Osvědčení o shodě. Certifikace ozbrojených sil pro požadavky na bezpečnost informací

Osvědčení o shodě. Certifikace ozbrojených sil pro požadavky na bezpečnost informací

12.08.2019
Tělo

Dle požadavků informační bezpečnosti postup při atestaci, dále kontrola a dohled nad atestací a provozem certifikovaných objektů informatizace.

1.2. Nařízení bylo vypracováno v souladu se zákony Ruská Federace„O certifikaci produktů a služeb“ a „O státním tajemství“, „Předpisy o státní systém ochrana informací v Ruské federaci před cizím technickým zpravodajstvím a jejich únikem technickými kanály", Předpisy o státním udělování licencí k činnosti v oblasti informační bezpečnosti", Předpisy o certifikaci nástrojů informační bezpečnosti podle požadavků informační bezpečnosti", "GOST R certifikačního systému“.

1.3. Systém pro atestaci objektů informatizace dle požadavků informační bezpečnosti (dále jen atestační systém) je nedílná součást jednotný systém certifikace nástrojů informační bezpečnosti a certifikace objektů informatizace dle požadavků informační bezpečnosti a podléhá státní registrace způsobem předepsaným státní normou Ruska. Činnost atestačního systému organizuje federální orgán pro certifikaci produktů a certifikaci objektů informatizace pro požadavky bezpečnosti informací (dále jen federální orgán pro certifikaci a atestaci), kterým je Státní technická komise Ruska.

1.4. Certifikací objektů informatizace se rozumí soubor organizačních a technických opatření, v jejichž důsledku je prostřednictvím zvláštního dokumentu - „Osvědčení o shodě“ potvrzeno, že objekt odpovídá požadavkům norem nebo jiných předpisů. normativní a technické dokumenty o bezpečnosti informací schválené Státní technickou komisí Ruska.

Přítomnost platného „Osvědčení o shodě“ u objektu informatizace dává právo zpracovávat informace se stupněm utajení (důvěrnosti) a po dobu uvedenou v „Osvědčení o shodě“.

1.5. Povinnou certifikaci podléhají informatizační objekty určené ke zpracování informací tvořících státní tajemství, spravujících ochranu životního prostředí. nebezpečné předměty vedení tajných jednání.

V ostatních případech je certifikace dobrovolná (dobrovolná certifikace) a může být provedena z podnětu zákazníka nebo vlastníka objektu informatizace.

Certifikace pro požadavky informační bezpečnosti předchází zahájení zpracování informací podléhajících ochraně a je způsobena potřebou úředně potvrdit účinnost komplexu opatření a prostředků ochrany informací používaných u konkrétního objektu informatizace.

1.6. Při atestaci předmětu informatizace se zjišťuje jeho soulad s požadavky na ochranu informací před neoprávněným přístupem, včetně počítačových virů, před únikem v důsledku rušivého elektromagnetického záření a rušením při zvláštních účincích na objekt (vysokofrekvenční uložení a ozáření, elektromagnetické záření a záření expozice), před únikem nebo nárazem na něj speciální zařízení zasazené do objektů informatizace.

1.7. Certifikace zajišťuje komplexní kontrolu (certifikační zkoušky) chráněného objektu informatizace v reálných provozních podmínkách za účelem posouzení souladu použitého souboru opatření a prostředků ochrany s požadovanou úrovní informační bezpečnosti.

1.8. Certifikaci provádí certifikační orgán v souladu s postupem stanoveným těmito předpisy v souladu se schématem zvoleným tímto orgánem ve fázi přípravy na certifikaci z následujícího hlavního seznamu prací:

Analýza výchozích dat o certifikovaném objektu informatizace;

Předběžné seznámení s certifikovaným objektem informatizace;

Provádění odborného zkoumání objektu informatizace a analýzy zpracované dokumentace k ochraně informací u tohoto objektu z hlediska jejího souladu s požadavky regulační a metodické dokumentace;

Provádění zkoušek jednotlivých prostředků a systémů informační bezpečnosti na certifikovaném objektu informatizace pomocí speciálních řídicích zařízení a zkušebních prostředků;

Provádění testů jednotlivých nástrojů a systémů informační bezpečnosti v testovacích centrech (laboratořích) pro certifikaci nástrojů informační bezpečnosti dle požadavků informační bezpečnosti;

Provádění komplexních atestačních zkoušek objektu informatizace v reálných provozních podmínkách;

Rozbor výsledků odborného zkoumání a komplexních atestačních zkoušek objektu informatizace a schválení závěru na základě výsledků atestace.

1.9. Certifikační orgány jsou akreditovány Státní technickou komisí Ruska. Pravidla pro akreditaci určují „Předpisy o akreditaci zkušebních laboratoří a certifikačních orgánů pro nástroje informační bezpečnosti pro požadavky informační bezpečnosti“ platné v systému.

Státní technická komise Ruska může převést práva na akreditaci odvětvových (rezortních) certifikačních orgánů na jiné státní orgány.

1.10. Náklady na provedení všech druhů prací a služeb pro povinnou i dobrovolnou certifikaci objektů informatizace hradí žadatel.

Platba za práci povinná atestace vyrobené v souladu se smlouvou za schválené ceny a v případě jejich nepřítomnosti za dohodnutou cenu způsobem stanoveným Státní technickou komisí Ruska po dohodě s Ministerstvem financí Ruské federace.

Náklady na provedení všech druhů prací a služeb pro certifikaci objektů informatizace hradí žadatel na úkor finančních prostředků určených na rozvoj (zlepšení) a zprovoznění chráněného objektu informatizace.

1.11. Orgány atestace objektů informatizace jsou odpovědné za plnění jim svěřených funkcí, zajištění bezpečnosti státního a obchodního tajemství, jakož i za dodržování autorských práv zpracovatelů certifikovaných objektů informatizace a jejich součástí.

2.6. Uchazeči:

Připravit objekt informatizace k certifikaci provedením nezbytných organizačních a technických opatření k ochraně informací;

Zapojit certifikační orgány, aby organizovaly a prováděly certifikaci objektu informatizace;

Poskytováno akreditačním orgánům Požadované dokumenty a podmínky pro certifikaci;

V případě potřeby získat pro testování necertifikovaných nástrojů informační bezpečnosti používaných na certifikovaném objektu informatizace testovací centra (laboratoře) pro certifikaci;

provozovat objekt informatizace v souladu s podmínkami a požadavky stanovenými v „Osvědčení o shodě“;

Informujte certifikační orgán, který vydal „Certifikát o shodě“, o všech změnách v informační technologie, skladba a rozmístění informačních nástrojů a systémů, podmínky jejich provozu, které mohou ovlivnit účinnost opatření a prostředků informační bezpečnosti (výčet vlastností určujících bezpečnost informací, jejichž změny je třeba oznamovat atestačnímu orgánu, je uveden v „Osvědčení o shodě“);

Poskytují potřebné dokumenty a podmínky pro sledování a dohled nad provozem objektu informatizace, který prošel povinnou certifikací.

Michail PYSHKIN, Director of Information Security ve společnosti INLINE Technologies

Certifikace objektů informatizace

Certifikací objektů informatizace se rozumí soubor organizačních a technických opatření, v jejichž důsledku je prostřednictvím zvláštního dokumentu (Certifikát o shodě) potvrzeno, že objekt splňuje požadavky norem nebo jiných normativních a technických předpisů. dokumenty o bezpečnosti informací schválené FSTEC Ruska.

Proces certifikace je poměrně podrobně popsán v příslušných ustanoveních a v některých publikacích, například A.A. Khorev.

Skladbu regulační a metodické dokumentace pro certifikaci konkrétních automatizovaných systémů (AS) stanovuje certifikační orgán v závislosti na typu a podmínkách provozu objektů informatizace na základě analýzy výchozích údajů o certifikovaném AS. Seznam výchozích údajů je uveden v žádosti o certifikaci (viz pozice k certifikaci). Certifikát shody se majiteli AU vydává na dobu, po kterou je zajištěna neměnnost provozních podmínek systému a technologie pro zpracování chráněných informací, což může ovlivnit vlastnosti určující bezpečnost informací (složení a struktura hardwaru, podmínky umístění, použitý software, režimy zpracování informací, nástroje a opatření ochrany), maximálně však 3 roky.

řízení

Nařízení o certifikaci stanoví tři typy kontroly:

  1. Státní kontrola a dozor, inspekční kontrola nad certifikací je prováděna územním odborem FSTEC Ruska jak v procesu a po dokončení certifikace, tak pro provoz certifikovaných JE - periodicky v souladu s pracovními plány pro kontrolu a dohled.
  2. Orgán pro atestaci objektů informatizace, který prováděl certifikaci AU, každoročně - v souladu s programem certifikačních zkoušek.
  3. Sebekontrolu provádí bezpečnostní služba ústavu, provádí se periodicky (nejméně jednou ročně).

Kontrola spočívá v posouzení:

  • dodržování regulačních a metodických dokumentů FSTEC Ruska;
  • provozuschopnost používaných nástrojů ochrany informací v souladu s jejich provozní dokumentací;
  • znalost a plnění funkčních povinností personálu z hlediska ochrany informací.

Vzhledem k historickému zaměření certifikačních prací na ochranu státního tajemství jsou tyto práce jednoznačně přetíženy úniky přes technické kanály, což způsobuje vysoké náklady a nároky na specialisty na ochranu informací v oboru. Zejména pro absolvování školení "Certifikace objektů informatizace podle požadavků informační bezpečnosti. Ochrana před únikem technickými kanály" musí mít studenti potvrzení o přijetí a příkaz k vyplnění úkolu "formulář 16".

Chybí také veřejné informace o organizacích, které mají certifikát, stejně jako o relevanci a stavu tohoto certifikátu. Údržbu konsolidovaných informačních databází certifikovaných objektů informatizace podle Nařízení provádí FSTEC Ruska nebo jeho jménem některý z orgánů dohlížejících na certifikaci a provoz certifikovaných objektů, avšak pro obchodní společnosti možnost výhodnější je veřejný rejstřík certifikátů (nebo výpisů z nich), který podnikům umožní vybrat si vhodné partnery.

Z těchto důvodů může být pro některé obchodní společnosti atraktivnější certifikace pod ruskou akreditací ISO. Tato možnost má větší mezinárodní zaměření a je také považována za méně závislou na státních strukturách.

Zkušenosti ze zahraničí

Pokud se obrátíme na zkušenosti jiných zemí, zejména Německa, německý Spolkový úřad pro bezpečnost IT BSI (Bundesamt f?r Sicherheit in der Informati-onstechnik) vypracoval řadu norem (100-1, 100-2, 100 -3) v oblasti Informační bezpečnosti, podle kterého je vypracováno certifikační schéma pro státní i obchodní společnosti. Normy zahrnují katalogy základních požadavků, hrozeb, ochranných opatření, pokynů pro analýzu rizik, nástrojů pro sebehodnocení souladu s požadavky. Zároveň i přes rozdíl mezi těmito normami a normami ISO bylo na žádost obchodních společností kromě vlastního certifikačního schématu vypracováno také schéma pro získání mezinárodního certifikátu ISO / IEC 27001 při splnění požadavků německého standardy.

Německý spolkový úřad pro finanční dohled BaFin (Bundesanstalt fur Finanzdienstleistungsauf-sicht) vypracoval řadu předpisů (Kon-TraG a MaRisk) pro finanční instituce, na jejichž základě doporučil implementaci standardů BSI.

Ve Spojených státech byl v roce 2002 přijat FISMA Federal Information Security Management Act (Federal Information Security Management Act), který nahradil zastaralý vládní zákon o reformě informační bezpečnosti (GIS-RA). Tento program platí nejen pro federální agentury, ale také pro všechny komerční organizace, které s nimi spolupracují. Každá agentura by měla vypracovat program zabezpečení informací, provádět pravidelnou analýzu rizik a na základě této analýzy vybrat kontroly, které jsou úměrné škodám. Program by měl zahrnovat opatření, jako je reakce na incidenty a kontinuita provozu IT. Poskytuje akreditační a certifikační schémata a byl vyvinut speciální program„ISO 27001 Harmonization Initiative“ pro harmonizaci s mezinárodní normou ISO/IEC 27001. V současné době je dokončena první fáze programu, v rámci které již bylo vypracováno více než 10 norem a směrnic IS.

Každý rok je každá agentura povinna podat Kongresu zprávu o přiměřenosti a účinnosti používaného programu a také provést nezávislý audit bezpečnosti informací z hlediska jeho účinnosti. Na podporu těchto iniciativ byly vyvinuty speciální výroční ceny eGov Awards.
Je tedy nutné upozornit na opožděné změny v ruský program osvědčení. Hlavní oblasti zlepšení, kterým je třeba věnovat pozornost, leží v oblasti harmonizace s mezinárodními standardy a také v oblasti zájmů obchodních podniků a společností.

Použité knihy

  1. Předpisy o certifikaci objektů informatizace pro požadavky bezpečnosti informací (Schváleno předsedou Státní technické komise pod prezidentem Ruské federace dne 25. listopadu 1994); www.fstec.ru
  2. Vzorový předpis o orgánu pro certifikaci objektů informatizace pro požadavky informační bezpečnosti (Schváleno nařízením předsedy Státní technické komise pod prezidentem Ruské federace ze dne 5. ledna 1996 č. 3); www.fstec.ru
  3. Khorev A. A., lékař technické vědy, profesor, Certifikace objektů informatizace a přidělených prostor. Cm.

Není žádným tajemstvím, že pro zajištění ochrany informací ve státních informačních systémech je potřeba řada povinných opatření. Mezi nimi vývoj technických specifikací pro vytvoření systému informační bezpečnosti, návrh a implementace systému informační bezpečnosti. Další důležitou a povinnou akcí je certifikace informačního systému dle bezpečnostních požadavků.

Federální zákon č. 152-FZ „O osobních údajích“, GOST R 51583 „Ochrana informací. Pořadí vytváření automatizovaných systémů v chráněném provedení. Obecná ustanovení“, GOST R 51624 „Bezpečnost informací. Automatizované systémy v bezpečném provedení. Obecné požadavky“ a další podzákonné předpisy předpisy regulační orgány (FSTEC Ruska, FSB Ruska) stanoví poměrně závažné požadavky na ochranu informací.

Aby se to potvrdilo Informační systém nebo vyhrazený počítač splňuje požadavky norem a jsou zpracovávány regulační a metodické dokumenty k certifikaci bezpečnosti informací.

Popis služby

Účelem práce je uvést pracovní stanici do souladu s požadavky na bezpečnost důvěrných informací FSTEC Ruska. Certifikace objektu informatizace může zahrnovat následující kroky:
  • příprava objektu informatizace pro atestační zkoušky;
  • provádění atestačních zkoušek;
  • příprava vykazovací dokumentace na základě výsledků atestačních zkoušek.
Příprava objektu informatizace pro atestační zkoušky zahrnuje:
  • dodávka, instalace a konfigurace nezbytných certifikovaných nástrojů informační bezpečnosti;
  • zpracování technické dokumentace k objektu informatizace;
  • vývoj programu a metodiky certifikačních zkoušek jaderných elektráren.
Provádění certifikačních zkoušek zahrnuje:
  • ověření souladu objektu informatizace s organizačními a technickými požadavky na ochranu informací;
  • testování AU z hlediska souladu s požadavky na ochranu informací před únikem přes technické kanály;
  • testování AU z hlediska souladu s požadavky na ochranu informací před neoprávněným přístupem.
Příprava reportovací dokumentace na základě výsledků certifikačních testů zahrnuje:
  • vývoj protokolů hodnocení bezpečnosti JE;
  • vypracování závěru na základě výsledků atestačních zkoušek;
  • registrace a vystavení Osvědčení o shodě.
Recertifikace

Certifikát shody se vydává vlastníkovi certifikovaného objektu informatizace na 3 roky. Po uplynutí této doby nebo při významných změnách podmínek a technologie zpracování chráněných informací je nutná recertifikace.

Termín prací s dodávkou ochranných prostředků a montáží nepřesáhne 20 pracovních dnů.

Náklady na certifikaci AWP

Cena certifikace jedné paže dle požadavků informační bezpečnosti je ne více než 90 000 rublů. Zároveň tato částka zahrnuje potřebné finanční prostředky ochrana informací:
  • Subsystém ochrany informací před neoprávněným přístupem včetně instalační sady.
  • Antivirový ochranný subsystém včetně instalační sady.

Doklady o certifikaci objektu informatizace

Seznam dokumentů, na jejichž základě a v souladu s nimiž jsou služby poskytovány:

  • Federální zákon ze dne 27. července 2006 N 149-FZ (ve znění ze dne 31. prosince 2014) „O informacích, informačních technologiích a ochraně informací“;
  • « Speciální požadavky a doporučení pro technickou ochranu důvěrné informace (STR-K), Státní technická komise Ruska, 2001;
  • "Dočasná metodika pro hodnocení bezpečnosti hlavních technických prostředků a systémů určených pro zpracování, ukládání a (nebo) přenos důvěrných informací po komunikačních linkách", Státní technická komise Ruska, 2002;
  • „Dočasná metoda pro hodnocení zabezpečení důvěrných informací zpracovávaných hlavními technickými prostředky a systémy před únikem v důsledku zásahu do pomocných technické prostředky a jejich komunikační systémy“, Státní technická komise Ruska, 2002;
  • "Předpisy o certifikaci objektů informatizace podle požadavků informační bezpečnosti", Státní technická komise Ruska, 1994;
  • RD "Ochrana před neoprávněným přístupem k informacím, část 1." Software prostředky ochrany informací. Klasifikace nepřítomnosti nedeklarovaných schopností podle úrovně kontroly, Státní technická komise Ruska, 1999;
  • RD „Automatizované systémy. Ochrana před neoprávněným přístupem k informacím. Požadavky na klasifikaci AS a informační bezpečnost“, Státní technická komise Ruska, 1998;
  • RD „Počítačové vybavení. Ochrana před neoprávněným přístupem k informacím. Indikátory zabezpečení před neoprávněným přístupem k informacím, Státní technická komise Ruska, 1998
Související články
Další články z této kategorie
Bon zhorno, senioři a senioři Podívejte se, co to je Bon zhorno, senioři a senioři Podívejte se, co je "signorina" v jiných slovnících
Flirtujte chat s dívkou Flirtujte chat s dívkou
Fantasticky krásné manželky Brada Pitta Nejlepší role: Fantasticky krásné manželky Brada Pitta Nejlepší role: "Fight Club" a další filmy
Můžete tloustnout z chleba? Můžete tloustnout z chleba?
Jak sedět na příčném špagátu - tajenky a cvičení Jak se naučit sedět na provázku Jak sedět na příčném špagátu - tajenky a cvičení Jak se naučit sedět na provázku
Pití alkoholu rozšiřuje nebo stahuje cévy v mozku Pití alkoholu rozšiřuje nebo stahuje cévy v mozku

© 2023 globusks.ru - Opravy a údržba automobilů pro začátečníky