Электронная коммерция и законы » Советы новичкам » Средства защиты информации (межсетевые экраны): сертификация и лицензирование/ Ю. Криворот

Средства защиты информации (межсетевые экраны): сертификация и лицензирование/ Ю. Криворот

О необходимости сертификации средств защиты информации и лицензирования деятельности, связанной с защитой информации, разъясняет Юлия Ивановна  Криворот, заместитель директора ООО "Компания "Юридические технологии", krivorot@legaltech.by

По состоянию на 15 мая 2015 года

Межсетевые экраны (сетевые экраны, брандмауэры, файерволы)

Межсетевые экраны (сетевые экраны, брандмауэры, файерволы) представляют собой комплекс аппаратных и программных средств, осуществляющих контроль и фильтрацию сетевых пакетов – оформленных определенным образом блоков данных – согласно установленным правилам.

межсетевые экраны

Перед выпуском в обращение на рынке средства защиты информации должны быть подвергнуты процедуре подтверждения соответствия требованиям информационной безопасности технического регламента в форме сертификации или декларирования соответствия.

Межсетевые экраны, выполняющие функции защиты информации, подлежат декларированию соответствия продукции, а если организация, которая его приобретает, использует в работе информацию, распространение  которой ограничено или работает с государственными секретами и экран приобретается для защиты такой информации, то деятельность по продаже такого оборудования подлежит лицензированию, а сам экран – сертификации.

Согласно статье 28 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации,  информатизации и защите информации»  для создания защиты информации используются средства технической и криптографической защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы, порядок проведения которой определяется Оперативно-аналитическим центром при Президенте Республики Беларусь. В случаях, определенных законодательными актами Республики Беларусь о лицензировании, физические и юридические лица, занимающиеся созданием средств защиты информации и (или) реализацией мер по защите информации, вправе осуществлять деятельность в этой области на основании специальных разрешений (лицензий).

Межсетевые экраны как средство защиты информации (средство обеспечения сетевой безопасности) подлежат подтверждению соответствия требованиям информационной безопасности технического регламента Республики Беларусь ТР 2013/027/BY «Информационные технологии. Система защиты информации. Информационная безопасность», утвержденного постановлением Совета Министров Республики Беларусь от 15.05.2013 № 375.

Согласно п.3 ст. 6 ТР 2013/027/BY подтверждению соответствия требованиям информационной безопасности путем сертификации подлежат средства защиты информации, которые будут использоваться для:

технической защиты государственных секретов;

создания систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;

создания систем безопасности критически важных объектов информатизации;

обеспечения целостности и подлинности электронных документов в государственных информационных системах.

Согласно п.4 ст. 6 ТР 2013/027/BY подтверждение соответствия требованиям информационной безопасности средств защиты информации, за исключением вышеуказанных, осуществляется изготовителем – юридическим лицом Республики Беларусь или импортером путем декларирования соответствия.

ND: Даже в том случае, если в отношении средства защиты информации получен сертификат соответствия Таможенного союза, это не исключает в случае реализации данной продукции на рынке обязанность прохождения процедуры декларирования соответствия или сертификации в Оперативно-аналитическом центре при Президенте Республики Беларусь.

Согласно статье 17 Закона Республики Беларусь от 10.11.2008 № 45-З «Об информации,  информатизации и защите информации»  к информации, распространение и (или) предоставление которой ограничено, относится информация о частной жизни лица и персональные данные; сведения, составляющие государственные секреты; служебная информация ограниченного распространения; информация, составляющая коммерческую, профессиональную, банковскую и иную охраняемую законом тайну; информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда до завершения производства по делу; иная информация, доступ к которой ограничен законодательными актами Республики Беларусь.

Соответственно, в том случае, если организация, которая приобретает межсетевой экран, приобретает его для ограничения распространения информации, которая относится к служебной информации ограниченного распространения или к коммерческой тайне организации, или же эта организация работает с государственными секретами, то деятельность по реализации межсетевых экранов подлежит лицензированию, а сам межсетевой экран – сертификации. В случае если межсетевой экран приобретается с целью блокирования входа/выхода информации, не относящейся к вышеуказанной,  то межсетевой экран подлежит декларированию соответствия продукции (без необходимости получения лицензии).

закон межсетевые экраны

Лицензионными требованиями и условиями согласно Указу Президента Республики Беларусь от 01 сентября 2010 года № 450 «О лицензировании отдельных видов деятельности», предъявляемыми к соискателю лицензии, являются:

наличие в штате не менее 3 специалистов, имеющих высшее образование в области технической и (или) криптографической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической и (или) криптографической защиты информации в порядке, установленном законодательством;

наличие средств измерения и контроля, технических, программно-аппаратных и программных средств, а также помещений, необходимых для выполнения работ и (или) оказания услуг, составляющих лицензируемую деятельность.

Для получения лицензии ее соискатель обязан предоставить сведения:

о работниках соискателя лицензии, которыми будет осуществляться лицензируемая деятельность, с указанием фамилии, собственного имени, отчества, образования, специальности, квалификационного разряда и трудового стажа;

о наличии средств измерений и контроля, технических, программно-аппаратных и программных средств, а также помещений, необходимых для выполнения работ и (или) оказания услуг, составляющих лицензируемую деятельность.

Оперативно-аналитический центр также запрашивает в порядке, установленном настоящим Положением, копию разрешения органов государственной безопасности Республики Беларусь (при его наличии), выданного соискателю лицензии на осуществление деятельности с использованием сведений, составляющих государственные секреты.

Получение сертификатов соответствия представляет собой сложную процедуру, которая включает в себя различные схемы в зависимости от вида и количества товара, имеющие в свою очередь определенные этапы.

Подтверждение соответствия средств защиты информации проводится путем декларирования соответствия по одной из схем:

1. при принятии заявителем декларации о соответствии на основании собственных доказательств Заявитель:

 - формирует документы, подтверждающие соответствие продукции установленным требованиям и правомочность принятия декларации о соответствии;

 - проводит испытания продукции;

 - принимает декларацию о соответствии;

 - подает заявление на регистрацию декларации о соответствии;

 - заключает договор на проведение работ по подтверждению соответствия (регистрации декларации о соответствии).

Аккредитованный орган по сертификации:

 - заключает договор на проведение работ по подтверждению соответствия (регистрации декларации о соответствии);

 - проводит анализ представленной заявителем декларации о соответствии;

регистрирует декларацию о соответствии).

2. при принятии заявителем декларации о соответствии на основании собственных доказательств и доказательств, полученных с участием аккредитованного органа по сертификации и (или) аккредитованной испытательной лаборатории Заявитель:

 - формирует документы, подтверждающие соответствие продукции установленным требованиям и правомочность принятия декларации о соответствии;

 - предоставляет продукцию для испытаний;

 - принимает декларацию о соответствии;

 - подает заявление на регистрацию декларации о соответствии;

 - заключает договор на проведение работ по подтверждению соответствия (регистрации декларации о соответствии) и испытаний.

Аккредитованная испытательная лаборатория (центр):

 - заключает договор на проведение испытаний;

 - проводит испытания продукции.

Аккредитованный орган по сертификации:

 - заключает договор на проведение работ по подтверждению соответствия (регистрации декларации о соответствии);

 - проводит анализ представленной заявителем декларации о соответствии;

регистрирует декларацию о соответствии).

При проведении аккредитованным органом по сертификации работ по подтверждению соответствия средств защиты информации заявитель:

подает заявку на проведение работ по сертификации продукции с комплектом документов, который включает:

 - технические условия (при наличии);

 - задание по безопасности и протокол его оценки в испытательной лаборатории (при сертификации на соответствие требованиям СТБ 34.101.1-2004, СТБ 34.101.2-2004, СТБ 34.101.3-2004);

 - эксплуатационные документы;

 - перечень взаимосвязанных с настоящим техническим регламентом государственных стандартов, требованиям которых соответствует средство защиты информации (при их применении изготовителем);

 - протокол (протоколы) испытаний, проведенных в аккредитованных испытательных лабораториях;

 - копии сертификатов на систему управления качеством и (или) систему управления безопасностью продукции (при наличии);

 - заключает договор на проведение работ по сертификации продукции;

 - предоставляет продукцию для проведения идентификации  и отбора образцов для испытаний;

 - создает условия для проведения анализа состояния производства (при необходимости);

 - заключает с аккредитованным органом по сертификации соглашение по сертификации;

   - создает условия для проведения инспекционного контроля за сертифицированной продукцией;

аккредитованная испытательная лаборатория:

заключает договор на проведение испытаний;

проводит испытания продукции.

Аккредитованный орган по сертификации имеет право запросить дополнительную техническую (конструкторскую) документацию (тексты и описания программных средств, методики и программы испытаний, спецификации, сборочные чертежи, чертежи сборочных единиц и деталей, электрические схемы или иные документы, согласно которым изготавливается средство защиты информации), необходимую для подтверждения соответствия средства защиты информации требованиям информационной безопасности настоящего технического регламента.

Кроме того, в соответствии с пп.3,5 ст.4 ТР 2013/027/BY, непосредственно на средства защиты информации либо их носители должны быть нанесены, а также указаны в прилагаемых к ним эксплуатационных документах: наименование и (или) обозначение средств защиты информации (тип, марка, модель), их параметры и характеристики, наименование и (или) товарный знак изготовителя, наименование страны-изготовителя.

Кроме того, эксплуатационные документы средств защиты информации должны включать:

информацию о назначении средств защиты информации;

основные потребительские свойства или характеристики;

правила и условия безопасной эксплуатации (использования);

правила и условия хранения, перевозки, реализации, монтажа и утилизации (при необходимости установления требований к ним);

информацию о мерах, которые следует предпринять при обнаружении неисправности;

местонахождение изготовителя, информацию для связи с ним;

наименование и местонахождение уполномоченного представителя изготовителя, импортера, информацию для связи с ним;

дату изготовления средств защиты информации;

обязательства изготовителя (уполномоченного представителя изготовителя) по установке, сопровождению и поддержке средств защиты информации.

Таким образом, средства защиты информации, должны быть маркированы знаком соответствия техническому регламенту согласно ТКП 5.1.08-2012 «Национальная система подтверждения соответствия Республики Беларусь. Знаки соответствия. Описание и порядок применения», т.е. должны пройти декларирование соответствия или получить сертификат соответствия, иначе они  не допускаются к выпуску в обращение на рынке Республики Беларусь (ч.2 ст.3 ТР 2013/027/BY).

Следует отметить, что реализация товаров без сертификатов соответствия, требуемых к получению  в Оперативно-аналитическом центре при Президенте Республики Беларусь, влечет административную ответственность согласно ч.1 ст. 23.11 Кодекса об административных правонарушениях Республики Беларусь, в частности, относительно юридического лица – до двухсот процентов стоимости реализованной продукции, а при невозможности ее установления –  до пятисот базовых величин.

Добавить комментарий

CAPTCHA
Ответьте на этот вопрос, чтобы мы убедились что вы не робот
4 + 4 =
Solve this simple math problem and enter the result. E.g. for 1+3, enter 4.