S3R: Сертификация по безопасности, лаборатория Гостехкомиссии, сертификация программ и лицензирование деятельности по безопасности в системе Гостехкомиссии

Центр сертификации программно-аппаратных средств
Испытательная лаборатория Гостехкомиссии РФ

Проведение сертификационных испытаний средств защиты информации

Виды сертификационных испытаний и проверок, проводимых лабораторией

Дополнительная информация по лаборатории, реквизиты, контакты

Справка по правилам сертификации в Системе сертификации Гостехкомиссии РФ

Для чего и когда необходима сертификация средств защиты и обработки информации !!

Виды сертификационных испытаний и проверок, проводимых лабораторией

Лаборатория проводит все сертификационные испытания:

- соответствие требованиям по защите информации от НСД;

- на соответствие ТУ на вид продукции (соответствие реальным и декларируемым возможностям);

- на отсутствие недеклариуемых возможностей;

- на соответствие требованиям по защите информации от утечки за счет ПЭМИН (для аппаратных компонент);

- дополнительные проверки по требованиям заявителя.

Лаборатория обладает хорошей материальной базой и квалификацией персонала для исследования программной продукции, в том числе коммуникационного и сетевого (Интернет) назначения.

Дополнительная информация по лаборатории

Лаборатория работает в Системе сертификации Гостехкомиссии более 5 лет. (см. >> cписок лабораторий Гостехкомиссии).

Профессиональную деятельность лаборатория осуществляет на основании лицензий:
Гостехкомисии РФ, ФАПСИ, МО РФ, ФСБ и других.

Эксперты лаборатории участвовали в сертификации и экспертизе материалов нескольких десятков средств защиты информации, в том числе: Dr.Web, Adinf, SecretNet, DOS Багет, MSVS, Windows NT, Novell Netware и др.

Справки и предварительный контакт относительно сертификации программных средств: >>

Справка по правилам сертификации продукции

Сертификации в Гостехкомиссии РФ подлежат все средства защиты информации, кроме криптографических, а также системы обработки информации ограниченного доступа (если информация составляет гостайну или относится к конфиденциальной - 32 вида тайн).
Средства защиты информации подлежат испытаниям на соответствие классу защиты информации от несанкционированного доступа (см. требования >>).
Программное обеспечение средств защиты информации ограниченного доступа подлежит испытаниям на отсутствие недекларируемых возможностей (см. требования >>)
Средства обработки информации могут подлежать испытаниям только на соответствие ТУ.

Заявка пишется в Орган сертификации Гостехкомиссии РФ.

Сертификационные испытания проводит испытательная лаборатория Гостехкомиссии.

По результатам испытаний выдается государственный сертификат на соответствие требованиям по безопасности информации.

Дополнительную информацию можно получить на сайте Гостехкомиссии РФ >>.

Заявки и предварительный контакт относительно сертификации программных средств: >>.

Для чего и когда необходима сертификация !!

1. Обязательной сертификации по требованиям безопасности информации подлежат программные продукты и системы, предназначенные для обработки и защиты информации ограниченного доступа (гостайна, конфиденциально, в т.ч. персональные данные) или для использования в управлении потенциально опасными объектами [см. Положение о сертификации .. >>, а затем: ст.274 УК РФ].

2. Коммерческие учреждения в обязательном порядке должны использовать только сертифицированные средства, если обрабатывают государственный информационный ресурс ограниченного доступа [ФЗ-24 >>], например: выполняют госзаказ, получают информацию из госисточников, взаимодействуют с Центробанком России.

3. При использовании несертифицированных средств защиты информации ограниченного доступа юридическая ответственность (юридический риск убытков) возлагается на организацию, обрабатывающую/защищающую указанную информацию.
Тонкость - при использовании несертифицированных средств владелец этих средств обязан заявить об отсутствии сертификата всем пользователям информации, защищаемой/обрабатываемой несертифицированными средствами.
В противном случае владелец несертифицированных средств несет ответственность за убытки, понесенные пользователем, вследствие использования несертифицированного средства.
В случае использования заявленных несертифицированных средств риски убытков несут владелец и пользователь несертифицированных средств [см.пример >>].

4. Затраты на обязательную сертификацию включаются в себестоимость продукции [ФЗ-24 >>, Инструктивное письмо Минфина].

5. Очевидный рекламный эффект. (Вспомним сертификацию Windows NT по классу C2 без сетевой платы! гибкого диска и с 64-я ограничениями.)

6. Конкурентоспособность (при трендах, вывозе за рубеж, льготы по качеству).

7. Качество продукции. Даже условно формальная сторона сертификации требует проверку документации, маркировки, упаковки, выполнение контроля целостности, комплектности и т.д. и др., причем, в том числе независимыми экспертами (процесс сертификация имеет 3-х ступенчатую структуру: орган сертификации - испытательная лаборатория - независимые внешние эксперты).

8. Ваша безопасность. Проведение испытаний программной продукции на отсутствие недекларируемых возможностей (неописанных в документации) в рамках сертификации дает фактическую (и юридическую) гарантию, что в продукте отсутствуют какие-либо разрушающие или вирусные компоненты, а также различные небезопасные закладки, дефекты, некорректности и ляпы.

9. Если сертификация проводится не по требованиям руководящих документов, а по новому ГОСТ Р ИСО/МЭК 15409-2001, то полученный сертификат соответствует международным требованиям [Стандарты >>]!