Сертификация средств защиты информации

В настоящий момент актуальной является проблема защиты персональных данных. С ней сталкиваются как государственные учреждения, так и частные компании. Гарантировать функциональность и надежность IT-программ, отвечающих за сохранность сведений, можно с помощью сертификации средств защиты информации (СЗИ). Поэтому оценка соответствия пользуется большой популярностью во всем мире.

Виды СЗИ

Выделяют несколько категорий IT-продуктов:

• технические — маскируют и перекрывают каналы утечки данных;
• программные — способны зашифровывать информацию, идентифицировать пользователя, уничтожать файлы, вести контроль доступа;
• смешанные — объединяют в себе характеристики вышеперечисленных категорий;
• организационные — заключаются в правильной прокладке кабельной системы, создании свода правил выполнения работы.

Нормативная база

В отношении оценки соответствия СЗИ действуют несколько нормативно-правовых актов:

• Закон РФ №5485-1 “О государственной тайне” от 21.07.93 г.;
• Федеральный закон №184-ФЗ “О техническом регулировании” от 27.12.02 г.;
• ПП РФ №608 “О сертификации СЗИ” от 26.06.95 г.;
• Положение о системе сертификации СЗИ, утвержденное приказом ФСТЭК России от 3.04.18 г. №55.

Необходимость обязательной оценки соответствия

Сертификацию в обязательном порядке должны проводить разработчики следующих программных продуктов:

1. технические, криптографические, программные и другие средства, которые осуществляют противодействие зарубежным разведкам;
2. программы, в которых применяются вышеназванные IT-продукты;
3. программы контроля эффективности технической защиты данных.

Отказ от оформления разрешительной документации грозит административной ответственностью, которая выражается в значительных штрафах и конфискации нелегальной продукции.

Система сертификации ФСТЭК

Основными участниками оценки соответствия средств защиты данных выступают:

• уполномоченные органы и испытательные лаборатории, имеющие соответствующую аккредитацию;
• компании-изготовители СЗИ;
• Росаккредитация.

Для каждого участника предусмотрены определенные функции. Например, производители средств защиты данных обязаны руководствоваться установленными правилами изготовления программных продуктов. Предприятия, выпускающие СЗИ для сведений, составляющих государственную тайну или имеющих ограниченный доступ, должны получить лицензию ФСТЭК на ведение деятельности.

Заявителями могут быть как предприятия-изготовители, так и органы управления всех уровней.

Применяемые схемы

Выбор определенной схемы зависит от формы выпуска СЗИ:

• для единичного экземпляра – осуществление экспертизы образца и проверки организации технической поддержки;
• для поставки партии – проведение испытаний выборки образцов и оценка техподдержки;
• для серийного изготовления – контроль выборки образцов, анализ производства и технической поддержки.

Срок действия выданного сертификата не может превышать пять лет. Далее законом предусмотрена возможность подачи заявки на продление срока законной силы документа.

Внешний вид документа

Отличает сертификат специальная голограмма, которая обеспечивает надежную защиту от подделок.

В документе представлена важная информация:

1. реквизиты, адрес и контакты заявителя;
2. название и область применения товара, нормативы изготовления;
3. протоколы лабораторных исследований;
4. сведения о специализированной лаборатории;
5. отметки об инспекционном контроле и маркировке;
6. регистрационный номер;
7. дата регистрации и срок действия;
8. подпись руководителя подразделения ФСТЭК и печать.

Добровольное оформление сертификационной документации

Если предприятие выпускает СЗИ, не связанные с охраной государственной тайны, есть возможность оформить сертификат соответствия в добровольном порядке. Это повысит конкурентоспособность товара и привлечет массу новых покупателей.

Документальное подтверждение качества увеличит инвестиционную привлекательность фирмы и позволит заключать выгодные контракты с требовательными заказчиками.

Уровни доверия СЗИ

В марте 2019 г. было опубликовано Информационное сообщение ФСТЭК России № 240/24/1525. Документ устанавливает уровни доверия средств технической защиты информации. Всего насчитывается шесть позиций: 1-й (самый высокий), а 6-й (самый низкий).

Нововведение актуально для разработчиков и изготовителей IT-продуктов, заявителей на проведение оценки соответствия, а также для испытательных центров и уполномоченных органов. Выполнение требований к уровню доверия обязательно при сертификации:

• СЗИ 1-го, 2-го и 3-го уровней могут использоваться в информационных системах, содержащих сведения о государственной тайне;
• СЗИ 4-го, 5-го и 6-го уровней актуальны для ГИС и ИСПДн.

Порядок сертификации

Алгоритм действий представляет собой:

1. подготовка заявки на проведение оценки соответствия, предоставление пакета документов в уполномоченный центр;
2. согласование условий и заключение договора между сторонами;
3. отбор типовых образцов для экспертизы;
4. исследование IT-программ в аккредитованной лаборатории и аттестация производства (если это необходимо);
5. заполнение протокола испытаний;
6. регистрация документа и передача оригинала клиенту;
7. маркировка СЗИ;
8. инспекционный контроль предприятия, продукция которого прошла проверку.

Пакет документов

Компания предоставляет для проверки в уполномоченный орган следующие сведения:

1. реквизиты (копии ИНН, ОГРН, ЕГРЮЛ, устава);
2. лицензии на ведение деятельности;
3. свойства продукции, сфера назначения;
4. стандарты изготовления (ТУ, ГОСТ);
5. ранее выданные разрешения (при наличии);
6. техническая и эксплуатационная информация;
7. контракт на ввоз импорта.

Остались вопросы по поводу сертификации СЗИ? Обращайтесь к специалистам центра “ГОСТ Центр”. Мы с радостью бесплатно проконсультируем вас и поможем получить необходимые документы в минимальные сроки.

Звоните по телефону +7 (343) 311-62-80 или заполните форму обратной связи. Ждем ваших заявок и надеемся на продуктивное сотрудничество!