Сертификация средств защиты информации в Нарьян-Маре
Большинство компаний IT-сферы все активнее применяют в своей деятельности системы управления информационной безопасностью. В связи со столь стремительным развитием информационных технологий вопросы обеспечения ее защиты выходят на принципиально новый уровень. Действующее законодательство в отношении необходимости проведения сертификации средств защиты информации (СЗИ) было разработано и принято в 1995 году (ПП РФ №608 от 26.06.1995 г.). За последние два года было принято несколько нормативных документов, которыми актуализированы требования к СЗИ и порядок их обязательной оценки соответствия.
Перечень объектов подлежащих сертификации
Приказом ФСТЭК №55 от 03.04.2018 г. было утверждено Положение о системе сертификации СЗИ. В пунктах 2 и 3 раздела 1 указываются основные объекты, подлежащие проверке. К ним относится продукция, предназначенная для защиты информации, относящейся к государственной тайне, персональным данным.
Сертификация ФСТЭК должна осуществляться по отношению к средствам:
- предотвращения доступа к охраняемым данным иностранными техническими разведками;
- обеспечивающие безопасность ИТ-технологий, в том числе средства обработки данных;
- технической защиты информации, в том числе и те которые обеспечивают контроль эффективности таких средств.
В качестве участников сертификационной процедуры выступают производители подконтрольной продукции, органы и лаборатории, имеющие аккредитацию ФСТЭК.
Классифицировать СЗИ можно на следующие 4 группы:
- технические. Предназначены для маскировки и остановки каналов потери данных (фильтры, генераторы световых, звуковых и радиочастотных помех, блокираторы передачи информации, сигнализация);
- программные. Используются для шифрования, криптографии, контроля доступа, идентификации пользователя (сетевые экраны, VPN, антивирусы, криптосистемы);
- смешанные. Включают признаки первых двух видов;
- организационные. Обеспечивают целевое использование и эффективность применения первых двух видов СЗИ (защита помещений для ограничения доступа, скрытая прокладка кабеля, разработка технической и организационной документации, правил и положений работы).
Средства защиты информации также разделяются по классам доверия. Всего их существует шесть уровней. Для ИС, обеспечивающих защиту особо важных данных (например, государственная тайна), используют первые три уровня. Остальные применяют в государственных информационных системах и системах, использующих персональные данные.
Кто может выступать заявителем?
Любое ответственное предприятие являющееся разработчиком или поставщиком СЗИ независимо от формы собственности, размера, применяемых технологий, может сертифицировать используемые средства защиты информации. Также предприятия могут внедрять и сертифицировать системы менеджмента информационной безопасности по стандарту ГОСТ Р 27001.
Схемы оценки
В отличие от привычного многообразия схем добровольной сертификации, например, в рамках системы ГОСТ Р, положением о системе сертификации СЗИ предусматривается лишь три схемы оценки: для единичного изделия, для партии продукции и для серийного производства.
Единичный образец сам подлежит испытаниям, для оценки партии товаров испытания проводят в отношении выборки нескольких образцов, для серийного выпуска также отбирают несколько образцов, как и в случае с испытаниями партии.
Также проверяется организация техподдержки продукта его изготовителем. Дополнительно проверяется организация серийного производства при применении этой схемы.
Как проходит сертификация?
Сертификационная процедура проходит по стандартному алгоритму и состоит из таких основных этапов:
- обращение компании в центр «Союз Качества»;
- идентификация объекта оценки, анализ законодательства;
- проверка представленных документов;
- проведение испытаний в аккредитованной лаборатории (при необходимости);
- заполнение бланка сертификата и выдача его заявителю.
Какие данные необходимо подготовить?
Заявителю потребуется перед обращением в центр подготовить следующие документы:
- письменная заявка;
- описание объекта оценки соответствия;
- копии техдокументации (ГОСТы, ТУ, инструкции, рекомендации);
- ОГРН и ИНН;
- выписка из ЕГРИП или ЕГРЮЛ;
- для импортируемой продукции — договор поставки, договор уполномоченного представителя, инвойс.
В зависимости от вида и типа объекта сертификации могут потребоваться и другие сведения.
Какие преимущества дает добровольная сертификация?
По окончании обязательной проверки предприниматели также могут пройти добровольную сертификацию продукции или внедренной системы менеджмента в рамках действующего в России законодательства.
Дополнительные добровольные документы выгодно позиционирует компанию на рынке, повышают ее статус и деловую репутацию, стимулируют уровень потребительского спроса за счет роста доверия к качеству продукции, помогают выиграть тендеры в рамках госзакупок.
Как получить скидку?
Центр сертификации «Союз Качества» работает в привычном режиме и в данный момент предлагает помощь в оформлении необходимой документации в дистанционном формате. Учитывая сложность экономического положения многих предпринимателей, мы предоставляем скидку даже новым клиентам при обращении онлайн! Для этого нужно просто заполнить заявку на сайте нашего центра.