Система сертификации средств защиты информации

16A.1

Система сертификации средств защиты информации

Содержание

2.Государственная система сертификации средств защиты информации по

5.Последовательность действий заявителя при сертификации ТЗИ по

16A.2

Система сертификации средств защиты информации

1. Государственная система сертификации в Российской Федерации

Преобразования, происходящие в экономике Российской Федерации, объективно привели к необходимости существенного изменения подхода государства к обеспечению требуемого качества предлагаемой продук ции. Для этих целей в феврале 1992 году был принят Закон РФ “О защите прав потребителей”(№ 2300 1), который действовал в первоначальной формулировке более трёх лет и был изменён виде закона “О внесении изменений и дополнений в Закон РФ “О защите прав потребителей”, утверждённый Государственной Думой в декабре 1995 года. Этот закон регулирует отношения, возникающие между изготовителями, исполнителями продавцами и потребителями при продаже товаров (выполнении работ, оказании услуг), устанавливает пра ва потребителей на приобретение товаров (работ, услуг) надлежащего качества и безопасного для жизни и здоровья потребителей, а так же определяет механизм реализации этих прав.

Вчисле норм, относящихся к сфере действия указанных законов, имеются статьи, декларирующие обязатель ность проведения сертификации и маркировки специальным знаком соответствия того товара (продукции), на который законами или стандартами установлены требования, обеспечивающие безопасность жизни, здо ровья потребителей и охрану окружающей среды и предотвращение причинения вреда имуществу потреби теля. Таким образом, указанные законы впервые законодательно ввели понятие о сертификации продукции, а так же определили основные полномочия федеральных органов управления и исполнительной власти в вопросах сертификации.

Однако в Законе РФ “О защите прав потребителей”, а так же в изменениях и дополнениях к нему, не рас сматриваются в деталях отношения в области сертификации продукции, не определяется состав, не норми руются права, обязанности и ответственность участников процесса сертификации. Исходя из этого, возник ла необходимость принятия ряда документов, которые бы законодательно утвердили организацию системы сертификации в РФ.

Всвязи с отсутствием разработок документов такого типа, был учтён многолетний международный опыт в области сертификации. Специалистами Госстандарта были переработаны европейские нормативные докумен ты, регламентирующие вопросы сертификации, применительно к российским условиям, нашедшим своё от ражение в группе российских стандартов ГОСТ Р 51000 96, которая установила порядок работ по сертифика ции продукции. В настоящее время общие требования к порядку сертификации в целом соответствуют Руко водствам Международной организации по стандартизации и Международной электротехнической комиссии (ИСО/МЭК 7, 16, 27, 28, 40, 44) и европейским стандартам по сертификации группы EN45000.

Правовой основой созданной системы сертификации явился Закон РФ 1993 года №5151 1 от 10.06.93 года ” О сертификации продукции и услуг”, которым впервые юридически закрепил важнейшие понятия и нормы в области сертификации. Этим законом в Российской Федерации вводились следующие виды сертификации:

1.Обязательная система сертификации – для проверки параметров качества установленных федераль ными законами РФ и государственными стандартами.

2.Добровольная система сертификации – для проверки параметров качества повышающие конкурентос пособность предлагаемой продукции, проводящаяся на добровольных условиях.

3.Система сертификации однородной продукции – для проверки параметров качества определённой про дукции, для которых применяются одни и те же конкретные стандарты и та же самая процедура.

Национальная система сертификации

Рис.1 Система сертификации РФ

16A.3

Система сертификации средств защиты информации

Созданная система сертификации продукции в настоящее время действует на национальном и федеральном уровнях. На национальном уровне систему возглавляет Госстандарт, который руководит и координирует де ятельность федеральных органов по сертификации. На настоящий момент в Российской Федерации создано:

•14 систем обязательной сертификации установленных законами РФ.

•31 система обязательной сертификации однородной продукции.

•65 систем добровольной сертификации.

2.Государственная система сертификации средств защиты информации по требованиям безопасности информации

Впервые регулирование отношений в РФ, возникающих в процессе работы со сведениями, составляющими государственную тайну, на законодательном уровне было определено Законом РФ от 21.09.93 года “О госу" дарственной тайне”.

Одними из базовых положений настоящего закона являются – лицензирование деятельности предприятий, учреждений и организаций по их допуску к проведению работ, связанных с использованием сведений, со ставляющих государственную тайну, созданием средств защиты информации, а так же осуществлению ме роприятий и (или) оказанию услуг по защите государственной тайны (статья 27) и сертификации СЗИ (статья 28).

Координация деятельности органов государственной власти, предприятий, учреждений, организаций и их структурных подразделений по защите государственной тайны в интересах разработки и выполнения феде ральных программ, нормативных и методических документов, обеспечивающих реализацию законодательства РФ о государственной тайне, возложена на Межведомственную комиссию по защите государственной тайны. “Положение о Межведомственной комиссии по защите государственной тайны” учреждено указом Прези дента России от 20.01.96 г. № 71 (до этого указа функции Межведомственной комиссии возлагались на Госу дарственную техническую комиссию при Президенте РФ).

Развитие систем сертификации, их взаимное функционирование поставили перед Межведомственной комис сией задачи, связанные с оптимальным использованием возможностей таких систем и их отдельных элемен тов. В соответствии с возложенными задачами Межведомственная комиссия по защите государственной тайны обеспечила разработку общих положений о сертификации средств защиты информации, рассмотрение и со гласование Положений о конкретных системах сертификаций и перечней СЗИ, подлежащих сертификации в данной системе, а так же требований, которым эти средства должны удовлетворять.

С принятием и введением в действие комплекса законодательных и других нормативных актов правового регулирования в области защиты государственной тайны и сертификации средств защиты информации про блема обеспечения качества разрабатываемых, выпускаемых серийно и используемых средств, а так же ока зываемых в этой области услуг стала на прочную правовую основу.

Одним из таких документов явилось “Положение о сертификации средств защиты информации”, утверждён ное постановлением Правительства РФ от 26.07.95 г. № 608, определившим 5 систем сертификации, возглав ляемых федеральными органами по сертификации – Гостехкомиссией России, ФАПСИ, ФСБ России, СВР Рос сии и Министерством обороны РФ. В государственном реестре Госстандарта России зарегистрированы соот ветственно:

1.ФАПСИ – система сертификации средств криптографической защиты информации № РОСС RU.0001.030001 от 15.11.93 г.;

2.Гостехкомиссии России – система сертификации средств защиты информации по требованиям безопас ности информации № РОСС RU.0001.01БИ01 от 20.03.95 г.;

3.Министерства обороны России система сертификации средств защиты информации, относящихся к компетенции Министерства обороны России, по требованиям безопасности информации № РОСС RU.0001.01ГШ00 от 20.03.95 г.;

Работы по созданию и регистрации других систем сертификации СЗИ пока не завершены. Системы предус матривают сертификацию технических, программно технических, программных средств, систем, сетей вычис лительной техники как законченной научно технической продукции, предназначенной для обработки, пере дачи и хранения информации с ограниченным доступом, средств защиты и контроля эффективности защиты информации, аттестацию автоматизированных систем различного уровня, телекоммуникационных систем и других объектов защиты. Системы сертификации СЗИ призваны обеспечить потребителю средств защиты информации безопасную обработку любой информации с ограниченным доступом.

Структура систем сертификации СЗИ и основные данные об их деятельности приведены на рис.1.

16A.4

Система сертификации средств защиты информации

Межведомственная комиссия по защите государственной тайны

Федеральные органы обязательной сертификации средств защиты информаци

Заявители (разработчики, изготовители, поставщики, продавцы, потребители СЗИ)

Рис.2 Система сертификации средств защиты информации

В настоящее время в системах сертификации СЗИ аккредитовано 6 органов по сертификации (Гостехкомис сией России – 5, ФАПСИ – 1) и 46 испытательных лабораторий (Гостехкомиссией России – 34, ФАПСИ – 5, Министерства обороны – 7).

Структуру любой системы сертификации СЗИ можно представить в обобщённом виде:

Федеральный орган по сетификации

Центральный орган по сертификации

Заявители

Рис. 3 Обобщённая структура системы сертификации

ГОСТом Р 50922 – 96 «Защита информации. Основные термины и определения» средства защиты информа ции, применяемые на объекте информатизации, отнесены к технике защиты информации. Согласно требова ниям ГОСТ техника защиты информации состоит из:

средств защиты информации (рис. 3)

средств контроля эффективности защиты информации;

средств и систем управления системой защиты.

Техника защиты информации (ТЗИ) находит широкое применение в коммерческих организациях РФ для за щиты коммерческой тайны. Однако применение ТЗИ в структурах использующих в своей работе сведения, содержащие государственную тайну ограничено, и не допускается без проведения комплекса организацион но технических мероприятий, направленных на её сохранение и проводимых на всех этапах их жизненного цикла. Одним из таких мероприятий является сертификация технических средств защиты по требованиям безопасности информации.

16A.5