Az információvédelmi eszközök tanúsításáról - a kriptográfiai eszközök használatára vonatkozó normatív jogi aktusok -

pozíció
Az információvédelmi eszközök tanúsításáról

(az Orosz Föderáció kormányának 1996. április 23-i rendeletének kiadásában "509)

1. Ezek a rendeletek meghatározzák az információvédelmi eszközök tanúsításának eljárását az Orosz Föderációban és annak külföldi intézményeiben.

Technikai, kriptográfiai, szoftveres és egyéb eszközök, amelyek célja az államtitokká alakításhoz szükséges információk védelme, azok megvalósításának eszközei, valamint az információvédelem hatékonyságának ellenőrzésére szolgáló eszközök.

Ezek az alapok kötelező tanúsítás alá esnek, amelyet az információbiztonsági eszközök tanúsítási rendszerei keretében hajtanak végre.

Az információvédelmi eszközök tanúsítási rendszere a tanúsítás résztvevőinek azon csoportja, amely a megállapított szabályok szerint végzi (a továbbiakban: tanúsítási rendszer).

tanúsítási rendszer által létrehozott Állami Műszaki Bizottság szerint az elnök az Orosz Föderáció, a Szövetségi Hivatal Kormányzati Kommunikációs és Információs alatt az elnök az Orosz Föderáció, a Szövetségi Biztonsági Szolgálat az Orosz Föderáció. Honvédelmi Minisztérium, az Orosz Föderáció, a külföldi hírszerző szolgálat, jogosult munkát végezni tanúsítás információbiztonsági megoldások belül meghatározott kompetenciák őket jogalkotási és egyéb normatív az Orosz Föderáció (a továbbiakban - a szövetségi tanúsító szervek). (Módosítva. Rendelet az RF kormány kelt 23.04.96 „509)

Az információs védelmi eszközök tanúsítása az Orosz Föderáció kormánya által jóváhagyott normatív dokumentumok, valamint a hatáskörükbe tartozó szövetségi tanúsító testületek követelményei alapján történik.

Minden tanúsítási rendszerben a tanúsítási rendszerre vonatkozó rendelkezést dolgoznak ki és fogadnak el az Interdepartemental Bizottsággal, valamint a tanúsítandó információvédelmi eszközök listáját és az ezen alapok követelményeinek való megfelelést.

2. Az információvédelmi eszközök tanúsításában résztvevők:

  • szövetségi tanúsító szervezet;
  • a minősítő rendszer központi hatósága (szükség esetén létrehozva) a homogén termékek tanúsítására szolgáló rendszer vezetője;
  • az információs védelmi eszközök tanúsításával foglalkozó szervek - az egyes termékek tanúsítását végző szervezetek;
    laboratóriumi laboratóriumok (laboratóriumok) - egyes termékek tesztelését végző laboratóriumok;
  • gyártók - eladók, termékgyártók.

Központi Hatósága, a minősítési rendszer tanúsító szervezetek az információs biztonsági eszközök és vizsgálati laboratóriumok végzik akkreditációt a jogot, hogy munkát végez tanúsítvány, amelyben a szövetségi tanúsító szervek határozzák meg, hogy az e szervek és laboratóriumok tanúsításának információbiztonsági megoldások, és elkészíti a hivatalos engedélyt a jogot ezek a művek. Akkreditációs végzik, ha a fent említett szervek és laboratóriumok az engedély az adott tevékenységet.

3. A szövetségi tanúsító testület hatáskörében:

  • tanúsítási rendszereket hoz létre;
  • Kiválaszthat egy választási módot az információ védelmének a szabványos dokumentumok követelményei szerinti megfelelőségének elismerésére;
  • meghatározza a tanúsítási rendszerek központi szerveinek akkreditációjára vonatkozó szabályokat, az információs védelmi létesítmények és vizsgálati laboratóriumok tanúsításával foglalkozó szerveket;
  • meghatározza az egyes tanúsítási rendszer központi hatóságát;
  • tanúsítványokat vagy képesítéseket ad ki a megfelelőségi jel használatára;
  • fenntartja a résztvevők államigazgatási nyilvántartását a tanúsítás és a hitelesített információvédelmi eszközök terén;
  • végzi el az állami ellenőrzést és felügyeletet a tanúsítási szabályok tanúsításával és a hitelesített információvédelmi eszközökkel való betartás résztvevői által, valamint meghatározza az ellenőrzési ellenőrzés sorrendjét;
  • felszólít a tanúsítási kérdésekre;
  • képviseli az állam regisztrációját az Orosz Föderációban a tanúsítási rendszer standardizációjához, metrológiájához és tanúsításához, valamint egy megfelelőségi jelet;
  • meghatározza a külföldi bizonyítványok elismerésének eljárását;
  • felfüggeszti vagy érvényteleníti a kiadott tanúsítványokat.

4. A tanúsítási rendszer központi testülete:

  • szervezi a tanúsítási rendszer kialakításának és irányításának munkáját, koordinálja a tanúsító testületek, az információvédelmi létesítmények és a tanúsító rendszerben szereplő vizsgálati laboratóriumok tevékenységét;
  • nyilvántartást vezet az adatvédelmi eszközök és a vizsgáló laboratóriumok tanúsító szerveiről, kiadja és visszavonja a megfelelőségi jelölés használatára vonatkozó tanúsítványokat és engedélyeket;
  • a tanúsítási résztvevőket tájékoztatja a tanúsítási rendszer tevékenységeiről.

Ha a tanúsítási rendszerben nincs központi hatóság, funkcióit a szövetségi tanúsító testület végzi.

5. Az információbiztonsági tanúsításért felelős szervek:

  • igazolják az információvédelemmel kapcsolatos eszközöket, tanúsítványokat és engedélyeket adnak a megfelelőségi jelölés alkalmazásához a másolatoknak a szövetségi tanúsító szervekhez történő benyújtásával és nyilvántartásával;
  • felfüggeszti vagy megszünteti a megfelelőségi jelölés alkalmazásával kiadott tanúsítványok és engedélyek érvényességét;
  • döntést hozzon a tanúsított információbiztonsági eszközök gyártási technológiájának és formatervezésének (összetételének) változásairól;
  • a tanúsításhoz szükséges szabályozási dokumentumok alapját képezik;
  • a gyártóknak kérésükre megküldik a hatáskörükbe tartozó szükséges információkat.

6. A vizsgálati laboratóriumok az információvédelmi eszközök tanúsítási tesztjeit végzik, és az eredmények alapján következtetéseket és protokollokat készítenek, amelyeket az információs védelmi eszközök és gyártók tanúsítására a megfelelő szervnek továbbítanak.

A vizsgálati laboratóriumok felelősek az adatvédelmi eszközök tesztelésének teljességéért és az eredmények megbízhatóságáért.

  • az információ védelmére szolgáló eszközöket csak akkor kell elkészíteni (megvalósítani), ha rendelkezik tanúsítvánnyal;
  • értesíti a hitelesítést végző tanúsító szervezetet, a tanúsítási tanúsítványt, a gyártási technológiák és a minősített információs védelmi eszközök (kompozíció) változásait;
  • a tanúsítási rendszer által létrehozott sorrendben jelölje meg a tanúsított információs védelmi eszközt a megfelelőségi jelzéssel;
  • a kísérő műszaki dokumentációban feltüntetik azokat a tanúsítási és szabályozási dokumentumokat, amelyeknek az információvédelmi eszközöknek meg kell felelniük, és biztosítaniuk kell ezen információk fogyasztónak történő átadását;
  • a tanúsítványt és a megfelelőségi jelet az Orosz Föderáció jogszabályai és az e tanúsítási rendszerre megállapított szabályok szerint kell alkalmazni;
  • biztosítsa az információvédelmi eszközöknek az információvédelemre vonatkozó szabályozási dokumentumok követelményeinek való megfelelését;
  • gondoskodik a hatóságaik akadálytalan végrehajtásáról azokon a szerveken, akik tanúsítvánnyal és ellenőrzéssel rendelkeznek a hitelesített információs védelmi eszközökkel;
  • megszünteti az információs védelmi eszközök végrehajtását, ha nem felelnek meg a szabályozási dokumentumok követelményeinek, vagy a tanúsítvány érvényességi idejének lejártával, valamint a tanúsítvány felfüggesztése vagy törlése esetén.

A gyártóknak engedélyt kell adniuk az adott tevékenységre.

8. A gyártó megküldi a tanúsítvány megszerzéséhez a tanúsító szervezet az információk védelmét szolgáló eszközök hitelesítési kérelem, amelyhez adott esetben csatolni kell a tanúsítási rendszer, az állami szabványok és egyéb szabályozási és útmutatókat, amelynek meg kell felelnie a követelményeknek hitelesíthető információs eszközök védelme.

Body tanúsítására vonatkozó információ védelem követő egy hónapon belül a kérelem kézhezvételétől számított küldi a gyártó határoz a tanúsítvány jelzi a rendszer annak végrehajtását, laboratórium, tesztek végzésekor az informatikai biztonság és szabályozó dokumentumok, amelynek követelményeit meg kell felelniük hitelesíthető információ védelmére, és ha szükséges, - - döntés a magatartás és időzítése gyártás előtti vizsgálata információbiztonsági megoldások.

A külföldi tanúsítvány elismerése érdekében a gyártó egy példányt és egy tanúsítvány elismerés iránti kérelmet küld a szövetségi tanúsító testületnek, amely a tanúsítvány elismerésének előállítóját vagy a tanúsítási vizsgálatok szükségességét a dokumentumok kézhezvételétől számított legfeljebb egy hónapon belül értesíti. A külföldi tanúsítvány elismerése esetén a szövetségi tanúsító szervezet kiállítja és kiadja a gyártónak a megállapított modellnek való megfelelőség igazolását. Az importált információvédelmi eszközök tanúsítása ugyanazon szabályok szerint történik, mint a belföldiek.

Az információbiztonsági eszközök tanúsításának főbb rendszerei a következők:

adatvédelmi eszközök egy mintájára vonatkozóan - ezen minták vizsgálata az adatvédelmi követelményeknek való megfelelés érdekében;

adatbiztonsági eszközök sorozatgyártásához - az információbiztonsági eszközök mintáinak szabványos tesztelését végzik az információvédelemre vonatkozó követelményeknek való megfelelés érdekében, és az igazolt információvédelmi eszközök jellemzői stabilitásának ellenőrzését követően, amely meghatározza e követelmények teljesítését. Ezenkívül lehetőség van a termelés előzetes ellenőrzésére egy speciálisan kidolgozott program szerint.

A tanúsítvány érvényessége nem haladhatja meg az öt évet.

9. A minősített információs védőeszközök vizsgálatait olyan mintákon végzik, amelyek gyártási technológiája és tervezése (összetétele) megegyezik az ügyféllel (fogyasztóval) szállított mintákkal.

Bizonyos esetekben, a tanúsító szervekkel való megegyezés alapján információvédelmi eszközökkel, a gyártó vizsgálati bázisán történő tesztelés megengedett. Ebben az esetben az információvédelmi eszközök tanúsításával foglalkozó szervezet meghatározza a vizsgálati eredmények objektivitásának biztosításához szükséges feltételeket.

Ennek hiányában az elején a tanúsítás akkreditált vizsgáló laboratóriumok tanúsító szervezet védelmét a média határozza meg azt a lehetőséget, helyét és a vizsgálati körülményeket biztosítja az objektivitást az eredményeket.

Ellenőrzési intervallumok létre a szerződés a gyártó és a vizsgáló laboratóriumba.

A gyártónak meg kell adni a lehetőséget arra, hogy megismerkedjenek a vizsgálati feltételeket és védi adathordozók mintákat a vizsgálati laboratórium.

Abban az eltérés a vizsgálati eredmények és a követelmények a szabályozási útmutatókat információbiztonsági tanúsító szervezet védelmét a média úgy dönt, hogy elutasítja a tanúsítványt, és indokolással ellátott véleményt küld a gyártó. Egyet nem értés esetén a megtagadása igazolást állít ki a gyártó jogosult alkalmazni a központi hatóságának, a minősítési rendszer a szövetségi tanúsító szervezet vagy Tárcaközi Bizottság további megfontolás kapott vizsgálati eredményeket.

10. A szövetségi ügynökség tanúsítási és tanúsító szervezetek védelme érdekében a média a jogot, hogy felfüggeszti vagy visszavonja a tanúsítványt a következő esetekben:

  • változó szabályok és útmutatókat információ védelmére szempontjából a követelmények az információs biztonsági eszközök, vizsgálati módszerek és ellenőrzése;
  • változó technológia, a szerkezet (összetétel), teljesség információs eszközök védelme és minőség-ellenőrzési rendszer;
  • gyártó megtagadta zökkenőmentes végrehajtását hatóság által gyakorló személyek állami ellenőrzés és felügyelet, ellenőrzés ellenőrzési igazolás és hiteles információs eszközök védelme.

11. A fizetési eljárás művek kötelező tanúsítási információbiztonsági megoldások által meghatározott szövetségi tanúsító szervezet egyeztetve a Pénzügyminisztérium, az Orosz Föderáció. Fizetési tanúsítási különleges eszközöket az informatikai biztonság alapján közötti szerződés tanúsító résztvevők.

12. Az ellenőrzés szabályozása tanúsított információk védelmét szolgáló eszközök hajtjuk szervek, ezek az eszközök végzi tanúsító vonatkozó előírásokat.

13. bármely kérdésben a tevékenységét a résztvevők tanúsító az érdekelt fél fellebbezhet a tanúsító szerv adatok védelmének a központi rendszer tanúsító hatóság a szövetségi tanúsító szerv vagy Tárcaközi Bizottság. Ezek a szervezetek egy hónapon belül megvizsgálja a fellebbezést az érintett felek bevonása, és tájékoztatja a fellebbező a határozat.

Kapcsolódó cikkek