Сертифициране на обекти на информатизация: транзитно време, условия, основни разпоредби и изисквания на ГОСТ

Anonim

Работата по сертифициране на информационни обекти за изисквания за информационна сигурност се осъществява в Русия от Федералната служба за технически и експортен контрол, която се занимава с междуведомствено сътрудничество и координация, изпълняваща специални функции в областта на държавната сигурност.

Същността на сертифицирането на информационни обекти

Обекти на компютъризация са набор от ресурси с данни, както и системи и средства за тяхната обработка, които се използват в съответствие с предварително инсталирана технология. Също така, обектите на информатизация са средствата за предоставяне на компютъризирани артикули, помещения (структури, сгради), технически средства, предназначени за провеждане на поверителни срещи и преговори.

Сертифицирането на информатизиращ обект за изисквания за информационна сигурност е съвкупност от организационни и технически мерки. Резултатът от такава проверка е документ, съставен от специалисти - „сертификат за съответствие“. Този документ потвърждава, че проверяваният обект отговаря на всички изисквания на нормативните актове и стандарти, одобрени от FSTEC. След получаване на окончателния документ организацията получава правото да обработва информация с различни нива на поверителност или секретност за определен период от време. Този срок е посочен в издадената FSTEC, когато се удостоверяват обекти на информатизация.

Проверката за съответствие се извършва съгласно правилата, установени със специален регулаторен акт. Такъв документ е "Правилник за сертифициране на обекти на информация" от 1994 г. Проучването на обектите за съхранение на информация се извършва преди всички данни, които трябва да бъдат обработени, пристигнат на носителите на данни. Това изискване се дължи на факта, че организацията трябва да има официално потвърждение за ефективността на използваните от нея средства и мерки за защита на данните на конкретен носител.

Сфери на дейност на организациите, изискващи задължително сертифициране

Сертифицирането на обекта на информатизация се извършва задължително при извършване на работата на предприятието в следните случаи:

  • има елементи на държавна тайна;
  • осъществява се защита на държавния информационен ресурс;
  • дейността на дружеството е свързана с управлението на обекти, които се считат за опасни за околната среда;
  • в рамките на организацията се водят тайни преговори.

Ако нито едно от посочените случаи не се извършва в предприятието, не е необходимо да се извършва инспекция. В същото време много компании извършват сертифициране на информационни съоръжения за изисквания за сигурност на данните на доброволна основа. Клиентът или собственикът на посочения обект може да декларира желание за проверка.

Проверката включва набор от мерки (тестове) на елементи, в които данните се съхраняват и обработват при действителни условия на експлоатация. Целта на сертифицирането на обекти на информатизация е да се анализира съответствието на защитните мерки и средствата, използвани от организацията, на изискваните стандарти.

По време на одита се проучват следните области:

  1. Защита срещу неоторизиран достъп, включително компютърни вируси.
  2. Степента на запазване на обекта от изтичане през PEMIN.
  3. Информационна сигурност срещу удар или изтичане с помощта на специални обекти и устройства, които са вградени в обекта на проверка.

Независимо дали се извършва доброволно или задължително сертифициране на информационни обекти, разходите за неговото изпълнение се поемат от клиента.

Списъкът на действията, изпълнени в процеса на сертифициране

Органите за сертифициране на информационни обекти работят по избраната от тях схема. Списъкът на дейностите по проверка включва следните действия:

  • Анализ на наличната информация за анализирания обект на компютъризация.
  • Предварително проучване на предмета на информацията, който трябва да бъде сертифициран.
  • Експертиза на компютъризиран обект и анализ на разработената от одитираната организация документация за защита на информацията, съдържаща се в компанията. Целта на анализа е да се установи съответствието на ценните книжа с изискванията на методическата и нормативната документация.
  • Тестване на индивидуални системи и средства за защита на данните на конкретен обект за компютъризация чрез използване на специално оборудване и инструменти.
  • Извършване на подобни тестове и различни тестове в изпитвателни лаборатории и центрове за сертифициране на защитни информационни средства за изискванията за компютърна сигурност.
  • Реализиране на комплекс от мерки за атестационно изпитване на информационния обект при пряка експлоатация.
  • Анализ на резултатите от изследванията и сложните тестове, получени от експерти в рамките на сертифицирането, одобрението въз основа на резултатите от проверката на заключението.

Органите за сертифициране на информационни обекти подлежат на задължителна акредитация към FSTEC, одобрена от съответния регламент. При извършване на одит на организациите контролните органи носят отговорност за качественото изпълнение на възложените им от законодателните норми функции, както и за запазване на информацията, която са получили по време на атестацията. Ако прегледът е бил анализиран (или по друг начин засегнат) авторските права на клиента, те също трябва да бъдат спазвани.

Списък на органите, извършващи сертифициране

Сертифицирането на обекта на информатизация по JCPA 2 се извършва от следните органи:

  1. Орган на федерално равнище за сертифициране на средствата за защита на защитните данни и за сертифициране на съответните средства за компютъризация за изискванията за защита на данните.
  2. Подчинение на органите на ФСТЕК, които инспектират конкретни обекти, за съответствие с техните работни норми и стандарти за безопасност.
  3. Изпитателни лаборатории и сертификационни центрове за различни продукти.
  4. Кандидати (собственици, клиенти или разработчици на компютъризирани сертифицирани обекти).

Сертифициращите органи могат да бъдат регионални и секторни институции, организации и предприятия за защита на информацията, центрове и отдели на Руската ФСТЕК, които са акредитирани в съответствие с нормите на законодателството.

Правомощия на сертифициращите органи

Органите, които предоставят услуги за сертифициране на информационни обекти, имат следните правомощия:

  • Те проверяват обектите на компютъризацията и издават специални документи - “Сертификати за съответствие” според резултатите от анализа.
  • В процеса на проверка се осъществява информационна сигурност, която циркулира на обектите за проверка, както и работата на конкретни носители на данни.
  • Спиране на официалното действие и отмяна на издадени по-рано сертификати за съответствие на организациите с установени стандарти за безопасност.
  • Те формират отделни фондове от методическа и регулаторна документация, която е подходяща за сертифициране на всеки конкретен вид компютъризационни обекти и участват в тяхното разработване.
  • Те съставляват информационната база на компютъризираните обекти, които са преминали сертификация.
  • Постоянно взаимодейства с руската FSTEC, тримесечно го информирайки за извършената работа в областта на сертифицирането на организации.

Съгласно Наредбата за атестиране на информационни обекти Федералната служба изпълнява други правомощия в областта на проверките за съответствие:

  1. Провежда организацията на задължително сертифициране на компютърни обекти.
  2. Създава системи за сертифициране на организациите, подлежащи на проверка, установява изисквания за извършване на анализ на организации за защита на информацията във всяка система.
  3. Определя правилата за преминаване на акредитация и получаване на лиценз за извършване на дейности за задължителни проверки за съответствие.
  4. Организира и финансира планирането на атестацията на обект на информатизация по СРС 2, разработва и одобрява съответните методически и нормативни документи.
  5. Провежда акредитация на органи, които ще продължат да проверяват спазването на стандартите за сигурност на данните в организацията, издава лицензи на тези органи за изпълнение на определени видове правомощия.
  6. Изпълнява мерки за държавен контрол и надзор за спазване на правилността на текущото атестиране на информационни обекти, както и за по-нататъшната дейност на одитираните организации.
  7. Приема разглеждането на жалби, които възникват в процеса на анализиране на обектите на компютъризация.
  8. Провежда обучение по сертифициране на информационни обекти.
  9. Извършва организацията на периодичното публикуване на информация за работата на системата за проверки на различни обекти за спазване на правилата за информационна сигурност

Изпитвателни центрове и лаборатории изпитват продукти, които не са сертифицирани, ако се използват в предприятие, подложено на проверка за съответствие. Официалният сайт на FSTEC съдържа информация за процедурата за атестиране на информационни обекти и органите, които извършват тези проверки.

Правомощия на заявителите

За да се защити информацията по време на атестирането на обекти на информатизация, всяко образувание трябва да изпълнява своите задължения и да упражнява правомощия. Органите на жалбоподателите са следните: \ t

  1. Подготовка на информатизиращи обекти за провеждане на проверки за съответствие чрез прилагане на необходимите организационни и технически мерки, използвани в областта на информационната сигурност.
  2. Включване на сертифициращи органи за организиране и провеждане на планови проверки по отношение на обекти на информатизация.
  3. Осигурява на контролните органи необходимите документи и условия за инспекцията.
  4. При необходимост да се включат инструменти за защита на информацията, които не са сертифицирани за тестване на мястото на инспекция. Те могат също така да включват изпитвателни лаборатории и центрове за сертифициране.
  5. Осъществява експлоатацията на компютърните съоръжения в съответствие с изискванията и условията, определени в Правилника за сертифициране на информационни обекти.
  6. Да уведомява сертифициращите органи, които издават сертификати за промени в информационните технологии, в разполагането и състава на информационните системи и инструменти, както и условията на работа на тези инструменти, които влияят върху ефективността на защитните информационни мерки.
  7. Осигурява необходимите документи и условия за надзор и контрол на работата на компютърния обект, който е преминал задължителната сертификация.

Документи, представени от заявителя на контролния орган

Съгласно общите разпоредби на ГОСТ за удостоверяване на информационни обекти (ГОСТ РО 0043-003-2012), списъкът на представените от заявителя документи за проверка включва следните документи:

  • Документация за приемане на обекта на компютъризация.
  • Действа по разделянето на помещенията и обектите на информацията на категории.
  • Инструкции за правилата за работа на защитните информационни средства.
  • Технически паспорти за обекти, подлежащи на сертифициране.
  • Документи за експлоатацията на Tsoi (сертификати за съответствие на тези обекти с изискванията за информационна сигурност).
  • Действия на скритите работи.
  • Сертификати за съответствие на обектите с изискванията за информационна сигурност на VTSS.
  • Протоколи за измерване степента на звукоизолация на избрани помещения и други помещения, както и ефективността на монтиране на екрани в сгради и кабини.
  • Сертификати за съответствие на обекти с изисквания за информационна сигурност по отношение на техническите средства за защита на данните.
  • Протоколи за измерване на степента на устойчивост на земята.
  • Протоколи за измерване на реалната стойност на затихването на сигналите, подавани от информационните устройства до местата, където се намират потенциални разузнавателни превозни средства.
  • Данни за нивото на обучение на персонала на лицата, предоставящи защита на информацията.
  • Информация за осигуряване на технически средства на организацията за наблюдение на ефективността на защитата на данните и за извършване на тяхната метрологична проверка.
  • Документация от методологичен и регулаторен характер, свързана със защитата на информацията и контрола на нейната ефективност. Тези документи могат да бъдат допълнени с други документи, ако това се дължи на характеристиките на обекта на сертифициране, ако предоставянето на други данни е съгласувано с одитираната комисия.
  • Обяснителни бележки с информационни характеристики и указание за организационната структура на защитения обект, данни за мерки от организационен и технически тип, извършени с цел защита на информацията от изтичане по технически канали.
  • Списък на компютъризирани обекти, които трябва да бъдат защитени, с точно посочване на местоположението им и установената степен на защита.
  • Списък на помещенията, в които се намират защитени информационни носители, с точно указание за тяхното местоположение и установената степен на защита.
  • Списък на Tsoi, установен в организацията, с бележка за наличието или отсъствието на сертификати или наредби за експлоатацията, както и определянето на тяхното местоположение.
  • Списък на техническите средства за защита с указание за тяхното местоположение.
  • Списък на VTSS, инсталиран в организацията, с означение за наличие или липса на сертификати или предписания за експлоатация, както и определяне на тяхното местоположение.
  • Схема на електрическата система с местоположението на разделителната подстанция, всеки щит и регулируема кутия.
  • Разполагаме с мащабна схема с устройствен план, в която са разположени обектите на защита, границите на зоната за контрол, трансформаторните подстанции, заземяващи устройства, локациите на електропроводите и съоръженията, местоположението на аварийните и пожарните аларми и устройствата от разделителния тип.
  • Разположението на поставените телефонни линии с местоположението на всяка разпределителна кутия и телефон.
  • Етажни планове на обекта на проверка с определяне на местоположението на конкретни обекти на компютъризация, разположението на помещенията, предназначени за оборудването, както и характеристиките на подове, стени, видове прозорци и врати и използвани довършителни материали.
  • Разположението на заземяващата система и заземяването.
  • Общи планове за местоположението на всеки обект, указващи местоположението на VTSS, TSOI, техните свързващи линии, както и маршрути, по които са положени комунални услуги и външни водачи.
  • Оформлението на комуникациите на инженерния тип на сградата заедно с вентилационната система.
  • Схема на системите за активна защита (ако има такива).
  • План за противопожарна и охранителна сигнализация с местоположението на всеки сензор и разклонителна кутия.

Процедурата за провеждане на процедурата по сертифициране

Сертифицирането на обекта на информатизация от JCPA се извършва в следния ред:

  1. Изпращане и разглеждане от комисията на заявление за сертифициране. Заявлението се прави във формата, одобрена в правилника. Срокът за разглеждане на искането е един месец. Ако комисията вземе решение за извършване на проверка, схемата за сертифициране се определя и съгласува със заявителя.
  2. Предварително проучване на сертифицирания обект, ако информацията, предоставена от заявителя, не е достатъчна за формиране на пълна картина.
  3. Лабораторни изпитвания на системи и средства за защита на обекта, които не са сертифицирани.
  4. Разработване на методи и програми за тестване по време на сертифицирането. Определят се списъкът и продължителността на работата, процедурата за изпитване, съставът на групата, инструментите и инструментите, използвани при анализа.
  5. Сключване на договор за сертифициране между контролния орган и заявителя, както и между органа и участващите външни експерти.
  6. Провеждане на тестове на обекта.

Последният етап включва следния списък от действия:

  • анализ на структурата на организацията като цяло, потока от информация в обекта, който се инспектира, структурата и състава на софтуерния пакет и техническите средства, системите за защита на информацията, документацията, както и проверка на съответствието на документите с нормативните изисквания;
  • определяне на правилността на разделянето на обектите на категории компютърни и автоматизирани системи, съответствие с избора и използването на несертифицирани и сертифицирани системи и средства за защита на данните;
  • изпитване на защитни системи и съоръжения, които не са преминали сертификация, анализ на тяхната проверка в изпитвателни лаборатории и центрове;
  • проверка на нивото на обучение на персонала на персонала, разпределяне на неговата отговорност за спазване на изискванията за защита на информацията;
  • извършване на всеобхватни дейности по сертифициране при реална употреба;
  • изготвяне на протоколи от изпитвания, изготвяне на становище с препоръки за коригиране на установените недостатъци и организиране на контрол върху нормалното функциониране на складовете за данни.

Съдържание на докладите от изпитванията

Протоколите от изпитвания, провеждани в рамките на сертифицирането на информационни обекти за държавна тайна или други тайни области, включват следната информация:

  1. Видове тестове.
  2. Обект на проверка.
  3. Време и дата на анализа.
  4. Място на инспекцията.
  5. Списъкът на оборудването, използвано в анализа.
  6. Списък на нормативни и методически документи, използвани при тестовете.
  7. Кратко описание на техниката, използвана при провеждането на теста.
  8. Резултати от измервания и изчисления.
  9. Заключенията от теста.

Окончателните протоколи се подписват от експерти, включени в атестационната комисия (фамилни имена, инициали, позиции). Заключенията, подписани от комисията, се одобряват от ръководителя на атестационния орган.

Ако заключението е одобрено от ръководителя, се посочва съгласието за изпълнение, регистрация и издаване на документ за съответствие. Ако издаването на удостоверението е било отказано, жалбоподателят има право да подаде жалба. Срокът на неговото разглеждане е не повече от месец.

Информация, съдържаща се в сертификата за съответствие

В удостоверението, издадено след сертифицирането на обекта на информация, чиято защита трябва да бъде гарантирана непременно, се посочва следната информация:

  • регистрационен номер на сертификата;
  • дата на издаване;
  • срок на валидност;
  • пълно име, адрес на местоположението на сертифицирания обект;
  • категория компютъризация;
  • клас (степен) на сигурност на автоматизираните системи;
  • Печат на поверителност (поверителност) на данните, обработени в съоръжението;
  • структурата на обекта и заключението, че нивото на обучение на съответните специалисти в организацията
  • дата и номер на одобрението на методологията и програмата, които са били в основата на теста;
  • списък на документи, които са били основа за сертифициране;
  • дата и номер на заключението за резултатите от сертифицирането;
  • списък на техническо оборудване и средства за обработка на данни;
  • организационни мерки, по време на които е разрешено проучването и обработката на данни с ограничен достъп;
  • списък на забранените действия по време на работа на проверения обект;
  • списък на лицата, отговорни за осигуряване на необходимите изисквания за защита на данните, и списък на служителите, които следят за ефективността на средствата и мерките за защита.

Сертификатът за съответствие на обекта с необходимите изисквания се подписва от ръководителя на инспекционната комисия и одобрението на директора на сертифициращия орган.

Документът за съответствие се издава за период, през който трябва да се поддържа реда и условията за експлоатация на компютризирания обект. Също така през този период следва да се запазят технологиите, използвани при обработката на защитени данни. Максималната валидност на сертификата е три години.

Сертифицирането на информационни обекти е необходима процедура за организации, чиито дейности са свързани с поверителна информация и тяхната защита.

arrow