Система сертификации средств защиты информации по требованиям безопасности информации

Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.OOOI.OIBMOO является системой обязательной сертификации средств защиты информации [2, 3].

Система сертификации средств защиты информации по требованиям безопасности информации действует на основании Положения о сертификации средств защиты информации по требованиям безопасности информации, которое устанавливает основные принципы, организационную структуру системы сертификации, порядок проведения сертификации средств защиты по требованиям безопасности информации, а также государственный контроль и надзор за сертификацией и сертифицированными средствами защиты информации [4].

Система сертификации средств защиты информации включает также подсистему аттестации объектов информатизации и подсистему подготовки и аттестации экспертов. Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Объектами для подтверждения соответствия в данной системе сертификации являются средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. В качестве средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации, выступают:

— технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении;
— средства защиты информации (технические, программные, программно-технические) от несанкционированного доступа (НСД), блокировки доступа и нарушения целостности;
— средства контроля эффективности применения средств защиты информации;
— защищенные программные средства обработки информации;
— программные средства общего назначения.

Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.

Основными схемами сертификации средств защиты информации являются:

— для единичных образцов средств защиты информации — проведение испытаний образца на соответствие требованиям по безопасности информации;
— для серийного производства средств защиты информации — проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе.

По согласованию с органом по сертификации по требованиям безопасности информации могут быть использованы и другие схемы сертификации, применяемые в международной практике.

В основе правовой базы деятельности Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.OOOl.OIBHOO лежат Закон Российской Федерации «О государственной тайне», Федеральные законы «О техническом регулировании», «Об информации, информационных технологиях и о защите информации» и другие соответствующие нормативно-правовые акты.

Организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации образуют:

1. Федеральная служба по техническому и экспортному контролю (ФСТЭК) России — федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации.
2. Органы по сертификации средств защиты информации — органы, проводящие сертификацию определенной продукции.
3. Испытательные лаборатории — лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции.
4. Заявители — изготовители, продавцы или потребители продукции.

Органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой ФСТЭК России определяет возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации.

Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на проведение мероприятий и (или) оказание услуг в области защиты государственной тайны в части технической защиты информации по сертификации и сертификационным испытаниям.

ФСТЭК России в пределах своей компетенции осуществляет следующие функции:

— создает Систему сертификации средств защиты информации по требованиям безопасности информации и устанавливает правила проведения сертификации средств защиты информации;
— аккредитует органы по сертификации средств защиты информации и испытательные лаборатории;
— осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;
— устанавливает правила аккредитации органов по сертификации средств защиты информации и испытательных лабораторий;
— определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;
— выдает сертификаты и лицензии на применение знака соответствия;
— ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;
— осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации, а также устанавливает порядок инспекционного контроля за сертифицированными средствами защиты информации;
— рассматривает апелляции по вопросам сертификации;
— представляет на регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации систему сертификации по требованиям безопасности информации и знак соответствия;
— утверждает нормативные документы, на соответствие требованиям которых проводится сертификация средств защиты информации в системе, и методические документы по проведению сертификационных испытаний.
— приостанавливает или отменяет действие выданных сертификатов.

Органы по сертификации средств защиты информации в пределах установленной области аккредитации:

— сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в ФСТЭК России и ведут их учет;
— приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;
— принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
— формируют фонд нормативных документов, необходимых для сертификации;
— представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции;
— осуществляют инспекционный контроль за сертифицированными средствами защиты информации.

Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям. Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.

Заявители имеют следующие права и обязанности:

— изготовители и продавцы СЗИ должны иметь лицензию на проведение работ, связанных с созданием средств защиты, предназначенных для защиты сведений, составляющих государственную тайну и защиты конфиденциальной информации, а также лицензию на их реализацию;
— реализуют средства защиты информации только при наличии сертификата;
— извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
— маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;
— указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;
— применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для системы сертификации средств защиты информации по требованиям безопасности информации ФСТЭК России;
— обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации;
— обеспечивают беспрепятственное выполнение должностными лицами ФСТЭК России своих полномочий по контролю и надзору за соблюдением правил сертификации и органов по сертификации по инспекционному контролю за сертифицированными средствами защиты информации;
— прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов, на соответствие которым они были сертифицированы, или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.

Порядок проведения сертификации включает следующие действия.

Подача заявителем в ФСТЭК России заявки на проведение сертификации с указанием схемы проведения сертификации, стандартов и иных нормативных документов, на соответствие требованиям которых должна проводиться сертификация.

ФСТЭК России в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение на проведение сертификации.

После получения решения заявитель представляет в орган по сертификации и испытательный центр (лабораторию) сертифицируемое средство защиты информации, а также комплект технической и эксплуатационной документации.

В процессе проведения испытаний испытательный центр (лаборатория) осуществляет отбор и идентификацию образца сертифицируемого средства защиты информации; на основе типовой методики разрабатывает программу и методику испытаний, адаптированных к заявленному средству; испытывает средство защиты информации с точки зрения оценки его соответствия требованиям, определенным решением ФСТЭК России. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией). Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.

Результаты испытаний оформляются протоколами и заключением, которые направляются испытательным центром (лабораторией) органу по сертификации, а в копии — заявителю.

Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение. При соответствии результатов испытаний требованиям нормативных документов по защите информации орган по сертификации оформляет проект сертификата, который вместе с экспертным заключением и техническими условиями на средство защиты информации направляет в ФСТЭК России.

После утверждения экспертного заключения, согласования технических условий на средство защиты информации, присвоения сертификату регистрационного номера ФСТЭК России оформляет сертификат соответствия. Срок действия сертификата устанавливается не более, чем на пять лет.

При несоответствии результатов испытаний требованиям стандартов или иных нормативных документов по защите информации ФСТЭК России принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет ФСТЭК России для дополнительного рассмотрения материалов сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон.

Получение изготовителем средств защиты информации сертификата дает ему право получить у ФСТЭК России сертификационную лицензию на маркировку этих средств знаком соответствия. Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации, не отвечающих требованиям нормативной и методической документации, указанной в сертификате.

Государственный контроль и надзор за соблюдением заявителями, испытательными центрами (лабораториями), органами по сертификации правил обязательной сертификации и за сертифицированными средствами защиты информации осуществляет ФСТЭК России.

Инспекционный контроль за сертифицированными средствами защиты информации осуществляет орган по сертификации или испытательный центр (лаборатория) в соответствии с решением ФСТЭК России, проводивший сертификацию этих средств защиты информации. Периодичность и объемы испытаний сертифицированных средств защиты информации в испытательных центрах (лабораториях) должны предусматриваться в нормативных и методических документах по сертификации конкретных видов средств защиты информации.

По результатам контроля ФСТЭК России может приостановить или отменить действие сертификата и аттестата аккредитации. Решение об отмене действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям. Причинами, которые могут заставить принять такое решение, являются:

— изменение нормативных и методических документов на средства защиты информации или методов испытаний и контроля;
— изменение конструкции (состава), комплектности средств защиты информации, системы контроля их качества;
— невыполнение требований технологии изготовления, контроля, испытаний средств защиты информации;
— отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за сертификацией и за сертифицированными средствами защиты информации.

Информация о приостановлении (отмене) действия сертификата или аттестата аккредитации немедленно доводится до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий).

ФСТЭК России обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, включающей: перечень средств защиты информации (их сертифицированных параметров), на которые выданы сертификаты; перечень средств защиты информации (их сертифицированных параметров), на которые действие сертификатов отменено; перечень органов по сертификации конкретных видов средств защиты информации; перечень испытательных центров (лабораторий); перечень нормативных документов, на соответствие требованиям которых проводится сертификация средств защиты информации, и методических документов по проведению сертификационных испытаний.

Сертификация отечественных и импортируемых средств защиты информации проводится на соответствие требованиям национальных стандартов и иных нормативных документов по безопасности информации, утвержденных ФСТЭК России, указываемых в заявке, программах и методиках испытаний.

Основными нормативными документами, определяющими требования для проведения сертификации средств защиты информации по требованиям безопасности информации, являются:

— ГОСТ Р ИСО/МЭК 15408-2008 (части 1—3). Критерии оценки безопасности информационных технологий;
— ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
— ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководство по их применению;
— ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации;
— ГОСТ Р 51275-99. Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения;
— Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
— Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
— Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
— Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей»;

Подробнее этапы, методы и средства проведения сертификационных испытаний средств защиты информации описаны в главе 7 части 2 данной книги.

Система сертификации средств защиты информации по требованиям безопасности информации

Подача и рассмотрение заявки на сертификацию средств защиты информации.

ЗАЩИТА ИНФОРМАЦИИ В СИСТЕМЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Основные понятия защиты информации и информационной безопасности

ГАРАНТИИ БЕЗОПАСНОСТИ, ЗАЩИТА ИНФОРМАЦИИ И КОММЕРЧЕСКИХ ИНТЕРЕСОВ СТОРОН

ТЕСТ «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ»

ОСНОВНЫЕ ПОНЯТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ

ВВЕДЕНИЕ В ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ И ЗАЩИТУ ИНФОРМАЦИИ

ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ И БЕЗОПАСНОСТИ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ

Законодательство РФ в области информационной безопасности и защиты информации