Государственная тайна

 

Государственная аттестация руководителей  предприятий осуществляется органами, уполномоченными вести лицензионную деятельность, а также органами, руководители которых наделены полномочиями по отнесению к государственной тайне сведений относительно подведомственных предприятий. Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий разрабатывает Межведомственная комиссия по защите государственной тайны.

 

Особый порядок организации  и проведения экспертиз установлен в отношении предприятий, учреждений и организаций, связанных с использованием сведений, составляющих государственную  тайну, созданием средств защиты информации, предназначенных для эксплуатации в российских загранучреждениях, а также осуществлением в них мероприятий или оказанием услуг по защите государственной тайны. Специальные экспертизы таких предприятий организуются Комиссией Службы внешней разведки РФ по лицензированию. К работе в них привлекаются специалисты, компетентные в соответствующих областях защиты государственной тайны (режим секретности, противодействие иностранным техническим разведкам, защита информации от утечки по техническим каналам) и имеющие необходимую форму допуска.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6. СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

 

 

Средства защиты информации, находящейся  в режиме государственной тайны, должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Согласно ст.28 Закона РФ «О государственной тайне» организация сертификации средств защиты информации возлагается на Гостехкомиссию РФ, ФСБ РФ, ФАПСИ, Минобороны РФ в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ. В развитии Закона РФ «О государственной тайне» Постановлением Правительства РФ от 26 июня 1995г. №608 утверждено Положение о сертификации средств защиты информации. Данное Положение устанавливает общий порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Согласно Положению средствами защиты информации являются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. Система сертификации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам. Системы сертификации создаются Гостехкомиссией РФ, ФАПСИ, ФСБ РФ, Минобороны РФ, СВР РФ. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией по защите государственной тайны положения об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

 

Так, ФСБ РФ создана система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ).

 

Основные цели создания, организационная  структура системы сертификации СЗИ-ГТ, порядок проведения сертификации этих средств, порядок регистрации  сертифицированных средств, а также порядок проведения инспекционного контроля за сертифицированными средствами установлены Положением о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утвержденным приказом ФСБ РФ от 13 ноября 1999 г. № 564.

 

Основными целями создания данной системы  сертификации являются:

 

- обеспечение национальной безопасности  в сфере информации;

 

- формирование и осуществление  единой научно-технической и промышленной  политики в сфере информатизации с учетом требований системы защиты государственной тайны;

 

- содействие формированию рынка  защищенных информационных технологией  и средств их обеспечения; 

 

- регулирование и контроль разработки, а также последующего производства  средств защиты информации;

 

- содействие потребителям в  компетентном выборе средств  защиты информации;

 

- защита потребителя от недобросовестности  изготовителя (продавца, исполнителя);

 

- подтверждение показателей качества  продукции, заявленных изготовителями.

 

Органы по сертификации системы СЗИ-ГТ проводят обязательную сертификацию средств защиты информации, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства Номенклатура СЗИ-ГТ разрабатывается ФСБ РФ на основании видов средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ, и утверждается по согласованию с Межведомственной комиссией по защите государственной тайны.

 

По инициативе разработчика, изготовителя или потребителя может проводиться добровольная сертификация средств защиты информации, не предназначенных для работы со сведениями, составляющими государственную тайну.

 

Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся в аккредитованных испытательных центрах или лабораториях. Признание сертификатов соответствия на средства защиты информации, выданных другими системами сертификации, осуществляется в порядке, определяемом ФСБ РФ и Межведомственной комиссией по защите государственной тайны.

 

Организационную структуру данной системы сертификации образуют:

 

- ФСБ РФ (федеральный орган исполнительной  власти, уполномоченный проводить  работу по обязательной сертификации  средств защиты информации);

 

- центральный орган системы  сертификации (создается при необходимости);

- органы по сертификации СЗИ-ГТ;

 

- испытательные центры (лаборатории);

 

- учебно-методический центр; 

 

- заявители (разработчики, изготовители, продавцы, потребители СЗИ-ГТ).

 

ФСБ РФ в пределах своей компетенции  осуществляет, в частности, функции по:

 

- созданию системы сертификации  и установлению правил проведения  сертификации;

 

- представлению на государственную  регистрацию в Госстандарт РФ  системы сертификации СЗИ-ГТ и  ее знаки соответствия;

 

- организации функционирования системы сертификации;

 

- определению номенклатуры СЗИ-ГТ;

 

- установлению правил аккредитации  и выдачи лицензий на проведение  работ по сертификации;

 

- утверждению нормативных документов, на соответствие которым проводится  сертификация СЗИ-ГТ в системе сертификации, и методических документов по проведению сертификационных испытаний;

 

- ведению государственного реестра  сертифицированных средств защиты  информации, аккредитованных в системе  сертификации СЗИ-ГТ, органов по  сертификации и испытательных центров (лабораторий), других участников сертификации, а также выданных и аннулированных сертификатов соответствия и лицензий на применение знака соответствия.

 

Органы по сертификации СЗИ-ГТ в  пределах установленной области  аккредитации, в частности:

 

- проводят идентификацию средств  защиты информации;

 

- определяют схему сертификации  конкретных средств защиты;

 

- разрабатывают предложения по  номенклатуре СЗИ-ГТ;

 

- оформляют экспертное заключение  по сертификации СЗИ-ГТ, сертификаты  соответствия и лицензии на применение знака соответствия и представляют их в ФСБ РФ для регистрации в государственном реестре;

 

- выдают сертификаты соответствия  и лицензии на применение знака  соответствия;

 

- представляют заявителю перечень  испытательных центров (лабораторий), в которых могут проводиться испытания конкретного СЗИ-ГТ;

 

- приостанавливают либо отменяют  действие выданных сертификатов  соответствия и лицензий на  применение знака соответствия.

 

Испытательные центры (лаборатории) в  пределах установленной области аккредитации, в частности:

 

- разрабатывают, утверждают программы  и методики проведения сертификационных  испытаний; 

 

- осуществляют отбор образцов  СЗИ-ГТ для проведения сертификационных  испытаний; 

 

- осуществляют сертификационные  и инспекционные испытания СЗИ-ГТ, оформляют технические заключения и протоколы сертификационных испытаний;

 

- обеспечивают сохранность образцов  СЗИ-ГТ и конфиденциальность информации.

 

Учебно-методический центр:

 

- осуществляет подготовку, переподготовку  и повышение квалификации кадров;

 

- осуществляет подготовку и  аттестацию экспертов; 

 

- участвует в разработке и  совершенствовании нормативных  и методических документов в  системе сертификации СЗИ-ГТ.

 

Заявители (разработчики, изготовители, продавцы) должны иметь лицензию на соответствующий вид деятельности и обязаны, в частности:

 

- применять сертификат и знак  соответствия СЗИ-ГТ, руководствуясь  правилами системы сертификации;

 

- указывать в сопроводительной  технической документации сведения  о сертификате на СЗИ-ГТ, обеспечивать доведение этой информации до потребителя;

 

- -принимать меры для обеспечения  стабильности характеристик СЗИ-ГТ, определяющих безопасность информации;

 

- извещать орган по сертификации, проводивший сертификацию, обо всех  изменениях в технологии, конструкции (составе) сертифицированного СЗИ-ГТ и технической документации на него для принятия решения о необходимости проведения повторной сертификации данного СЗИ-ГТ.

 

Органы по сертификации и испытательные  центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям СЗИ-ГТ в своей области аккредитации.

 

Проведению сертификации предшествует подача заявки на сертификацию, осуществляемая заявителем. Заявка с указанием схемы  проведения сертификации, государственных  стандартов и иных нормативно-методических документов направляется в орган  по сертификации, который обязан в десятидневный срок передать копию заявки на проведение сертификации продукции в ФСБ РФ.

 

В месячный срок после получения  заявки орган по сертификации СЗИ-ГТ направляет заявителю решение на проведение сертификации, в котором  указывается перечень испытательных центров, область аккредитации которых позволяет проводить сертификационные испытания данного СЗИ-ГТ.

 

После получения решения заявитель  представляет средство защиты в испытательный  центр или (в отдельных случаях) в орган по сертификации. Сроки проведения испытаний могут быть установлены в договоре между заявителем и испытательным центром.

 

Результаты испытаний оформляются  протоколами и техническим заключением, которые направляются органу по сертификации и заявителю.

 

Орган по сертификации проводит экспертизу результатов испытаний и готовит экспертное заключение. При соответствии результатов испытаний требованиям нормативных документов данный орган оформляет сертификат соответствия и лицензию на применение знака соответствия, которые вместе с копией экспертного заключения направляет в ФСБ РФ для регистрации в государственном реестре. Срок действия сертификата соответствия устанавливается не более чем на пять лет.

 

Заявителю сертификат соответствия и  лицензия на применение знака соответствия выдаются после их регистрации в государственном реестре системы сертификации СЗИ-ГТ.

 

Инспекционный контроль за сертифицированными СЗИ-ГТ осуществляет орган по сертификации, проводивший сертификацию с привлечением в случае необходимости испытательного центра.