Официальные комментарии специалистов Центра по вопросам сертификации и государственной экспертизы продукции, услуг по требованиям безопасности информации

1. Каким образом проводится инспекционный контроль?

Ежегодный инспекционный контроль сертифицированной продукции может проводиться без проверок производства путем проведения испытаний образцов поставляемой продукции, при условии отсутствия замечаний к производству, претензий потребителей и выявленных нарушений со стороны контролирующих органов к качеству и безопасности продукции.

2. Имеют ли право оптовые продавцы передавать товары, подлежащие обязательной сертификации, организациям и индивидуальным предпринимателям, осуществляющим розничную торговлю?

Оптовые продавцы вправе передавать товары, подлежащие обязательной сертификации, организациям и индивидуальным предпринимателям, осуществляющим розничную торговлю, с ксерокопиями сертификатов соответствия, заверенными этими оптовыми продавцами или органами по сертификации. Данные продавцы вправе не указывать на копиях сертификатов сведения о договорах поставки, юридических лицах и индивидуальных предпринимателях осуществляющих поставки товаров и другую информацию о движении товаров в оптовой торговой сети.

3. В соответствии с какими нормативными документами производится расчет трудоемкости работ по сертификации?

В соответствии со ст. 15 Закона Республики Беларусь «Об оценке соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации» Госстандартом утверждены типовые (предельные) нормы времени (трудоемкости) работ по сертификации продукции от 15 октября 2004 г. № 04-07/1590.

4. Каким образом можно продлить срок действия сертификата?

Не менее чем за полтора месяца до окончания срока действия сертификата соответствия на серийную продукцию заявитель направляет в орган по сертификации, выдавший сертификат, письмо о продлении срока действия сертификата соответствия.

К письму прилагаются:

  • протоколы последних периодических испытаний, содержащие все показатели, контролируемые при сертификации продукции;
  • справка, подписанная руководством изготовителя, о наличии претензий и рекламаций за период действия сертификата соответствия, их причинах и принятых мерах;
  • акты проверок качества и безопасности продукции, ее производства уполномоченными на это органами в период действия сертификата соответствия.

Орган по сертификации рассматривает и анализирует полученные материалы, а также акт инспекционного контроля за сертифицированной продукцией и принимает решение о продлении срока действия сертификата соответствия или проведения инспекционного контроля за сертифицированной продукцией. При положительных результатах инспекционного контроля орган по сертификации принимает решение о продлении срока действия сертификата соответствия. Действие сертификата на серийную продукцию продлевается на три года.

5. Какими нормативными правовыми актами и техническими нормативными правовыми актами до принятия Закона Республики Беларусь «Об информации, информатизации и защите информации» и постановления Совета Министров Республики Беларусь от 26.05.2009 № 675 были определены требования по защите информации?

До принятия Закона Республики Беларусь «Об информации, информатизации и защите информации» и постановления Совета Министров Республики Беларусь от 26.05.2009 № 675 основные требования по защите информации были определены следующими нормативными правовыми актами и техническими нормативными правовыми актами:

  • Законом Республики Беларусь «Об информатизации» от 06.09.1995г.;
  • Законом Республики Беларусь «О государственных секретах» от 29.11.1994;
  • Постановлением Совета Министров Республики Беларусь от 10.02.2000 № 186 «О некоторых мерах по защите информации в Республике Беларусь»;
  • Постановлением Совета Министров Республики Беларусь от 15.02.1999 № 237 «О служебной информации ограниченного распространения»;
  • Постановлением Совета Министров Республики Беларусь от 29.05.2001 № 784 «О перечне информационных ресурсов, имеющих государственное значение»;
  • СТБ 34.101.1:3-2004 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий»;
  • СТБ П 34.101.6-2003 «Информационные технологии и безопасность. Задание по обеспечению безопасности. Разработка, обоснование, оценка»;
  • СТБ П 34.101.7-2003 «Информационные технологии и безопасность. Профиль защиты. Разработка, обоснование, оценка»;
  • СТБ 34.101.9-2004 «Информационные технологии. Требования к защите информации от несанкционированного доступа, устанавливаемые в техническом задании на создание автоматизированной системы»;
  • СТБ 34.101.10-2004 «Информационные технологии. Средства защиты информации от несанкционированного доступа в автоматизированных системах. Общие требования»;
  • СТБ П ИСО/МЭК 17799-2000 «Информационные технологии и безопасность. Правила управления информационной безопасностью».

6. Какими техническими нормативными правовыми актами необходимо руководствоваться при разработке, оценке задания по безопасности, разработке методик испытаний, правил управления информационной безопасностью?

При создании системы защиты информации необходимо руководствоваться государственными стандартами СТБ 34.101.1-2004, СТБ 34.101.2-2004, СТБ 34.101.3-2004. Дополнительно рекомендовано использовать положения международных стандартов в области защиты информации.

7. Имеются ли сертифицированные программные средства гарантированного уничтожения информации?

В настоящий момент сертифицированных программных средств гарантированного уничтожения информации в Республике Беларусь нет. Но в 2009 году государственным предприятием «НИИ ТЗИ» разработано средство гарантированного уничтожения информации. В течение 2 квартала 2010 г. планируется проведение сертификации данного изделия.

8. Какие требования предъявляются к подразделениям технической защиты информации?

Структурное подразделение технической защиты информации (далее - ПТЗИ) создается по решению руководителя организации при наличии значительного количества объектов информатизации (далее – ОИ), предназначенных для проведения работ с использованием государственных секретов. При незначительном количестве ОИ назначается должностное лицо, ответственное за осуществление мероприятий по технической защите информации. Причем, и на ПТЗИ и на ответственное лицо должны быть возложены функции по защите информации от ее утечки по техническим каналам, несанкционированного доступа к этой информации и воздействия на нее.

При наличии ПТЗИ на него могут быть возложены функции в части осуществления мероприятий по созданию и эксплуатации систем защиты информации, не содержащей государственные секреты, в информационных системах.

Для структурного ПТЗИ необходимо разработать «Положение о подразделении технической защиты информации», которое должно определять основные задачи и функции по следующим направлениям:

  • по обеспечению защиты информации, содержащей государственные секреты, от ее утечки по техническим каналам;
  • по обеспечению защиты информации, содержащей государственные секреты, от несанкционированного доступа к этой информации и воздействия на нее;
  • при осуществлении мероприятий по созданию и эксплуатации систем защиты информации, не содержащей государственные секреты, в информационных системах.

9. Требуется ли получение лицензии владельцам государственных информационных систем, которые имеют в своем составе подразделения по технической защите информации и способные провести аттестацию систем защиты информации?

Юридические лица, осуществляющие аттестацию информационных систем на договорной основе, должны иметь специальное разрешение (лицензию) Центра на осуществление соответствующих видов деятельности.

В соответствии с пунктом 5 Положения о порядке аттестации систем защиты информации владельцы государственных информационных систем, имеющие в своем составе подразделения по технической защите информации, вправе проводить аттестацию систем защиты информации, используемых при обработке информации, содержащейся в государственных информационных системах, владельцами которых они являются.

В данном пункте под подразделениями по технической защите информации имеются ввиду структурные подразделения владельцев. В этом случае получение лицензии не требуется.

10. Имеет ли право специализированная организация, имеющая специальное разрешение (лицензию) Оперативно-аналитического центра при Президенте Республики Беларусь и являющаяся разработчиком информационной системы и системы защиты информации в информационной системе, проводить работы по аттестации данной системы защиты информации?

В соответствии с пунктом 5 Положения о порядке аттестации систем защиты информации аттестацию систем защиты информации вправе проводить организации, имеющие соответствующие специальные разрешения (лицензии) Оперативно-аналитического центра при Президенте Республики Беларусь.

Исходя из содержания и специфики работ по аттестации систем защиты информации, данную аттестацию вправе проводить организации, имеющие специальное разрешение (лицензию) Оперативно-аналитического центра на деятельность по технической защите информации, в том числе криптографическими методами, включая применение электронной цифровой подписи, в части следующих составляющих работ и услуг:

  • «Создание систем защиты информации на объектах информатизации»;
  • «Проверка объектов информатизации на соответствие требованиям защиты информации от несанкционированного доступа».

По нашему мнению, при наличии лицензии хотя бы с одной из указанных составляющих работ и услуг, аттестацию систем защиты информации вправе проводить организации, являющиеся разработчиками систем защиты информации в информационных системах. При этом считаем целесообразным мероприятия по оценке системы защиты информации проводить с участием собственника или оператора информационной системы.

11. Будут ли вводиться лицензии на аттестацию систем защиты информации?

В настоящее время Оперативно-аналитическим центром установленным порядком направлены предложения по включению вида деятельности «аттестация систем защиты информации» в перечень работ и услуг, подлежащих лицензированию.

12. Кто осуществляет контроль за аттестацией и эксплуатацией систем защиты информации?

В соответствии с пунктом 11 Положения о порядке аттестации систем защиты информации Оперативно-аналитический центр при Президенте Республики Беларусь:

  • осуществляет контроль за выполнением требований нормативных правовых актов по аттестации систем защиты информации;
  • осуществляет контроль за выполнением мероприятий по защите информации, обрабатываемой с применением аттестованных систем защиты информации.

13. Распространяется ли требование по аттестации систем защиты информации на действующие государственные информационные системы?

Требования Положения о порядке аттестации систем защиты информации распространяется как на вновь создаваемые, так и действующие государственные информационные системы.

14. В чем отличие государственной экспертизы от сертификации?

В соответствии с пунктом 3 Положения о порядке проведения государственной экспертизы средств защиты информации область применения экспертизы – подтверждение соответствия реализации функций защиты продукцией единичного производства либо продукцией, требования к которой техническими нормативными правовыми актами (далее – ТНПА) не установлены.

Согласно пункта 4 Положения экспертиза продукции проводится на соответствие ТНПА (только для продукции единичного производства) в области безопасности информации, а также на соответствие заявленным показателям (характеристикам) продукции по технической защите информации, содержащимся в документации изготовителя.

Сертификация - форма подтверждения соответствия, осуществляемого аккредитованным органом по сертификации.

Подтверждение соответствия - вид оценки соответствия, результатом осуществления которого является документальное удостоверение соответствия объекта оценки соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации.

Оценка соответствия - деятельность по определению соответствия объектов оценки соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации.

Аккредитация - вид оценки соответствия, результатом осуществления которого является официальное признание компетентности юридического лица в выполнении работ по подтверждению соответствия и (или) проведении испытаний продукции.

Объектами оценки соответствия являются:

  • продукция;
  • процессы разработки, производства, эксплуатации (использования), хранения, перевозки, реализации и утилизации продукции;
  • оказание услуг;
  • система управления качеством;
  • система управления окружающей средой;
  • компетентность юридического лица в выполнении работ по подтверждению соответствия и (или) проведении испытаний продукции;
  • профессиональная компетентность персонала в выполнении определенных работ, услуг;
  • иные объекты, в отношении которых в соответствии с законодательством Республики Беларусь принято решение об оценке соответствия (ТКП 5.1.01-2004).

Таким образом, сертификация проводится на соответствие ТНПА (в том числе и продукции единичного производства по схеме 9 согласно ТКП 5.1.02-2004). Но схема 9 предусматривает проведение процедуры сертификации только для тех единичных изделий, которые внесены в перечень продукции, услуг, подлежащих обязательной сертификации.

15. Когда и на какой срок заключается договор на проведение государственной экспертизы?

При наличии заявки установленной формы, правильности ее оформления и достаточности представленных документов заявителю направляется решение о проведении экспертизы продукции, а также проект договора на ее проведение в двух экземплярах (пункт 18 Положения).

Договор признается заключенным с момента подписания его обеими Сторонами. Договор на проведение экспертизы содержит календарный план оказания услуг, где оговорены сроки выполнения работ экспертизы. Срок проведения экспертизы, включая проведение испытаний в испытательных организациях, должен составлять не более 90 рабочих дней в зависимости от сложности представленной на экспертизу продукции.

В случае выявления в процессе экспертизы несоответствия продукции заявленным показателям (характеристикам) по технической защите информации, требованиям ТНПА срок проведения экспертизы по согласованию с заявителем может быть продлен для устранения выявленных недостатков (пункт 36 Положения). При завершении работ орган государственной экспертизы направляет заявителю акт сдачи-приемки выполненных работ.

16. На каком этапе государственной экспертизы осуществляется отбор образцов? Какие документы регламентируют количество отбираемых образцов?

В соответствии с пунктом 20 Положения отбор образцов продукции для испытаний в независимой аккредитованной испытательной лаборатории и документирование процедуры отбора образцов продукции осуществляет в соответствии с решением органа государственной экспертизы после заключения договора на проведение экспертизы его уполномоченный представитель - эксперт. Отбор образцов продукции осуществляется в присутствии заявителя или его уполномоченного представителя. Что касается программных средств защиты информации, в случае изменения хэш-значения в результате их доработки в процессе проведения испытаний, допускается проведение повторного отбора образцов с составлением акта отбора образцов. При этом, если в результате выполнения доработок продукта сроки проведения испытаний превысили сроки, указанные в договоре на проведение испытаний, то по согласованию с заявителем срок проведения экспертизы может быть продлен. Об изменении контрольных характеристик заявитель должен письменно извещать орган государственной экспертизы.

Методы отбора и количество отбираемых образцов установлены Государственным стандартом ГОСТ 18321-73 «Статистический контроль качества. Методы случайного отбора выборок штучной продукции».

17. Все ли средства защиты информации подлежат государственной экспертизе?

На государственную экспертизу представляются средства защиты информации, которые предполагается использовать при создании систем защиты информации в государственных информационных системах и информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено (пункт 2 Положения). Не представляются на экспертизу средства технической защиты государственных секретов, которые должны иметь сертификат соответствия, удостоверяющие их соответствие требованиям по защите сведений, составляющих государственные секреты (статья 31 Закона «О государственных секретах»).

18. На соответствие каким требованиям заявитель представляет продукцию на экспертизу?

Заявитель представляет продукцию на экспертизу на соответствие номенклатуре показателей, согласованных с органом государственной экспертизы, в которую в обязательном порядке включаются показатели по технической защите информации (пункт 5 Положения). Данные показатели могут быть представлены в виде набора функциональных и гарантийных требований безопасности в соответствии с выбранным уровнем гарантии оценки (СТБ 34.101.2-2004, СТБ 34.101.3-2004).