Закажите
звонок
Закрыть ✖
Выберите
Удобное время звонка
в

Нажимая на кнопку "Позвоните мне!" я даю свое согласие на обработку персональных данных и принимаю условия соглашения

СИСТЕМА ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ «ЕДИНЫЙ ЦЕНТР СЕРТИФИКАЦИИ» зарегистрирована в РОССТАНДАРТЕ
Регистрационный № РОСС RU.31172.04ЖНГ0
8 (800) 551-95-94
Звонок по России бесплатный
Москва
Санкт-Петербург
Екатеринбург
Нижний Новгород
Казань

Что нужно знать о сертификации в сфере защиты информации

Процедура сертификации в сфере защиты информации производится согласно общепринятому порядку, который регулируется специальным положением. К устройствам и программам, обязательным к сертификации, можно отнести все, что используется для защиты государственной тайны и прочих данных, а именно:

  • технические — охранные и пожарные коммуникации, видеонаблюдение, устройства управления доступом;
  • аппаратные — модули, регистры, идентифицирующие устройства, криптографические, шифровальные системы и прочие;
  • программные — антивирусы, файерволы, защита от несанкционированного доступа и другие.

Все средства, которые относятся к данным категориям, должны быть сертифицированы в соответствии со всеми нормативными актами и положениями в компетентных учреждениях. Необходимо, чтобы каждая из представленных криптографических систем была произведена в России, с соблюдением рекомендаций ФСБ. Для процедуры предусмотрены определенные стандарты, утвержденные правительством, а также Федеральными органами по сертификации.

Этапы проведения процедуры

Процедура осуществляется федеральными учреждениями, прошедшими аккредитацию. В нее включены несколько этапов, которые требуют внимательности и правильного подхода.

Подача заявления

В первую очередь требуется правильно составить и подать заявку. Рассмотрение производится Федеральным органом по сертификации (ФСТЭК). При этом у того, кто оформляет документы (разработчик, производитель, поставщик) обязательно должна быть специальная лицензия, разрешающая деятельность.

В заявлении указывается следующее:

  • название и полный адрес производителя или разработчика;
  • средства защиты информации, которые требуется сертифицировать, а также код оКП и шифр;
  • список документации и актов, по которым сертифицируется СЗИ;
  • объемы предоставленных устройств или программ;
  • пожелания относительно лаборатории для испытаний;
  • дополнительные данные или предложения.

Документ заверяется печатью. Также заявитель обязан подтвердить свое согласие на выполнение условий процедуры и готовность оплатить ее.

Важно: прежде чем указать пожелания относительно испытательной лаборатории, лучше заранее обсудить этот вопрос с выбранной организацией.

Оформление решения

Рассмотрение заявления от заявителя занимает не более месяца со дня получения. Затем производителю и испытательной лаборатории направляют решение, согласно которому будут проведены необходимые процедуры. В нем содержится определенная информация:

  • полное название и адрес производителя;
  • данные СЗИ, а также код оКП, ТУ;
  • способ сертификации защиты;
  • данные об утвержденной организации для испытаний;
  • список положений;
  • организация для заключительной экспертизы;
  • формат оплаты.

Важно: по желанию производителя возможно изменение как лаборатории, так и организации заключительной экспертизы.

Решение доставляется только курьером. Для этого необходимо записаться на прием во ФСТЭК и только потом получить документ. После этого заявителю разрешается проведение испытаний.

Договор на проведение испытаний

С учреждением заключается договор. Если этого не сделать и начать процедуру до получения решения, то появятся несоответствия в документации. Это ничего хорошего не даст, разве что приведет к увеличению сроков исполнения и изменению условий.

Важно: проект предоставляется испытательной организацией. Документ сопровождается коммерческим предложением с указанием длительности и других деталей проведения работ.

Пакет документов включает в себя следующее:

  • подписанный всеми сторонами договор;
  • подробное задание с указанием деталей;
  • протокол согласования стоимости и исполнения.

Информация обо всех исходных данных, которые требуются для испытаний, фиксируется в техническом задании.

Что необходимо при подготовке

В число исходных данных входит разработка испытаний, а также их согласование и утверждение. Ответственность за создание перечня несет испытательная лаборатория, поскольку на данном учреждении лежит задача подготовки. Обычно организация действует по определенному алгоритму:

  1. Разработка и предоставление полного перечня производителю.
  2. Создание методики необходимых процедур.
  3. Обсуждение и согласование деталей.
  4. Утверждение разработок в органе по сертификации.

От разработчика тоже требуется произвести несколько действий:

  1. Получение списка исходных данных от лаборатории.
  2. Подготовка с составлением акта между производителем и испытательным учреждением.
  3. Согласование действий.

Утверждение испытаний производится органом по сертификации сразу же после выполнения всех этапов заявителем и испытательной лабораторией.

Важно: производителю необходимо предоставить выбранной испытательной лаборатории продукцию. В данном случае средство защиты информации. Не забывайте о необходимости соответствия техническим положениям, а также ГОСТ ЕСКД или ЕСПД.

При необходимости исполнитель вправе потребовать от производителя подготовку места для проведения процедуры на своей территории или в лаборатории.

Этап испытаний

Сотрудники лаборатории выбирают предоставленные заявителем образцы, затем идентифицируют их и приступают к сертификационным испытаниям. Все действия проводятся строго по принятой программе.

Оформляется приемка места для сертификации СЗИ и акт его пригодности. В процессе работы испытательная лаборатория руководствуется постановлением Федерального органа по сертификации.

Важно: при проведении испытаний на всех этапах запрещено как-либо изменять конструкцию/структуру предоставленного объекта. Также нельзя редактировать документацию.

Если последовали изменения, то сертификационные испытания останавливаются, и все действия придется начинать заново. Это серьезно влияет на стоимость и сроки работ, а также нарушает условия действующего договора.

Производитель по желанию может изучить документацию, а также удостовериться в надлежащем хранении материалов. Все образцы после завершения работ заявитель имеет право забрать. При составлении договора лучше сразу обсудить условия на случай порчи предоставленных средств защиты информации.

Оформление и получение протоколов и заключений

По итоговым данным проведенных процедур испытательной лабораторией составляются протоколы и технические заключения. Затем организация обязана направить документы в органы по сертификации, которые осуществляют экспертизу. Заявитель получает копии.

Важно: если после проверки замечания отсутствуют, то договор между заявителем и лабораторией считается действительным, а услуги — оказанными в полной мере.

Составление договора экспертизы

Чтобы получить экспертное заключение, потребуется составление еще одного договора. На этот раз между сертифицирующим органом и испытательной лабораторией. В договоре указываются условия проведения процедуры, а также сроки, цена и определенный порядок. При необходимости документ содержит другие дополнительные данные относительно экспертизы.

Важно: нередко сертифицирующий орган формирует такой же договор с заявителем, что заранее оговаривается с лабораторией. Определенных рамок для этого не существует, органы сами решают, с кем будет заключен договор.

По вышеуказанным причинам производителю лучше заранее учесть цену, условия, сроки и остальные данные экспертизы, указанные в документах. Стандартно процедура занимает месяц.

Процесс экспертизы

Согласно составленной ранее договоренности, сертифицирующий орган обязан провести экспертизу всех документов для средств защиты информации. Все полученные данные фиксируются заключении. Действия осуществляются в следующем порядке:

  1. Получение всех данных относительно образца, в том числе результатов испытаний.
  2. Проведение тщательной экспертизы.
  3. Оформление заключения.

Все полученные документы (заключения, данные о СЗИ, результаты испытаний) необходимо предоставить во ФСТЭК. После этого принимается решение о получении сертификата.

Важно: лучше заранее обсудить проект сертификата с выбранной для испытаний СЗИ организацией.

Сертификация и отказ

ФСТЭК изучает всю полученную документацию, и после рассмотрения выносит решение о предоставлении сертификата на средство защиты информации либо отказа. Сертификат действует 3 года, иногда назначается меньший период — все зависит от вердикта Федерального органа.

Важно: отказ может последовать в том случае, если результаты испытаний отличаются от требований нормативных актов. В таком случае производитель получает заключение с указанием нарушений.

В любом случае решение Федерального органа можно оспорить через апелляционный совет. Срок рассмотрения заявления составляет месяц. Помимо заинтересованных лиц к процессу подключаются независимые эксперты.

Если сертификат средства защиты информации получен, то производитель или разработчик имеет полное право оформить лицензию, которая позволит применять знак соответствия. Но это допустимо если сертифицирован не единичный образец или партия. После прохождения всех процедур на владельца возлагаются определенные обязанности. Основная из них — это предоставление маркированных средств защиты информации.

В исключительных случаях Федеральный орган по сертификации имеет право приостановить либо вовсе аннулировать действие полученный производителем сертификат.