МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ 
 
 
 
 
 
 
 
 
 
 

Реферат

на  тему

«Правовые основы и процедура сертификации

в области защиты информации» 
 
 
 
 

                                                     Выполнил:

                                                     Проверил:  

                                                            

                                
 
 
 
 
 

Содержание

 
 

7

Введение

 

     Термин «сертификация» впервые был сформулирован и определен Комитетом по вопросам сертификации (СЕРТИКО) международной организации по стандартизации (ИСО) и включен в Руководство №2 ИСО (ИСО/МЭК2) версии 1982 г. Согласно этому документу, сертификация определялась как действие, удостоверяющее посредством сертификата соответствия или знака соответствия, что изделие ли услуга соответствует определенным стандартам или другим нормативным документам. Данное определение положено в основу понятия сертификации соответствия, принятого сегодня в системе сертификации ГОСТ в Российской Федерации.

     В настоящее время под сертификацией понимается процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Также сертификация — форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

     Ведущие экономические державы начали развивать процессы сертификации в 20-30-е годы нашего столетия. Сертификация продукции в Российской Федерации, а до этого в ССР, начала развиваться в 1979 г., после постановления ЦК КПСС и Совета Министров СССР «Об улучшении планирования и усиления воздействия хозяйственного механизма на повышение эффективности производства и качества работы». 

Правовые  основы сертификации в области 

защиты  информации

 

     Основным  документом в сфере сертификации до 2003 года был ФЗ "О сертификации продукции и услуг" от 10.06.1993 N 5151-1. В 1994 году Госстандарт России ввел в действие нормативный документ "Номенклатура продукции и услуг, подлежащих обязательной сертификации в Российской Федерации". Этот документ ежегодно пересматривается и уточняется с учетом практики, условий торговли, производства и тенденций научно-технического развития. В настоящее время действия этих документов отменены.

     Летом 2003 года вступил в силу Федеральный закон «О техническом регулировании» № 184-ФЗ, а Постановлением Правительства РФ от 1 декабря 2009 г. №982  «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии» был утвержден единый перечень продукции, подлежащей обязательной сертификации. Указанным документом к обязательно сертифицируемым отнесены следующие средства информатизации:

• вычислительные машины и комплексы;
• системы сбора и обработки информации;
• персональные ЭВМ;
• устройства внешней памяти, ввода-вывода и отображения информации;
• устройства подготовки и телеобработки данных;
• устройства межсистемной связи сетей, систем,
• комплексов и ЭВМ;
• комплексы и системы технических средств охраны.

     По  Доктрине информационной безопасности Российской Федерации (далее Доктрина), утвержденной Президентом Российской Федерации 09 сентября 2000 г. № Пр-1895 сертификации подлежат:

• системы и средства обеспечения информационной безопасности Российской Федерации;
• средства защиты информации;
• телекоммуникационное оборудование и программное обеспечение автоматизированных систем обработки информации по требованиям информационной безопасности;
• средства защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
• общее и специальное программное обеспечение, пакеты прикладных программ и средства защиты информации в существующих и создаваемых автоматизированных системах управления военного назначения и системах связи, имеющих в своем составе элементы вычислительной техники.

     В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих  основных направлениях:

1. обязательная сертификация средств информатизации на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспечивающим безопасность жизни, здоровья, имущества потребителей и охрану среды обитания;
2. обязательная сертификация средств защиты информации;
3. добровольная сертификация функциональных параметров средств и систем информатизации, по номенклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами, и учитывающим различные аспекты применения аппаратуры и программного обеспечения.

     Статья 28. Порядок сертификации средств защиты информации Федерального закона Российской Федерации «О государственной тайне» (от 21 июня 1993 г. № 5485-I) гласит:

     «Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

     Организация сертификации средств  защиты информации возлагается  на федеральный орган  исполнительной власти, уполномоченный в  области противодействия  техническим разведкам  и технической  защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации. 
(в ред. Федеральных законов от 06.10.1997 N 131-ФЗ, от 30.06.2003 N 86-ФЗ, от 29.06.2004 N 58-ФЗ)

     Координация работ по организации  сертификации средств  защиты информации возлагается  на межведомственную комиссию по защите государственной  тайны.»

     Вся система сертификации обеспечивает достижение прежде всего национальной безопасности в сфере информатизации. Не менее важным является формирование и осуществление единой научно - технической и промышленной политики в сфере информатизации. А так же содействие формированию рынка защищенных информационных технологий и средств их обеспечения, регулирование и контроль разработки, а также последующего производства средств защиты информации, помощь потребителям в компетентном выборе средств защиты информации, защита потребителя от недобросовестности исполнителя (продовца, изготовителя), подтверждение показателей качества продукции.

     Нормативная правовая база системы сертификации средств защиты информации включает в себя следующее:

• Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г.
• Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»
• Положение о сертификации средств защиты информации по требованиям безопасности информации (приказ председателя Гостехкомиссии России от 27 октября 1995 г. № 199)

     Сертификации подлежат технические, программные, программно-аппаратные средства защиты информации, средства в которых реализованы СЗИ и средства контроля эффективности защиты информации.

 

     Процедура сертификации средств  защиты информации

     по  требованиям безопасности информации 

     Саму  систему сертификации представляет ФСТЭК России, которому подведомственны  аккредитованные органы по сертификации средств защиты информации и испытательные  лаборатории.

     В соответствии с действующими нормативными правовыми документами Российской Федерации Система сертификации средств защиты информации по требованиям безопасности информации включает в себя следующие сведения:

• Государственный реестр сертифицированных средств  защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00

• Перечень  органов по аттестации Системы сертификации средств защиты информации по требованиям  безопасности информации № РОСС RU.0001.01БИ00

• Перечень  органов по сертификации Системы  сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00

• Перечень  испытательных лабораторий Системы  сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00

     В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации процедура сертификации включает:

- подачу и рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации; 
- сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства; 
- экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия; 
- осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации; 
- информирование о результатах сертификации средств защиты информации; 
- рассмотрение апелляций.

     Заявитель для получения сертификата направляет в федеральный орган по сертификации заявку на проведение сертификации. Заявка оформляется на бланке заявителя и заверяется печатью.

     Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решения по заявке на проведение сертификации. Орган по сертификации и испытательный центр (лаборатория) могут быть изменены по согласованию с заявителем.

     После получения решения заявитель обязан представить в испытательный центр (лабораторию) средства защиты информации в комплектации, согласно техническим условиям, или формуляру на средство защиты, а также комплект необходимой технической и эксплуатационной документации на это средство.

     Сертификационные  испытания средств защиты информации проводятся в испытательных центрах (лабораториях) на образцах, конструкция, состав и технология изготовления которых  должны быть аналогичны образцам средств  защиты информации, поставляемым потребителю, по программам и методикам испытаний, утвержденным органом по сертификации.

     Количество  образцов, порядок их отбора и идентификации  должен соответствовать требованиям  нормативных и методических документов.

     В случае отсутствия на момент сертификации испытательных центров (лабораторий) с соответствующей областью аккредитации федеральный орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.

     По  просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний средств защиты информации и предоставленной документации на эти средства в испытательном центре (лаборатории).

     По  результатам испытаний оформляются протоколы и технические заключения, которые направляются испытательным центром (лабораторией) в орган по сертификации, а копия технического заключения - заявителю.

     При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства заявитель (разработчик, изготовитель) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых сертификационных испытаний этих средств.