Сертификации средств защиты информации. Аттестации объектов информатики. Правовая основа сертификации.
Сертификация средств защиты информации по требованиям безопасности информации - это комплекс организационно-технических мероприятий, в результате которых посредством специального документа и знака соответствия с определенной степенью достоверности подтверждается, что средства защиты информации соответствуют требованиям нормативных документов по безопасности информации и государственных стандартов.
Обязательной сертификации подлежат все средства защиты информации, т.е. технические, криптографические, программные и другие средства, предназначенные для защиты сведений, содержащих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Правовой основой сертификации продукции и услуг в области защиты информации являются три Закона РФ:
1. Закон РФ «О защите прав потребителей» в России определяет обязательную сертификацию товаров (работ, услуг), на которые установлены требования по обеспечению безопасности жизни, здоровья потребителей и охраны окружающей среды, предотвращению вреда имуществу потребителей.
2. Закон РФ «О сертификации продукции и услуг» устанавливает порядок работ по обязательной сертификации, а также права, обязанности и ответственность участников процессов сертификации.
3. Закон РФ «О государственной тайне» определяет порядок сертификации средств защиты, применяемых при обработке информации, составляющей государственную тайну.
Основным нормативно-правовым документом по сертификации продукции и услуг в области защиты информации является Постановление Правительства РФ от 26 июня 1995 года №608 «О сертификации средств защиты информации». В нем сказано, что все средства защиты информации подлежат обязательной сертификации в рамках конкретных систем сертификации (Гостехкомиссией, ФАПСИ, ФСБ, Минобороны) в пределах компетенции, определенной для них законодательными актами. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны, председателем которой является первый вице-премьер Правительства, а заместителями — директор ФАПСИ и председатель Гостехкомиссии.
В настоящее время сертификация программных и технических средств защиты информации, не использующих методы криптографии и шифрования, проводится в рамках «Системы сертификации средств защиты информации по требованиям безопасности информации» испытательными лабораториями и органами по сертификации, аккредитованными Гостехкомиссией России. Эта система представляет собой комплект всех необходимых для сертификации документов, разработанных Гостехкомиссией и зарегистрированных Госстандартом России в 1995 году за № РОСС RU.0001.01БИ00.
Сертификация программных и технических средств защиты информации, использующих методы криптографии, проводится органами ФАПСИ в рамках «Системы сертификации средств криптографической защиты информации»,разработанной ФАПСИ и зарегистрированной Госстандартом России в 1993 году под №РОСС RU.0001.3001.
Кроме лицензирования и сертификации важную роль и деле защиты информации играют аттестации объектов информатики по требованиям безопасности информации и контроль состояния защиты информации.
Под объектами информатики, аттестуемыми по требованиям безопасности информации, понимают автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные дли ведения конфиденциальных переговоров.
Под аттестацией объектов информатики понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Наличие на объекте информатики действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленными в «Аттестате соответствия».
Обязательной аттестации подлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
Аттестация по требованиям безопасности информации предшествует началу обработки информации подлежащей защите и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатики мер и средств защиты информации.
Контроль состояния защиты информации (ЗИ) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно технических воздействий на информацию и оценки защиты ее от иностранных технических разведок (ИТР).
Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам ЗИ, решений Гостехкомиссии России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по ЗИ.