Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 1537 / 481 | Длительность: 17:50:00
Лекция 19:

Сертификация средств защиты информации

< Лекция 18 || Лекция 19: 123 || Лекция 20 >

19.1. Общий порядок сертификации средств защиты информации

Есть случаи, закрепленные на законодательном уровне, когда использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, является обязательным, например, если речь идет о государственных информационных системах или о защите персональных данных.

Исчерпывающий перечень нормативных актов, требующих проведения оценки соответствия приведён в материале Алексея Лукацкого: http://lukatsky.blogspot.ru/2012/11/blog-post_9.html

ФЗ "О техническом регулировании" [142] определяет следующие формы проведения оценки соответствия:

  • Государственный контроль и надзор;
  • Аккредитация;
  • Испытания;
  • Регистрация;
  • Подтверждение соответствия:
    • Добровольная сертификация;
    • Декларирование соответствия;
    • Обязательная сертификация;
  • Приёмка и ввод в эксплуатацию;
  • В иной форме.

Как видно из перечня обязательная сертификация является частным случаем подтверждения соответствия.

Система сертификации - совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом.

Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров[143].

Цели сертификации средств защиты информации:

  • содействие приобретателям и потребителям в компетентном выборе средств защиты информации;
  • подтверждение соответствия сертифицированных средств защиты информации требованиям безопасности информации;
  • содействие формированию рынка средств защиты информации;
  • создание условий для качественного и эффективного обеспечения потребителей средствами защиты информации;
  • обеспечение защиты информации ограниченного доступа.

Сертификация средств защиты информации производится в соответствии с Постановлением Правительства РФ от 26.06.1995 N 608 "О сертификации средств защиты информации".

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, которыми являются:

  • федеральный орган по сертификации;
  • центральный орган системы сертификации - орган, возглавляющий систему сертификации однородной продукции;
  • органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
  • испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
  • изготовители - продавцы, исполнители продукции.

Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации. Целью аккредитации является проверка возможности выполнения работ по сертификации средств защиты информации. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

Федеральный орган по сертификации осуществляет следующее:

  • создает системы сертификации;
  • осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;
  • устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;
  • определяет центральный орган для каждой системы сертификации;
  • выдает сертификаты и лицензии на применение знака соответствия;
  • ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;
  • осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;
  • рассматривает апелляции по вопросам сертификации;
  • представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;
  • устанавливает порядок признания зарубежных сертификатов;
  • приостанавливает или отменяет действие выданных сертификатов.

Центральный орган системы сертификации:

  • организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;
  • ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;
  • обеспечивает участников сертификации информацией о деятельности системы сертификации.

При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации.

Органы по сертификации средств защиты информации:

  • сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;
  • приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;
  • принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
  • формируют фонд нормативных документов, необходимых для сертификации;
  • представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.

Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям [144]. Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.

Изготовители:

  • производят (реализуют) средства защиты информации только при наличии сертификата;
  • извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
  • маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;
  • указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;
  • применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации;
  • обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации;
  • обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации;
  • прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.

Основными схемами проведения сертификации средств защиты информации являются:

  • для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
  • для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе.

Срок действия сертификата не может превышать пяти лет.

Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации.

Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости - решение о проведении и сроках предварительной проверки производства средств защиты информации.

Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.

Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствовать образцам, поставляемым потребителю (заказчику).

В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. При этом орган по сертификации средств защиты информации определяет условия, необходимые для обеспечения объективности результатов испытаний.

Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.

При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов.

Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:

  • изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
  • изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
  • отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.

Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.

Органы по сертификации и испытательные лаборатории несут ответственность за выполнение своих функций, обеспечение сохранности информации ограниченного доступа, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав разработчика при испытаниях его средств защиты информации.

< Лекция 18 || Лекция 19: 123 || Лекция 20 >
Александр Игнатьев
Александр Игнатьев

По тексту есть ссылки на литературные источники, которых нет всиске литературы. Номера есть, а источников нет. Ждать ли исправления?

Александр Тимошкин
Александр Тимошкин

В рамках курса часто упоминается сокращение "ТКЗИ". Если имеется в виду Техническая Защита Конфиденциальной Информации, то не правильнее ли использовать сокращение ТЗКИ, тем более что в разделе 11.1 Сущность, цели и задачи планирования, встречается фраза "Планирование ТЗКИ включает в себя"?

Владислав Шеревера
Владислав Шеревера
Россия, Санкт-Петербург, ФГКОУ "Санкт-Петербургский кадетский военный корпус" МО РФ
Евгений Штукерт
Евгений Штукерт
Россия, г. Краснодар