Сертификация средств защиты информации

 

Одним из обязательных условий получения лицензии на работу с государственной тайной является наличие в организации сертифицированных средств защиты информации.

Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации основной функции – защиты информации на основании государственных стандартов и требований по безопасности информации.

Применительно к сведениям, составляющим государственную тайну, общие принципы организации сертификации средств защиты информации определены нормами статьи 28 Закона Российской Федерации "О государственной тайне" – средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Федеральное агентство контроля экспорта и технологий, Министерство обороны Российской Федерации в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством России. Одним из основных руководящих документов по сертификации защиты информации в настоящее время является “Положение о сертификации средств защиты информации”, утвержденное Постановлением Правительства Российской Федерации от 25.06.95 г. № 608, реализующим нормы закона Российской Федерации "О сертификации продукции и услуг".

Порядок проведения сертификации основан на следующих принципах:

1. Обязанность сертификации изделий, обеспечивающих защиту государственной тайны.

2. Обязательность использования криптографических алгоритмов, являющихся стандартами.

3. Принятие на сертификацию только изделий от заявителей, имеющих лицензию.

Таким образом, в соответствии с названными документами разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации; государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в т.ч. электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата.

Осуществляется следующий порядок сертификации (рис. 6.):

1. В Центральный орган по сертификации (орган, аккредитованный ФСТЭК России) подается заявление и полный комплект технической документации.

2.Центральный орган назначает испытательный центр (лабораторию) для проведения испытания.

3. Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром.

4. Сертификация (экспертиза материалов и подготовка документов для выдачи) осуществляется центральным органом. Сертификат выдается на срок до 5 лет.

Кроме указанных целей, сертификация средств защиты информации необходима также для решения вопросов экономической безопасности организации в связи с постоянным ростом компьютерных преступлений. Правовой основой предупреждения компьютерных преступлений является Указ Президента Российской Федерации "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03.04.95 г. Приведем некоторые выдержки из данного указа:

■ государственным организациям и предприятиям запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата;

■ запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата;

■ запретить деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии;

■ запретить ввоз на территорию России нелицензированных шифровальных средств и защищенной техники иностранного производства.

 

Рис. 6. Порядок сертификации технических средств

 

После получения сертификата на право оказания услуг за организацией осуществляется государственный контроль (надзор) по соблюдению требований технических регламентов.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации федеральный орган по сертификации и аттестации, которым является ФСТЭК России.

 

Под аттестацией объектов информатизации понимается комплекс организационно‑технических мероприятий, в результате которых посредством специального документа – "Аттестата соответствия" – подтверждается, что объект соответствует требованиям стандартов или иных нормативно‑технических документов по безопасности информации, утвержденных ФСТЭК России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленный в документе.