Организационную структуру системы сертификации образуют:
федеральный орган по сертификации средств защиты информации (Гостехкомиссия России);
центральный орган системы сертификации средств защиты информации;
органы по сертификации средств защиты информации;
испытательные центры (лаборатории);
заявители.
Федеральный орган по сертификации средств защиты информации в пределах своей компетенции осуществляет следующие функции:
создает и совершенствует систему сертификации;
определяет перечень средств защиты информации, подлежащих обязательной сертификации;
утверждает нормативные документы, на соответствие требованиям которых проводится сертификация средств защиты информации.
представляет на государственную регистрацию в Госстандарт России и Минюст России систему сертификации и знак соответствия;
определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;
устанавливает правила аккредитации органов по сертификации.
организует и финансирует разработку нормативных и методических документов системы сертификации средств защиты информации по требованиям безопасности информации;
рассматривает заявки на сертификацию, принимает по ним решения.
выдает сертификаты и лицензии на применение знака соответствия;
ведет государственный реестр участников и объектов сертификации;
рассматривает апелляции по вопросам сертификации;
организует периодическую публикацию информации о сертификации;
приостанавливает, продлевает, либо отменяет действие выданных сертификатов.
Федеральный орган по сертификации может передавать некоторые из своих функций центральному органу системы сертификации или органам по сертификации.
Центральный орган системы сертификации средств защиты информации:
координирует деятельность органов по сертификации и испытательных центров (лабораторий), входящих в систему;
разрабатывает предложения по номенклатуре средств защиты информации, сертифицируемых в системе сертификации, и представляет их в федеральный орган по сертификации;
участвует в работах по совершенствованию фонда нормативных документов.
участвует в рассмотрении апелляций
участвует в аккредитации органов по сертификации,
ведет учет входящих в систему органов по сертификации, испытательных центров (лабораторий),
обеспечивает участников сертификации информацией о деятельности системы и готовит необходимые материалы для опубликования.
Органы по сертификации средств защиты информации в пределах установленной области аккредитации:
участвуют в определении схемы проведения сертификации средств защиты информации с учетом предложений заявителя;
уточняют требования, на соответствие которым проводятся сертификационные испытания;
рекомендуют заявителю испытательный центр (лабораторию);
утверждают программы и методики проведения сертификационных испытаний;
проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний;
оформляют экспертное заключение по сертификации средств защиты информации и представляют их в федеральный орган по сертификации;
организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации;
участвуют в аккредитации испытательных центров (лабораторий) и органов по аттестации объектов информатизации;
организуют инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации и участвуют в инспекционном контроле за деятельностью испытательных центров (лабораторий);
хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации;
ходатайствуют перед федеральным органом по сертификации о приостановке или отмене действия выданных сертификатов;
формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке;
представляют заявителю необходимую информацию по сертификации.
Испытательные центры (лаборатории) в пределах установленной области аккредитации:
осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;
разрабатывают программы и методики сертификационных испытаний, осуществляют сертификационные испытания средств защиты информации, оформляют протоколы сертификационных испытаний и технические заключения;
маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;
участвуют в аттестации производства сертифицируемых средств защиты информации.
Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования.
Заявители:
обеспечивают соответствие средств защиты информации требованиям нормативных документов в системе сертификации;
осуществляют подготовку производства и принимают меры для обеспечения стабильности характеристик сертифицируемых средств защиты информации;
применяют сертификат, руководствуясь законодательными актами Российской Федерации и правилами системы сертификации;
обеспечивают доступ в организацию, к технической и технологической документации, технологическим процессам, местам хранения сертифицированной продукции должностных лиц органов, осуществляющих государственный контроль и надзор, инспекционный контроль за сертифицированными средствами защиты информации;
при обнаружении несоответствия сертифицированных средств защиты информации требованиям нормативных документов осуществляют доработку этих средств и представляют их на сертификацию.
Процедура сертификации и контроля
1. Подача и рассмотрение заявки на проведение сертификации средств защиты информации.
Заявитель для получения сертификата направляет в федеральный орган по сертификации заявку на проведение сертификации. Заявка оформляется на бланке заявителя и заверяется печатью.
Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решения по заявке на проведение сертификации.
После получения решения заявитель обязан представить в испытательный центр (лабораторию) средства защиты информации в комплектации, согласно техническим условиям, или формуляру на средство защиты, а также комплект необходимой технической и эксплуатационной документации на это средство в соответствии с ЕСКД или ЕСПД.
2. Сертификационные испытания средств защиты информации и аттестация их производства.
Сертификационные испытания средств защиты информации проводятся в испытательных центрах (лабораториях) на образцах.
Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов.
В случае отсутствия на момент сертификации испытательных центров (лабораторий) с соответствующей областью аккредитации федеральный орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.
Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией).
По результатам испытаний оформляются протоколы и технические заключения, которые направляются испытательным центром (лабораторией) в орган по сертификации, а копия технического заключения - заявителю.
Сертификация средств защиты информации зарубежного производства проводится по тем же правилам, что и отечественной.
3. Экспертиза результатов сертификационных испытаний, оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия.
Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на средство защиты информации направляет в федеральный орган по сертификации.
Сроки проведения экспертизы результатов сертификационных испытаний устанавливаются договором между заявителем и органом по сертификации.
4. Оформление и выдача сертификата.
После согласования технических условий или формуляра на средства защиты информации и присвоения сертификату регистрационного номера федеральный орган по сертификации оформляет сертификат и выдает его заявителю. Срок действия сертификата - три года.
При несоответствии результатов испытаний требованиям нормативных документов федеральный орган по сертификации принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет федерального органа по сертификации для дополнительного рассмотрения материалов сертификации.
Получение изготовителем средств защиты информации сертификата дает ему право получить в федеральном органе по сертификации лицензию на применение знака соответствия.
В случае сертификации единичных образцов или партии средств защиты информации лицензия на применение знака соответствия заявителю не выдается. Маркирование знаками соответствия средств защиты информации в этом случае производится испытательной лабораторией, проводившей сертификационные испытания.
Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации.
4. Государственный контроль и надзор, инспекционный контроль за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации.
Государственный контроль и надзор осуществляет федеральный орган по сертификации.
По результатам контроля федеральный орган может приостановить или аннулировать действие сертификата и аттестата аккредитации, а орган по сертификации - ходатайствовать об этом. Решение об аннулировании действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям.
Причинами, которые могут заставить принять такое решение, являются:
изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации;
несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля;
отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации.
6. Продление сроков сертификации.
Для продления срока действия сертификата соответствия не позднее чем за три месяца до окончания срока его действия, направляет в федеральный орган по сертификации заявку.
Федеральный орган по сертификации в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение по заявке на проведение сертификации. При этом сертификация может проводиться по упрощенной схеме, а сертификационные испытания - по сокращенной программе.
Для признания зарубежного сертификата заявитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который в срок, не позднее двух месяцев после получения заявки, извещает заявителя о признании сертификата или необходимости проведения сертификационных испытаний. В случае признания зарубежного сертификата заявителю выдается сертификат установленного образца.
Приложение 1. Основные положения и структура ГОСТ Р ИСО/ МЭК 17799-2005 Информационные технологии. Информационная технология. Практические правила управления информационной безопасностью.
| Слайд 1 | 
|
| Слайд 2 | 
|
| Слайд 3 | 
|
| Слайд 4 | 
|
| Слайд 5 | 
|
| Слайд 6 | 
|
| Слайд 7 | 
|
| Слайд 8 | 
|
| Слайд 9 | 
|
| Слайд 10 | 
|
| Слайд 11 | 
|
| Слайд 12 | 
|
| Слайд 13 | 
|
| Слайд 14 | 
|
| Слайд 15 | 
|
| Слайд 16 | 
|
| Слайд 17 | 
|
| Слайд 18 | 
|
| Слайд 19 | 
|
| Слайд 20 | 
|
| Слайд 21 | 
|
| Слайд 22 | 
|
| Слайд 23 | 
|
| Слайд 24 | 
|
| Слайд 25 | 
|
| Слайд 26 | 
|
| Слайд 27 | 
|
| Слайд 28 | 
|
| Слайд 29 | 
|
| Слайд 30 | 
|
| Слайд 31 | 
|
| Слайд 32 | 
|
| Слайд 33 | 
|
| Слайд 34 | 
|
| Слайд 35 | 
|
Приложение 2. Основные положения и структураГОСТ Р ИСО/МЭК 13335 Информационные технологии. Методы и средства обеспечения безопасности
| Слайд 1 | 
|
| Слайд 2 | 
|
| Слайд 3 | 
|
| Слайд 4 | 
|
| Слайд 5 | 
|
| Слайд 6 | 
|
| Слайд 7 | 
|
| Слайд 8 | 
|
| Слайд 9 | 
|
| Слайд 10 | 
|
| Слайд 11 | 
|
| Слайд 12 | 
|
| Слайд 13 | 
|
| Слайд 14 | 
|
| Слайд 15 | 
|
| Слайд 16 | 
|
| Слайд 17 | 
|
| Слайд 18 | 
|
| Слайд 19 | 
|