Сертификация средств защиты информации проводится иначе, чем для другой продукции. Это связано с особенностями изделий и их спецификой, оборот которых требует отдельного регулирования и контроля.
Поэтому еще в 2018 году ФСТЭК РФ конкретным Приказом №55 утвердил отдельное положение о сертификации средств защиты информации (далее - СЗИ).
Какие товары подлежат оценке в сертификационной системе ФСТЭК?
Согласно пунктам 2 и 3 первого раздела указанного нормативного акта, среди подконтрольных объектов, в отношении которых требуется обязательная сертификация, присутствуют все товары, используемые для защиты персональных данных, а также применяемые для обеспечения сохранности государственной тайны.
Проведение оценочной процедуры требуется в отношении средств, которые обеспечивают безопасность информационных технологий, включая обработку данных, предотвращают несанкционированный доступ к охраняемым объектам, технически защищают информацию и предназначены для проверки эффективности упомянутых устройств.
Сами СЗИ классифицируют на технические, программные и организационные. Дополнительно они делятся на 6 классов доверия.
Кто уполномочен проверять подконтрольные объекты?
Правом проводить оценку соответствия обладают сертификационные органы, имеющие аккредитацию ФСТЭК. После подачи заявки ведомство самостоятельно принимает решение о проведении оценки, назначает сертификационный орган и испытательную лабораторию, куда в дальнейшем заявитель должен предоставить образцы товаров для проведения экспертизы.
Также стоит отметить, что производитель или иные лица, которые выступают в роли заявителя, для подачи заявки должны иметь действующую лицензию на осуществление деятельности по выпуску подконтрольной продукции.
Согласно утверждённому Положению, для проведения оценки соответствия применяется три схемы оценки – для единичного изделия, партии товаров и серийного выпуска.
В первом случае непосредственно штучный товар подлежит испытаниям методами неразрушающего контроля. Оценка партии и серийного производства предусматривает тестирование нескольких отобранных образцов продукции. В ходе проведения процедуры также проводится анализ функционирования технической поддержки производителя. При сертификации серийного выпуска осуществляется анализ производственных условий, так называемая аттестация. Срок действия документа составляет 3 года. В период его действия проводится инспекционный контроль, при котором оценивается стабильность и неизменность характеристик сертифицированных изделий.
В зависимости от конкретного вида СЗИ могут потребоваться также и другие разрешительные документы – нотификация ФСБ, лицензия Минсвязи, сертификаты ТР ТС (например, о соответствии продукции требованиям ТР ТС 004/2011, ТР ТС 020/2011, ТР ТС 010/2011).
Добровольная сертификация средств защиты данных
После оформления обязательного сертификата предприниматели дополнительно могут реализовать добровольную оценку соответствия выстроенной системы менеджмента предприятия в рамках профильных стандартов. Так, например, наиболее востребованным направлением в данном случае будет проверка соответствия международному стандарту ISO 27000 или его российскому аналогу ГОСТ Р ИСО/МЭК 27001-2006. Данными нормативами регулируются вопросы внедрения в компаниях систем обеспечения информационной безопасности (СМИБ).
Наличие такого документа существенно повышает конкурентоспособность фирмы на рынке, позиционирует ее как надежного партнера, который может обеспечить конфиденциальность данных.
При проведении добровольной сертификации в основном используется метод системной аналитики, при котором проверяются представленных заявителем документы на предмет соответствия положениям заданного стандарта.
Сертификация ИСО способствует эффективному участию фирмы в крупных госзакупках, увеличивает число потенциальных деловых партнеров, формирует положительный имидж фирмы, обеспечивает рост капитализации бизнеса, расширяет присутствие на рынке, способствует улучшению инвестиционного климата.
Подпишись на наш Telegram-канал. В нем мы публикуем главное из жизни Саратова и области с комментариями
Теги: