Правовые основы и процедура сертификации в области защиты информации
МИНИСТЕРСТВО
ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ
ФЕДЕРАЦИИ
Реферат
на тему
«Правовые основы и процедура сертификации
в
области защиты информации»
Содержание
7
Введение
Термин «сертификация» впервые был сформулирован и определен Комитетом по вопросам сертификации (СЕРТИКО) международной организации по стандартизации (ИСО) и включен в Руководство №2 ИСО (ИСО/МЭК2) версии 1982 г. Согласно этому документу, сертификация определялась как действие, удостоверяющее посредством сертификата соответствия или знака соответствия, что изделие ли услуга соответствует определенным стандартам или другим нормативным документам. Данное определение положено в основу понятия сертификации соответствия, принятого сегодня в системе сертификации ГОСТ в Российской Федерации.
В настоящее время под сертификацией понимается процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Также сертификация — форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Ведущие
экономические державы начали развивать
процессы сертификации в 20-30-е годы нашего
столетия. Сертификация продукции в Российской
Федерации, а до этого в ССР, начала развиваться
в 1979 г., после постановления ЦК КПСС и
Совета Министров СССР «Об улучшении планирования
и усиления воздействия хозяйственного
механизма на повышение эффективности
производства и качества работы».
Правовые основы сертификации в области
защиты информации
Основным документом в сфере сертификации до 2003 года был ФЗ "О сертификации продукции и услуг" от 10.06.1993 N 5151-1. В 1994 году Госстандарт России ввел в действие нормативный документ "Номенклатура продукции и услуг, подлежащих обязательной сертификации в Российской Федерации". Этот документ ежегодно пересматривается и уточняется с учетом практики, условий торговли, производства и тенденций научно-технического развития. В настоящее время действия этих документов отменены.
Летом 2003 года вступил в силу Федеральный закон «О техническом регулировании» № 184-ФЗ, а Постановлением Правительства РФ от 1 декабря 2009 г. №982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии» был утвержден единый перечень продукции, подлежащей обязательной сертификации. Указанным документом к обязательно сертифицируемым отнесены следующие средства информатизации:
- вычислительные машины и комплексы;
- системы сбора и обработки информации;
- персональные ЭВМ;
- устройства внешней памяти, ввода-вывода и отображения информации;
- устройства подготовки и телеобработки данных;
- устройства межсистемной связи сетей, систем,
- комплексов и ЭВМ;
- комплексы и системы технических средств охраны.
По Доктрине информационной безопасности Российской Федерации (далее Доктрина), утвержденной Президентом Российской Федерации 09 сентября 2000 г. № Пр-1895 сертификации подлежат:
- системы и средства обеспечения информационной безопасности Российской Федерации;
- средства защиты информации;
- телекоммуникационное оборудование и программное обеспечение автоматизированных систем обработки информации по требованиям информационной безопасности;
- средства защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
- общее и специальное программное обеспечение, пакеты прикладных программ и средства защиты информации в существующих и создаваемых автоматизированных системах управления военного назначения и системах связи, имеющих в своем составе элементы вычислительной техники.
В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях:
- обязательная сертификация средств информатизации на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспечивающим безопасность жизни, здоровья, имущества потребителей и охрану среды обитания;
- обязательная сертификация средств защиты информации;
- добровольная сертификация функциональных параметров средств и систем информатизации, по номенклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами, и учитывающим различные аспекты применения аппаратуры и программного обеспечения.
Статья 28. Порядок сертификации средств защиты информации Федерального закона Российской Федерации «О государственной тайне» (от 21 июня 1993 г. № 5485-I) гласит:
«Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Организация
сертификации средств
защиты информации возлагается
на федеральный орган
исполнительной власти,
уполномоченный в
области противодействия
техническим разведкам
и технической
защиты информации,
федеральный орган исполнительной
власти, уполномоченный
в области обеспечения
безопасности, и федеральный
орган исполнительной
власти, уполномоченный
в области обороны, в
соответствии с функциями,
возложенными на них
законодательством
Российской Федерации.
Сертификация осуществляется
на основании требований
государственных стандартов
Российской Федерации
и иных нормативных
документов, утверждаемых
Правительством Российской
Федерации.
(в ред. Федеральных
законов от 06.10.1997 N 131-ФЗ,
от 30.06.2003 N 86-ФЗ, от 29.06.2004 N 58-ФЗ)
Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.»
Вся система сертификации обеспечивает достижение прежде всего национальной безопасности в сфере информатизации. Не менее важным является формирование и осуществление единой научно - технической и промышленной политики в сфере информатизации. А так же содействие формированию рынка защищенных информационных технологий и средств их обеспечения, регулирование и контроль разработки, а также последующего производства средств защиты информации, помощь потребителям в компетентном выборе средств защиты информации, защита потребителя от недобросовестности исполнителя (продовца, изготовителя), подтверждение показателей качества продукции.
Нормативная правовая база системы сертификации средств защиты информации включает в себя следующее:
- Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г.
- Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»
- Положение о сертификации средств защиты информации по требованиям безопасности информации (приказ председателя Гостехкомиссии России от 27 октября 1995 г. № 199)
Сертификации подлежат технические, программные, программно-аппаратные средства защиты информации, средства в которых реализованы СЗИ и средства контроля эффективности защиты информации.
Процедура сертификации средств защиты информации
по
требованиям безопасности
информации
Саму систему сертификации представляет ФСТЭК России, которому подведомственны аккредитованные органы по сертификации средств защиты информации и испытательные лаборатории.
В
соответствии с действующими нормативными
правовыми документами
- Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00
- Перечень органов по аттестации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00
- Перечень органов по сертификации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00
- Перечень
испытательных лабораторий
Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00
В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации процедура сертификации включает:
- подачу
и рассмотрение заявки на проведение сертификации
(продление срока действия сертификата)
средств защиты информации;
- сертификационные испытания средств
защиты информации и (при необходимости)
аттестацию их производства;
- экспертизу результатов испытаний, оформление,
регистрацию и выдачу сертификата и лицензии
на право использования знака соответствия;
- осуществление государственного контроля
и надзора, инспекционного контроля за
соблюдением правил обязательной сертификации
и за сертифицированными средствами защиты
информации;
- информирование о результатах сертификации
средств защиты информации;
- рассмотрение апелляций.
Заявитель для получения сертификата направляет в федеральный орган по сертификации заявку на проведение сертификации. Заявка оформляется на бланке заявителя и заверяется печатью.
Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решения по заявке на проведение сертификации. Орган по сертификации и испытательный центр (лаборатория) могут быть изменены по согласованию с заявителем.
После получения решения заявитель обязан представить в испытательный центр (лабораторию) средства защиты информации в комплектации, согласно техническим условиям, или формуляру на средство защиты, а также комплект необходимой технической и эксплуатационной документации на это средство.
Сертификационные испытания средств защиты информации проводятся в испытательных центрах (лабораториях) на образцах, конструкция, состав и технология изготовления которых должны быть аналогичны образцам средств защиты информации, поставляемым потребителю, по программам и методикам испытаний, утвержденным органом по сертификации.
Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов.
В случае отсутствия на момент сертификации испытательных центров (лабораторий) с соответствующей областью аккредитации федеральный орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.
По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний средств защиты информации и предоставленной документации на эти средства в испытательном центре (лаборатории).
По
результатам испытаний
При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства заявитель (разработчик, изготовитель) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых сертификационных испытаний этих средств.
Сертификация средств защиты информации зарубежного производства проводится по тем же правилам, что и отечественной.
Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на средство защиты информации направляет в федеральный орган по сертификации.
После согласования технических условий или формуляра на средства защиты информации и присвоения сертификату регистрационного номера федеральный орган по сертификации оформляет сертификат и выдает его заявителю. Срок действия сертификата - три года.
При
несоответствии результатов испытаний
требованиям нормативных
Продление срока действия сертификата могут проводиться по упрощенной схеме, включающей проверку конструкторской, технологической, эксплуатационной документации и условий производства сертифицированных средств защиты информации.
Заявитель для продления срока действия сертификата соответствия не позднее чем за три месяца до окончания срока его действия направляет в федеральный орган по сертификации заявку.
Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение по заявке на проведение сертификации. Орган по сертификации и испытательная лаборатория выбираются, как правило, с учетом проведения предыдущих сертификационных испытаний.
При изменении требований к сертифицированным средствам защиты информации, их конструкции или условий производства проводится повторная сертификация. При этом сертификация может проводиться по упрощенной схеме, а сертификационные испытания - по сокращенной программе. При этом могут осуществляться:
- проверка основных характеристик сертифицированных средств защиты информации, обеспечивающих (определяющих) выполнение требований по защите информации;
- сертификационные
испытания характеристик сертифицированных
средств защиты информации, обеспечивающих
(определяющих) выполнение изменившихся
или вновь предъявляемых требований по
защите информации;
- контроль технологии производства средств
защиты информации.
Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который в срок, не позднее двух месяцев после получения заявки, извещает заявителя о признании сертификата или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата заявителю выдается сертификат установленного образца.
Апелляция
подается в апелляционный совет федерального
органа по сертификации по вопросам, связанным
с деятельностью испытательных центров
(лабораторий) или органов по сертификации.
Апелляция рассматривается в месячный
срок с привлечением заинтересованных
сторон и независимых экспертов. О принятом
решении извещается податель апелляции.
Центр по лицензированию,
сертификации и защите
государственной тайны
ФСБ России
«Центр
по лицензированию, сертификации и
защите государственной тайны» ФСБ
России (Центр «ЛСЗ» ФСБ России) участвует
в регулировании ввоза на территорию Российской
Федерации и вывоза за ее пределы шифровальных
средств и специальных технических средств,
предназначенных для негласного получения
информации. Эти вопросы регламентируются:
- Указом Президента Российской Федерации
от 3 апреля 1995 г. № 334 «О мерах по соблюдению
законности в области разработки, производства,
реализации и эксплуатации шифровальных
средств, а также предоставления услуг
в области шифрования информации»;
- Постановлением
Правительства Российской
- Постановлением
Правительства Российской
ФСБ
России имеет свидетельства
Организации аккредитованные в качестве испытательных лабораторий в системах сертификации ФСБ России:
1.
Система сертификации средств
криптографической защиты
2.
Система сертификации средств
защиты информации по
Федеральная Служба Безопасности Российской Федерации имеет право выдавать лицензии и проводить сертификацию в том случае, если осуществляется производство продукции, которая так или иначе связана с возможностью получения негласных сведений, проводится деятельность по выявлению электронных средств получения информации, деятельность по разработке, производству и распространению шифровальных устройств. Соответствующие лицензии и сертификаты могут быть получены заявителем в Центре по лицензированию и сертификации ФСБ России. Осуществляет ЛСЗ лицензирование и сертификацию согласно Номенклатуре средств защиты информации, которые не содержат государственной тайны. В перечень входят программные комплексы и программное обеспечение, которое связано с получением и хранением информации в том случае, если данная информация не является государственной тайной, различные приспособления для шифрования информации. Сертификация ФСБ является необходимой в области информации и информационных технологий, так как она дает возможность пользователю быть уверенным в надежности и качестве того, оборудования и программного обеспечения, которое он приобретает. Огромное значения сертификация ФСБ имеет и с точки зрения сохранения государственной тайны и обеспечения государственной безопасности, так как операционные системы и некоторое программное обеспечение могут принести вред.
В системе сертификации ФСБ средств криптографической защиты информации проводится сертификация контрольно кассовых машин с электронной лентой, защищенной ЭКЛЗ, аппаратных средств для защиты, хранение и передачи информации по каналам связи, межсетевые экраны, программное обеспечение, системное программное обеспечение, системы обнаружения компьютерных атак и другие объекты, которые связаны с использованием, хранением и передачей информации.
Для сертификации ФСБ контрольно-кассовых машин обязательными являются проверка функционирования как самой контрольно-кассовой машины, так и электронной ленты, которая имеет защиту. Соответствие контрольно-кассовых машин и электронных контрольных лент тем стандартам, которые заявлены в технической документации и стандартам, которые являются обязательными для данных видов устройств. Также проверке в процессе сертификации ФСБ контрольно-кассовых машин с электронной лентой обязательной является проверка периодичности и параметров технического обслуживания и контроля деятельности данного аппарата.
Сертификация
ФСБ, которая имеет целью проверку на соответствие
стандартам различных шифровальных средств
включает в себя проведение криптографических
и инженерных исследований, специальных
исследований линейного сигнала, анализ
средств защиты информации, которые установлены
на данном виде устройств, исследования
антивирусных средств и системного программного
обеспечения. Все аппараты и средства,
на которые распространяется исследование
и сертификация ФСБ должны соответствовать
требованиям и нормам стандартов обеспечения
информационной безопасности. Соответствие
этим требованиям оборудования и средств,
которые работают в области информационных
технологий, представляют собой повышенную
опасность, поэтому обязательно должны
получить лицензию и сертификат в одном
из органов сертификации, аккредитованных
ФСБ и имеющих лицензию на право заниматься
подобной деятельностью.
Перечень
государственных
стандартов
Настоящие
стандарты не могут быть полностью
или частично воспроизведены, тиражированы
и распространены
в качестве официального издания без разрешения
Федерального агентства по техническому
регулированию и метрологии.
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России
ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России
ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России
ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России
ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России
ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России
ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России
ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России
ГОСТ
Р ИСО/МЭК 15408-3-2002. Методы и средства
обеспечения безопасности. Критерии оценки
безопасности информационных технологий.
Часть 3. Требования доверия к безопасности.
Госстандарт России
*******************

- Правовые основы использования электронно цифровой подписи в Республики Беларусь
- Правовые основы комплектования, экспертизы ценности документов, хранения и учета документов
- Правовые основы конкуренции и монополии
- Правовые основы конфеденциальной информации
- Правовые основы криминалистического исследования оружия
- Правовые основы леспользования
- Правовые основы лицензирования деятельности
- Правовые основы информационной безопасности
- Правовые основы информационной безопасности
- Правовые основы и общие правила оказания первой медицинской помощи
- Правовые основы и общие правила оказания первой медицинской помощи
- Правовые основы и порядок форфетирования. Ипотечное кредитование по российскому законодательству. Правовые основы, порядок и виды лом
- Правовые основы ипотечного кредитования в Российской Федерации
- Правовые основы и принципы Содружества Независимых Государств