Журнал "Information Security/ Информационная безопасность" #1, 2020

В начале было слово Исходя из названия цикла и названия данной публикации, начнем именно с "Системы сертификации средств защиты информации по требованиям безопас- ности информации Гостехкомиссии Рос- сии (№ РОСС RU.0001.01БИ00)" в част- ности и с сертификации в нашей стране вообще. То есть с перечисления осно- вополагающих документов и предвари- тельного изучения оных. Итак: l "О техническом регулировании", Феде- ральный закон № 184-ФЗ от 27.12.2002 (в ред. от 28.11.2018); l "О государственной тайне", Федеральный закон № 5485-1 от 21.071993; l "Об аккредитации в национальной системе аккредитации", Федеральный закон № 412-ФЗ от 28.12.2013; l "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законо- дательством Российской Федерации иной информации ограниченного досту- па, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуата- ции в загранучреждениях Российской Федерации, а также процессов ее про- ектирования (включая изыскания), про- изводства, строительства, монтажа, наладки, эксплуатации, хранения, пере- возки, реализации, утилизации и захо- ронения и о внесении изменения в поло- жение о сертификации средств защиты информации". Постановление Прави- тельства Российской Федерации от 21.04.2010 № 266; l "Об аккредитации органов по сер- тификации и испытательных лабора- торий (центров), выполняющих работы по оценке (подтверждению) соответ- ствия в отношении оборонной про- дукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведе- ний, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной инфор- мации ограниченного доступа, и про- дукции (работ, услуг), сведения о кото- рой составляют государственную тайну, а также о внесении изменений в некоторые акты Правительства Рос- сийской Федерации в части оценки соответствия указанной продукции (работ, услуг)". Постановление Пра- вительства Российской Федерации от 3.11.2014 № 1149. l "Об аккредитации в национальной системе аккредитации", Федеральный закон № 412-ФЗ от 28.12.2013. Возможно, автор и что-то упустил из общероссийских документов. Тем не менее этого вполне достаточно, чтобы утверждать следующее: 1. Понятие сертификации продукции вообще установлено на уровне феде- рального закона (№ 184-ФЗ). 2. Средства защиты информации (про- дукция, работы, услуги) относятся к про- дукции, подлежащей обязательной сер- тификации (там же). 3. Система сертификации средств защиты информации (в области ТЗИ в промышленности и на территории РФ) создается и поддерживается ФСТЭК (как центральным органом по сертифи- кации). 4. Возможно, что ФСТЭК России и не дается право (как центральному органу по сертификации, аккредитующему свои испытательные лаборатории) "…совме- щения национальным органом по аккре- дитации полномочий по аккредитации и полномочий по оценке соответствия и обеспечению единства измерений". Хотя в законе и использован термин "нацио- нальным органам аккредитации", каково формальное наименование нашего регу- лятора в системе сертификации – еще предстоит выяснить. Автор не юрист, не специалист в обла- сти государственного права, но тем не менее кое-какие юридические знания получил, и ему очевидно, что без метро- логической аттестации методик изме- рений в рассматриваемой нами области никак не обойтись. Более тщательный анализ законода- тельного обеспечения еще впереди, а пока вновь обратимся к документам. На основании перечисленных выше ФЗ и постановлений Правительства РФ были разработаны и утверждены: l Положение о сертификации средств защиты информации. Утверждено поста- новлением Правительства Российской Федерации от 26.12.1995 № 608 "О сер- тификации средств защиты информа- ции"; l Правила выполнения отдельных работ по аккредитации органов по сертифика- ции и испытательных лабораторий, выполняющих работы по оценке (под- тверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законо- дательством Российской Федерации иной информации ограниченного досту- па, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности". Утверждены при- казом ФСТЭК России от № 33 от 10.04.2015; l Приказ ФСТЭК России от 18.06.2015 № 67 "Об утверждении формы и порядка ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий"; l Положение о системе сертификации средств защиты информации. Утвер- ждено приказом ФСТЭК России от 03.04.2018 № 55. 28 • СЕРТИФИКАЦИЯ И ИЗМЕРЕНИЯ Сертификация по РОСС RU.0001.01БИ00. По закону и "по понятиям" ценка защищенности объектов информатизации – одна из важнейших задач технической защиты информации (ТЗИ). Многолетняя практика решений в этой области в нашей стране до настоящего времени идет вне сферы государственного регулирования измерений. Такая оценка важна при сертификации средств защиты и средств контроля защищенности и иных работах, так или иначе затрагивающих сферу действия Федерального Закона № 102-ФЗ от 2008 г. Именно этим вопросам, весьма непростым и исторически, и технически, и организационно, посвящен предлагаемый читателю цикл публикаций. О Андрей Кондратьев, начальник научно-технического отдела ЦБИ “МАСКОМ”