Informācijas sistēmu atestācijas kārtība. Bruņoto spēku sertifikācija informācijas drošības prasībām

07.03.2019

Ķermenis

Apstiprināts

priekšsēdētājs

Valsts tehniskā komisija

POZĪCIJA

PAR INFORMĀCIJAS OBJEKTU SERTIFIKĀCIJU PAR INFORMĀCIJAS DROŠĪBAS PRASĪBĀM

1.1. Šie noteikumi nosaka informācijas drošības prasībām atbilstošu informatizācijas objektu atestācijas sistēmas pamatprincipus, organizatorisko struktūru, atestācijas veikšanas kārtību, kā arī atestācijas un sertificētu informatizācijas objektu darbības kontroli un uzraudzību.

1.2. Nolikums izstrādāts saskaņā ar Likumiem Krievijas Federācija"Par preču un pakalpojumu sertifikāciju" un "Par valsts noslēpumu", "Noteikumi par valsts sistēma informācijas aizsardzība Krievijas Federācijā no ārvalstu tehniskās izlūkošanas un tās noplūdes pa tehniskajiem kanāliem", "Noteikumi par valsts darbības licencēšanu informācijas drošības jomā", "Noteikumi par informācijas drošības rīku sertifikāciju atbilstoši informācijas drošības prasībām", " GOST R sertifikācijas sistēma".

1.3. Informatizācijas objektu atestācijas sistēma atbilstoši informācijas drošības prasībām (turpmāk – atestācijas sistēma) ir neatņemama sastāvdaļa vienota informācijas drošības rīku sertifikācijas un informatizācijas objektu sertifikācijas sistēma atbilstoši informācijas drošības prasībām un ir pakļauta valsts reģistrācija Krievijas valsts standartā noteiktajā veidā. Atestācijas sistēmas darbību organizē federālā produktu sertifikācijas institūcija un informācijas drošības prasību informatizācijas objektu sertificēšana (turpmāk – federālā sertifikācijas un atestācijas institūcija), kas ir Krievijas Valsts tehniskā komisija.

1.4. Ar informatizācijas objektu sertifikāciju saprot organizatoriski tehnisku pasākumu kopumu, kura rezultātā ar speciāla dokumenta - "Atbilstības sertifikāta" palīdzību tiek apstiprināts objekta atbilstība standartu vai citu normatīvo aktu prasībām. Krievijas Valsts tehniskās komisijas apstiprinātie normatīvie un tehniskie dokumenti par informācijas drošību.

Derīga "Atbilstības sertifikāta" klātbūtne informatizācijas objektā dod tiesības apstrādāt informāciju ar slepenības (konfidencialitātes) pakāpi un uz "Atbilstības sertifikātā" norādīto laiku.

1.5. Informatizācijas objekti, kas paredzēti valsts noslēpumu veidojošas informācijas apstrādei, vides aizsardzības pārvaldīšanai, ir obligāti sertificējami. bīstamiem priekšmetiem veikt slepenas sarunas.

Pārējos gadījumos sertifikācija ir brīvprātīga (brīvprātīga sertifikācija) un to var veikt pēc pasūtītāja vai informatizācijas objekta īpašnieka iniciatīvas.

Informācijas drošības prasību sertifikācija notiek pirms aizsardzībai pakļautās informācijas apstrādes uzsākšanas, un to izraisa nepieciešamība oficiāli apstiprināt konkrētajā informatizācijas objektā izmantoto informācijas aizsardzības pasākumu un līdzekļu kompleksa efektivitāti.

1.6. Atestējot informatizācijas objektu, tā atbilstība prasībām informācijas aizsardzībai pret nesankcionētu piekļuvi, tai skaitā no datorvīrusiem, no noplūdes viltus elektromagnētiskā starojuma dēļ un traucējumiem, iedarbojoties uz objektu īpašiem efektiem (augstfrekvences uzspiešana un iedarbība, elektromagnētiskais un starojums). iedarbība), no noplūdes vai ietekmes uz to īpašas ierīces iegulti informatizācijas objektos.

1.7. Sertifikācija paredz aizsargātā informatizācijas objekta visaptverošu pārbaudi (sertifikācijas testus) reālos darbības apstākļos, lai novērtētu piemērotā pasākumu un aizsardzības līdzekļu kopuma atbilstību nepieciešamajam informācijas drošības līmenim.

1.8. Sertificēšanu veic sertifikācijas institūcija šajos noteikumos noteiktajā kārtībā saskaņā ar shēmu, ko šī institūcija izvēlējusies sertifikācijas sagatavošanas posmā no šāda pamatdarbu saraksta:

Sertificētā informatizācijas objekta sākotnējo datu analīze;

Iepriekšēja iepazīšanās ar sertificētu informatizācijas objektu;

Veikt informatizācijas objekta ekspertīzi un izstrādātās dokumentācijas analīzi informācijas aizsardzībai šajā objektā attiecībā uz tās atbilstību normatīvās un metodiskās dokumentācijas prasībām;

Individuālo informācijas drošības līdzekļu un sistēmu testu veikšana sertificētā informatizācijas objektā, izmantojot speciālas kontroles iekārtas un testa instrumentus;

Individuālo informācijas drošības rīku un sistēmu testu veikšana testēšanas centros (laboratorijās) informācijas drošības rīku sertifikācijai atbilstoši informācijas drošības prasībām;

Informatizācijas objekta komplekso atestācijas testu veikšana reālos ekspluatācijas apstākļos;

Informatizācijas objekta ekspertīzes un visaptverošo atestācijas testu rezultātu analīze un slēdziena apstiprināšana, pamatojoties uz atestācijas rezultātiem.

1.9. Sertifikācijas institūcijas ir akreditējusi Krievijas Valsts tehniskā komisija. Akreditācijas noteikumus nosaka sistēmā spēkā esošie "Noteikumi par informācijas drošības rīku testēšanas laboratoriju un sertifikācijas institūciju akreditāciju informācijas drošības prasībām".

Krievijas Valsts tehniskā komisija var nodot nozaru (resoru) sertifikācijas iestāžu akreditācijas tiesības citām valsts iestādēm.

1.10. Izdevumus par visu veidu darbu un pakalpojumu veikšanu obligātās un brīvprātīgās informatizācijas objektu sertificēšanai sedz pretendenti.

Samaksa par darbu obligāta atestācija ražoti saskaņā ar līgumu par apstiprinātajām cenām, un, ja to nav, - par saskaņoto cenu tādā veidā, ko noteikusi Krievijas Valsts tehniskā komisija, vienojoties ar Krievijas Federācijas Finanšu ministriju.

Izdevumus par visu veidu informatizācijas objektu atestācijas darbu un pakalpojumu veikšanu pretendenti apmaksā uz aizsargājamā informatizācijas objekta izstrādei (pilnveidošanai) un nodošanai ekspluatācijā piešķirto finanšu līdzekļu rēķina.

1.11. Informatizācijas objektu atestācijas institūcijas ir atbildīgas par tām noteikto funkciju veikšanu, valsts un komercnoslēpuma drošības nodrošināšanu, kā arī par sertificētu informatizācijas objektu un to sastāvdaļu izstrādātāju autortiesību ievērošanu.

2. Informatizācijas objektu atestācijas sistēmas organizatoriskā struktūra atbilstoši informācijas drošības prasībām

2.1. Informatizācijas objektu sertifikācijas sistēmas organizatorisko struktūru veido:

Federālā institūcija informācijas drošības rīku sertificēšanai un informatizācijas objektu sertificēšanai informācijas drošības prasībām - Krievijas Valsts tehniskā komisija;

Informatizācijas objektu atestācijas institūcijas atbilstoši informācijas drošības prasībām;

Testēšanas centri (laboratorijas) produktu sertifikācijai atbilstoši informācijas drošības prasībām;

Pretendenti (pasūtītāji, īpašnieki, sertificētu informatizācijas objektu izstrādātāji).

2.2. Federālā sertifikācijas un atestācijas iestāde veic šādas funkcijas:

Organizē obligāto informatizācijas objektu sertifikāciju;

Veido informatizācijas objektu sertifikācijas sistēmas un nosaka sertifikācijas noteikumus šajās sistēmās;

Nosaka akreditācijas un licenču izsniegšanas noteikumus obligātās sertifikācijas darbu veikšanai;

Organizē, finansē izstrādi un apstiprina normatīvos un metodiskos dokumentus informatizācijas objektu sertificēšanai;

Akreditē institūcijas informatizācijas objektu atestācijai un izsniedz tām licences noteikta veida darbu veikšanai;

Veic valsts kontroli un uzraudzību pār sertificētu informatizācijas objektu atestācijas un ekspluatācijas noteikumu ievērošanu;

Izskata pārsūdzības, kas rodas informatizācijas objektu atestācijas un sertificētu informatizācijas objektu darbības kontroles procesā;

Organizē periodisku informācijas publicēšanu par informatizācijas objektu sertifikācijas sistēmas darbību atbilstoši informācijas drošības prasībām.

2.3. Informatizācijas objektu atestācijas institūcijas ir akreditētas Krievijas Valsts tehniskajā komisijā un saņem no tās licenci par tiesībām atestēt informatizācijas objektus.

Šādas struktūras var būt nozares un reģionālās iestādes, informācijas aizsardzības uzņēmumi un organizācijas, Krievijas Valsts tehniskās komisijas īpašie centri.

2.4. Sertifikācijas institūcijas:

Atestēt informatizācijas objektus un izsniegt "Atbilstības sertifikātus";

Veikt kontroli pār sertificētos informatizācijas objektos cirkulējošās informācijas drošību un to darbību;

Anulēt un apturēt šīs institūcijas izsniegtos "Atbilstības sertifikātus";

Tie veido specifisku informatizācijas objektu veidu sertifikācijai nepieciešamās normatīvās un metodiskās dokumentācijas fondu, piedalās to izstrādē;

Viņi uztur šīs institūcijas sertificētu informatizācijas objektu informācijas bāzi;

Viņi sazinās ar Krievijas Valsts tehnisko komisiju un reizi ceturksnī informē to par savu darbību sertifikācijas jomā.

2.5. Testēšanas centri (laboratorijas) produktu sertificēšanai atbilstoši informācijas drošības prasībām, pēc pretendentu pasūtījuma veic nesertificētu produktu testēšanu, ko izmanto obligātajai sertificēšanai pakļautajā informātikas objektā, saskaņā ar "Informācijas informācijas drošības rīku sertifikācijas noteikumiem". drošības prasības”.

2.6. Pretendenti:

Sagatavot informatizācijas objektu sertifikācijai, īstenojot nepieciešamos organizatoriskos un tehniskos pasākumus informācijas aizsardzībai;

Piesaistīt sertifikācijas institūcijas, lai organizētu un veiktu informatizācijas objekta sertifikāciju;

Nodrošina akreditācijas iestādēm Pieprasītie dokumenti un sertifikācijas nosacījumi;

tiek piesaistīti nepieciešamie gadījumi, sertificētā informatizācijas objektā izmantoto nesertificētu informācijas drošības rīku testēšanai, testēšanas centriem (laboratorijām) sertifikācijai;

Veikt informatizācijas objekta darbību saskaņā ar "Atbilstības sertifikātā" noteiktajiem nosacījumiem un prasībām;

Paziņojiet sertifikācijas iestādei, kas izdevusi "Atbilstības sertifikātu" par visām izmaiņām informāciju tehnoloģijas, informātikas rīku un sistēmu sastāvs un izvietojums, to darbības apstākļi, kas var ietekmēt informācijas drošības pasākumu un līdzekļu efektivitāti (informācijas drošību noteicošo raksturlielumu saraksts, par kuru izmaiņām jāpaziņo atestācijas institūcijai, ir norādīts "Atbilstības sertifikātā");

Tie nodrošina nepieciešamos dokumentus un nosacījumus obligāto sertifikāciju izgājušā informatizācijas objekta darbības uzraudzībai un uzraudzībai.

3. Sertifikācijas un kontroles kārtība

3.1. Informatizācijas objektu sertificēšanas procedūra atbilstoši informācijas drošības prasībām ietver šādas darbības:

Sertifikācijas pieteikuma iesniegšana un izskatīšana;

Iepriekšēja iepazīšanās ar sertificēto objektu;

Sertificētajā objektā izmantoto nesertificētu līdzekļu un informācijas drošības sistēmu testēšana (ja nepieciešams);

Sertifikācijas testu programmas un metodikas izstrāde;

Sertifikācijas līgumu slēgšana;

Informatizācijas objekta atestācijas testu veikšana;

"Atbilstības sertifikāta" reģistrācija, reģistrācija un izsniegšana;

Sertificēto informatizācijas objektu sertifikācijas un darbības valsts kontroles un uzraudzības, inspekcijas kontroles īstenošana;

Apelāciju izskatīšana.

3.2. Sertifikācijas pieteikuma iesniegšana un izskatīšana

3.2.1. Lai iegūtu "Atbilstības sertifikātu", pretendents iepriekš nosūta sertifikācijas institūcijai sertifikācijas pieteikumu ar sākotnējiem datiem par sertificētu informatizācijas objektu 1.pielikumā norādītajā formā.

3.2.2. Atestācijas institūcija izskata pieteikumu mēneša laikā un, pamatojoties uz sākotnējo datu analīzi, izvēlas atestācijas shēmu, saskaņo to ar pretendentu un pieņem lēmumu par informatizācijas objekta atestāciju.

3.3. Iepriekšēja iepazīšanās ar sertificēto objektu

Ja sākotnējie dati par sertificēto informatizācijas objektu ir nepietiekami, sertifikācijas shēmā ir iekļauts darbs pie iepriekšējas iepazīšanas ar sertificētu objektu, kas tiek veikts pirms sertifikācijas testu stadijas.

3.4. Sertificētajā informatizācijas objektā izmantoto nesertificētu informācijas drošības rīku un sistēmu testi

3.4.1. Sertificētajā informatizācijas objektā izmantojot nesertificētus informācijas drošības rīkus un sistēmas, sertifikācijas shēmā var iekļaut darbu pie to testēšanas testēšanas centros (laboratorijās) informācijas drošības rīku sertificēšanai atbilstoši informācijas drošības prasībām vai tieši uz sertificētā informatizācijas objekta, izmantojot īpašas kontroles iekārtas un pārbaudes līdzekļi.

3.4.2. Atsevišķu nesertificētu līdzekļu un informācijas drošības sistēmu pārbaudes sertifikācijas testēšanas centros (laboratorijās) veic pirms informatizācijas objektu atestācijas pārbaudēm.

Šajā gadījumā līdz atestācijas pārbaužu sākumam pretendentam jāiesniedz informācijas drošības sertifikācijas institūciju slēdzieni par informācijas drošības prasībām un sertifikātiem.

3.5. Sertifikācijas testu programmas un metodikas izstrāde

3.5.1. Pamatojoties uz pieteikuma izskatīšanas un sākotnējo datu analīzes rezultātiem, kā arī iepriekšēju iepazīšanos ar sertificējamo objektu, sertifikācijas institūcija izstrādā sertifikācijas pārbaudes programmu, kas paredz darbu sarakstu un to ilgumu, pārbaudes metodes (vai standartu). tiek izmantotas metodes), nosaka informatizācijas objektu sertificēšanas institūcijas ieceltās sertifikācijas komisijas kvantitatīvo un profesionālo sastāvu, nepieciešamību sertificējamajā informatizācijas objektā izmantot kontroles iekārtas un pārbaudes instrumentus vai sertificēšanai iesaistīt testēšanas centrus (laboratorijas). informācijas drošības rīkus atbilstoši informācijas drošības prasībām.

3.5.2. Sertifikācijas laikā pārbaudāmo raksturlielumu un rādītāju novērtēšanas kārtību, saturu, nosacījumus un pārbaudes metodes, atbilstību to noteiktajām prasībām, kā arī šim nolūkam izmantojamās kontroles iekārtas un pārbaudes rīki nosaka testēšanas procedūrās. dažāda veida informatizācijas objekti.

3.5.3. Sertifikācijas pārbaudes programma tiek saskaņota ar pretendentu.

3.6. Sertifikācijas līgumu slēgšana

3.6.1. Sagatavošanas posms noslēdzas ar līguma noslēgšanu starp pretendentu un sertifikācijas institūciju par sertifikāciju, sertifikācijas institūcijas līgumu (līgumu) slēgšanu ar piesaistītajiem ekspertiem un pasūtījuma izpildi, lai ļautu sertifikācijas komisijai veikt sertifikāciju.

3.6.2. Samaksu par atestācijas komisijas locekļu darbu veic atestācijas institūcija saskaņā ar noslēgtajiem darba līgumiem (līgumiem) uz finanšu līdzekļu rēķina no noslēgtajiem līgumiem par informatizācijas objektu atestāciju.

3.7. Informatizācijas objektu atestācijas testu veikšana

3.7.1. Informatizācijas objekta atestācijas testu stadijā:

Tiek analizēta informatizācijas objekta organizatoriskā struktūra, informācijas plūsmas, aparatūras un programmatūras kompleksa sastāvs un struktūra, objekta informācijas drošības sistēma, izstrādātā dokumentācija un tās atbilstība informācijas aizsardzības normatīvās dokumentācijas prasībām. Izpildīts;

Tiek noteikta EWT objektu kategorizācijas pareizība un ĀS klasifikācija (sertificējot automatizētās sistēmas), sertificētu un nesertificētu līdzekļu un informācijas drošības sistēmu izvēle un izmantošana;

Sertificētajā objektā tiek veiktas nesertificētu informācijas aizsardzības līdzekļu un sistēmu pārbaudes vai to pārbaužu rezultātu analīze testēšanas centros (laboratorijās) sertifikācijai;

Tiek pārbaudīts personāla sagatavotības līmenis un personāla atbildības sadalījums informācijas drošības prasību ievērošanas nodrošināšanai;

Visaptverošas informatizācijas objekta atestācijas pārbaudes tiek veiktas reālos ekspluatācijas apstākļos, dažādos posmos pārbaudot noteikto prasību faktisko izpildi. tehnoloģiskais process aizsargātas informācijas apstrāde;

Tiek sastādīti pārbaužu protokoli un uz sertifikācijas rezultātiem balstīts slēdziens ar konkrētiem ieteikumiem pieļauto pārkāpumu novēršanai, informatizācijas objekta aizsardzības sistēmas saskaņošanai ar noteiktajām prasībām un šīs sistēmas pilnveidošanai, kā arī rekomendācijām uzraudzībai. informatizācijas objekta funkcionēšana.

3.7.2. Secinājums par sertifikācijas rezultātiem ar īss novērtējums informatizācijas objekta atbilstību informācijas drošības prasībām, slēdzienu par "Atbilstības sertifikāta" izsniegšanas iespēju un nepieciešamos ieteikumus paraksta atestācijas komisijas locekļi un dara zināmus pretendentam.

Secinājumam ir pievienoti pārbaudes protokoli, kas apstiprina pārbaužu laikā iegūtos rezultātus un pamato slēdzienā sniegto secinājumu.

Pārbaužu protokolus paraksta eksperti - atestācijas komisijas locekļi, kuri veica testus.

Secinājumi un pārbaužu ziņojumi ir jāapstiprina sertifikācijas iestādei.

3.8. "Atbilstības sertifikāta" reģistrācija, reģistrācija un izsniegšana

3.8.1. Informācijas drošības prasībām atbilstošam informatizācijas objektam "Atbilstības sertifikātu" izsniedz atestācijas institūcija 2.pielikumā norādītajā formā.

3.8.2. "Atbilstības sertifikāts" tiek sastādīts un izsniegts pretendentam pēc slēdziena apstiprināšanas, pamatojoties uz sertifikācijas rezultātiem.

3.8.3. "Atbilstības sertifikātu" reģistrāciju atbilstoši nozaru vai teritoriālajiem raksturojumiem veic sertifikācijas institūcijas, lai uzturētu sertificētu informatizācijas objektu informācijas bāzi un plānotu kontroles un uzraudzības pasākumus.

Sertificēto informatizācijas objektu konsolidēto informācijas bāzu uzturēšanu veic Krievijas Valsts tehniskā komisija vai tās uzdevumā kāda no institūcijām, kas uzrauga sertificētu objektu sertifikāciju un darbību.

3.8.4. "Atbilstības sertifikātu" sertificētā informatizācijas objekta īpašniekam izsniedz sertifikācijas institūcija uz laiku, kurā tiek nodrošināta informatizācijas objekta un aizsargātās informācijas apstrādes tehnoloģijas funkcionēšanas nosacījumu nemainīgums, kas var ietekmēt informācijas aprites objektu. raksturlielumi, kas nosaka informācijas drošību (tehnisko līdzekļu sastāvs un struktūra, izvietošanas nosacījumi, izmantotās programmatūras drošība, informācijas apstrādes režīmi, aizsardzības līdzekļi un pasākumi), bet ne vairāk kā 3 gadi.

Sertificētā informatizācijas objekta īpašnieks ir atbildīgs par noteikto informatizācijas objekta funkcionēšanas nosacījumu, aizsargātās informācijas apstrādes tehnoloģijas un informācijas drošības prasību izpildi.

3.8.5. Ja tiek mainīti aizsargātās informācijas apstrādes nosacījumi un tehnoloģija, sertificēto objektu īpašniekiem ir pienākums par to informēt sertifikācijas institūciju, kas lemj par informācijas sniegšanas objekta aizsardzības sistēmas efektivitātes papildu pārbaudes nepieciešamību. .

3.8.6. Ja sertificēts objekts neatbilst informācijas drošības prasībām un marķēto nav iespējams operatīvi likvidēt atestācijas komisija nepilnības atestācijas institūcija pieņem lēmumu atteikt "Atbilstības sertifikāta" izsniegšanu.

Tajā pašā laikā var ierosināt atkārtotas sertifikācijas periodu, ja tiks novērsti trūkumi.

Ja ir neprincipiāla rakstura komentāri, pēc šo komentāru novēršanas pārbaudes var izsniegt "Atbilstības sertifikātu".

3.9. Apelāciju izskatīšana

Ja pretendents nepiekrīt atteikumam izsniegt "Atbilstības sertifikātu", viņam ir tiesības vērsties augstākā sertifikācijas institūcijā vai tieši Krievijas Valsts tehniskajā komisijā ar apelāciju par testēšanas laikā iegūto rezultātu papildu izskatīšanu, kur tas tiek izskatīts mēneša laikā, iesaistot interesentus. Apelācijas sūdzības iesniedzēja tiek informēta par lēmumu.

3.10. Valsts kontrole un uzraudzība, inspekcijas kontrole pār sertificētu informatizācijas objektu atestācijas un darbības noteikumu ievērošanu

3.10.1. Valsts kontroli un uzraudzību, inspekcijas kontroli pār informatizācijas objektu sertifikāciju veic Krievijas Valsts tehniskā komisija gan sertifikācijas procesā, gan pēc sertifikācijas pabeigšanas un sertificētu informatizācijas objektu ekspluatācijai - periodiski saskaņā ar kontroles darba plāniem. un uzraudzību.

Krievijas Valsts tehniskā komisija var nodot dažas savas valsts kontroles un uzraudzības funkcijas sertificētu informatizācijas objektu sertificēšanai un ekspluatācijai akreditētām sertifikācijas iestādēm.

3.10.2. Valsts kontroles un uzraudzības apjoms, saturs un kārtība noteikta informatizācijas objektu atestācijas normatīvajā un metodiskajā dokumentācijā.

3.10.3. Atestācijas noteikumu ievērošanas valsts kontrole un uzraudzība ietver informatizācijas objektu sertificēšanai veikto pasākumu pareizības un pilnīguma pārbaudi, atskaites dokumentu un testu protokolu noformēšanu un izskatīšanu sertifikācijas institūcijās, savlaicīgu izmaiņu ieviešanu normatīvajā un metodiskajā dokumentācijā par informāciju. apsardze, apsekošanas kontrole pār sertificētu objektu informatizācijas darbību.

3.10.4. Ja atestācijas institūcija kontroles un uzraudzības laikā konstatē rupjus informācijas drošības standartu vai citu normatīvo un metodisko dokumentu prasību pārkāpumus, atestācijas institūcijai var atņemt licenci informācijas iegūšanas objektu atestācijas tiesībām.

3.10.5. Ja tiek konstatēts sertificētu informatizācijas objektu darbības noteikumu, aizsargātās informācijas apstrādes tehnoloģijas un informācijas drošības prasību pārkāpums, kontroli un uzraudzību veicošā institūcija var apturēt vai anulēt "Atbilstības sertifikātu", reģistrējot šo lēmumu. "Atbilstības sertifikātā" un informējot institūciju, kas vada sertificētu informātikas objektu konsolidēto informācijas bāzi, un Krievijas Valsts tehnisko komisiju.

Lēmums par "Atbilstības sertifikāta" derīguma atcelšanu tiek pieņemts gadījumā, ja operatīvas organizatorisko un tehnisko aizsardzības pasākumu veikšanas rezultātā nav iespējams atjaunot nepieciešamo informācijas drošības līmeni.

3.10.6. Ja atestācijas iestāde rupji pārkāpj Krievijas Valsts tehniskās komisijas apstiprināto standartu vai citu informācijas drošības normatīvo dokumentu prasības, kas konstatēti kontroles un uzraudzības laikā un noved pie atkārtotas sertifikācijas, kontroles un uzraudzības izmaksas var tikt piemērotas. ar Valsts šķīrējtiesas lēmumu piedzītas no atestācijas institūcijas. Resertifikāciju var veikt arī uz šīs sertifikācijas iestādes rēķina.

3.10.7. Obligātās sertifikācijas uzraudzības un obligāto sertifikāciju izgājušo objektu ekspluatācijas izmaksas sedz uzraudzības iestāde no tai šiem mērķiem piešķirtajiem valsts budžeta līdzekļiem.

4. Prasības normatīvajiem un metodiskajiem dokumentiem informatizācijas objektu sertificēšanai

4.1. Informatizācijas objekti neatkarīgi no izmantotās vietējās vai ārvalstu aparatūras un programmatūras ir sertificēti atbilstoši valsts standartu vai citu Krievijas Valsts tehniskās komisijas apstiprinātu informācijas drošības normatīvo dokumentu prasībām.

4.2. Konkrētu informatizācijas objektu sertificēšanas normatīvās un metodiskās dokumentācijas sastāvu nosaka sertifikācijas institūcija atkarībā no informatizācijas objektu veida un funkcionēšanas apstākļiem, pamatojoties uz sertificējamā objekta sākotnējo datu analīzi.

4.3. Normatīvajā dokumentācijā ir iekļauti tikai tie rādītāji, raksturlielumi, prasības, kuras var objektīvi pārbaudīt.

4.4. Testēšanas metožu normatīvajā un metodiskajā dokumentācijā jāiekļauj atsauces uz pārbaužu veikšanas nosacījumiem, saturu un procedūru, pārbaudēs izmantotajām kontroles iekārtām un pārbaudes instrumentiem, līdz minimumam samazinot kļūdas testa rezultātos un ļaujot tiem reproducēt šos rezultātus.

4.5. Informatizācijas objektu sertifikācijā izmantojamo normatīvo un metodisko dokumentu tekstiem jābūt formulētiem skaidri un precīzi, nodrošinot to precīzu un vienotu interpretāciju. Tajos jāiekļauj norāde par iespēju izmantot dokumentu noteikta veida informatizācijas objektu sertifikācijai atbilstoši informācijas drošības prasībām vai informācijas aizsardzības zonām.

4.6. Atestācijas sistēmas oficiālā valoda ir krievu valoda, kurā tiek noformēti visi atestācijas sistēmas ietvaros izmantotie un izsniegtie dokumenti.

Nodaļas vadītājs

valsts tehniskā komisija

Krievijas Federācijas prezidenta pakļautībā

V.VIRKOVSKIS

1.pielikums

Kam: ________________________________________

(sertifikācijas institūcijas nosaukums

un viņa adrese)

informatizācijas objekta sertifikācijai

1. (pretendenta nosaukums) pieprasa (nosaukums

informatizācijas objekts) drošības prasību ievērošanai

informācija: _______________________________________________________________________

2. Nepieciešamie sākotnējie dati par sertificēto informatizācijas objektu

pievienots.

3. Pretendents ir gatavs sniegt nepieciešamos dokumentus un nosacījumus, lai

veicot sertifikāciju.

4. Pieteikuma iesniedzējs uz līguma pamata piekrīt segt visas izmaksas

šajā iesniegumā norādītā objekta sertificēšanas darbu un pakalpojumu veidi

informatizācija.

5. Papildu nosacījumi vai informācija par līgumu:

5.1. Piedāvāju iepriekšēju iepazīšanos ar sertificēto objektu

tērēt periodā _________________________________________________________________

5.2. Ierosinu veikt informātikas objekta atestācijas testus gadā

periods ________________________________________________________________________________

5.3. Nesertificētu līdzekļu un informatizācijas sistēmu testēšana

(līdzekļu un sistēmu nosaukums) plānots veikt testā

centriem (laboratorijām) (testēšanas centru nosaukums) periodā

_________________ (vai arī ir ierosināts veikt tieši uz sertificētu

objekts periodā _____).

Citi nosacījumi (piedāvājumi).

vadītājs (pieteicēja iestādes)

(paraksts, datums) (uzvārds, vārds un uzvārds)

Pieteikums

uz pieteikuma anketu...

Sākotnējie dati par sertificētu informatizācijas objektu tiek sagatavoti, pamatojoties uz šādu jautājumu sarakstu:

1. Pilns un precīzs informatizācijas objekta nosaukums un tā mērķis.

2. Tiek noteikts apstrādātās informācijas raksturs (zinātniski tehniskais, ekonomiskais, rūpnieciskais, finansiālais, militārais, politiskais) un slepenības līmenis (konfidencialitāte) (pēc kādiem sarakstiem (valsts, nozare, departaments, uzņēmumi)).

3. Informatizācijas objekta organizatoriskā struktūra.

4. Informatizācijas objektā iekļauto telpu saraksts, tehnisko līdzekļu (galveno un palīglīdzekļu) kompleksa sastāvs, kurā (uz kura) tas tiek apstrādāts. norādīto informāciju(atrodas telpās, kur tas cirkulē).

5. Informatizācijas objekta pazīmes un izkārtojums, norādot kontrolējamās zonas robežas.

6. Sertificētajā informatizācijas objektā izmantotās un aizsargātās informācijas apstrādei paredzētās programmatūras (sistēmu mēroga un lietotās) struktūra, izmantotie informācijas apmaiņas protokoli.

7. Informatizācijas objekta vispārīgā funkcionālā diagramma, ieskaitot informācijas plūsmu shēmu un aizsargātās informācijas apstrādes veidus.

8. Mijiedarbības klātbūtne un raksturs ar citiem informatizācijas objektiem.

9. Informācijas drošības sistēmas sastāvs un struktūra uz sertificētā informatizācijas objekta.

10. Sertificētajā informatizācijas objektā izmantoto aparatūras un programmatūras saraksts drošā projektēšanā, aizsardzības un kontroles instrumenti, kuriem ir atbilstošs sertifikāts, ekspluatācijas instrukcija.

11. Informācija par informācijas drošības sistēmas izstrādātājiem, vai trešo personu izstrādātājiem (attiecībā uz uzņēmumu, kurā atrodas sertificēts informatizācijas objekts) ir licences šādu darbu veikšanai.

12. Informācijas drošības dienesta, administratora pakalpojuma (automatizētā sistēma, tīkls, datu bāzes) pieejamība informatizācijas objektā (uzņēmumā, kurā atrodas informatizācijas objekts).

13. Informatizācijas objekta (telpas, kur tiek apstrādāta aizsargātā informācija un glabājas informācijas nesēji) fiziskās aizsardzības esamība un galvenie raksturlielumi.

14. Informatizācijas objekta projektēšanas un ekspluatācijas dokumentācijas un citu sertificētā informatizācijas objekta sākotnējo datu, kas ietekmē informācijas drošību, pieejamība un gatavība.

2. pielikums

"APSTIPRINĀT"

(atestācijas institūcijas vadītāja amats)

m.p. PILNAIS VĀRDS.

"__" _________ 19__

ATBILSTĪBAS SERTIFIKĀTS

(tiek norādīts pilns informatizācijas objekta nosaukums)

INFORMĀCIJAS DROŠĪBAS PRASĪBAS

Derīgs līdz "__" _____ 19__

1. Šis SERTIFIKĀTS apliecina, ka: (pilns

informatizācijas objekta nosaukums) _______ kategorija ____________ klase

atbilst normatīvās un metodiskās dokumentācijas prasībām par

informācijas drošība.

Informatizācijas objekta tehnisko līdzekļu kompleksa sastāvs (ar

sērijas numuri, modelis, ražotājs, sertifikāta numuri),

izvietojuma shēma telpās un attiecībā pret kontrolējamās zonas robežām,

izmantoto programmatūras rīku saraksts, kā arī drošības rīki (ar

ražotāja un sertifikāta numuri) ir pievienoti.

2. Organizatoriskā struktūra, speciālistu sagatavotības līmenis,

dienesta normatīvais, metodiskais nodrošinājums un tehniskais nodrošinājums

informācijas drošība nodrošina kontroli pār pasākumu un līdzekļu efektivitāti

informatizācijas objekta aizsardzība un drošības līmeņa uzturēšana procesā

darbība saskaņā ar noteiktajām prasībām.

3. Informatizācijas objekta sertifikācija tiek veikta saskaņā ar

atestācijas pārbaužu programma un metodes, ko apstiprinājusi

"__" _______ 19__ N ______.

4. Ņemot vērā objektā veikto sertifikācijas pārbaužu rezultātus

ir atļauta informatizācija, apstrāde (augstākā pakāpe

slepenība, konfidencialitāte) informāciju.

5. Informatizācijas objekta darbības laikā aizliegts: (norādīt

ierobežojumiem, kas var ietekmēt pasākumu un aizsardzības līdzekļu efektivitāti

informācija).

6. Īstenoto pasākumu un tiesiskās aizsardzības līdzekļu efektivitātes uzraudzība

norīkots informācijas drošības dienestam.

7. Detalizēti sertifikācijas pārbaužu rezultāti sniegti noslēgumā

atestācijas komisija (N _______ "__" ________ 19__) un protokoli

testiem.

8. "Atbilstības sertifikāts" izsniegts uz _____ gadiem, kuru laikā

jānodrošina objekta darbības nosacījumu nemainīgums

informatizācija un tehnoloģijas aizsargātas informācijas apstrādei, kas var

ietekmē 9. punktā norādītos raksturlielumus.

9. Raksturlielumu saraksts, kuru izmaiņas ir nepieciešamas

paziņot akreditācijas iestādei.

9.1. __________________________________________

9.2. __________________________________________

Atestācijas komisijas vadītājs

(amats ar uzņēmuma nosaukumu)

"__" _______ 19__

Uzraudzības iestādes atzīmes: __________________________________________________________

Piezīme. Ar informācijas drošības prasībām sertificētiem informatizācijas objektiem saprot dažādu līmeņu un mērķu automatizētas sistēmas, sakaru, displeja un reproducēšanas sistēmas kopā ar telpām, kurās tās uzstādītas, kas paredzētas aizsargājamās informācijas apstrādei un pārraidīšanai, kā arī telpas, kas paredzētas konfidenciālu sarunu vešanai.

Atbilstoši informācijas drošības prasībām, atestācijas kārtība, kā arī atestācijas un sertificētu informatizācijas objektu darbības kontrole un uzraudzība.

1.2. Noteikumi izstrādāti saskaņā ar Krievijas Federācijas likumiem “Par produktu un pakalpojumu sertifikāciju” un par valsts noslēpumu”, “Noteikumi par valsts sistēmu informācijas aizsardzībai Krievijas Federācijā no ārvalstu tehniskās izlūkošanas un tās noplūdes ar tehnisku palīdzību. kanāli”, Noteikumi par darbību valsts licencēšanu informācijas drošības jomā”, Noteikumi par informācijas drošības rīku sertificēšanu informācijas drošības prasībām”, “GOST R sertifikācijas sistēma”.

1.3. Informatizācijas objektu sertificēšanas sistēma informācijas drošības prasībām (turpmāk – sertifikācijas sistēma) ir vienotās informācijas drošības rīku sertifikācijas un informācijas drošības prasību informatizācijas objektu sertificēšanas sistēmas sastāvdaļa un ir valsts reģistrācija Krievijas valsts standartā noteiktajā kārtībā. Atestācijas sistēmas darbību organizē federālā produktu sertifikācijas institūcija un informācijas drošības prasību informatizācijas objektu sertificēšana (turpmāk – federālā sertifikācijas un atestācijas institūcija), kas ir Krievijas Valsts tehniskā komisija.

1.5. Informatizācijas objekti, kas paredzēti valsts noslēpumu veidojošas informācijas apstrādei, videi bīstamu objektu apsaimniekošanai un slepenu sarunu vešanai, ir obligāti jāsertificē.

Pārējos gadījumos sertifikācija ir brīvprātīga (brīvprātīga sertifikācija) un to var veikt pēc pasūtītāja vai informatizācijas objekta īpašnieka iniciatīvas.

1.6. Atestējot informatizācijas objektu, tā atbilstība prasībām informācijas aizsardzībai pret nesankcionētu piekļuvi, tai skaitā no datorvīrusiem, no noplūdes viltus elektromagnētiskā starojuma dēļ un traucējumiem, iedarbojoties uz objektu īpašiem efektiem (augstfrekvences uzspiešana un iedarbība, elektromagnētiskais un starojums). ekspozīcija), no noplūdes vai trieciena uz to speciālu informatizācijas objektos iebūvētu ierīču dēļ.

Sertificētā informatizācijas objekta sākotnējo datu analīze;

Iepriekšēja iepazīšanās ar sertificētu informatizācijas objektu;

Individuālo informācijas drošības līdzekļu un sistēmu testu veikšana sertificētā informatizācijas objektā, izmantojot speciālas kontroles iekārtas un testa instrumentus;

Informatizācijas objekta komplekso atestācijas testu veikšana reālos ekspluatācijas apstākļos;

Informatizācijas objekta ekspertīzes un visaptverošo atestācijas testu rezultātu analīze un slēdziena apstiprināšana, pamatojoties uz atestācijas rezultātiem.

Krievijas Valsts tehniskā komisija var nodot nozaru (resoru) sertifikācijas iestāžu akreditācijas tiesības citām valsts iestādēm.

1.10. Izdevumus par visu veidu darbu un pakalpojumu veikšanu obligātās un brīvprātīgās informatizācijas objektu sertificēšanai sedz pretendenti.

Samaksa par darbu pie obligātās sertifikācijas tiek veikta saskaņā ar līgumu pēc apstiprinātām likmēm, un, ja to nav, - par līgumcenu tādā veidā, ko noteikusi Krievijas Valsts tehniskā komisija, vienojoties ar Krievijas Federācijas Finanšu ministriju.

Izdevumus par visu veidu informatizācijas objektu sertificēšanas darbu un pakalpojumu veikšanu pretendenti apmaksā uz aizsargājamā informatizācijas objekta izstrādei (pilnveidošanai) un nodošanai ekspluatācijā piešķirto finanšu līdzekļu rēķina.

2.6. Pretendenti:

Sagatavot informatizācijas objektu sertifikācijai, īstenojot nepieciešamos organizatoriskos un tehniskos pasākumus informācijas aizsardzībai;

Piesaistīt sertifikācijas institūcijas, lai organizētu un veiktu informatizācijas objekta sertifikāciju;

Nodrošināt sertifikācijas institūcijas ar nepieciešamajiem dokumentiem un sertifikācijas nosacījumiem;

Nepieciešamības gadījumā piesaistīt sertificētajā informatizācijas objektā izmantotos nesertificētos informācijas drošības rīkus, testēšanas centrus (laboratorijas) sertifikācijai;

Veikt informatizācijas objekta darbību saskaņā ar "Atbilstības sertifikātā" noteiktajiem nosacījumiem un prasībām;

Paziņot atestācijas institūcijai, kas izdevusi "Atbilstības sertifikātu" par visām izmaiņām informācijas tehnoloģijās, informātikas rīku un sistēmu sastāvā un izvietojumā, to darbības apstākļiem, kas var ietekmēt informācijas aizsardzības pasākumu un līdzekļu efektivitāti (pazīmju saraksts, kas nosaka informācijas drošība, izmaiņas, par kurām jāpaziņo sertifikācijas institūcijai, ir norādīta "Atbilstības sertifikātā");

Tie nodrošina nepieciešamos dokumentus un nosacījumus obligāto sertifikāciju izgājušā informatizācijas objekta darbības uzraudzībai un uzraudzībai.

Nav noslēpums, ka, lai nodrošinātu informācijas aizsardzību publiskajā telpā Informācijas sistēmas ah, ir jāveic vairākas obligātas darbības. Tostarp tehnisko specifikāciju izstrāde informācijas drošības sistēmas izveidei, informācijas drošības sistēmas projektēšana un ieviešana. Vēl viens svarīgs un obligāts pasākums ir informācijas sistēmas sertifikācija atbilstoši drošības prasībām.

Federālais likums Nr.152-FZ “Par personas datiem”, GOST R 51583 “Informācijas aizsardzība. Automatizētu sistēmu izveides secība aizsargātā izpildē. Vispārīgie noteikumi”, GOST R 51624 “Informācijas drošība. Automatizētas sistēmas drošā dizainā. Vispārīgās prasības» un citi nolikumi noteikumi regulējošās iestādes (Krievijas FSTEC, Krievijas FSB) nosaka diezgan nopietnas prasības informācijas aizsardzībai.

Lai pārliecinātos, ka informācijas sistēma vai speciālais dators atbilst standartu un normatīvo un metodisko dokumentu prasībām informācijas drošība tiek veikta sertifikācija.

Pakalpojuma apraksts

Darba mērķis ir nodrošināt darbstaciju atbilstoši Krievijas FSTEC konfidenciālās informācijas drošības prasībām. Informatizācijas objekta sertifikācija var ietvert šādas darbības:

informatizācijas objekta sagatavošana atestācijas testiem;
atestācijas testu veikšana;
atskaites dokumentācijas sagatavošana, pamatojoties uz atestācijas pārbaužu rezultātiem.

Informatizācijas objekta sagatavošana atestācijas testiem ietver:

nepieciešamo sertificētu informācijas drošības rīku piegāde, uzstādīšana un konfigurēšana;
informatizācijas objekta tehniskās dokumentācijas izstrāde;
atomelektrostaciju sertifikācijas testu programmas un metodikas izstrāde.

Sertifikācijas testu veikšana ietver:

informatizācijas objekta atbilstības informācijas aizsardzības organizatoriskajām un tehniskajām prasībām pārbaude;
pārbaudot ĀS atbilstību prasībām informācijas aizsardzībai pret noplūdi, izmantojot tehniskos kanālus;
pārbaudot AU atbilstību informācijas aizsardzības prasībām pret nesankcionētu piekļuvi.

Pārskatu dokumentācijas sagatavošana, pamatojoties uz sertifikācijas testu rezultātiem, ietver:

AES drošības novērtējuma protokolu izstrāde;
slēdziena izstrāde, pamatojoties uz atestācijas testu rezultātiem;
reģistrācija un atbilstības sertifikāta izsniegšana.

Pārsertifikācija

Atbilstības sertifikāts tiek izsniegts sertificētā informatizācijas objekta īpašniekam uz 3 gadiem. Šī perioda beigās vai ar būtiskām izmaiņām aizsargātās informācijas apstrādes nosacījumos un tehnoloģijā ir nepieciešama atkārtota sertifikācija.

Darba termiņš ar aizsardzības līdzekļu piegādi un uzstādīšanu nepārsniedz 20 darba dienas.

AWP sertifikācijas izmaksas

Vienas rokas sertifikācijas cena atbilstoši informācijas drošības prasībām ir ne vairāk kā 90 000 rubļu. Tajā pašā laikā šajā summā ietilpst nepieciešamie līdzekļi informācijas aizsardzība:

Informācijas aizsardzības apakšsistēma no nesankcionētas piekļuves, ieskaitot instalācijas komplektu.
Pretvīrusu aizsardzības apakšsistēma, ieskaitot instalācijas komplektu.

Informatizācijas objekta apliecināšanas dokumenti

Dokumentu saraksts, uz kura pamata un saskaņā ar kuriem tiek sniegti pakalpojumi:

2006. gada 27. jūlija federālais likums N 149-FZ (ar grozījumiem, kas izdarīti 2014. gada 31. decembrī) “Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību”;
« Īpašas prasības un ieteikumi tehniskā aizsardzība konfidenciāla informācija (STR-K), Krievijas Valsts tehniskā komisija, 2001;
"Pagaidu metodika galveno tehnisko līdzekļu un sistēmu drošības novērtēšanai, kas paredzētas konfidenciālas informācijas apstrādei, glabāšanai un (vai) pārsūtīšanai pa sakaru līnijām", Krievijas Valsts tehniskā komisija, 2002;
"Pagaidu metode, lai novērtētu ar galvenajiem tehniskajiem līdzekļiem un sistēmām apstrādātās konfidenciālās informācijas drošību pret noplūdi palīgierīču traucējumu dēļ. tehniskajiem līdzekļiem un to sakaru sistēmas”, Krievijas Valsts tehniskā komisija, 2002;
"Noteikumi par informatizācijas objektu sertificēšanu atbilstoši informācijas drošības prasībām", Krievijas Valsts tehniskā komisija, 1994;
RD "Aizsardzība pret nesankcionētu piekļuvi informācijai, 1. daļa." Programmatūra informācijas aizsardzības līdzekļi. Klasifikācija pēc nedeklarētu spēju neesamības kontroles līmeņa, Krievijas Valsts tehniskā komisija, 1999;
RD “Automatizētās sistēmas. Aizsardzība pret nesankcionētu piekļuvi informācijai. AS klasifikācija un informācijas drošības prasības”, Krievijas Valsts tehniskā komisija, 1998;
RD “Datortehnika. Aizsardzība pret nesankcionētu piekļuvi informācijai. Drošības rādītāji pret nesankcionētu piekļuvi informācijai”, Krievijas Valsts tehniskā komisija, 1998