Единый реестр систем добровольной сертификации ПО

 

Единый реестр зарегистрированных систем добровольной сертификации (далее - единый реестр) является государственным информационным ресурсом.

Единый реестр ведется Федеральным агентством по техническому регулированию и метрологии (далее - Агентство). В едином реестре содержатся:

а) наименование системы добровольной сертификации;
б) сведения о юридическом лице (лицах) и (или) индивидуальном предпринимателе (индивидуальных предпринимателях), создавших систему добровольной сертификации: полное наименование юридического лица, основной государственный регистрационный номер записи о создании юридического лица (ОГРН); адрес (место нахождения) постоянно действующего исполнительного органа юридического лица; ФИО, место жительства, данные документа, удостоверяющего личность индивидуального предпринимателя, основной государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя (ОГРНИП); контактный телефон, факс и при наличии электронный адрес юридического лица и (или) индивидуального предпринимателя;
в) сведения о правилах функционирования системы добровольной сертификации: перечень объектов, подлежащих сертификации; сведения об участниках системы добровольной сертификации, в том числе сведения об органах по сертификации (при наличии); правила выполнения предусмотренных данной системой добровольной сертификации работ и порядок их оплаты; характеристики объектов, на соответствие которым осуществляется добровольная сертификация;
г) сведения о знаке соответствия системы добровольной сертификации: изображение знака соответствия, применяемого в системе добровольной сертификации; сведения о порядке его применения (если применение знака соответствия предусмотрено);
д) запись о регистрации системы добровольной сертификации с указанием регистрационного номера и датой регистрации системы добровольной сертификации;
е) записи об изменении сведений, содержащихся в едином реестре;
ж) сведения о системе добровольной сертификации, прекратившей свое действие (с указанием причины и даты прекращения действия);
з) документы, представленные в Агентство для регистрации системы добровольной сертификации, а также документы, на основании которых проведена регистрация.

Единый реестр ведется в электронном и бумажном видах. Внесение в единый реестр сведений о прекращении действия зарегистрированной системы добровольной сертификации осуществляется на основании решения Агентства не позднее пяти рабочих дней после принятия решения. При этом указывается причина и дата прекращения действия системы добровольной сертификации.

Сведения о зарегистрированной системе добровольной сертификации, прекратившей свое действие, переводятся в архивную часть единого реестра.

Сведения, содержащиеся в едином реестре, являются открытыми и общедоступными для ознакомления с ними всех заинтересованных лиц, за исключением сведений, относимых в соответствии с законодательством Российской Федерации к информации с ограниченным доступом.

3.4. Сертификация ПО на соответствие требованиям безопасности и защиты информации

Обязательной сертификации по требованиям безопасности информации подлежат программные продукты и системы, предназначенные для обработки и защиты информации ограниченного доступа (гостайна, конфиденциально, в т.ч. персональные данные) или для использования в управлении потенциально опасными объектами

Коммерческие учреждения в обязательном порядке должны использовать только сертифицированные средства, если обрабатывают государственный информационный ресурс ограниченного доступа, например: выполняют госзаказ, получают информацию из госисточников, взаимодействуют с Центробанком России.

При использовании несертифицированных средств защиты информации ограниченного доступа юридическая ответственность (юридический риск убытков) возлагается на организацию, обрабатывающую/защищающую указанную информацию.
Тонкость - при использовании несертифицированных средств владелец этих средств обязан заявить об отсутствии сертификата всем пользователям информации, защищаемой/обрабатываемой несертифицированными средствами.В противном случае владелец несертифицированных средств несет ответственность за убытки, понесенные пользователем, вследствие использования несертифицированного средства. В случае использования заявленных несертифицированных средств риски убытков несут владелец и пользователь несертифицированных средств.

Сертификационные испытания средств защиты в рамках данной системы сертификации предусматривают комплекс мероприятий по проверке соответствия этих средств формальным базовым требованиям по обеспечению безопасности информации, изложенным в нормативных документах Гостехкомиссии России.
К таким нормативным документам относятся руководящие документы Гостехкомиссии России - по требованиям к автоматизированным системам, к средствам ВТ, к межсетевым экранам.
Наличие нескольких руководящих документов, содержащих формальные базовые требования к средствам защиты информации в зависимости от функционального назначения последних, используемых технологических решений и т.п. позволяет проводить целенаправленные испытания средств защиты и получать формальные и объективные оценки возможности этих средств выполнять свою основную функцию - обеспечение безопасности информации.

Использование формальных критериев оценки при сертификации позволяет сделать обоснованный вывод о возможности средств защиты выполнять свои функции не только на качественном уровне, но и на количественном уровне.

Если сертификация проводится не по требованиям руководящих документов, а по новому ГОСТ Р ИСО/МЭК 15409-2001, то полученный сертификат соответствует международным требованиям.