Автор: Пользователь скрыл имя, 23 Февраля 2011 в 16:18, реферат
Рассмотрение данной темы подразумевает под собой определенный алгоритм, который состоит из ознакомления с такими терминами как «сертификация», раскрытие понятия защиты информации для того, чтобы затем рассмотреть особенности сертификации средств защиты информации.
1. Введение. Основные положения………………………………… ….2
2. Порядок проведения сертификации средств защиты информации..4
3. Заключение…………………………………………………………….9
4. Приложение 1…………………………………………………………10
5. Приложение 2………………………………………………………...11
6. Список использованной литературы………………………………..12
Содержание.
1.
Введение. Основные положения………………………………
2. Порядок проведения сертификации средств защиты информации..4
3.
Заключение……………………………………………………
4. Приложение 1…………………………………………………………10
5. Приложение 2………………………………………………………...11
6.
Список использованной литературы………………………………..12
1. Введение. Основные положения.
Рассмотрение данной темы подразумевает под собой определенный алгоритм, который состоит из ознакомления с такими терминами как «сертификация», раскрытие понятия защиты информации для того, чтобы затем рассмотреть особенности сертификации средств защиты информации.
Согласно Положения о сертификации средств защиты информации (утв. постановлением Правительства РФ от 26 июня 1995 г. N 608) под средствами защиты информации понимаются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. Криптографические средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности РФ (ФСБ РФ).
Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации. Понятие «защита информации» определено в ст. 16 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение
защиты информации от
- соблюдение конфиденциальности
информации ограниченного
- реализацию права на доступ к информации.
Основными целями сертификации являются:
- создание условий для деятельности организаций и предпринимателей на едином товарном рынке РФ, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;
- содействие потребителям в компетентном выборе продукции; защита потребителя от недобросовестности изготовителя (продавца, исполнителя);
- контроль безопасности продукции для окружающей среды, жизни, здоровья и имущества;
- подтверждение показателей качества продукции, заявленных изготовителем.
Чтобы окончательно перейти к порядку проведения сертификации средств защиты информации, необходимо определить круг участников этого процесса. Ими являются:
- федеральный орган по сертификации;
- центральный орган системы сертификации (создаваемый при необходимости) - орган, возглавляющий систему сертификации однородной продукции;
- органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
- испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
- заявители (разработчики, изготовители, продавцы)
Определив
основные положения и понятия
процесса сертификации средств защиты
информации можно перейти к рассмотрению
основной темы – порядок проведения
такой сертификации.
2. Порядок проведения сертификации
средств
защиты информации.
Нормативное закрепление порядка проведения сертификации закреплено в Положении о сертификации средств защиты информации (утв. постановлением Правительства РФ от 26.06.1995 г. № 608).
Изготовитель
для получения сертификата
Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости - решение о проведении и сроках предварительной проверки производства средств защиты информации.
Основными схемами проведения сертификации средств защиты информации являются:
-
для единичных образцов
-
для серийного производства
Изготовителю предоставляется возможность ознакомиться с условиями испытаний и хранения образцов средств защиты информации в испытательной лаборатории.
Понятием «испытание» охватываются не только собственно испытания, когда объект подвергается каким-либо воздействиям, но и технические операции для определения характеристик продукции – измерения, анализ, органолептическую оценку.
Любые
испытания, результат которых
Результат испытаний отражается в протоколе испытаний, один экземпляр которого отдается заявителю, другой экземпляр направляется в организацию по сертификации. После положительной экспертизы результатов испытаний, принимается решение о выдаче заявителю (либо об отказы в выдаче) сертификата соответствия.
Сертификат соответствия представляет собой документ, выдаваемый в установленном порядке уполномоченным органом, которым подтверждается безопасность товаров определенной номенклатуры, работы, услуги.
При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение.
Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.
Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.
Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдением авторских прав изготовителя при сертификационных испытаниях средств защиты информации.
Что касается порядка сертификации средств защиты информации по требованиям безопасности для сведений, содержащих государственную тайну (СЗИ-ГТ), то нормативно этот порядок закреплен в Положении о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утвержденное Приказов ФСБ от 13.11.1999 № 564.
Согласно
данному положению порядок
1. Подача и рассмотрение заявки на сертификацию СЗИ-ГТ;
2. Испытания сертифицируемых СЗИ-ГТ и анализ состояния их производства;
3. Экспертиза результатов испытаний, оформление, регистрация и выдача сертификата соответствия и лицензии на право применения знака соответствия;
4. Осуществление инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными СЗИ-ГТ, информирование о результатах сертификации СЗИ-ГТ;
5. Рассмотрение апелляций.
Заявитель
для получения сертификата
Орган по сертификации СЗИ-ГТ в месячный срок после получения заявки направляет заявителю решение на проведение сертификации. В решении указывается перечень испытательных центров (лабораторий), область аккредитации которых позволяет проводить сертификационные испытания данного СЗИ-ГТ.
После получения решения заявителю необходимо представить в испытательный центр (лабораторию) или (в отдельных случаях) в орган по сертификации средство защиты информации.
Испытания сертифицируемых средств защиты информации проводятся на образцах, конструкция (состав) и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю (заказчику), по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации.
Результаты
испытаний оформляются
Орган по сертификации проводит экспертизу результатов испытаний и готовит экспертное заключение, которое утверждает его руководитель.
При соответствии результатов испытаний требованиям нормативных документов орган по сертификации оформляет сертификат соответствия и лицензию на применение знака соответствия, которые вместе с копией экспертного заключения направляет в ФСБ России для регистрации в государственном реестре.
Срок действия сертификата соответствия устанавливается не более чем на пять лет.
ФСБ России регистрирует в государственном реестре системы сертификации СЗИ-ГТ сертификат соответствия и лицензию на применение знака соответствия. Орган по сертификации выдает заявителю сертификат соответствия и лицензию на применение знака соответствия.
Получение изготовителем СЗИ-ГТ сертификата соответствия при обязательной сертификации дает ему право применения знака соответствия системы сертификации СЗИ-ГТ (приложение 1, приложение 2). При добровольной сертификации разрешение на применение знака соответствия выдается заявителю органом по сертификации на условиях договора между ними.
Инспекционный контроль за сертифицированной продукцией осуществляет орган по сертификации, проводивший сертификацию. Контроль проводится в течение всего срока действия сертификата. Контроль включает в себя испытания образцов продукции и другие проверки, необходимые для подтверждения того, что реализуемая продукция продолжает соответствовать установленным требованиям, подтвержденными при ее сертификации. При необходимости, для осуществления такого контроля, привлекается испытательный центр (лаборатория).