Adnotare: Prelegerea conține conceptele principale în domeniul certificării, participanților la schema de certificare standard și etapele de certificare a instrumentelor de securitate a informațiilor.
5.1. Procedura generală de certificare a mijloacelor de protecție a informațiilor
Certificare - forma organismului de certificare care confirmă conformitatea obiectelor cu cerințele reglementărilor tehnice, prevederilor standardelor, codurilor de practică sau clauzelor contractuale.
Certificat de conformitate - document care certifică conformitatea unui obiect cu cerințele reglementărilor tehnice, prevederilor standardelor, codurilor de practică sau termenilor contractuali.
Tehnică, criptografică, software și alte mijloace menite să protejeze informațiile care constituie secret de stat. mijloacele în care sunt puse în aplicare, precum și mijloacele de control al eficacității protecției informațiilor reprezintă mijloace de protecție a informațiilor.
Aceste fonduri fac obiectul certificării obligatorii, care se desfășoară în cadrul sistemelor de certificare a securității informațiilor [5.1]
Sistemul de certificare a mijloacelor de securitate a informațiilor este un set de participanți la certificare, care sunt:
- organism federal de certificare;
- autoritatea centrală a sistemului de certificare este organismul care conduce sistemul de certificare a produselor omogene;
- organisme de certificare a mijloacelor de protecție a informațiilor - organisme care certifică anumite produse;
- laboratoare de testare - laboratoare care efectuează teste de certificare (anumite tipuri de teste) a anumitor produse;
- producatori - vanzatori, producatori de produse.
Organele centrale ale sistemului de certificare, organismele de certificare a mijloacelor de protecție a informațiilor și laboratoarele de testare sunt acreditate pentru dreptul de a efectua activități de certificare. Scopul acreditării este de a verifica fezabilitatea lucrărilor de certificare a instrumentelor de securitate a informațiilor. Acreditarea se face numai dacă organismele și laboratoarele specificate au licențe pentru activitățile relevante.
Organismul federal de certificare realizează următoarele:
- creează sisteme de certificare;
- Efectuează o alegere a modului de recunoaștere a conformității mijloacelor de protecție a informațiilor cu cerințele documentelor standard;
- stabilește normele de acreditare a organelor centrale ale sistemelor de certificare, a organismelor de certificare a instalațiilor de protecție a informațiilor și a laboratoarelor de testare;
- definește autoritatea centrală pentru fiecare sistem de certificare;
- emite certificate și licențe pentru utilizarea semnului de conformitate;
- menține registrul de stat al participanților la certificare și mijloacele certificate de protecție a informațiilor;
- efectuează controlul și supravegherea de către stat asupra respectării de către participanți a certificării regulilor de certificare și a mijloacelor certificate de protecție a informațiilor, precum și stabilirea ordinii de control al inspecțiilor;
- apeluri la probleme de certificare;
- reprezintă pentru înregistrarea de stat în Comitetul Federației Ruse pentru Standardizare, Metrologie și Certificare a sistemului de certificare și o marcă de conformitate;
- stabilește procedura de recunoaștere a certificatelor străine;
- suspendă sau anulează certificatele emise.
Organismul central al sistemului de certificare:
- organizează lucrările de formare a sistemului de certificare și de gestionare a acestuia, coordonează activitățile organismelor de certificare a instalațiilor de protecție a informațiilor și a laboratoarelor de testare incluse în sistemul de certificare;
- ține evidența organismelor de certificare a mijloacelor de protecție a informațiilor și a laboratoarelor de testare, a certificatelor eliberate și revocate și a licențelor de utilizare a mărcii de conformitate;
- oferă participanților la certificare informații cu privire la activitățile sistemului de certificare.
Dacă în sistemul de certificare nu există o autoritate centrală, funcțiile sale sunt îndeplinite de organismul federal de certificare
Autoritățile de certificare a securității informațiilor:
- să certifice mijloacele de protecție a informațiilor, să elibereze certificate și licențe pentru aplicarea mărcii de conformitate prin transmiterea de copii către organismele federale de certificare și să țină evidența acestora;
- să suspende sau să anuleze valabilitatea certificatelor și a licențelor emise de acestea pentru aplicarea mărcii de conformitate;
- să ia o decizie privind recertificarea cu modificări în tehnologia de fabricație și proiectarea (compoziția) instrumentelor de certificare a informațiilor certificate;
- formează fondul documentelor de reglementare necesare certificării;
- să prezinte producătorilor, la cererea acestora, informațiile necesare în limitele competenței lor.
Laboratoarele de testare efectuează teste de certificare a mijloacelor de protecție a datelor și, pe baza rezultatelor, întocmesc concluzii și protocoale care sunt trimise organismului de certificare corespunzător pentru mijloacele de protecție a informațiilor și producătorilor [5.1]. Laboratoarele de testare sunt responsabile de exhaustivitatea testării instrumentelor de protecție a informațiilor și de fiabilitatea rezultatelor acestora.
- produce (pune în aplicare) mijloacele de protecție a informațiilor numai dacă există un certificat;
- să notifice organismul de certificare care a efectuat certificarea, modificările tehnologiei de fabricație și proiectarea (compoziția) instrumentelor de protecție a informațiilor certificate;
- marcați mijloacele certificate de protecție a informațiilor cu marca de conformitate în ordinea stabilită pentru acest sistem de certificare;
- să indice în documentația tehnică însoțitoare informațiile despre documentele de certificare și de reglementare cărora trebuie să le respecte mijloacele de protecție a informațiilor și să asigure, de asemenea, furnizarea acestor informații consumatorului;
- să aplice certificatul și marca de conformitate, ghidate de legislația Federației Ruse și regulile stabilite pentru acest sistem de certificare;
- asigurarea conformității mijloacelor de protecție a informațiilor cu cerințele documentelor de reglementare privind protecția informațiilor;
- asigură îndeplinirea fără întârziere a competențelor lor de către funcționari ai organismelor care efectuează certificarea și controlul mijloacelor de informare certificate de protecție;
- să pună capăt implementării instrumentelor de protecție a informațiilor dacă nu îndeplinesc cerințele lor pentru documentele de reglementare sau la expirarea perioadei de valabilitate a certificatului, precum și în cazul suspendării sau anulării certificatului.
Procedura de certificare include:
- depunerea și examinarea unei cereri de certificare (prelungirea perioadei de valabilitate) a unui mijloc de protecție a informațiilor în fața organismului federal de certificare. Cererea este făcută pe antetul reclamantei și ștampilată. Organismul federal numește un organism de certificare și un laborator de testare, după care solicitantul trimite acolo un mijloc certificat de securitate informatică.
- teste de certificare a mijloacelor de protecție a informațiilor și, dacă este necesar, atestarea producției acestora. Condițiile de testare sunt stabilite pe bază contractuală între solicitant și laborator. Pe baza rezultatelor testelor, se întocmește un aviz, care este trimis organismului de certificare și solicitantului.
- examinarea rezultatelor încercărilor, înregistrarea, înregistrarea și eliberarea unui certificat și a unei licențe de utilizare a mărcii de conformitate. Pe baza concluziei laboratorului de testare, organismul de certificare face o concluzie și îl trimite organismului federal de certificare. După ce atribuie certificatului un număr de înregistrare, solicitantul îl primește. Certificatul este valabil timp de 3 ani.
- punerea în aplicare a controlului și supravegherii de către stat, controlul inspecției asupra conformității cu normele de certificare obligatorie și mijloacele de protecție a informațiilor certificate. Pe baza rezultatelor controlului, organismul federal de certificare poate suspenda sau anula certificatul în următoarele cazuri:
- modificări la nivel legislativ privind cerințele privind instrumentele de securitate a informațiilor, metodele de testare și de control;
- schimbarea tehnologiei de fabricație, proiectarea (compoziția), completitudinea instrumentelor de protecție a informațiilor și a sistemelor de control al calității;
- nerespectarea cerințelor tehnologiei de fabricație, controlul și testarea mijloacelor de protecție a informațiilor;
- discrepanța dintre mijloacele certificate de protecție a informațiilor cu specificații tehnice sau un formular descoperit în cursul controlului de stat sau de inspecție;
- refuzul solicitantului de a accepta (admite) persoane autorizate să exercite controlul și supravegherea de către stat, controlul inspecției asupra conformității cu regulile de certificare și mijloacele certificate de protecție a informațiilor.
Certificarea mijloacelor de securitate a informațiilor importate se efectuează în conformitate cu aceleași reguli ca cele interne.
Principalele scheme de certificare a instrumentelor de securitate a informațiilor sunt:
- eșantioane unice ale mijloacelor de protecție a datelor - testarea acestor eșantioane pentru respectarea cerințelor de protecție a informațiilor;
- pentru producerea în serie a mijloacelor de securitate a informațiilor - efectuarea testelor standard ale eșantioanelor mijloacelor de securitate a informațiilor pentru respectarea cerințelor de protecție a informațiilor și controlul ulterior al controlului asupra stabilității caracteristicilor mijloacelor de protecție a informațiilor certificate. care determină îndeplinirea acestor cerințe.
În anumite cazuri, după acordul cu organismul de certificare a mijloacelor de protecție a informațiilor, este permisă testarea bazei de testare a producătorului. Condițiile de testare sunt stabilite de comun acord între producător și laboratorul de încercări.
În cazul în care rezultatele încercărilor nu sunt conforme cu cerințele documentelor de reglementare și metodologice privind protecția informațiilor, organismul de certificare a mijloacelor de protecție a informațiilor decide să refuze eliberarea unui certificat și trimite producătorului o concluzie motivată.
În caz de dezacord cu refuzul de a elibera un certificat, producătorul are dreptul de a solicita autorității centrale a sistemului de certificare, organismului federal de certificare sau Comisiei interdepartamentale să ia în considerare în mod suplimentar rezultatele obținute în cadrul testelor [5.1].
Plata pentru certificarea mijloacelor specifice de protecție a informațiilor se efectuează pe baza contractelor încheiate între participanții la certificare.
Organismele de inspecție care certifică aceste mijloace de protecție a informațiilor efectuează controlul inspecției asupra mijloacelor de informare certificate de protecție.
Principalele organisme de certificare în domeniul protecției tehnice a informațiilor sunt FSB-ul Rusiei și FSTEC-ul Rusiei. În același timp, FSB-ul Rusiei acționează în domeniul protecției informațiilor criptografice și FSTEC al Rusiei - în domeniul protecției informațiilor tehnice prin metode non-criptografice. Cerințele pentru certificarea FSB din Rusia sunt închise, familiarizarea cu acestea necesită existența unor toleranțe speciale, cerințele FSTEC din Rusia sunt publicate pe site-ul oficial și sunt publice.