Особенности технических мероприятий инженерно-технической защиты информации при сертификации технических средств защиты информации

Размещено на http://www.allbest.ru/

ФГБОУ ВПО Национальный Исследовательский Университет «МЭИ»

ЦП ИИЭБ

Доклад

На тему: «Особенности технических мероприятий инженерно-технической защиты информации при сертификации технических средств защиты информации»

Москва 2014 г.

Содержание

Введение

1. Общие положения сертификации средств защиты информации

2. Порядок сертификации средств защиты информации

Заключение

Список используемых источников

Введение

Средства защиты информации в соответствии со Ст. 28 Закона РФ "О государственной тайне" должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Государственную техническую комиссию при Президенте РФ, Федеральную службу безопасности РФ, Министерство обороны Российской Федерации в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством РФ. Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.

Целью настоящей работы является рассмотрение сертификации тех.средств защиты информации.

1. Общие положения сертификации средств защиты информации

Согласно Ст. 2 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании":

А) под сертификацией понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров;

Б) сертификатом соответствия является документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов или условиям договоров;

В) под системой сертификации понимается совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом. Обязательная сертификация осуществляется органом по сертификации на основании договора с заявителем.

Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавливаются соответствующим техническим регламентом. Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации. Сертификат соответствия включает в себя: - наименование и местонахождение заявителя; - наименование и местонахождение изготовителя продукции, прошедшей сертификацию; - наименование и местонахождение органа по сертификации, выдавшего сертификат соответствия; - информацию об объекте сертификации, позволяющую идентифицировать этот объект;

- наименование технического регламента, на соответствие требованиям которого проводилась сертификация;

- информацию о проведенных исследованиях (испытаниях) и измерениях;

- информацию о документах, представленных заявителем в орган по сертификации в качестве доказательств соответствия продукции требованиям технических регламентов;

- срок действия сертификата соответствия. Срок действия сертификата соответствия определяется соответствующим техническим регламентом. Форма сертификата соответствия утверждается федеральным органом исполнительной власти по техническому регулированию. Целями создания системы сертификации являются:

- реализация требований статьи 28 Закона Российской Федерации "О государственной тайне";

- обеспечение национальной безопасности в сфере информатизации;

- формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом требований системы защиты государственной тайны;

- содействие формированию рынка защищенных информационных технологий и средств их обеспечения;

- регулирование и контроль разработки, а также последующего производства СЗИ-ГТ;

- содействие потребителям в компетентном выборе средств защиты информации;

- защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

- подтверждение показателей качества продукции, заявленных изготовителями.

Органы по сертификации системы сертификации СЗИ-ГТ проводят обязательную сертификацию средств защиты информации, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства. Номенклатура СЗИ-ГТ разрабатывается ФСБ России на основании видов средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ и утверждается по согласованию с Межведомственной комиссией по защите государственной тайны.

2. Порядок сертификации средств защиты информации

Порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом устанавливает Положение о сертификация средств защиты информации. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации). Системы сертификации создаются Государственной технической комиссией при Президенте Российской Федерации, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, полномочными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются - федеральные органы по сертификации).

Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

Участниками сертификации средств защиты информации являются:

-федеральный орган по сертификации;

-центральный орган системы сертификации (создаваемый при необходимости)

-орган, возглавляющий систему сертификации однородной продукции;

-органы по сертификации средств защиты информации

-органы, проводящие сертификацию определенной продукции; - испытательные лаборатории

- лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;

- изготовители - продавцы, исполнители продукции.

Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

Федеральный орган по сертификации в пределах своей компетенции:

- создает системы сертификации; осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;

- устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;

- определяет центральный орган для каждой системы сертификации; - выдает сертификаты и лицензии на применение знака соответствия;

- ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;

- осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;

- рассматривает апелляции по вопросам сертификации; - представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;

- устанавливает порядок признания зарубежных сертификатов;

- приостанавливает или отменяет действие выданных сертификатов.

Центральный орган системы сертификации:

- организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;

- ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;

- обеспечивает участников сертификации информацией о деятельности системы сертификации. При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации.

сертификация защита информация регламент

Органы по сертификации средств защиты информации:

- сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;

- приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;

- принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;

- формируют фонд нормативных документов, необходимых для сертификации;

- представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.

Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям. Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.

Изготовители:

- производят (реализуют) средства защиты информации только при наличии сертификата;

- извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;

- маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;

- указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;

- применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации;

- обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации;

- обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации;

- прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.

Изготовители должны иметь лицензию на соответствующий вид деятельности. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации. Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости - решение о проведении и сроках предварительной проверки производства средств защиты информации для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.

Основными схемами проведения сертификации средств защиты информации являются:

- единичных образцов средств защиты информации

- проведение испытаний этих образцов на соответствие требованиям по защите информации;

Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации. Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.

При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.

Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдением авторских прав изготовителя при сертификационных испытаниях средств защиты информации. Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам. Системы сертификации создаются Федеральной службой по техническому и экспортному контролю России, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации. Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

Заключение

В настоящей работе рассмотрена сертификация защиты информации. Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам. Системы сертификации создаются Федеральной службой по техническому и экспортному контролю России, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации. Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

Список используемых источников

Закон РФ от 21.07.1993 N 5485-1 "О государственной тайне" // Собрание законодательства РФ. 13.10.1997, N 41, стр. 8220-8235.

Федеральный закон от 27.12.2002 N 184-ФЗ "О техническом регулировании" // Собрание законодательства РФ. 30.12.2002, N 52 (ч. 1), ст. 5140.

Федеральный закон от 07.07.2003 N 126-ФЗ "О связи" // Собрание законодательства РФ. 14.07.2003. N 28, ст. 2895.

Постановление Правительства РФ от 26.06.1995 N 608 "О сертификации средств защиты информации" // Российская газета. N 145. 28.06.1995.

Приказ ФСБ РФ от 13.11.1999 N 564 "Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия" // Российская газета. N 98, 23.05.2000 (Приказ).

Размещено на Allbest.ru