Автор: Странник | 41377 | 17.01.2013 11:43 |
Порядок сертификации средств защиты информации в России устанавливается "Положением о сертификации средств защиты информации" от 26 июня 1995г. Сертификация по требованиям безопасности информации представляет собой процедуру оценки соответствия характеристик продукта, услуги или системы, требованиям стандартов, федеральных законов и других нормативных документов.
Участниками процесса сертификации являются: 1.заявители – те, кто хочет получить сертификат соответствия. Заявителями могут быть продавцы продукции, исполнители продукции. 2.федеральный орган по сертификации; 3.центральный орган сертификации – орган, возглавляющий сертификацию однородной продукции (необязательный участник). 4.органы по сертификации средств защиты информации – те, кто проводит сертификацию определенной продукции. 5.испытательные лаборатории – лаборатории, проводящие сертификационные испытания определенной продукции. В России действуют 4 Федеральных органа по сертификации, но в области защиты персональных данных их два – ФСБ России и ФСТЭК России. В основные обязанности Федерального органа по сертификации входит: 1.создание системы сертификации; 2.выбор способа подтверждения соответствия средств защиты информации; 3.определение перечня средств защиты, для которых необходима сертификация; 4.установление правил аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации, испытательных лабораторий и проведение соответствующих аккредитаций; 5.выдача сертификатов и лицензий на применение знака соответствия; 6.ведение реестра сертифицированных средств и участников сертификации; 7.осуществление контроля и надзора за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации; 8.рассмотрение апелляции по вопросам сертификации; 9.периодическая публикация информации о сертификации; 10.организация подготовки и аттестации экспертов-аудиторов; 11.приостановление, продление или отмена действия выданных сертификатов. Органы сертификации: 1.участвуют в определении схемы проведения сертификации средств защиты информации с учетом предложений заявителя; 2.уточняют требования, на соответствие которым проводятся сертификационные испытания; 3.рекомендуют заявителю испытательный центр (лабораторию); 4.утверждают программы и методики проведения сертификационных испытаний; 5.проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний; 6.оформляют экспертное заключение по сертификации средств защиты информации и представляют их в федеральный орган по сертификации; 7.организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации; 8.участвуют в аккредитации испытательных центров (лабораторий) и органов по аттестации объектов информатизации; 9.организуют инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации и участвуют в инспекционном контроле за деятельностью испытательных центров (лабораторий); 10.хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации; 11.ходатайствуют перед федеральным органом по сертификации о приостановке или отмене действия выданных сертификатов; 12.формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке; 13.представляют заявителю необходимую информацию по сертификации. Испытательные центры (лаборатории) в пределах установленной области аккредитации: 1.осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний; 2.разрабатывают программы и методики сертификационных испытаний, осуществляют сертификационные испытания средств защиты информации, оформляют протоколы сертификационных испытаний и технические заключения; 3.маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации; 4.участвуют в аттестации производства сертифицируемых средств защиты информации[29]. Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную проверку средств измерений и аттестацию испытательного оборудования. Органы сертификации средств защиты информации и испытательные лаборатории проходят процедуру аккредитации на право проведения работ по сертификации, в ходе которой федеральный орган по сертификации проверяет их способность на проведение данных работ и выдает разрешение. Сертификация проводится на материально-технической базе аккредитованных испытательных лабораторий. В отдельных случаях возможно проведение испытаний на базе заявителя при надлежащем контроле со стороны органа сертификации. Изготовители обязаны извещать орган по сертификации, к |
Автор: Странник | 41378 | 17.01.2013 11:45 |
Изготовители обязаны извещать орган по сертификации, который выдал сертификат на их продукцию, об изменениях в технологии изготовления или составе сертифицированного средства защиты информации.
Процедура сертификации включает: 1.подачу и рассмотрение заявки на проведение сертификации (продления срока действия) средства защиты информации в Федеральный орган по сертификации. Заявка оформляется на бланке заявителя и заверяется печатью. Федеральный орган назначает орган по сертификации и испытательную лабораторию, после чего заявитель отправляет туда сертифицируемое средство защиты информации. 2.сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства. Сроки проведения испытаний устанавливаются на договорной основе между заявителем и лабораторией. По результатам испытаний оформляется заключение, которое отправляется в орган по сертификации и заявителю. 3.экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия. На основании заключения испытательной лаборатории орган сертификации делает заключение и отправляет его в Федеральный орган по сертификации. После присвоения сертификату регистрационного номера, его получает заявитель. Срок действия сертификата – 3 года. 4.осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации. По результатам контроля Федеральный орган по сертификации может приостановить или аннулировать сертификат в следующих случаях: изменения на законодательном уровне, касающиеся требований к средствам защиты информации, методам испытаний и контроля; изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества; невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации; несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля; отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации |
Автор: malotavr | 41381 | 17.01.2013 12:56 |
Это все понятно, а лицензия на разработку СЗИ откуда взялась-то? :)
|
Автор: Странник | 41386 | 17.01.2013 18:57 |
- Заявителем не может быть кто угодно.
- Лицензия на производство средств защиты информации. - Российские интеграторы имеют лицензию на деятельность по технической защите (см. пункты лицензии) |
Автор: malotavr | 41391 | 17.01.2013 19:51 |
> Заявителем не может быть кто угодно.
> Лицензия на производство средств защиты информации. > Российские интеграторы имеют лицензию на деятельность по технической защите (см. пункты лицензии) Это уже даже не троллинг :) Странник, будьте любезны, откройте реестр сертифицированных СЗИ и найдите в нем сертификат №1276/1. НДВ 4, производство. Заявитель ООО "ИБМ Восточная Европа/Азия". Не является ни разработчиком, ни правообладателем, ни продавцом, лицензии ФСТЭК на производство СЗИ не имеет. Хотите сказать, что этот сертификат нам с вами привиделся? Таких в реестре десятки.. Изготовитель (штамповщик дистрибутивов и наклейщик ССЗ) - да, он появляется в случае сертификации производства и таки должен иметь лицензию на производство СЗИ. ИБМ поручает такую штамповку одному из лицензиатов - например, ВНИИНС Соломатина. Если вы заявляетесь на сертификацию единичного образца или серии, никакого производства у вас нет, и лицензия вообще не нужна. |
Автор: Странник | 41402 | 17.01.2013 21:53 |
Ответ на Ваш вопрос в Вашем комментарии.
Насчет реестра - преувеличиваете. Приведенное ООО - 100 % дочка IBM, таким образом - правообладатель. Трудно спорить, когда с одной стороны как правило инженер (специалист по ЗИ) - с другой...., ну скажем так - административный работник. Подходы к проблеме разные и цели разные. У Вас - выполнить требования НМД и не выполнять, если можно найти повод или то что не прописано в НМД. У меня - выявить риски, найти утечку и доказать вину. |
Автор: malotavr | 41403 | 17.01.2013 22:57 |
> Приведенное ООО - 100 % дочка IBM, таким образом - правообладатель
:) Юридически ИБМ ВЕА не является правообладателем сертифицированного софта IBM. Знаю достоверно, так как участвовал в переговорах с ними, когда они выбирали, в какой лаборатории сертифицироваться (мы были одним из кандидатов). Поэтому и привел их в качестве примера :) > У Вас - выполнить требования Поэтому я и попросил вас указать эти требования. Насчет требования о наличии лицензии у изготовителя у нас с вами разногласий нет, а вот с требованием о наличии лицензии у заявителя я в своей практике сертификации не сталкивался. Мог что-то и пропустить. |
Автор: ustav | 43808 | 20.05.2013 16:01 |
Коллеги, а можно сертифицировать ПО на НДВ-4, если отсутствует исходный код сторонних драйверов, входящих в состав ПО?
|
Автор: Роман | 54708 | 08.12.2014 11:08 |
День добрый. Как в частном порядке можно продлить сертификат на СЗИ и какие документы регламентируют соответствующую процедуру? Сам производитель, при этом, от продления сертификата на свое изделие отказался.
|
Автор: Борис | 57787 | 15.07.2015 11:58 |
Добрый день!
Просьба пояснить ситуацию: являемся разработчиком информационной системы, не являющейся как таковой средством защиты информации. Один из клиентов требует предоставить сертификат на отсутствие НДВ в системе. Правильно ли я понимаю, что подобный доступен только для сертифицированных средств защиты, а не для любых программных продуктов? |
Просмотров темы: 33989