Сертификация средств зашиты информации

Национальным органом по сертификации является Госстандарт РФ. Госстандартом в 1994 г. утверждены "Правила по проведению сертификации в РФ", в соответствии с которыми целями сертификации являются:

•создание условий для деятельности предприятий и предпринимателей на товарном рынке РФ и участия в международной торговли;

•содействие потребителям в компетентном выборе продукции;

•содействие экспорту и повышение конкурентоспособности продукции;

•защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

•контроль безопасности продукции для окружающей среды, жизни и имущества;

•подтверждение показателей качества продукции, заявленных изготовителями.

Сертификация средств ЗИ прежде всего подразумевает проверку их качественных характеристик для реализации основной функции - защиты информации на основании государственных стандартов и требований по безопасности информации.

Применительно к сведениям, составляющим государственную тайну, общие принципы организации сертификации средств ЗИ определены нормами статьи 28 Закона "О государственной тайне" - средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств ЗИ возлагается на Гостехкомиссию, ФАПСИ, Министерство обороны РФ в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ.

Одним из основных руководящих документов по сертификации ЗИ в настоящее время является Положение о сертификации средств ЗИ, утвержденное Постановлением Правительства РФ от 25.06.95 г. № 608, реализующим нормы Закона "О сертификации продукции и услуг".

Порядок проведения сертификации ФАПСИ основан на следующих принципах:

1.Обязанность сертификации изделий, обеспечивающих защиту ГТ. 2.Обязательность использования криптографических алгоритмов, являющихся стандартами.

3.Принятие на сертификацию только изделий от заявителей, имеющих лицензию ФАПСИ.

Таким образом, в соответствии с вышеназванными документами разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации; государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в т.ч. электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата ФАПСИ.

Кроме этого в области информационных технологий действуют системы добровольной сертификации банковских технологий (МЕКАС) и средств связи.

В ФАПСИ осуществляется следующий порядок сертификации:

1.В Центральный орган по сертификации ФАПСИ подается заявление и полный комплект технической документации.

2.Цетральный орган назначает испытательный центр (лабораторию) для проведения испытания.

З.Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром.

4. Сертификация (экспертиза материалов и подготовка документов для выдачи) осуществляется Центральным органом.

Сертификат выдается на срок до 5 лет.

Кроме указанных выше целей сертификация средств ЗИ необходима также для решения вопросов экономической безопасности предприятия в связи с постоянным ростом компьютерных преступлений (КП).

Правовой основой предупреждения КП является Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03,04.95 г.

Приведем некоторые выдержки из данного указа:

-государственным организациям и предприятиям запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата;

-запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата ФАПСИ;

-ЦБР совместно с ФАПСИ принять меры к коммерческим банкам не использующих сертифицированных ФАПСИ средств при их информационном взаимодействии с ЦБР;

-запретить деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии ФАПСИ;

-запретить ввоз на территорию России не лицензированных шифровальных средств и защищенной техники иностранного производства;

-создать при ФАПСИ Федеральный центр защиты экономической информации (для планирования комплексных программ экономической безопасности российских финансовых структур).