Научно-технические статьи с комментариями на тему анализа нормативно-правовой базы процесса сертификации средств защиты информации еще лет пять назад встречались в основном в специализированных изданиях. Это объяснимо, так как обсуждаемая тема была наиболее близка лишь некоторым подразделениям уполномоченных органов власти (ФСТЭК России, ФСБ России, Минобороны России). Именно эти федеральные органы исполнительной власти постановлением Правительства Российской Федерации № 608 «О сертификации средств защиты информации» от 26.06.95 г. уполномочены «…проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации …».

В настоящее время тема защиты информации и соответственно сертификации средств ее обеспечивающих интересует не только специалистов в этой области, но и широкий круг специалистов в смежных областях, связанных с информационными технологиями. Поэтому целью настоящей статьи является информирование читателя о текущем состоянии и перспективах развития в первую очередь нормативно-правовой и методической базы оценки соответствия средств защиты информации ограниченного доступа.
Прежде всего, хотелось бы напомнить некоторые определения:
- информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами (Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»);
- средства защиты информации, составляющей государственную тайну, – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации (Закон РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне»).
Исходя из приведенных определений, к средствам защиты информации ограниченного доступа в настоящее время относятся:
- средства защиты информации, составляющей государственную тайну;
- средства защиты информации, содержащейся в государственных и муниципальных информационных системах;
- средства защиты информации, составляющей персональные данные;
- средства защиты информации, составляющей коммерческую тайну.
Требования к средствам защиты информации, составляющей государственную тайну, задаются в государственных (национальных) стандартах, нормативных документах, утверждаемых Правительством РФ, ФСТЭК России, ФСБ России и Минобороны России в пределах их компетенции. Основанием для разработки требований является Постановление Правительства РФ 1995 г. № 608 «О сертификации средств защиты информации».
Требования к средствам защиты информации, содержащейся в государственных и муниципальных информационных системах, устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий. Основанием для разработки требований является Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Требования к средствам защиты информации, составляющей персональные данные, устанавливаются  Правительством РФ. Основанием для разработки требований является Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Требования к средствам защиты информации, составляющей коммерческую тайну, устанавливаются обладателем этой информации. Основанием для разработки требований является Федеральный закон РФ от 29 июля 2004 г. № 98-ФЗ  «О коммерческой тайне».

Продолжение читайте в печатной версии журнала