روش صدور گواهینامه سیستم های اطلاعاتی صدور گواهینامه تسلیحات بر اساس الزامات امنیت اطلاعات

07.03.2019

بدن

تایید شده

رئيس هیئت مدیره

کمیسیون فنی دولتی

موقعیت

در مورد گواهی اشیاء اطلاعاتی با توجه به الزامات امنیت اطلاعات

1.1. این آیین نامه اصول اساسی، ساختار سازمانی سیستم صدور گواهینامه اشیاء اطلاعاتی را با توجه به الزامات امنیت اطلاعات، روش انجام صدور گواهینامه و همچنین کنترل و نظارت بر صدور گواهینامه و بهره برداری از اشیاء اطلاعات گواهی شده را تعیین می کند.

1.2. آیین نامه مطابق با قوانین تدوین شده است فدراسیون روسیه"در مورد صدور گواهینامه محصولات و خدمات" و "در مورد اسرار دولتی"، "مقررات در سیستم دولتیحفاظت از اطلاعات در فدراسیون روسیه در برابر اطلاعات فنی خارجی و نشت آن از طریق کانال های فنی، "مقررات مجوز دولتی فعالیت ها در زمینه امنیت اطلاعات"، "مقررات صدور گواهینامه وسایل امنیت اطلاعات بر اساس الزامات امنیت اطلاعات"، "سیستم گواهینامه GOST R".

1.3. سیستم صدور گواهینامه اشیاء اطلاعاتی بر اساس الزامات امنیت اطلاعات (از این پس سیستم صدور گواهینامه نامیده می شود) بخشی جدایی ناپذیرسیستم یکپارچه برای صدور گواهینامه ابزارهای امنیت اطلاعات و صدور گواهینامه اشیاء اطلاعاتی بر اساس الزامات امنیت اطلاعات و مشمول ثبت نام ایالتیمطابق با روال تعیین شده توسط استاندارد دولتی روسیه. فعالیت های سیستم صدور گواهینامه توسط سازمان فدرال برای صدور گواهینامه محصولات و صدور گواهینامه اشیاء اطلاعات بر اساس الزامات امنیت اطلاعات (از این پس به عنوان نهاد فدرال برای صدور گواهینامه و گواهی نامیده می شود) که کمیسیون فنی دولتی روسیه است، سازماندهی می شود.

1.4. صدور گواهینامه اشیاء اطلاعاتی به عنوان مجموعه ای از اقدامات سازمانی و فنی درک می شود که در نتیجه از طریق یک سند ویژه - "گواهی انطباق" تأیید می شود که شی با الزامات استانداردها یا سایر اسناد نظارتی و فنی مطابقت دارد. در مورد امنیت اطلاعات تایید شده توسط کمیسیون فنی دولتی روسیه.

وجود یک "گواهی انطباق" معتبر در مرکز اطلاع رسانی این حق را می دهد که اطلاعات را با سطح محرمانه (محرمانه بودن) و برای مدت زمان تعیین شده در "گواهی انطباق" پردازش کند.

1.5. اشیاء اطلاعاتی در نظر گرفته شده برای پردازش اطلاعات تشکیل دهنده اسرار دولتی و مدیریت زیست محیطی مشمول صدور گواهینامه اجباری هستند. اشیاء خطرناک، انجام مذاکرات محرمانه

در موارد دیگر، صدور گواهینامه ماهیتی داوطلبانه دارد (گواهینامه داوطلبانه) و می تواند به ابتکار مشتری یا مالک شی اطلاعاتی انجام شود.

صدور گواهینامه بر اساس الزامات امنیت اطلاعات، مقدم بر شروع پردازش اطلاعات مورد محافظت است و به دلیل نیاز به تأیید رسمی اثربخشی مجموعه اقدامات و ابزارهای حفاظت از اطلاعات مورد استفاده در یک مرکز اطلاعاتی خاص ایجاد می شود.

1.6. هنگام تأیید یک شی اطلاعاتی، انطباق آن با الزامات محافظت از اطلاعات در برابر دسترسی غیرمجاز، از جمله ویروس های رایانه ای، از نشت ناشی از تشعشعات الکترومغناطیسی جانبی و تداخل تحت تأثیرات ویژه بر روی جسم (تحمیل و تابش فرکانس بالا، قرار گرفتن در معرض الکترومغناطیسی و تابش). )، از نشتی تایید شده یا تاثیر بر آن به دلیل دستگاه های خاص، در اشیاء اطلاعاتی تعبیه شده است.

1.7. صدور گواهینامه برای ارزیابی انطباق مجموعه اقدامات و وسایل حفاظتی اعمال شده با سطح مورد نیاز امنیت اطلاعات، یک بررسی جامع (تست های گواهینامه) شی اطلاعات محافظت شده را در شرایط عملیاتی واقعی فراهم می کند.

1.8. صدور گواهینامه توسط سازمان صدور گواهینامه به روش تعیین شده توسط این آیین نامه مطابق با طرح انتخاب شده توسط این نهاد در مرحله آماده سازی برای صدور گواهینامه از لیست اصلی کارهای زیر انجام می شود:

تجزیه و تحلیل داده های منبع برای شی اطلاعات تایید شده؛

آشنایی اولیه با موضوع تایید شده اطلاعات.

انجام یک بررسی تخصصی از شی اطلاعات سازی و تجزیه و تحلیل اسناد توسعه یافته برای حفاظت از اطلاعات در این شی از نقطه نظر انطباق آن با الزامات اسناد نظارتی و روش شناختی.

انجام آزمایش‌های ابزارها و سیستم‌های امنیتی اطلاعات فردی در شی اطلاعات گواهی شده با استفاده از تجهیزات کنترلی و ابزارهای آزمایشی خاص.

انجام تست ابزارها و سیستم های امنیتی اطلاعات فردی در مراکز آزمایش (آزمایشگاه ها) برای صدور گواهینامه ابزارهای امنیت اطلاعات بر اساس الزامات امنیت اطلاعات.

انجام تست های گواهی جامع یک شی اطلاعات سازی در شرایط عملیاتی واقعی.

تجزیه و تحلیل نتایج بررسی کارشناسی و آزمون های گواهی جامع از شی اطلاعات و تایید نتیجه گیری بر اساس نتایج گواهینامه.

1.9. نهادهای صدور گواهینامه توسط کمیسیون فنی دولتی روسیه معتبر هستند. قوانین اعتبار سنجی توسط سیستم فعلی "مقررات مربوط به اعتبار سنجی آزمایشگاه ها و ارگان های آزمایش برای صدور گواهینامه ابزارهای امنیت اطلاعات بر اساس الزامات امنیت اطلاعات" تعیین می شود.

کمیسیون فنی دولتی روسیه ممکن است حقوق مربوط به سازمان های صدور گواهینامه (بخشی) خاص صنعت را به سایر نهادهای دولتی منتقل کند.

1.10. هزینه های انجام انواع کارها و خدمات صدور گواهینامه اجباری و داوطلبانه اشیاء اطلاع رسانی توسط متقاضیان پرداخت می شود.

پرداخت برای کار گواهی اجباریطبق قرارداد با قیمت های مصوب و در غیاب آنها - با قیمت توافقی به روشی که توسط کمیسیون فنی دولتی روسیه با توافق با وزارت دارایی فدراسیون روسیه تعیین شده است انجام می شود.

هزینه های انجام انواع کارها و خدمات برای صدور گواهینامه اشیاء اطلاعاتی توسط متقاضیان از منابع مالی اختصاص یافته برای توسعه (بازبینی) و اجرای شی اطلاعات حفاظت شده پرداخت می شود.

1.11. نهادهای صدور گواهینامه اشیاء اطلاع رسانی مسئول انجام وظایف محول شده به آنها، اطمینان از ایمنی اسرار دولتی و تجاری و همچنین رعایت حق چاپ توسعه دهندگان اشیاء اطلاعات گواهی شده و اجزای آنها هستند.

2. ساختار سازمانی سیستم برای صدور گواهینامه اشیاء اطلاعاتی با توجه به الزامات امنیت اطلاعات

2.1. ساختار سازمانی سیستم صدور گواهینامه برای اشیاء اطلاعاتی توسط:

نهاد فدرال برای صدور گواهینامه ابزارهای امنیت اطلاعات و صدور گواهینامه اشیاء اطلاعاتی مطابق با الزامات امنیت اطلاعات، کمیسیون فنی دولتی روسیه است.

نهادهای صدور گواهینامه اشیاء اطلاعاتی با توجه به الزامات امنیت اطلاعات؛

مراکز آزمایش (آزمایشگاه) برای صدور گواهینامه محصول با توجه به الزامات امنیت اطلاعات؛

متقاضیان (مشتریان، صاحبان، توسعه دهندگان اشیاء اطلاعاتی تایید شده).

2.2. سازمان صدور گواهی و گواهی فدرال وظایف زیر را انجام می دهد:

صدور گواهینامه اجباری اشیاء اطلاعاتی را سازماندهی می کند.

سیستم هایی را برای صدور گواهینامه اشیاء اطلاعاتی ایجاد می کند و قوانینی را برای صدور گواهینامه در این سیستم ها ایجاد می کند.

ضوابط اعتباربخشی و صدور مجوز برای انجام کار تحت گواهینامه اجباری را وضع می کند.

سازماندهی، تامین مالی توسعه و تصویب اسناد نظارتی و روش شناختی برای صدور گواهینامه اشیاء اطلاعات.

ارگانهای صدور گواهینامه اشیاء اطلاعاتی را تأیید می کند و برای انجام انواع خاصی از کار مجوز صادر می کند.

کنترل و نظارت دولتی بر رعایت قوانین صدور گواهینامه و عملکرد اشیاء اطلاعات گواهی شده را انجام می دهد.

تجدیدنظرهای ناشی از فرآیند صدور گواهینامه اشیاء اطلاع رسانی و کنترل بر عملکرد اشیاء اطلاع رسانی تایید شده را در نظر می گیرد.

انتشار دوره ای اطلاعات در مورد عملکرد سیستم برای صدور گواهینامه اشیاء اطلاعات را با توجه به الزامات امنیت اطلاعات سازماندهی می کند.

2.3. نهادهای صدور گواهینامه اشیاء اطلاعاتی توسط کمیسیون فنی دولتی روسیه معتبر هستند و از آن مجوزی برای حق صدور گواهینامه اشیاء اطلاعاتی دریافت می کنند.

چنین نهادهایی ممکن است صنعت و موسسات منطقه ای، شرکت ها و سازمان های حفاظت از اطلاعات، مراکز ویژه کمیسیون فنی دولتی روسیه باشند.

2.4. مراجع صدور گواهینامه:

گواهی اشیاء اطلاعاتی و صدور "گواهی انطباق"؛

اعمال کنترل بر امنیت اطلاعات در حال گردش در مراکز اطلاعاتی تایید شده و عملکرد آنها.

لغو و تعلیق اعتبار "گواهینامه های انطباق" صادر شده توسط این سازمان؛

تشکیل صندوقی از اسناد هنجاری و روش شناختی لازم برای تأیید انواع خاصی از اشیاء اطلاعاتی، مشارکت در توسعه آنها.

حفظ پایگاه اطلاعاتی اشیاء اطلاعاتی که توسط این سازمان تایید شده است.

آنها با کمیسیون فنی دولتی روسیه تعامل دارند و هر سه ماه یکبار در مورد فعالیت های خود در زمینه صدور گواهینامه به آن اطلاع می دهند.

2.5. مراکز آزمایش (آزمایشگاه ها) برای صدور گواهینامه محصولات بر اساس الزامات امنیت اطلاعات، به سفارش متقاضیان، آزمایشات محصولات بدون گواهی مورد استفاده در یک مرکز علم اطلاعات را که مشمول صدور گواهینامه اجباری هستند، مطابق با "مقررات صدور گواهینامه امنیت اطلاعات انجام می دهند." به معنای مطابق با الزامات امنیت اطلاعات است.

2.6. متقاضیان:

با اجرای اقدامات سازمانی و فنی لازم برای حفاظت از اطلاعات، شی اطلاعات را برای صدور گواهی آماده کنید.

درگیر کردن نهادهای صدور گواهی برای سازماندهی و انجام صدور گواهینامه موضوع اطلاعات.

به مراجع صدور گواهینامه ارائه می شود مدارک مورد نیازو شرایط صدور گواهینامه؛

جذب شدن به موارد ضروری، برای آزمایش ابزارهای امنیتی اطلاعات غیرمجاز مورد استفاده در شی اطلاعات گواهی شده، مراکز تست گواهینامه (آزمایشگاه)؛

شی اطلاعات سازی را مطابق با شرایط و الزامات تعیین شده در "گواهی انطباق" اداره کنید.

سازمان صدور گواهینامه را که "گواهی انطباق" را صادر کرده است، در مورد همه تغییرات در آن مطلع کنید فناوری اطلاعات، ترکیب و قرارگیری ابزارها و سیستم های علم اطلاعات، شرایط عملکرد آنها، که ممکن است بر اثربخشی اقدامات و ابزارهای حفاظت از اطلاعات تأثیر بگذارد (فهرست ویژگی هایی که امنیت اطلاعات را تعیین می کند، تغییراتی که در آن باید به اطلاع سازمان داده شود. مرجع صدور گواهینامه، در "گواهی انطباق" ارائه شده است).

ارائه مدارک و شرایط لازم برای نظارت و نظارت بر عملکرد یک شی فناوری اطلاعات که گواهینامه اجباری را گذرانده است.

3. مراحل صدور گواهینامه و کنترل

3.1. روش صدور گواهینامه اشیاء اطلاعاتی با توجه به الزامات امنیت اطلاعات شامل اقدامات زیر است:

ارائه و بررسی درخواست برای صدور گواهینامه؛

آشنایی اولیه با شی تایید شده؛

آزمایش ابزارها و سیستم های امنیتی اطلاعات غیرمجاز مورد استفاده در مرکز گواهی شده (در صورت لزوم).

توسعه یک برنامه و روش برای آزمون های صدور گواهینامه؛

انعقاد قرارداد برای صدور گواهینامه؛

انجام تست های صدور گواهینامه شی اطلاعات سازی؛

ثبت، ثبت و صدور "گواهی انطباق"؛

اجرای کنترل و نظارت دولتی، کنترل بازرسی بر صدور گواهینامه و بهره برداری از اشیاء اطلاع رسانی گواهی شده؛

رسیدگی به درخواست تجدیدنظر.

3.2. ارائه و بررسی درخواست برای صدور گواهینامه

3.2.1. متقاضی، به منظور دریافت "گواهی انطباق"، از قبل درخواستی را برای صدور گواهینامه با اطلاعات اولیه در مورد شی اطلاعات تایید شده در فرم ارائه شده در پیوست 1 به سازمان صدور گواهینامه ارسال می کند.

3.2.2. سازمان صدور گواهینامه درخواست را ظرف یک ماه بررسی می کند و بر اساس تجزیه و تحلیل داده های اولیه، یک طرح صدور گواهینامه را انتخاب می کند، آن را با متقاضی هماهنگ می کند و تصمیم می گیرد تا صدور گواهینامه شی اطلاعات سازی را انجام دهد.

3.3. آشنایی اولیه با شی تایید شده

اگر داده های اولیه کافی در مورد موضوع گواهی شده اطلاعاتی وجود نداشته باشد، طرح صدور گواهینامه شامل کار بر روی آشنایی اولیه با موضوع گواهی شده است که قبل از مرحله آزمایش های صدور گواهینامه انجام شده است.

3.4. آزمایش ابزارها و سیستم‌های امنیتی اطلاعات غیرمجاز مورد استفاده در یک مرکز اطلاعات تایید شده

3.4.1. هنگامی که از ابزارها و سیستم‌های امنیت اطلاعات غیرمجاز در شیء اطلاع‌رسانی تایید شده استفاده می‌شود، طرح صدور گواهی ممکن است شامل کار بر روی آزمایش آنها در مراکز آزمایش (آزمایشگاه‌ها) برای صدور گواهینامه ابزارهای حفاظت از اطلاعات بر اساس الزامات امنیت اطلاعات یا مستقیماً در شیء اطلاع‌رسانی تایید شده باشد. با استفاده از تجهیزات کنترلی خاص و وجوه تست.

3.4.2. آزمایش ابزارها و سیستم های امنیتی اطلاعات غیرمجاز در مراکز آزمایش گواهینامه (آزمایشگاه ها) قبل از آزمایش های صدور گواهینامه اشیاء فناوری اطلاعات انجام می شود.

در این صورت، متقاضی باید قبل از شروع آزمون های صدور گواهینامه، نتیجه گیری مراجع صدور گواهینامه امنیت اطلاعات را در مورد الزامات و گواهینامه های امنیت اطلاعات ارائه کند.

3.5. توسعه یک برنامه و روش برای آزمون های گواهینامه

3.5.1. بر اساس نتایج بررسی کاربرد و تجزیه و تحلیل داده های اولیه، و همچنین آشنایی اولیه با موضوع گواهی شده توسط سازمان صدور گواهینامه، یک برنامه آزمون گواهینامه تهیه می شود که فهرستی از آثار و مدت زمان آنها، روش های آزمایش (یا از روش های استاندارد استفاده می شود)، ترکیب کمی و حرفه ای کمیسیون صدور گواهینامه منصوب شده توسط بدن برای صدور گواهینامه اشیاء اطلاعاتی، نیاز به استفاده از تجهیزات کنترلی و ابزارهای آزمایش در شی اطلاعات گواهی شده یا مراکز آزمایش (آزمایشگاه) برای صدور گواهینامه تعیین می شود. منظور از امنیت اطلاعات با توجه به الزامات امنیت اطلاعات است.

3.5.2. روش، محتوا، شرایط و روش‌های آزمایش برای ارزیابی ویژگی‌ها و شاخص‌های بررسی‌شده در حین صدور گواهینامه، انطباق آنها با الزامات تعیین‌شده، و همچنین تجهیزات کنترلی و ابزارهای آزمایشی مورد استفاده برای این اهداف در روش‌های آزمون تعیین می‌شوند. انواع مختلفاشیاء اطلاع رسانی

3.5.3. برنامه آزمون گواهینامه با متقاضی توافق می شود.

3.6. انعقاد قرارداد برای صدور گواهینامه

3.6.1. مرحله آماده سازی با انعقاد توافق نامه بین متقاضی و مرجع صدور گواهی برای انجام صدور گواهینامه، انعقاد موافقت نامه (قرارداد) مرجع صدور گواهینامه با کارشناسان مشمول و صدور دستور پذیرش کمیسیون گواهی به پایان می رسد. صدور گواهینامه

3.6.2. پرداخت کار اعضای کمیسیون صدور گواهینامه توسط سازمان صدور گواهینامه مطابق با قراردادهای کاری منعقد شده (قراردادها) با هزینه منابع مالی حاصل از توافق نامه های منعقد شده برای صدور گواهینامه اشیاء اطلاعاتی انجام می شود.

3.7. انجام تست های تایید صلاحیت اشیاء اطلاع رسانی

3.7.1. در مرحله آزمایش های صدور گواهینامه شی اطلاعات:

تجزیه و تحلیل ساختار سازمانی شی اطلاعات، جریان های اطلاعات، ترکیب و ساختار مجموعه سخت افزار و نرم افزار، سیستم امنیت اطلاعات در شی، اسناد توسعه یافته و انطباق آن با الزامات اسناد نظارتی در مورد انجام می شود. حفاظت از اطلاعات؛

صحت طبقه بندی اشیاء تجهیزات الکترونیکی و طبقه بندی سیستم های خودکار (در حین صدور گواهینامه سیستم های خودکار)، انتخاب و استفاده از ابزارها و سیستم های امنیتی اطلاعات گواهی شده و غیر تایید شده مشخص می شود.

تست ابزارها و سیستم های امنیت اطلاعات غیرمجاز در مرکز تایید شده انجام می شود یا نتایج آزمایشات آنها در مراکز تست گواهی (آزمایشگاه) تجزیه و تحلیل می شود.

سطح آموزش پرسنل و توزیع مسئولیت های پرسنل برای اطمینان از انطباق با الزامات امنیت اطلاعات بررسی می شود.

تست های گواهی جامع شی اطلاعات سازی در شرایط عملیاتی واقعی با بررسی تحقق واقعی الزامات تعیین شده در مراحل مختلف انجام می شود. فرآیند تکنولوژیکیپردازش اطلاعات محافظت شده؛

گزارش های آزمایش و نتیجه گیری بر اساس نتایج گواهینامه با توصیه های خاصی برای از بین بردن تخلفات، مطابقت دادن سیستم حفاظت از شی اطلاعات با الزامات تعیین شده و بهبود این سیستم، و همچنین توصیه هایی برای نظارت بر عملکرد شی اطلاعات تهیه می شود.

3.7.2. نتیجه گیری بر اساس نتایج گواهی با ارزیابی مختصرمطابقت شی اطلاعات سازی با الزامات امنیت اطلاعات، نتیجه گیری در مورد امکان صدور "گواهی انطباق" و توصیه های لازم توسط اعضای کمیسیون صدور گواهینامه امضا شده و به اطلاع متقاضی می رسد.

نتیجه گیری همراه با گزارش های آزمایشی است که نتایج به دست آمده در طول آزمایش ها را تأیید می کند و نتیجه گیری ارائه شده در نتیجه گیری را توجیه می کند.

گزارش آزمون توسط کارشناسان - اعضای کمیسیون صدور گواهینامه که آزمایش ها را انجام داده اند امضا می شود.

نتیجه گیری و گزارش آزمایش منوط به تایید سازمان صدور گواهینامه است.

3.8. اجرا، ثبت و صدور "گواهی انطباق"

3.8.1. یک "گواهی انطباق" برای یک شی فناوری اطلاعات که الزامات امنیت اطلاعات را برآورده می کند توسط سازمان صدور گواهینامه به شکل ارائه شده در پیوست 2 صادر می شود.

3.8.2. "گواهی انطباق" پس از تایید نتیجه گیری بر اساس نتایج گواهینامه تنظیم و برای متقاضی صادر می شود.

3.8.3. ثبت "گواهی های انطباق" به منظور حفظ پایگاه اطلاعاتی اشیاء اطلاع رسانی تایید شده و برنامه ریزی فعالیت های کنترل و نظارت، به صورت صنعتی یا منطقه ای توسط سازمان های صدور گواهینامه انجام می شود.

نگهداری از پایگاه های اطلاعاتی تلفیقی اشیاء اطلاعات تایید شده توسط کمیسیون فنی دولتی روسیه یا به دستور آن توسط یکی از نهادهای نظارت بر صدور گواهینامه و بهره برداری از اشیاء تایید شده انجام می شود.

3.8.4. یک "گواهی انطباق" توسط سازمان صدور گواهینامه برای صاحب یک شیء اطلاع رسانی تایید شده برای دوره ای صادر می شود که در طی آن شرایط عملیاتی بدون تغییر شی اطلاعات و فناوری پردازش اطلاعات محافظت شده تضمین می شود، که ممکن است بر ویژگی هایی که تعیین می کند تأثیر بگذارد. امنیت اطلاعات (ترکیب و ساختار ابزار فنی، شرایط قرارگیری، ارائه نرم افزار مورد استفاده، حالت های پردازش اطلاعات، وسایل و اقدامات حفاظتی)، اما حداکثر 3 سال.

صاحب یک شیء اطلاع رسانی تایید شده مسئول انطباق با شرایط عملیاتی تعیین شده شی اطلاعات سازی، فناوری پردازش اطلاعات محافظت شده و الزامات امنیت اطلاعات است.

3.8.5. در صورت تغییر در شرایط و فناوری پردازش اطلاعات محافظت شده، صاحبان اشیاء تأیید شده موظفند به سازمان صدور گواهینامه اطلاع دهند، که در مورد نیاز به انجام تأیید بیشتر از اثربخشی سیستم حفاظت از اشیاء اطلاعاتی تصمیم می گیرد.

3.8.6. اگر شی تایید شده با الزامات امنیت اطلاعات مطابقت نداشته باشد و حذف سریع موارد ذکر شده غیرممکن باشد. کمیسیون صدور گواهینامهدر صورت کمبود، سازمان صدور گواهینامه تصمیم می گیرد از صدور "گواهی انطباق" خودداری کند.

در این صورت ممکن است دوره ای برای صدور گواهینامه مجدد پیشنهاد شود به شرط رفع نواقص.

در صورت وجود نظرات غیراصولی، پس از بررسی حذف این نظرات، می توان "گواهی انطباق" صادر کرد.

3.9. بررسی تجدید نظرها

اگر متقاضی با امتناع از صدور "گواهی انطباق" مخالف باشد، او حق دارد به یک مرجع صدور گواهینامه بالاتر یا مستقیماً به کمیسیون فنی دولتی روسیه با درخواست تجدید نظر برای بررسی بیشتر نتایج آزمایش، در جایی که این مورد است، شکایت کند. ظرف مدت یک ماه با مشارکت علاقمندان در نظر گرفته شده است. تصمیم به تجدیدنظرخواه ابلاغ می شود.

3.10. کنترل و نظارت دولتی، کنترل بازرسی بر رعایت قوانین صدور گواهینامه و بهره برداری از اشیاء اطلاعات گواهی شده

3.10.1. کنترل و نظارت دولتی، کنترل بازرسی بر روی صدور گواهینامه اشیاء اطلاعاتی توسط کمیسیون فنی دولتی روسیه هم در فرآیند و هم پس از اتمام صدور گواهینامه، و هم بر روی عملیات اشیاء اطلاعات گواهی شده - به طور دوره ای مطابق با برنامه های کاری برای کنترل انجام می شود. و نظارت

کمیسیون فنی دولتی روسیه ممکن است برخی از وظایف کنترل دولتی و نظارت بر صدور گواهینامه و بهره برداری از اشیاء اطالع رسانی تایید شده را به ارگان های صدور گواهینامه معتبر منتقل کند.

3.10.2. حجم، محتوا و روش کنترل و نظارت دولتی در اسناد نظارتی و روش شناختی برای صدور گواهینامه اشیاء اطلاعاتی تعیین شده است.

3.10.3. کنترل و نظارت دولتی بر انطباق با قوانین صدور گواهینامه شامل بررسی صحت و کامل بودن اقدامات انجام شده برای تأیید اشیاء اطلاعاتی، ثبت و بررسی توسط نهادهای صدور گواهینامه اسناد گزارش دهی و گزارش های آزمایشی، ارائه به موقع تغییرات در اسناد نظارتی و روش شناختی در مورد امنیت اطلاعات، بازرسی است. کنترل بر عملکرد اطلاعات اشیاء تایید شده.

3.10.4. در صورت نقض فاحش توسط سازمان صدور گواهینامه از الزامات استانداردها یا سایر اسناد نظارتی و روش شناختی در مورد امنیت اطلاعات شناسایی شده در حین کنترل و نظارت، سازمان صدور گواهینامه ممکن است از مجوز صدور گواهینامه اشیاء فناوری اطلاعات محروم شود.

3.10.5. در صورت مشاهده تخلف از قوانین عملکرد اشیاء اطلاعاتی تایید شده، فناوری پردازش اطلاعات حفاظت شده و الزامات امنیت اطلاعات توسط سازمان کنترل و نظارت، اعتبار "گواهی انطباق" با این تصمیم ممکن است به حالت تعلیق درآید یا لغو شود. در "گواهی انطباق" و بدن مسئول یک پایگاه اطلاعاتی تلفیقی از اشیاء تایید شده علوم کامپیوتر و کمیسیون فنی دولتی روسیه رسمیت یافته است.

تصمیم به لغو "گواهی انطباق" در صورتی اتخاذ می شود که در نتیجه اتخاذ سریع اقدامات حفاظتی سازمانی و فنی، سطح مورد نیاز امنیت اطلاعات قابل بازیابی نباشد.

3.10.6. در صورت نقض فاحش توسط سازمان صدور گواهینامه از الزامات استانداردها یا سایر اسناد نظارتی در مورد امنیت اطلاعات تایید شده توسط کمیسیون فنی دولتی روسیه، شناسایی شده در حین کنترل و نظارت و منجر به صدور گواهینامه مجدد، هزینه های کنترل و نظارت ممکن است ، با تصمیم داوری ایالتی، از نهاد صدور گواهینامه بازیابی شد. صدور گواهینامه مجدد نیز ممکن است با هزینه این سازمان صدور گواهینامه انجام شود.

3.10.7. هزینه های نظارت بر صدور گواهینامه اجباری و بهره برداری از تأسیساتی که گواهینامه اجباری را گذرانده اند توسط مرجع نظارت از محل اعتبارات بودجه کشور که برای این منظور به آن اختصاص داده می شود پرداخت می شود.

4. الزامات اسناد هنجاری و روش شناختی در مورد تأیید اشیاء اطلاعات

4.1. اشیاء اطلاعات، صرف نظر از سخت افزار و نرم افزار داخلی یا خارجی مورد استفاده، برای انطباق با الزامات استانداردهای دولتی یا سایر اسناد نظارتی در مورد امنیت اطلاعات تأیید شده توسط کمیسیون فنی دولتی روسیه تأیید شده اند.

4.2. ترکیب اسناد هنجاری و روش شناختی برای صدور گواهینامه اشیاء اطلاعاتی خاص، بسته به نوع و شرایط عملیاتی اشیاء اطلاعاتی بر اساس تجزیه و تحلیل داده های اولیه روی شی تأیید شده، توسط سازمان صدور گواهینامه تعیین می شود.

4.3. اسناد نظارتی فقط شامل آن دسته از شاخص ها، ویژگی ها و الزاماتی است که می توان به طور عینی تأیید کرد.

4.4. اسناد هنجاری و روش‌شناختی برای روش‌های آزمایش باید حاوی ارجاعاتی به شرایط، محتوا و روش انجام آزمایش‌ها، تجهیزات کنترلی و ابزارهای آزمایشی مورد استفاده در طول آزمایش‌ها، به حداقل رساندن خطاها در نتایج آزمایش و امکان بازتولید این نتایج باشد.

4.5. متون اسناد نظارتی و روش شناختی مورد استفاده در صدور گواهینامه اشیاء اطلاعات باید به طور واضح و دقیق فرموله شود و از تفسیر دقیق و یکنواخت آنها اطمینان حاصل شود. آنها باید دارای نشانه ای از امکان استفاده از سند برای تأیید انواع خاصی از اشیاء اطلاعاتی با توجه به الزامات امنیت اطلاعات یا زمینه های حفاظت از اطلاعات باشند.

4.6. زبان رسمی سیستم صدور گواهینامه روسی است که در آن کلیه اسناد مورد استفاده و صادر شده در چارچوب سیستم صدور گواهینامه تنظیم می شود.

رئیس بخش

کمیسیون فنی دولتی

زیر نظر رئیس جمهور فدراسیون روسیه

وی.ویرکوفسکی

پیوست 1

به چه کسی: _________________________________

(نام نهاد صدور گواهینامه

و آدرسش)

برای صدور گواهینامه یک شی اطلاعاتی

1. (نام متقاضی) درخواست گواهینامه (نام

شی اطلاعات) برای انطباق با الزامات امنیتی

اطلاعات: ________________________________________________________________

2. داده های اولیه لازم برای شی مورد تایید اطلاعات

ضمیمه شده اند.

3. متقاضی آماده ارائه مدارک و شرایط لازم برای

انجام صدور گواهینامه

4. متقاضی متعهد می شود که هزینه های همه را به صورت قراردادی بپردازد

انواع کار و خدمات برای صدور گواهینامه شی مشخص شده در این برنامه

اطلاع رسانی

5. شرایط یا اطلاعات اضافی برای قرارداد:

5.1. من یک آشنایی اولیه با شی تایید شده را پیشنهاد می کنم

در طول دوره ________________________________________________________________ انجام شود

5.2. من پیشنهاد می‌کنم آزمایش‌های صدور گواهینامه شی علوم کامپیوتر را در آن انجام دهیم

دوره زمانی _____________________________________________________________________

5.3. آزمایش ابزارها و سیستم های اطلاعاتی غیرمجاز

(نام وسایل و سیستم ها) در نظر گرفته شده است که در آزمایش انجام شود

مراکز (آزمایشگاه) (نام مراکز آزمایش) در طول دوره

_________________ (یا پیشنهاد می شود که آن را مستقیماً بر روی شخصی که گواهی می دهد انجام شود

تسهیلات در دوره _____).

سایر شرایط (پیشنهادها).

رئیس (بدن متقاضی)

(امضا، تاریخ) (نام خانوادگی، I.O.)

کاربرد

به فرم "برنامه...".

داده های اولیه در مورد شی اطلاعاتی تایید شده بر اساس لیست سوالات زیر تهیه می شود:

1. نام کامل و دقیق شی اطلاعات سازی و هدف آن.

2. ماهیت (علمی، فنی، اقتصادی، صنعتی، مالی، نظامی، سیاسی) و سطح محرمانه بودن (محرمانه بودن) اطلاعات پردازش شده تعیین می شود (بر اساس آن لیست ها (ایالت، صنعت، ادارات، شرکت)).

3. ساختار سازمانی شی اطلاعات.

4. فهرست اماکن، ترکیب مجموعه وسایل فنی (اصلی و کمکی) موجود در شی اطلاعات سازی، که در آن (در آن) پردازش می شود. اطلاعات مشخص شده(واقع در اتاق هایی که در آن گردش می کند).

5. ویژگی ها و چیدمان شی اطلاعات سازی که مرزهای منطقه کنترل شده را نشان می دهد.

6. ساختار نرم افزار (در سطح سیستم و کاربردی) مورد استفاده بر روی شی اطلاعات تایید شده و در نظر گرفته شده برای پردازش اطلاعات محافظت شده، پروتکل های تبادل اطلاعات مورد استفاده قرار می گیرد.

7. نمودار عملکرد کلی یک شی اطلاعات سازی، شامل نمودار جریان اطلاعات و حالت های پردازش اطلاعات محافظت شده.

8. وجود و ماهیت تعامل با سایر اشیاء اطلاع رسانی.

9. ترکیب و ساختار سیستم امنیت اطلاعات در شیء اطلاع رسانی گواهی شده.

10. فهرست سخت افزار و نرم افزار در طراحی حفاظت شده، حفاظت و کنترل وسایل مورد استفاده در مرکز اطلاعات گواهی شده و داشتن گواهی مناسب، دستورالعمل عملیات.

11. اطلاعات مربوط به توسعه دهندگان سیستم امنیت اطلاعات، اینکه آیا توسعه دهندگان شخص ثالث (در رابطه با شرکتی که شی اطلاعات تایید شده در آن قرار دارد) دارای مجوز برای انجام چنین کاری هستند.

12. حضور در شی اطلاعات سازی (در شرکتی که شی اطلاعات سازی در آن قرار دارد) یک سرویس امنیت اطلاعات، یک سرویس مدیر (سیستم خودکار، شبکه، پایگاه های داده).

13. در دسترس بودن و ویژگی های اصلی حفاظت فیزیکی شی اطلاعات سازی (محل هایی که اطلاعات محافظت شده پردازش می شود و رسانه های اطلاعاتی ذخیره می شوند).

14. در دسترس بودن و آماده بودن اسناد طراحی و عملیاتی برای شی اطلاعات سازی و سایر داده های اولیه در مورد شی اطلاعاتی تایید شده، که بر امنیت اطلاعات تأثیر می گذارد.

ضمیمه 2

"تایید شده"

(مقام رئیس سازمان صدور گواهینامه)

m.p. نام و نام خانوادگی.

"__" _________ 19__

گواهی انطباق

(نام کامل شی اطلاعات سازی را ذکر کنید)

الزامات امنیت اطلاعات

اعتبار تا "__" _____ 19__

1. این گواهی گواهی می دهد که: (کامل

نام شی اطلاعات سازی) ________ دسته ____________ کلاس

مطابق با الزامات اسناد نظارتی و روش شناختی برای

امنیت اطلاعات.

ترکیب مجموعه ابزارهای فنی شی اطلاعات سازی (با

نشان دادن شماره سریال، مدل، سازنده، شماره گواهی)

چیدمان محل و نسبت به مرزهای منطقه تحت کنترل،

لیست نرم افزارهای مورد استفاده و همچنین ابزارهای امنیتی (با

نشان دهنده سازنده و شماره گواهی) پیوست شده است.

2. ساختار سازمانی، سطح آموزش تخصصی،

نظارتی، پشتیبانی روش شناختی و تجهیزات فنی خدمات

امنیت اطلاعات کنترل بر اثربخشی اقدامات و وسایل را تضمین می کند

حفاظت و حفظ سطح امنیت شی اطلاعات سازی در فرآیند

عملیات مطابق با الزامات تعیین شده

3. صدور گواهینامه شی اطلاعات سازی مطابق با انجام می شود

برنامه و روش های آزمون های گواهی تایید شده است

"__" _______ 19__ N ______.

4. در نظر گرفتن نتایج آزمون های تایید صلاحیت در محل

پردازش اطلاعات مجاز است (بالاترین درجه نشان داده شده است

رازداری، محرمانه بودن) اطلاعات.

5. هنگام کار با یک شی اطلاعاتی، ممنوع است: (نشان داده شده است

محدودیت هایی که ممکن است بر اثربخشی اقدامات و راه حل های حفاظتی تأثیر بگذارد

اطلاعات).

6. نظارت بر اثربخشی اقدامات و وسایل حفاظتی اجرا شده

به سرویس امنیت اطلاعات سپرده شده است.

7. نتایج دقیق آزمون های گواهینامه در نتیجه گیری آورده شده است

کمیسیون صدور گواهینامه (N _______ "__" ________ 19__) و پروتکل ها

تست ها

8. "گواهی انطباق" برای _____ سال صادر شد که طی آن

تغییر ناپذیری شرایط عملیاتی تاسیسات باید تضمین شود

اطلاعات و فناوری برای پردازش اطلاعات محافظت شده که می تواند

بر ویژگی های مشخص شده در بند 9 تأثیر می گذارد.

9. فهرست مشخصاتی که تغییر آنها الزامی است

به سازمان صدور گواهینامه اطلاع دهید.

9.1. __________________________________________

9.2. __________________________________________

رئیس کمیسیون صدور گواهینامه

(موقعیت نشان دهنده نام شرکت)

"__" _______ 19__

نمرات مقام ناظر: _________________________________________________________________

توجه داشته باشید. منظور از اشیاء اطلاعاتی تایید شده بر اساس الزامات امنیت اطلاعات، سیستم های خودکار در سطوح و اهداف مختلف، سیستم های ارتباطی، نمایش و تولید مثل، همراه با محل نصب آنها، برای پردازش و انتقال اطلاعات مشمول حفاظت، و همچنین خود محل است. برای انجام مذاکرات محرمانه در نظر گرفته شده است.

با توجه به الزامات امنیت اطلاعات، روش صدور گواهینامه، و همچنین کنترل و نظارت بر صدور گواهینامه و بهره برداری از اشیاء اطلاعات گواهی شده.

1.2. این مقررات مطابق با قوانین فدراسیون روسیه "در مورد صدور گواهینامه محصولات و خدمات" و در مورد اسرار دولتی، "مقررات سیستم دولتی برای محافظت از اطلاعات در فدراسیون روسیه از اطلاعات فنی خارجی و نشت آن از طریق فنی تدوین شده است. کانال ها، مقررات مربوط به مجوز دولتی فعالیت ها در زمینه امنیت اطلاعات، مقررات مربوط به صدور گواهینامه امنیت اطلاعات بر اساس الزامات امنیت اطلاعات، "سیستم صدور گواهینامه GOST R".

1.3. سیستم صدور گواهینامه اشیاء اطلاعاتی بر اساس الزامات امنیت اطلاعات (از این پس به عنوان سیستم صدور گواهینامه نامیده می شود) بخشی جدایی ناپذیر از سیستم یکپارچه صدور گواهینامه ابزارهای امنیت اطلاعات و صدور گواهینامه اشیاء اطلاعاتی بر اساس الزامات امنیت اطلاعات است و تابع دولت است. ثبت نام به روشی که توسط استاندارد دولتی روسیه تعیین شده است. فعالیت های سیستم صدور گواهینامه توسط سازمان فدرال برای صدور گواهینامه محصولات و صدور گواهینامه اشیاء اطلاعات بر اساس الزامات امنیت اطلاعات (از این پس به عنوان نهاد فدرال برای صدور گواهینامه و گواهی نامیده می شود) که کمیسیون فنی دولتی روسیه است، سازماندهی می شود.

1.5. اشیاء اطلاعاتی که برای پردازش اطلاعات تشکیل دهنده اسرار دولتی، مدیریت اشیاء خطرناک برای محیط زیست و انجام مذاکرات مخفی در نظر گرفته شده است، مشمول صدور گواهینامه اجباری هستند.

1.6. هنگام تأیید یک شی اطلاعاتی، انطباق آن با الزامات محافظت از اطلاعات در برابر دسترسی غیرمجاز، از جمله ویروس های رایانه ای، از نشت ناشی از تشعشعات الکترومغناطیسی جانبی و تداخل تحت تأثیرات ویژه بر روی جسم (تحمیل و تابش فرکانس بالا، قرار گرفتن در معرض الکترومغناطیسی و تابش). )، از نشتی به دلیل دستگاه های ویژه ای که در اشیاء اطلاعات سازی تعبیه شده است تأیید یا تأثیر می گذارد.

تجزیه و تحلیل داده های منبع برای شی اطلاعات تایید شده؛

آشنایی اولیه با موضوع تایید شده اطلاعات.

انجام تست های گواهی جامع یک شی اطلاعات سازی در شرایط عملیاتی واقعی.

پرداخت کار تحت گواهینامه اجباری مطابق با قرارداد با نرخ های مصوب و در صورت عدم وجود آنها - با قیمت توافقی به روشی که توسط کمیسیون فنی دولتی روسیه با توافق با وزارت دارایی فدراسیون روسیه تعیین شده است، انجام می شود.

2.6. متقاضیان:

با اجرای اقدامات سازمانی و فنی لازم برای حفاظت از اطلاعات، شی اطلاعات را برای صدور گواهی آماده کنید.

درگیر کردن نهادهای صدور گواهی برای سازماندهی و انجام صدور گواهینامه موضوع اطلاعات.

ارائه مدارک و شرایط لازم برای صدور گواهینامه به مراجع صدور گواهی.

در صورت لزوم، مراکز آزمایش (آزمایشگاه) را برای صدور گواهی برای انجام آزمایش‌های ابزارهای امنیت اطلاعات تایید نشده مورد استفاده در شی اطلاعات گواهی شده درگیر کنید.

شی اطلاعات سازی را مطابق با شرایط و الزامات تعیین شده در "گواهی انطباق" اداره کنید.

سازمان صدور گواهینامه صادر کننده "گواهی انطباق" را در مورد کلیه تغییرات در فناوری اطلاعات، ترکیب و قرارگیری ابزارها و سیستم های فناوری اطلاعات، شرایط عملکرد آنها که ممکن است بر اثربخشی اقدامات و ابزارهای امنیت اطلاعات تأثیر بگذارد (فهرست ویژگی ها) اطلاع دهید. که امنیت اطلاعات را تعیین می کند، تغییراتی که باید به سازمان صدور گواهینامه اطلاع داده شود در "گواهی انطباق" ارائه شده است).

ارائه مدارک و شرایط لازم برای نظارت و نظارت بر عملکرد یک شی فناوری اطلاعات که گواهینامه اجباری را گذرانده است.

این راز نیست که برای اطمینان از حفاظت از اطلاعات در دولت سیستم های اطلاعاتیتعدادی از فعالیت های اجباری مورد نیاز است. از جمله آنها می توان به توسعه مشخصات فنی برای ایجاد یک سیستم امنیت اطلاعات، طراحی و پیاده سازی یک سیستم امنیت اطلاعات اشاره کرد. یکی دیگر از رویدادهای مهم و الزامی است صدور گواهینامه سیستم اطلاعاتی بر اساس الزامات امنیتی.

قانون فدرال شماره 152-FZ "در مورد داده های شخصی"، GOST R 51583 "حفاظت از اطلاعات. روش ایجاد سیستم های خودکار در طراحی ایمن. مقررات عمومی، GOST R 51624 "محافظت از اطلاعات. سیستم های خودکار در طراحی ایمن. الزامات کلی» و سایر آیین نامه ها آئین نامهنهادهای نظارتی (FSTEC روسیه، FSB روسیه) الزامات کاملاً جدی برای حفاظت از اطلاعات ایجاد می کنند.

به منظور تأیید اینکه سیستم اطلاعاتی یا رایانه اختصاصی با الزامات استانداردها و اسناد نظارتی و روش شناختی مطابقت دارد امنیت اطلاعاتصدور گواهینامه انجام می شود.

شرح خدمات

هدف از کار این است که ایستگاه کاری خودکار را مطابق با الزامات امنیت اطلاعات محرمانه FSTEC روسیه قرار دهد. صدور گواهینامه یک شی اطلاعاتی ممکن است شامل مراحل زیر باشد:

تهیه یک شی اطلاعاتی برای آزمایش های گواهینامه؛
انجام آزمون های صدور گواهینامه؛
تهیه مستندات گزارش بر اساس نتایج آزمایشات گواهینامه.

آماده سازی یک شی اطلاعاتی برای آزمایش های گواهی شامل موارد زیر است:

تامین، نصب و پیکربندی ابزارهای امنیتی اطلاعات تایید شده لازم؛
توسعه اسناد فنی برای شی اطلاعات سازی؛
توسعه یک برنامه و روش برای انجام آزمایش های صدور گواهینامه نیروگاه های هسته ای.

انجام تست های صدور گواهینامه شامل:

بررسی شی اطلاعات سازی برای انطباق با الزامات سازمانی و فنی برای حفاظت از اطلاعات؛
تست بلندگوها برای انطباق با الزامات محافظت از اطلاعات در برابر نشت از طریق کانال های فنی.
تست بلندگوها برای انطباق با الزامات محافظت از اطلاعات در برابر دسترسی غیرمجاز.

تهیه مستندات گزارش بر اساس نتایج آزمون های گواهینامه شامل:

توسعه پروتکل هایی برای ارزیابی امنیت NPP؛
توسعه یک نتیجه گیری بر اساس نتایج آزمایش های صدور گواهینامه؛
ثبت و صدور گواهی انطباق.

صدور گواهینامه مجدد

گواهی انطباق به مدت 3 سال برای صاحب یک شی فناوری اطلاعات گواهی شده صادر می شود. پس از اتمام این دوره و یا تغییرات قابل توجهی در شرایط و فناوری پردازش اطلاعات حفاظت شده، صدور گواهینامه مجدد الزامی است.

مدت کار با تامین تجهیزات حفاظتی و نصب از 20 روز کاری تجاوز نمی کند.

هزینه صدور گواهینامه محل کار خودکار

هزینه صدور گواهینامه یک سلاح با توجه به الزامات امنیت اطلاعات می باشد بیش از 90000 روبل نیست.. در این صورت مبلغ ذکر شده شامل می شود بودجه لازمحفاظت از اطلاعات:

زیرسیستم برای محافظت از اطلاعات از دسترسی غیرمجاز از جمله کیت نصب.
زیرسیستم حفاظت ضد ویروس شامل کیت نصب.

اسناد گواهی شیء اطلاعاتی

فهرست اسنادی که بر اساس و بر اساس آن خدمات ارائه می شود:

قانون فدرال 27 ژوئیه 2006 N 149-FZ (در تاریخ 31 دسامبر 2014 اصلاح شده) "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"؛
« نیازمندی های ویژهو توصیه هایی برای حفاظت فنیاطلاعات محرمانه (STR-K)»، کمیسیون فنی دولتی روسیه، 2001؛
"روش‌شناسی موقت برای ارزیابی امنیت ابزارها و سیستم‌های فنی اساسی که برای پردازش، ذخیره و (یا) انتقال اطلاعات محرمانه از طریق خطوط ارتباطی در نظر گرفته شده است، کمیسیون فنی دولتی روسیه، 2002.
"روش شناسی موقت برای ارزیابی امنیت اطلاعات محرمانه پردازش شده توسط ابزارها و سیستم های فنی اصلی از نشت ناشی از تداخل در ابزار کمکی وسایل فنیو سیستم های ارتباطی آنها، کمیسیون فنی دولتی روسیه، 2002.
"مقررات صدور گواهینامه اشیاء اطلاعاتی با توجه به الزامات امنیت اطلاعات"، کمیسیون فنی دولتی روسیه، 1994.
RD "محافظت در برابر دسترسی غیرمجاز به اطلاعات، بخش 1." نرم افزارابزارهای امنیت اطلاعات طبقه بندی بر اساس سطح کنترل بر عدم وجود قابلیت های اعلام نشده، کمیسیون فنی دولتی روسیه، 1999.
RD "سیستم های خودکار. محافظت در برابر دسترسی غیرمجاز به اطلاعات. طبقه بندی نیروگاه های هسته ای و الزامات حفاظت از اطلاعات، کمیسیون فنی دولتی روسیه، 1998.
RD "امکانات کامپیوتری. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیت از دسترسی غیرمجاز به اطلاعات، کمیسیون فنی دولتی روسیه، 1998.