Основы информационного права России
Шрифт:
Государственная аттестация руководителей предприятий осуществляется органами, уполномоченными вести лицензионную деятельность, а также органами, руководители которых наделены полномочиями по отнесению к государственной тайне сведений относительно подведомственных предприятий. Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий разрабатывает Межведомственная комиссия по защите государственной тайны.
Особый порядок организации и проведения экспертиз установлен в отношении предприятий, учреждений и организаций, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, предназначенных для эксплуатации в российских загранучреждениях, а также осуществлением в них мероприятий или оказанием услуг по защите государственной
§ 5. Сертификация средств защиты информации
Средства защиты информации, находящейся в режиме государственной тайны, должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Согласно ст. 28 Закона РФ «О государственной тайне» организация сертификации средств защиты информации возлагается на Гостехкомиссию РФ, ФСБ РФ, ФАПСИ, Минобороны РФ в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ. В развитии Закона РФ «О государственной тайне» Постановлением Правительства РФ от 26 июня 1995 г. № 608 утверждено Положение о сертификации средств защиты информации [196] . Данное Положение устанавливает общий порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Согласно Положению средствами защиты информации являются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. Система сертификации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам. Системы сертификации создаются Гостехкомиссией РФ, ФАПСИ, ФСБ РФ, Минобороны РФ, СВР РФ. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией по защите государственной тайны положения об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
196
СЗ РФ. 1995 № 27. Ст. 2579; 1996. № 18. Ст. 2142.
Так, ФСБ РФ создана система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ).
Основные цели создания, организационная структура системы сертификации СЗИ-ГТ, порядок проведения сертификации этих средств, порядок регистрации сертифицированных средств, а также порядок проведения инспекционного контроля за сертифицированными средствами установлены Положением о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утвержденным приказом ФСБ РФ от 13 ноября 1999 г. № 564 [197] .
197
Сумин А. А. Комментарий к Закону РФ «О государственной тайне». С. 180–199.
Основными целями создания данной системы сертификации являются:
– обеспечение национальной безопасности в сфере информации;
– формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом требований системы защиты государственной тайны;
– содействие формированию рынка
защищенных информационных технологией и средств их обеспечения;– регулирование и контроль разработки, а также последующего производства средств защиты информации;
– содействие потребителям в компетентном выборе средств защиты информации;
– защита потребителя от недобросовестности изготовителя (продавца, исполнителя);
– подтверждение показателей качества продукции, заявленных изготовителями.
Органы по сертификации системы СЗИ-ГТ проводят обязательную сертификацию средств защиты информации, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства. Номенклатура СЗИ-ГТ разрабатывается ФСБ РФ на основании видов средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ, и утверждается по согласованию с Межведомственной комиссией по защите государственной тайны.
По инициативе разработчика, изготовителя или потребителя может проводиться добровольная сертификация средств защиты информации, не предназначенных для работы со сведениями, составляющими государственную тайну.
Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся в аккредитованных испытательных центрах или лабораториях. Признание сертификатов соответствия на средства защиты информации, выданных другими системами сертификации, осуществляется в порядке, определяемом ФСБ РФ и Межведомственной комиссией по защите государственной тайны.
Организационную структуру данной системы сертификации образуют:
– ФСБ РФ (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации);
– центральный орган системы сертификации (создается при необходимости);
– органы по сертификации СЗИ-ГТ;
– испытательные центры (лаборатории);
– учебно-методический центр;
– заявители (разработчики, изготовители, продавцы, потребители СЗИ-ГТ).
ФСБ РФ в пределах своей компетенции осуществляет, в частности, функции по:
– созданию системы сертификации и установлению правил проведения сертификации;
– представлению на государственную регистрацию в Госстандарт РФ системы сертификации СЗИ-ГТ и ее знаки соответствия;
– организации функционирования системы сертификации;
– определению номенклатуры СЗИ-ГТ;
– установлению правил аккредитации и выдачи лицензий на проведение работ по сертификации;
– утверждению нормативных документов, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методических документов по проведению сертификационных испытаний.
– ведению государственного реестра сертифицированных средств защиты информации, аккредитованных в системе сертификации СЗИ-ГТ, органов по сертификации и испытательных центров (лабораторий), других участников сертификации, а также выданных и аннулированных сертификатов соответствия и лицензий на применение знака соответствия.
Органы по сертификации СЗИ-ГТ в пределах установленной области аккредитации, в частности:
– проводят идентификацию средств защиты информации;
– определяют схему сертификации конкретных средств защиты;
– разрабатывают предложения по номенклатуре СЗИ-ГТ;
– оформляют экспертное заключение по сертификации СЗИ-ГТ, сертификаты соответствия и лицензии на применение знака соответствия и представляют их в ФСБ РФ для регистрации в государственном реестре;
– выдают сертификаты соответствия и лицензии на применение знака соответствия;
– представляют заявителю перечень испытательных центров (лабораторий), в которых могут проводиться испытания конкретного СЗИ-ГТ;
– приостанавливают либо отменяют действие выданных сертификатов соответствия и лицензий на применение знака соответствия.
Испытательные центры (лаборатории) в пределах установленной области аккредитации, в частности:
– разрабатывают, утверждают программы и методики проведения сертификационных испытаний;
– осуществляют отбор образцов СЗИ-ГТ для проведения сертификационных испытаний;
– осуществляют сертификационные и инспекционные испытания СЗИ-ГТ, оформляют технические заключения и протоколы сертификационных испытаний;
– обеспечивают сохранность образцов СЗИ-ГТ и конфиденциальность информации.