- •1.Введение
- •2.1 Сертификация
- •2.2 Органы сертификации и их полномочия.
- •Федеральный орган по сертификации средств защиты информации
- •Защиты информации
- •2.3 Объекты сертификационной деятельности.
- •Сферы компетенции федеральных органов по сертификации в сфере защиты информации.
- •2.4 Процедура сертификации средств защиты информации.
- •3. Заключение
- •4. Список используемой литературы.
2.3 Объекты сертификационной деятельности.
В интересах организации планомерной и согласованной деятельности по сертификации создается система сертификации, которая представляет собой совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом3.
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется – система сертификации)4.
В состав участников системы сертификации входят:
федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации;
центральный орган системы сертификации (создается при необходимости);
органы по сертификации;
испытательные центры (лаборатории);
учебно-методический центр;
заявители (разработчики, изготовители, продавцы, потребители продукции).
В сфере защиты информации в Российской Федерации системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством обороны Российской Федерации, которые уполномочены проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации. Перечисленные федеральные органы исполнительной власти именуются – федеральные органы по сертификации.
В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
Наименование видов деятельности федеральных органов по сертификации в сфере защиты информации, создаваемые ими системы и правовое основание (5,7,15,18,32,33,) для ведения такой деятельности приведены в табл.1.1.
Таблица 1.1.
Сферы компетенции федеральных органов по сертификации в сфере защиты информации.
№п. |
Виды деятельности по сертификации (системы) и правовое основание для ее ведения |
Федеральный орган исполнительной власти России | ||
ФСБ |
ФСТЭК |
Минобороны | ||
1. |
Система сертификации средств защиты информации5. |
+ |
+ |
+ |
2. |
Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну6. |
+ |
|
|
3. |
Система сертификации средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации7. |
|
|
|
4. |
Организация в соответствии с законодательством Российской Федерации проведения работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры8. |
|
+ |
|
5. |
Участие в обеспечении контроля за сертификацией и аттестацией автоматизированных систем, используемых в управлении технологическим процессом по уничтожению химического оружия, в том числе автоматизированных линий расснаряжения химических боеприпасов, с учетом требований информационной безопасности9. |
|
|
|
6. |
Организация сертификации средств защиты информации на соответствие требованиям по защите сведений соответствующей степени секретности10. |
+ |
+ |
+ |
7. |
Создание системы сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну11. |
+ |
|
|
8. |
Создание системы добровольной сертификации специальных технических средств, предназначенных для негласного получения информации12. |
+ |
|
|
На основании ст. 6. Федерального закона «О внешней разведке» для осуществления своей деятельности Служба внешней разведки Российской Федерации может при собственных лицензировании и сертификации приобретать, разрабатывать (за исключением криптографических средств защиты), создавать, эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации от утечки по техническим каналам13.
ФСТЭК России (ранее – Гостехкомиссия России) организует в пределах своей компетенции, определенной законодательными и иными нормативными актами Российской Федерации деятельность системы обязательной сертификации средств защиты информации № РОСС КУ.0001.01БИОО14.
Современная правовая база функционирования данной системы сертификации средств защиты информации по требованиям безопасности информации включает в себя:
Закон Российской Федерации «О государственной тайне»;
Федеральный закон «О техническом регулировании»;
Федеральный закон «Об информации, информационных технологиях и о защите информации»;
Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю»;
Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»;
Правила по проведению сертификации в Российской Федерации, утвержденные постановлением Госстандарта России от 10 мая 2000 г. № 26;
Порядок проведения сертификации продукции в Российской Федерации, утвержденный постановлением Госстандарта России от 21 сентября 1994 г. № 15;
На основании перечисленных актов приказом Председателя Гостехкомиссии России от 27 октября 1995 г. № 199 было введено в действие Положение о сертификации средств защиты информации по требованиям безопасности информации, которое в дальнейшем было дополнено в соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608.
Данное Положение устанавливает основные принципы, организационную структуру системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств защиты по требованиям безопасности информации, а также государственный контроль и надзор за сертификацией и сертифицированными средствами защиты информации.
Под сертификацией средств защиты информации по требованиям безопасности информации (далее – сертификацией) в данном Положении понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации.
В этой системе сертификации обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами.
В настоящее время Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается ФСТЭК России и согласовывается с Межведомственной комиссией по защите государственной тайны. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.
Сертификация отечественных и импортируемых средств защиты информации проводится на соответствие требованиям государственных стандартов и иных нормативных документов по безопасности информации, утвержденных Гостехкомиссией России (в настоящее время – ФСТЭК России), указываемых в заявке, программах и методиках испытаний.
Стандарты на методы испытаний являются обязательными, если в документации на средства защиты информации в части проверки технических характеристик, подлежащих сертификации, установлена ссылка на этот стандарт.
Данная система сертификации средств защиты информации по требованиям безопасности информации включает в себя и аттестацию объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.