Положение о сертификации средств защиты информации 2021

От: admin Опубликовано

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Положение о сертификации средств защиты информации 2021». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211; 2017, N 48, ст. 7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, № 274, ст. 2579; 1996, N 18, ст. 2142; 1999, N 14, ст. 1722; 2004, N 52, ст. 5480; 2010, N 18, ст. 2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330, приказываю:

1. Утвердить прилагаемое Положение о системе сертификации средств защиты информации.

2. Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.

Директор Федеральной службы
по техническому и экспортному контролю 		В. Селин

Зарегистрировано в Минюсте РФ 11 мая 2018 г.

Регистрационный № 51063

Утверждено
приказом ФСТЭК России
от 3 апреля 2018 г. N 55

ИБ. Новое положение ФСТЭК о системе сертификации СЗИ

1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 «О государственной тайне» (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, N 41, ст. 4673; 2003, N 27, ст. 2700; 2004, N 27, ст. 2711; 2011, N 30, ст. 4596), статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2007, N 19, ст. 2293; 2011, N 49, ст. 7025; 2016, N 15, ст. 2066), подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» и постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения».

2. Настоящее Положение определяет состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 (далее — система сертификации ФСТЭК России), а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукции, сведения о которой составляют государственную тайну (далее — средства защиты информации), подлежащей сертификации в рамках указанной системы.

3. Сертификации в системе сертификации ФСТЭК России подлежат:

средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;

средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;

средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.

4. Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, а также техническими условиями, техническим заданием, заданием по безопасности, согласованными заявителями на сертификацию с ФСТЭК России (далее — требования по безопасности информации).

18. Сертификация средства защиты информации включает следующие процедуры:

подача заявки на сертификацию;

принятие решения о проведении сертификации средства защиты информации;

сертификационные испытания средства защиты информации;

оформление экспертного заключения по результатам сертификации средства защиты информации и проекта сертификата соответствия;

выдача (отказ в выдаче) сертификата соответствия;

предоставление дубликата сертификата соответствия;

маркирование средств защиты информации;

внесение изменений в сертифицированное средство защиты информации;

переоформление сертификата соответствия;

продление срока действия сертификата соответствия;

приостановление действия сертификата соответствия;

прекращение действия сертификата соответствия.

37. В целях подготовки к проведению сертификационных испытаний средства защиты информации заявитель представляет для предварительного рассмотрения в испытательную лабораторию и орган по сертификации следующую документацию на средство защиты информации:

технические условия;

задание по безопасности (в случае его разработки в соответствии с требованиями по безопасности информации);

формуляр (паспорт) на средство защиты информации;

иную конструкторскую (программную) и эксплуатационную документацию на средство защиты информации, предусмотренную требованиями по безопасности информации.

В целях соблюдения конфиденциальности информации о средстве защиты информации документация на средство защиты информации может быть представлена заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.

38. Заявитель обязан предоставить возможность предварительного ознакомления испытательной лаборатории и органа по сертификации с образцом средства защиты информации.

39. В случае невозможности представления образца средства защиты информации в испытательную лабораторию и орган по сертификации по причине его массогабаритных характеристик или необходимости демонтажа, образец средства защиты информации может быть представлен заявителем непосредственно на месте проведения сертификационных испытаний средства защиты информации.

40. Испытательная лаборатория и орган по сертификации осуществляют предварительное рассмотрение образца средства защиты информации и документации на средство защиты информации в срок не более 45 календарных дней. Перечень выявленных недостатков с предложениями по их устранению направляется заявителю.

41. Если выявленные недостатки не могут быть устранены в сроки, предусмотренные договором на проведение сертификации средства защиты информации, орган по сертификации представляет в ФСТЭК России предложение об отказе в выдаче сертификата соответствия и извещает об этом заявителя.

42. Для проведения сертификационных испытаний средства защиты информации испытательная лаборатория разрабатывает программу и методику сертификационных испытаний средства защиты информации в соответствии с требованиями по безопасности информации и методическими документами, утвержденными ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

Программа и методика сертификационных испытаний средства защиты информации должны содержать описание средства защиты информации, количество образцов средства защиты информации, необходимых для проведения сертификационных испытаний, сроки проведения испытаний, правила отбора образцов средства защиты информации, состав и порядок испытаний средства защиты информации, методы испытаний и применяемые средства, требования к конструкторской, программной и эксплуатационной документации.

43. Программа и методика сертификационных испытаний средства защиты информации согласовываются с заявителем и представляются на утверждение в орган по сертификации.

Орган по сертификации в течение 30 календарных дней рассматривает программу и методику сертификационных испытаний средства защиты информации и при отсутствии недостатков утверждает их.

В случае выявления недостатков орган по сертификации в течение трех календарных дней возвращает программу и методику сертификационных испытаний средства защиты информации в испытательную лабораторию на доработку, о чем уведомляет заявителя.

Испытательная лаборатория в течение 10 календарных дней устраняет недостатки, повторно согласовывает программу и методику сертификационных испытаний с заявителем и представляет их в орган по сертификации на утверждение.

Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 60 календарных дней.

Орган по сертификации письменно информирует ФСТЭК России об утверждении программы и методики сертификационных испытаний средства защиты информации.

44. Испытательная лаборатория осуществляет отбор образца (образцов) средств защиты информации, необходимых для проведения сертификационных испытаний.

При сертификации партии средства защиты информации для осуществления отбора образцов средства защиты информации должна быть представлена вся партия средства защиты информации.

При сертификации серийного производства средства защиты информации для осуществления отбора образцов средства защиты информации должна быть представлена партия средства защиты информации, численность которой не менее чем в два раза превышает количество образцов средства защиты информации, которое необходимо отобрать для проведения сертификационных испытаний.

Отбираемый образец (образцы) средства защиты информации по конструкции, составу и технологии изготовления должен (должны) соответствовать образцам средства защиты информации, предназначенным для реализации потребителю.

Объем выборки образцов средства защиты информации определяется исходя из условий статистической достоверности и с учетом затрат заявителя в случае, если при проведении сертификационных испытаний возможен вывод из строя образца (образцов) средства защиты информации.

Сертификация в области информационной безопасности

57. В случае если в экспертном заключении сделан вывод о невозможности выдачи сертификата соответствия, ФСТЭК России в срок не позднее 5 рабочих дней со дня поступления материалов по сертификации средства защиты информации принимает решение об отказе в выдаче сертификата соответствия.

58. В случае если в экспертном заключении сделан вывод о возможности выдачи сертификата соответствия, ФСТЭК России в срок не более 45 календарных дней рассматривает материалы по сертификации средства защиты информации и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.

В случае выявления в материалах по сертификации средства защиты информации недостатков ФСТЭК России направляет материалы в орган по сертификации на доработку с приложением описания выявленных недостатков и предложениями по их устранению.

Уведомление о выявленных в материалах по сертификации средства защиты информации недостатках с их описанием и предложениями по устранению направляется испытательной лаборатории и заявителю.

59. Орган по сертификации, испытательная лаборатория и заявитель в срок не более 90 календарных дней со дня подписания уведомления должны устранить выявленные недостатки, при необходимости провести повторные сертификационные испытания средства защиты информации и представить в ФСТЭК России доработанные материалы по сертификации средства защиты информации.

60. В случае непредставления доработанных материалов по сертификации средства защиты информации ФСТЭК России принимает решение об отказе в выдаче сертификата соответствия.

Решение об отказе в выдаче сертификата соответствия подписывается уполномоченным должностным лицом ФСТЭК России и в течение 5 рабочих дней вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.

61. В случае принятия решения о выдаче сертификата соответствия сертификат соответствия подписывается уполномоченным должностным лицом ФСТЭК России, сведения о сертификате соответствия вносятся в государственный реестр сертифицированных средств защиты информации.

Сертификат соответствия в течение 10 рабочих дней после подписания вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.

62. В случае утраты сертификата соответствия заявитель вправе обратиться в ФСТЭК России с заявлением о выдаче дубликата сертификата соответствия.

В течение 10 рабочих дней со дня регистрации заявления о выдаче дубликата сертификата соответствия ФСТЭК России оформляет дубликат на бланке сертификата соответствия с пометкой «дубликат, оригинал сертификата соответствия признается недействующим» и вручает заявителю или направляет ему заказным почтовым отправлением с уведомлением о вручении.

  • 2009 год
    • Сутки
    • Неделя
    • Месяц

    Сертификация средств защиты информации

    Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк. В зависимости от области своей деятельности специалист выбирает сертификат информационной безопасности, наилучшим образом подтверждающий его компетенции. В перечень востребованных документов в данной области входят:

    • CISSP — безопасность IT-продуктов;
    • ISSAP — архитектура безопасности;
    • ISSEP — инженерия в IT-безопасности;
    • ISSMP — управление продуктами в области безопасности;
    • CISM — информационная безопасность;
    • другие сертификаты.

    Комплексная система, внедряемая организацией для обеспечения собственной IT-безопасности, должна охватывать все аспекты ее деятельности в этой области, включая создание продуктов, их отладку и ввод в эксплуатацию, функционирование, регулярный мониторинг работы, анализ алгоритмов и ошибок при ее применении, поддержку и улучшение рабочих механизмов. Выбираемые инструменты и методы должны отвечать особенностям технологического цикла предприятия, а также стоящим перед ним задачам.

    Требования, которые предъявляет к компаниям стандартизация и сертификация информационных систем по критериям ISO 27001, являются многоуровневыми и комплексными. Основными из них становятся следующие:

    • продуманная политика IT-безопасности;
    • структурированная программа управления IT-безопасностью в организации;
    • гарантия защищенности информации при необходимости обеспечения доступа к ней третьих лиц;
    • предотвращение потерь, повреждений, хищения информации и ее компрометации;
    • обеспечение безопасного функционирования инструментов обработки информации;
    • минимизация рисков появления сбоев в работе комплекса;
    • поддержание безопасности каналов обмена информацией;
    • внедрение эффективных методов обнаружения несанкционированной активности;
    • организация системы контроля доступа к информации;
    • обеспечение безопасности системных файлов.

    Процесс сертификации организуется после полноценного внедрения системы на предприятии и отладки ее функционирования. Добровольная информационная сертификация по стандартам ISO 27001 проводится только аккредитованной организацией, имеющей право выполнять проверку на соответствие требованиям системы.

    Стандарты системы ISO 27001 во многом основываются на базовой системе менеджмента качества ISO 9001. Так что если компания уже сертифицирована на соответствие требованиям этого стандарта, ей станет проще пройти процедуру сертификации, воспользовавшись имеющимися документами и наработками.

    Прежде, чем подать заявление в органы сертификации информационных систем, заявителю следует выполнить следующие шаги.

    1. Внедрение системы, оформление документации по стандартам ISO 20071, обучение сотрудников, подготовка к сертификации.
    2. Предварительный аудит системы силами сертифицированного аудитора. Проводится в формате документарной или выездной проверки.
    3. Основной этап сертификационного аудита на соответствие требованиям системы. Включает детальное тестирование внедренных стандартов, проверку документации, оценку эффективности реализованных мер.
    4. Оформление сертификационной документации.
    5. Проведение периодического инспекционного аудита для подтверждения выполнения требований стандартов сертифицированной организацией.

    Сертификация средств защиты информации в России

    Компания, которая успешно прошла проверку на соответствие требованиям системы и подтвердила выполнение обязательных стандартов, получает сертификат установленного образца. Он оформляется аккредитованным сертификационным органом, который проводил аудит на предприятии. Документ выдается на бумажном носителе, чтобы его владелец мог предъявить сертификат любому заинтересованному лицу — например, потенциальному партнеру или контрагенту.

    «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» утверждены приказом ФСТЭК России от 30 июля 2018 г. No 131, приказ зарегистрирован Минюстом России 14 ноября 2018 г. No 52686, вступил в силу с 1 августа 2018 г., применяется при проведении сертификационных испытаний с 1 мая 2019 г.

    Требования доверия являются обязательными требованиями в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа.

    Требования доверия применяются к программным и программно-техническим средствам технической защиты информации (СТЗИ), средствам обеспечения безопасности информационных технологий (СОБИТ), включая защищенные средства обработки информации.

    Требования доверия устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа.

    Устанавливается 6 уровней доверия. Самый низкий уровень — 6, самый высокий — 1. Уровням доверия поставлены в соответствие определённые классы защиты СЗИ, категории значимых объектов КИИ (ЗО КИИ), классы ГИС, АСУТП, ИСОП и уровни ИСПДн.

    • Уровень доверия 4:
      • Классы защиты СЗИ 4;
      • ЗО КИИ 1 категории;
      • ГИС 1 класса;
      • АСУТП 1 класса;
      • ИСПДн 1 уровня;
      • ИСОП II класса;
    • Уровень доверия 5:
      • Классы защиты СЗИ 5;
      • ЗО КИИ 2 категории;
      • ГИС 2 класса;
      • АСУТП 2 класса;
      • ИСПДн 2 уровня;
    • Уровень доверия 6:
      • Классы защиты СЗИ 6;
      • ЗО КИИ 3 категории;
      • ГИС 3 класса;
      • АСУТП 3 класса;
      • ИСПДн 3 и 4 уровня
    • Средства защиты информации, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
    • Требования к обновлению средства, соответствующего 6 уровню доверия

    пункт 89. Обновление средства должно предусматривать:

    • информирование потребителей средства о выпуске обновлений;
    • обеспечение возможности получения обновления средства способами, обеспечивающими его целостность.
    • Требования к обновлению средства, соответствующего 5 уровню доверия

    пункт 93. Наряду с требованиями к обновлению средства, установленными пунктом 89 настоящих Требований, дополнительно предъявляются следующие требования:

    • в случае получения обновления средства по сетям связи средство должно получать такие обновления с информационного ресурса заявителя;
    • при доведении обновлений средства до потребителей должны обеспечиваться подлинность и целостность обновлений за счет применения электронной цифровой подписи.
    • Требования к обновлению средства, соответствующего 4 уровню доверия

    пункт 97. Наряду с требованиями к обновлению средства, установленными пунктом 93 настоящих Требований, доведение информации о выпуске обновлений средства должно осуществляться до каждого потребителя сертифицированного средства путем отправки сообщений на электронные адреса потребителей или за счет применения компонента средства, обеспечивающего доведение указанной информации до потребителя автоматически.

    Постановление Правительства РФ от 26.06.1995 № 608

    от 26 июня 1995 года №608

    О сертификации средств защиты информации

    (по состоянию на 21 апреля 2010 года)

    В соответствии с Законами Российской Федерации «О государственной тайне» и «О сертификации продукции и услуг» Правительство Российской Федерации постановляет:

    1. Утвердить прилагаемое Положение о сертификации средств защиты информации.

    2. Государственной технической комиссии при Президенте Российской Федерации, Федеральному агентству правительственной связи и информации при Президенте Российской Федерации, Федеральной службе безопасности Российской Федерации и Министерству обороны Российской Федерации в пределах определенной законодательством Российской Федерации компетенции в 3-месячный срок разработать и ввести в действие соответствующие положения о системах сертификации, перечни средств защиты информации, подлежащих сертификации в конкретной системе сертификации, а также по согласованию с Министерством финансов Российской Федерации порядок оплаты работ по сертификации средств защиты информации.

    Номер документа: 608
    Дата принятия: 26/06/1995
    Состояние документа: Действует
    Органы эмитенты: Правительство

    Текущая редакция принята: 21/04/2010

    Приказ Федеральной службы по регулированию алкогольного рынка Российской Федерации «Об утверждении Технических условий в области производства и…»

    Ссылка на Закон Российской Федерации О государственной тайне

    • Аттестационные испытания и аттестация на соответствие требованиям по защите информации
    • Проектирование систем информационной безопасности
    • Безопасность объектов КИИ
    • Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
    • Тестирование на проникновение (Pentest)

    повышает конкурентоспособность продуктов и решений;
    открывает новые возможности по применению и внедрению продуктов и решений;
    увеличивает жизненный цикл информационных систем в защищенном исполнении за счет отсутствия необходимости периодической модернизации, обновления и сопровождения систем зашиты информации;
    дает основание для включения продуктов и решений в учебные программы повышения квалификации и высшей школы;
    повышает степень доверия к продуктам и решениям;
    позволяет привести средства и механизмы защиты информации в соответствие с российским законодательством, а также ряда стран СНГ;
    позволяет улучшить качество и повысить надежность продуктов и решений;
    дает основание проектировщикам и системным интеграторам для включения продуктов и решений в состав проектируемых информационных систем в защищенном исполнении и систем зашиты информационных систем.

    уверенность в соответствии продуктов и решений требованиям законодательства в области безопасности информации;
    возможность создания информационных систем в защищенном исполнении и систем зашиты информационных систем без применения дополнительных средств защиты информации;
    обеспечивает экономию средств в связи с отсутствием необходимости применения дополнительных средств защиты информации;
    встроенные сертифицированные средства и механизмы защиты информации исключают необходимость применения дополнительных средств защиты информации, обеспечивают неизменность технологии функционирования продуктов и решений, гарантии функционирования, сопровождения, обновления и повышения квалификации сотрудников.

    Подготовка к сертификации осуществляется в несколько этапов: Экспертиза объекта сертификации. Оценка целесообразности и возможности сертификации, согласования с испытательной лабораторией.
    Разработка программной и эксплуатационной документации.
    Выбор схемы сертификации (единичный экземпляр, партия, серийное производство).
    Разработка технических условий, задания по безопасности.
    Разработка программы и методики испытаний.
    Подача заявки на проведение сертификационных испытаний.
    Представление объекта на сертификационные испытания в испытательную лабораторию.
    Организация взаимодействия с испытательной лабораторией и назначенным ФСТЭК России органом по сертификации.

    Длительность процесса получения сертификата соответствия зависит от степени готовности изделия, выбранной схемы сертификации, организации взаимодействия с испытательной лабораторией и органом по сертификации. Как правило, от момента подачи заявки на проведение сертификационных испытаний до выдачи сертификата проходит не менее одного календарного года.

    (утв. постановлением Правительства РФ от 26 июня 1995 г. № 608)
    (с изменениями от 23 апреля 1996 г., 29 марта 1999 г., 17 декабря 2004 г., 21 апреля 2010 г.)

    1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.

    Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

    Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации.

    Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется — система сертификации).

    Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются — федеральные органы по сертификации).

    Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее именуется — Межведомственная комиссия)*. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

    ________________

    * Функции Межведомственной комиссии по защите государственной тайны в соответствии с Указом Президента Российской Федерации от 30 марта 1994 г. № 614 временно возложены на Государственную техническую комиссию при Президенте Российской Федерации.

    2. Участниками сертификации средств защиты информации являются:

    федеральный орган по сертификации;

    центральный орган системы сертификации (создаваемый при необходимости) — орган, возглавляющий систему сертификации однородной продукции;

    органы по сертификации средств защиты информации — органы, проводящие сертификацию определенной продукции;

    испытательные лаборатории — лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;

    изготовители-продавцы, исполнители продукции.

    Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

    3. Федеральный орган по сертификации в пределах своей компетенции:

    создает системы сертификации;

    осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;

    устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;

    определяет центральный орган для каждой системы сертификации;

    выдает сертификаты и лицензии на применение знака соответствия;

    ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;

    осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;

    рассматривает апелляции по вопросам сертификации;

    представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;

    устанавливает порядок признания зарубежных сертификатов;

    приостанавливает или отменяет действие выданных сертификатов.

    4. Центральный орган системы сертификации:

    организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;

    ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;

    обеспечивает участников сертификации информацией о деятельности системы сертификации.

    При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации.

    Нужно ли использовать сертифицированные СЗИ в ИСПДн?

    Принятые сокращения

    АС — автоматизированная система

    ВД — временный документ

    ЗАС — засекречивающая аппаратура связи

    КСЗ — комплекс средств защиты

    НСД — несанкционированный доступ

    НТД — нормативно-техническая документация

    ОС — операционная система

    ППП — пакет прикладных программ

    ПРД — правила разграничения доступа

    РД — руководящий документ

    СВТ — средства вычислительной техники

    СЗИ — система защиты информации

    СЗИ НСД — система защиты информации от несанкционированного доступа

    СЗСИ — система защиты секретной информации

    СНТП — специальное научно-техническое подразделение

    СРД — система разграничения доступа

    СУБД — система управления базами данных

    ТЗ — техническое задание

    ЭВМ — электронно-вычислительная машина

    ЭВТ — электронно-вычислительная техника

    1.1. Настоящее Положение устанавливает единый на территории Российской Федерации порядок исследований и разработок в области:

    защиты информации, обрабатываемой автоматизированными системами различного уровня и назначения, от несанкционированного доступа;

    создания средств вычислительной техники общего и специального назначения, защищенных от утечки, искажения или уничтожения информации за счет НСД1, в том числе программных и технических средств защиты информации от НСД;

    создания программных и технических средств защиты информации от НСД в составе систем защиты секретной информации в создаваемых АС.

    1.2. Положение определяет следующие основные вопросы:

    организационную структуру и порядок проведения работ по защите информации от НСД и взаимодействия при этом на государственном уровне;

    систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме;

    порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД;

    порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации.

    1.3. Положение разработано в развитие Инструкции № 0126-87 в части требований к программным и техническим средствам и системам защиты информации от НСД и базируется на Концепции защиты СВТ и АС от НСД к информации.

    Организационные мероприятия по предупреждению утечки и защите информации, являющиеся составной частью решения проблемы защиты информации от НСД, базируются на требованиях указанной инструкции, дополняют программные и технические средства и системы и в этой части являются предметом рассмотрения настоящего Временного положения.

    1.4. Временное положение обязательно для выполнения всеми органами государственного управления, государственными предприятиями, воинскими частями, другими учреждениями, организациями и предприятиями (независимо от форм собственности), обладающими государственными секретами, и предназначено для заказчиков, разработчиков и пользователей защищенных СВТ, автоматизированных систем, функционирующих с использованием информации различной степени секретности.

    1.5. Разрабатываемые и эксплуатируемые программные и технические средства и системы защиты информации от НСД должны являться неотъемлемой составной частью защищенных СВТ, автоматизированных систем, обрабатывающих информацию различной степени секретности.

    1.6. При разработке средств и систем защиты в АС и СВТ необходимо руководствоваться требованиями следующих руководящих документов:

    Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;

    настоящее Временное положение;

    Защита от несанкционированного доступа к информации. Термины и определения;

    Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;

    Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

    2.1. Заказчиком защищенных СВТ является заказчик соответствующей АС, проектируемой на базе этих СВТ.

    Заказчик защищенных СВТ финансирует их разработку или принимает долевое участие в финансировании разработок СВТ общего назначения в части реализации своих требований.

    2.2. Заказчиком программных и технических средств защиты информации от НСД может являться государственное учреждение или коллективное предприятие независимо от формы собственности.

    2.3. Постановку задач по комплексной1 защите информации, обрабатываемой автоматизированными системами, а также контроль за состоянием и развитием этого направления работ осуществляет Гостехкомиссия России.

    2.4. Разработчиками защищенных СВТ общего и специального назначения, в том числе их общесистемного программного обеспечения, являются государственные предприятия — производители СВТ, а также другие организации, имеющие лицензию на проведение деятельности в области защиты информации.

    2.5. Разработчиками программных и технических средств и систем защиты информации от НСД могут быть предприятия, имеющие лицензию на проведение указанной деятельности.

    2.6. Проведение научно-исследовательских и опытно-конструкторских работ в области защиты секретной информации от НСД, создание защищенных СВТ общего назначения осуществляется по государственному заказу по представлению заинтересованных ведомств, согласованному с Гостехкомиссией России.

    2.7. Организация и функционирование государственных и отраслевых сертификационных центров определяются Положением об этих центрах. На них возлагается проведение сертификационных испытаний программных и технических средств защиты информации от НСД. Перечень сертификационных центров утверждает Гостехкомиссия России.

    3.1. Система государственных нормативных актов, стандартов, руководящих документов и требований по защите информации от НСД базируется на законах, определяющих вопросы защиты государственных секретов и информационного компьютерного права.

    3.2. Система указанных документов определяет работу в двух направлениях:

    первое — разработка СВТ общего и специального назначения, защищенных от утечки, искажения или уничтожения информации, программных и технических (в том числе криптографических) средств и систем защиты информации от НСД;

    второе — разработка, внедрение и эксплуатация систем защиты АС различного уровня и назначения как на базе защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, так и на базе средств и систем собственной разработки.

    3.3. К системе документации первого направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:

    различные уровни оснащенности СВТ средствами защиты информации от НСД и способы оценки этих уровней (критерии защищенности);

    порядок разработки защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях заказа и разработки защищенных СВТ;

    порядок приемки и сертификации защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях приемки и сертификации защищенных СВТ;

    разработку эксплуатационных документов и сертификатов.

    3.4. К системе документации второго направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:

    порядок организации и проведения разработки системы защиты секретной информации, взаимодействие, права и обязанности заказчика и разработчика АС в целом и СЗСИ в частности;

    порядок разработки и заимствования программных и технических средств и систем защиты информации от НСД в процессе разработки СЗСИ;

    порядок настройки защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД на конкретные условия функционирования АС;

    порядок ввода в действие и приемки программных и технических средств и систем защиты информации от НСД в составе принимаемой АС;

    порядок использования защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, в соответствии с классами и требованиями по защите в конкретных системах;

    порядок эксплуатации указанных средств и систем;

    разработку эксплуатационных документов и сертификатов;

    порядок контроля защищенности АС;

    ответственность должностных лиц и различных категорий исполнителей (пользователей) за выполнение установленного порядка разработки и эксплуатации АС в целом и СЗСИ в частности.

    3.5. Состав документации, определяющей работу в этих направлениях, устанавливают Госстандарт Российской Федерации и Гостехкомиссия России.

    3.6. Обязательным требованием к ТЗ на разработку СВТ и АС должно быть наличие раздела требований по защите от НСД, а в составе документации, сопровождающей выпуск СВТ и АС, должен обязательно присутствовать документ (сертификат), содержащий результаты анализа их защищенности от НСД.

    СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

    6.1. Данный раздел определяет взаимодействие сторон и порядок проведения работ при создании, сертификации и эксплуатации средств криптографической защиты информации (СКЗИ) от несанкционированного доступа на государственных предприятиях, в ведомствах.

    Действие данного раздела распространяется на программные, технические и программно-технические средства в составе СВТ и АС, применяемые для криптографической защиты от НСД к информации, обрабатываемой, хранимой, накапливаемой и передаваемой в вычислительных системах, построенных на базе отдельных ЭВМ, комплексов ЭВМ и локальных вычислительных сетей, расположенных в пределах одной контролируемой зоны.

    Разрешается применение положений данного раздела также в случае нескольких контролируемых зон при условии, что для связи между ними используются защищенные с помощью аппаратуры ЗАС или СКЗИ каналы, по которым в соответствии с действующими нормативными документами разрешена передача секретной информации соответствующего грифа (см. п.6.15 данного раздела).

    В дальнейшем: Положение о сертификации.

    6.2. Организационно-методическое руководство работами по созданию и эксплуатации СКЗИ, сертификацию СКЗИ, а также контроль за состоянием и развитием этого направления работ осуществляют Гостехкомиссия России и Главный шифрорган страны при посредстве ряда уполномоченных ими специализированных организаций.

    6.3. С помощью СКЗИ может осуществляться защита от несанкционированного доступа к несекретной и служебной информации, а также к информации, имеющей грифы «;Секретно»;, «;Совершенно секретно»; и «;Особой важности»;.

    6.4. При выполнении разработки СКЗИ (или изделия СВТ, содержащего в своем составе СКЗИ), предназначаемого для защиты секретной информации любых грифов, а также для защиты ценной и особо ценной информации1, техническое задание на СКЗИ должно быть согласовано с Гостехкомиссией России и Главным шифрорганом страны.

    Вместе с техническим заданием должны быть направлены схема конфигурации защищаемых СВТ или АС, описание структуры подлежащих защите информационных объектов (с указанием максимального грифа секретности), а также данные о характеристиках допуска и предполагаемых административных структурах пользователей.

    6.5. По результатам рассмотрения исходных данных вышеупомянутые органы представляют разработчику СКЗИ рекомендации по использованию одного из аттестованных алгоритмов шифрования, а также (при необходимости) описание его криптосхемы, криптографические константы, тестовые примеры для проверки правильности реализации алгоритма, рекомендации по построению ключевой системы СКЗИ и ряд других документов.

    6.6. На основе полученных документов разработчик реализует СКЗИ в виде программного или технического изделия и с привлечением специализированных организаций готовит необходимые материалы для сертификации СКЗИ в соответствии с Положением о сертификации.

    Приемку полученных в результате разработки опытных образцов осуществляет комиссия, создаваемая Заказчиком СКЗИ. В состав комиссии должны быть включены представители Гостехкомиссии России и Главного шифроргана страны.

    6.7. Сертификация СКЗИ осуществляется на хозрасчетных началах. Положительная сертификация СКЗИ завершается выдачей сертификационного удостоверения.

    6.8. Применение СКЗИ, не прошедших в установленном порядке сертификацию для защиты от НСД к секретной информации любых

    грифов, а также ценной и особо ценной информации запрещается.

    6.9. При внедрении АС, содержащей в своем составе сертифицированное СКЗИ и при условии, что данная АС предназначается для обработки секретной информации с грифом не выше «;Совершенно секретно»; или для обработки ценной информации, дополнительного разрешения на эксплуатацию сертифицированного СКЗИ не требуется (кроме случаев, специально оговоренных в сертификационном удостоверении на СКЗИ).

    Для АС, предназначенных для обработки информации с грифом «;Особой важности»; или для обработки особо ценной информации, должно быть получено письменное разрешение Гостехкомиссии России и Главного шифроргана страны на эксплуатацию СКЗИ в составе конкретной АС.

    6.10. Эксплуатация СКЗИ, применяемых для защиты секретной или ценной информации, должна осуществляться в соответствии с требованиями разрабатываемых Инструкции по обеспечению безопасности эксплуатации СКЗИ в составе АС и Инструкции о порядке использования действующих сменных ключей.

    В организации, осуществляющей эксплуатацию АС, должна быть создана служба (орган) безопасности информации, на которую возлагаются ответственность за реализацию мероприятий, предусмотренных вышеназванными инструкциями.

    6.11. Гриф секретности действующих сменных ключей и соответствующих ключевых документов при защите информации от НСД с помощью СКЗИ, должен соответствовать максимальному грифу секретности информации, шифруемой с использованием этих ключей.

    Носители с записанной на них ключевой документацией СКЗИ учитываются, хранятся и уничтожаются как обычные документы соответствующего грифа секретности согласно Инструкции по обеспечению режима секретности N 0126-87.

    6.12. СКЗИ без введенных криптографических констант и действующих сменных ключей имеют гриф секретности, соответствующий грифу описания криптосхемы. СКЗИ с загруженными криптографическими константами имеет гриф секретности, соответствующий грифу криптографических констант. Гриф секретности СКЗИ с загруженными криптографическими константами и введенными ключами определяется максимальным грифом содержащихся в СКЗИ ключей и криптографических констант.

    6.13. Шифртекст, полученный путем зашифрования с помощью СКЗИ открытой секретной информации любых грифов, является несекретным.

    Внешние носители данных (магнитные ленты, диски, кассеты, дискеты и т.п.) с зашифрованной информацией могут пересылаться, храниться и учитываться как несекретные, если они не содержат и ранее не содержали открытой секретной информации.

    ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

    ПРИКАЗ

    от 3 апреля 2018 года N 55

    Об утверждении Положения о системе сертификации средств защиты информации

    В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N 7, ст.818; 2013, N 26, ст.3314; N 52, ст.7137; 2014, N 36, ст.4833; N 44, ст.6041; 2015, N 4, ст.641; 2016, N 1, ст.211; 2017, N 48, ст.7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, N 274, ст.2579; 1996, N 18, ст.2142; 1999, N 14, ст.1722; 2004, N 52, ст.5480; 2010, N 18, ст.2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330,

    приказываю:

    1. Утвердить прилагаемое Положение о системе сертификации средств защиты информации.

    2. Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.

    Директор Федеральной службы

    по техническому и

    экспортному контролю

    В.Селин

    Зарегистрировано

    в Министерстве юстиции

    Российской Федерации

    11 мая 2018 года,

    регистрационный N 51063

    УТВЕРЖДЕНО

    приказом ФСТЭК России

    от 3 апреля 2018 года N 55

    1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 «О государственной тайне» (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, N 41, ст.4673; 2003, N 27, ст.2700; 2004, N 27, ст.2711; 2011, N 30, ст.4596), статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (Собрание законодательства Российской Федерации, 2002, N 52, ст.5140; 2007, N 19, ст.2293; 2011, N 49, ст.7025; 2016, N 15, ст.2066), подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» и постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения».

    2. Настоящее Положение определяет состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 (далее — система сертификации ФСТЭК России), а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукции, сведения о которой составляют государственную тайну (далее — средства защиты информации), подлежащей сертификации в рамках указанной системы.

    3. Сертификации в системе сертификации ФСТЭК России подлежат:

    средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;

    средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;

    средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.

    4. Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, а также техническими условиями, техническим заданием, заданием по безопасности, согласованными заявителями на сертификацию с ФСТЭК России (далее — требования по безопасности информации).

    5. Участниками системы сертификации ФСТЭК России являются:

    федеральный орган по сертификации;

    организации, аккредитованные ФСТЭК России в качестве органа по сертификации (далее — органы по сертификации);

    организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее — испытательные лаборатории);

    изготовители средств защиты информации.

    6. ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации.

    7. Органы по сертификации осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации требованиям по безопасности информации (далее — сертификат соответствия).

    8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.

    9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации.

    Особенности сертификации средств защиты информации

    18. Сертификация средства защиты информации включает следующие процедуры:

    подача заявки на сертификацию;

    принятие решения о проведении сертификации средства защиты информации;

    сертификационные испытания средства защиты информации;

    оформление экспертного заключения по результатам сертификации средства защиты информации и проекта сертификата соответствия;

    выдача (отказ в выдаче) сертификата соответствия;

    предоставление дубликата сертификата соответствия;

    маркирование средств защиты информации;

    внесение изменений в сертифицированное средство защиты информации;

    переоформление сертификата соответствия;

    продление срока действия сертификата соответствия;

    приостановление действия сертификата соответствия;

    прекращение действия сертификата соответствия.

    Приложение N 1

    к Положению о системе сертификации

    средств защиты информации,

    утвержденному приказом ФСТЭК России

    от 3 апреля 2018 года N 55

    Рекомендуемый образец

    Федеральная служба по техническому и экспортному контролю

    ЗАЯВКА

    на

    Приложение N 2

    к Положению о системе сертификации

    средств защиты информации,

    утвержденному приказом ФСТЭК России

    от 3 апреля 2018 года N 55

    Рекомендуемый образец

    Федеральная служба по техническому и экспортному контролю

    РЕШЕНИЕ

    о проведении

    Информационная безопасность – состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

    К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности являются:1) внесение изменений и дополнений в законодательство РФ;2) законодательное разграничение полномочий между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

    Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:1) создание и совершенствование системы обеспечения информационной безопасности РФ;2) разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;3) создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации;4) выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем;5) сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;6) контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ;7) формирование системы мониторинга показателей и характеристик информационной безопасности РФ в наиболее важных сферах жизни и деятельности общества и государства.

    Экономические методы обеспечения информационной безопасности РФ включают в себя:1) разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;2) совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных физических и юридических лиц.

    Нормативно-правовые акты ФСТЭК

    Если оборудование или ПО содержит шифровальные или криптографические элементы, на него необходимо оформлять нотификацию ФСБ. Этот документ подтверждает достаточный уровень безопасности и позволяет предпринимателю ввезти техническое средство в Россию.

    Добровольные сертификаты: преимущества

    Чтобы подтвердить качество ПО, компания может прибегнуть к возможностям добровольной сертификации. Провести такую проверку можно в одной из отечественных или международных систем проверки. Наиболее актуальными являются ИСО и ГОСТ Р (в последнем случае экспертиза будет проведена на соответствие техническим условиям или государственным стандартам). Наличие сертификата на средства защиты информации, полученного в добровольном порядке, приносит следующие преимущества:

    • Выход на международный рынок (если речь идет о проверке по ИСО);
    • Расширение рынка сбыта в России;
    • Формирование положительного имиджа;
    • Рост инвестиционной привлекательности предприятия;
    • Усиление рыночных позиций;
    • Прохождение надзорных проверок, инициируемых государством, в более простом режиме;
    • Возможность принять государственный заказ;
    • Повышение шансов на победу в тендере или конкурсе и т.д.

    Алгоритм подтверждения соответствия сопряжен с прохождением следующих стадий:

    • Подача заявки в центр «Ростест Сибирь», предоставление нашими специалистами бесплатной консультации, идентификация продукции (присвоение ей кодов ТН ВЭД – в том случае, если они неизвестны заранее);
    • Заключение договора на оказание услуг, определение стоимости проведения оценки;
    • Подготовка пакета документации (на этом этапе предприниматель может заказать разработку/регистрацию техдокументации – например, технических условий, технологических регламентов, стандарта организации и т.д.);
    • Предоставление образцов подконтрольной продукции, их отправка в аттестованную лабораторию, формирование протоколов испытаний;
    • Аудит на предприятии, анализ состояния производственных мощностей, составление отчетов;
    • Выдача разрешения, его регистрация в едином реестре;
    • Маркировка технических средств.

    Помимо образцов продукции/ПО предприниматель должен предоставить полный пакет информации:

    • Точное наименование своей организации, реквизиты, идентификационный налоговый и общегосударственный регистрационный номера, юридический и фактический адреса;
    • Сведения о товаре – его название, техническое описание, коды ТН ВЭД/ОКПД 2 (если они определены);
    • Данные о законности эксплуатации коммерческих/производственных площадей (договор аренды или свидетельство о собственности, также можно предоставить договор лизинга);
    • Сведения о производителях, поставщиках, контракт на поставку, инвойс и спецификации;
    • Техдокументацию, которая используется на производстве;
    • Заявку на проведение экспертизы, которая составлена от имени официального представителя компании.

    Предоставить сведения можно по электронной почте, курьером, посредством личного посещения офиса. Копии и сканы должны хорошо читаться, документы на иностранном языке – сопровождаться переводами на русский.

    Если речь идет об оборудовании, на его производстве предприниматель должен соблюдать такие требования:

    • Контроль безопасности производства;
    • Соблюдение норм гигиены сотрудниками;
    • Обеспечение пожарной и санитарно-эпидемиологической безопасности;
    • Выявление возможных рисков и их минимизация;
    • Ведение технической документации, ее хранение в электронной и бумажной форме;
    • Обеспечение сотрудников средствами индивидуальной защиты (при необходимости);
    • Контроль качества технологического процесса, наблюдение за соблюдением требований ТР ТС.


    Похожие записи:

    Добавить комментарий

    Copyright © 2022 Вектор права. Все права защищены.
    Для любых предложений по сайту: [email protected]