Проблемы сертификации информационных технологий (ИТ) в принципе близки к тем, которые приходится решать для других видов изделий. Но высокая сложность объектов сертификации и многообразие их показателей качества выявляют ряд особенностей. При анализе сертификации ИТ целесообразно выделить следующие проблемы:
1) научно-методические проблемы, состоящие в создании эффективных по затратам ресурсов методов сертификационных испытаний ИТ, гарантирующих достоверное определение заданных показателей качества и соответствие документации;
2) технологические проблемы, заключающиеся в обеспечении реализации методов испытаний ИТ средствами автоматизации, тестирования и организации регламентированных проверок качества программ, данных и документации на разных этапах их создания и при непосредственных сертификационных испытаниях;
3) проблемы стандартизации и нормативной документации, включающие в себя последующий выбор и адаптацию документов, применяемых для сертификационных испытаний определенных видов ИТ, программных средств и баз данных;
4) организационные проблемы, состоящие в создании международных, государственных и ведомственных органов, ответственных за сертификацию ИТ, программных средств и баз данных, в определении их прав и обязанностей, в оснащении их необходимыми нормативно-методическими и инструментально-технологическими средствами;
5) экономические проблемы, сводящиеся к выявлению, оценке и применению экономически эффективных методов использования ресурсов испытаний ИТ, обеспечивающих заданную достоверность определения их качества;
6) правовые проблемы, заключающиеся в создании юридических механизмов процессов сертификации и использования их результатов, создании нормативов, правил взаимодействия и распределения экономической и юридической ответственности между поставщиками, испытателями и потребителями ИТ за несоответствие реальных показателей качества гарантированным характеристикам сертифицированных изделий.
Документом “Номенклатура продукции и услуг (работ), в отношении которых законодательными актами РФ предусмотрена их обязательная сертификация” к продукции, подлежащей обязательной сертификации, отнесены следующие средства информатизации:
— вычислительные машины и комплексы;
— персональные ЭВМ;
— устройства внешней памяти, ввода-вывода и отображения информации;
— устройства подготовки и телеобработки данных.
Порядок сертификации средств защиты информации в РФ и ее учреждениях за рубежом установлен Положением “О сертификации средств защиты информации”, утвержденным Постановлением Правительства РФ от 26 июня 1995 г. № 608. Это Положение определяет области деятельности и сферу компетенции различных государственных органов при сертификации средств защиты информации.
Основной объем работ по сертификации средств защиты информации в пределах Российской Федерации возлагается на Государственную техническую комиссию при Президенте Российской Федерации (Гостехкомиссию России) и Федеральное агентство правительственной связи и информации (ФАПСИ). В связи с упразднением ФАПСИ функции сертификации выполняют соответствующие органы Минобороны и МВД. Координация работ по организации сертификации этой продукции возложена на Межведомственную комиссию по защите государственной тайны.
Гостехкомиссия России является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты информации некриптографическими методами.
Непосредственное подчинение Президенту Российской Федерации обеспечивает независимость Гостехкомиссии России от региональных, ведомственных и корпоративных влияний, гарантирует соответствие ее деятельности высшим государственным интересам. Гостехкомиссия России — коллегиальный орган. В ее состав входят министры, председатели государственных комитетов, первые заместители (заместители) этих руководителей. Решения Гостехкомиссии России являются обязательными для исполнения всеми органами государственного управления, предприятиями, организациями и учреждениями независимо от их организационно-правовой формы и формы собственности, которые по роду своей деятельности обладают информацией, составляющей государственную или служебную тайну.
В ведении органов, пришедших на смену ФАПСИ, находится сертификация средств защиты информации, использующих методы криптографии (шифрования).
В Российской Федерации созданы и функционируют две системы сертификации средств защиты информации:
1) “Система сертификации средств защиты информации по требованиям безопасности информации” № РОСС RU.OOOI.OIBHOO, разработанная Гостехкомиссией России и зарегистрированная Госстандартом России;
2) “Система сертификации средств криптографической защиты информации (СКЗИ)” № РОСС RU.OOO 1.030001, разработанная ФАПСИ и зарегистрированная Госстандартом России.
Эти системы сертификации технических и программных средств направлены на защиту интересов государства и государственного информационного ресурса, а также интересов и прав собственников и владельцев информации.
Основные принципы организации систем добровольной сертификации средств информатизации и ведения процедуры сертификации показываются на примере Системы добровольной сертификации средств и систем в сфере информатизации “Росинфосерт”, являющейся одним из важнейших инструментов проведения единой государственной научно-технической политики в сфере информатизации России.
Система сертификации “Росинфосерт” была учреждена в 1994 г. Роскоминформом, функции которого в результате ряда структурных преобразований возложены сегодня на Минсвязи России.