Что такое сертификация продуктов по требованиям безопасности?

В настоящее время сертификация по требованиям безопасности проводится для средств защиты информации (СЗИ), а также продуктов (программных, программно-аппаратных, аппаратных), имеющие встроенные СЗИ.

Под сертификацией средств защиты информации (СЗИ) по требованиям безопасности информации (далее сертификация) понимается проверка (подтверждение) характеристик СЗИ на соответствие требованиям государственных стандартов или иных нормативных документов по защите информации, выпущенные уполномоченными федеральными органами: ФСТЭК России (Гостехкомиссией России), ФСБ России и Министерство обороны.

Федеральные органы осуществляют организацию,  координацию систем сертификации и выпускают нормативные документы, определяющие требования к СЗИ. С открытыми нормативными документы системы сертификации ФСТЭК и ФСБ России Вы можете ознакомиться в разделе Нормативные документы. Для ознакомления с закрытыми материалами необходимы специальные разрешения.

В каждой из вышеперечисленных систем сертификации есть свои аккредитованные Испытательные лаборатории и Органы по сертификации: первые проводят сертификационные испытания программных продуктов и проверку их производства, вторые – экспертизу результатов этих работ (качество выполнения работ). Заявитель для проведения сертификационных испытаний средств защиты информации может выбрать любую аккредитованную испытательную лабораторию. Органы по сертификации назначаются федеральным органом. Контроль результатов сертификационных испытаний и их экспертизы, а также выдачу сертификатов соответствия осуществляют непосредственно федеральный орган.

За производство и поддержку сертифицированных СЗИ отвечают Заявители. Согласно нормативным документам Заявители должны:

  • обеспечивать соответствие средств защиты информации требованиям нормативных документов;
  • принимать меры для обеспечения соответствия и стабильности характеристик каждого выпускаемого экземпляра  характеристикам эталонного экземпляра, который непосредственно подвергался сертификационным испытаниям;
  • осуществлять подготовку материалов для безопасного внедрения и эксплуатации сертифицированных СЗИ и доводить их до пользователей;
  • предоставлять сопроводительные документы установленного образца на каждый экземпляр сертифицированного СЗИ;
  • осуществлять маркировку и учет каждого произведенного экземпляра и предоставлять доступ к учетной информации должностным лицам уполномоченных органов;
  • осуществлять проверку (сертификацию) доработок и исправлений сертифицированных СЗИ и обеспечивать их доведение до пользователей.

Заявители осуществляют свою работу на основании лицензий, выдаваемых уполномоченными федеральными органами. В ряде случае правообладатели поручают организацию сертификации и производства сертифицированных версий продуктов организациям, имеющим соответствующие лицензии. Как правило, эти организации осуществляют дальнейшую сертификационную поддержку производимых продуктов.