Вопрос №5. Сертификация средств защиты информации.

Средства зашиты информации, находящейся в режиме государственной тайны, должны иметь сертификат, удостоверяющий их со­ответствие требованиям по защите сведений соответствующей степени секретности. Согласно ст. 28 Закона РФ «О государственной тайне», организация сертификации средств зашиты информации возлагается на федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и тех­нической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на осно­вании требований государственных стандартов РФ и иных норма­тивных документов, утверждаемых Правительством РФ. В развитии Закона РФ «О государственной тайне» постановлением Правитель­ства РФ от 26 июня 1995 г. № 608 утверждено Положение о серти­фикации средств защиты информации. Данное Положение устанав­ливает общий порядок сертификации средств зашиты информации в Российской Федерации и ее учреждениях за рубежом. Согласно Положению средствами защиты информации являются технические, криптографические, программные и другие средства, предназначен­ные для зашиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптогра­фические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгорит­мов, рекомендованных ФСБ РФ2.

Система сертификации представляет собой совокупность участ­ников сертификации, осуществляющих ее по установленным прави­лам. Системы сертификации создаются ФСБ РФ, Минобороны РФ, СВР РФ, ФСТЭК РФ. В каждой системе сертификации разрабаты­ваются и согласовываются с Межведомственной комиссией по за­щите государственной тайны положения об этой системе сертифи­кации, а также перечень средств защиты информации, подлежащих сертификации и требования, которым эти средства должны удовле­творять.

Так, ФСБ РФ создана система обязательной сертификации средств защиты информации по требованиям безопасности для све­дений, составляющих государственную тайну (система сертифика­ции СЗИ-ГТ).

Основные цели создания, организационная структура системы сертификации СЗИ-ГТ, порядок проведения сертификации этих

средств, порядок регистрации сертифицированных средств, а также порядок проведения инспекционного контроля за сертифицирован­ными средствами установлены Положением о системе сертифика­ции средств зашиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утвержденным приказом ФСБ РФ от 13 ноября 1999 г. № 564.

Основными целями создания данной системы сертификации яв­ляются:

обеспечение национальной безопасности в сфере информа­ции;

формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом тре­бований системы защиты государственной тайны;

содействие формированию рынка защищенных информаци­онных технологией и средств их обеспечения;

регулирование и контроль разработки, а также последующего производства средств защиты информации;

содействие потребителям в компетентном выборе средств за­щиты информации;

защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

— подтверждение показателей качества продукции, заявленных изготовителями.

Органы по сертификации системы СЗИ-ГТ проводят обязатель­ную сертификацию средств защиты информации, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства. Номенклатура СЗИ-ГТ разрабатывается ФСБ РФ на основании видов средств защиты ин­формации, подлежащих сертификации в системе сертификации СЗИ-ГТ, и утверждается по согласованию с Межведомственной ко­миссией по защите государственной тайны.

По инициативе разработчика, изготовителя или потребителя мо­жет проводиться добровольная сертификация средств защиты ин­формации, не предназначенных для работы со сведениями, состав­ляющими государственную тайну.

Сертификация СЗИ-ГТ осуществляется аккредитованными орга­нами по сертификации, а испытания проводятся в аккредитованных испытательных центрах или лабораториях. Признание сертификатов соответствия на средства защиты информации, выданных другими системами сертификации, осуществляется в порядке, определяемом ФСБ РФ и Межведомственной комиссией по защите государствен­ной тайны.

Организационную структуру данной системы сертификации об­разуют:

— ФСБ РФ (федеральный орган исполнительной власти, упол­номоченный проводить работу по обязательной сертификации средств защиты информации);

— центральный орган системы сертификации (создается при необходимости);

органы по сертификации СЗИ-ГТ;

испытательные центры (лаборатории);

учебно-методический центр;

заявители (разработчики, изготовители, продавцы, потреби­тели СЗИ-ГТ).

ФСБ РФ в пределах своей компетенции осуществляет, в частности, функции по:

созданию системы сертификации и установлению правил проведения сертификации;

представлению на государственную регистрацию в Госстандарт РФ системы сертификации СЗИ-ГТ и ее знаки соответствия; \

организации функционирования системы сертификации;

определению номенклатуры СЗИ-ГТ;

установлению правил аккредитации и выдачи лицензий на проведение работ по сертификации;

утверждению нормативных документов, на соответствие ко­торым проводится сертификация СЗИ-ГТ в системе сертификации и методические документы по проведению сертификационных ис­пытаний.

ведению государственного реестра сертифицированных средств зашиты информации, аккредитованных в системе сертификации СЗИ-ГТ, органов по сертификации и испытательных центров (лабораторий), других участников сертификации, а также выданных и аннулированных сертификатов соответствия и лицензий на при­менение знака соответствия.

Органы по сертификации СЗИ-ГТ в пределах установленной об­ласти аккредитации, в частности:

проводят идентификацию средств защиты информации;

определяют схему сертификации конкретных средств зашиты;

разрабатывают предложения по номенклатуре СЗИ-ГТ;

оформляют экспертное заключение по сертификации СЗИ-ГТ, сертификаты соответствия и лицензии на применение знака соот­ветствия и представляют их в ФСБ РФ для регистрации в государ­ственном реестре;

выдают сертификаты соответствия и лицензии на примене­ние знака соответствия;

представляют заявителю перечень испытательных центров (лабораторий), в которых могут проводиться испытания конкретного СЗИ-ГТ;

приостанавливают либо отменяют действие выданных серти­фикатов соответствия и лицензий на применение знака соответст­вия.

Испытательные центры (лаборатории) в пределах установленной области аккредитации, в частности:

разрабатывают, утверждают программы и методики проведе­ния сертификационных испытаний;

осуществляют отбор образцов СЗИ-ГТ для проведения сер­тификационных испытаний;

осуществляют сертификационные и инспекционные испыта­ния СЗИ-ГТ, оформляют технические заключения и протоколы сер­тификационных испытаний;

обеспечивают сохранность образцов СЗИ-ГТ и конфиденци­альность информации.

Учебно-методический центр:

— осуществляет подготовку, переподготовку и повышение ква­лификации кадров;

осуществляет подготовку и аттестацию экспертов;

участвует в разработке и совершенствовании нормативных и методических документов в системы сертификации СЗИ-ГТ.

Заявители (разработчики, изготовители, продавцы) должны иметь лицензию на соответствующий вид деятельности и обязаны, в частности:

применять сертификат и знак соответствия СЗИ-ГТ, руково­дствуясь правилами системы сертификации;

указывать в сопроводительной технической документации сведения о сертификате на СЗИ-ГТ, обеспечивать доведение этой информации до потребителя;

принимать меры для обеспечения стабильности характери­стик СЗИ-ГТ, определяющих безопасность информации;

извещать орган по сертификации, проводивший сертифика­цию, обо всех изменениях в технологии, конструкции (составе) сер­тифицированного СЗИ-ГТ и технической документации на него для принятия решения о необходимости проведения повторной серти­фикации данного СЗИ-ГТ.

Органы по сертификации и испытательные центры (лаборато­рии) должны быть юридическими лицами, располагать подготовлен­ными специалистами, необходимыми средствами измерений, испы­тательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям СЗИ-ГТ в своей области аккредитации.

Проведению сертификации предшествует подача заявки на сер­тификацию, осуществляемая заявителем. Заявка с указанием схемы проведения сертификации, государственных стандартов и иных нормативно-методических документов направляется в орган по серти­фикации, который обязан в десятидневный срок передать копию заявки на проведение сертификации продукции в ФСБ РФ.

В месячный срок после получения заявки орган по сертифика­ции СЗИ-ГТ направляет заявителю решение на проведение серти­фикации, в котором указывается перечень испытательных центров, область аккредитации которых позволяет проводить сертификацион­ные испытания данного СЗИ-ГТ.

После получения решения заявитель представляет средство за­шиты в испытательный центр или (в отдельных случаях) в орган по сертификации. Сроки проведения испытаний могут быть установле­ны в договоре между заявителем и испытательным центром.

Результаты испытаний оформляются протоколами и техническим заключением, которые направляются органу по сертификации и заявителю.

Орган по сертификации проводят экспертизу результатов испы­таний и готовит экспертное заключение. При соответствии результатов испытаний требованиям нормативных документов, данный орган оформляет сертификат соответствия и лицензию на примене­ние знака соответствия, которые вместе с копией экспертного за­ключения направляет в ФСБ РФ для регистрации в государствен­ном реестре. Срок действия сертификата соответствия устанавливается не более чем на пять лет.

Заявителю сертификат соответствия и лицензия на применение знака соответствия выдаются после их регистрации в государствен­ном реестре системы сертификации СЗИ-ГТ.

Инспекционный контроль за сертифицированными СЗИ-ГТ осуществляет орган по сертификации, проводивший сертификацию с привлечением в случае необходимости испытательного центра.