В 27 октября 1995 г. приказом председателя Государственной технической комиссии при Президенте Российской Федерации было утверждено Положение о сертификации средств защиты информации по требованиям безопасности информации (№ 199)
Настоящее положение устанавливает организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации, функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации.
Положение разработано в соответствии:
с Законом Российской Федерации “О сертификации продукции и услуг”,
Законом Российской Федерации “О государственной тайне”,
Федеральным законом “Об информации, информатизации и защите информации”,
Законом Российской Федерации “О защите прав потребителей”,
Федеральным законом “Об участии в международном информационном обмене”,
Постановлением Правительства Российской Федерации “О сертификации средств защиты информации”
Порядком проведения сертификации продукции в Российской Федерации.
Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).
Целями создания системы сертификации являются:
1. реализация требований статьи 28 Закона Российской Федерации “О государственной тайне”;
2. реализация требований государственной системы защиты информации в Российской Федерации от технических разведок и от ее утечки по техническим каналам;
3 создание условий для качественного и эффективного обеспечения потребителей сертифицированной техникой защиты информации;
4. обеспечение национальной безопасности Российской Федерации в информационной сфере;
5. содействие формированию рынка защищенных информационных технологий и средств их обеспечения;
6. формирование и осуществление единой научно-технической и промышленной политики в информационной сфере с учетом современных требований по противодействию техническим разведкам и технической защите информации.
Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и т.д.
Перечень средств защиты информации, подлежащей обязательной сертификации:
1. Технические средства защиты информации от утечки по техническим каналам.
Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), автоматизированные системы управления, системы связи, приема, передачи, обработки и хранения информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорных и телевизионных устройств, средства изготовления, тиражирования документов и других технических средств обработки графической, смысловой и буквенно-цифровой информации), используемых для обработки информации ограниченного доступа.
Технические средства и системы, не обрабатывающие информацию, размещенные в помещениях, где обрабатывается (циркулирует) информация, отнесенная к категории ограниченного доступа, а также сами помещения (выделенные помещения).
2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах, осуществляемого акустическими, гидроакустическими, виброакустическими, лазерными и сейсмическими средствами.
Средства радио и кабельной связи, радиовещания и телевидения, видео- и звукозаписывающей и воспроизводящей техники и их компоненты (радиовещательная и телевизионная аппаратура, телефонная и телеграфная аппаратура, телефоны, микрофоны, громкоговорители, аппаратура видеозаписи и воспроизведения аппаратура звукозаписи и воспроизведения).
3. Средства защиты информации от перехвата электромагнитных сигналов, возникающих при функционировании объектов защиты, в т.ч. от перехвата побочных электромагнитных излучений и наводок (ПЭМИН), возникающих при работе технических средств обработки информации.
Электронно-вычислительная техника и ее компоненты. Программно-технические комплексы для автоматизации различных процессов. Средства радио- и кабельной связи, радиовещания и телевидения, включая спутниковые системы. Программно-технические комплексы для автоматизации контроля и производственных испытаний средств вычислительной техники, связи и средств защиты информации.
4. Средства защиты информации от деятельности радиационной разведки по добыванию сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты.
5. Средства защиты информации от перехвата электрических сигналов, распространяющихся в токопроводящих коммуникациях и являющихся причиной электромагнитной наводки за счет побочных электромагнитных излучений технических средств обработки информации.
6. Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты.
7. Средства защиты от подделки документов на основе оптико-химических технологий.
8. Антивирусные программы и т.д.
В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации.
Основными схемами сертификации средств защиты информации являются:
- для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации;
- для партии средств защиты информации - проведение испытаний репрезентативной выборки образцов средств на соответствие требованиям по безопасности информации;
- для серийного производства средств защиты информации - проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований.
Сертификация средств защиты информации осуществляется федеральным и аккредитованными органами по сертификации. Сертификационные испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с федеральным органом по сертификации (или органом по сертификации) допускается проведение испытаний на испытательной базе заявителя данного средства защиты информации.
Правила аккредитации определяются действующим в системе “Положением об аккредитации испытательных центров (лабораторий) и органов по сертификации средств защиты информации”.
Оплата работ по сертификации средств защиты информации производится заявителем на основании договоров между участниками сертификации.
Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственной тайны, конфиденциальных сведений, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав разработчика при испытаниях его средств защиты информации.