Сертификация средств и систем информатизации в РФ

Сертификация  средств и систем информатизации в РФ

В соответствии с действующими законодательными и  нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях:

-обязательная  сертификация средств информатизации на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспечивающим безопасность жизни, здоровья, имущества потребителей и охрану среды обитания;

-обязательная сертификация средств защиты информации;

-добровольная сертификация функциональных параметров средств и систем информатизации, по номенклатуре и характеристикам, устанавливаемым стандартами организаций, и учитывающим различные аспекты применения

аппаратуры  и программного обеспечения.

1.Обязательная сертификация по требованиям электромагнитной совместимости и параметрам безопасности

В соответствии с действующими законодательными и  нормативными документами выполнение работ по сертификации средств информатизации в данном направлении возложено на ФА ≪Ростехрегулирование≫.

 В 1994 году Госстандарт России ввел в действие нормативный документ ≪Номенклатура продукции и услуг, подлежащих обязательной сертификации в Российской Федерации≫. Этот документ ежегодно пересматривается и уточняется с учетом

практики, условий торговли, производства и тенденций научно-технического развития.

Указанным документом к продукции, подлежащей обязательной

сертификации в рассматриваемом направлении, отнесены следующие средства информатизации:

-вычислительные машины и комплексы;

-персональные ЭВМ;

-устройства  внешней памяти, ввода-вывода и  отображения информации;

-устройства  подготовки и телеобработки данных.

Поскольку основу сертификации по параметрам безопасности составляют общие требования к оборудованию, остановимся подробнее на специфической для средств информатизации характеристике - электромагнитной совместимости.

Обеспечение электромагнитной совместимости заключается в  выполнении требований по допустимым уровням электромагнитных помех, создаваемых функционирующими средствами, и требований к помехоустойчивости технических средств при воздействии внешних электромагнитных помех.

Невыполнение  требований электромагнитной совместимости  приводит к неэффективному использованию радиочастотного спектра, являющегося хотя и нерасходуемым, но ограниченным ресурсом, к различным нарушениям в работе технических средств, а в ряде случаев и к аварийным ситуациям.

Сертификация  средств информатизации по требованиям  электромагнитной совместимости и параметрам безопасности возложена на ФА ≪Ростехрегулирование≫ и проводится органами (центрами) сертификации, аккредитованными ФА ≪Ростехрегулирование≫ в рамках Системы сертификации

ГОСТ Р.

Например, регистрационный  номер сертификата соответствия, ≪Сертификат соответствия № РОСС RU.МЕ67.В00373≫ - речь в этом случае идет именно о сертификации по требованиям электромагнитной совместимости и параметрам безопасности.

Для получения  подобного сертификата изготовитель или поставщик технических средств информатизации должен обратиться в аккредитованный ФА ≪Ростехрегулирование≫ орган сертификации, представив комплект документов, определяемый правилами сертификации. Орган сертификации организует

проведение  соответствующих испытаний (проверок) и при положительном результате испытаний выдает сертификат соответствия. В тексте сертификата указываются конкретные виды требований, по которым проведены испытания, и соответствующие им нормативные документы.

Необходимо  иметь в виду, что сертификат соответствия по требованиям электромагнитной совместимости и параметрам безопасности является необходимым, но в ряде случаев недостаточным условием полноты сертификации средств информатизации.

Это объясняется  тем, что данный сертификат соответствия практически не затрагивает функциональных характеристик объекта и соответствия их современным требованиям. Такой сертификат дает только определенную уверенность в том, что предлагаемое оборудование не создает недопустимого уровня помех и безопасно в эксплуатации. Упрощенно говоря, объект может не выполнять ряда возложенных на него, согласно имеющейся документации, функций или выполнять их некачественно, но, в полном соответствии с установленными правилами, может получить сертификат по электромагнитной

совместимости и безопасности.

2.Обязательная сертификация средств защиты информации

Законом ≪Об информации, информационных технологиях и о защите информации ≫ введено понятие документированной информации с ограниченным доступом, которая подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (то есть представляющую коммерческую, личную, служебную и другие тайны).

В соответствии с положениями  этого закона собственник информационных ресурсов, содержащих государственную тайну, вправе распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти.

Таким образом, законодательно определяется некоторая категория

информации, которая требует  определенных ограничений в ее использовании, а сама информация требует защиты.

Целями защиты информации упомянутый Закон определяет:

-предотвращение утечки, хищения, утраты, искажения, подделки

информации;

-предотвращение угроз  безопасности личности, общества, государства;

-предотвращение несанкционированных  действий по уничтожению,

модификации, искажению, копированию, блокированию информации;

-предотвращение других форм незаконного вмешательства в

информационные ресурсы  и информационные системы, обеспечение  правового режима документированной информации как объекта собственности;

-защиту конституционных  прав граждан на сохранение  личной тайны и

конфиденциальности персональных данных, имеющихся в информационных системах;

-сохранение государственной тайны, конфиденциальности

документированной информации в соответствии с законодательством;

-обеспечение прав субъектов  в информационных процессах и  при

разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Государство, владея информацией, представляющей национальное

достояние или содержащей сведения ограниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику, изыскивает специальные меры, обеспечивающие контроль ее использования и качества защиты. Одной из таких мер является сертификация средств защиты информации.

Необходимость сертификации средств защиты, применяемых при  обработке информации, составляющей государственную тайну, закреплены в Законе Российской Федерации ≪О государственной тайне≫. Сертификации подлежат защищенные технические, программно-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства

контроля эффективности  защиты. Обязательной сертификации подлежат средства, в том числе и иностранного производства, предназначенные для обработки информации с ограниченным доступом, и, прежде всего, составляющей государственную тайну, а также использующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства

их защиты. Наличие  у владельца информационной системы  сертифицированных средств обработки информации является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования.

Порядок сертификации средств защиты информации в Российской

Федерации и  ее учреждениях за рубежом установлен Положением ≪О сертификации средств защиты информации≫, утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 года № 608.

В Российской Федерации созданы  и функционируют две системы сертификации средств защиты информации:

-«Система сертификации средств защиты информации по требованиям безопасности информации≫, разработанная Гостехкомиссией России и зарегистрированная Госстандартом за № РОСС RU.0001.01БИ00;

-«Система сертификации средств криптографической защиты информации (СКЗИ)≫, разработанная ФАПСИ и зарегистрированная Госстандартом за № РОСС RU.0001.030001.

Эти системы  сертификации технических и программных средств

направлены  на защиту интересов государства  и государственного

информационного ресурса, а также интересов и  прав собственников и владельцев информации - предпринимателей и граждан России, потребителей продукции и услуг от недобросовестной работы исполнителей.

3. Добровольная сертификация по функциональным параметрам

Добровольная  сертификация применяется для средств  информатизации, не подлежащих в соответствии с законодательными актами Российской Федерации обязательной сертификации, и проводится по требованиям, на соответствие

которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации.

Добровольная  сертификация проводится для удостоверения  качества средств и систем информатизации с целью повышения их конкурентоспособности, расширения сферы использования и получения дополнительных экономических преимуществ.

В соответствии с действующим законодательством  добровольная

сертификация  средств информатизации может проводиться  как в уже упоминавшейся Системе сертификации ГОСТ Р, так и в других системах сертификации, зарегистрированных Госстандартом России в установленном порядке.

Система добровольной сертификации "РОСИНФОСЕРТ"

Система предназначена  для обеспечения сертификации средств

информационных  технологий, программных средств, баз  и банков данных, информационно-вычислительных систем и сетей.

Действие Системы  распространяется на группы однородной продукции, не подлежащей обязательной сертификации.

Следует выделить две особенности Системы «Росинфосерт».

Во-первых, система имеет ярко выраженный межотраслевой

характер.

Во-вторых, Система ≪Росинфосерт≫ является эффективным инструментом проведения единой государственной политики в сфере информатизации. Все органы по сертификации и испытательные лаборатории, аккредитованные в

Системе ≪Росинфосерт≫, работают по единым правилам, принятым в данной системе.

4.Сертификация средств и услуг связи

Требования, предъявляемые к техническим средствам в нашей стране отличаются от тех, по которым оно изготовлено. Гармонизацией требований разных стран занимается Европейская комиссия по связи, и пока они не станут одинаковыми, для всех

будет существовать сертификация по конкретным государственным  требованиям.

Созданная в  ноябре 1994 г. система сертификации ≪Электросвязь≫ является важнейшим элементом проведения технической политики в области телекоммуникаций. Оборудование, устройства, приборы электросвязи подлежат сертификации - проверке соответствия параметров технических средств электросвязи (ТСЭ) требованиям ВСС (взаимоувязанной сети связи) России. Сертификация позволяет создать благоприятные условия для предприятий, организаций, фирм на едином товарном рынке страны, защитить от недобросовестности изготовителя.

В России сертификация - это не выборочная сертификация отдельных средств, а сертификация сетевых комплексов, т.е

систем и  средств связи, используемых на всей ВСС. В их число входят оконечные устройства, АТС, узлы разного назначения, АМТС, кабели, ВОЛС, сотовые системы подвижной связи, спутниковые, радио- и радиорелейные средства связи и др.

Закон ≪О связи≫ определил обязательность сертификации технических средств связи общего пользования, а также для ведомственных сетей, имеющих выход на сеть общего пользования. Этим же Законом определена возможность сертификации услуг связи и возложены задачи организации и проведения

обязательной  сертификации ТСЭ на Федеральное  агентство связи.

5.Система сертификации технических средств связи «Электросвязь»

Сертификация  ТСЭ для ВСС России введена  для достижения следующих целей:

-создания цивилизованного рынка средств связи;

-зашиты как самих сетей, так и потребителей услуг и

телекоммуникационной техники  от недобросовестности изготовителей  и продавцов оборудования;

-обеспечения совместимости средств связи между собой и с российскими сетями.

Система сертификации однородной продукции (ССОП) ≪Электросвязь≫ зарегистрирована в Госреестре в 1994 г. Система предназначена для проведения обязательной сертификации отечественных и зарубежных средств связи.

ССОП ≪Электросвязь≫, как  и ее основной документ ≪Основные положения системы сертификации ТСЭ для ВСС РФ», постоянно совершенствуется (отдельные положения изменяются, уточняются или дополняются). В основе совершенствования ССОП ≪Электросвязь≫ лежат основные требования:

максимальное исполнение законов РФ и упрощение процедуры сертификации ТСЭ при одновременном повышении качества всех составляющих этой работы.

В соответствии со ст. 16 Закона РФ «О связи≫ сертификации подлежат все ТСЭ, предназначенные для применения на ВСС РФ. Шифровальные средства, закрытые системы и комплексы телекоммуникаций, предназначенные для защиты информации при передаче ее по каналам связи, подлежат отдельной

сертификации в ФАПСИ. Необязательно наличие сертификата  у ТСЭ, проданных (купленных) до 1994 г., находящихся в долговременной эксплуатации.

На основании сертификата соответствия изготовитель обязан

маркировать изделия или  паспорта на них, либо товаросопроводительную документацию знаком соответствия. Выданный сертификат соответствия даёт право изготовителю поставлять непосредственно предприятиям, продавать через

розничную или оптовую  торговлю сертифицированные изделия, сопровождая каждую партию либо отдельный экземпляр продажи нотариально заверенной копией сертификата. Сертификат является именным документом.