Правовые основы и процедура сертификации в области защиты информации

Реферат

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Реферат

на тему

«Правовые основы и процедура сертификации

в области защиты информации»

Выполни л:, Проверил:

7

Термин «сертификация» впервые был сформулирован и определен Комитетом по вопросам сертификации (СЕРТИКО) международной организации по стандартизации (ИСО) и включен в Руководство №2 ИСО (ИСО/МЭК2) версии 1982 г. Согласно этому документу, сертификация определялась как действие, удостоверяющее посредством сертификата соответствия или знака соответствия, что изделие ли услуга соответствует определенным стандартам или другим нормативным документам. Данное определение положено в основу понятия сертификации соответствия, принятого сегодня в системе сертификации ГОСТ в Российской Федерации.

В настоящее время под сертификацией понимается процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Также сертификация — форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Ведущие экономические державы начали развивать процессы сертификации в 20-30-е годы нашего столетия. Сертификация продукции в Российской Федерации, а до этого в ССР, начала развиваться в 1979 г., после постановления ЦК КПСС и Совета Министров СССР «Об улучшении планирования и усиления воздействия хозяйственного механизма на повышение эффективности производства и качества работы».

Основным документом в сфере сертификации до 2003 года был ФЗ «О сертификации продукции и услуг» от 10.06.1993 N 5151-1. В 1994 году Госстандарт России ввел в действие нормативный документ «Номенклатура продукции и услуг, подлежащих обязательной сертификации в Российской Федерации». Этот документ ежегодно пересматривается и уточняется с учетом практики, условий торговли, производства и тенденций научно-технического развития. В настоящее время действия этих документов отменены.

8 стр., 3871 слов

Стандартизация и сертификация продукции растениеводства

... задач по обеспечению качества продукции и технологических процессов. Основными задачами курса является изучение: основ стандартизации, метрологии, оценки соответствия, сертификации; показателей безопасности и номенклатуры потребительских свойств сельскохозяйственной продукции; требований ТР и НД к качеству продукции растениеводства и ...

Летом 2003 года вступил в силу Федеральный закон «О техническом регулировании» № 184-ФЗ, а Постановлением Правительства РФ от 1 декабря 2009 г. №982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии» был утвержден единый перечень продукции, подлежащей обязательной сертификации. Указанным документом к обязательно сертифицируемым отнесены следующие средства информатизации:

  • вычислительные машины и комплексы;
  • системы сбора и обработки информации;
  • персональные ЭВМ;
  • устройства внешней памяти, ввода-вывода и отображения информации;
  • устройства подготовки и телеобработки данных;
  • устройства межсистемной связи сетей, систем,
  • комплексов и ЭВМ;
  • комплексы и системы технических средств охраны.

По Доктрине информационной безопасности Российской Федерации (далее Доктрина), утвержденной Президентом Российской Федерации 09 сентября 2000 г. № Пр-1895 сертификации подлежат:

  • системы и средства обеспечения информационной безопасности Российской Федерации;
  • средства защиты информации;
  • телекоммуникационное оборудование и программное обеспечение автоматизированных систем обработки информации по требованиям информационной безопасности;
  • средства защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
  • общее и специальное программное обеспечение, пакеты прикладных программ и средства защиты информации в существующих и создаваемых автоматизированных системах управления военного назначения и системах связи, имеющих в своем составе элементы вычислительной техники.

В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях:

Статья 28. Порядок сертификации средств защиты информации Федерального закона Российской Федерации «О государственной тайне» (от 21 июня 1993 г. № 5485-I) гласит:

«Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств защиты информации возлагается на федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации.

13 стр., 6112 слов

Инженерная защита системы обеспечения безопасности населения

... средствах защиты (защитных сооружениях гражданской обороны). Инженерная защита населения реализуется посредством строительства системы коллективных средств защиты, ... в настоящее время - Министерством Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям ... пункта), оснащенный вычислительной техникой, средствами связи, оповещения, сбора информации об обстановке; на территории ...

(в ред. Федеральных законов от 06.10.1997 N 131-ФЗ, от 30.06.2003 N 86-ФЗ, от 29.06.2004 N 58-ФЗ)

Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.»

Вся система сертификации обеспечивает достижение прежде всего национальной безопасности в сфере информатизации. Не менее важным является формирование и осуществление единой научно — технической и промышленной политики в сфере информатизации. А так же содействие формированию рынка защищенных информационных технологий и средств их обеспечения, регулирование и контроль разработки, а также последующего производства средств защиты информации, помощь потребителям в компетентном выборе средств защиты информации, защита потребителя от недобросовестности исполнителя (продовца, изготовителя), подтверждение показателей качества продукции.

Нормативная правовая база системы сертификации средств защиты информации включает в себя следующее:

  • Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г.
  • Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»
  • Положение о сертификации средств защиты информации по требованиям безопасности информации (приказ председателя Гостехкомиссии России от 27 октября 1995 г. № 199)

Сертификации подлежат технические, программные, программно-аппаратные средства защиты информации, средства в которых реализованы СЗИ и средства контроля эффективности защиты информации.

Процедура сертификации средств защиты информации

по требованиям безопасности информации

Саму систему сертификации представляет ФСТЭК России, которому подведомственны аккредитованные органы по сертификации средств защиты информации и испытательные лаборатории.

В соответствии с действующими нормативными правовыми документами Российской Федерации Система сертификации средств защиты информации по требованиям безопасности информации включает в себя следующие сведения:

  • Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00
  • Перечень органов по аттестации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00
  • Перечень органов по сертификации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00
  • Перечень испытательных лабораторий Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00

В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации процедура сертификации включает:

2 стр., 882 слов

Сертификация лекарственных средств

... сертификации); корректирующие мероприятия при нарушении соответствия продукции установленным требованиям и неправильного применения знака соответствия; информацию о результатах сертификации. Сертификация лекарственных средств ... Федерации «О защите прав потребителей» не подлежат обязательной сертификации следующие группы лекарственных средств: лекарственные средства без индивидуальной упаковки ...

— подачу и рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации;

  • сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства;
  • экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
  • осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
  • информирование о результатах сертификации средств защиты информации;
  • рассмотрение апелляций.

Заявитель для получения сертификата направляет в федеральный орган по сертификации заявку на проведение сертификации. Заявка оформляется на бланке заявителя и заверяется печатью.

Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решения по заявке на проведение сертификации. Орган по сертификации и испытательный центр (лаборатория) могут быть изменены по согласованию с заявителем.

После получения решения заявитель обязан представить в испытательный центр (лабораторию) средства защиты информации в комплектации, согласно техническим условиям, или формуляру на средство защиты, а также комплект необходимой технической и эксплуатационной документации на это средство.

Сертификационные испытания средств защиты информации проводятся в испытательных центрах (лабораториях) на образцах, конструкция, состав и технология изготовления которых должны быть аналогичны образцам средств защиты информации, поставляемым потребителю, по программам и методикам испытаний, утвержденным органом по сертификации.

Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов.

В случае отсутствия на момент сертификации испытательных центров (лабораторий) с соответствующей областью аккредитации федеральный орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.

По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний средств защиты информации и предоставленной документации на эти средства в испытательном центре (лаборатории).

По результатам испытаний оформляются протоколы и технические заключения , которые направляются испытательным центром (лабораторией) в орган по сертификации, а копия технического заключения — заявителю.

При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства заявитель (разработчик, изготовитель) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых сертификационных испытаний этих средств.

11 стр., 5346 слов

Организация инженерно-технической защиты информации

... собственниками. В основе защиты информации лежит совокупность правовых форм деятельности ее собственника, организационно-технических и инженерно- технических мероприятий, реализуемых с ... работе других средств, не содержащих конфиденциальной информации, но на элементы которых воздействуют поля от средств, обрабатывающих или передающих конфиденциальную информацию; ¾доступ к конфиденциальной информации ...