Postup při atestaci informačních systémů. Certifikace ozbrojených sil pro požadavky na bezpečnost informací

07.03.2019

Tělo

Schválený

předseda

Státní technická komise

POZICE

O CERTIFIKACI INFORMAČNÍCH OBJEKTŮ O POŽADAVCÍCH NA BEZPEČNOST INFORMACÍ

1.1. Toto nařízení stanoví základní zásady, organizační strukturu systému atestace objektů informatizace podle požadavků informační bezpečnosti, postup při provádění atestace, jakož i kontrolu a dohled nad atestací a provozem certifikovaných objektů informatizace.

1.2. Nařízení bylo vypracováno v souladu se zákony Ruská Federace„O certifikaci produktů a služeb“ a „O státním tajemství“, „Předpisy o státní systém ochrana informací v Ruské federaci před cizím technickým zpravodajstvím a jejich únikem technickými kanály", "Předpisy o státním udělování licencí k činnostem v oblasti informační bezpečnosti", "Předpisy o certifikaci nástrojů informační bezpečnosti podle požadavků informační bezpečnosti", " Certifikační systém GOST R“.

1.3. Systém pro atestaci objektů informatizace dle požadavků informační bezpečnosti (dále jen atestační systém) je nedílná součást jednotný systém certifikace nástrojů informační bezpečnosti a certifikace objektů informatizace dle požadavků informační bezpečnosti a podléhá státní registrace způsobem předepsaným státní normou Ruska. Činnost atestačního systému organizuje federální orgán pro certifikaci produktů a certifikaci objektů informatizace pro požadavky na bezpečnost informací (dále jen federální orgán pro certifikaci a atestaci), kterým je Státní technická komise Ruska.

1.4. Certifikací objektů informatizace se rozumí soubor organizačních a technických opatření, v jejichž důsledku je prostřednictvím zvláštního dokumentu - „Osvědčení o shodě“ potvrzeno, že objekt odpovídá požadavkům norem nebo jiných předpisů. normativní a technické dokumenty o bezpečnosti informací schválené Státní technickou komisí Ruska.

Přítomnost platného „Osvědčení o shodě“ u objektu informatizace dává právo zpracovávat informace se stupněm utajení (důvěrnosti) a po dobu uvedenou v „Osvědčení o shodě“.

1.5. Povinnou certifikaci podléhají informatizační objekty určené ke zpracování informací tvořících státní tajemství, spravujících ochranu životního prostředí. nebezpečné předměty vedení tajných jednání.

V ostatních případech je certifikace dobrovolná (dobrovolná certifikace) a může být provedena z podnětu zákazníka nebo vlastníka objektu informatizace.

Certifikace pro požadavky informační bezpečnosti předchází zahájení zpracování informací podléhajících ochraně a je způsobena potřebou úředně potvrdit účinnost komplexu opatření a prostředků ochrany informací používaných u konkrétního objektu informatizace.

1.6. Při atestaci předmětu informatizace se zjišťuje jeho soulad s požadavky na ochranu informací před neoprávněným přístupem, včetně počítačových virů, před únikem v důsledku rušivého elektromagnetického záření a rušením při zvláštních účincích na objekt (vysokofrekvenční uložení a ozáření, elektromagnetické záření a záření expozice), před únikem nebo nárazem na něj speciální zařízení zasazené do objektů informatizace.

1.7. Certifikace zajišťuje komplexní kontrolu (certifikační zkoušky) chráněného objektu informatizace v reálných provozních podmínkách za účelem posouzení souladu použitého souboru opatření a prostředků ochrany s požadovanou úrovní informační bezpečnosti.

1.8. Certifikaci provádí certifikační orgán v souladu s postupem stanoveným těmito předpisy v souladu se schématem zvoleným tímto orgánem ve fázi přípravy na certifikaci z následujícího hlavního seznamu prací:

Analýza výchozích dat o certifikovaném objektu informatizace;

Předběžné seznámení s certifikovaným objektem informatizace;

Provádění odborného zkoumání objektu informatizace a analýzy zpracované dokumentace k ochraně informací u tohoto objektu z hlediska jejího souladu s požadavky regulační a metodické dokumentace;

Provádění zkoušek jednotlivých prostředků a systémů informační bezpečnosti na certifikovaném objektu informatizace pomocí speciálních řídicích zařízení a zkušebních prostředků;

Provádění testů jednotlivých nástrojů a systémů informační bezpečnosti v testovacích centrech (laboratořích) pro certifikaci nástrojů informační bezpečnosti dle požadavků informační bezpečnosti;

Provádění komplexních atestačních zkoušek objektu informatizace v reálných provozních podmínkách;

Rozbor výsledků odborného zkoumání a komplexních atestačních zkoušek objektu informatizace a schválení závěru na základě výsledků atestace.

1.9. Certifikační orgány jsou akreditovány Státní technickou komisí Ruska. Pravidla pro akreditaci určují „Předpisy o akreditaci zkušebních laboratoří a certifikačních orgánů pro nástroje informační bezpečnosti pro požadavky informační bezpečnosti“ platné v systému.

Státní technická komise Ruska může převést práva na akreditaci odvětvových (rezortních) certifikačních orgánů na jiné státní orgány.

1.10. Náklady na provedení všech druhů prací a služeb pro povinnou i dobrovolnou certifikaci objektů informatizace hradí žadatel.

Platba za práci povinná atestace vyrobené v souladu se smlouvou za schválené ceny a v případě jejich nepřítomnosti za dohodnutou cenu způsobem stanoveným Státní technickou komisí Ruska po dohodě s Ministerstvem financí Ruské federace.

Náklady na provedení všech druhů prací a služeb při atestaci objektů informatizace hradí žadatel na úkor finančních prostředků určených na rozvoj (zlepšení) a zprovoznění chráněného objektu informatizace.

1.11. Orgány atestace objektů informatizace jsou odpovědné za plnění jim svěřených funkcí, zajištění bezpečnosti státního a obchodního tajemství, jakož i za dodržování autorských práv zpracovatelů certifikovaných objektů informatizace a jejich součástí.

2. Organizační struktura systému pro atestaci objektů informatizace dle požadavků informační bezpečnosti

2.1. Organizační strukturu systému certifikace objektů informatizace tvoří:

Federální orgán pro certifikaci nástrojů bezpečnosti informací a certifikaci objektů informatizace pro požadavky na bezpečnost informací - Státní technická komise Ruska;

Orgány pro atestaci objektů informatizace podle požadavků informační bezpečnosti;

Testovací střediska (laboratoře) pro certifikaci produktů podle požadavků na bezpečnost informací;

Žadatelé (zákazníci, vlastníci, developeři certifikovaných objektů informatizace).

2.2. Federální orgán pro certifikaci a atestaci plní následující funkce:

Organizuje povinnou certifikaci objektů informatizace;

Vytváří certifikační systémy pro objekty informatizace a stanovuje pravidla pro certifikaci v těchto systémech;

Stanovuje pravidla pro akreditaci a vydávání licencí k provádění prací na povinné certifikaci;

Organizuje, financuje vývoj a schvaluje regulační a metodické dokumenty pro certifikaci objektů informatizace;

Akredituje orgány pro atestaci objektů informatizace a uděluje jim oprávnění k provádění určitých druhů prací;

Provádí státní kontrolu a dozor nad dodržováním pravidel pro atestaci a provoz certifikovaných objektů informatizace;

bere na vědomí výzvy vznikající v procesu atestace objektů informatizace a kontroly provozu certifikovaných objektů informatizace;

Organizuje periodické zveřejňování informací o fungování systému certifikace objektů informatizace podle požadavků informační bezpečnosti.

2.3. Atestační orgány objektů informatizace jsou akreditovány Státní technickou komisí Ruska a dostávají od ní licenci k právu atestovat objekty informatizace.

Takovými orgány mohou být průmyslové a regionální instituce, podniky a organizace pro ochranu informací, speciální střediska Státní technické komise Ruska.

2.4. Certifikační orgány:

Atestovat objekty informatizace a vydávat "Certifikáty shody";

Kontrolovat bezpečnost informací obíhajících na certifikovaných objektech informatizace a jejich provoz;

Zrušit a pozastavit platnost „Certifikátů shody“ vydaných tímto orgánem;

Tvoří fond normativní a metodické dokumentace potřebné pro certifikaci konkrétních typů objektů informatizace, podílí se na jejich rozvoji;

Udržují informační základnu objektů informatizace certifikovaných tímto orgánem;

Spolupracují se Státní technickou komisí Ruska a čtvrtletně ji informují o svých aktivitách v oblasti certifikace.

2.5. Testovací střediska (laboratoře) pro certifikaci produktů podle požadavků na bezpečnost informací, na objednávku žadatelů, testují necertifikované produkty používané v zařízení informatiky podléhající povinné certifikaci, v souladu s „Předpisy o certifikaci nástrojů bezpečnosti informací pro informace“. bezpečnostní požadavky“.

2.6. Uchazeči:

Připravit objekt informatizace k certifikaci provedením nezbytných organizačních a technických opatření k ochraně informací;

Zapojit certifikační orgány, aby organizovaly a prováděly certifikaci objektu informatizace;

Poskytováno akreditačním orgánům Požadované dokumenty a podmínky pro certifikaci;

jsou přitahováni nutné případy, pro testování necertifikovaných nástrojů informační bezpečnosti používaných na certifikovaném objektu informatizace, testovací střediska (laboratoře) pro certifikaci;

provozovat objekt informatizace v souladu s podmínkami a požadavky stanovenými v „Osvědčení o shodě“;

Informujte certifikační orgán, který vydal „Certifikát o shodě“, o všech změnách v informační technologie, skladba a rozmístění informačních nástrojů a systémů, podmínky jejich provozu, které mohou ovlivnit účinnost opatření a prostředků informační bezpečnosti (výčet vlastností určujících bezpečnost informací, jejichž změny je třeba oznamovat atestačnímu orgánu, je uveden v „Osvědčení o shodě“);

Poskytují potřebné dokumenty a podmínky pro sledování a dohled nad provozem objektu informatizace, který prošel povinnou certifikací.

3. Postup pro certifikaci a kontrolu

3.1. Postup certifikace objektů informatizace podle požadavků informační bezpečnosti zahrnuje následující akce:

Podání a posouzení žádosti o certifikaci;

Předběžné seznámení s certifikovaným objektem;

Testování necertifikovaných prostředků a systémů informační bezpečnosti používaných u certifikovaného objektu (v případě potřeby);

Vývoj programu a metodiky pro certifikační testy;

Uzavření smluv o certifikaci;

Provádění atestačních zkoušek objektu informatizace;

Registrace, registrace a vydání „Osvědčení o shodě“;

Provádění státní kontroly a dozoru, inspekční kontroly certifikace a provozu certifikovaných objektů informatizace;

Posuzování odvolání.

3.2. Podání a posouzení žádosti o certifikaci

3.2.1. Žadatel za účelem získání „Certifikátu shody“ zašle předem certifikačnímu orgánu žádost o certifikaci s výchozími údaji o certifikovaném objektu informatizace ve formuláři uvedeném v Příloze 1.

3.2.2. Atestační orgán žádost do měsíce posoudí a na základě analýzy výchozích údajů vybere atestační schéma, zkoordinuje jej s žadatelem a rozhodne o atestaci objektu informatizace.

3.3. Předběžné seznámení s certifikovaným objektem

Pokud jsou výchozí údaje o certifikovaném objektu informatizace nedostatečné, zahrnuje certifikační schéma práce na předběžném seznámení s certifikovaným objektem, prováděné před etapou certifikačních zkoušek.

3.4. Testy použitých necertifikovaných prostředků a systémů informační bezpečnosti na certifikovaném objektu informatizace

3.4.1. Při použití necertifikovaných nástrojů a systémů informační bezpečnosti na certifikovaném objektu informatizace může certifikační schéma zahrnovat práce na jejich testování v testovacích centrech (laboratořích) pro certifikaci nástrojů informační bezpečnosti dle požadavků informační bezpečnosti nebo přímo na certifikovaném objektu informatizace s využitím speciální kontrolní zařízení a testovací fondy.

3.4.2. Před atestačními zkouškami objektů informatizace jsou prováděny zkoušky jednotlivých necertifikovaných prostředků a systémů informační bezpečnosti v certifikačních zkušebních centrech (laboratořích).

V tomto případě musí žadatel do zahájení atestačních zkoušek předložit závěry certifikačních orgánů bezpečnosti informací o požadavcích na bezpečnost informací a certifikátech.

3.5. Vývoj programu a metodiky certifikačních zkoušek

3.5.1. Na základě výsledků zvážení aplikace a analýzy výchozích údajů, jakož i předběžného seznámení s certifikovaným objektem, certifikační orgán vypracuje program certifikačních zkoušek, který stanoví seznam prací a jejich trvání, zkušební metody (nebo standardní metody), stanoví kvantitativní a odborné složení certifikační komise jmenované orgánem pro certifikaci objektů informatizace, nutnost použití kontrolních zařízení a testovacích prostředků na certifikovaném objektu informatizace nebo zapojení testovacích center (laboratoří) k certifikaci nástrojů informační bezpečnosti podle požadavků informační bezpečnosti.

3.5.2. Postup, obsah, podmínky a zkušební metody pro posuzování charakteristik a indikátorů kontrolovaných při certifikaci, dodržování jejich stanovených požadavků, jakož i kontrolní zařízení a zkušební nástroje používané k tomuto účelu jsou stanoveny ve zkušebních postupech. různé druhy objekty informatizace.

3.5.3. Program certifikačních zkoušek je dohodnut s žadatelem.

3.6. Uzavření smluv o certifikaci

3.6.1. Fáze přípravy končí uzavřením smlouvy mezi žadatelem a certifikačním orgánem o certifikaci, uzavřením dohod (smluv) certifikačního orgánu se zúčastněnými odborníky a vyřízením příkazu, který umožní certifikační komisi provést certifikaci.

3.6.2. Úhradu za práci členů atestační komise provádí atestační orgán v souladu s uzavřenými pracovními smlouvami (smlouvami) na úkor finančních prostředků z uzavřených dohod o atestaci předmětů informatizace.

3.7. Provádění atestačních zkoušek objektů informatizace

3.7.1. Ve fázi atestačních zkoušek objektu informatizace:

Analýza organizační struktury objektu informatizace, informačních toků, složení a struktury komplexu hardwaru a softwaru, systému informační bezpečnosti v objektu, zpracované dokumentace a jejího souladu s požadavky regulační dokumentace o ochraně informací. odneseno;

Zjišťuje se správnost kategorizace objektů EWT a klasifikace AU (při certifikaci automatizovaných systémů), volba a použití certifikovaných a necertifikovaných prostředků a systémů informační bezpečnosti;

Testy necertifikovaných prostředků a systémů informační bezpečnosti jsou prováděny na certifikovaném objektu nebo analýza výsledků jejich testů v certifikačních testovacích centrech (laboratořích);

Kontroluje se úroveň proškolení personálu a rozdělení odpovědnosti personálu za zajištění dodržování požadavků na bezpečnost informací;

Komplexní atestační zkoušky objektu informatizace jsou prováděny v reálných provozních podmínkách kontrolou skutečného plnění stanovených požadavků v různých fázích technologický postup zpracování chráněných informací;

Jsou vypracovány protokoly o zkouškách a závěr na základě výsledků certifikace s konkrétními doporučeními pro eliminaci spáchaných porušení, uvedení systému ochrany objektu informatizace do souladu se stanovenými požadavky a zlepšení tohoto systému, jakož i doporučení pro monitorování fungování objektu informatizace.

3.7.2. Závěr o výsledcích certifikace s krátké hodnocení soulad objektu informatizace s požadavky na informační bezpečnost, závěr o možnosti vydání „Osvědčení o shodě“ a potřebná doporučení podepisují členové atestační komise a dávají na vědomí žadateli.

K závěru jsou připojeny zkušební protokoly, které potvrzují výsledky získané během zkoušek a zdůvodňují závěr uvedený v závěru.

Protokoly o zkouškách podepisují odborníci - členové atestační komise, kteří zkoušky prováděli.

Závěry a protokoly o zkouškách podléhají schválení certifikačním orgánem.

3.8. Registrace, registrace a vystavení „Osvědčení o shodě“

3.8.1. "Osvědčení o shodě" pro objekt informatizace, který splňuje požadavky na informační bezpečnost, vydává atestační orgán ve formě uvedené v příloze č. 2.

3.8.2. "Certifikát shody" je vypracován a vydán žadateli po schválení závěru na základě výsledků certifikace.

3.8.3. Registraci „Certifikátů shody“ provádějí podle sektorových nebo územních charakteristik certifikační orgány za účelem udržování informační základny certifikovaných objektů informatizace a plánování kontrolních a dozorových opatření.

Údržbu konsolidovaných informačních bází certifikovaných objektů informatizace provádí Státní technická komise Ruska nebo jejím jménem některý z orgánů dohlížejících na certifikaci a provoz certifikovaných objektů.

3.8.4. „Certifikát o shodě“ vydává vlastníkovi certifikovaného objektu informatizace certifikační orgán na dobu, po kterou bude zachována neměnnost podmínek pro fungování objektu informatizace a technologie pro zpracování chráněných informací, které mohou ovlivnit vlastnosti určující je zajištěna bezpečnost informací (složení a struktura technických prostředků, podmínky umístění, použitý software) bezpečnost, režimy zpracování informací, prostředky a opatření ochrany), nejvýše však 3 roky.

Vlastník certifikovaného objektu informatizace odpovídá za splnění stanovených podmínek fungování objektu informatizace, technologie zpracování chráněných informací a požadavků na bezpečnost informací.

3.8.5. V případě změny podmínek a technologie zpracování chráněných informací jsou vlastníci certifikovaných objektů povinni tuto skutečnost oznámit certifikačnímu orgánu, který rozhodne o nutnosti dodatečného ověření účinnosti systému ochrany objektu informatizace.

3.8.6. Pokud certifikovaný objekt nesplňuje požadavky na informační bezpečnost a není možné urychleně odstranit označené atestační komise nedostatky atestační orgán rozhodne o odmítnutí vydání „Osvědčení o shodě“.

Zároveň může být navržena doba recertifikace s výhradou odstranění nedostatků.

V případě připomínek nezásadového charakteru lze po kontrole odstranění těchto připomínek vystavit „Osvědčení o shodě“.

3.9. Posuzování odvolání

Pokud žadatel nesouhlasí s odmítnutím vydání „Certifikátu shody“, má právo obrátit se na vyšší certifikační orgán nebo přímo na Státní technickou komisi Ruska s výzvou k dodatečnému posouzení výsledků získaných během testování, kde zvažuje se do měsíce se zapojením zainteresovaných stran. Odvolatel je informován o rozhodnutí.

3.10. Státní kontrola a dozor, inspekční kontrola dodržování pravidel pro atestaci a provoz certifikovaných objektů informatizace

3.10.1. Státní kontrola a dozor, inspekční kontrola certifikace objektů informatizace je prováděna Státní technickou komisí Ruska jak v průběhu certifikace, tak po jejím dokončení, a pro provoz certifikovaných objektů informatizace - pravidelně v souladu s pracovními plány kontroly a dohled.

Státní technická komise Ruska může převést některé ze svých funkcí státní kontroly a dozoru nad certifikací a provozem certifikovaných objektů informatizace na akreditované certifikační orgány.

3.10.2. Objem, obsah a postup státní kontroly a dozoru stanoví regulační a metodická dokumentace pro atestaci objektů informatizace.

3.10.3. Státní kontrola a dozor nad dodržováním atestačních pravidel zahrnuje ověřování správnosti a úplnosti přijatých opatření k certifikaci objektů informatizace, provádění a posuzování podkladů a protokolů o zkouškách certifikačními orgány, včasné zavádění změn regulační a metodické dokumentace o informacích bezpečnost, inspekční kontrola provozu certifikovaných objektů informatizace.

3.10.4. V případě hrubého porušení požadavků norem nebo jiných regulačních a metodických dokumentů o bezpečnosti informací zjištěných při kontrole a dozoru atestačním orgánem může být atestačnímu orgánu odebrána licence k právu atestovat objekty informatizace.

3.10.5. V případě zjištění porušení pravidel pro provoz certifikovaných objektů informatizace, technologie pro zpracování chráněných informací a požadavků na informační bezpečnost může orgán provádějící kontrolu a dozor pozastavit nebo zrušit "Certifikát shody", s registrací tohoto rozhodnutí. v "Certificate of Compliance" a informování orgánu vedoucího konsolidovanou informační základnu certifikovaných objektů informatiky a Státní technické komise Ruska.

Rozhodnutí o zrušení platnosti „Osvědčení o shodě“ se přijímá v případě, kdy v důsledku rychlého přijetí organizačních a technických ochranných opatření nelze obnovit požadovanou úroveň zabezpečení informací.

3.10.6. V případě hrubého porušení požadavků norem nebo jiných regulačních dokumentů o bezpečnosti informací schválených Státní technickou komisí Ruska ze strany atestačního orgánu, zjištěných během kontroly a dozoru a vedoucích k opětovné certifikaci, mohou být náklady na kontrolu a dozor vymáhá od atestačního orgánu rozhodnutím Státního rozhodčího soudu. Recertifikace může být provedena i na náklady tohoto certifikačního orgánu.

3.10.7. Náklady na dozor nad povinnou certifikací a provozem zařízení, která prošla povinnou certifikací, hradí dozorový úřad z prostředků státního rozpočtu, které jsou mu na tyto účely přiděleny.

4. Požadavky na regulační a metodické dokumenty pro certifikaci objektů informatizace

4.1. Objekty informatizace, bez ohledu na použitý domácí nebo zahraniční hardware a software, jsou certifikovány pro shodu s požadavky státních norem nebo jiných regulačních dokumentů o bezpečnosti informací schválených Státní technickou komisí Ruska.

4.2. Skladbu normativní a metodické dokumentace pro certifikaci konkrétních objektů informatizace určuje certifikační orgán v závislosti na typu a podmínkách fungování objektů informatizace na základě analýzy výchozích údajů o certifikovaném objektu.

4.3. Regulační dokumentace obsahuje pouze ty ukazatele, charakteristiky, požadavky, které lze objektivně ověřit.

4.4. Normativní a metodická dokumentace pro zkušební metody by měla obsahovat odkazy na podmínky, obsah a postup provádění zkoušek, kontrolní zařízení a zkušební nástroje používané při zkouškách, minimalizovat chyby ve výsledcích zkoušek a umožnit jim tyto výsledky reprodukovat.

4.5. Texty regulačních a metodických dokumentů používaných při certifikaci objektů informatizace musí být formulovány jasně a přesně, zajišťující jejich přesnou a jednotnou interpretaci. Měly by obsahovat údaj o možnosti použití dokumentu k certifikaci určitých typů objektů informatizace podle požadavků bezpečnosti informací nebo oblastí ochrany informací.

4.6. Úředním jazykem atestačního systému je ruština, ve které jsou vyhotoveny všechny dokumenty používané a vydávané v rámci atestačního systému.

Vedoucí oddělení

státní technická komise

za prezidenta Ruské federace

V.VIRKOVSKÝ

Příloha 1

Komu: ____________________________________

(název certifikačního orgánu

a jeho adresa)

pro certifikaci objektu informatizace

1. (jméno žadatele) požaduje osvědčení o (jméno

objekt informatizace) pro splnění bezpečnostních požadavků

informace: ________________________________________________________________

2. Nezbytné výchozí údaje o certifikovaném předmětu informatizace

připojený.

3. Žadatel je připraven poskytnout potřebné doklady a podmínky pro

provádění certifikace.

4. Žadatel se smluvně zavazuje uhradit náklady všech

druhy prací a služeb pro certifikaci objektu uvedeného v této žádosti

informatizace.

5. Další podmínky nebo informace ke smlouvě:

5.1. Navrhuji předběžné seznámení s certifikovaným objektem

utratit v období __________________________________________________________

5.2. Navrhuji provést atestační zkoušky předmětu informatika v

doba ________________________________________________________________________

5.3. Testování necertifikovaných prostředků a informačních systémů

(název prostředků a systémů) se plánuje provést v testu

středisek (laboratoří) (název testovacích center) v období

_________________ (nebo se navrhuje provádět přímo na certifikovaném

objekt v období _____).

Další podmínky (nabídky).

vedoucí (orgánu žadatele)

(podpis, datum) (příjmení, jméno a příjmení)

aplikace

do přihlášky...

Prvotní údaje o certifikovaném objektu informatizace jsou zpracovány na základě následujícího seznamu otázek:

1. Úplný a přesný název objektu informatizace a jeho účel.

2. Určuje se povaha (vědeckotechnická, ekonomická, průmyslová, finanční, vojenská, politická) a míra utajení (důvěrnost) zpracovávaných informací (podle jakých seznamů (státní, průmyslové, resortní, podniky)).

3. Organizační struktura objektu informatizace.

4. Seznam prostor, složení komplexu technických prostředků (hlavních a pomocných) zahrnutých do objektu informatizace, ve kterých (na kterých) se zpracovává specifikované informace(umístěné v místnostech, kde cirkuluje).

5. Vlastnosti a uspořádání objektu informatizace s vyznačením hranic kontrolovaného pásma.

6. Struktura softwaru (celosystémového a aplikovaného) použitého na certifikovaném objektu informatizace a určeného pro zpracování chráněných informací, používané protokoly výměny informací.

7. Obecné funkční schéma objektu informatizace včetně schématu informačních toků a způsobů zpracování chráněných informací.

8. Přítomnost a povaha interakce s jinými objekty informatizace.

9. Skladba a struktura systému informační bezpečnosti na certifikovaném objektu informatizace.

10. Seznam hardwaru a softwaru v bezpečném provedení, ochrany a ovládacích prostředků používaných na certifikovaném objektu informatizace a majících příslušný certifikát, návod k obsluze.

11. Informace o vývojářích systému bezpečnosti informací, zda vývojáři třetích stran (ve vztahu k podniku, kde se nachází certifikovaný objekt informatizace) mají licence k provádění takové práce.

12. Dostupnost na objektu informatizace (v podniku, kde se objekt informatizace nachází) služby informační bezpečnosti, administrátorské služby (automatizovaný systém, síť, databáze).

13. Přítomnost a hlavní charakteristiky fyzické ochrany objektu informatizace (prostorů, kde dochází ke zpracování chráněných informací a uložení nosičů informací).

14. Dostupnost a připravenost projektové a provozní dokumentace objektu informatizace a další výchozí údaje o certifikovaném objektu informatizace ovlivňující bezpečnost informací.

Příloha 2

"SCHVALOVAT"

(funkce vedoucího atestačního orgánu)

t.t. CELÉ JMÉNO.

"__" _________ 19__

OSVĚDČENÍ O SHODĚ

(je uveden celý název objektu informatizace)

POŽADAVKY NA ZABEZPEČENÍ INFORMACÍ

Platí do "__" _____ 19__

1. Tento CERTIFIKÁT potvrzuje, že: (úplné

název objektu informatizace) _______ kategorie ____________ tř.

vyhovuje požadavkům regulační a metodické dokumentace pro

informační bezpečnost.

Složení komplexu technických prostředků objektu informatizace (s

sériová čísla, model, výrobce, čísla certifikátů),

schéma umístění v prostorách a vzhledem k hranicím kontrolovaného pásma,

seznam použitých softwarových nástrojů a bezpečnostních nástrojů (s

čísla výrobce a certifikátu) jsou přiloženy.

2. Organizační struktura, úroveň přípravy specialistů,

regulační, metodická podpora a technické vybavení služby

informační bezpečnost poskytuje kontrolu nad účinností opatření a prostředků

ochrany a udržení úrovně zabezpečení objektu informatizace v procesu

provoz v souladu se stanovenými požadavky.

3. Certifikace objektu informatizace se provádí v souladu s

program a metody atestačních zkoušek, schválené o

"__" _______ 19__ N ______.

4. Zohlednění výsledků certifikačních zkoušek v zařízení

informatizace, zpracování je povoleno (nejvyšší stupeň

tajemství, důvěrnost) informace.

5. Při provozu objektu informatizace je zakázáno: (uvést

omezení, která mohou ovlivnit účinnost opatření a nápravných opatření

informace).

6. Sledování účinnosti realizovaných opatření a nápravných opatření

přidělené službě bezpečnosti informací.

7. Podrobné výsledky certifikačních zkoušek jsou uvedeny v závěru

atestační komise (N _______ "__" ________ 19__) a protokoly

testy.

8. "Osvědčení o shodě" vydané na _____ let, během kterých

musí být zajištěna neměnnost podmínek pro provoz objektu

informatizace a technologie pro zpracování chráněných informací, které mohou

ovlivnit vlastnosti uvedené v odstavci 9.

9. Seznam charakteristik, jejichž změny jsou požadovány

oznámit akreditačnímu orgánu.

9.1. __________________________________________

9.2. __________________________________________

Vedoucí atestační komise

(pozice s názvem podniku)

"__" _______ 19__

Značky dozorčího orgánu: ___________________________________________________

Poznámka. Informatizačními objekty certifikovanými podle požadavků informační bezpečnosti se rozumí automatizované systémy různých úrovní a účelů, komunikační, zobrazovací a reprodukční systémy spolu s prostorami, ve kterých jsou instalovány, určené ke zpracování a předávání informací, které mají být chráněny, jakož i samotné prostory určené k vedení důvěrných jednání.

Dle požadavků informační bezpečnosti postup při atestaci, dále kontrola a dohled nad atestací a provozem certifikovaných objektů informatizace.

1.2. Nařízení bylo vypracováno v souladu se zákony Ruské federace „O certifikaci výrobků a služeb“ a o státním tajemství, „Předpisy o státním systému ochrany informací v Ruské federaci před zahraničním technickým zpravodajstvím a před jejich únikem prostřednictvím technických kanálů“, Předpisy o státním udělování licencí k činnostem v oblasti informační bezpečnosti, Předpisy o certifikaci nástrojů informační bezpečnosti pro požadavky informační bezpečnosti, „Certifikační systém GOST R“.

1.3. Systém certifikace objektů informatizace z hlediska požadavků na bezpečnost informací (dále jen certifikační systém) je nedílnou součástí jednotného systému certifikace nástrojů bezpečnosti informací a certifikace objektů informatizace z hlediska požadavků bezpečnosti informací a podléhá státní registraci v v souladu s postupem stanoveným státní normou Ruska. Činnost atestačního systému organizuje federální orgán pro certifikaci produktů a certifikaci objektů informatizace pro požadavky na bezpečnost informací (dále jen federální orgán pro certifikaci a atestaci), kterým je Státní technická komise Ruska.

Přítomnost platného „Osvědčení o shodě“ u objektu informatizace dává právo zpracovávat informace se stupněm utajení (důvěrnosti) a po dobu uvedenou v „Osvědčení o shodě“.

1.5. Povinnou certifikaci podléhají informatizační objekty určené ke zpracování informací představujících státní tajemství, ke správě ekologicky nebezpečných zařízení a vedení tajných jednání.

V ostatních případech je certifikace dobrovolná (dobrovolná certifikace) a může být provedena z podnětu zákazníka nebo vlastníka objektu informatizace.

1.6. Při atestaci předmětu informatizace se zjišťuje jeho soulad s požadavky na ochranu informací před neoprávněným přístupem, včetně počítačových virů, před únikem v důsledku rušivého elektromagnetického záření a rušením při zvláštních účincích na objekt (vysokofrekvenční uložení a ozáření, elektromagnetické záření a záření expozice), před únikem nebo nárazem na něj v důsledku speciálních zařízení zabudovaných do objektů informatizace.

Analýza výchozích dat o certifikovaném objektu informatizace;

Předběžné seznámení s certifikovaným objektem informatizace;

Provádění komplexních atestačních zkoušek objektu informatizace v reálných provozních podmínkách;

Rozbor výsledků odborného zkoumání a komplexních atestačních zkoušek objektu informatizace a schválení závěru na základě výsledků atestace.

Státní technická komise Ruska může převést práva na akreditaci odvětvových (rezortních) certifikačních orgánů na jiné státní orgány.

1.10. Náklady na provedení všech druhů prací a služeb pro povinnou i dobrovolnou certifikaci objektů informatizace hradí žadatel.

Platba za práci na povinné certifikaci se provádí v souladu se smlouvou za schválené sazby a v případě jejich nepřítomnosti za smluvní cenu způsobem stanoveným Státní technickou komisí Ruska po dohodě s Ministerstvem financí Ruské federace.

Náklady na provedení všech druhů prací a služeb pro certifikaci objektů informatizace hradí žadatel na úkor finančních prostředků určených na rozvoj (zlepšení) a zprovoznění chráněného objektu informatizace.

2.6. Uchazeči:

Připravit objekt informatizace k certifikaci provedením nezbytných organizačních a technických opatření k ochraně informací;

Zapojit certifikační orgány, aby organizovaly a prováděly certifikaci objektu informatizace;

Poskytnout certifikačním orgánům potřebné dokumenty a podmínky pro certifikaci;

V případě potřeby získat pro testování necertifikovaných nástrojů informační bezpečnosti používaných na certifikovaném objektu informatizace testovací centra (laboratoře) pro certifikaci;

provozovat objekt informatizace v souladu s podmínkami a požadavky stanovenými v „Osvědčení o shodě“;

Oznamovat atestačnímu orgánu, který vydal „Osvědčení o shodě“, všechny změny v oblasti informačních technologií, složení a umístění informačních nástrojů a systémů, podmínky jejich provozu, které mohou ovlivnit účinnost opatření a prostředků na ochranu informací (seznam vlastností, které určují bezpečnost informací, změny, které je povinen oznámit certifikačnímu orgánu, je uvedena v „Osvědčení o shodě“);

Poskytují potřebné dokumenty a podmínky pro sledování a dohled nad provozem objektu informatizace, který prošel povinnou certifikací.

Není žádným tajemstvím, že za účelem zajištění ochrany informací na veřejnosti informační systémy ach, je vyžadována řada povinných činností. Mezi nimi vývoj technických specifikací pro vytvoření systému informační bezpečnosti, návrh a implementace systému informační bezpečnosti. Další důležitou a povinnou akcí je certifikace informačního systému dle bezpečnostních požadavků.

Federální zákon č. 152-FZ „O osobních údajích“, GOST R 51583 „Ochrana informací. Pořadí vytváření automatizovaných systémů v chráněném provedení. Obecná ustanovení“, GOST R 51624 „Bezpečnost informací. Automatizované systémy v bezpečném provedení. Obecné požadavky» a další stanovy předpisy regulační orgány (FSTEC Ruska, FSB Ruska) stanoví poměrně závažné požadavky na ochranu informací.

Za účelem potvrzení, že informační systém nebo vyhrazený počítač odpovídá požadavkům norem a regulačních a metodických dokumentů pro informační bezpečnost probíhá certifikace.

Popis služby

Účelem práce je uvést pracovní stanici do souladu s požadavky na bezpečnost důvěrných informací FSTEC Ruska. Certifikace objektu informatizace může zahrnovat následující kroky:

příprava objektu informatizace pro atestační zkoušky;
provádění atestačních zkoušek;
příprava vykazovací dokumentace na základě výsledků atestačních zkoušek.

Příprava objektu informatizace pro atestační zkoušky zahrnuje:

dodávka, instalace a konfigurace nezbytných certifikovaných nástrojů informační bezpečnosti;
zpracování technické dokumentace k objektu informatizace;
vývoj programu a metodiky certifikačních zkoušek jaderných elektráren.

Provádění certifikačních zkoušek zahrnuje:

ověření souladu objektu informatizace s organizačními a technickými požadavky na ochranu informací;
testování AU z hlediska souladu s požadavky na ochranu informací před únikem přes technické kanály;
testování AU z hlediska souladu s požadavky na ochranu informací před neoprávněným přístupem.

Příprava reportovací dokumentace na základě výsledků certifikačních testů zahrnuje:

vývoj protokolů hodnocení bezpečnosti JE;
vypracování závěru na základě výsledků atestačních zkoušek;
registrace a vystavení Osvědčení o shodě.

Recertifikace

Certifikát shody se vydává vlastníkovi certifikovaného objektu informatizace na 3 roky. Po uplynutí této doby nebo při významných změnách podmínek a technologie zpracování chráněných informací je nutná recertifikace.

Termín prací s dodávkou ochranných prostředků a montáží nepřesáhne 20 pracovních dnů.

Náklady na certifikaci AWP

Cena certifikace jedné paže dle požadavků informační bezpečnosti je ne více než 90 000 rublů. Zároveň tato částka zahrnuje potřebné finanční prostředky ochrana informací:

Subsystém ochrany informací před neoprávněným přístupem včetně instalační sady.
Antivirový ochranný subsystém včetně instalační sady.

Doklady o certifikaci objektu informatizace

Seznam dokumentů, na jejichž základě a v souladu s nimiž jsou služby poskytovány:

Federální zákon ze dne 27. července 2006 N 149-FZ (ve znění ze dne 31. prosince 2014) „O informacích, informačních technologiích a ochraně informací“;
« Speciální požadavky a doporučení pro technickou ochranu důvěrné informace (STR-K), Státní technická komise Ruska, 2001;
"Dočasná metodika pro hodnocení bezpečnosti hlavních technických prostředků a systémů určených pro zpracování, ukládání a (nebo) přenos důvěrných informací po komunikačních linkách", Státní technická komise Ruska, 2002;
„Dočasná metoda pro hodnocení zabezpečení důvěrných informací zpracovávaných hlavními technickými prostředky a systémy před únikem v důsledku zásahu do pomocných technické prostředky a jejich komunikační systémy“, Státní technická komise Ruska, 2002;
"Předpisy o certifikaci objektů informatizace podle požadavků informační bezpečnosti", Státní technická komise Ruska, 1994;
RD "Ochrana před neoprávněným přístupem k informacím, část 1." Software prostředky ochrany informací. Klasifikace nepřítomnosti nedeklarovaných schopností podle úrovně kontroly, Státní technická komise Ruska, 1999;
RD „Automatizované systémy. Ochrana před neoprávněným přístupem k informacím. Požadavky na klasifikaci AS a informační bezpečnost“, Státní technická komise Ruska, 1998;
RD „Počítačové vybavení. Ochrana před neoprávněným přístupem k informacím. Indikátory zabezpečení před neoprávněným přístupem k informacím, Státní technická komise Ruska, 1998