Сфера информационных технологий является одной самых динамично развивающихся, и с каждым годом эта тенденция только усиливается. В таких условиях особенно актуальными становятся вопросы защиты информации. В данном контексте речь идет не только о секретной информации государственного уровня. Коммерческая и банковская тайна, базы персональных данных, сведения из различных реестров – эти и другие виды информации также нуждаются в надежной защите, что обеспечивает, в свою очередь стремительное развитие рынка средств защиты информации (СЗИ).
Все технические и программные средства должны удовлетворять определенным требованиям в сфере безопасности и надежности. Именно обязательная и добровольная сертификация средств защиты информации позволяет производителям гарантировать для всех заинтересованных лиц соответствии продукции любым стандартам.
Нормативная база
В 2018 году Приказом №55 ФСТЭК утвердила Положение по организации специальной узконаправленной системы сертификации средств защиты информации. Документом урегулированы порядок и особенности проведения обязательной оценки соответствия, установлены ее объекты и другие нюансы ее применения.
В Положении указано, что участниками сертификационной процедуры могут выступать, помимо заявителя, только органы и лаборатории, которые имеют соответствующую аккредитацию ФСТЭК.
Что касается заявителей, то к ним не предъявляется каких-либо специфических требований, поэтому сертифицировать СЗИ могут как разработчики/производители, так и продавцы, поставщики, импортеры устройств или ПО.
Учитывая специфику товара, могут потребоваться и другие разрешительные документы, например: сертификаты и декларации ТР ТС/ЕАЭС, нотификация ФСБ и так далее.
Особенности схем сертификации
Положение ФСТЭК предусматривает возможность использования трех схем проверок:
- Для единичного изделия;
- Для партии товаров;
- Для серийного производства.
Все три схемы предполагают проведение испытаний. Для единичного изделия испытания проводят неразрушающими способами. Особенностью применения схемы для серийного производства является оценка условий производства и функционирование техподдержки от производителя.
Объекты оценки соответствия
Средства защиты информации можно представить в виде следующих видов:
- Программное обеспечение. Различные системы и программные средства для предотвращения доступа, кодировки и шифрования (криптосиситемы, дополнительные экраны, хайдинги адреса)
- Технические средства. Служат для прерывания передачи данных, маскировки каналов передачи (блокираторы, разъединители и ограничители, генераторы помех, сигнализация различных типов)
- Организационные СЗИ обеспечивают полноценное функционирование первых двух видов и используются для увеличения их эффективности (потайная прокладка кабелей, физическое ограничение доступа к информационным объектам, разработка технической документации).
- Смешанные СЗИ объединяющие в себе признаки нескольких ранее рассмотренных видов.
Кроме того, СЗИ делятся по классам доверия. Всего предусмотрено 6 классов доверия (первые три используют для защиты особо важной информации, относимой к гостайне, и других данных подобного уровня значения, остальные три класса применяю при работе с массивами персональных данных, используемых в различных госструктурах).
В сферу действия сертификационной системы ФСТЭК попадают объекты, которые:
- обеспечивают защиту информации от иностранной разведки;
- поддерживают безопасность используемых технологий защиты;
- непосредственно выполняют защитную функцию и обеспечивают эффективность работы всего защитного комплекса.
Порядок проведения проверок
Сертификационный процесс включает такие этапы:
- обращение заявителя в центр «ТюменьТест» с заявкой и обязательным комплектом документов;
- анализ документации, идентификация продукции;
- проведение испытаний образцов (при необходимости);
- оценка производства и уровня организации техподдержки (при необходимости);
- оформление сертификата (при положительных итогах проведенной проверки) и выдача его заявителю.
Какие данные потребуется предоставить?
В перечень документации, которую необходимо предоставить специалисту, входит:
- заявление;
- описание оборудования, его назначения и основных технических свойств;
- эксплуатационные и нормативно-технические документы (ТУ, ГОСТы, инструкции и руководства);
- выписка из ЕГРИП/ЕГРЮЛ;
- копии свидетельств ИНН и ОГРН;
- договор поставки с инвойсом (для импортных товаров).
Основные плюсы добровольной сертификации
Предприниматели могут добровольно внедрить и сертифицировать систему менеджмента защиты информации по стандарту ГОСТ Р ИСО 27001.
Наличие любого добровольного сертификата на продукцию и/или систему менеджмента положительно влияет на уровень доверия к изделиям и производителю, позволяет значительно улучшить конкурентоспособность продукции, расширить рынок сбыта, получить больше шансов на победу в гостендере, укрепить деловую репутацию и сформировать положительный имидж предприятия.
Закажите со скидкой!
Центр «ТюменьТест» предлагает вам воспользоваться специальным предложением и заказать сертификацию СЗИ со скидкой до 13%. Для этого необходимо заполнить простую онлайн форму на нашем сайте! Задать дополнительные вопросы о порядке оценки соответствия и условиях предоставления скидки вы можете, обратившись к нашим специалистам!