Сертификация информационных систем
Качество - совокупность свойств продукции, обусловливающих ее способность удовлетворять определенные потребности.
Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров.
Сертификат - документ, выданный по правилам системы сертификации, подтверждающий, что продукция, процесс или услуга соответствуют заданным требованиям.
Уровень качества продукции, в общем случае, устанавливается в нормативных документах по стандартизации (технических условиях, технических регламентах, стандартах). При этом не столь важно, кто и каким способом создал эту продукцию. При сертификации продукции подтверждается лишь то, что данная продукция соответствует или нет установленным в нормативных документах требованиям.
Системы сертификации включают:
а) нормативные документы, в которых заданы требования к продукции и системам качества;
|
|
б) испытательное оборудование;
в) средства контроля и измерений;
г) документированные процедуры проведения работ;
д) высококвалифицированных специально подготовленных специалистов.
Данные элементы объединены в испытательные лаборатории и органы по сертификации, работающие в едином нормативном и организационном пространстве по общим правилам, что обеспечивает непрерывное совершенствование этого инструмента.
Вся деятельность по сертификации базируется на законодательстве Российской Федерации и принятых на его основе постановлений и других нормативных документов, регулирующих все аспекты деятельности в этой сфере.
В Российской Федерации принят ряд основополагающих законов, которые в разной степени призваны регулировать работы по сертификации в сфере информатизации:
Закон "О защите прав потребителей" - устанавливает обязательную сертификацию по требованиям безопасности всей продукции, продаваемой на территории РФ для личных нужд потребителя.
Закон "Об информации, информационных технологиях и о защите информации", который регулирует отношения, возникающие при формировании и использовании информационных ресурсов и применения информационных технологий.
Закон "О техническом регулировании" устанавливает права и обязанности участников сертификации. Этим законом установлена обязательная и добровольная сертификация.
Оценка качества информационных систем
Оценка качества (аттестация) объекта информатизации по требованиям безопасности информации представляет собой комплекс организационно-технических мероприятий, в результате которых подтверждается, что на этом объекте выполнены требования по безопасности информации, заданные в нормативно-технической документации, утвержденные государственными органами обеспечения безопасности информации и контролируемые при аттестации.
|
|
По окончании работ, при соблюдении всех нормативных требований, предприятию-заявителю выдается Аттестат соответствия, разрешающий обрабатывать информацию определенного уровня конфиденциальности.
Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Аттестация поводится органом по аттестации в установленном законодательством порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
· анализ исходных данных по аттестуемому объекту информатизации;
· предварительное ознакомление с аттестуемым объектом информатизации;
· проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
· проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
· проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
· проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
· анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.