Органы сертификации и их полномочия.
Введение
Стремительная информатизация современного общества и большая "цена" каждой ошибки приводят к постоянному возрастанию значимости конфиденциальных сведений, используемых для принятия решений в конкурентной коммерческой среде. В этой связи весьма актуальной для всех секторов российской экономики становится правовой аспект защиты информации от перехвата е техническими средствами.
Понимая важность этого направления и обладая определенной ответственностью перед обществом, государство на законодательном уровне ввело контроль качества технических, криптографических, программных и других средств для защиты информации ограниченного доступа. Указанный контроль осуществляется посредством сертификации средств защиты информации.
Сертификация
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации, которая проводится в рамках систем сертификации средств защиты информации. В этом случае криптографические(шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации[1].
Законодательством Российской Федерации установлено, что средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Под сертификацией согласно ст. 2 Федерального закона от 27.12.2002 №184-ФЗ «О техническом регулировании» понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров.
Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации основной функции - защиты информации на основании государственных стандартов и требований по безопасности информации[2].
Нормативная правовая база системы сертификации средств защиты информации включает в себя следующее:
· Федеральный закон "О техническом регулировании" от 27 декабря 2002 г. №184-ФЗ;
· постановление Правительства Российской Федерации от 26 июня 1995 г. №608 "О сертификации средств защиты информации";
· положение о сертификации средств защиты информации по требованиям безопасности информации( приказ председателя Гостехкомиссии России от 27 октября 1995 г. № 199).
Организация сертификации средств защиты информации возлагается на федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности и федеральный орган исполнительной власти, исполнительный в области обороны, в соответствии с функциями , возложенными на них законодательством Российской Федерации.
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам(далее именуется - система сертификации).
Системы сертификации создаются Федеральной службой безопасности по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством обороны Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации.
Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации. Положением о сертификации средств защиты информации утверждено постановлением Правительства Российской Федерации .
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.
Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны( далее именуется - Межведомственная комиссия). В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, и требования, которым эти средства должны удовлетворять.
При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляцию о принятом решении.
Органы сертификации и их полномочия.
Организационную структуру системы сертификации № РОСС RU.0001.01БИОО образуют такие элементы, как (рис. 1.):
· федеральный орган по сертификации средств защиты информации;
· центральный орган системы сертификации средств защиты информации;
· органы по сертификации средств защиты информации;
· испытательные центры (лаборатории);
· заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).
Рис. 1.1 Структура системы сертификации средств
Защиты информации
Федеральный орган по сертификации средств защиты информации (в настоящее время – ФСТЭК России) в пределах своей компетенции обладает следующими полномочиями:
Ø создает систему сертификации средств защиты информации и устанавливает правила проведения сертификации конкретных видов средств защиты информации в этой системе;
Ø организует функционирование системы сертификации средств защиты информации;
Ø определяет перечень средств защиты информации, подлежащих обязательной сертификации в данной системе;
Ø устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;
Ø организует и финансирует разработку нормативных и методических документов системы сертификации средств защиты информации;
Ø определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;
Ø утверждает нормативные документы по безопасности информации, на соответствие которым проводится сертификация средств защиты информации в системе, и методические документы по проведению сертификационных испытаний;
Ø аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ;
Ø ведет государственный реестр участников и объектов сертификации;
Ø осуществляет государственный контроль и надзор и устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными средствами защиты информации;
Ø рассматривает апелляции по вопросам сертификации;
Ø представляет на государственную регистрацию в Госстандарт России систему сертификации и знак соответствия;
Ø организует периодическую публикацию информации о сертификации;
Ø осуществляет взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации, принимает решение о признании международных и зарубежных сертификатов;
Ø организует подготовку и аттестацию экспертов-аудиторов;
Ø выдает сертификаты и лицензии на применение знака соответствия;
Ø приостанавливает либо отменяет действие выданных сертификатов.
Федеральный орган по сертификации средств защиты информации может передавать некоторые из своих функций центральному органу системы сертификации и органам по сертификации.
Центральный орган системы сертификации средств защиты информации:
Ø координирует деятельность органов по сертификации и испытательных центров (лабораторий), входящих в систему;
Ø разрабатывает предложения по номенклатуре средств защиты информации, сертифицируемых в системе и представляет их в ФСТЭК России;
Ø участвует в работах по совершенствованию фонда нормативных документов, на соответствие которым проводится сертификация средств защиты информации в системе, и методических документов по проведению сертификационных испытаний;
Ø участвует в рассмотрении апелляций по поводу действий органов по сертификации и испытательных центров (лабораторий), входящих в систему;
Ø участвует в аккредитации органов по сертификации и испытательных центров (лабораторий) по сертификации средств защиты информации, входящих в систему;
Ø ведет учет входящих в систему органов по сертификации и испытательных центров (лабораторий), выданных и аннулированных сертификатов и лицензий на применение знака соответствия, нормативных и методических документов, содержащих правила, требования, методики и рекомендации по сертификации;
Ø обеспечивает участников сертификации информацией о деятельности системы и готовит необходимые материалы для опубликования
Испытательные центры (лаборатории) в пределах установленной области аккредитации:
Ø осуществляют сертификационные испытания конкретных средств защиты информации, оформляют заключения и протоколы сертификационных испытаний, разрабатывают программы и методики сертификационных испытаний;
Ø осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;
Ø участвуют в предварительной проверке (аттестации) производства сертифицируемых средств защиты информации. Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования.
Заявители (разработчики, изготовители, поставщики, потребители средств защиты информации) как участники системы сертификации средств защиты информации обладают полномочиями:
Ø обеспечивать соответствие средств защиты информации требованиям нормативных документов по безопасности информации;
Ø осуществлять подготовку производства и принимать меры для обеспечения стабильности характеристик средств защиты информации, определяющих безопасность информации;
Ø указывать в технической документации сведения о сертифицированном средстве защиты информации, нормативных документах, которым оно должно соответствовать, обеспечивать доведение этой информации до потребителя;
Ø маркировать сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;
Ø применять сертификат и знак соответствия, руководствуясь законодательными актами Российской Федерации и правилами системы сертификации;
Ø извещать орган по сертификации и испытательный центр (лабораторию), проводивших сертификацию, обо всех изменениях в технологии, конструкции (составе) сертифицированных средств защиты информации для принятия решения о необходимости проведения повторной сертификации данных средств защиты информации;
Ø обеспечивать беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих инспекционный контроль за сертифицированными средствами защиты информации;
Ø приостанавливать или прекращать реализацию средств защиты информации, если они не отвечают требованиям нормативных документов, а также по истечению срока действия сертификата, при приостановке его действия или отмены;
Ø при обнаружении несоответствия сертифицированных средств защиты информации требованиям нормативных документов осуществлять мероприятия по доработке этих средств защиты информации и проведения сертификационных испытаний.
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|