Сертификация средств защиты информации

Устройства, препятствующие утечке данных и обеспечивающие их сохранность от несанкционированного доступа, являются средствами защиты информации (СЗИ). Контроль за техническими характеристиками СЗИ осуществляется с помощью сертификации. Это позволяет предпринимателю своевременно устранять недостатки и несоответствия в системе управления информационной безопасностью. В результате существенно снижаются риски и расходы после возможных инцидентов, связанных с безопасностью данных.

Разновидности СЗИ

Различают несколько групп средств защиты данных:

• технические — способны маскировать и перекрывать каналы утечки информации (генераторы шума, сетевые фильтры, сканирующие радиоприемники, программы прерывания передачи сведений, пожарная сигнализация);
• программные — могут идентифицировать пользователя, зашифровывать сведения, удалять временные файлы, контролировать доступ (антивирусы, криптографические системы, межсетевые экраны, виртуальная частная сеть VPN);
• смешанные — обладают свойствами первых двух групп;
• организационные — обеспечивают подготовку помещений с компьютерами, грамотную прокладку кабельной системы, разработку руководством конкретного предприятия положений и правил работы.

Требования законодательства

Согласно Положению ФСТЭК России №55 от 3.04.2018 г., обязательной оценке соответствия подлежат:

1. программы противодействия иностранным техническим разведкам и устройства контроля эффективности СЗИ;
2. средства технической защиты важных сведений, составляющих государственную тайну;
3. устройства, обеспечивающие безопасность информационных технологий.

Сертификация импортных и отечественных СЗИ проводится по одним и тем же правилам, установленным ПП РФ №608 от 26 июня 1995 г.

По итогам испытаний присваиваются соответствующие уровни доверия. Их всего шесть. Первые три могут применяться в информационных системах, содержащих особо важные сведения — государственную тайну. Остальные уровни доверия присваиваются программам, которые могут применяться в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн).

Административная ответственность

Статья 13.12. КоАП РФ предусматривает наказание за нарушение правил защиты данных:

1. штрафные санкции в сумме до 30 т.р. (нарушение условий лицензирования, использование несертифицированных продуктов);
2. конфискация нелегальной продукции.

Преимущества добровольной сертификации

Если устройство не вошло в список для обязательной сертификации, предприниматель может пройти добровольную оценку соответствия.

Процедура позволит:

• повысить имидж предприятия;
• участвовать в государственных тендерах;
• сотрудничать с крупными заказчиками;
• увеличить оборот продукции и прибыльность бизнеса.

Схемы оценки соответствия

Выбор схемы проведения сертификации СЗИ зависит от формы изготовления продукции:

Как выглядит сертификат на средства защиты информации?

Документ включает в себя сведения о:

• наименовании и адресе заявителя;
• описании продукции, уровне доверия, области применения;
• результатах проведенных лабораторных испытаний;
• названии и реквизитах аккредитованной лаборатории;
• инспекционном контроле и маркировке;
• регистрационном номере;
• дате выдачи и сроке действия;
• подписи ответственного лица.

Период действия сертификата на средства защиты информации не может превышать пять лет.

Какие документы требуется предоставить?

В сертификационный орган заявителю необходимо предъявить следующие сведения:

• копии регистрационных документов (ИНН, ОГРН, ЕГРЮЛ, устава);
• действующая лицензия на ведение деятельности;
• подробное описание товара, его назначение, характеристики;
• имеющиеся зарубежные сертификаты (при наличии);
• технические и эксплуатационные документы на продукцию (паспорт);
• контракт на поставку для импортных средств.

Процедура сертификации

Рассмотрим основные этапы оценки соответствия:

1. подача заявки на проведение сертификации средств защиты информации предприятием-изготовителем в центр “Севтест”;
2. заключение договора на оказание услуг;
3. подготовка и предоставление заявителем необходимой информации;
4. отбор образцов продукции для исследования;
5. экспертиза товара в специализированной лаборатории и (при необходимости) аттестация производства;
6. подготовка протокола лабораторных испытаний;
7. анализ полученных результатов;
8. оформление и регистрация сертификата на право использования знака соответствия;
9. выдача готового документа заявителю;
10. маркировка СЗИ;
11. осуществление инспекционного контроля за сертифицированными товарами уполномоченным органом (центром).

Условия аннулирования сертификата

По результатам контроля действие сертификата может быть приостановлено или аннулировано, если:

• были внесены изменения в действующее законодательство касаемо требований к СЗИ, методам их испытаний;
• зафиксировано изменение технологии производства, конструкции, комплектности товара;
• установлено нарушение требований технологии, контроля и испытаний продукции;
• выявлено несоответствие сертифицированной продукции действующим стандартам;
• заявитель отказал в допуске инспекторов на производство.

Условия проведения процедуры

Центр “Севтест” предлагает услуги по сертификации СЗИ в минимальные сроки.

Мы проводим подтверждение соответствия:

1. защищенности от несанкционированного доступа;
2. отсутствия недекларированных возможностей;
3. продуктов ИТ согласно требованиям ГОСТ Р ИСО/МЭК 15408;
4. программных датчиков случайных чисел по криптографическим и инженерно-криптографическим требованиям;
5. безопасности технологии разработки и др.

Стоимость процедуры можно узнать у нашего менеджера по телефону +7 (499) 450-38-24 или с помощью формы обратной связи на нашем сайте.