Despre certificarea mijloacelor de protecție a informațiilor - acte normative legale privind utilizarea cripto -

poziție
Despre certificarea mijloacelor de protecție a informațiilor

(în ediția decretului Guvernului Federației Ruse din 23 aprilie 1996 "509)

1. Aceste regulamente stabilesc procedura de certificare a mijloacelor de protecție a informațiilor în Federația Rusă și în instituțiile sale din străinătate.

Tehnic, criptografic, software și alte mijloace de protecție a informațiilor ce constituie secret de stat, mijloacele prin care acestea sunt puse în aplicare, precum și mijloacele de monitorizare a eficienței securității informațiilor este de a proteja mass-media.

Aceste fonduri fac obiectul certificării obligatorii, care se desfășoară în cadrul sistemelor de certificare a instrumentelor de securitate a informațiilor.

Sistemul de certificare a mijloacelor de protecție a informațiilor este un set de participanți la certificare care o execută în conformitate cu normele stabilite (denumit în continuare "sistemul de certificare").

Sistemul de certificare creat de către Comisia Tehnică de Stat pe lîngă Președintele Federației Ruse, Agenția Federală pentru Comunicații Guvernului și informații ale Președintelui Federației Ruse, Serviciul Federal de Securitate al Federației Ruse. Ministerul Apărării al Federației Ruse, Serviciul de Informații Externe, autorizat să efectueze lucrări privind certificarea soluțiilor de securitate a informațiilor în cadrul competențelor definite pentru acestea prin acte legislative și normative ale Federației Ruse (în continuare - organismele de certificare federale). (în ediția decretului Guvernului Federației Ruse din 23 aprilie 1996 "509)

Certificarea mijloacelor de protecție a informațiilor se efectuează pe baza cerințelor standardelor de stat, a documentelor normative aprobate de Guvernul Federației Ruse și a organismelor federale de certificare din competența lor.

În cadrul fiecărui sistem de certificare, se elaborează și se aprobă o dispoziție privind acest sistem de certificare, care să fie convenită cu Comisia interdepartamentală, precum și o listă a mijloacelor de protecție a informațiilor care trebuie să fie certificate și cerințele pe care aceste fonduri trebuie să le îndeplinească.

2. Participanții la certificarea instrumentelor de protecție a informațiilor sunt:

• organism federal de certificare;
• autoritatea centrală a sistemului de certificare (creat, dacă este necesar) este organismul care conduce sistemul de certificare a produselor omogene;
• organisme de certificare a mijloacelor de protecție a informațiilor - organisme care certifică anumite produse;
  laboratoare de încercări - laboratoare care efectuează teste de certificare (anumite tipuri ale acestor teste) a anumitor produse;
• producatori - vanzatori, producatori de produse.

Autoritățile centrale ale sistemului de certificare, organismele de certificare de instrumente de securitate a informațiilor și a laboratoarelor de testare efectuează acreditarea pentru dreptul de a efectua lucrări privind certificarea, în care organismele de certificare federale determina posibilitatea de aceste organisme și laboratoare de certificare a soluțiilor de securitate a informațiilor, și să întocmească o permisiune oficială pentru dreptul de lucrările menționate. Acreditarea se face numai dacă organismele și laboratoarele specificate au licențe pentru activitățile relevante.

3. Organismul federal de certificare, în limitele competenței sale:

• creează sisteme de certificare;
• Efectuează o alegere a modului de recunoaștere a conformității mijloacelor de protecție a informațiilor cu cerințele documentelor standard;
• stabilește normele de acreditare a organelor centrale ale sistemelor de certificare, a organismelor de certificare a instalațiilor de protecție a informațiilor și a laboratoarelor de testare;
• definește autoritatea centrală pentru fiecare sistem de certificare;
• emite certificate sau calificări pentru utilizarea mărcii de conformitate;
• menține registrul de stat al participanților la certificare și mijloacele certificate de protecție a informațiilor;
• efectuează controlul și supravegherea de către stat asupra respectării de către participanți a certificării regulilor de certificare și a mijloacelor certificate de protecție a informațiilor, precum și stabilirea ordinii de control al inspecțiilor;
• apeluri la probleme de certificare;
• reprezintă pentru înregistrarea de stat în Comitetul Federației Ruse pentru Standardizare, Metrologie și Certificare a sistemului de certificare și o marcă de conformitate;
• stabilește procedura de recunoaștere a certificatelor străine;
• suspendă sau anulează certificatele emise.

4. Organismul central al sistemului de certificare:

• organizează activitatea de formare a sistemului de certificare și de gestionare a acestuia, coordonează activitățile organismelor de certificare și facilitățile de protecție a informațiilor și laboratoarele de testare incluse în sistemul de certificare;
• ține evidența organismelor de certificare a mijloacelor de protecție a informațiilor și a laboratoarelor de testare, a certificatelor eliberate și revocate și a licențelor de utilizare a mărcii de conformitate;
• oferă participanților la certificare informații cu privire la activitățile sistemului de certificare.

Dacă în sistemul de certificare nu există o autoritate centrală, funcțiile sale sunt îndeplinite de organismul federal de certificare.

5. Organisme de certificare a securității informațiilor:

• să certifice mijloacele de protecție a informațiilor, să elibereze certificate și licențe pentru aplicarea mărcii de conformitate prin transmiterea de copii către organismele federale de certificare și să țină evidența acestora;
• să suspende sau să anuleze valabilitatea certificatelor și a licențelor emise de acestea pentru aplicarea mărcii de conformitate;
• să ia o decizie privind recertificarea cu modificări în tehnologia de fabricație și proiectarea (compoziția) instrumentelor de certificare a informațiilor certificate;
• formează fondul documentelor de reglementare necesare certificării;
• să prezinte producătorilor, la cererea acestora, informațiile necesare în limitele competenței lor.

6. Laboratoarele de testare efectuează teste de certificare a mijloacelor de protecție a informațiilor și, pe baza rezultatelor acestora, întocmesc concluzii și protocoale, care sunt trimise organismului competent pentru certificarea mijloacelor de protecție a informațiilor și producătorilor.

Laboratoarele de testare sunt responsabile de exhaustivitatea testării instrumentelor de protecție a informațiilor și de fiabilitatea rezultatelor acestora.

• produce (pune în aplicare) mijloacele de protecție a informațiilor numai dacă există un certificat;
• să notifice organismul de certificare care a efectuat certificarea, modificările tehnologiei de fabricație și proiectarea (compoziția) instrumentelor de protecție a informațiilor certificate;
• marcați mijloacele certificate de protecție a informațiilor cu marca de conformitate în ordinea stabilită pentru acest sistem de certificare;
• să indice în documentația tehnică însoțitoare informațiile despre documentele de certificare și de reglementare cărora trebuie să le respecte mijloacele de protecție a informațiilor și să asigure, de asemenea, furnizarea acestor informații consumatorului;
• să aplice certificatul și marca de conformitate, ghidate de legislația Federației Ruse și regulile stabilite pentru acest sistem de certificare;
• asigurarea conformității mijloacelor de protecție a informațiilor cu cerințele documentelor de reglementare privind protecția informațiilor;
• să asigure executarea nestingherită a autorităților lor de către funcționari ai organismelor care efectuează certificarea și controlul mijloacelor de protecție a informațiilor certificate;
• să pună capăt implementării instrumentelor de protecție a informațiilor dacă nu îndeplinesc cerințele lor pentru documentele de reglementare sau la expirarea perioadei de valabilitate a certificatului, precum și în cazul suspendării sau anulării certificatului.

Producătorii trebuie să dețină o licență pentru activitatea relevantă.

8. Producătorul va trimite pentru a obține un certificat în organism de certificare de protecție a informațiilor înseamnă cererea de certificare, la care pot fi atașate la sistemul de certificare, standardele de stat și a altor documente de reglementare și de orientare, care trebuie să fie conforme cu cerințele de mijloace certificabile de protecție a informației.

Organismul de certificare a protecției informațiilor în termen de o lună de la primirea cererii trimite producătorului o decizie cu privire la certificare care indică schema de implementare a acesteia, testele de laborator, efectuarea de teste de securitate a informațiilor și a documentelor de reglementare, cerințele pe care trebuie să respecte protecția omologabil de informații, și, dacă este necesar - - o decizie privind desfășurarea și calendarul verificării preliminare a producției mijloacelor de securitate a informațiilor.

Pentru recunoașterea unui certificat străin de producător și să trimită o copie a cererii de recunoaștere a certificatului către organismul de certificare federal, care informează producătorul certificatului de recunoaștere sau necesitatea unor încercări de certificare într-o perioadă nu mai târziu de o lună de la primirea documentelor menționate. În cazul recunoașterii unui certificat străin, organismul federal de certificare eliberează și eliberează producătorului un certificat de conformitate cu modelul stabilit. Certificarea mijloacelor importate de protecție a informațiilor se efectuează în conformitate cu aceleași reguli ca cele interne.

Principalele scheme de certificare a instrumentelor de securitate a informațiilor sunt:

pentru eșantioane simple de mijloace de protecție a datelor - testarea acestor eșantioane pentru respectarea cerințelor de protecție a informațiilor;

pentru producerea în serie a mijloacelor de securitate a informațiilor - efectuarea testelor standard ale eșantioanelor mijloacelor de securitate a informațiilor pentru respectarea cerințelor de protecție a informațiilor și controlul ulterior al controlului asupra stabilității caracteristicilor instrumentelor de protecție a informațiilor certificate care determină îndeplinirea acestor cerințe. În plus, este posibilă pre-verificarea producției conform unui program special dezvoltat.

Valabilitatea certificatului nu poate depăși cinci ani.

9. Testele echipamentelor certificate de protecție informatică sunt efectuate pe eșantioane, tehnologia de fabricație și proiectarea (compoziția) trebuie să corespundă eșantioanelor furnizate clientului (clientului).

În anumite cazuri, după acordul cu organismul de certificare a mijloacelor de protecție a informațiilor, este permisă testarea bazei de testare a producătorului. În acest caz, organismul de certificare a mijloacelor de protecție a informațiilor determină condițiile necesare pentru a asigura obiectivitatea rezultatelor testelor.

În absența începutului certificării laboratoarelor de testare acreditate, organismul de certificare a mijloacelor de protecție a informației determină posibilitatea, locul și condițiile de testare, asigurând obiectivitatea rezultatelor acestora.

Condițiile de testare sunt stabilite de comun acord între producător și laboratorul de încercări.

Producătorului trebuie să i se ofere posibilitatea de a se familiariza cu condițiile de testare și de depozitare a eșantioanelor de echipamente de protecție a informațiilor în laboratorul de încercări.

În cazul în care rezultatele încercărilor nu sunt conforme cu cerințele documentelor de reglementare și metodologice privind protecția informațiilor, organismul de certificare a mijloacelor de protecție a informațiilor decide să refuze eliberarea unui certificat și trimite producătorului o concluzie motivată. În caz de dezacord cu refuzul de a elibera un certificat, producătorul are dreptul să aplice autorității centrale a sistemului de certificare, organismului federal de certificare sau Comisiei interdepartamentale pentru o analiză suplimentară a rezultatelor obținute în cadrul încercărilor.

10. Organismul federal de certificare și organismele de certificare a mijloacelor de protecție a informațiilor au dreptul să suspende sau să anuleze certificatul în următoarele cazuri:

• schimbarea documentelor normative și metodice privind protecția informațiilor în ceea ce privește cerințele față de instrumentele de protecție a informațiilor, metodele de testare și control;
• schimbarea tehnologiei de fabricație, proiectarea (compoziția), completitudinea instrumentelor de protecție a informațiilor și a sistemelor de control al calității;
• refuzul producătorului de a-și asigura exercitarea fără întârziere a atribuțiilor sale de către persoanele care exercită controlul și supravegherea de către stat, controlul inspecției asupra certificării și mijloacele certificate de protecție a informațiilor.

11. Procedura de plată a muncii privind certificarea obligatorie a mijloacelor de protecție a datelor este stabilită de organismul federal de certificare, în consultare cu Ministerul Finanțelor al Federației Ruse. Plata pentru certificarea mijloacelor specifice de protecție a informațiilor se efectuează pe baza contractelor încheiate între participanții la certificare.

12. Inspecția mijloacelor certificate de securitate informatizată este efectuată de organismele care au efectuat certificarea acestor instrumente de protecție a informațiilor.

13. În cazul în care apar conflicte în activitățile participanților la certificare, partea interesată poate depune o cerere la organismul de certificare pentru mijloacele de protecție a informațiilor, autoritatea centrală a sistemului de certificare, organismul federal de certificare sau Comisia interdepartamentală. Aceste organizații revizuiesc recursul în termen de o lună cu implicarea părților interesate și notifică decizia recurentului.

Articole similare

• Cunoștințe, prelegere, certificarea mijloacelor de securitate a informațiilor

• Gost r 57073-2018 mijloace biologice de protecție forestieră

• Cum protejați informațiile de pe o unitate flash de protecție a unităților amovibile, world-x

Trimiteți-le prietenilor: