Система сертификации средств защиты информации в России — это система, выполняющая сертификацию средств информационной защиты, которая осуществляет проверку их соответствия требованиям по информационной безопасности, предписанным нормативными правовыми актами, утвержденными федеральной службой по техническому и экспортному контролю (ФСТЭК) России.
Введение
Общая система безопасности информации на объектах, связанных с информатизацией, предназначена, для того чтобы выработать объективную оценку состояния объектов, связанных с информатизаций, а также обеспечить необходимый уровень, способный гарантировать информационную безопасность объектов, задействованных в информатизации, за счет сертификации и аттестации.
Сертификацией является деятельность, призванная подтвердить соответствие средств информационной защиты необходимому набору требований безопасности информации. Этот набор требований должен определяться при помощи государственного стандарта или другой нормативной документации.
Аттестацией является совокупность организационных, а также технических мероприятий, по итогам которых должно подтвердиться, что операционная система отвечает требованиям стандартов или иной нормативной документации, определяющей безопасность информации.
Организационными документами системы сертификации средств защиты информации России является следующая документация:
- Документ, определяющий сертификацию средств, связанных с защитой данных согласно требованиям информационной безопасности.
- Документ, определяющий аккредитацию лабораторий, занимающихся различными испытаниями, по сертификации средств защиты данных в соответствии с требованиями безопасности информации.
- Документ, определяющий аттестацию объектов, связанных с информатизацией, в соответствии с требованиями безопасности данных.
Схемы сертификации бывают разными, а именно:
- Схемы, предназначенные для единичного продукта.
- Схемы, предназначенные для партии продуктов.
- Схемы, предназначенные для серийного производства.
Система сертификации средств защиты информации в России
Сертификацию в системе сертификации ФСТЭК России должны проходить:
- Совокупность средств, предназначенных, для того чтобы противодействовать зарубежной технической разведке.
- Набор средств технической информационной защиты, в том числе средства, в которые они могут быть встроены, а также средства, контролирующие эффективность технической информационной защиты.
- Совокупность средств, призванных обеспечивать безопасность информационных технологий, в том числе и защищенные средства информационной обработки.
После того как окончился срок действия сертификата соответствия, заявителям разрешается подача заявки на продление срока действия сертификата соответствия. Средство защиты информации можно применять и после окончания срока действия сертификата соответствия, если соблюдаются требования по информационной безопасности и заявитель осуществляет его техническую поддержку.
Требования о необходимости применять сертифицированные средств защиты информации следуют из восьмого пункта четырнадцатой статьи Федерального закона «Об информации, информационных технологиях и о защите информации». В этом пункте говорится, что технические средства, которые предназначены для обработки данных, содержащихся в государственных информационных системах, включая программные и технические средства, а также и средства информационной защиты, обязаны находиться в соответствии с требованиями законодательства России о техническом регулировании.
Также согласно пункту три седьмой статьи Федерального закона «О техническом регулировании» от двадцать седьмого декабря 2002-го года, следует учитывать, что оценка соответствия должна проводиться в виде государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объектов, строительство которых завершено, а также и в иных формах.
Помимо этого в соответствии с третьим пунктом девятнадцатой статьи Федерального закона «О персональных данных» от двадцать седьмого июля 2006-го года, безопасность персональных данных может быть достигнута использованием средств информационной защиты, которые прошли в необходимом порядке процедуру оценки соответствия средств информационной защиты.
На сайте Федеральной службы по техническому и экспортному контролю в разделе «Реестр сертифицированных средств защиты информации» на текущий момент зарегестрированы более одной тысячи четыреста сертифицированных средств защиты. В соответствии с восьмым пунктом «Положения о сертификации средств защиты информации», который утвержден указом Правительства России от двадцать шестого июня 1995-го года, срок действия сертификата не должен быть больше, чем пять лет.
При осуществлении выбора средств защиты информации необходимо помнить о требованиях к средствам защиты информации от утечки по техническим каналам, а именно, о требованиях:
- к средствам активной защиты информации от утечки по каналам побочных электромагнитных излучений (ПЭМИН), при учете изменений, утвержденных приказом ФСТЭК Российской Федерации от пятого февраля шестнадцатого года;
- к средствам активной акустической и вибрационной защиты акустической речевой информации, которые были утверждены приказом ФСТЭК Российской Федерации от четвертого февраля пятнадцатого года;
- к персональным электронным вычислительным машинам (ПЭВМ), которые защищены от информационной утечки по каналам ПЭМИН;
- к пассивным средствам защиты информации за счет побочных электромагнитных наводок на линии электропитания, которые были утверждены приказом ФСТЭК Российской Федерации от тридцать первого сентября пятнадцатого года;
- к средствам защиты информации от утечки за счет микрофонного эффекта, которые были утверждены в 2018 году.