Положение о сертификации 55

Примечание:
Закон РФ от 10.06.1993 N 5151-1 «О сертификации продукции и услуг» утратил силу в связи с принятием Федерального закона от 27.12.2002 N 184-ФЗ «О техническом регулировании».
В соответствии с Законами Российской Федерации «О государственной тайне» и «О сертификации продукции и услуг» Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о сертификации средств защиты информации.
2. Государственной технической комиссии при Президенте Российской Федерации, Федеральному агентству правительственной связи и информации при Президенте Российской Федерации, Федеральной службе безопасности Российской Федерации и Министерству обороны Российской Федерации в пределах определенной законодательством Российской Федерации компетенции в 3-месячный срок разработать и ввести в действие соответствующие положения о системах сертификации, перечни средств защиты информации, подлежащих сертификации в конкретной системе сертификации, а также по согласованию с Министерством финансов Российской Федерации порядок оплаты работ по сертификации средств защиты информации.

Председатель Правительства
Российской Федерации
В.ЧЕРНОМЫРДИН
Утверждено
Постановлением Правительства
Российской Федерации
от 26 июня 1995 г. N 608

ПОЛОЖЕНИЕ
О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
(в ред. Постановлений Правительства РФ от 23.04.1996 N 509, от 29.03.1999 N 342, от 17.12.2004 N 808)

1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации.
(в ред. Постановлений Правительства РФ от 29.03.1999 N 342, от 17.12.2004 N 808)
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется — система сертификации).
Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются — федеральные органы по сертификации).
(в ред. Постановлений Правительства РФ от 23.04.1996 N 509, от 17.12.2004 N 808)
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.
Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее именуется — Межведомственная комиссия) <*>.
В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
———————————
<*> Функции Межведомственной комиссии по защите государственной тайны в соответствии с Указом Президента Российской Федерации от 30 марта 1994 г. N 614 временно возложены на Государственную техническую комиссию при Президенте Российской Федерации.
2. Участниками сертификации средств защиты информации являются:
федеральный орган по сертификации;
центральный орган системы сертификации (создаваемый при необходимости) — орган, возглавляющий систему сертификации однородной продукции;
органы по сертификации средств защиты информации — органы, проводящие сертификацию определенной продукции;
испытательные лаборатории — лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
изготовители — продавцы, исполнители продукции.
Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проводят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ.
Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.
3. Федеральный орган по сертификации в пределах своей компетенции:
создает системы сертификации;
осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;
устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;
определяет центральный орган для каждой системы сертификации;
выдает сертификаты и лицензии на применение знака соответствия;
ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;
осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;
рассматривает апелляции по вопросам сертификации;
представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;
устанавливает порядок признания зарубежных сертификатов;
приостанавливает или отменяет действие выданных сертификатов.
4. Центральный орган системы сертификации:
организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;
ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;
обеспечивает участников сертификации информацией о деятельности системы сертификации.
При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации.
5. Органы по сертификации средств защиты информации:
сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;
приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;
принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
формируют фонд нормативных документов, необходимых для сертификации;
представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.
6. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям.
Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.
7. Изготовители:
производят (реализуют) средства защиты информации только при наличии сертификата;
извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;
указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;
применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации;
обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации;
обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации;
прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.
Изготовители должны иметь лицензию на соответствующий вид деятельности.
8. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации.
Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости — решение о проведении и сроках предварительной проверки производства средств защиты информации.
Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.
Основными схемами проведения сертификации средств защиты информации являются:
для единичных образцов средств защиты информации — проведение испытаний этих образцов на соответствие требованиям по защите информации;
для серийного производства средств защиты информации — проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе. Срок действия сертификата не может превышать пяти лет.
9. Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствовать образцам, поставляемым потребителю (заказчику).
В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. При этом орган по сертификации средств защиты информации определяет условия, необходимые для обеспечения объективности результатов испытаний.
В случае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации средств защиты информации определяет возможность, место и условия проведения испытаний, обеспечивающие объективность их результатов.
Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.
Изготовителю должна быть предоставлена возможность ознакомиться с условиями испытаний и хранения образцов средств защиты информации в испытательной лаборатории.
При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов.
10. Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:
изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.
11. Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.
12. Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.
13. При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.
14. Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдением авторских прав изготовителя при сертификационных испытаниях средств защиты информации.

На днях коллеги обратили внимание на новый приказ ФСТЭК и ФСБ, о котором я так и не написал, поэтому я решил исправиться и подготовил свои комментарии.

Документ носит название:

Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 г. Москва «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»

Вместе с этим приказом появились информационные системы общего пользования, которые определяются как федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства и органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет.

т.е. это те системы которые используются для публикации в Интернете, например, информации о деятельности службы, отчеты, официальные письма и т.п.

1) Приказ подписан директорами ФСБ и ФСТЭК и зарегистрирован в Минюсте. Вступает в силу с завтрашнего дня. Забавно, но этот приказ должен был появиться еще год назад, этого требовал пункт 3 постановления Правительства Российской Федерации от 18 мая 2009 г. N 424.

2) Вводятся 2 класса информационных систем общего пользования. 1-й класс – это те системы, в которых нарушение целостности и доступности информации может привести к возникновению угроз безопасности Российской Федерации – что это!!!???? Что означает может привести к возникновению угроз безопасности страны? 2-й класс – это все остальные.

Как создатели документа видят процесс классификации непонятно.

3) Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям. Любят во ФСТЭКе писать такие формулировки, когда ничего не понятно. Слово «требования» исключает самостоятельность.

Нужно сказать четко, определяются операторами или должны соответствовать требованиям? Если на оператора накладываются какие-то ограничения, то какие и в каких случаях?

Ситуация абсолютно аналогичная приказу №58, только там появляется еще и формулировка «могут», например, в информационных системах 1 класса могут применяться следующие методы и способы защиты информации…

Издевательство какое-то.

Лично мое мнение, что все идет от модели угроз, если по модели угроза актуальная, то защищаем, если не актуальная, то не защищаем. Все эти «требования» на деле всего лишь «рекомендации» и перечни мер, которые «могут» применяться, а «могут» и не применяться.

4) По документу, разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования.

Снова появляется слово «нейтрализация». Зачем нейтрализовывать угрозу? Ее нужно уменьшать до приемлемого уровня.

5) Радует отсутствие в документе требования по обеспечению конфиденциальности, четко прописано, что в информационных системах общего пользования нужно обеспечивать целостность и доступность.

6) При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

На мой взгляд, появление цифры – это очень хорошо.

7) Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.

Т.е. теоретически при разработке ТЗ на новую систему должны быть прописаны требования по защите информации, но какие они должны быть и как неподготовленный заказчик может их сформулировать? Хотя этому нужно учиться и требование верное.

8 ) При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:

…. и идет внушительный список требований по защите информации для каждого из 2-х классов. Если смотреть формально, то нужно реализовывать каждый пункт без всяких моделей угроз. Как такое может быть? В одном коротеньком документе столько формальных внутренних противоречий!

9) В конце перечня требований для систем каждого класса идет фраза:

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям. – выполняться не будет!

В сухом остатке мы видим очередной спорный и де-факто невыполнимый документ регуляторов. Документ полон внутренних противоречий и страдает (или наслаждается) всеми классическими болезнями документов ФСТЭК и ФСБ.

Автор статьи: Царев Евгений

Документ показан в сокращенном демонстрационном режиме!

Получить полный доступ к документу

Вход для пользователей Стань пользователем

Доступ к документу можно получить: Для зарегистрированных пользователей:
Тел.: +7 (727) 222-21-01, e-mail: info@prg.kz, Региональные представительства

Для покупки документа sms доступом необходимо ознакомиться с условиями обслуживания
Я принимаю Условия обслуживания
Продолжить

  • Корреспонденты на фрагмент
  • Поставить закладку
  • Посмотреть закладки

Приказ Федеральной службы по техническому и экспортному контролю Российской Федерации от 3 апреля 2018 года № 55
Об утверждении Положения о системе сертификации средств защиты информации

В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818; 2013, № 26, ст. 3314; № 52, ст. 7137; 2014, № 36, ст. 4833; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 1, ст. 211; 2017, № 48, ст. 7198), пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, № 274, ст. 2579; 1996, № 18, ст. 2142; 1999, № 14, ст. 1722; 2004, № 52, ст. 5480; 2010, № 18, ст. 2238) и пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330, ПРИКАЗЫВАЮ:

1. Утвердить прилагаемое Положение о системе сертификации средств защиты информации.

2. Установить, что настоящий приказ вступает в силу с 1 августа 2018 г.