Сертификация
Сертификация средств защиты информации
Основные принципы, организационная структура системы обязательной сертификации средств защиты информации установлены в Положении о сертификации средств защиты информации по требованиям безопасности информации (утв. Приказом Гостехкомиссии РФ от 27.10.1995 № 199), которое распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации.
Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).
Система добровольной сертификации средств защиты информации по требованиям безопасности информации от 20.03.1995 (РОСС RU.0001.01БИ00) была представлена на регистрацию Гостехкомиссией РФ, которая была преобразована в ФСТЭК России Указом Президента РФ от 09.03.2004 № 314 «О системе и структуре федеральных органов исполнительной власти».
В соответствии со статьей 13.12 Кодекса об административных правонарушениях РФ использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
Сертификация средств криптографической защиты информации
В настоящее время ФСБ России осуществляет:
- сертификацию средств защиты информации по требованиям безопасности сведений, составляющих государственную тайну;
- добровольную сертификацию специальных технических средств, предназначенных для негласного получения информации.
В соответствии с Положением о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утв. приказом ФСБ РФ от 13.11.1999 № 564, по правилам системы сертификации средств защиты информации по требованиям безопасности сведений, составляющих государственную тайну, по инициативе разработчика, изготовителя или потребителя может также проводиться добровольная сертификация средств защиты информации, не предназначенных для работы со сведениями, составляющими государственную тайну.
Система сертификации средств криптографической защиты информации от 15.11.1993 (РОСС RU.0001.030001) была представлена на регистрацию ФАПСИ России, которое было упразднено Указом Президента Российской Федерации от 11.03.2003 № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации». Этим же документом функции ФАПСИ России были переданы, в том числе, ФСБ России.
Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, от 19.01.2000 (РОСС RU.0003.01БИ00) была представлена на регистрацию ФСБ России.
Нормативные правовые акты, стандарты и рекомендации
- Письмо Банка России от 17.11.2011 № 015-16-9/4713 "О средствах защиты информации, применяемых при обработке персональных данных"
- Информационное сообщение ФСТЭК России от 07.04.2014 № 240/24/1208 "О применении сертифицированной по требованиям безопасности информации операционной системы Windows XP в условиях прекращения ее поддержки разработчиком"
- Информационное сообщение ФСТЭК России от 04.05.2012 № 240/24/1701 "О работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа"
- Письмо Банка России от от 17.11.2011 № 015-16-9/4713 "О средствах защиты информации, применяемых при обработке персональных данных"
- "Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (утв. Банком России 09.06.2012 № 382-П)
- Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ России 08.08.2009 № 149/7/2/6-1173)
- Приказ ФСБ России от 13.11.1999 № 564 "Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия"
- Приказ ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
- Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСТЭК России от 03.04.2018 № 55 "Об утверждении Положения о системе сертификации средств защиты информации"
- "Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79" (утв. ФСТЭК России 19.04.2017)
- Информационное сообщение ФСТЭК России от 21.08.2018 "О прекращении действия Положения о сертификации средств защиты информации по требованиям безопасности информации с 1 августа 2018 г."
- "Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79" (утв. ФСТЭК России 24.07.2017)
- "Перечень технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения видов работ, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171 (новая редакция)" (утв. ФСТЭК России 04.04.2015)
- Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации"
- Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных"
- "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 № 195-ФЗ
- Федеральный закон от 03.04.1995 № 40-ФЗ "О Федеральной службе безопасности"
- Федеральный закон от 28.12.2013 № 412-ФЗ "Об аккредитации в национальной системе аккредитации"
- Приказ Минэкономразвития России от 30.05.2014 № 326 "Об утверждении Критериев аккредитации, перечня документов, подтверждающих соответствие заявителя, аккредитованного лица критериям аккредитации, и перечня документов в области стандартизации, соблюдение требований которых заявителями, аккредитованными лицами обеспечивает их соответствие критериям аккредитации"
- План мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика Российской Федерации" (утв. Правительственной комиссией по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности (протокол от 18.12.2017 № 2))
- Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Постановление Правительства РФ от 03.11.2014 № 1149 "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, а также о внесении изменений в некоторые акты Правительства Российской Федерации в части оценки соответствия указанной продукции (работ, услуг)"
- Постановление Правительства РФ от 21.04.2010 № 266 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения и о внесении изменения в Положение о сертификации средств защиты информации"
- Постановление Правительства РФ от 18.04.2013 № 354 "Об утверждении Положения о создании, об эксплуатации и о совершенствовании государственной информационной системы топливно-энергетического комплекса"
- Постановление Правительства РФ от 26.06.1995 № 608 "О сертификации средств защиты информации"
- Постановление Правительства РФ от 06.07.2015 № 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"
- Постановление Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельности по технической защите конфиденциальной информации"
- Приказ Роскомнадзора от 03.12.2012 № 1255 "Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций"
- Указ Президента РФ от 16.08.2004 № 1082 "Вопросы Министерства обороны Российской Федерации"
- Указ Президента РФ от 16.08.2004 № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю"
- Указ Президента РФ от 11.08.2003 № 960 "Вопросы Федеральной службы безопасности Российской Федерации"
Надзорные органы
- Министерство экономического развития Российской Федерации