Особенности сертификации средств криптографической ЗИ. Система сертификации устанавливает правила в области сертификации криптографических методов средств ЗИ. Допускается проведения сертификационных испытаний по составным частям сертифицированной системы.
Шифровальные средства связи:
Системы или комплексы, реализующие криптографические алгоритмы защиты информации.
Средства для получения секретной информации.
Системы и телекоммуникационные системы. В который защиты обеспечивается шифрование, базы данных государственных органов власти.
12. Основные функции организационных структур системы сертификации средств защиты информации (ФСТЭК РФ, центрального органа системы сертификации, органа по сертификации средств защиты информации, испытательного центра, заявителя).
Организационную структуру системы сертификации образуют:
* ФСТЭК (Федеральная служба по техническому и экспортному контролю)
* центральный орган системы сертификации средств защиты информации;
* органы по сертификации средств защиты информации;
* испытательные центры (лаборатории);
* заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).
ФСТЭК России в пределах своей компетенции осуществляет следующие функции:
* создает систему сертификации средств защиты информации и устанавливает правила проведения сертификации конкретных видов средств защиты информации в этой системе;
* организует функционирование системы сертификации средств защиты информации;
* определяет перечень средств защиты информации, подлежащих обязательной сертификации в данной системе;
* устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;
* организует и финансирует разработку нормативных и методических документов системы сертификации средств защиты информации;
* определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;
* утверждает нормативные документы по безопасности информации, на соответствие которым проводится сертификация средств защиты информации в системе, и методические документы по проведению сертификационных испытаний;
* аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ;
* ведет государственный реестр участников и объектов сертификации;
* осуществляет государственный контроль и надзор и устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными средствами защиты информации;
* рассматривает апелляции по вопросам сертификации;
* представляет на государственную регистрацию в Госстандарт России систему сертификации и знак соответствия;
* организует периодическую публикацию информации о сертификации;
* осуществляет взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации, принимает решение о признании международных и зарубежных сертификатов;
* организует подготовку и аттестацию экспертов - аудиторов;
* выдает сертификаты и лицензии на применение знака соответствия;
* приостанавливает либо отменяют действие выданных сертификатов.
ФСТЭК России может передавать некоторые из своих функций центральному органу системы сертификации и органам по сертификации.
Центральный орган системы сертификации средств защиты информации:
* координирует деятельность органов по сертификации и испытательных центров (лабораторий), входящих в систему;
* разрабатывает предложения по номенклатуре средств защиты информации, сертифицируемых в системе и представляет их во ФСТЭК России;
* участвует в работах по совершенствованию фонда нормативных документов, на соответствие которым проводится сертификация средств защиты информации в системе, и методических документов по проведению сертификационных испытаний;
* участвует в рассмотрении апелляций по поводу действий органов по сертификации и испытательных центров (лабораторий), входящих в систему;
* участвует в аккредитации органов по сертификации и испытательных центров (лабораторий) по сертификации средств защиты информации, входящих в систему;
* ведет учет входящих в систему органов по сертификации и испытательных центров (лабораторий), выданных и аннулированных сертификатов и лицензий на применение знака соответствия, нормативных и методических документов, содержащих правила, требования, методики и рекомендации по сертификации;
* обеспечивает участников сертификации информацией о деятельности системы и готовит необходимые материалы для опубликования.
Органы по сертификации средств защиты информации в пределах установленной области аккредитации:
* определяют схему проведения сертификации конкретных средств защиты информации с учетом предложений заявителя;
* уточняют требования на соответствие которым проводятся сертификационные испытания;
* рекомендуют заявителю испытательный центр (лабораторию);
* утверждают программы и методики проведения сертификационных испытаний;
* проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний этих средств;
* оформляют экспертное заключение по сертификации средств защиты информации, проекты сертификатов и лицензий на применение знака соответствия и представляют их во ФСТЭК России;
* организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации;
* участвуют в аккредитации испытательных центров (лабораторий);
* участвуют в инспекционном контроле за стабильностью характеристик сертифицированных средств защиты информации и за деятельностью испытательных центров (лабораторий);
* хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации;
* ходатайствует перед ФСТЭК России об отмене действия выданных сертификатов;
* формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке;
* представляют заявителю необходимую информацию по сертификации.
Испытательные центры (лаборатории) в пределах установленной области аккредитации:
* осуществляют сертификационные испытания конкретных средств защиты информации, оформляют заключения и протоколы сертификационных испытаний, разрабатывают программы и методики сертификационных испытаний;
* осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;
* участвуют в предварительной проверке (аттестации) производства сертифицируемых средств защиты информации.
* Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования.
Заявители (разработчики, изготовители, поставщики, потребители средств защиты информации):
* обеспечивают соответствие средств защиты информации требованиям нормативных документов по безопасности информации;
* осуществляют подготовку производства и принимают меры для обеспечения стабильности характеристик средств защиты информации, определяющих безопасность информации;
* указывают в технической документации сведения о сертифицированном средстве защиты информации, нормативных документах, которым оно должно соответствовать, обеспечивают доведение этой информации до потребителя;
* маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;
* применяют сертификат и знак соответствия, руководствуясь законодательными актами Российской Федерации и правилами системы сертификации;
* извещают орган по сертификации и испытательный центр (лабораторию), проводивших сертификацию, о всех изменениях в технологии, конструкции (составе) сертифицированных средств защиты информации для принятия решения о необходимости проведения повторной сертификации данных средств защиты информации;
* обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих инспекционный контроль за сертифицированными средствами защиты информации;
* приостанавливают или прекращают реализацию средств защиты информации, если они не отвечают требованиям нормативных документов, а также по истечению срока действия сертификата, при приостановке его действия или отмены;
* при обнаружении несоответствия сертифицированных средств защиты информации требованиям нормативных документов осуществляют мероприятия по доработке этих средств защиты информации и проведения сертификационных испытаний.
Заявители (разработчики, изготовители, поставщики) должны иметь лицензию ФСТЭК России на соответствующий вид деятельности.
Достарыңызбен бөлісу: |