ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12645
Скачиваний: 26
316
Изготовители
[65]:
• производят (реализуют) средства защиты информации только при наличии
сертификата;
• извещают орган по сертификации, проводивший
сертификацию, об изменениях в технологии изготовления и конструкции
(составе) сертифицированных средств защиты информации;
• маркируют сертифицированные средства защиты информации знаком
соответствия в порядке, установленном для данной системы сертификации;
• указывают в сопроводительной технической документации сведения о
сертификации и нормативных документах, которым средства защиты
информации должны соответствовать, а также обеспечивают доведение этой
информации до потребителя;
• применяют
сертификат
и
знак
соответствия,
руководствуясь
законодательством Российской Федерации и правилами, установленными для
данной системы сертификации;
• обеспечивают соответствие средств защиты информации требованиям
нормативных документов по защите информации;
• обеспечивают беспрепятственное выполнение своих полномочий
должностными лицами органов, осуществляющих сертификацию, и контроль
за сертифицированными средствами защиты информации;
• прекращают реализацию средств защиты информации при несоответствии
их требованиям нормативных документов или по истечении срока действия
сертификата, а также в случае приостановки действия сертификата или его
отмены.
Изготовители должны иметь лицензию на соответствующий вид
деятельности [65]. Изготовитель для получения сертификата направляет в
орган по сертификации средств защиты информации заявку на проведение
сертификации, к которой могут быть приложены схема проведения
сертификации, государственные стандарты и иные нормативные и
методические документы, требованиям которых должны соответствовать
сертифицируемые средства защиты информации [65].
Орган по сертификации средств защиты информации в месячный срок после
получения заявки направляет изготовителю решение о проведении
сертификации с указанием схемы ее проведения, испытательной
лаборатории, осуществляющей испытания средств защиты информации, и
нормативных документов, требованиям которых должны соответствовать
сертифицируемые средства защиты информации, а при необходимости -
решение о проведении и сроках предварительной проверки производства
средств защиты информации [65].
317
Для признания зарубежного сертификата изготовитель направляет его копию
и заявку на признание сертификата в федеральный орган по сертификации,
который
извещает
изготовителя
о
признании
сертификата
или
необходимости проведения сертификационных испытаний в срок не позднее
одного месяца после получения указанных документов. В случае признания
зарубежного сертификата федеральный орган по сертификации оформляет и
выдает изготовителю сертификат соответствия установленного образца.
Сертификация импортируемых средств защиты информации проводится по
тем же правилам, что и отечественных [65].
Основными схемами проведения сертификации средств защиты информации
являются [65]:
единичных образцов средств защиты информации
- проведение
испытаний этих образцов на соответствие требованиям по защите
информации;
для серийного производства средств защиты информации
- проведение
типовых испытаний образцов средств защиты информации на соответствие
требованиям по защите информации и последующий инспекционный
контроль за стабильностью характеристик сертифицированных средств
защиты информации, определяющих выполнение этих требований.
Кроме того, допускается предварительная проверка производства по
специально разработанной программе. Срок действия сертификата не может
превышать пяти лет.
Испытания сертифицируемых средств защиты информации
проводятся
на образцах, технология изготовления и конструкция (состав) которых
должны соответствовать образцам, поставляемым потребителю (заказчику)
[65].
В отдельных случаях по согласованию с органом по сертификации средств
защиты информации допускается проведение испытаний на испытательной
базе изготовителя. При этом орган по сертификации средств защиты
информации
определяет
условия,
необходимые
для
обеспечения
объективности результатов испытаний. В случае отсутствия к началу
проведения сертификации аккредитованных испытательных лабораторий
орган по сертификации средств защиты информации определяет
возможность, место и условия проведения испытаний, обеспечивающие
объективность их результатов [65].
Сроки проведения испытаний устанавливаются договором между
изготовителем и испытательной лабораторией [65].
Изготовителю должна быть предоставлена возможность ознакомиться с
условиями испытаний и хранения образцов средств защиты информации в
испытательной лаборатории [65].
318
При несоответствии результатов испытаний требованиям нормативных и
методических документов по защите информации орган по сертификации
средств защиты информации принимает решение об отказе в выдаче
сертификата и направляет изготовителю мотивированное заключение [65].
В случае несогласия с отказом в выдаче сертификата изготовитель имеет
право обратиться в центральный орган системы сертификации, федеральный
орган по сертификации или в Межведомственную комиссию для
дополнительного рассмотрения полученных при испытаниях результатов
[65].
Федеральный орган по сертификации и органы по сертификации средств
защиты информации имеют право приостанавливать или аннулировать
действие сертификата в следующих случаях [65]:
• изменения нормативных и методических документов по защите
информации в части требований к средствам защиты информации, методам
испытаний и контроля;
• изменения технологии изготовления, конструкции (состава), комплектности
средств защиты информации и системы контроля их качества;
• отказа изготовителя обеспечить беспрепятственное выполнение своих
полномочий лицами, осуществляющими государственные контроль и надзор,
инспекционный контроль за сертификацией и сертифицированными
средствами защиты информации.
Порядок оплаты работ по обязательной сертификации средств защиты
информации определяется федеральным органом по сертификации по
согласованию с Министерством финансов Российской Федерации [65].
Оплата работ по сертификации конкретных средств защиты информации
осуществляется на основании договоров между участниками сертификации.
Инспекционный контроль за сертифицированными средствами защиты
информации осуществляют органы, проводившие сертификацию этих
средств защиты информации [65].
При возникновении спорных вопросов в деятельности участников
сертификации заинтересованная сторона может подать апелляцию в орган по
сертификации средств защиты информации, в центральный орган системы
сертификации, в федеральный орган по сертификации или в
Межведомственную комиссию [65]. Указанные организации в месячный срок
рассматривают апелляцию с привлечением заинтересованных сторон и
извещают подателя апелляции о принятом решении.
Органы, осуществляющие сертификацию средств защиты информации, несут
ответственность, установленную законодательством Российской Федерации,
за выполнение возложенных на них обязанностей, обеспечение защиты
государственной тайны и других конфиденциальных сведений, сохранность
319
материальных ценностей, предоставленных изготовителем, а также за
соблюдением авторских прав изготовителя при сертификационных
испытаниях средств защиты информации [65].
5.2. Аттестование объектов информатизации
Под
объектами информатизации
, аттестуемыми по требованиям
безопасности информации, понимают автоматизированные системы
различного уровня и назначения, системы связи, отображения и
размножения, предназначенные для обработки и передачи информации,
подлежащей защите, вместе с помещениями, в которых они установлены, а
также помещения, предназначенные для ведения конфиденциальных
переговоров [62]. То есть к объектами информатизации относятся объекты
ТСПИ (см. п.1.1).
Основные принципы, организационную структуру системы аттестации
объектов информатизации по требованиям безопасности информации,
порядок проведения аттестации, а также контроля и надзора за аттестацией и
эксплуатацией аттестуемых объектов информатизации устанавливает
Положение по аттестации объектов информации по требованиям
безопасности
информации
(далее
-
Положение),
утвержденное
Председателем Гостехкомиссии России 25.11. 1994 г. [62].
Система аттестации объектов информации
по требованиям безопасности
информации (далее -
система аттестации
) является составной частью
единой системы обязательной системы сертификации средств защиты
информации и аттестации объектов информатизации по требованиям
безопасности информации и подлежит государственной регистрации в
установленном Госстандартом России порядке [62].
Деятельность системы аттестации организует федеральный орган по
сертификации продукции и аттестации объектов информатизации по
требованиям безопасности информации (далее -
федеральный орган по
сертификации и аттестации
), которым является Государственная
техническая
комиссия
при
Президенте
Российской
Федерации
(Гостехкомиссии России) в пределах ее компетенции, определяемой
законодательными актами Российской Федерации [62].
Под
аттестацией объектов информатизации
понимается комплекс
организационно-технических
мероприятий,
в
результате
которых
посредством специального документа -
"Аттестата соответствия"
подтверждается, что объект соответствует требованиям стандартов иных
нормативно-технических документов по безопасности информации,
утвержденных федеральным органом по сертификации и аттестации в
пределах его компетенции [62].
320
Наличие
на
объекте
информатизации
действующего
"Аттестата
соответствия" дает право обработки информации с уровнем секретности
(конфиденциальности) на период времени, установленными в "Аттестате
соответствия" [62].
Обязательной
аттестации
подлежат
объекты
информатизации,
предназначенные
для
обработки
информации,
составляющей
государственную тайну, управления экологически опасными объектами,
ведения секретных переговоров [62]. В остальных случаях аттестация носит
добровольный характер (добровольная аттестация) и может осуществляться
по желанию заказчика или владельца объекта информатизации при наличии
юридически закрепленного его согласия выполнять требования Положения
[62].
Аттестация по требованиям безопасности информации предшествует началу
обработки
подлежащей
защите
информации
и
необходимостью
официального подтверждения эффективности комплекса используемых на
конкретном объекте информатизации мер и средств защиты информации
[62].
При аттестации объекта информатизации подтверждается его соответствие
требованиям по защите информации [62]:
•от несанкционированного доступа, в том числе от компьютерных вирусов;
•от утечки за счет побочных электромагнитных излучений и наводок при
специальных воздействиях на объект (высокочастотное и облучение,
электромагнитное и радиационное воздействие);
•от утечки или воздействия на нее за счет специальных устройств,
встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные
испытания) защищаемого объекта информатизации в реальных условиях
эксплуатации с целью оценки соответствия использованного комплекса мер и
средств защиты информации требуемому уровню безопасности информации
[62].
Аттестация проводится органом по аттестации в установленном
Положением порядке в соответствии со схемой, выбираемой этим органом на
этапе подготовки к аттестации из следующего основного перечня работ [62]:
•анализ исходных данных по аттестуемому объекту информатизации;
•предварительное ознакомление с аттестуемым объектом информатизации;
•проведение экспертного обследования объекта информатизации и анализ
разработанной документации по информации на этом объекте с точки зрения
ее соответствия требованиям нормативной и методической документации;