Сертификация средств защиты информации доклад

Обновлено: 05.07.2024

Одной из наиболее важных составляющих национальной безопасности
РФ считается информационная безопасность РФ. Кроме того, она влияет на
безопасность национальных интересов во многих сферах жизни не только
общества, но и государства. Каждая из них включает в себя особенности
обеспечения информационной безопасности, которые связаны со спецификой
объектов обеспечения безопасности, а также степенью их незначительности в
отношении угроз информационной безопасности РФ.
Цель работы - рассмотреть систему сертификации средств защиты
информации.
Задачи исследования:
1.Изучить понятие системы сертификации средств защиты информации в
России.
2. Рассмотреть систему сертификации как основной элемент
национальной безопасности России.
3. Проанализировать структуру системы средств защиты информации в
России.
Актуальность данной темы обусловлена существованием проблемы
создания и поддержания защищенной среды информационного обмена,
реализующая определенные правила и политику безопасности.
Правовые методы обеспечения информационной безопасности в
Российской Федерации включают разработку правовых актов, регулирующих
отношения в информационной сфере, и нормативно-методических документов
для обеспечения информационной безопасности в Российской Федерации.
Основные направления этой деятельности. Внесение изменений и дополнений в
законодательство Российской Федерации, регулирующих отношения в области
информационной безопасности, с целью создания и совершенствования
системы обеспечения информационной безопасности в Российской Федерации,
устранения внутренних противоречий в федеральном законодательстве,
противоречий в связи с международными договорами.

Нет нужной работы в каталоге?

Сделайте индивидуальный заказ на нашем сервисе. Там эксперты помогают с учебой без посредников Разместите задание – сайт бесплатно отправит его исполнителя, и они предложат цены.

Цены ниже, чем в агентствах и у конкурентов

Вы работаете с экспертами напрямую. Поэтому стоимость работ приятно вас удивит

Бесплатные доработки и консультации

Исполнитель внесет нужные правки в работу по вашему требованию без доплат. Корректировки в максимально короткие сроки

Если работа вас не устроит – мы вернем 100% суммы заказа

Техподдержка 7 дней в неделю

Наши менеджеры всегда на связи и оперативно решат любую проблему

Строгий отбор экспертов

Требуются доработки?
Они включены в стоимость работы

Работы выполняют эксперты в своём деле. Они ценят свою репутацию, поэтому результат выполненной работы гарантирован

Вы можете изучить и скачать доклад-презентацию на тему Сертификация средств защиты информации. Презентация на заданную тему содержит 13 слайдов. Для просмотра воспользуйтесь проигрывателем, если материал оказался полезным для Вас - поделитесь им с друзьями с помощью социальных кнопок и добавьте наш сайт презентаций в закладки!

Система сертификации Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации. Целью аккредитации является проверка возможности выполнения работ по сертификации средств защиты информации. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

Изготовители Изготовители: производят (реализуют) средства защиты информации только при наличии сертификата; извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации; маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации; указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя; применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации; обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации; обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации; прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.

В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов [5.1]. В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов [5.1]. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации. Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации. Органы по сертификации и испытательные лаборатории несут ответственность за выполнение своих функций, обеспечение сохранности информации ограниченного доступа, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав разработчика при испытаниях его средств защиты информации.

Основными органами сертификации в области технической защиты информации являются ФСБ России и ФСТЭК России. При этом ФСБ России действует в области криптографической защиты информации, а ФСТЭК России – в области технической защиты информации некриптографическими методами. Требования по сертификации ФСБ России являются закрытыми, ознакомление с ними предполагает наличие специальных допусков, требования ФСТЭК России публикуются на официальном сайте и являются публичными. Основными органами сертификации в области технической защиты информации являются ФСБ России и ФСТЭК России. При этом ФСБ России действует в области криптографической защиты информации, а ФСТЭК России – в области технической защиты информации некриптографическими методами. Требования по сертификации ФСБ России являются закрытыми, ознакомление с ними предполагает наличие специальных допусков, требования ФСТЭК России публикуются на официальном сайте и являются публичными.

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

от 3 апреля 2018 года N 55

(с изменениями на 5 августа 2021 года)

Документ с изменениями, внесенными:

В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N 7, ст.818; 2013, N 26, ст.3314; N 52, ст.7137; 2014, N 36, ст.4833; N 44, ст.6041; 2015, N 4, ст.641; 2016, N 1, ст.211; 2017, N 48, ст.7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (Собрание законодательства Российской Федерации, 1995, N 274, ст.2579; 1996, N 18, ст.2142; 1999, N 14, ст.1722; 2004, N 52, ст.5480; 2010, N 18, ст.2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330,

2. Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.

Директор Федеральной службы

по техническому и

в Министерстве юстиции

11 мая 2018 года,

регистрационный N 51063

УТВЕРЖДЕНО

приказом ФСТЭК России

от 3 апреля 2018 года N 55

Положение о системе сертификации средств защиты информации

(с изменениями на 5 августа 2021 года)

I. Общие положения

1. Настоящее Положение разработано в соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне" (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, N 41, ст.4673; 2003, N 27, ст.2700; 2004, N 27, ст.2711; 2011, N 30, ст.4596), статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (Собрание законодательства Российской Федерации, 2002, N 52, ст.5140; 2007, N 19, ст.2293; 2011, N 49, ст.7025; 2016, N 15, ст.2066), подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" и постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения".

2. Настоящее Положение определяет состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 (далее - система сертификации ФСТЭК России), а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукции, сведения о которой составляют государственную тайну (далее - средства защиты информации), подлежащей сертификации в рамках указанной системы.

3. Сертификации в системе сертификации ФСТЭК России подлежат:

средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;

средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;

средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.

Сертификация средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России не осуществляется.

(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)

4. Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, а также техническими условиями, техническим заданием, заданием по безопасности, согласованными заявителями на сертификацию с ФСТЭК России (далее - требования по безопасности информации).

II. Система сертификации ФСТЭК России

5. Участниками системы сертификации ФСТЭК России являются:

федеральный орган по сертификации;

организации, аккредитованные ФСТЭК России в качестве органа по сертификации (далее - органы по сертификации);

организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее - испытательные лаборатории);

изготовители средств защиты информации.

6. ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации.

7. Органы по сертификации осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации требованиям по безопасности информации (далее - сертификат соответствия).

8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.

9. Изготовители разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации.

Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну.

Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.

Статья 12 Федерального закона от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2011, N 19, ст.2716; N 48, ст.6728; 2012, N 26, ст.3446; N 31, ст.4322; 2013, N 9, ст.874; N 27, ст.3477; 2014, N 30, ст.4256; N 42, ст.5615; 2015, N 1, ст.11; N 29, ст.434; N 44, ст.6047; 2016, N 1, ст.51), Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 (Собрание законодательства Российской Федерации, 2012, N 11, ст.1297; 2016, N 26, ст.4049).

10. Заявителями на осуществление сертификации являются изготовители, а также федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации.

11. Заявители должны обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации, а также осуществлять устранение недостатков и дефектов средств защиты информации, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации, информирование потребителей об обновлении программного обеспечения средств защиты информации, доведение до потребителей обновлений программного обеспечения средств защиты информации, а также изменений в эксплуатационную документацию (далее - техническая поддержка средств защиты информации).

12. Сертификация средств защиты информации осуществляется по следующим схемам:

для единичного образца средства защиты информации - проведение испытаний образца средства защиты информации и проверки организации его технической поддержки;

для партии средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его технической поддержки;

для серийного производства средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его производства и технической поддержки.

Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации.

Сертификация серийного производства средства защиты информации организуется заявителем, осуществляющим разработку и (или) производство средства защиты информации.

13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.

14. Срок действия сертификата соответствия не может превышать 5 лет.

Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.

Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.

(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)

Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.

(Абзац дополнительно включен с 7 ноября 2021 года приказом ФСТЭК России от 5 августа 2021 года N 121)

15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.

16. Сертификация средств защиты информации осуществляется на основании договоров, заключаемых заявителем с испытательной лабораторией и органом по сертификации.

Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.

Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:

• Защиту конфиденциальной информации строго определенного уровня.
• Возможность для потребителей выбирать качественные и эффективные средства защиты информации.
• Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.

Зачем нужна сертификация ФСТЭК?

Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.

Сферы деятельности с обязательной сертификацией средств защиты информации:

• Государственные информационные системы (ГИС).
• Автоматизированные системы управления технологическим процессом (АСУ ТП).
• Персональные данные (ЗПДн).
• Критическая информационная инфраструктура (КИИ).
• Государственная тайна (ЗГТ).
• Конфиденциальная информация (служебная информация).

Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.

Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.

Отличия сертифицированных версий от версий общего пользования

Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.

У сертифицированных версий продуктов есть свои особенности:

1. Их непросто обновлять. Сертификация продукта занимает от 0,5 до 1 года. И обычно ее делают на версии продуктов, которые уже отлажены, проверены на практике, имеют достаточное количество накопленных обновлений. Таким образом, сертифицированные версии запаздывают по сравнению с версиями общего пользования.
2. У сертифицированной версии могут быть дополнительные ограничения, связанные с определенным уровнем защищенности или классом защиты. Если мы говорим про ОС и офисные продукты, то в версии с сертификацией ФСТЭК могут быть закрыты некоторые функции и опции. Особенно, если есть сертификат на отсутствие недекларированных возможностей.

Когда можно покупать решения общего пользования, а когда нужны сертифицированные?

В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.

Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?

При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:

• Их установка не требует замены пакетов, входящих в состав сертифицированного дистрибутива.
• Они не имеют отношения к средствам защиты информации.
• Они могут работать в замкнутой программной среде.

Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.

В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.

Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?

Есть два варианта дальнейшего развития событий:

1. Приобретение сертифицированной версии продукта, возможно, со скидкой производителя, если предыдущая версия принадлежит тому же разработчику. В этом случае с большой вероятностью придется сделать даунгрейд – откат решения до предыдущей сертифицированной версии.
2. Можно не менять решение, а приобрести сертифицированные наложенные программные или программно-аппаратные средства, в зависимости от того, какую подсистему нужно закрыть.

Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?

Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.

Чем может помочь компания Softline?

• В ряде случаев поставщики сертифицированных решений также должны обладать соответствующими лицензиями. У нас есть все необходимые статусы для поставки широкого круга сертифицированных продуктов и оказания услуг по их внедрению.
• У нас большая экспертиза в вопросе поставок сертифицированных решений и ведется сотрудничество с огромным количеством вендоров. Мы всегда сможем квалифицированно определить, в каком случае нужна сертифицированная, а в каком – несертифицированная версия продуктов, а затем выбрать оптимальный вариант.

Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков

Читайте также:

  
• Дмитрий ананьевич петров туьунан доклад
  
• Входные ворота для инфекции доклад
  
• Голубое озеро доклад 4 класс
  
• Немецкая кухня доклад 6 класс
  
• Доклад о человеке посвятившем свою жизнь людям