Сертификация средств защиты информации в России
В современном мире, когда повсеместно используется компьютерная техника, для многих организаций остро стоит вопрос защиты информации как внутренней, так и получаемой от клиентов. И главный критерий в выборе средств информационной защиты - их качество и соответствие действующим требованиям и стандартам. Для подтверждения соответствующего качества и безопасности продукции предприниматель должен пройти сертификацию средств защиты информации.
Процедура проводится Федеральной службой по техническому и экспортному контролю. Обязательную проверку проходят средства, предназначенные для защиты государственных информационных ресурсов, гос.тайны и персональных данных. Для точного определения необходимости проведения обязательной оценки обратитесь к специалистам ЦС “ЭкспертГост”.
Классификация СЗИ
Все средства для информационной защиты можно разделить на 4 большие группы:
- программные. К ним относятся программы защиты от вирусов, для идентификации пользователей, удаления временных файлов и т.д.
- Аппаратные. Сюда попадают различные устройства, которые не позволяют утечь информации (генераторы шума, подавители сигнала и т.п.), а также техника для шифрования.
- Смешанные, которые соединяют в себе функционал двух предыдущих видов.
- Организационные, которые складываются из подготовки техники и соблюдения действующих норм законодательства.
Законодательная база
Основанием для проведения процедуры оценки качества СЗИ выступают требования, указанные в постановлении Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации". Дополнительно учитываются положения нескольких законов РФ, направленных на защиту государственной тайны и урегулирования технической части проведения оценки.
Содержание документа
В сертификате указываются следующие данные:
- регистрационный номер;
- наименование продукции и отличительные её черты, чтобы можно было её однозначно идентифицировать;
- предназначение устройства/ПО;
- данные заявителя;
- информация о стандартах, на основании которых было произведено средство;
- основания для выдачи (данные протоколов испытаний, экспертных заключений и прочее);
- дата выдачи и срок действия.
Необходимые документы
Для понимания объема оценочных процедур необходима точная идентификация объекта сертификации. Для этого предприниматель должен предоставить:
- заявку с полными данными о компании-заявителе и продукции;
- стандарты, на основании которых разрабатывается СЗИ;
- паспорт на устройство;
- документацию о праве заявителя на различные манипуляции с СЗИ;
- учредительные бумаги и реквизиты.
Этапы оценки
Подтверждение качества СЗИ проходит по определенному алгоритму:
- подача заявки в центр “ЭкспертГост”.
- Предоставление документации, определение дальнейших действий.
- Заключение договора.
- Отбор образцов и направление их в аккредитованную лабораторию для экспертизы.
- По итогам анализа документации и результатов испытаний вынесение решения о присвоения разрешения.
- Маркировка товаров.
Схемы и сроки действия
Для подтверждения качества серийной продукции испытания проходит выборка образцов, так же, как и для партии средств. В случае с единичным экземпляром на экспертизу отправляется образец изделия. Документ выдается на тот срок, который был указан в заявке, но при этом срок действия разрешения не может превышать 5 лет.
Добровольная сертификация
Помимо обязательного разрешения, выдаваемого в системе сертификации ФСТЭК, предприниматель может оформить добровольный сертификат на продукт. Дополнительное подтверждение высокого уровня продукции решает несколько задач:
- повышает лояльность потребителей;
- позволяет расширить присутствие на рынке;
- дает возможность выйти на новые каналы сбыта.
Добавить веса компании в глазах партнеров позволит прохождение сертификации по стандарту ISO-27001, который содержит требования к системе менеджмента информационной безопасности (СМИБ). Полученный в итоге документ доказывает разработку и внедрение в компании СМИБ. Система делает абсолютно прозрачным работу всех отделов для высшего руководства, экономит ресурсы из-за возможных проблем с информационной безопасностью, которые могут произойти без внедрения этой системы.
Главные задачи информационной безопасности - обеспечить конфиденциальность, целостность и доступность (ограниченному количеству лиц) данных. Внедренная система ИБ позволяет учесть все возможные риски, связанные с информацией.
Специалисты центра “ЭкспертГост” с готовностью проведут для вас консультацию по возможностям добровольной проверки качества продукции или системы менеджмента организации.
Выбор центра
Сертификация средств защиты информации - длительный и сложный процесс. Специалисты “ЭкспертГост” помогут пройти вам этот процесс с минимальными временными и финансовыми затратами. Оставьте заявку на нашем сайте - специалисты свяжутся с вами.
