2.3 Объекты сертификационной деятельности.

В интересах организации планомерной и согласованной деятельности по сертификации создается система сертификации, которая представляет собой совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом³.

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется – система сертификации)⁴.

В состав участников системы сертификации входят:

1. федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации;

2. центральный орган системы сертификации (создается при необходимости);

3. органы по сертификации;

4. испытательные центры (лаборатории);

5. учебно-методический центр;

6. заявители (разработчики, изготовители, продавцы, потребители продукции).

В сфере защиты информации в Российской Федерации системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством обороны Российской Федерации, которые уполномочены проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации. Перечисленные федеральные органы исполнительной власти именуются – федеральные органы по сертификации.

В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

Наименование видов деятельности федеральных органов по сертификации в сфере защиты информации, создаваемые ими системы и правовое основание (5,7,15,18,32,33,) для ведения такой деятельности приведены в табл.1.1.

Таблица 1.1.

Сферы компетенции федеральных органов по сертификации в сфере защиты информации.

№п.	Виды деятельности по сертификации (системы) и правовое основание для ее ведения	Федеральный орган исполнительной власти России
		ФСБ	ФСТЭК	Минобороны
1.	Система сертификации средств защиты информации5.	+	+	+
2.	Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну6.	+
3.	Система сертификации средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации7.
4.	Организация в соответствии с законодательством Российской Федерации проведения работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры8.		+
5.	Участие в обеспечении контроля за сертификацией и аттестацией автоматизированных систем, используемых в управлении технологическим процессом по уничтожению химического оружия, в том числе автоматизированных линий расснаряжения химических боеприпасов, с учетом требований информационной безопасности9.
6.	Организация сертификации средств защиты информации на соответствие требованиям по защите сведений соответствующей степени секретности10.	+	+	+
7.	Создание системы сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну11.	+
8.	Создание системы добровольной сертификации специальных технических средств, предназначенных для негласного получения информации12.	+

На основании ст. 6. Федерального закона «О внешней разведке» для осуществления своей деятельности Служба внешней разведки Российской Федерации может при собственных лицензировании и сертификации приобретать, разрабатывать (за исключением криптографических средств защиты), создавать, эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации от утечки по техническим каналам¹³.

ФСТЭК России (ранее – Гостехкомиссия России) организует в пределах своей компетенции, определенной законодательными и иными нормативными актами Российской Федерации деятельность системы обязательной сертификации средств защиты информации № РОСС КУ.0001.01БИОО¹⁴.

Современная правовая база функционирования данной системы сертификации средств защиты информации по требованиям безопасности информации включает в себя:

• Закон Российской Федерации «О государственной тайне»;

• Федеральный закон «О техническом регулировании»;

• Федеральный закон «Об информации, информационных технологиях и о защите информации»;

• Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю»;

• Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»;

• Правила по проведению сертификации в Российской Федерации, утвержденные постановлением Госстандарта России от 10 мая 2000 г. № 26;

• Порядок проведения сертификации продукции в Российской Федерации, утвержденный постановлением Госстандарта России от 21 сентября 1994 г. № 15;

На основании перечисленных актов приказом Председателя Гостехкомиссии России от 27 октября 1995 г. № 199 было введено в действие Положение о сертификации средств защиты информации по требованиям безопасности информации, которое в дальнейшем было дополнено в соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608.

Данное Положение устанавливает основные принципы, организационную структуру системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств защиты по требованиям безопасности информации, а также государственный контроль и надзор за сертификацией и сертифицированными средствами защиты информации.

Под сертификацией средств защиты информации по требованиям безопасности информации (далее – сертификацией) в данном Положении понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации.

В этой системе сертификации обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами.

В настоящее время Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается ФСТЭК России и согласовывается с Межведомственной комиссией по защите государственной тайны. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.

Сертификация отечественных и импортируемых средств защиты информации проводится на соответствие требованиям государственных стандартов и иных нормативных документов по безопасности информации, утвержденных Гостехкомиссией России (в настоящее время – ФСТЭК России), указываемых в заявке, программах и методиках испытаний.

Стандарты на методы испытаний являются обязательными, если в документации на средства защиты информации в части проверки технических характеристик, подлежащих сертификации, установлена ссылка на этот стандарт.

Данная система сертификации средств защиты информации по требованиям безопасности информации включает в себя и аттестацию объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.