Сертификация на НДВ (ФСТЭК) - Форум по вопросам информационной безопасности

Порядок сертификации средств защиты информации в России устанавливается "Положением о сертификации средств защиты информации" от 26 июня 1995г. Сертификация по требованиям безопасности информации представляет собой процедуру оценки соответствия характеристик продукта, услуги или системы, требованиям стандартов, федеральных законов и других нормативных документов.


Участниками процесса сертификации являются:

1.заявители – те, кто хочет получить сертификат соответствия. Заявителями могут быть продавцы продукции, исполнители продукции.
2.федеральный орган по сертификации;
3.центральный орган сертификации – орган, возглавляющий сертификацию однородной продукции (необязательный участник).
4.органы по сертификации средств защиты информации – те, кто проводит сертификацию определенной продукции.
5.испытательные лаборатории – лаборатории, проводящие сертификационные испытания определенной продукции.


В России действуют 4 Федеральных органа по сертификации, но в области защиты персональных данных их два – ФСБ России и ФСТЭК России. В основные обязанности Федерального органа по сертификации входит:

1.создание системы сертификации;
2.выбор способа подтверждения соответствия средств защиты информации;
3.определение перечня средств защиты, для которых необходима сертификация;
4.установление правил аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации, испытательных лабораторий и проведение соответствующих аккредитаций;
5.выдача сертификатов и лицензий на применение знака соответствия;
6.ведение реестра сертифицированных средств и участников сертификации;
7.осуществление контроля и надзора за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации;
8.рассмотрение апелляции по вопросам сертификации;
9.периодическая публикация информации о сертификации;
10.организация подготовки и аттестации экспертов-аудиторов;
11.приостановление, продление или отмена действия выданных сертификатов.


Органы сертификации:

1.участвуют в определении схемы проведения сертификации средств защиты информации с учетом предложений заявителя;
2.уточняют требования, на соответствие которым проводятся сертификационные испытания;
3.рекомендуют заявителю испытательный центр (лабораторию);
4.утверждают программы и методики проведения сертификационных испытаний;
5.проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний;
6.оформляют экспертное заключение по сертификации средств защиты информации и представляют их в федеральный орган по сертификации;
7.организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации;
8.участвуют в аккредитации испытательных центров (лабораторий) и органов по аттестации объектов информатизации;
9.организуют инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации и участвуют в инспекционном контроле за деятельностью испытательных центров (лабораторий);
10.хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации;
11.ходатайствуют перед федеральным органом по сертификации о приостановке или отмене действия выданных сертификатов;
12.формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке;
13.представляют заявителю необходимую информацию по сертификации.


Испытательные центры (лаборатории) в пределах установленной области аккредитации:

1.осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;
2.разрабатывают программы и методики сертификационных испытаний, осуществляют сертификационные испытания средств защиты информации, оформляют протоколы сертификационных испытаний и технические заключения;
3.маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;
4.участвуют в аттестации производства сертифицируемых средств защиты информации[29].


Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную проверку средств измерений и аттестацию испытательного оборудования.


Органы сертификации средств защиты информации и испытательные лаборатории проходят процедуру аккредитации на право проведения работ по сертификации, в ходе которой федеральный орган по сертификации проверяет их способность на проведение данных работ и выдает разрешение.


Сертификация проводится на материально-технической базе аккредитованных испытательных лабораторий. В отдельных случаях возможно проведение испытаний на базе заявителя при надлежащем контроле со стороны органа сертификации.


Изготовители обязаны извещать орган по сертификации, к

Изготовители обязаны извещать орган по сертификации, который выдал сертификат на их продукцию, об изменениях в технологии изготовления или составе сертифицированного средства защиты информации.


Процедура сертификации включает:

1.подачу и рассмотрение заявки на проведение сертификации (продления срока действия) средства защиты информации в Федеральный орган по сертификации. Заявка оформляется на бланке заявителя и заверяется печатью. Федеральный орган назначает орган по сертификации и испытательную лабораторию, после чего заявитель отправляет туда сертифицируемое средство защиты информации.
2.сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства. Сроки проведения испытаний устанавливаются на договорной основе между заявителем и лабораторией. По результатам испытаний оформляется заключение, которое отправляется в орган по сертификации и заявителю.
3.экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия. На основании заключения испытательной лаборатории орган сертификации делает заключение и отправляет его в Федеральный орган по сертификации. После присвоения сертификату регистрационного номера, его получает заявитель. Срок действия сертификата – 3 года.
4.осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации. По результатам контроля Федеральный орган по сертификации может приостановить или аннулировать сертификат в следующих случаях: изменения на законодательном уровне, касающиеся требований к средствам защиты информации, методам испытаний и контроля;
изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации;
несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля;
отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации

Это все понятно, а лицензия на разработку СЗИ откуда взялась-то? :)

- Заявителем не может быть кто угодно.
- Лицензия на производство средств защиты информации.
- Российские интеграторы имеют лицензию на деятельность по технической защите (см. пункты лицензии)

> Заявителем не может быть кто угодно.
> Лицензия на производство средств защиты информации.
> Российские интеграторы имеют лицензию на деятельность по технической защите (см. пункты лицензии)

Это уже даже не троллинг :)

Странник, будьте любезны, откройте реестр сертифицированных СЗИ и найдите в нем сертификат №1276/1. НДВ 4, производство. Заявитель ООО "ИБМ Восточная Европа/Азия". Не является ни разработчиком, ни правообладателем, ни продавцом, лицензии ФСТЭК на производство СЗИ не имеет. Хотите сказать, что этот сертификат нам с вами привиделся? Таких в реестре десятки..

Изготовитель (штамповщик дистрибутивов и наклейщик ССЗ) - да, он появляется в случае сертификации производства и таки должен иметь лицензию на производство СЗИ. ИБМ поручает такую штамповку одному из лицензиатов - например, ВНИИНС Соломатина. Если вы заявляетесь на сертификацию единичного образца или серии, никакого производства у вас нет, и лицензия вообще не нужна.

Ответ на Ваш вопрос в Вашем комментарии.
Насчет реестра - преувеличиваете.
Приведенное ООО - 100 % дочка IBM, таким образом - правообладатель.

Трудно спорить, когда с одной стороны как правило инженер (специалист по ЗИ) - с другой...., ну скажем так - административный работник.
Подходы к проблеме разные и цели разные.
У Вас - выполнить требования НМД и не выполнять, если можно найти повод или то что не прописано в НМД.
У меня - выявить риски, найти утечку и доказать вину.

> Приведенное ООО - 100 % дочка IBM, таким образом - правообладатель

:)

Юридически ИБМ ВЕА не является правообладателем сертифицированного софта IBM. Знаю достоверно, так как участвовал в переговорах с ними, когда они выбирали, в какой лаборатории сертифицироваться (мы были одним из кандидатов). Поэтому и привел их в качестве примера :)

> У Вас - выполнить требования

Поэтому я и попросил вас указать эти требования. Насчет требования о наличии лицензии у изготовителя у нас с вами разногласий нет, а вот с требованием о наличии лицензии у заявителя я в своей практике сертификации не сталкивался. Мог что-то и пропустить.

Коллеги, а можно сертифицировать ПО на НДВ-4, если отсутствует исходный код сторонних драйверов, входящих в состав ПО?

День добрый. Как в частном порядке можно продлить сертификат на СЗИ и какие документы регламентируют соответствующую процедуру? Сам производитель, при этом, от продления сертификата на свое изделие отказался.

Добрый день!

Просьба пояснить ситуацию: являемся разработчиком информационной системы, не являющейся как таковой средством защиты информации. Один из клиентов требует предоставить сертификат на отсутствие НДВ в системе. Правильно ли я понимаю, что подобный доступен только для сертифицированных средств защиты, а не для любых программных продуктов?