Кому нужна сертификация?

Обязательность оценки соответствия неразрывно связана с требованиями, предъявляемыми заказчиком. Он формулирует требования к разработке, поставке, внедрению продукта или системы на объекты информатизации организации (ЭВТ, АС, КСА и т.д.).

Что подлежит сертификации?

Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и иной информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается Гостехкомиссией России и согласовывается с Межведомственной комиссией по защите государственной тайны. Говоря о категориях информации, можно выделить:

• государственные информационные ресурсы;
• персональные данные граждан;
• специальные категории персональных данных граждан (относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
• информационные ресурсы негосударственных организаций.

Как осуществляется сертификация?

Меры по обеспечению безопасности персональных данных реализуются также посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда их применение необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Система сертификации средств защиты информации по требованиям безопасности информации включает в себя аттестацию объектов информатизации и подлежит государственной регистрации в установленном Госстандартом России порядке. Основные принципы, правила проведения, а также другие вопросы аттестации определяются "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации. Деятельность системы сертификации организует Гостехкомиссия России в пределах ее компетенции, определенной законодательными и иными нормативными актами Российской Федерации.

Правовая база

В правовую базу входят:

• законы Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне";
• Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 "О сертификации средств защиты информации";
• "Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам".

Сертификация проводится на основании "Системы сертификации ГОСТ Р" и "Правил по проведению сертификации в Российской Федерации".

Ответственность

Ответственность за нарушение правил защиты информации сформулирована в КоАП РФ и содержится, в частности, в ст. 13.12. КоАП РФ.

Добровольная сертификация

Говоря о добровольной сертификации, следует упомянуть ст. 21 Закона "О Техническом регулировании" 2014 г., которая содержит основные положения по порядку ее проведения.

В п. 1 указано, что добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.

В п. 2 говорится, что система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями. Добровольная сертификация может использоваться для обеспечения соответствия корпоративным стандартам, а также в качестве обеспечения мер по защите ПДн.

Говоря о необходимости осуществления сертификации информационных систем, следует учитывать риски, которые могут возникнуть у компании в случае отсутствия должным образом проведенного и оформленного в соответствии с действующим законодательством РФ комплекса действий по организации защиты информационных систем, а также их сертификации в случаях, установленных законом.

Оценка соответствия

Оценка соответствия осуществляется в соответствии с Федеральным законом от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании". Согласно ему, декларирование соответствия является формой подтверждения соответствия продукции требованиям технических регламентов. Говоря о документе, называемом декларацией о соответствии, закон отмечает, что это документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов. По данному ФЗ оценка соответствия представляет собой прямое или косвенное определение соблюдения требований, предъявляемых к объекту, а подтверждение соответствия является документальным удостоверением соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.

Подводя итоги, отметим, что из анализа статей закона получается, что осуществление подтверждения способа соответствия возможно следующими способами: добровольная сертификация, обязательная сертификация и декларирование соответствия.

Также хочется отметить, что при нейтрализации угроз с помощью средств защиты необходимо использовать СЗИ, прошедшие оценку соответствия, а добровольная сертификация и обеспечение средств защиты информации способны повысить надежность компании.

Комментарий эксперта

Международный суд

Петр Ляпин

Начальник службы информационной безопасности, “НИИ Транснефть”

Завершая цикл материалов о киберпреступности, целесообразно остановиться на идее создания универсального судебного органа по рассмотрению наиболее серьезных киберпреступлений мирового масштаба.

Необходимость усматривается, во-первых, через призму глобального характера последствий отдельных тяжких киберпреступлений (против критически важных инфраструктур государств, мира и безопасности), а во-вторых – через призму сложности и объективной длительности унификации национальных уголовных законов, механизмов рассмотрения и разрешения уголовных дел.

По общему правилу, уголовное преследование относится к исключительной компетенции суверенного государства. Исключения, тем не менее, существуют. Так, Международный уголовный суд (МУС) обладает правом привлекать к ответственности физических лиц за военные преступления, преступления против человечности и геноцид, определяя их как наиболее тяжкие в масштабах всего мирового сообщества. Юрисдикция МУС очень тщательно сформулирована в Римском статуте. Здесь реализован принцип дополняемости – МУС может осуществлять свою юрисдикцию только в том случае, если национальный суд не способен или не готов сам ее реально осуществить.

Выход киберпреступлений на тот же критический для всего мирового сообщества уровень определенно должен привлечь соответствующее внимание. Здесь видится два пути: расширение компетенции МУС или создание отдельного судебного органа с исключительной компетенцией по наиболее серьезным киберпреступлениям, угрожающим международному миру и безопасности. В июне 2014 г. Стейн Шьольберг (Stein Schjolberg), судья чрезвычайного апелляционного суда Норвегии, предложил уже 9-е издание проекта международного договора уровня ООН по созданию международного трибунала по киберпреступности (http://www.cybercrimelaw.net/), согласование и принятие которого могло бы быть достаточно значимым шагом.

Сложность в том, что сегодня существует единственный легальный универсальный международный силовой механизм, к компетенции которого относятся или могут относиться подобные вопросы, – это Совет Безопасности ООН.