Аттестация средств защиты информации – комплекс мер, направленных на подтверждение соответствия средств защиты нормам. Чаще такую процедуру называют сертификацией. К средствам защиты информации (СЗИ) относятся программные, технические, программно-технические средства, предназначенные для защиты информации.
Порядок проведения сертификации СЗИ
Правила осуществления аттестации СЗИ содержатся в «Положении о сертификации средств защиты информации» №55 от 03.04.2018 г.
В процессе участвуют предприятие, аккредитованное ФСТЭК как орган по сертификации, и предприятие, аккредитованное ФСТЭК как испытательная лаборатория.
Перед проведением аттестации необходимо определить тип СЗИ и требования, приготовить документацию на СЗИ. Затем нужно выбрать орган по сертификации и согласовать с ним предстоящую процедуру.
Сама сертификация осуществляется в следующем порядке:
- Подача заявки в ФСТЭК. В заявке указывается название СЗИ, его назначение и тип, ФИО руководителя, ФИО ответственного за сертификацию, наименование и адрес разработчика СЗИ и реквизиты его лицензии, название привлеченной лаборатории. Также нужно перечислить документы, которые диктуют нормы для этого СЗИ. Заявку подписывает руководитель фирмы и руководитель лаборатории. ФСТЭК рассматривает обращение в течение 30 дней. В случае недостаточности исходных данных заявку возвращают на доработку.
- Принятие решения о сертификации. Составляется документ, в котором указываются дата принятия решения, название и назначение СЗИ, название лаборатории и органа по сертификации, документы с требованиями, схема аттестации, адреса проведения испытаний. Затем заявитель должен в течение трех дней направить в ФСТЭК письмо, указав, что заключил договоры с лабораторией и органом по сертификации. Если происходит замена лаборатории, сертифицирующего органа, схемы процедуры или документов, решение нужно переоформлять.
- Сертификационные испытания. Заявитель предоставляет в оба ответственных органа задание по безопасности, паспорт СЗИ и другую имеющуюся документацию на СЗИ. В течение 45 дней происходит предварительное ознакомление с СЗИ и документацией. Если обнаружены нарушения, заявитель должен устранить их в сроки, указанные в договоре. Иначе в выдаче сертификата будет отказано. Далее разрабатывается программа сертификационных испытаний. В ней указываются сроки, методы и средства для испытаний. После согласования с заявителем программу в течение 30 дней должен утвердить орган по сертификации. При обнаружении нарушений лаборатория устраняет их за 10 дней. После отбора образца начинаются сертификационные испытания. Они включают в себя оценку соответствия характеристик СЗИ требованиям информационной безопасности и проверку технической поддержки СЗИ.
- По результатам испытаний оформляются протоколы и заключение, в котором указываются недочеты. Заявитель должен их устранить, после чего проводятся повторные испытания. Все документы, разработанные во время процедуры, направляются в орган по сертификации.
- Полученные материалы орган оценивает в течение 45 дней и готовит экспертное заключение. При положительном решении проект сертификата направляется во ФСТЭК, и через 45 дней заявитель получит искомый документ. На вынесение решения об отказе ФСТЭК требуется только 5 дней. Также ФСТЭК может отправить материалы на доработку в течение 90 дней.
Срок действия сертификата составляет максимум 5 лет. Для продления действия аттестата нужно пройти всю процедуру с начала.
После получения сертификата необходимо маркировать СЗИ знаками соответствия. Они выдаются ФСТЭК вместе с аттестатом. Если деятельность предприятия прекращается, знаки нужно вернуть в ФСТЭК.
В ряде случаев может понадобиться переоформление сертификата:
- реорганизация предприятия,
- смена названия,
- смена адреса,
- изменения в СЗИ.
Если произошли такие перемены, нужно направить заявление в ФСТЭК. При изменениях в СЗИ проводятся дополнительные испытания.
При выявлении нарушений в работе с сертифицированными СЗИ действие сертификата приостанавливается на срок до 90 дней. На это время прекращается деятельность предприятия и устраняются недочеты. В противном случае сертификат аннулируется.