Структура Cистемы
сертификации средств защиты информации по
требованиям безопасности информации
Организационную
структуру Cистемы сертификации образуют:
ФСТЭК
России (федеральный орган исполнительной власти,
уполномоченный проводить работу по обязательной
сертификации);
органы по
сертификации средств защиты информации - органы,
проводящие сертификацию определенной продукции;
испытательные
лаборатории - лаборатории, проводящие
сертификационные испытания (отдельные виды этих
испытаний) определенной продукции;
заявители -
изготовители, продавцы или потребители
продукции.
Система сертификации
средств защиты информации по требованиям
безопасности информации, кроме того, включает
подсистему аттестации объектов информатизации и
подсистему подготовки и аттестации экспертов.
Органы по
сертификации средств защиты информации и
испытательные лаборатории проходят
аккредитацию на право проведения работ по
сертификации, в ходе которой ФСТЭК России определяет возможности выполнения этими
органами и лабораториями работ по сертификации
средств защиты информации.
Аккредитация
проводится только при наличии у указанных
органов и лабораторий лицензии на проведение
мероприятий и (или) оказание услуг в области
защиты государственной тайны в части
технической защиты информации по сертификации и
сертификационным испытаниям.
ФСТЭК России в пределах своей компетенции
осуществляет следующие функции:
создает Cистему
сертификации средств защиты информации по
требованиям безопасности информации и
устанавливает правила проведения сертификации
средств защиты информации;
аккредитует органы
по сертификации средств защиты информации и
испытательные лаборатории;
осуществляет выбор
способа подтверждения соответствия средств
защиты информации требованиям нормативных
документов;
устанавливает
правила аккредитации органов по сертификации
средств защиты информации и испытательных
лабораторий;
определяет
центральный орган системы сертификации средств
защиты информации (при его необходимости) или
выполняет функции этого органа;
выдает сертификаты и
лицензии на применение знака соответствия;
ведет
государственный реестр участников сертификации
и сертифицированных средств защиты информации;
осуществляет
государственные контроль и надзор за
соблюдением участниками сертификации правил
сертификации, а также устанавливает порядок
инспекционного контроля за сертифицированными
средствами защиты информации;
рассматривает
апелляции по вопросам сертификации;
представляет на
государственную регистрацию в Комитет
Российской Федерации по стандартизации,
метрологии и сертификации систему сертификации
по требованиям безопасности информации и знак
соответствия;
утверждает
нормативные документы, на соответствие
требованиям которых проводится сертификация
средств защиты информации в системе, и
методические документы по проведению
сертификационных испытаний.
приостанавливает или
отменяет действие выданных сертификатов.
Органы по
сертификации средств защиты информации:
сертифицируют
средства защиты информации, выдают сертификаты и
лицензии на применение знака соответствия с
представлением копий в ФСТЭК России и
ведут их учет;
приостанавливают
либо отменяют действие выданных ими
сертификатов и лицензий на применение знака
соответствия;
принимают решение о
проведении повторной сертификации при
изменениях в технологии изготовления и
конструкции (составе) сертифицированных средств
защиты информации;
формируют фонд
нормативных документов, необходимых для
сертификации;
представляют
изготовителям по их требованию необходимую
информацию в пределах своей компетенции;
осуществляют
инспекционный контроль за сертифицированными
средствами защиты информации.
Испытательные
лаборатории проводят сертификационные
испытания средств защиты информации и по их
результатам оформляют заключения и протоколы,
которые направляют в соответствующий орган по
сертификации средств защиты информации и
изготовителям. Испытательные лаборатории несут
ответственность за полноту испытаний средств
защиты информации и достоверность их
результатов.
Заявители:
изготовители и
продавцы СЗИ должны иметь лицензию на проведение
работ, связанных с созданием средств защиты,
предназначенных для защиты сведений,
составляющих государственную тайну и защиты
конфиденциальной информации, а также лицензию на
их реализацию;
реализуют средства
защиты информации только при наличии
сертификата;
извещают орган по
сертификации, проводивший сертификацию, об
изменениях в технологии изготовления и
конструкции (составе) сертифицированных средств
защиты информации;
маркируют
сертифицированные средства защиты информации
знаком соответствия в порядке, установленном для
данной системы сертификации;
указывают в
сопроводительной технической документации
сведения о сертификации и нормативных
документах, которым средства защиты информации
должны соответствовать, а также обеспечивают
доведение этой информации до потребителя;
применяют сертификат
и знак соответствия, руководствуясь
законодательством Российской Федерации и
правилами, установленными для системы
сертификации средств защиты информации по
требованиям безопасности информации
ФСТЭК России;
обеспечивают
соответствие средств защиты информации
требованиям нормативных документов по защите
информации;
обеспечивают
беспрепятственное выполнение должностными
лицами ФСТЭК России своих полномочий
по государственному контролю и надзору за
соблюдением правил сертификации и органов по
сертификации по инспекционному контролю за
сертифицированными средствами защиты
информации;
прекращают
реализацию средств защиты информации при
несоответствии их требованиям нормативных
документов, на соответствие которым они были
сертифицированы, или по истечении срока действия
сертификата, а также в случае приостановки
действия сертификата или его отмены.