Анотація: В лекції наведені основні поняття в області сертифікації, розглянуті учасники стандартної схеми сертифікації та етапи сертифікації засобів захисту інформації.
5.1. Загальний порядок сертифікації засобів захисту інформації
Сертифікація - форма здійснюваного органом по сертифікації підтвердження відповідності об'єктів вимогам технічних регламентів, положенням стандартів, зводів правил або умов договорів.
Сертифікат відповідності - документ, що засвідчує відповідність об'єкта вимогам технічних регламентів, положенням стандартів, зводів правил або умов договорів.
Технічні, криптографічні, програмні та інші засоби, призначені для захисту відомостей, що становлять державну таємницю. кошти, в яких вони реалізовані, а також засоби контролю ефективності захисту інформації є засобами захисту інформації.
Зазначені кошти підлягають обов'язковій сертифікації, яка проводиться в рамках систем сертифікації засобів захисту інформації [5.1]
Система сертифікації засобів захисту інформації являє собою сукупність учасників сертифікації, якими є:
- федеральний орган по сертифікації;
- центральний орган системи сертифікації - орган, який очолює систему сертифікації однорідної продукції;
- органи із сертифікації засобів захисту інформації - органи, які проводять сертифікацію певної продукції;
- випробувальні лабораторії - лабораторії, які проводять сертифікаційні випробування (окремі види цих випробувань) певної продукції;
- виробники - продавці, виконавці продукції.
Центральні органи системи сертифікації, органи з сертифікації засобів захисту інформації та випробувальні лабораторії проходять акредитацію на право проведення робіт з сертифікації. Метою акредитації є перевірка можливості виконання робіт із сертифікації засобів захисту інформації. Акредитація проводиться тільки при наявності у зазначених органів і лабораторій ліцензії на відповідні види діяльності.
Федеральний орган по сертифікації здійснює наступне:
- створює системи сертифікації;
- здійснює вибір способу підтвердження відповідності засобів захисту інформації вимогам нормативних документів;
- встановлює правила акредитації центральних органів систем сертифікації, органів з сертифікації засобів захисту інформації та випробувальних лабораторій;
- визначає центральний орган для кожної системи сертифікації;
- видає сертифікати і ліцензії на застосування знака відповідності;
- веде державний реєстр учасників сертифікації і сертифікованих засобів захисту інформації;
- здійснює державні контроль і нагляд за дотриманням учасниками сертифікації правил сертифікації та за сертифікованими засобами захисту інформації, а також встановлює порядок інспекційного контролю;
- розглядає апеляції з питань сертифікації;
- представляє на державну реєстрацію до Комітету Російської Федерації по стандартизації, метрології та сертифікації системи сертифікації і знак відповідності;
- встановлює порядок визнання зарубіжних сертифікатів;
- призупиняє або скасовує дію виданих сертифікатів.
Центральний орган системи сертифікації:
- організовує роботи по формуванню системи сертифікації і керівництво нею, координує діяльність органів із сертифікації засобів захисту інформації та випробувальних лабораторій, що входять в систему сертифікації;
- веде облік вхідних в систему сертифікації органів із сертифікації засобів захисту інформації та випробувальних лабораторій, видані та анульовані сертифікатів і ліцензій на застосування знака відповідності;
- забезпечує учасників сертифікації інформацією про діяльність системи сертифікації.
При відсутності в системі сертифікації центрального органу його функції виконуються федеральним органом по сертифікації
Органи по сертифікації засобів захисту інформації:
- сертифікують засоби захисту інформації, видають сертифікати і ліцензії на застосування знака відповідності з поданням копій в федеральні органи з сертифікації та ведуть їх облік;
- припиняють або скасовують дію виданих ними сертифікатів і ліцензій на застосування знака відповідності;
- приймають рішення про проведення повторної сертифікації при змінах в технології виготовлення і конструкції (складі) сертифікованих засобів захисту інформації;
- формують фонд нормативних документів, необхідних для сертифікації;
- представляють виробникам на їх вимогу необхідну інформацію в межах своєї компетенції.
Випробувальні лабораторії проводять сертифікаційні випробування засобів захисту інформації і за їх результатами оформляють висновки і протоколи, які направляють до відповідного органу з сертифікації засобів захисту інформації і виробникам [5.1]. Випробувальні лабораторії несуть відповідальність за повноту випробувань засобів захисту інформації і достовірність їх результатів.
- виробляють (реалізують) засоби захисту інформації тільки при наявності сертифіката;
- сповіщають орган по сертифікації, який проводив сертифікацію, про зміни в технології виготовлення і конструкції (складі) сертифікованих засобів захисту інформації;
- маркують сертифіковані засоби захисту інформації знаком відповідності в порядку, встановленому для даної системи сертифікації;
- вказують в супровідної технічної документації відомості про сертифікацію та нормативних документах, яким засоби захисту інформації повинні відповідати, а також забезпечують доведення цієї інформації до споживача;
- застосовують сертифікат і знак відповідності, керуючись законодавством Російської Федерації і правилами, встановленими для даної системи сертифікації;
- забезпечують відповідність засобів захисту інформації вимогам нормативних документів щодо захисту інформації;
- забезпечують безперешкодне виконання своїх повноважень посадовими особами органів, що здійснюють сертифікацію, і контроль за сертифікованими засобами захисту інформації;
- припиняють реалізацію засобів захисту інформації при невідповідності їх вимогам нормативних документів або після закінчення терміну дії сертифіката, а також у разі припинення дії сертифіката або його скасування.
Процедура сертифікації включає:
- подачу та розгляд заявки на проведення сертифікації (продовження терміну дії) засоби захисту інформації в Федеральний орган по сертифікації. Заявка оформляється на бланку заявника та засвідчується печаткою. Федеральний орган призначає орган по сертифікації і випробувальної лабораторії, після чого заявник відправляє туди сертифікується засіб захисту інформації.
- сертифікаційні випробування засобів захисту інформації і (при необхідності) атестацію їх виробництва. Терміни проведення випробувань встановлюються на договірній основі між заявником і лабораторією. За результатами випробувань оформляється висновок, який відправляється в орган по сертифікації і заявнику.
- експертизу результатів випробувань, оформлення, реєстрацію та видачу сертифіката і ліцензії на право використання знака відповідності. На підставі висновку випробувальної лабораторії орган сертифікації робить висновок і відправляє його в Федеральний орган по сертифікації. Після присвоєння сертифікату реєстраційного номера, його отримує заявник. Термін дії сертифіката - 3 роки.
- здійснення державного контролю та нагляду, інспекційного контролю за дотриманням правил обов'язкової сертифікації і за сертифікованими засобами захисту інформації. За результатами контролю Федеральний орган по сертифікації може призупинити або анулювати сертифікат в наступних випадках:
- зміни на законодавчому рівні, що стосуються вимог до засобів захисту інформації, методів випробувань і контролю;
- зміна технології виготовлення, конструкції (складу), комплектності засобів захисту інформації і системи контролю їх якості;
- невиконання вимог технології виготовлення, контролю і випробувань засобів захисту інформації;
- невідповідність сертифікованих засобів захисту інформації технічними умовами або формуляру, виявлене в ході державного або інспекційного контролю;
- відмова заявника в допуску (прийомі) осіб, уповноважених здійснювати державний контроль і нагляд, інспекційний контроль за дотриманням правил сертифікації та за сертифікованими засобами захисту інформації.
Сертифікація імпортних засобів захисту інформації проводиться за тими ж правилами, що і вітчизняних.
Основними схемами проведення сертифікації засобів захисту інформації є:
- одиничних зразків засобів захисту інформації - проведення випробувань цих зразків на відповідність вимогам щодо захисту інформації;
- для серійного виробництва засобів захисту інформації - проведення типових випробувань зразків засобів захисту інформації на відповідність вимогам щодо захисту інформації і подальший інспекційний контроль за стабільністю характеристик сертифікованих засобів захисту інформації. що визначають виконання цих вимог.
В окремих випадках за погодженням з органом по сертифікації засобів захисту інформації допускається проведення випробувань на випробувальній базі виготовлювача. Терміни проведення випробувань встановлюються договором між виробником і випробувальною лабораторією.
У разі невідповідності результатів випробувань вимогам нормативних і методичних документів по захисту інформації орган із сертифікації засобів захисту інформації приймає рішення про відмову у видачі сертифіката та надсилає виробнику мотивований висновок.
У разі незгоди з відмовою у видачі сертифіката виробник має право звернутися до центрального органу системи сертифікації, федеральний орган по сертифікації або в Міжвідомчу комісію для додаткового розгляду отриманих при випробуваннях результатів [5.1].
Оплата робіт з сертифікації конкретних засобів захисту інформації здійснюється на підставі договорів між учасниками сертифікації.
Інспекційний контроль за сертифікованими засобами захисту інформації здійснюють органи, які проводили сертифікацію цих засобів захисту інформації.
Основними органами сертифікації в галузі технічного захисту інформації є ФСБ Росії і ФСТЕК Росії. При цьому ФСБ Росії діє в галузі криптографічного захисту інформації, а ФСТЕК Росії - в галузі технічного захисту інформації некріптографіческімі методами. Вимоги по сертифікації ФСБ Росії є закритими, ознайомлення з ними передбачає наявність спеціальних допусків, вимоги ФСТЕК Росії публікуються на офіційному сайті і є публічними.