Сертификация средств защиты информации от несанкционированного доступа

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сертификация средств защиты информации от несанкционированного доступа». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

В целях противодействия осуществлению незаконных финансовых операций Банк России в Положении от 17 апреля 2019 г. №684-П (далее — Положение №684-П) установил обязательные для некредитных финансовых организаций (далее НФО) требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков.

Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ)

I. Общие положения

II. Организационная структура системы сертификации СЗИ-ГТ

III. Порядок проведения сертификации и инспекционного контроля

IV. Требования к нормативным и методическим документам по сертификации СЗИ-ГТ

Приложение 1. Виды средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ

Приложение 2. Схемы сертификации

Приложение 3. Структура системы сертификации СЗИ-ГТ

Приложение 4. Порядок сертификации средств защиты информации в системе сертификации СЗИ-ГТ

Приложение 5. Форма заявки на проведение сертификации средства защиты информации в системе сертификации СЗИ-ГТ

Приложение 6. Форма решения по заявке на проведение сертификации

Приложение 7. Форма сертификата соответствия обязательной сертификации

Приложение 8. Форма сертификата соответствия добровольной сертификации

Приложение 9. Форма лицензии на применение знака соответствия

Приложение 10. Формы знаков соответствия системы сертификации СЗИ-ГТ

Информационная безопасность – состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности являются:1) внесение изменений и дополнений в законодательство РФ;2) законодательное разграничение полномочий между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:1) создание и совершенствование системы обеспечения информационной безопасности РФ;2) разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;3) создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации;4) выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем;5) сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;6) контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ;7) формирование системы мониторинга показателей и характеристик информационной безопасности РФ в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности РФ включают в себя:1) разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;2) совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных физических и юридических лиц.

Сертификация средств защиты информации

Есть определенный перечень программного обеспечения и технических средств, которые подлежат сертификации средств защиты информации (СЗИ). Без наличия разрешения нельзя заниматься импортом, реализацией и оборотом такой продукции.

Контрольные мероприятия регулируются ПП РФ №608 от 26.06.1995 г., Положением ФСТЭК №55 от 03.04.2018 г.

Помимо оценки безопасности дополнительно может потребоваться проверка в системе ТР ТС (к примеру, если речь идет о техническом средстве, работающем от сети – в этом случае необходимо провести оценку согласно ТР ТС 004/2011).

Если же средство не подлежит контролю качества в системах ТР ТС, то можно провести добровольную проверку соответствия государственным стандартам или другим нормативным документам.

Сертификация в области информационной безопасности

Постановление Правительства от 1 декабря 2009 года N 982 содержит исчерпывающий перечень позиций, которые подлежат обязательной сертификации. Но информационные системы в этом списке не упоминаются. Это означает, что на них не распространяется правило об обязательной оценке соответствия, то есть сертификация в области информационной безопасности в Российской Федерации не требуется. В соответствии с положениями федерального закона от 6 октября 1999 г. N 184-ФЗ оценка соответствия таких объектов проводится в добровольном порядке по инициативе заявителя.

Исключение из этого правила зафиксировано в статье 19 федерального закона от 20 февраля 1995 года № 24-ФЗ, посвященного вопросам защиты данных и информатизации. Этот раздел данного нормативного документа устанавливает, что для информационных комплексов федеральных и региональных органов власти, и программ, содержащих данные, находящиеся в ограниченном доступе, сертификация в информационной сфере осуществляется в обязательном порядке.

Вместе с тем, для некоторых видов деятельности в нашей стране государственный контроль осуществляется в форме лицензирования. Список направлений, для которых применяется это требование, приведен в статье 12 федерального закона от 4 мая 2011 года № 99-ФЗ. Он включает следующие позиции:

• создание, изготовление и распространение телекоммуникационных продуктов, выполненных с использованием шифровальных (криптографических) методов или средств;
• техническое обслуживание таких продуктов;
• создание и изготовление специальных средств, используемых для защиты конфиденциальной информации;
• деятельность по защите конфиденциальной информации при помощи технических средств.

Компании, которые занимаются одним или несколькими видами деятельности из приведенного списка, обязаны получать лицензию.

В соответствии с возложенными полномочиями Восьмое управление Генерального штаба Вооруженных Сил Российской Федерации осуществляет сертификацию средств защиты информации по требованиям безопасности информации.

Правовую основу сертификацию средств защиты информации в Министерстве обороны Российской Федерации составляют:

1. Закон Российской Федерации от 21 июля 1993 г. № 5485-1 « О государственной тайне » .
2. Федеральный закон от 27 декабря 2002 г. № 184-ФЗ « О техническом регулировании » (статья 5).
3. Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 « О сертификации средств защиты информации » .
4. Постановление Правительства Российской Федерации от 15 мая 2010 г. № 330 « Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения » .
5. Приказ Министра обороны Российской Федерации от 5 сентября 1996 г. № 058 « О создании системы сертификации средств защиты информации Министерства обороны Российской Федерации по требования безопасности информации » (Приложение № 2).
   
6. Приказ Министра обороны Российской Федерации от 29 сентября 2020 г. № 488 «Об утверждении Положения о системе сертификации средств защиты информации Министерства обороны Российской Федерации».

Для проведения сертификации заявитель направляет в Восьмое управление Генерального штаба ВС РФ заявку на проведение сертификации (приложение № 1) с приложением необходимых документов. Заявка на проведение сертификации подписывается руководителем заявителя.

Заявка на проведение сертификации направляется не ранее завершения заявителем предварительных испытаний образца средства защиты информации.

В заявке на проведение сертификации указываются:

• полное и сокращенное (при наличии) наименования заявителя, адрес юридического лица в пределах места нахождения юридического лица, указанный в едином государственном реестре юридических лиц (далее – адрес места нахождения);
• наименование и обозначение средства защиты информации;
• степень секретности защищаемой (обрабатываемой) информации;
• требования по безопасности информации, установленные в отношении средства защиты информации, и реквизиты документов, устанавливающих эти требования;
• схема проведения сертификации;
• полное и сокращенное (при наличии) наименования испытательной лаборатории, в которой планируется проведение испытаний, адрес места нахождения, номер и дата выдачи аттестата аккредитации;
• заявляемый срок действия сертификата соответствия.

К заявке на проведение сертификации прилагаются следующие документы:

• информационная справка (приложение 2) ;
• тактико-техническое (техническое) задание на создание (модернизацию) средства защиты информации (при наличии);
• схема деления средства защиты информации на составные части (при наличии);
• задание по безопасности в двух экземплярах (в случае необходимости его разработки в соответствии с требованиями по безопасности информации);
• технические условия (проект технических условий) на средство защиты информации (при наличии);
• формуляр (паспорт) средства защиты информации.

Сертификат соответствия выдается на срок, указанный заявителем в заявке на проведение сертификации, но не более 5 лет.

Для продления срока действия сертификата соответствия заявитель подготавливает заявку на продление срока действия сертификата соответствия (приложение 3), согласовывает ее с военным представительством Министерства обороны на предприятии заявителя (при наличии) для подтверждения сведений об отсутствии изменений средства защиты информации и направляет заказчику для подтверждения потребности заказчика в дальнейшем производстве (при наличии сертификата соответствия на серийное производство средства защиты информации), эксплуатации средства защиты информации и сведений об отсутствии изменений средства защиты информации. Заявка на продление срока действия сертификата соответствия подписывается руководителем заявителя.

Порядок продления срока действия сертификата соответствия представлен в прилагаемой информационной справке (приложение № 4).

Сертификация средств защиты информации (СЗИ) неотъемлемый процесс жизненного цикла почти всех отечественных и многих зарубежных продуктов представленных сегодня рынке ИБ. Получение сертификата это своего рода это признание надежности и качества сертифицируемого продукта, а так же показатель авторитета и статуса компании-разработчика. Помимо этого сертифицируемый продукт позволяет использовать его для обеспечения защиты информации по требованиям ФСБ и ФСТЭК, например для защиты не только коммерческой, но и государственной тайны. Однако, для непосвященных сертификация это зачастую пугающе сложный и запутанный процесс вокруг которого выростают мифы. Вот сегодня в нашей публикации мы и попытаемся это чуть чуть изменить.

Сертификация средств защиты информации

Документом, подтверждающим, что та или иная продукция полностью соответствует всем установленным стандартам качества и безопасности (соответствие ГОСТ или Техническому регламенту) является сертификат соответствия. На сегодняшний день существует много регламентов, относящихся к определенным видам продукции. Каждый вид продукции должен получить сертификат соответствия. Например, техрегламенты пищевых продуктов, таких как овощи, фрукты, масложировая продукция, молочные продукты и так далее, определяют безопасность данной продукции для здоровья человека. Поэтому в обязательном порядке должен оформляться сертификат на средства защиты информации.

Единый Центр Сертификации оказывает услуги по сертификации, а также помогает в оформлении различных разрешительных документов.

Особенности получения сертификата

Действует сертификация всего три года, однако существуют ситуации, при которых срок ее действия увеличивается, однако он не может превышать пяти лет.

Фирмы или предприниматели имеют возможность продлить действие полученного три года назад сертификата, а при этом не нужно будет проходить повторную сертификацию, однако осуществить это можно только при соответствии определенным условиям. К ним относится то, что в компании количество изделий, которые подлежат сертификации, должно остаться прежним. Также не должны измениться требования, которые предъявляются к данным изделиям во время проведения процедуры сертификации. Одновременно с этим следует убедиться, что ТУ и конструкция этих изделий за три года никаким образом не изменились. Если все эти условия соблюдаются, то компания может продлить сертификат. Однако если даже одно условие не соответствует требованиям, то продукция организации должна вновь пройти через процедуру первичной сертификации.

Сертификация средств защиты информации – это значимая процедура, которая позволяет потребителям получать только качественные изделия, соответствующие всем необходимым стандартам и требованиям.

Похожие записи:

• Какой штраф за отсутствие страховки
• Как зарегистрировать товарный знак
• Инструкция: как бесплатно получить землю в Крыму под ЛПХ от государства?