Основные требования к информационной безопасности

Система сертификации средств защиты информации по требованиям безопасности информации включает в себя и аттестацию объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.

Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Основные принципы, организационная структура системы аттестации объектов информатизации по требованиям безопасности информации, правила проведения, а также другие вопросы аттестации определяются «Положением по аттестации объектов информатизации по требованиям безопасности информации».

Целями создания системы сертификации являются:

  • - обеспечение реализации требований государственной системы защиты информации;
  • - создание условий для качественного и эффективного обеспечения потребителей сертифицированными средствами защиты информации;
  • - обеспечение национальной безопасности в сфере информатизации;
  • - содействие формированию рынка защищенных информационных технологий и средств их обеспечения;
  • - формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современных требований по защите информации;
  • - поддержка проектов и программ информатизации.

Основными задачами органа по сертификации являются проведение сертификации средств защиты информации по требованиям безопасности информации в заявленной области аккредитации, контроля и надзора за сертифицированными этим органом средств защиты информации и деятельностью испытательных центров (лабораторий) по сертификации.

Организационную структуру системы сертификации образуют:

  • - ФСТЭК России (федеральный орган по сертификации средств защиты информации);
  • - центральный орган системы сертификации средств защиты информации;
  • - органы по сертификации средств защиты информации;
  • - испытательные центры (лаборатории);
  • - заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).

Орган по сертификации осуществляет следующие функции:

  • - определяет схему проведения сертификации конкретных средств защиты информации с учетом предложений заявителя;
  • - уточняет требования на соответствие которым проводятся сертификационные испытания;
  • - рекомендует заявителю испытательный центр (лабораторию);
  • - утверждает программы и методики проведения сертификационных испытаний;
  • - проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний этих средств;
  • - оформляет экспертное заключение по сертификации средств защиты информации, проекты сертификатов и лицензий на применение знака соответствия и представляет их в ФСТЭК России;
  • - организует, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации;
  • - участвует в аккредитации испытательных центров (лабораторий);
  • - участвует в инспекционном контроле за стабильностью характеристик сертифицированных средств защиты информации и за деятельностью испытательных центров (лабораторий);
  • - хранит документацию (оригиналы), подтверждающую сертификацию средств защиты информации;
  • - ходатайствует перед ФСТЭК России об отмене действия выданных сертификатов;
  • - формирует и актуализирует фонд нормативных и методических документов, необходимых для сертификации, участвует в их разработке;
  • - представляет заявителю необходимую информацию по сертификации;
  • - взаимодействует с изготовителем конкретных видов средств защиты информации в своей области аккредитации по своевременной сертификации при изменении требований стандартов;
  • - участвует в разработке корректирующих мероприятий для повышения стабильности характеристик сертифицированных средств защиты информации, определяющих безопасность информации;
  • - ведет перечень сертифицированных средств защиты информации в своей области аккредитации и готовит для публикации информацию о результатах сертификации;
  • - ведет перечень аттестованных тестирующих средств.

Порядок проведения сертификации включает следующие действия:

  • - подачу и рассмотрение заявки на сертификацию средств защиты информации; испытания сертифицируемых средств защиты информации и аттестация их производства;
  • - экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
  • - осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации.
  • - информирование о результатах сертификации средств защиты информации;
  • - рассмотрение апелляций.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >