Официальные комментарии специалистов Оперативно-аналитического центра при Президенте Республики Беларусь (далее - ОАЦ) по вопросам проведения государственной экспертизы средств защиты информации и продукции по требованиям безопасности информации.

Какими нормативными правовыми актами и техническими нормативными правовыми актами до принятия Закона Республики Беларусь «Об информации, информатизации и защите информации» и постановления Совета Министров Республики Беларусь от 26 мая 2009 г. № 675 были определены требования по защите информации?

До принятия Закона Республики Беларусь «Об информации, информатизации и защите информации» и постановления Совета Министров Республики Беларусь от 26 мая г.2009 № 675 основные требования по защите информации были определены следующими нормативными правовыми актами и техническими нормативными правовыми актами:

  • Законом Республики Беларусь «Об информатизации» от 6 сентября 1995 г.;
  • Законом Республики Беларусь «О государственных секретах» от 29 ноября 1994 г.;
  • постановлением Совета Министров Республики Беларусь от 10 февраля 2000 г. № 186 «О некоторых мерах по защите информации в Республике Беларусь»;
  • постановлением Совета Министров Республики Беларусь от 15 февраля 1999 г. № 237 «О служебной информации ограниченного распространения»;
  • постановлением Совета Министров Республики Беларусь от 29 мая 2001 г. № 784 «О перечне информационных ресурсов, имеющих государственное значение»;
  • СТБ 34.101.1:3-2004 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий»;
  • СТБ П 34.101.6-2003 «Информационные технологии и безопасность. Задание по обеспечению безопасности. Разработка, обоснование, оценка»;
  • СТБ П 34.101.7-2003 «Информационные технологии и безопасность. Профиль защиты. Разработка, обоснование, оценка»;
  • СТБ 34.101.9-2004 «Информационные технологии. Требования к защите информации от несанкционированного доступа, устанавливаемые в техническом задании на создание автоматизированной системы»;
  • СТБ 34.101.10-2004 «Информационные технологии. Средства защиты информации от несанкционированного доступа в автоматизированных системах. Общие требования»;
  • СТБ П ИСО/МЭК 17799-2000 «Информационные технологии и безопасность. Правила управления информационной безопасностью».
В чем отличие государственной экспертизы от сертификации?

В соответствии с пунктом 3 Положения о порядке проведения государственной экспертизы средств защиты информации область применения экспертизы – подтверждение соответствия реализации функций защиты продукции единичного производства либо продукции, требования к которой техническими нормативными правовыми актами (далее – ТНПА) не установлены.

Согласно пункту 4 Положения, экспертиза продукции проводится на соответствие ТНПА (только для продукции единичного производства) в области безопасности информации, а также на соответствие заявленным показателям (характеристикам) продукции по технической защите информации, содержащимся в документации изготовителя.

Сертификация - форма подтверждения соответствия, осуществляемого аккредитованным органом по сертификации.

Подтверждение соответствия - вид оценки соответствия, результатом осуществления которого является документальное удостоверение соответствия объекта оценки соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации.

Оценка соответствия - деятельность по определению соответствия объектов оценки соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации.

Аккредитация - вид оценки соответствия, результатом осуществления которого является официальное признание компетентности юридического лица в выполнении работ по подтверждению соответствия и (или) проведении испытаний продукции.

Объектами оценки соответствия являются:

  • продукция;
  • процессы разработки, производства, эксплуатации (использования), хранения, перевозки, реализации и утилизации продукции;
  • оказание услуг;
  • система управления качеством;
  • система управления окружающей средой;
  • компетентность юридического лица в выполнении работ по подтверждению соответствия и (или) проведении испытаний продукции;
  • профессиональная компетентность персонала в выполнении определенных работ, услуг;
  • иные объекты, в отношении которых в соответствии с законодательством Республики Беларусь принято решение об оценке соответствия (ТКП 5.1.01-2011).

Таким образом, сертификация проводится на соответствие ТНПА (в том числе и продукции единичного производства по схеме 9 согласно ТКП 5.1.02-2011). Но схема 9 предусматривает проведение процедуры сертификации только для тех единичных изделий, которые внесены в перечень продукции, услуг, подлежащих обязательной сертификации.

Когда и на какой срок заключается договор на проведение государственной экспертизы?

При наличии заявки установленной формы, правильности ее оформления и достаточности представленных документов заявителю направляется решение о проведении экспертизы продукции, а также проект договора на ее проведение в двух экземплярах (пункт 18 Положения).

Договор признается заключенным с момента подписания его обеими сторонами. Договор на проведение экспертизы содержит календарный план оказания услуг, в котором оговорены сроки выполнения работ экспертизы. Срок проведения экспертизы, включая проведение испытаний в испытательных организациях, должен составлять не более 90 рабочих дней в зависимости от сложности представленной на экспертизу продукции.

В случае выявления в процессе экспертизы несоответствия продукции заявленным показателям (характеристикам) по технической защите информации, требованиям ТНПА срок проведения экспертизы по согласованию с заявителем может быть продлен для устранения выявленных недостатков (пункт 36 Положения). При завершении работ орган государственной экспертизы направляет заявителю акт сдачи-приемки выполненных работ.

На каком этапе государственной экспертизы осуществляется отбор образцов? Какие документы регламентируют количество отбираемых образцов?

В соответствии с пунктом 20 Положения отбор образцов продукции для испытаний в независимой аккредитованной испытательной лаборатории и документирование процедуры отбора образцов продукции осуществляет в соответствии с решением органа государственной экспертизы после заключения договора на проведение экспертизы его уполномоченный представитель - эксперт. Отбор образцов продукции осуществляется в присутствии заявителя или его уполномоченного представителя. Что касается программных средств защиты информации, в случае изменения хэш-значения в результате их доработки в процессе проведения испытаний допускается проведение повторного отбора образцов с составлением акта отбора образцов. При этом, если в результате выполнения доработок продукта сроки проведения испытаний превысили сроки, указанные в договоре на проведение испытаний, то по согласованию с заявителем срок проведения экспертизы может быть продлен. Об изменении контрольных характеристик заявитель должен письменно извещать орган государственной экспертизы.

Методы отбора и количество отбираемых образцов установлены Государственным стандартом ГОСТ 18321-73 «Статистический контроль качества. Методы случайного отбора выборок штучной продукции».

Все ли средства защиты информации подлежат государственной экспертизе?

На государственную экспертизу представляются средства защиты информации, которые предполагается использовать при создании систем защиты информации в государственных информационных системах и информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено (пункт 2 Положения). Не представляются на экспертизу средства технической защиты государственных секретов, которые должны иметь сертификат соответствия, удостоверяющий их соответствие требованиям по защите сведений, составляющих государственные секреты (статья 31 Закона «О государственных секретах»).

На соответствие каким требованиям заявитель представляет продукцию на экспертизу?

Заявитель представляет продукцию на экспертизу на соответствие номенклатуре показателей, согласованных с органом государственной экспертизы, в которую в обязательном порядке включаются показатели по технической защите информации (пункт 5 Положения). Данные показатели могут быть представлены в виде набора функциональных и гарантийных требований безопасности в соответствии с выбранным уровнем гарантии оценки (СТБ 34.101.2-2004, СТБ 34.101.3-2004).

Вопрос-ответ