Правовые аспекты системы безопасности. Александр Кришталюк
направлении деятельности, получить лицензию на право оказания услуг сторонним предприятиям в этой области. При этом закрепляется также положение об обязательной государственной аттестации руководителей предприятий, ответственных за защиту сведений, составляющих государственную тайну.
Следует отметить, что на проведение работ по защите информации в собственных нуждах приобретение лицензии не требуется.
3.4. Система сертификации
Под сертификацией продукции на требования безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата и знака соответствия с определенной степенью достоверности подтверждается, что продукция соответствует требованиям стандартов по безопасности информации или иных нормативно-технических документов, утвержденных органом государственного управления в этой области (в настоящее время Гостехкомиссией РФ).
Система предусматривает сертификацию технических, программно-технических, программных средств, систем, сетей вычислительной техники, как законченной научно-технической продукции, средств защиты и контроля эффективности защиты по требованиям безопасности информации.
Основные принципы, организационная структура системы сертификации продукции по требованиям безопасности информации, а также правила проведения сертификации этой продукции изложены в "Положении о сертификации средств защиты информации".
Положение о сертификации средств защиты определяет.
1) структуру, взаимоотношения и права организаций, специализирующихся в области защиты информации;
2) необходимый комплекс сведений при решении двух практических задач, организации сертификации разработанных средств защиты; целесообразности заключения договоров о разработке и покупке средств защиты информации.
Система сертификации продукции по требованиям безопасности информации направлена на: обеспечение прав собственника и владельца информации (владельца автоматизированной системы); сохранение в тайне информации, обрабатываемой средствами вычислительной техники; исключение несанкционированного ее искажения или уничтожения; поддержание АС в управляемом состоянии. Она призвана обеспечить потребителям средств вычислительной техники (СВТ) и АС безопасную обработку любой конфиденциальной или иной ценной информации.
В то же время при реализации эта система требует объективности и независимости проведения испытаний образцов продукции и экспертизы результатов таких испытаний. Это возможно при выполнении следующих условий: наличия постоянного совершенствования нормативно-технических документов, определяющих требования к характеристикам защищенности продукции, использования в процессе испытаний сертифицированных тестовых средств при строгом соблюдении предписанных правил и процедур.
Следует отметить, что и в вопросах