Procedura atestacji systemów informatycznych. Certyfikacja Sił Zbrojnych w zakresie wymagań bezpieczeństwa informacji

07.03.2019

Ciało

Zatwierdzony

przewodniczący

Państwowa Komisja Techniczna

POZYCJA

W SPRAWIE CERTYFIKACJI OBIEKTÓW INFORMACYJNYCH W SPRAWIE WYMAGAŃ BEZPIECZEŃSTWA INFORMACJI

1.1. Niniejsze rozporządzenie określa podstawowe zasady, strukturę organizacyjną systemu atestacji obiektów informatyzacji zgodnie z wymaganiami bezpieczeństwa informacji, tryb przeprowadzania atestacji oraz kontroli i nadzoru nad atestacją i eksploatacją certyfikowanych obiektów informatyzacji.

1.2. Regulamin został opracowany zgodnie z Ustawami Federacja Rosyjska„O certyfikacji wyrobów i usług” oraz „O tajemnicy państwowej”, „Przepisy dot system państwowy ochrona informacji w Federacji Rosyjskiej przed zagranicznym wywiadem technicznym i ich wyciek kanałami technicznymi”, „Przepisy w sprawie licencjonowania przez państwo działalności w zakresie bezpieczeństwa informacji”, „Przepisy w sprawie certyfikacji narzędzi bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji”, „ System certyfikacji GOST R”.

1.3. System atestacji obiektów informatyzacji zgodnie z wymaganiami bezpieczeństwa informacji (zwany dalej systemem atestacji) to część integralna ujednolicony system certyfikacji narzędzi bezpieczeństwa informacji oraz certyfikacji obiektów informatyzacji zgodnie z wymaganiami bezpieczeństwa informacji i któremu podlega rejestracja państwowa w sposób określony przez Państwowy Standard Rosji. Działania systemu atestacji są organizowane przez federalny organ ds. certyfikacji produktów i certyfikacji obiektów informatyzacji pod kątem wymagań bezpieczeństwa informacji (zwany dalej federalnym organem ds. certyfikacji i atestacji), którym jest Państwowa Komisja Techniczna Rosji.

1.4. Przez certyfikację obiektów informatyzacji rozumie się zespół działań organizacyjno-technicznych, w wyniku których specjalnym dokumentem – „Certyfikatem Zgodności” potwierdza się, że obiekt spełnia wymagania norm lub innych dokumenty normatywne i techniczne dotyczące bezpieczeństwa informacji zatwierdzone przez Państwową Komisję Techniczną Rosji.

Obecność ważnego „Certyfikatu zgodności” na obiekcie informatyzacji uprawnia do przetwarzania informacji z zachowaniem tajemnicy (poufności) i przez czas określony w „Certyfikacie zgodności”.

1.5. Obiekty informatyzacji przeznaczone do przetwarzania informacji stanowiących tajemnicę państwową, zarządzające ochroną środowiska podlegają obowiązkowej certyfikacji. niebezpieczne przedmioty prowadzenie tajnych negocjacji.

W pozostałych przypadkach certyfikacja jest dobrowolna (certyfikacja dobrowolna) i może być przeprowadzona z inicjatywy klienta lub właściciela obiektu informatyzacji.

Certyfikacja wymagań bezpieczeństwa informacji poprzedza rozpoczęcie przetwarzania informacji podlegających ochronie i jest spowodowana koniecznością oficjalnego potwierdzenia skuteczności zespołu środków i środków ochrony informacji stosowanych na danym obiekcie informatyzacji.

1.6. Podczas poświadczania przedmiotu informatyzacji sprawdza się jego zgodność z wymogami ochrony informacji przed nieuprawnionym dostępem, w tym przed wirusami komputerowymi, przed wyciekiem spowodowanym fałszywym promieniowaniem elektromagnetycznym oraz zakłóceniami pod wpływem efektów specjalnych na obiekcie (nakładanie i naświetlanie wysokich częstotliwości, elektromagnetyczne i promieniowanie narażenie), przed wyciekiem lub uderzeniem w nie specjalne urządzenia osadzone w obiektach informatyzacyjnych.

1.7. Certyfikacja polega na kompleksowym sprawdzeniu (badania certyfikacyjne) chronionego obiektu informatyzacji w rzeczywistych warunkach eksploatacji w celu oceny zgodności zastosowanego zestawu środków i środków ochrony z wymaganym poziomem bezpieczeństwa informacji.

1.8. Certyfikacja jest przeprowadzana przez jednostkę certyfikującą zgodnie z procedurą ustanowioną niniejszym Regulaminem zgodnie ze schematem wybranym przez tę jednostkę na etapie przygotowania do certyfikacji z następującej głównej listy prac:

Analiza danych wyjściowych certyfikowanego obiektu informatyzacji;

Wstępne zapoznanie się z certyfikowanym przedmiotem informatyzacji;

Przeprowadzenie ekspertyzy przedmiotu informatyzacji oraz analiza opracowanej dokumentacji ochrony informacji na tym obiekcie pod kątem jej zgodności z wymaganiami dokumentacji regulacyjnej i metodycznej;

Przeprowadzanie testów poszczególnych środków i systemów bezpieczeństwa informacji w certyfikowanym obiekcie informatyzacji z wykorzystaniem specjalistycznej aparatury kontrolnej i narzędzi badawczych;

Przeprowadzanie testów poszczególnych narzędzi i systemów bezpieczeństwa informacji w ośrodkach testowych (laboratoriach) w celu certyfikacji narzędzi bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji;

Przeprowadzenie kompleksowych badań atestacyjnych obiektu informatyzacji w rzeczywistych warunkach eksploatacji;

Analiza wyników ekspertyzy i kompleksowych badań atestacyjnych obiektu informatyzacji oraz zatwierdzenie wniosku na podstawie wyników atestacji.

1.9. Jednostki certyfikujące są akredytowane przez Państwową Komisję Techniczną Rosji. Zasady akredytacji określa obowiązujący w systemie „Regulamin akredytacji laboratoriów badawczych i jednostek certyfikujących narzędzia bezpieczeństwa informacji dla wymagań bezpieczeństwa informacji”.

Państwowa Komisja Techniczna Rosji może przekazać prawa do akredytacji sektorowych (wydziałowych) jednostek certyfikujących innym organom państwowym.

1.10. Wydatki na wykonanie wszelkiego rodzaju prac i usług związanych z obowiązkową i dobrowolną certyfikacją obiektów informatyzacji pokrywają wnioskodawcy.

Zapłata za pracę atest obowiązkowy wyprodukowane zgodnie z umową po zatwierdzonych cenach, aw przypadku ich braku - po uzgodnionej cenie w sposób ustalony przez Państwową Komisję Techniczną Rosji w porozumieniu z Ministerstwem Finansów Federacji Rosyjskiej.

Wydatki na wykonanie wszelkiego rodzaju prac i usług w zakresie atestacji obiektów informatyzacji wnioskodawcy ponoszą kosztem środków finansowych przeznaczonych na rozwój (ulepszenie) i uruchomienie chronionego obiektu informatyzacji.

1.11. Organy atestujące obiekty informatyzacji są odpowiedzialne za wykonywanie powierzonych im funkcji, zapewnienie bezpieczeństwa tajemnicy państwowej i handlowej, a także za przestrzeganie praw autorskich twórców certyfikowanych obiektów informatyzacji i ich elementów.

2. Struktura organizacyjna systemu atestacji obiektów informatyzacji zgodnie z wymaganiami bezpieczeństwa informacji

2.1. Strukturę organizacyjną systemu certyfikacji obiektów informatyzacji tworzą:

Federalny Organ Certyfikacji Narzędzi Bezpieczeństwa Informacji i Certyfikacji Obiektów Informatyzacji dla Wymagań Bezpieczeństwa Informacji - Państwowa Komisja Techniczna Rosji;

Organy atestacji obiektów informatyzacji zgodnie z wymaganiami bezpieczeństwa informacji;

Centra testowe (laboratoria) do certyfikacji produktów zgodnie z wymaganiami bezpieczeństwa informacji;

Wnioskodawcy (klienci, właściciele, twórcy certyfikowanych obiektów informatyzacji).

2.2. Federalny organ ds. Certyfikacji i atestacji pełni następujące funkcje:

Organizuje obowiązkową certyfikację obiektów informatyzacji;

Tworzy systemy certyfikacji obiektów informatyzacji oraz ustala zasady certyfikacji w tych systemach;

Ustanawia zasady akredytacji i wydawania licencji na prowadzenie prac związanych z obowiązkową certyfikacją;

Organizuje, finansuje rozwój i zatwierdza dokumenty regulacyjne i metodyczne dotyczące certyfikacji obiektów informatyzacji;

akredytuje jednostki do atestacji obiektów informatyzacji i wydaje im licencje na wykonywanie określonych prac;

Sprawuje państwową kontrolę i nadzór nad przestrzeganiem zasad atestacji i eksploatacji certyfikowanych obiektów informatyzacji;

Rozpatruje odwołania powstające w procesie atestacji obiektów informatyzacji oraz kontroli eksploatacji certyfikowanych obiektów informatyzacji;

Organizuje okresową publikację informacji o funkcjonowaniu systemu certyfikacji obiektów informatyzacji zgodnie z wymaganiami bezpieczeństwa informacji.

2.3. Jednostki atestujące obiekty informatyzacji są akredytowane przez Państwową Komisję Techniczną Rosji i otrzymują od niej licencję na prawo do atestowania obiektów informatyzacji.

Takimi organami mogą być instytucje branżowe i regionalne, przedsiębiorstwa i organizacje ochrony informacji, specjalne ośrodki Państwowej Komisji Technicznej Rosji.

2.4. Jednostki certyfikujące:

Atestować obiekty informatyzacji i wystawiać „Certyfikaty zgodności”;

sprawować kontrolę nad bezpieczeństwem informacji krążących w certyfikowanych obiektach informatyzacji i ich eksploatacją;

Anulować i zawiesić „Certyfikaty zgodności” wydane przez ten organ;

Tworzą zasób dokumentacji normatywnej i metodycznej niezbędnej do certyfikacji określonych typów obiektów informatyzacji, uczestniczą w ich opracowaniu;

Utrzymują certyfikowaną przez tę jednostkę bazę informacyjną obiektów informatyzacji;

Współdziałają z Państwową Komisją Techniczną Rosji i kwartalnie informują ją o swoich działaniach w zakresie certyfikacji.

2.5. Centra testowe (laboratoria) do certyfikacji produktów zgodnie z wymaganiami bezpieczeństwa informacji, na zlecenie wnioskodawców, badają niecertyfikowane produkty stosowane w zakładzie informatycznym podlegającym obowiązkowej certyfikacji, zgodnie z „Regulaminem certyfikacji narzędzi bezpieczeństwa informacji wymagania bezpieczeństwa”.

2.6. Kandydaci:

Przygotować obiekt informatyzacji do certyfikacji poprzez wdrożenie niezbędnych środków organizacyjnych i technicznych w celu ochrony informacji;

Zaangażować jednostki certyfikujące do zorganizowania i przeprowadzenia certyfikacji obiektu informatyzacji;

Dostarczane jednostkom akredytującym Wymagane dokumenty i warunki certyfikacji;

przyciągają konieczne przypadki, do testowania niecertyfikowanych narzędzi bezpieczeństwa informacji stosowanych w certyfikowanym obiekcie informatyzacji, centra testowe (laboratoria) do certyfikacji;

Prowadzić eksploatację obiektu informatyzacji zgodnie z warunkami i wymogami określonymi w „Certyfikacie zgodności”;

Powiadomić jednostkę certyfikującą, która wydała „Certyfikat zgodności” o wszystkich zmianach w technologia informacyjna, składu i rozmieszczenia narzędzi i systemów informatycznych, warunków ich działania, które mogą mieć wpływ na skuteczność środków i środków bezpieczeństwa informacji (wykaz cech decydujących o bezpieczeństwie informacji, których zmiany muszą być notyfikowane organowi atestującemu, jest podany w „Certyfikacie zgodności”);

Zapewniają niezbędne dokumenty i warunki do monitorowania i nadzorowania pracy obiektu informatyzacji, który przeszedł obowiązkową certyfikację.

3. Procedura certyfikacji i kontroli

3.1. Procedura certyfikacji obiektów informatyzacji zgodnie z wymaganiami bezpieczeństwa informacji obejmuje następujące czynności:

Złożenie i rozpatrzenie wniosku o certyfikację;

Wstępne zapoznanie się z certyfikowanym obiektem;

Testowanie niecertyfikowanych środków i systemów bezpieczeństwa informacji stosowanych w certyfikowanym obiekcie (w razie potrzeby);

Opracowanie programu i metodologii badań certyfikacyjnych;

Zawieranie umów o certyfikację;

Przeprowadzenie badań atestacyjnych obiektu informatyzacji;

Rejestracja, rejestracja i wydanie „Certyfikatu zgodności”;

Wdrożenie państwowej kontroli i nadzoru, kontroli inspekcyjnej nad certyfikacją i eksploatacją certyfikowanych obiektów informatyzacji;

Rozpatrzenie odwołań.

3.2. Złożenie i rozpatrzenie wniosku o certyfikację

3.2.1. W celu uzyskania „Certyfikatu zgodności” wnioskodawca przesyła z wyprzedzeniem do jednostki certyfikującej wniosek o certyfikację wraz z danymi początkowymi certyfikowanego obiektu informatyzacji w formie podanej w załączniku 1.

3.2.2. Jednostka atestująca rozpatruje wniosek w ciągu miesiąca i na podstawie analizy danych wstępnych wybiera schemat atestacji, uzgadnia go z wnioskodawcą i podejmuje decyzję o atestacji przedmiotu informatyzacji.

3.3. Wstępne zapoznanie się z certyfikowanym obiektem

Jeżeli wstępne dane o certyfikowanym obiekcie informatyzacji są niewystarczające, program certyfikacji obejmuje prace nad wstępnym zapoznaniem się z certyfikowanym obiektem, przeprowadzane przed etapem badań certyfikacyjnych.

3.4. Badania niecertyfikowanych narzędzi i systemów bezpieczeństwa informacji stosowanych w certyfikowanym obiekcie informatyzacji

3.4.1. W przypadku korzystania z niecertyfikowanych narzędzi i systemów bezpieczeństwa informacji na certyfikowanym obiekcie informatyzacji program certyfikacji może obejmować prace nad ich testowaniem w ośrodkach testowych (laboratoriach) w celu certyfikacji narzędzi bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji lub bezpośrednio na certyfikowanym obiekcie informatyzacji przy użyciu specjalny sprzęt kontrolny i fundusze testowe.

3.4.2. Badania poszczególnych środków niecertyfikowanych oraz systemów bezpieczeństwa informacji w certyfikujących ośrodkach badawczych (laboratoriach) przeprowadza się przed badaniami atestacyjnymi obiektów informatyzacji.

W takim przypadku przed rozpoczęciem testów atestacyjnych wnioskodawca musi przedstawić wnioski jednostek certyfikujących bezpieczeństwo informacji dotyczące wymagań i certyfikatów bezpieczeństwa informacji.

3.5. Opracowanie programu i metodologii badań certyfikacyjnych

3.5.1. Na podstawie wyników rozpatrzenia wniosku i analizy danych początkowych, a także wstępnej znajomości certyfikowanego obiektu, jednostka certyfikująca opracowuje program testów certyfikacyjnych, który zawiera listę prac i czas ich trwania, metody badań (lub standard stosowane metody), określa skład ilościowy i merytoryczny komisji certyfikacyjnej powołanej przez jednostkę do certyfikacji obiektów informatyzacji, konieczność stosowania urządzeń kontrolnych i narzędzi badawczych na certyfikowanym obiekcie informatyzacji lub zaangażowania ośrodków badawczych (laboratoriów) do certyfikacji narzędzi bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji.

3.5.2. Procedura, treść, warunki i metody badań służące do oceny cech i wskaźników sprawdzanych podczas certyfikacji, zgodności z ich ustalonymi wymaganiami, a także stosowane w tym celu urządzenia kontrolne i narzędzia badawcze określają procedury badań różnego rodzaju obiekty informatyzacji.

3.5.3. Program testów certyfikacyjnych jest uzgadniany z wnioskodawcą.

3.6. Zawarcie umów o certyfikację

3.6.1. Etap przygotowania kończy się zawarciem umowy pomiędzy wnioskodawcą a jednostką certyfikującą o certyfikację, zawarciem porozumień (kontraktów) jednostki certyfikującej z zaangażowanymi ekspertami oraz wykonaniem polecenia dopuszczającego komisję certyfikującą do przeprowadzenia certyfikacji.

3.6.2. Opłata za pracę członków komisji atestacyjnej jest dokonywana przez organ atestacyjny zgodnie z zawartymi umowami o pracę (kontraktami) kosztem środków finansowych z zawartych umów o atestację obiektów informatyzacji.

3.7. Wykonywanie badań atestacyjnych obiektów informatyzacji

3.7.1. Na etapie badań atestacyjnych obiektu informatyzacji:

Analiza struktury organizacyjnej obiektu informatyzacji, przepływów informacji, składu i struktury zespołu sprzętu i oprogramowania, systemu bezpieczeństwa informacji w obiekcie, opracowanej dokumentacji i jej zgodności z wymaganiami dokumentacji regulacyjnej w zakresie ochrony informacji przeprowadzone;

Określa się poprawność kategoryzacji obiektów EWT i klasyfikacji AU (przy certyfikacji systemów zautomatyzowanych), wybór i wykorzystanie certyfikowanych i niecertyfikowanych środków oraz systemów bezpieczeństwa informacji;

Testy niecertyfikowanych środków i systemów ochrony informacji są przeprowadzane na certyfikowanym obiekcie lub analiza wyników ich testów w ośrodkach badawczych (laboratoriach) w celu certyfikacji;

Sprawdzany jest poziom wyszkolenia personelu i podział odpowiedzialności personelu za zapewnienie przestrzegania wymagań bezpieczeństwa informacji;

Kompleksowe badania atestacyjne obiektu informatyzacji przeprowadzane są w rzeczywistych warunkach eksploatacji poprzez sprawdzenie faktycznego spełniania założonych wymagań na różnych etapach proces technologiczny przetwarzanie informacji chronionych;

Sporządzane są raporty z badań i wnioski na podstawie wyników certyfikacji, zawierające szczegółowe zalecenia dotyczące eliminacji popełnionych naruszeń, dostosowania systemu ochrony obiektu informatyzacji do ustalonych wymagań i doskonalenia tego systemu, a także zalecenia dotyczące monitorowania funkcjonowania obiektu informatyzacji.

3.7.2. Wnioski dotyczące wyników certyfikacji z krótka ocena zgodność przedmiotu informatyzacji z wymaganiami bezpieczeństwa informacji, wniosek o możliwości wydania „Certyfikatu zgodności” oraz niezbędne zalecenia są podpisywane przez członków komisji atestacyjnej i podawane do wiadomości wnioskodawcy.

Do wniosku dołączone są raporty z badań, potwierdzające wyniki uzyskane podczas badań i uzasadniające wniosek zawarty we wniosku.

Sprawozdania z badań podpisują eksperci – członkowie komisji atestacyjnej, którzy przeprowadzili badania.

Wnioski i raporty z badań podlegają zatwierdzeniu przez jednostkę certyfikującą.

3.8. Rejestracja, rejestracja i wydawanie „Certyfikatu zgodności”

3.8.1. „Certyfikat zgodności” dla obiektu informatyzacji spełniającego wymagania bezpieczeństwa informacji jest wystawiany przez jednostkę atestującą w formie podanej w załączniku nr 2.

3.8.2. „Certyfikat zgodności” jest sporządzany i wydawany wnioskodawcy po zatwierdzeniu wniosku opartego na wynikach certyfikacji.

3.8.3. Rejestracja „Certyfikatów zgodności” jest przeprowadzana zgodnie z charakterystyką sektorową lub terytorialną przez jednostki certyfikujące w celu utrzymania bazy informacyjnej certyfikowanych obiektów informatyzacji oraz planowania działań kontrolnych i nadzorczych.

Utrzymanie skonsolidowanych baz informacyjnych certyfikowanych obiektów informatyzacji prowadzi Państwowa Komisja Techniczna Rosji lub w jej imieniu jeden z organów nadzorujących certyfikację i eksploatację certyfikowanych obiektów.

3.8.4. „Certyfikat zgodności” jest wydawany właścicielowi certyfikowanego obiektu informatyzacji przez jednostkę certyfikującą na okres, w którym zapewniona jest niezmienność warunków funkcjonowania obiektu informatyzacji oraz technologii przetwarzania informacji chronionych, co może mieć wpływ na cechy decydujące o bezpieczeństwie informacji (skład i struktura środków technicznych, warunki umieszczenia, bezpieczeństwo wykorzystywanego oprogramowania, tryby przetwarzania informacji, środki i środki ochrony), jednak nie dłużej niż 3 lata.

Właściciel certyfikowanego obiektu informatyzacji jest odpowiedzialny za spełnienie ustalonych warunków funkcjonowania obiektu informatyzacji, technologii przetwarzania informacji chronionych oraz wymagań bezpieczeństwa informacji.

3.8.5. W przypadku zmiany warunków i technologii przetwarzania informacji chronionych właściciele certyfikowanych obiektów zobowiązani są do powiadomienia jednostki certyfikującej, która rozstrzyga o potrzebie dodatkowej weryfikacji skuteczności systemu ochrony przedmiotu informatyzacji .

3.8.6. Jeżeli certyfikowany przedmiot nie spełnia wymagań dotyczących bezpieczeństwa informacji i nie jest możliwe niezwłoczne wyeliminowanie oznakowanego komisja atestacyjna braków jednostka atestująca podejmuje decyzję o odmowie wydania „Certyfikatu Zgodności”.

Jednocześnie może zostać zaproponowany okres ponownej certyfikacji, pod warunkiem usunięcia braków.

W przypadku wystąpienia uwag o charakterze niezasadniczym, po sprawdzeniu usunięcia tych uwag może zostać wystawiony „Świadectwo zgodności”.

3.9. Rozpatrzenie odwołań

Jeżeli wnioskodawca nie zgadza się z odmową wydania „Certyfikatu zgodności”, ma prawo zwrócić się do wyższej jednostki certyfikującej lub bezpośrednio do Państwowej Komisji Technicznej Rosji z apelem o dodatkowe rozpatrzenie wyników uzyskanych podczas badań, w przypadku gdy jest rozpatrywany w ciągu miesiąca przy udziale zainteresowanych stron. Odwołujący jest powiadamiany o decyzji.

3.10. Państwowa kontrola i nadzór, kontrola kontrolna przestrzegania zasad atestacji i eksploatacji certyfikowanych obiektów informatyzacji

3.10.1. Państwowa kontrola i nadzór, kontrola inspekcyjna nad certyfikacją obiektów informatyzacji jest przeprowadzana przez Państwową Komisję Techniczną Rosji zarówno w trakcie, jak i po zakończeniu certyfikacji, a dla eksploatacji certyfikowanych obiektów informatyzacji - okresowo zgodnie z planami pracy dla kontroli i nadzór.

Państwowa Komisja Techniczna Rosji może przenieść część swoich funkcji państwowej kontroli i nadzoru nad certyfikacją i eksploatacją certyfikowanych obiektów informatyzacji na akredytowane jednostki certyfikujące.

3.10.2. Wielkość, treść i procedura kontroli i nadzoru państwowego są określone w dokumentacji regulacyjnej i metodologicznej dotyczącej atestacji obiektów informatyzacji.

3.10.3. Państwowa kontrola i nadzór zgodności z zasadami atestacji obejmuje weryfikację poprawności i kompletności działań podjętych w celu certyfikacji obiektów informatyzacji, wykonanie i rozpatrzenie dokumentów sprawozdawczych i raportów z badań przez jednostki certyfikujące, terminowe wprowadzanie zmian w dokumentacji regulacyjnej i metodologicznej dotyczącej informacji bezpieczeństwo, kontrola inspekcyjna nad funkcjonowaniem certyfikowanych obiektów informatyzacja.

3.10.4. W przypadku stwierdzonych podczas kontroli i nadzoru rażących naruszeń przez jednostkę atestującą wymagań norm lub innych dokumentów regulacyjnych i metodycznych dotyczących bezpieczeństwa informacji, jednostka atestująca może zostać pozbawiona licencji na prawo do atestacji obiektów informatyzacji.

3.10.5. W przypadku wykrycia naruszenia zasad funkcjonowania certyfikowanych obiektów informatyzacji, technologii przetwarzania informacji chronionych oraz wymagań bezpieczeństwa informacji, organ sprawujący kontrolę i nadzór może zawiesić lub unieważnić „Certyfikat zgodności”, z rejestracją tej decyzji w „Certyfikacie zgodności” i informowaniu organu prowadzącego skonsolidowaną bazę informacyjną certyfikowanych obiektów informatycznych oraz Państwowej Komisji Technicznej Rosji.

Decyzja o unieważnieniu ważności „Certyfikatu Zgodności” wydawana jest w przypadku, gdy w wyniku niezwłocznego podjęcia środków ochrony organizacyjnej i technicznej nie będzie możliwe przywrócenie wymaganego poziomu bezpieczeństwa informacji.

3.10.6. W przypadku rażących naruszeń przez jednostkę atestującą wymagań norm lub innych dokumentów regulacyjnych dotyczących bezpieczeństwa informacji, zatwierdzonych przez Państwową Komisję Techniczną Rosji, stwierdzonych podczas kontroli i nadzoru i prowadzących do ponownej certyfikacji, koszty kontroli i nadzoru mogą zostać odzyskane od organu atestacyjnego decyzją Państwowego Sądu Arbitrażowego. Recertyfikacja może być również przeprowadzona na koszt tej jednostki certyfikującej.

3.10.7. Koszty nadzoru nad obowiązkową certyfikacją i eksploatacją obiektów, które przeszły obowiązkową certyfikację, organ nadzoru pokrywa ze środków budżetu państwa przyznanych mu na te cele.

4. Wymagania dotyczące dokumentów regulacyjnych i metodycznych dotyczących certyfikacji obiektów informatyzacji

4.1. Obiekty informatyzacji, niezależnie od używanego sprzętu i oprogramowania krajowego lub zagranicznego, są certyfikowane na zgodność z wymaganiami norm państwowych lub innych dokumentów regulacyjnych dotyczących bezpieczeństwa informacji, zatwierdzonych przez Państwową Komisję Techniczną Rosji.

4.2. Skład dokumentacji normatywnej i metodycznej certyfikacji poszczególnych obiektów informatyzacji określa jednostka certyfikująca w zależności od rodzaju i warunków funkcjonowania obiektów informatyzacji na podstawie analizy danych wyjściowych certyfikowanego obiektu.

4.3. Dokumentacja regulacyjna zawiera tylko te wskaźniki, cechy, wymagania, które można obiektywnie zweryfikować.

4.4. Dokumentacja normatywna i metodologiczna metod badawczych powinna zawierać odniesienia do warunków, treści i procedury przeprowadzania badań, aparatury kontrolnej i narzędzi badawczych stosowanych w badaniach, minimalizujących błędy w wynikach badań i umożliwiających ich odtworzenie.

4.5. Teksty dokumentów regulacyjnych i metodycznych stosowanych w certyfikacji obiektów informatyzacji muszą być sformułowane w sposób jasny i precyzyjny, zapewniający ich dokładną i jednolitą interpretację. Powinny zawierać wskazanie możliwości wykorzystania dokumentu do certyfikacji określonych typów obiektów informatyzacji zgodnie z wymaganiami bezpieczeństwa informacji lub obszarami ochrony informacji.

4.6. Oficjalnym językiem systemu atestacji jest język rosyjski, w którym sporządzane są wszystkie dokumenty używane i wydawane w ramach systemu atestacji.

Kierownik działu

państwowa komisja techniczna

pod przewodnictwem Prezydenta Federacji Rosyjskiej

V.WIRKOWSKI

Aneks 1

Do kogo: ____________________________________

(nazwa jednostki certyfikującej

i jego adres)

o certyfikację przedmiotu informatyzacji

1. (nazwa wnioskodawcy) wnioskuje o poświadczenie (nazwa

obiekt informatyzacji) pod kątem spełnienia wymogów bezpieczeństwa

Informacja: _______________________________________________________________

2. Niezbędne dane wstępne certyfikowanego przedmiotu informatyzacji

przyłączony.

3. Wnioskodawca jest gotowy dostarczyć niezbędne dokumenty i warunki

przeprowadzanie certyfikacji.

4. Wnioskodawca zobowiązuje się na podstawie umowy do pokrycia wszystkich kosztów

rodzaje prac i usług związanych z certyfikacją obiektu określonego w niniejszym wniosku

informatyzacja.

5. Dodatkowe warunki lub informacje dotyczące zamówienia:

5.1. Proponuję wstępne zapoznanie się z certyfikowanym obiektem

spędzić w okresie ___________________________________________

5.2. Proponuję wykonanie badań atestacyjnych przedmiotu informatyka w j

okres ________________________________________________________________________

5.3. Badania środków niecertyfikowanych i systemów informatyzacji

(nazwa środków i systemów) planuje się przeprowadzić w próbie

centra (laboratoria) (nazwy ośrodków badawczych) w danym okresie

_________________ (lub proponuje się przeprowadzenie bezpośrednio na certyfikowanym

obiekt w okresie _____).

Inne warunki (oferty).

Kierownik (organu wnioskodawcy)

(podpis, data) (nazwisko, imię i nazwisko)

Aplikacja

do formularza zgłoszeniowego...

Wstępne dane o certyfikowanym obiekcie informatyzacji sporządzane są na podstawie następującej listy pytań:

1. Pełna i dokładna nazwa przedmiotu informatyzacji oraz jego cel.

2. Określa się charakter (naukowo-techniczny, gospodarczy, przemysłowy, finansowy, wojskowy, polityczny) oraz stopień tajności (poufności) przetwarzanych informacji (według jakich list (państwowych, branżowych, resortowych, przedsiębiorstw)).

3. Struktura organizacyjna obiektu informatyzacji.

4. Wykaz pomieszczeń, skład zespołu środków technicznych (głównych i pomocniczych) wchodzących w skład obiektu informatyzacji, w którym (na którym) jest przetwarzany określone informacje(znajduje się w pomieszczeniach w których krąży).

5. Charakterystyka i układ obiektu informatyzacji ze wskazaniem granic strefy kontrolowanej.

6. Struktura oprogramowania (ogólnosystemowego i aplikacyjnego) wykorzystywanego na certyfikowanym obiekcie informatyzacji, przeznaczonego do przetwarzania informacji chronionych, stosowane protokoły wymiany informacji.

7. Ogólny schemat funkcjonalny obiektu informatyzacji, w tym schemat przepływów informacji i trybów przetwarzania informacji chronionych.

8. Obecność i charakter interakcji z innymi obiektami informatyzacji.

9. Skład i struktura systemu bezpieczeństwa informacji na certyfikowanym obiekcie informatyzacji.

10. Wykaz sprzętu i oprogramowania w konstrukcji bezpiecznej, narzędzi zabezpieczających i kontrolnych stosowanych w certyfikowanym obiekcie informatyzacji i posiadających odpowiedni certyfikat, instrukcję obsługi.

11. Informacje o twórcach systemu bezpieczeństwa informacji, czy zewnętrzni twórcy (w stosunku do przedsiębiorstwa, w którym zlokalizowany jest certyfikowany obiekt informatyzacji) posiadają licencje na wykonywanie takich prac.

12. Dostępność w obiekcie informatyzacji (w przedsiębiorstwie, w którym znajduje się obiekt informatyzacji) służby bezpieczeństwa informacji, obsługi administracyjnej (system zautomatyzowany, sieć, bazy danych).

13. Występowanie i główne cechy ochrony fizycznej przedmiotu informatyzacji (pomieszczenia, w których przetwarzane są informacje chronione i przechowywane są nośniki informacji).

14. Dostępność i gotowość dokumentacji projektowej i eksploatacyjnej obiektu informatyzacji oraz innych danych wstępnych certyfikowanego obiektu informatyzacji mających wpływ na bezpieczeństwo informacji.

Załącznik 2

"ZATWIERDZIĆ"

(pozycja szefa organu atestującego)

poseł. PEŁNE IMIĘ I NAZWISKO.

„__” __________ 19__

CERTYFIKAT ZGODNOŚCI

(podana jest pełna nazwa obiektu informatyzacji)

WYMAGANIA DOTYCZĄCE BEZPIECZEŃSTWA INFORMACJI

Ważny do „__” _____ 19__

1. Niniejszy CERTYFIKAT zaświadcza, że: (pełne

nazwa obiektu informatyzacji) ________ kategoria ____________ klasa

spełnia wymagania dokumentacji regulacyjnej i metodycznej dot

bezpieczeństwo informacji.

Skład zespołu środków technicznych obiektu informatyzacji (z

numery seryjne, model, producent, numery certyfikatów),

schemat rozmieszczenia w terenie i względem granic strefy kontrolowanej,

lista używanych narzędzi programowych, a także narzędzi bezpieczeństwa (z

numer producenta i certyfikatu) są dołączone.

2. Struktura organizacyjna, poziom wyszkolenia specjalistów,

wsparcie regulacyjne, metodyczne oraz wyposażenie techniczne służby

bezpieczeństwa informacji zapewniają kontrolę nad skutecznością środków i środków

ochronę i utrzymanie poziomu bezpieczeństwa obiektu informatyzacji w procesie

działanie zgodnie z ustalonymi wymaganiami.

3. Certyfikacja obiektu informatyzacji przeprowadzana jest zgodnie z ust

program i metody badań atestacyjnych, zatwierdzone przez

„__” ________ 19__ N ______.

4. Uwzględnienie wyników badań certyfikujących w placówce

informatyzacja, przetwarzanie jest dozwolone (w najwyższym stopniu

tajemnica, poufność).

5. Podczas funkcjonowania obiektu informatyzacji zabrania się: (wskazać

ograniczeń, które mogą mieć wpływ na skuteczność środków i środków zaradczych

Informacja).

6. Monitorowanie skuteczności wdrożonych środków i środków zaradczych

przydzielony do służby bezpieczeństwa informacji.

7. Szczegółowe wyniki badań certyfikacyjnych podano w podsumowaniu

komisja atestacyjna (N ________ "__" ________ 19__) i protokoły

testy.

8. „Certyfikat Zgodności” wydawany na _____ lat, w ciągu których

musi być zapewniona niezmienność warunków funkcjonowania obiektu

informatyzacja i technologie przetwarzania informacji chronionych, które mogą

wpływać na cechy określone w ust. 9.

9. Wykaz cech, których zmiany są wymagane

powiadomić jednostkę akredytującą.

9.1. __________________________________________

9.2. __________________________________________

Szef komisji atestacyjnej

(pozycja z nazwą przedsiębiorstwa)

„__” ________ 19__

Oznaczenia organu nadzorczego: ________________________________________________________________

Notatka. Przez obiekty informatyzacji certyfikowane zgodnie z wymaganiami bezpieczeństwa informacji rozumie się zautomatyzowane systemy różnego poziomu i przeznaczenia, systemy łączności, wyświetlania i odtwarzania wraz z pomieszczeniami, w których są zainstalowane, przeznaczone do przetwarzania i przesyłania informacji podlegających ochronie, a także same lokale przeznaczone do prowadzenia poufnych negocjacji.

Zgodnie z wymaganiami bezpieczeństwa informacji opracowano procedurę atestacji oraz kontroli i nadzoru nad atestacją i eksploatacją certyfikowanych obiektów informatyzacji.

1.2. Rozporządzenie zostało opracowane zgodnie z przepisami Federacji Rosyjskiej „O certyfikacji produktów i usług” oraz o tajemnicach państwowych”, „Przepisy w sprawie państwowego systemu ochrony informacji w Federacji Rosyjskiej przed zagranicznym wywiadem technicznym i przed ich wyciekiem drogą techniczną kanały”, Regulamin państwowego licencjonowania działalności w obszarze bezpieczeństwa informacji, Regulamin certyfikacji narzędzi bezpieczeństwa informacji dla wymagań bezpieczeństwa informacji”, „System Certyfikacji GOST R”.

1.3. System certyfikacji obiektów informatyzacji pod kątem wymagań bezpieczeństwa informacji (zwany dalej systemem certyfikacji) jest integralną częścią jednolitego systemu certyfikacji narzędzi bezpieczeństwa informacji oraz certyfikacji obiektów informatyzacji pod kątem wymagań bezpieczeństwa informacji i podlega państwowej rejestracji w zgodnie z procedurą ustanowioną przez Państwowy Standard Rosji. Działania systemu atestacji są organizowane przez federalny organ ds. certyfikacji produktów i certyfikacji obiektów informatyzacji pod kątem wymagań bezpieczeństwa informacji (zwany dalej federalnym organem ds. certyfikacji i atestacji), którym jest Państwowa Komisja Techniczna Rosji.

1.5. Przedmioty informatyzacji przeznaczone do przetwarzania informacji stanowiących tajemnicę państwową, zarządzania obiektami zagrażającymi środowisku oraz prowadzenia tajnych negocjacji podlegają obowiązkowej certyfikacji.

W pozostałych przypadkach certyfikacja jest dobrowolna (certyfikacja dobrowolna) i może być przeprowadzona z inicjatywy klienta lub właściciela obiektu informatyzacji.

1.6. Podczas poświadczania przedmiotu informatyzacji sprawdza się jego zgodność z wymogami ochrony informacji przed nieuprawnionym dostępem, w tym przed wirusami komputerowymi, przed wyciekiem spowodowanym fałszywym promieniowaniem elektromagnetycznym oraz zakłóceniami pod wpływem efektów specjalnych na obiekcie (nakładanie i naświetlanie wysokich częstotliwości, elektromagnetyczne i promieniowanie narażenie), przed wyciekiem lub uderzeniem w nie za pomocą specjalnych urządzeń wbudowanych w obiekty informatyzacji.

Analiza danych wyjściowych certyfikowanego obiektu informatyzacji;

Wstępne zapoznanie się z certyfikowanym przedmiotem informatyzacji;

Przeprowadzenie kompleksowych badań atestacyjnych obiektu informatyzacji w rzeczywistych warunkach eksploatacji;

Analiza wyników ekspertyzy i kompleksowych badań atestacyjnych obiektu informatyzacji oraz zatwierdzenie wniosku na podstawie wyników atestacji.

Państwowa Komisja Techniczna Rosji może przekazać prawa do akredytacji sektorowych (wydziałowych) jednostek certyfikujących innym organom państwowym.

1.10. Wydatki na wykonanie wszelkiego rodzaju prac i usług związanych z obowiązkową i dobrowolną certyfikacją obiektów informatyzacji pokrywają wnioskodawcy.

Opłata za prace nad obowiązkową certyfikacją jest dokonywana zgodnie z umową według zatwierdzonych stawek, aw przypadku ich braku - po cenie umownej w sposób ustalony przez Państwową Komisję Techniczną Rosji w porozumieniu z Ministerstwem Finansów Federacji Rosyjskiej.

Wydatki na wykonanie wszelkiego rodzaju prac i usług w zakresie certyfikacji obiektów informatyzacji wnioskodawcy ponoszą kosztem środków finansowych przeznaczonych na rozwój (udoskonalenie) i uruchomienie chronionego obiektu informatyzacji.

2.6. Kandydaci:

Przygotować obiekt informatyzacji do certyfikacji poprzez wdrożenie niezbędnych środków organizacyjnych i technicznych w celu ochrony informacji;

Zaangażować jednostki certyfikujące do zorganizowania i przeprowadzenia certyfikacji obiektu informatyzacji;

Dostarczyć jednostkom certyfikującym niezbędne dokumenty i warunki certyfikacji;

Przyciągnąć, jeśli to konieczne, do testowania niecertyfikowanych narzędzi bezpieczeństwa informacji używanych w certyfikowanym obiekcie informatyzacji, centra testowe (laboratoria) do certyfikacji;

Prowadzić eksploatację obiektu informatyzacji zgodnie z warunkami i wymogami określonymi w „Certyfikacie zgodności”;

Informować jednostkę atestującą, która wydała „Certyfikat zgodności” o wszelkich zmianach w technologiach informatycznych, składzie i rozmieszczeniu narzędzi i systemów informatycznych, warunkach ich eksploatacji, które mogą mieć wpływ na skuteczność środków i środków ochrony informacji (wykaz cech decydujących o bezpieczeństwo informacji, zmiany, o których należy powiadomić jednostkę certyfikującą, podane są w „Certyfikacie zgodności”);

Zapewniają niezbędne dokumenty i warunki do monitorowania i nadzorowania pracy obiektu informatyzacji, który przeszedł obowiązkową certyfikację.

Nie jest tajemnicą, że w celu zapewnienia ochrony informacji w miejscach publicznych systemy informacyjne ah, wymaganych jest szereg obowiązkowych czynności. Wśród nich opracowanie specyfikacji technicznych do stworzenia systemu bezpieczeństwa informacji, zaprojektowanie i wdrożenie systemu bezpieczeństwa informacji. Kolejnym ważnym i obowiązkowym wydarzeniem jest certyfikacja systemu informatycznego zgodnie z wymaganiami bezpieczeństwa.

Ustawa federalna nr 152-FZ „O danych osobowych”, GOST R 51583 „Ochrona informacji. Kolejność tworzenia zautomatyzowanych systemów w wykonaniu chronionym. Postanowienia ogólne”, GOST R 51624 „Bezpieczeństwo informacji. Zautomatyzowane systemy w bezpiecznej konstrukcji. Ogólne wymagania» i inne regulaminy przepisy prawne organy regulacyjne (FSTEC Rosji, FSB Rosji) ustanawiają dość poważne wymagania dotyczące ochrony informacji.

W celu potwierdzenia, że system informatyczny lub dedykowany komputer spełnia wymagania norm i dokumentów regulacyjnych i metodycznych dot bezpieczeństwo informacji prowadzona jest certyfikacja.

Opis usługi

Celem prac jest doprowadzenie stacji roboczej do zgodności z wymaganiami dotyczącymi bezpieczeństwa informacji poufnych FSTEC Rosji. Certyfikacja obiektu informatyzacji może obejmować następujące etapy:

przygotowanie obiektu informatyzacji do badań atestacyjnych;
przeprowadzanie badań atestacyjnych;
przygotowanie dokumentacji sprawozdawczej na podstawie wyników badań atestacyjnych.

Przygotowanie obiektu informatyzacji do badań atestacyjnych obejmuje:

dostawa, instalacja i konfiguracja niezbędnych certyfikowanych narzędzi bezpieczeństwa informacji;
opracowanie dokumentacji technicznej obiektu informatyzacji;
opracowanie programu i metodologii badań certyfikacyjnych elektrowni jądrowych.

Przeprowadzanie testów certyfikacyjnych obejmuje:

weryfikacja obiektu informatyzacji pod kątem zgodności z wymaganiami organizacyjnymi i technicznymi ochrony informacji;
testowanie AU pod kątem zgodności z wymaganiami dotyczącymi ochrony informacji przed wyciekiem kanałami technicznymi;
testowanie AU pod kątem zgodności z wymaganiami dotyczącymi ochrony informacji przed nieautoryzowanym dostępem.

Przygotowanie dokumentacji sprawozdawczej na podstawie wyników badań certyfikacyjnych obejmuje:

opracowanie protokołów oceny bezpieczeństwa elektrowni jądrowej;
opracowanie wniosku na podstawie wyników badań atestacyjnych;
rejestracja i wydanie Certyfikatu Zgodności.

Ponowna certyfikacja

Certyfikat zgodności wydawany jest właścicielowi certyfikowanego obiektu informatyzacji na okres 3 lat. Po upływie tego okresu lub przy istotnych zmianach warunków i technologii przetwarzania informacji chronionych wymagana jest ponowna certyfikacja.

Termin realizacji prac wraz z dostawą sprzętu ochronnego i montażem nie przekracza 20 dni roboczych.

Koszt certyfikacji AWP

Cena certyfikacji jednego ramienia zgodnie z wymaganiami bezpieczeństwa informacji wynosi nie więcej niż 90 000 rubli. Jednocześnie kwota ta obejmuje niezbędne fundusze ochrona informacji:

Podsystem ochrony informacji przed nieautoryzowanym dostępem wraz z zestawem instalacyjnym.
Podsystem ochrony antywirusowej wraz z zestawem instalacyjnym.

Dokumenty certyfikacji przedmiotu informatyzacji

Wykaz dokumentów na podstawie i zgodnie z którymi świadczone są usługi:

Ustawa federalna z dnia 27 lipca 2006 r. N 149-FZ (zmieniona 31 grudnia 2014 r.) „O informacji, technologiach informacyjnych i ochronie informacji”;
« Specjalne wymagania i zalecenia dot ochrona techniczna informacje poufne (STR-K), Państwowa Komisja Techniczna Rosji, 2001;
„Tymczasowa metodologia oceny bezpieczeństwa głównych środków technicznych i systemów przeznaczonych do przetwarzania, przechowywania i (lub) przesyłania poufnych informacji za pośrednictwem linii komunikacyjnych”, Państwowa Komisja Techniczna Rosji, 2002;
„Tymczasowa metoda oceny bezpieczeństwa informacji poufnych przetwarzanych głównymi środkami technicznymi i systemami przed wyciekiem w wyniku ingerencji w urządzenia pomocnicze środki techniczne i ich systemy łączności”, Państwowa Komisja Techniczna Rosji, 2002;
„Przepisy dotyczące certyfikacji obiektów informatyzacji zgodnie z wymogami bezpieczeństwa informacji”, Państwowa Komisja Techniczna Rosji, 1994;
RD „Ochrona przed nieautoryzowanym dostępem do informacji, cz. 1.” Oprogramowanieśrodków ochrony informacji. Klasyfikacja według poziomu kontroli braku niezadeklarowanych zdolności, Państwowa Komisja Techniczna Rosji, 1999;
RD „Systemy automatyczne. Ochrona przed nieautoryzowanym dostępem do informacji. Klasyfikacja AS i wymagania bezpieczeństwa informacji”, Państwowa Komisja Techniczna Rosji, 1998;
RD „Zaplecze komputerowe. Ochrona przed nieautoryzowanym dostępem do informacji. Wskaźniki bezpieczeństwa przed nieautoryzowanym dostępem do informacji”, Państwowa Komisja Techniczna Rosji, 1998