Правовые основы и процедура сертификации в области защиты информации

     Сертификация  средств защиты информации зарубежного  производства проводится по тем же правилам, что и отечественной.

     Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на средство защиты информации направляет в федеральный орган по сертификации.

     После согласования технических условий  или формуляра на средства защиты информации и присвоения сертификату  регистрационного номера федеральный орган по сертификации оформляет сертификат и выдает его заявителю. Срок действия сертификата - три года.

     При несоответствии результатов испытаний  требованиям нормативных документов федеральный орган по сертификации принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет федерального органа по сертификации для дополнительного рассмотрения материалов сертификации.

     Продление срока действия сертификата могут проводиться по упрощенной схеме, включающей проверку конструкторской, технологической, эксплуатационной документации и условий производства сертифицированных средств защиты информации.

     Заявитель для продления срока действия сертификата соответствия не позднее чем за три месяца до окончания срока его действия направляет в федеральный орган по сертификации заявку.

     Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение по заявке на проведение сертификации. Орган по сертификации и испытательная лаборатория выбираются, как правило, с учетом проведения предыдущих сертификационных испытаний.

     При изменении требований к сертифицированным средствам защиты информации, их конструкции или условий производства проводится повторная сертификация. При этом сертификация может проводиться по упрощенной схеме, а сертификационные испытания - по сокращенной программе. При этом могут осуществляться:

- проверка основных характеристик сертифицированных средств защиты информации, обеспечивающих (определяющих) выполнение требований по защите информации;

- сертификационные испытания характеристик сертифицированных средств защиты информации, обеспечивающих (определяющих) выполнение изменившихся или вновь предъявляемых требований по защите информации; 
- контроль технологии производства средств защиты информации.

     Для признания зарубежного  сертификата заявитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который в срок, не позднее двух месяцев после получения заявки, извещает заявителя о признании сертификата или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата заявителю выдается сертификат установленного образца.

     Апелляция подается в апелляционный совет федерального органа по сертификации по вопросам, связанным с деятельностью испытательных центров (лабораторий) или органов по сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. О принятом решении извещается податель апелляции. 
 

      Центр по лицензированию, сертификации и защите государственной тайны ФСБ России 

     «Центр  по лицензированию, сертификации и  защите государственной тайны» ФСБ России (Центр «ЛСЗ» ФСБ России) участвует в регулировании ввоза на территорию Российской Федерации и вывоза за ее пределы шифровальных средств и специальных технических средств, предназначенных для негласного получения информации. Эти вопросы регламентируются:  
- Указом Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;

- Постановлением  Правительства Российской Федерации  от 6 ноября 1992 г. № 854 «О лицензировании  и квотировании экспорта и  импорта товаров (работ, услуг)  на территории Российской Федерации»;

- Постановлением  Правительства Российской Федерации  от 10 марта 2000 г. № 214 «Об утверждении  Положения о ввозе в Российскую  Федерацию и вывозе из Российской  Федерации специальных технических  средств, предназначенных для  негласного получения информации, и списка видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию».

     ФСБ России имеет свидетельства Госстандарта России на право осуществления добровольной сертификации специальных технических средств, предназначенных для негласного получения информации, а также сертификации средств защиты информации (СЗИ) по требованиям безопасности сведений, составляющих государственную тайну.

     Организации аккредитованные в качестве испытательных лабораторий в системах сертификации ФСБ России:

     1. Система сертификации средств  криптографической защиты информации (РОСС RU.0001.030001).

     2. Система сертификации средств  защиты информации по требованиям  безопасности для сведений, составляющих государственную тайну (РОСС RU.0003.01EH00).

     Федеральная Служба Безопасности Российской Федерации  имеет право выдавать лицензии и  проводить сертификацию в том  случае, если осуществляется производство продукции, которая так или иначе связана с возможностью получения негласных сведений, проводится деятельность по выявлению электронных средств получения информации, деятельность по разработке, производству и распространению шифровальных устройств. Соответствующие лицензии и сертификаты могут быть получены заявителем в Центре по лицензированию и сертификации ФСБ России. Осуществляет ЛСЗ лицензирование и сертификацию согласно Номенклатуре средств защиты информации, которые не содержат государственной тайны. В перечень входят программные комплексы и программное обеспечение, которое связано с получением и хранением информации в том случае, если данная информация не является государственной тайной, различные приспособления для шифрования информации. Сертификация ФСБ является необходимой в области информации и информационных технологий, так как она дает возможность пользователю быть уверенным в надежности и качестве того, оборудования и программного обеспечения, которое он приобретает. Огромное значения сертификация ФСБ имеет и с точки зрения сохранения государственной тайны и обеспечения государственной безопасности, так как операционные системы и некоторое программное обеспечение могут принести вред.

     В системе сертификации ФСБ средств криптографической защиты информации проводится сертификация контрольно кассовых машин с электронной лентой, защищенной ЭКЛЗ, аппаратных средств для защиты, хранение и передачи информации по каналам связи, межсетевые экраны, программное обеспечение, системное программное обеспечение, системы обнаружения компьютерных атак и другие объекты, которые связаны с использованием, хранением и передачей информации.

     Для сертификации ФСБ контрольно-кассовых машин обязательными являются проверка функционирования как самой контрольно-кассовой машины,  так и электронной ленты, которая имеет защиту. Соответствие контрольно-кассовых машин и электронных контрольных лент тем стандартам, которые заявлены в технической документации и стандартам, которые являются обязательными для данных видов устройств. Также проверке в процессе сертификации ФСБ контрольно-кассовых машин с электронной лентой обязательной является проверка периодичности и параметров технического обслуживания и контроля деятельности данного аппарата.

     Сертификация  ФСБ, которая имеет целью проверку на соответствие стандартам различных шифровальных средств включает в себя проведение криптографических и инженерных исследований, специальных исследований линейного сигнала, анализ средств защиты информации, которые установлены на данном виде устройств, исследования антивирусных средств и системного программного обеспечения. Все аппараты и средства, на которые распространяется исследование и сертификация ФСБ должны соответствовать требованиям и нормам стандартов обеспечения информационной безопасности. Соответствие этим требованиям оборудования и средств, которые работают в области информационных технологий, представляют собой повышенную опасность, поэтому обязательно должны получить лицензию и сертификат в одном из органов сертификации, аккредитованных ФСБ и имеющих лицензию на право заниматься подобной деятельностью. 
 
 

Перечень  государственных  стандартов 

     Настоящие стандарты не могут быть полностью  или частично воспроизведены, тиражированы и распространены 
в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии.

     ГОСТ  Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа  к информации. Общие технические  требования. Госстандарт России

     ГОСТ  Р 50922-96. Защита информации. Основные термины  и определения. Госстандарт России

     ГОСТ  Р 51188-98. Защита информации. Испытания  программных средств на наличие  компьютерных вирусов. Типовое руководство. Госстандарт России

     ГОСТ  Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России

     ГОСТ  Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая  эталонная модель. Часть 1. Базовая  модель. Госстандарт России

     ГОСТ  Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России

     ГОСТ  Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России

     ГОСТ  Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России

     ГОСТ  Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России  
 

*******************