). Особенности оценки соответствия указанной продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации.
Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия (в том числе в техническом регламенте могут содержаться схемы подтверждения соответствия, порядок продления срока действия выданного сертификата соответствия), определяемые с учетом степени риска, предельные сроки оценки соответствия в отношении каждого объекта технического регулирования и (или) требования к терминологии, упаковке, маркировке или этикеткам и правилам их нанесения. Технический регламент должен содержать требования энергетической эффективности.
Оценка соответствия проводится в формах:
государственного контроля (надзора);
аккредитации;
испытания;
регистрации;
подтверждения соответствия;
приёмки и ввода в эксплуатацию объекта, строительство которого закончено;
в иной форме.
Не включённые в технические регламенты требования к продукции или к связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, правилам и формам оценки соответствия, правила идентификации, требования к терминологии, упаковке, маркировке или этикеткам и правилам их нанесения не могут носить обязательный характер.
Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации.
Форма и схемы обязательного подтверждения соответствия могут устанавливаться только техническим регламентом с учётом степени риска недостижения целей технических регламентов.
Декларация о соответствии и сертификат соответствия имеют равную юридическую силу и действуют на всей территории Российской Федерации в отношении каждой единицы продукции, выпускаемой в обращение на территории Российской Федерации во время действия декларации о соответствии или сертификата соответствия, в течение срока годности или срока службы продукции, установленных в соответствии с законодательством Российской Федерации.
Работы по обязательному подтверждению соответствия подлежат оплате на основании договора с заявителем. Стоимость работ по обязательному подтверждению соответствия продукции определяется независимо от страны и (или) места её происхождения, а также лиц, которые являются заявителями.
Декларирование соответствия осуществляется по одной из следующих схем:
принятие декларации о соответствии на основании собственных доказательств;
принятие декларации о соответствии на основании собственных доказательств,доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее - третья сторона).
При декларировании соответствия заявителем может быть зарегистрированные в соответствии с законодательством Российской Федерации на её территории юридическое лицо или физическое лицо в качестве индивидуального предпринимателя, либо являющиеся изготовителем или продавцом, либо выполняющие функции иностранного изготовителя на основании договора с ним в части обеспечения соответствия поставляемой продукции требованиям технических регламентов и в части ответственности за несоответствие поставляемой продукции требованиям технических регламентов (лицо, выполняющее функции иностранного изготовителя). Круг заявителей устанавливается соответствующим техническим регламентом. Схема декларирования соответствия с участием третьей стороны устанавливается в техническом регламенте в случае, если отсутствие третьей стороны приводит к недостижению целей подтверждения соответствия.
При декларировании соответствия на основании собственных доказательств заявитель самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технических регламентов. В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технических регламентов. Состав доказательственных материалов определяется соответствующим техническим регламентом.
При декларировании соответствия на основании собственных доказательств и полученных с участием третьей стороны доказательств заявитель по своему выбору в дополнение к собственным доказательствам:
включает в доказательственные материалы протоколы исследований (испытаний)и измерений, проведённых в аккредитованной испытательной лаборатории (центре);
предоставляет сертификат системы качества, в отношении которого предусматривается контроль (надзор) органа по сертификации, выдавшего данный сертификат, за объектом сертификации.
Сертификат системы качества может использоваться в составе доказательств при принятии декларации о соответствии любой продукции, за исключением случая, если для такой продукции техническими регламентами предусмотрена иная форма подтверждения соответствия.
Декларация о соответствии оформляется на русском языке и должна содержать:
наименование и местонахождение изготовителя;
информацию об объекте подтверждения соответствия, позволяющуюидентифицировать этот объект;
наименование технического регламента, на соответствие требованиям которого подтверждается продукция;
указание на схему декларирования соответствия;
заявление заявителя о безопасности продукции при её использовании в соответствии с целевым назначением и принятии заявителем мер по обеспечению соответствия продукции требованиям технических регламентов;
сведения о проведённых исследованиях (испытаниях) и измерениях, сертификате системы качества, а также документах, послуживших основанием для подтверждения соответствия продукции требованиям технических регламентов;
срок действия декларации о соответствии;
иные предусмотренные соответствующими техническими регламентами сведения.
Срок действия декларации о соответствии определяется техническим регламентом. Форма декларации о соответствии утверждается федеральным органом исполнительной власти по техническому регулированию.
Оформленная заявителем декларация о соответствии подлежит регистрации в едином реестре деклараций о соответствии в течение трёх дней. Порядок формирования и ведения единого реестра деклараций о соответствии, порядок регистрации деклараций о соответствии, предоставления содержащихся в указанном реестре сведений определяются уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.
Обязательная сертификация осуществляется органом по сертификации на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определённых видов продукции, устанавливаются соответствующим техническим регламентом.
Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.
Сертификат соответствия включает в себя:
наименование и местонахождение заявителя;
наименование и местонахождение изготовителя продукции, прошедшей сертификацию;
наименование и местонахождение органа по сертификации, выдавшего сертификат соответствия;
информацию об объекте сертификации, позволяющую идентифицировать этот объект;
наименование технического регламента, на соответствие требованиям которого проводилась сертификация;
информацию о проведённых исследованиях (испытаниях) и измерениях;
информацию о документах, представленных заявителем в орган по сертификации в качестве доказательств соответствия продукции требованиям технических регламентов;
срок действия сертификата соответствия.
Срок действия сертификата соответствия определяется соответствующим техническим регламентом. Форма сертификата соответствия утверждается федеральным органом исполнительной власти по техническому регулированию.
Обязательная сертификация осуществляется органом по сертификации, аккредитованным в порядке, установленном Правительством Российской Федерации.
В соответствии с действующим законодательством обязательная сертификация проводится в рамках систем сертификации средств защиты информации, созданных федеральными органами исполнительной власти, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определённой для них законодательными и иными нормативными правовыми актами Российской Федерации. В качестве таких нормативных правовых актов следует отметить:
Постановление Правительства Российской Федерации от 26.06.1995 № 608«О сертификации средств защиты информации»;
Постановление Правительства Российской Федерации от 21.04.2010 № 266 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов её проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации»;
Постановление Правительства Российской Федерации от 15.05.2010 № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов её проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)».
Согласно требованиям Постановления Правительства Российской Федерации от 26.06.1995 № 608 «О сертификации средств защиты информации» были созданы системы обязательной сертификации пяти федеральных органов исполнительной власти:
ФАПСИ - Система сертификации средств криптографической защиты информации (утверждена генеральным директором ФАПСИ 28 октября 1993 г., зарегистрирована Госстандартом России в Государственном реестре 15 ноября 1993 г. /Свидетельство № РОСС RU.0001.030001/)- в соответствии с Указом Президента Российской Федерации от 11.03.2003 № 308 в связи с расформированием ФАПСИ соответствующие функции переданы Федеральной службе безопасности Российской Федерации;
ФСТЭК России - Положение о сертификации средств защиты информации по требованиям безопасности информации (введено в действие приказом Председателя Гостехкомиссии России от 27.10.1995 № 199, зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995 г. /Свидетельство № РОСС RU.OOO 1.01 БИ00/);
ФСБ России - Положение о система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (утверждено приказом ФСБ России от 13 ноября 1999 г. № 564, зарегистрировано в Минюсте России 27 декабря 1999 г. № 2028);
Минобороны России - Система сертификации средств защиты информации по требованиям безопасности информации (введено в действие приказом Министра обороны Российской федерации 1996 г. № 058, зарегистрировано Госстандартом России в Государственном реестре в 1996 г. /Свидетельство № РОСС RU.OOOl.OiriUOO/);
СВР России - Положение о системе сертификации средств защиты информации по требованиям безопасности информации (утверждено директором СВР России 05.08.1998, зарегистрировано Госстандартом России в Государственном реестре 15 марта 1999 г. /Свидетельство № РОСС RU.0001.04C300/).
Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае её утечки, уничтожения, модификации или блокирования.
Необходимой составляющей государственной системы обеспечения информационной безопасности являются национальные (государственные стандарты) и другие руководящие, нормативно-технические и методические документы по безопасности информации, утверждённые федеральными органами исполнительной власти в соответствии с их компетенцией, и определяющие нормы защищённости информации и требования в различных направлениях защиты информации.
К основным стандартам и руководящим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся: ■ в области защиты информации от несанкционированного доступа:
ГОСТ Р 50922-96. Защита информации. Основные термины и определения;
ГОСТ Р 50739-95. Средства вычислительной техники. Защита отнесанкционированного доступа к информации. Общие техническиетребования;
ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;
Руководящие документы Гостехкомиссии России (ФСТЭК России):
■ Защита от несанкционированного доступа к информации. Термины и определения; ■ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации; ■ Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации; ■ Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации; ■ Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники; ■ Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации; ■ Защита информации. Специальные защитные знаки. Классификация и общие требования;
■ Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин автоматизированных кассовых систем и требования по защите информации;
■ Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей; ■ Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (Часть 1, Часть 2, Часть 3); ■ и другие; в области защиты информации от утечки по техническим каналам:
ГОСТ Р В50170-2005. Противодействие иностранной технической разведке. Термины и определения;
ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счёт побочных электромагнитных излучений при её обработке средствами вычислительной техники. Методы испытаний;
ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счёт побочных электромагнитных излучений при её обработке средствами вычислительной техники. Общие технические требования»;
ГОСТ 30373-95/ГОСТ 50414-92. Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний;
нормативно-методические документы ФСТЭК России:
■ Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К); ■ Методические рекомендации по технической защите информации, составляющей коммерческую тайну; ■ Временная методика оценки защищённости помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам; ■ Временная методика оценки защищённости ОТСС, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации; ■ Временная методика оценки защищённости конфиденциальной информации, обрабатываемой ОТСС, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации; ■ Временная методика оценки защищённости помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований
■ в области криптографического преобразования информации при ее хранении и передаче по каналам связи:
ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;
ГОСТ Р 34.11-94. Функция хеширования;
документы ФСБ России:
■ Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику (ПШ-93); ■ Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005); ■ Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну;
Остановимся более детально на вопросах сертификации средств защиты. Следует отметить, что после передачи лицензирующих подразделений ФАПСИ в ведение ФСБ России основные принципы системы лицензирования и сертификации не изменились. Все ранее выданные ФАПСИ лицензии и сертификаты оставались действительными на обозначенный в них срок.
Сертификация
Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утверждённых уполномоченными федеральными органами исполнительной власти в пределах ргх компетенции.
Сертификат соответствия - документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.
Знак соответствия - зарегистрированный в установленном порядке знак, которым по правилам, установленным в данной системе сертификации, подтверждается соответствие маркированной им продукции установленным требованиям.
Средства защиты информации (СЗИ) - технические, криптографические, программные и другие средства, предназначенные для защиты сведений конфиденциального характера, а также средства контроля эффективности защиты информации.
Руководящий документ ФСТЭК России «Средства вычислительной техники. Зашита от несанкционированного доступа к информации. Показатели защищённости средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищённости от несанкционированного доступа к информации на базе перечня показателей защищённости и совокупности описывающих их требований.
В соответствии с этим руководящим документом возможные показатели защищённости исчерпываются 7-ю классами. По классу защищённости можно судить о номенклатуре используемых механизмов защиты - наиболее защищённым является 1 класс. Выбор класса защищённости зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы на рисунке "Показатели защищённости СВТ". В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса.
рисунок - Показатели защищённости СВТ
Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей на рисунке "Классификация по уровню контроля отсутствия недекларированных возможностей".
Недекларироеанные возможности (НДВ) - функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации.
рисунок - Классификация по уровню контроля отсутствия недекларированных возможностей
Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищённости от несанкционированного доступа к информации на базе перечня показателей защищённости и совокупности описывающих их требований на рисунке "Классификация МЭ по уровню защищённости от НСД".
Межсетевой экран - локальное (однокомпонентное) или функционально- распределённое средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. её анализа по совокупности критериев и принятия решения о её распространении в (из) АС.
рисунок - Классификация МЭ по уровню защищённости от НСД
За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000 - 2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых, а его стойкость сновывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищённости передаваемых сообщений от подделок и искажений. Кроме того, новый стандарт терминологически и концептуально увязан с международными стандартами ИСО 2382-2, ИСО/МЭК 9796 и др.
Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утверждён приказом Госстандарта от 12.09.2001 № 380, введён в действие с 01.07.2002.
Старый стандарт ЭЦП сразу не отменялся. Он действовал ещё несколько лет, но согласно письму ФАПСИ лицензиатам - разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускалось только до 31 декабря 2001 г. С 1 января 2002 г. д лина открытого ключа ЭЦП должна быть 1024 бита.
Отметим в заключение, что применение сертифицированных средств защиты информации является обязательным условием при рассмотрении в судебном порядке спорных вопросов, связанных с удостоверением подлинности электронных документов и идентификацией личности пользователей системы.
Аттестация
При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям по безопасности информации.
Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.
Под объектами информатизации , аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.
Под аттестацией объектов информатизации понимается комплекс организационно технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утверждённых уполномоченными федеральными органами исполнительной власти. Наличие на объекте информатизации действующего «Аттестата соответствия» даёт право обработки информации с определённым уровнем конфиденциальности и в указанный в «Аттестате соответствия» период времени.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счёт побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на неё за счёт специальных устройств, встроенных в объекты информатизации.
Аттестация проводится уполномоченными органами по аттестации объектов информатизации, аккредитованными федеральными органами исполнительной власти. Правила аккредитации определяются действующими в соответствующих системах сертификации положениями. В системе сертификации ФСТЭК России разработано и утверждено 25 ноября 1994 г. «Положением об аккредитации органов по аттестации объектов информатизации по требованиям безопасности информации». Каждый такой орган имеет лицензию на право выполнения работ в области защиты информации и Аттестат аккредитации. Виды работ, которые он может выполнять, указываются в области аккредитации, являющейся приложением к Аттестату аккредитации. В своей деятельности органы по аттестации руководствуются нормативно-методическими документами ФСТЭК России.
Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несёт юридическую и финансовую ответственность за качество проведённых работ. Кроме того, органы по аттестации несут ответственность за обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.
Аттестация информационных систем может производиться в соответствии с Руководящим документом ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», который вводит в рассмотрение 9 классов защищённости АС, объединённых в три группы на рисунке "Классы защищённости АС".
рисунок - Классы защищённости АС
Основные признаки группировки в различные классы связаны с:
наличием в АС информации различного уровня конфиденциальности;
уровнем полномочий субъектов доступа АС на доступ к конфиденциальной информации (одинаковый или разный);
режимом обработки данных в АС (коллективный или индивидуальный).
Для каждого класса сформулирован определённый набор требований для подсистем:
управления доступом;
регистрации и учета;
криптографической;
обеспечения целостности.
Группа 1 классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А . Группа 2 классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б и 2А . Группа 3 классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещённой на носителях одного уровня конфиденциальности. Группа содержит два класса: ЗБ и ЗА.
Соответствие классов защищённости различным уровням конфиденциальности приведено на рисунке "Классы защищенности ли и категории информации ограниченного доступа"
рисунок - Классы защищенности ли и категории информации ограниченного доступа
Сертификация средств защиты информации (СЗИ) неотъемлемый процесс жизненного цикла почти всех отечественных и многих зарубежных продуктов представленных сегодня рынке ИБ. Получение сертификата это своего рода это признание надежности и качества сертифицируемого продукта, а так же показатель авторитета и статуса компании-разработчика. Помимо этого сертифицируемый продукт позволяет использовать его для обеспечения защиты информации по требованиям ФСБ и ФСТЭК, например для защиты не только коммерческой, но и государственной тайны. Однако, для непосвященных сертификация это зачастую пугающе сложный и запутанный процесс вокруг которого выростают мифы. Вот сегодня в нашей публикации мы и попытаемся это чуть чуть изменить.
Начнем с того, что сертификация средств защиты информации производится в соответствии с "Положением о сертификации средств защиты информации" , утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г.
Согласно документа:
сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
А сам сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющихгосударственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, которыми являются:
- федеральный орган по сертификации;
- центральный орган системы сертификации - орган, возглавляющий систему сертификации однородной продукции;
- органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
- испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
- изготовители - продавцы, исполнители продукции.
Сертификация импортных средств защиты информации проводится по тем же правилам , что и отечественных.
Основными схемами проведения сертификации средств защиты информации являются:
- единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
- для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.
В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.
Основными органами сертификации в области технической защиты информации являются ФСБ России и ФСТЭК России . При этом ФСБ России действует в области криптографической защиты информации , а ФСТЭК России – в области технической защиты информации некриптографическими методами .
Требования по сертификации ФСБ России являются закрытыми, ознакомление с ними предполагает наличие специальных допусков, требования ФСТЭК России публикуются на официальном сайте и являются публичными.
Системы сертификации и требования
- Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Гостехкомиссии России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408).
- Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.
Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании» . Сертификация средств защиты информации может быть добровольной или обязательной — проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения.
Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются .
Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации.
Миф №1: сертификация – это торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией.
Миф №2: сертификацию проводят государственные органы. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации.
Миф № 3: сертификация нужна только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну.
Миф № 4: сертификация нужна только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др.
Миф № 5: зарубежный продукт нельзя сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей.
Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft — Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей.
Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.
Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.
Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.
Миф № 7: при сертификации ничего не находят. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы.
Миф № 8: продукт сертифицирован на отсутствие недекларированных возможностей – значит в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения — успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация.
Миф № 9: требования по анализу исходного кода существуют только в нашей стране. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909.
Миф № 10: сертификация стоит дорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой.
Сертификация не является универсальным способом решения всех существующих проблем в области информационной безопасности, однако сегодня это единственный реально функционирующий механизм, который обеспечивает независимый контроль качества средств защиты информации, и пользы от него больше, чем вреда. При грамотном применении механизм сертификации позволяет вполне успешно решать задачу достижения гарантированного уровня защищенности автоматизированных систем.
Заглядывая вперед, можно предположить, что сертификация как инструмент регулятора будет изменяться в направлении совершенствования нормативных документов, отражающих разумные требования по защите от актуальных угроз, с одной стороны, и в направлении улучшения методов проверки критических компонентов по критерию «эффективность/время» — с другой.
Сертификация средств защиты информации вызывала, вызывает и будет вызывать огромное количество вопросов у IT-люда. И к сожалению не только у него: сами «законотворцы» и «методикоделы» не всегда толком могут ответить на вопрос о сертификации. Тут можно выделить пожалуй два подвопроса:
1. Что «хотят» контролирующие органы (ФСТЭК, ФСБ, Роскомнадзор) - далее «КО»;
2. А что «хочет» закон и методики.
Частично написано в ответ на Защита информации и сертификация. Если нет разницы - зачем платить больше? , где, считаю, не совсем корректно представлено текущее положение дел… хотя взгляд на него излагаю из личного опыта общения с КО, сертифицирующими органами, клиентами и опытом внедрения систем защиты.
Не стоит воспринимать эту статью как научный труд о законодательстве в области защиты перс. данных. Скорее как краткое эссе на указанную тему.
Что «хочет» закон и методики
До выхода Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» ситуация была примерно следующая:Сертификация являлась единственной реально выполнимой формой оценки соответствия средств защиты информации .
Были другие методы, но с ними было всё веселее: отсутствовали технические регламенты по оценке соответствия для конкретных типов средств защиты. Требования были, а руководств по оценке не было. А для государства всё просто: нет процедуры проверки (то есть не описано, какие конкретно процессы являются проверочными для выполнения требования), значит, не существует проверки.
Возможно, можно было бы самостоятельно написать «Программу и методику оценки соответствия», согласовать ее с ФСТЭК или сертифицирующим органом (что очень вряд ли) и написать «Протокол...». Но данный вопрос не исследовал, потому что в большинстве случаев это было слишком трудоемко и не окупалось. Легче было купить сертифицированный продукт или уйти от угрозы в «Модели угроз...».
Это выглядело бы довольно просто с технической точки зрения, если бы требовалось обеспечить СЗИ 5 класс защищенности СВТ, что в большинстве случаев было достаточно (что при беглом взгляде является тестированием функций авторизации продукта как blackbox-системы), но, например, если продукт был в системе класса К1, то еще требовалось обеспечить контроль НДВ (отсутствие недекларированных возможностей). А контроль НДВ 4 уровня по сути представляет из себя отсутствие избыточности кода, которое надо подтвердить опять же сертифицированными средствами навроде АК-ВС или Аист, которые стоят в несколько сотен тысяч рублей.
Да, можно было бы сделать это вручную, но когда у вас имеется продукт с закрытым кодом? Или продукт настолько сложен, что вручную эта работа займет огромное количество времени? И опять же вопрос согласования " Программы и методики...".
И открою маленький секрет: в настоящее время и для сертификационных лабораторий не существует методик и регламентов по оценке, и многие лаборатории создают их по мере опыта. И опыт больше сводится к тому, утвердят ли методику в органе по сертификации, а не к качеству оценки защитных функций.
С выходом же Постановления № 1119 ситуация немного изменилась.
В пункте 12 указано:
Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:…
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Озвучу своё виденье: теперь сертифицированные СЗИ требуются для закрытия актуальных угроз, соответственно, в ваших руках грамотно составить «Модель угроз...», сведя к минимуму использование данных СЗИ. Остались меры, указанные в Приложении к Положению. Но нет указания ни в постановлении, ни в других нормативных документах на использование СЗИ для реализации требуемых мер.
Также, теперь скромно указано «оценка соответствия», а не «сертификация». Но этот момент я рассмотрел выше: да, это не обязательно сертификация «де-юре», но сертификация «де-факто». И почему это так и нужно воспринимать, ниже.
Что «хотят» контролирующие органы
Думаю, тут стоит отметить два момента:1. В первую очередь стоит отметить, что КО зачастую имеют свой замысловатый взгляд на то, что написано в законе. При этом комментировать свой подход они не сильно собираются. Достаточно вспомнить «обсуждение» Постановления 1119, к которому КО всех пригласили, но никого не послушали и никому ничего не прокомментировали. Тут два предположения: либо они просто не поняли, что им сказали, либо «обсуждение» затевалось для галочки. Мое мнение: всего по чуть-чуть.
Наша организация тоже несколько раз пыталась получить комментарии по некоторым пунктам, которые мы, как интеграторы, должны выполнять, но в ответ лишь было: «А не наше это дело - комментировать, что мы придумали» (как в шутке - «сама придумала, сама обиделась»).
Показательным было уведомление на официальном сайте ФСТЭК (полный текст ):
Одновременно сообщаем, что ФСТЭК России не наделена полномочиями по разъяснению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в том числе в части определения типов угроз персональных данных и порядка определения уровней защищенности персональных данных.
2. В связи с пунктом 1 при проверке все карты будут на руках у ФСТЭК (при проверке ФСТЭК). Усугубляется всё еще тем, что в каждом федеральном округе свои ФСТЭК, Роскомнадзор, ФСБ и почему-то точки зрения в связи с этим у них свои и могут кардинально отличаться от соседнего ФО.
Так что же делать
1. Попытайтесь минимизировать перечень актуальных угроз, тут благо вас никто особо не ограничивает. Приведите разумные аргументы, пропишите их в «Модели угроз...». Но наглеть тоже не стоит.2. Исходя из Модели определитесь с перечнем СЗИ.
Нужно учитывать, что для закрытия угрозы, не обязательно требуется сертифицировать всё ПО, необходимо сертифицировать механизм защиты: если у вас реализован вход в ПО обработки с использованием NTLM-аутентификации (Kerberos) и всё разграничение прав идет на уровне домена, сертифицируйте механизмы домена, а не само ПО (если не требуется НДВ), каким-нибудь Secret Net, Dallas Lock, пакетом сертификации Windows.
В связи с этим решать читателю: «встать в позу» или с минимумом рисков и затрат достичь цели.
К счастью, стоит отметить, что большинство самых используемых продуктов прошли сертификацию и не весь рынок представляет из себя студенческие российские поделки. Если будет интерес, то могу написать небольшой обзор средств защиты для минимального ущерба работоспособности.
1.6. Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с органом по сертификации и при согласии разработчика (изготовителя, продавца) допускается проведение испытаний на испытательной базе разработчика данного СЗИ-ГТ в присутствии представителя органа по сертификации.
1.7. Признание сертификатов соответствия на средства защиты информации, выданных другими системами сертификации, осуществляется в порядке, определяемом ФСБ России и Межведомственной комиссией по защите государственной тайны.
1.8. Оплата работ по сертификации СЗИ-ГТ производится заявителем в порядке, установленном ФСБ России по согласованию с Министерством финансов Российской Федерации. Сумма средств, израсходованных заявителем на проведение сертификации средств защиты информации, относится на их себестоимость.
1.9. Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, за обеспечение сохранности государственной тайны, другой информации, охраняемой законодательством Российской Федерации, за сохранность материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав заявителя при испытаниях СЗИ-ГТ.
II. Организационная структура системы сертификации СЗИ-ГТ
2.1. Организационную структуру системы сертификации образуют (приложение 3):
ФСБ России (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации);
центральный орган системы сертификации (создается при необходимости);
органы по сертификации СЗИ-ГТ;
испытательные центры (лаборатории);
учебно-методический центр;
заявители (разработчики, изготовители, продавцы, потребители СЗИ-ГТ).
2.2. ФСБ России в пределах своей компетенции осуществляет следующие функции:
создает систему сертификации и устанавливает правила проведения сертификации СЗИ-ГТ;
представляет на государственную регистрацию в Госстандарт России систему сертификации СЗИ-ГТ и ее знаки соответствия;
организует функционирование системы сертификации;
определяет номенклатуру СЗИ-ГТ, подлежащих обязательной сертификации в данной системе;
устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;
осуществляет процедуру признания нормативных и методических документов сторонних организаций;
организует и финансирует разработку нормативных и методических документов системы сертификации;
утверждает нормативные документы, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методические документы по проведению сертификационных испытаний;
устанавливает правила применения знаков соответствия обязательной и добровольной сертификации;
аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ по сертификации и аттестаты аккредитации;
организует подготовку, переподготовку и повышение квалификации экспертов по вопросам сертификации СЗИ-ГТ, а также аттестацию экспертов;
координирует деятельность органов по сертификации и испытательных центров (лабораторий) системы сертификации СЗИ-ГТ;
устанавливает правила признания зарубежных сертификатов, знаков соответствия и результатов испытаний;
ведет государственный реестр сертифицированных средств защиты информации, аккредитованных в системе сертификации СЗИ-ГТ органов по сертификации и испытательных центров (лабораторий), других участников сертификации, а также выданных и аннулированных сертификатов соответствия и лицензий на применение знака соответствия;
регистрирует сертификаты соответствия и лицензии на применение знака соответствия до их выдачи заявителю;
ведет учет нормативных документов, содержащих правила, требования и методические рекомендации по сертификации;
устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными СЗИ-ГТ;
рассматривает апелляции по вопросам сертификации;
обеспечивает участников сертификации информацией о деятельности системы сертификации и готовит необходимые материалы для опубликования;
организует публикацию информации о системе сертификации;
ежеквартально представляет информацию о работе системы сертификации в Межведомственную комиссию по защите государственной тайны;
осуществляет взаимодействие с федеральными органами по сертификации других систем сертификации.
2.3. Органы по сертификации СЗИ-ГТ в пределах установленной области аккредитации:
проводят идентификацию средств защиты информации;
определяют схему сертификации конкретных СЗИ-ГТ с учетом предложений заявителя;
проводят при необходимости предварительную проверку производства при серийном выпуске сертифицируемых СЗИ-ГТ;
разрабатывают предложения по номенклатуре СЗИ-ГТ, сертифицируемых в системе сертификации, и представляют их в ФСБ России;
участвуют в работах по совершенствованию нормативных документов, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методических документов по проведению сертификационных испытаний;
проводят анализ материалов сертификационных испытаний СЗИ-ГТ;
оформляют экспертное заключение по сертификации СЗИ-ГТ, сертификаты соответствия и лицензии на применение знака соответствия и представляют их в ФСБ России для регистрации в государственном реестре;
выдают сертификаты соответствия и лицензии на применение знака соответствия;
предоставляют заявителю перечень испытательных центров (лабораторий), в которых могут проводиться испытания конкретного СЗИ-ГТ;
проводят инспекционный контроль сертифицированных СЗИ-ГТ;
участвуют в случае необходимости в отборе образцов СЗИ-ГТ для проведения сертификационных испытаний;
хранят документацию, подтверждающую сертификацию СЗИ-ГТ;
приостанавливают либо отменяют действие выданных сертификатов соответствия и лицензий на применение знака соответствия;
представляют заявителю необходимую информацию по сертификации;
2.4. Испытательные центры (лаборатории) в пределах установленной области аккредитации:
разрабатывают, утверждают программы и методики проведения сертификационных испытаний (при необходимости);
осуществляют отбор образцов СЗИ-ГТ для проведения сертификационных испытаний;
осуществляют сертификационные и инспекционные испытания СЗИ-ГТ, оформляют технические заключения и протоколы сертификационных испытаний;
обеспечивают полноту испытаний СЗИ-ГТ, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования;
обеспечивают сохранность образцов СЗИ-ГТ;
обеспечивают конфиденциальность информации.
2.5. Учебно-методический центр:
осуществляет подготовку, переподготовку и повышение квалификации кадров;
осуществляет подготовку и аттестацию экспертов;
участвует в разработке и совершенствовании нормативных и методических документов системы сертификации СЗИ-ГТ.
2.6. Заявители (разработчики, изготовители, продавцы):
применяют сертификат и знак соответствия СЗИ-ГТ, руководствуясь правилами системы сертификации;
обеспечивают соответствие СЗИ-ГТ требованиям нормативных документов по безопасности информации, на соответствие которым она была сертифицирована, и маркирование ее знаком соответствия в установленном порядке;
указывают в сопроводительной технической документации сведения о сертификате на СЗИ-ГТ и нормативных документах, которым оно должно соответствовать, обеспечивают доведение этой информации до потребителя;
приостанавливают или прекращают реализацию СЗИ-ГТ по истечении срока действия сертификата соответствия, приостановке его действия или отмене, а также если СЗИ-ГТ не отвечает требованиям нормативных документов, на соответствие которым сертифицировано;
принимают меры для обеспечения стабильности характеристик СЗИ-ГТ, определяющих безопасность информации;
при обнаружении несоответствия сертифицированных СЗИ-ГТ требованиям нормативных документов осуществляют мероприятия по доработке этих СЗИ-ГТ и проведению сертификационных испытаний;
обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих обязательную сертификацию СЗИ-ГТ и контроль за сертифицированными СЗИ-ГТ;
извещают орган по сертификации, проводивший сертификацию, обо всех изменениях в технологии, конструкции (составе) сертифицированного СЗИ-ГТ и технической документации на него для принятия решения о необходимости проведения повторной сертификации данного СЗИ-ГТ.
Заявители (разработчики, изготовители) должны иметь лицензию на соответствующий вид деятельности.
2.7. Органы по сертификации и испытательные центры (лаборатории) аккредитуются ФСБ России. Правила аккредитации определяются соответствующим положением.
Органы по сертификации и испытательные центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям СЗИ-ГТ в своей области аккредитации. Аккредитация в качестве органов по сертификации и испытательных центров (лабораторий) организаций, подведомственных федеральным органам исполнительной власти, осуществляется по согласованию с этими органами власти.
2.8. Органы по сертификации и испытательные центры (лаборатории), действующие в других системах сертификации, могут быть аккредитованы в настоящей системе сертификации в установленном порядке.
III. Порядок проведения сертификации и инспекционного контроля
3.1. Порядок проведения сертификации включает следующие действия (приложение 4):
Подачу и рассмотрение заявки на сертификацию СЗИ-ГТ;
Испытания сертифицируемых СЗИ-ГТ и анализ состояния их производства;
Экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата соответствия и лицензии на право применения знака соответствия;
Осуществление инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными СЗИ-ГТ, информирование о результатах сертификации СЗИ-ГТ;
Рассмотрение апелляций.
3.2. Подача и рассмотрение заявки на сертификацию СЗИ-ГТ.
3.2.1. Заявитель для получения сертификата соответствия направляет в орган по сертификации системы сертификации СЗИ-ГТ заявку (форма-приложение 5) на проведение сертификации продукции с указанием схемы проведения сертификации, государственных стандартов и иных нормативно-методических документов, на соответствие требованиям которых должна проводиться сертификация. Орган по сертификации в десятидневный срок направляет копию заявки на проведение сертификации продукции в ФСБ России.
3.2.2. Орган по сертификации СЗИ-ГТ в месячный срок после получения заявки направляет заявителю решение на проведение сертификации (форма - приложение 6). В решении указывается перечень испытательных центров (лабораторий), область аккредитации которых позволяет проводить сертификационные испытания данного СЗИ-ГТ. После получения решения заявителю необходимо представить в испытательный центр (лабораторию) или (в отдельных случаях) в орган по сертификации средство защиты информации согласно техническому заданию, техническому описанию, техническим условиям или программе и методикам испытаний на это средство, а также комплект технической и эксплуатационной документации согласно нормативным документам по Единой системе конструкторской документации (ЕСКД) и Единой системе программной документации (ЕСПД) на сертифицируемое средство защиты информации. Орган по сертификации в десятидневный срок направляет копию решения на проведение сертификации продукции в ФСБ России.
3.3. Испытания сертифицируемых СЗИ-ГТ в испытательных центрах (лабораториях).
3.3.1. Испытания сертифицируемых средств защиты информации проводятся на образцах, конструкция (состав) и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю (заказчику), по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации. Техническая и эксплуатационная документация на серийные СЗИ-ГТ должна иметь литеру не ниже "01" по ЕСКД. Количество образцов, порядок их отбора и идентификации должны соответствовать требованиям нормативных и методических документов на данный вид СЗИ-ГТ. В случае отсутствия на момент сертификации испытательных центров (лабораторий) орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.
3.3.2. Сроки проведения испытаний могут быть установлены в договоре между заявителем и испытательным центром (лабораторией).
3.3.3. По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов СЗИ-ГТ в испытательном центре (лаборатории).
3.3.4. Результаты испытаний оформляются протоколами и техническим заключением, которые направляются испытательным центром (лабораторией) органу по сертификации и заявителю.
3.3.5. При внесении изменений в конструкцию (состав) СЗИ-ГТ или технологию их производства, которые могут повлиять на характеристики СЗИ-ГТ, держатель сертификата извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых испытаний этих СЗИ-ГТ.
3.3.6. Сертификация импортируемых средств защиты информации проводится по тем же правилам.
3.4. Экспертиза результатов испытаний, оформление, регистрация и выдача сертификата соответствия и лицензии на право применения знака соответствия.
3.4.1. Орган по сертификации проводит экспертизу результатов испытаний и готовит экспертное заключение, которое утверждает его руководитель. При соответствии результатов испытаний требованиям нормативных документов орган по сертификации оформляет сертификат соответствия (формы - приложения 7 и ) и лицензию на применение знака соответствия (форма - приложение 9), которые вместе с копией экспертного заключения направляет в ФСБ России для регистрации в государственном реестре. Срок действия сертификата соответствия устанавливается не более чем на пять лет.
ФСБ России регистрирует в государственном реестре системы сертификации СЗИ-ГТ сертификат соответствия и лицензию на применение знака соответствия. Орган по сертификации выдает заявителю сертификат соответствия и лицензию на применение знака соответствия.
При несоответствии результатов испытаний требованиям государственных стандартов или иных нормативных документов по защите информации орган по сертификации принимает решение об отказе в выдаче сертификата соответствия и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата соответствия заявитель имеет право обратиться в центральный орган системы сертификации, ФСБ России или Межведомственную комиссию по защите государственной тайны для дополнительного рассмотрения полученных при испытаниях результатов.
3.4.2. Получение изготовителем СЗИ-ГТ сертификата соответствия при обязательной сертификации дает ему право применения знака соответствия системы сертификации СЗИ-ГТ (формы знаков соответствия приведены в приложении 10). При добровольной сертификации разрешение на применение знака соответствия выдается заявителю органом по сертификации на условиях договора между ними. Правила применения знаков соответствия устанавливаются ФСБ России; конкретные условия применения знака соответствия могут быть уточнены в лицензии (разрешении) на применение знака соответствия. Обладатель лицензии (разрешения) на применение знака соответствия обеспечивает выполнение требований нормативной и методической документации, указанной в сертификате соответствия, в отношении маркированных СЗИ-ГТ.
3.4.3. Для признания зарубежного сертификата соответствия заявитель направляет в ФСБ России заявку на признание сертификата, копии сертификата соответствия и протоколов испытаний (на языке оригинала и русском языке). ФСБ России определяет необходимый объем работ по сертификации и орган по сертификации СЗИ-ГТ для их проведения. Орган по сертификации извещает заявителя в срок не позднее одного месяца после получения указанных документов о признании сертификата соответствия или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата соответствия орган по сертификации оформляет и выдает заявителю сертификат соответствия и лицензию на применение знака соответствия системы сертификации СЗИ-ГТ (в соответствии с пунктом 3.4.1).
3.4.4. Сертификаты соответствия на сертифицированную продукцию и лицензии на применение знака соответствия подписывает руководитель органа по сертификации или его заместитель.
3.5. Инспекционный контроль за сертифицированными СЗИ-ГТ.
3.5.1. Инспекционный контроль за сертифицированными СЗИ-ГТ осуществляет орган по сертификации, проводивший сертификацию СЗИ-ГТ, при необходимости привлекая испытательный центр (лабораторию).
Правила инспекционного контроля за сертифицированными СЗИ-ГТ устанавливаются в нормативных и методических документах системы сертификации.
Периодичность и объемы испытаний сертифицированных СЗИ-ГТ в испытательных центрах (лабораториях) определяются органом по сертификации на основании нормативных и методических документов при проведении сертификации конкретных видов СЗИ-ГТ.
3.5.2. По результатам контроля орган по сертификации СЗИ-ГТ может приостановить или отменить действие сертификата соответствия.
Решение об отмене действия сертификата соответствия принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие СЗИ-ГТ установленным требованиям.
Основанием для принятия такого решения являются:
изменение нормативных и методических документов на СЗИ-ГТ или методов испытаний и контроля;
изменение (невыполнение) технологии изготовления, конструкции (состава), комплектности СЗИ-ГТ и системы контроля их качества.
3.5.3. Информация о приостановлении (отмене) действия сертификата соответствия немедленно доводится до сведения ФСБ России, заявителей, органов по сертификации и испытательных центров (лабораторий).
3.6. Информирование о сертификации СЗИ-ГТ.
ФСБ России обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, включающей:
перечень СЗИ-ГТ, на которые выданы сертификаты соответствия;
перечень СЗИ-ГТ, на которые действие сертификатов соответствия отменено;
перечень органов по сертификации СЗИ-ГТ;
перечень испытательных центров (лабораторий);
перечень нормативных документов, на соответствие требованиям которых проводится сертификация СЗИ-ГТ, и методических документов по проведению сертификационных испытаний.
3.7. Рассмотрение апелляций.
При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в центральный орган системы сертификации, ФСБ России или Межведомственную комиссию по защите государственной тайны. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон. О принятом решении извещается податель апелляции. В исключительных случаях срок рассмотрения апелляции может быть продлен до двух месяцев.
В случае несогласия с принятыми решениями заинтересованная сторона может обратиться в арбитражный суд.
IV. Требования к нормативным и методическим документам по сертификации СЗИ-ГТ
4.1. В нормативных документах, на соответствие которым проводится сертификация, должны быть установлены характеристики (показатели) продукции и методы испытаний, позволяющие обеспечить полное и достоверное подтверждение соответствия продукции этим требованиям и ее идентификацию.
Предпочтительно, чтобы все требования (показатели, характеристики) и методы испытаний для конкретного вида продукции содержались в одном нормативном документе.
4.2. Положения нормативных документов должны быть сформулированы четко, обеспечивая их точное и единообразное толкование. Размерность и количественные значения характеристик должны быть заданы таким образом, чтобы имелась возможность для их воспроизводимого определения с заданной или известной точностью при испытаниях.
4.3. Требования нормативных документов к маркировке должны обеспечить идентификацию продукции, а также содержать указания об условиях применения, месте и способе нанесения знака соответствия. Маркировка продукции должна осуществляться на русском языке.
4.4. При сертификации продукции следует применять официальные издания нормативных документов.
4.5. Официальным языком системы является русский. Все нормативные и методические документы системы сертификации оформляются на русском языке.
- Манная каша на молоке: пропорции и рецепты приготовления Манная каша 1 порция
- Суп-пюре из брокколи с сыром Рецепт крем супа из брокколи с сыром
- Гороскоп: характеристика Девы, рождённой в год Петуха
- Причины выброса токсичных веществ Несгораемые углеводороды и сажа
- Современный этап развития человечества
- Лилия яковлевна амарфий Могила лилии амарфий
- Значение имени мариям Имя марьям значение происхождение