|
Организационная структура системы аттестации
Для получения лицензии орган по аттестации должен обладать необходимыми средствами измерений, испытательным оборудованием, нормативными и методическими документами, а также квалифицированными обученными специалистами. Требования к соискателю лицензии на деятельность по технической защите конфиденциальной информации выдвигаются в "Положении о лицензировании деятельности по технической защите конфиденциальной информации", утвержденном постановлением Правительства Российской Федерации от 03.02.2012 № 79.
ФСТЭК России в пределах своих полномочий выпустил "Административный регламент ФСТЭК России по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации", утвержденный приказом ФСТЭК России от 17.07.2017 № 134. В регламенте определен порядок подачи заявлений на получение лицензии, сроки и порядок рассмотрения заявлений, порядок обжалования решений, а также формы документов. В дополнение к регламенту ФСТЭК России также опубликовал перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых организации - заявителю для получения лицензии по технической защите конфиденциальной информации.
Орган по аттестации после получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации, приобретает право проведения работ по аттестации объектов информатизации по требованиям безопасности информации, обрабатывающих информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну. Необходимо отметить, что в лицензии может быть указан не полный перечень работ, предусмотренный постановлением Правительства, а те виды деятельности, для выполнения которых у лицензиата имеется необходимое оборудование, специалисты, техника и помещения.
Органы по аттестации в пределах своих полномочий, отраженных в лицензии на деятельность по технической защите конфиденциальной информации, выполняют следующие функции:
- Осуществляют работы по проведению аттестации объектов информатизации и выдают "Аттестаты соответствия".
- Осуществляют периодический контроль за состоянием защищенности информации на аттестованных объектах информатизации.
- В случае нарушения требований по безопасности, а также возникновения угроз безопасности информации аннулируют или приостанавливают действие выданных ими "Аттестатов соответствия".
- Своевременно обновляют нормативную и методическую базу документов по вопросам аттестации объектов информатизации.
- Ведут учет аттестованных объектов информатизации.
- Осуществляют взаимодействие со ФСТЭК России и отчитываются о выполнении работ по аттестации объектов информатизации.
Таким образом, органы по аттестации непосредственно выполняют работы по аттестации объектов информатизации по месту нахождения заявителя и выдают "Аттестаты соответствия".
Следующая структурная единица единой системы сертификации средств защиты информации - испытательные лаборатории. Для проведения работ по сертификации испытательная лаборатория должна обладать лицензией на деятельность по разработке и производству средств защиты конфиденциальной информации, а также квалифицированными обученными специалистами, необходимой испытательной базой, нормативными и методическими документами по сертификации средств защиты информации.
Сроки и последовательность прохождения процедур для получения лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации определяется в "Административном регламенте ФСТЭК России по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации", утвержденном приказом ФСТЭК России от 17.07.2017 № 133.
Основной функцией испытательной лабораторией является сертификация средств защиты информации, применяемых на объектах информатизации. Разработчики средств защиты информации (заявители) для получения сертификата соответствия на средства защиты информации привлекают испытательную лабораторию для проверки соответствия средства защиты информации установленным требованиям. Испытательная лаборатория осуществляет проверки средств защиты информации и выдает протокол испытаний с заключением о соответствии или несоответствии средств установленным требованиям. Протоколы направляются заявителю (т.е. разработчику средства защиты информации) и в орган по сертификации (ФСТЭК России, ФСБ России и другие), который принимает решение о выдаче сертификата соответствия. В случае успешного прохождения испытаний, ФСТЭК России, ФСБ России и другие, исходя из заключений протокола, выдает производителю средства защиты информации сертификат соответствия с указанием наименования средства, его назначения и соответствующего класса изделия.
В соответствии с "Типовым положением об испытательной лаборатории", утвержденным приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 25 ноября 1994 г., испытательная лаборатория обязана обеспечивать полноту и объективность проведения испытаний, достоверность и точность их результатов, соблюдать порядок и сроки проведения испытаний, согласованные с заявителем, а также условия, обеспечивающие конфиденциальность их проведения.
Последняя по порядку, но не по значимости структурная единица единой системы сертификации средств защиты информации – заявители. Заявителем может выступать любое юридическое лицо или индивидуальный предприниматель, орган власти или орган местного самоуправления, а также подведомственные им учреждения (далее – организация или заявитель), которые осуществляют обработку информации ограниченного доступа. В данном случае заявители – это организации, которые заявляются на обработку информации ограниченного доступа на объекте информатизации, подлежащем аттестации по требованиям безопасности информации.
Перед заявителем стоят следующие задачи:
- Подготовить объект информатизации для проведения аттестации, проведя организационно-технические мероприятия по защите информации.
- Привлечь органы по аттестации для организации и проведения аттестации объекта информатизации, представить ему все необходимые документы для проведения аттестации.
- В случае использования на объекте информатизации несертифицированных средств защиты информации, привлечь испытательную лабораторию для проведения сертификационных испытаний.
- После получения "Аттестата соответствия" на объект информатизации, осуществлять эксплуатацию объекта информатизации в соответствии с установленными требованиями, не допускать реализации угроз безопасности информации, своевременно осуществлять контрольные мероприятия на аттестованном объекте информатизации.
- В случае возникновения изменений на аттестованном объекте информатизации, способных повлиять на уровень защищенности, сообщать об этом органу по аттестации, выдавшему "Аттестат соответствия".
Следует отметить, что в случае необходимости, заявители могут обратиться к органу по аттестации за помощью в подготовке объекта информатизации к проведению работ по аттестации. В таком случае, заявители оплачивают дополнительный объем работ, однако могут получить квалифицированную консультацию по оптимизации затрат на создание системы защиты информации для объекта информатизации, помощь в выборе помещений и организации мест для размещения объектов информатизации, а также содействие в разработке документов заявителя.
При выборе органа по аттестации заявители должны руководствоваться следующими правилами:
- выбирать лицензиата, имеющего в лицензии на техническую защиту конфиденциальной информации пункт "Работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации…". При отсутствии вышеуказанного пункта в лицензии, такой лицензиат не имеет право выдавать "Аттестат соответствия…";
- ориентироваться на опыт работы органа по аттестации. Чем дольше орган по аттестации работает на рынке услуг по защите информации, тем больше у него опыт работы в данной сфере;
- ориентироваться на количество проведенных работ, отсутствие рекламаций со стороны заявителей, а также судебных разбирательств. Информацию об опыте работ, а также благодарности от заявителей органы по аттестации, как правило, размещают на своих сайтах. Рекламации, а также данные о внесении органа по аттестации в реестр недобросовестных поставщиков можно найти на сайте госзакупок, по работам, которые выполнялись по госконтрактам;
- проанализировать перечень лицензий, имеющихся у органа по аттестации, помимо лицензии на техническую защиту конфиденциальной информации. Данная информация может свидетельствовать о квалификации сотрудников органа по аттестации, способного выполнять и другие виды работ по защите информации. Данная информация также окажется полезной в случае возникновения потребности в дополнительных работах в смежных областях (услуги в области шифрования, криптографической защиты информации, защита государственной тайны и т.д.);
- выбирать орган по аттестации, расположенный относительно недалеко от заявителя (в одном городе, федеральном округе) с тем, чтобы специалисты органа по аттестации имели возможность оперативно выезжать на объекты заявителя в случае возникновения нештатных ситуаций, поскольку все работы органа по аттестации оплачиваются заявителем;
- при возникновении затруднений в выборе органа по аттестации, заявитель может обратиться в региональное управление ФСТЭК России с заявкой на предоставление перечня лицензиатов, имеющих лицензии по технической защите конфиденциальной информации в соответствующем федеральном округе.
Итоги: организационную структуру системы аттестации объектов информатизации образуют:
- федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации –ФСТЭК России;
- органы по аттестации объектов информатизации по требованиям безопасности информации - специальные центры ФСТЭК России, а также предприятия и организации, аккредитованные ФСТЭК России и имеющие лицензию на право проведения работ по технической защите информации;
- испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации - лаборатория, осуществляющая сертификацию средств и систем защиты информации, на основании лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации;
заявитель - юридическое лицо или индивидуальный предприниматель, орган власти или орган местного самоуправления, а также подведомственные им учреждения, которые заявляются на обработку информации ограниченного доступа на объекте информатизации, подлежащем аттестации по требованиям безопасности информации.
Ключевые слова: заявитель, испытательная лаборатория, орган по аттестации, Федеральная служба по техническому и экспортному контролю Российской Федерации