Основные требования к организациям, претендующим на получение лицензий на работы в области защиты информации

К организациям, претендующим на право получения лицензии на работы по защите информации, предъявляются требования по:

— уровню квалификации специалистов;

— наличию и качеству измерительной базы;

— наличию и качеству производственных помещений;

— наличию режимного органа и обеспечению охраны материальных ценностей и секретов заказчика (при необходимости);

— наличию нормативно-технической и методической документации в лицензируемой области деятельности.

Требования к помещениям, предназначенным для проведения измерений при специсследованиях, их техническая и технологическая оснащенность рассматриваются как совокупность требований к разработанной технологии проведения измерений, измерительной аппаратуре, стендам и т.п., а также к организации их содержания, обслуживания и поверки, выполнение которых позволяет организации, претендующей на проведение указанных в заявке работ, получить лицензию на право их проведения.

К числу основных задач органа по сертификации средств защиты информации могут быть отнесены:

— разработка нормативных документов на средства защиты и классификация их по функциональным свойствам;

— разработка нормативных документов на методы испытаний средств защиты и их гармонизация с аналогичными документами зарубежных фирм и организаций;

— выбор способов подтверждения соответствия средств защиты информации требованиям нормативных документов;

— сертификация средств защиты информации и выдача сертификатов на их применение;

— ведение реестра сертифицированных средств защиты информации;

— инспекционный контроль за качеством продукции, которой присвоен тот или иной класс (уровень) защитных свойств;

— приостановка или отмена действия выданных сертификатов.

Для интеграции систем защиты информации и удешевления их стоимости проектные решения по системам защиты информации должны быть стандартизированы в рамках международных организаций, отдельных государств, областей деятельности, конкретных организаций и фирм. Для решения этой задачи осуществляется гармонизация международных, национальных, отраслевых и фирменных нормативных документов по защите информации. Международной организацией по стандартизации ‑ ИСО/МЭК разработаны стандарты, связанные с защитой информации. Основным нормативным документом-стандартом, определяющим структуру и функции систем защиты информации, является стандарт 180 7498-2 1989 "Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты". В этом документе рассмотрены вопросы терминологии по защите информации, приводится общее описание служб и механизмов защиты, уделено внимание проблемам взаимодействия служб, механизмов и уровней защиты, рассмотрены вопросы управления защитой при взаимодействии систем.