Сертификация и аттестация средств защиты информации

В соответствии со статьей 24 Закона Республики Беларусь "Об информатизации" технические и программные средства защиты информационных ресурсов подлежат обязательной сертификации в национальной системе сертификации Республики Беларусь соответствующим органом по сертификации. Документами, регламентирующими вопросы сертификации в РБ, являются:

ГОСТ РБ "Национальная система сертификации Республики Беларусь";

СТБ 5.1.01‑96 "Основные положения";

СТБ 5.1.02‑96 "Общие требования и порядок аккредитации";

СТБ 5.1.03‑96 "Органы по сертификации систем качества. Общие требования и порядок аккредитации";

СТБ 5.1.04‑96 "Порядок проведения сертификации продукции. Общие требования";

СТБ 5.1.05‑96 "Сертификация систем качества. Порядок проведения";

СТБ 5.1.06‑96 "Положение об экспертах‑аудиторах по качеству";

СТБ 5.1.07‑96 "Реестр. Общие требования и порядок ведения".

Органом по сертификации средств защиты информации в республике является ГЦБИ.

К числу основных задач органа по сертификации средств защиты информации могут быть отнесены:

— разработка нормативных документов на средства защиты и классификация их по функциональным свойствам;

— разработка нормативных документов на методы испытаний средств защиты и их гармонизация с аналогичными документами зарубежных фирм и организаций;

— выбор способов подтверждения соответствия средств защиты информации требованиям нормативных документов;

— сертификация средств защиты информации и выдача сертификатов на их применение;

— ведение реестра сертифицированных средств защиты информации;

— инспекционный контроль за качеством продукции, которой присвоен тот или иной класс (уровень) защитных свойств;

— приостановка или отмена действия выданных сертификатов.

Для интеграции систем защиты информации и удешевления их стоимости проектные решения по системам защиты информации должны быть стандартизированы в рамках международных организаций, отдельных государств, областей деятельности, конкретных организаций и фирм. Для решения этой задачи осуществляется гармонизация международных, национальных, отраслевых и фирменных нормативных документов по защите информации. Международной организацией по стандартизации ‑ ИСО/МЭК разработаны стандарты, связанные с защитой информации. Основным нормативным документом-стандартом, определяющим структуру и функции систем защиты информации, является стандарт 180 7498-2 1989 "Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты". В этом документе рассмотрены вопросы терминологии по защите информации, приводится общее описание служб и механизмов защиты, уделено внимание проблемам взаимодействия служб, механизмов и уровней защиты, рассмотрены вопросы управления защитой при взаимодействии систем.