Учебное пособие по ИБ (1027402), страница 11
Текст из файла (страница 11)
40)(Аккредитуются ФСТЭК России)Средства защиты информации от утечки по техническим каналамТехническиеПрограммнотехническиеПрограммныеЗаявителиЦЕЛИ СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВЗАЩИТЫ ИНФОРМАЦИИ Обеспечениенациональнойинформатизации.безопасностив17сфере Формирование и осуществление единой научно - техническойи промышленной политики в сфере информатизации с учетомтребований системы защиты информации ограниченногодоступа. Содействиеформированиюрынказащищенныхинформационных технологий и средств их обеспечения.
Регулирование и контроль разработки, а также последующегопроизводства средств защиты информации. Содействие потребителям в компетентном выборе средствзащиты информации. Защита потребителя от недобросовестности изготовителя(продавца, исполнителя).
Подтверждение показателей качества продукции, заявленныхизготовителями.68Нормативные документы определяющие порядоксертификации средств защиты информации насоответствие требованиям безопасностиинформации181. Федеральный закон «О техническом регулировании»№ 184-ФЗ от 27 декабря 2002 г.2.
Постановление Правительства Российской Федерации от26 июня 1995 г. № 608 «О сертификации средств защитыинформации».3. Положение о сертификации средств защиты информациипо требованиям безопасности информации (приказпредседателя Гостехкомиссии России от 27 октября 1995 г.№ 199).Структура средств защиты информации,подлежащих сертификацииСредства защиты информации (СЗИ)Собственносредствазащитыинформации:технические,программнотехнические,программныеСредства, вкоторыхреализованыСЗИ (т. е.защищенныетехническиепрограммнотехнические ипрограммныесредства)Средстваконтроляэффективностизащитыинформации:технические,программнотехнические,программные1969Срок действия сертификата соответствиятребованиям безопасности информации20Срок действия сертификата не может превышать пяти лет.Ст.
8. «Положения о сертификации средств защиты информации»( утв. постановлением Правительства РФ от 26 июня 1995 г.№ 608, с изменениями от 23 апреля 1996 г., 29 марта 1999 г.,17 декабря 2004 г.)Срок действия сертификата – три года.Ст. 3.4.3. «Положения о сертификации средств защиты информациипо требованиям безопасности информации»( Приказ Гостехкомиссии России от 27 октября 1995 г. № 199)Порядок продления срок действиясертификата соответствия требованиямбезопасности информации (1)21Возможные пути продления срока действия сертификата1. Продление срока действия сертификата заявителем первичнойсертификации.2.
Продлениесрокадействиясертификатаорганизацией,эксплуатирующей средство защиты информации.Продление срока действия сертификата заявителемпервичной сертификацииПродление срока действия сертификата заявителем возможно, если:♦ не изменились количество и состав изделий, подлежащихсертификации;♦ не изменились сертификационные требования, предъявляемые кСЗИ;♦ не изменились технические условия или конструкция изделий;В случае невыполнения указанных требований, сертификацияпроводится в объеме первичной сертификации.70Порядок продления срока действия сертификатасоответствия заявителем первичной сертификации221. Заявитель оформляетзаявку на продление сертификатасоответствия (прил. 2А «Положения о сертификации ….»).2. Орган по сертификации с привлечением испытательнойлаборатории проводит инспекционный контроль серийногопроизводства (в случае сертификации серийного производстваСЗИ)илиинспекционныйконтрольстабильностисертифицируемых параметров изделия (в случае сертификациипартии или единичного образца изделия).3.
Заявка и приложенные к ней материалы инспекционногоконтроля направляются во ФСТЭК России (Федеральный орган посертификации).4. ФСТЭК России проводит экспертизу представленных материалов.5. В случае принятия положительного решения по экспертизепредставленных материалов выдается сертификат соответствияна изделие за тем же номером с указанием сроков продления.Порядок продления срока действия сертификатасоответствия организацией, эксплуатирующей СЗИ1.2.3.4.23Организация,эксплуатирующаяСЗИ,заблаговременно,доокончания срока действия сертификата соответствия, (указан вкопии сертификата, приложенной к СЗИ) связывается сорганизацией, указанной в качестве заявителя, с целью полученияинформации о продлении сертификата соответствия и о порядкеполучения копии продленного сертификата соответствия.В случае получения информации об отсутствии намерений впродлении сертификата соответствия заявителем, организация,эксплуатирующая СЗИ, направляет в Федеральный орган посертификации письмо с просьбой продлить сертификат соответствияна СЗИ с указанием заводских номеров и знаков соответствия,которыми промаркирована сертифицированная продукция.К письму по согласованию с органом по аттестации, проводившимработупоаттестациилибоподготовкукаттестации,прикладываются:а).
протокол оценки эффективности использования СЗИ,подлежащего сертификации (для технических средств защитыинформации от утечки по физическим каналам) или протоколоценки соответствия контрольных сумм приведенным в формуляреСЗИ (для СЗИ от НСД) с указанием номера СЗИ и номера знакасоответствия;б). и платёжное поручение на 113 руб. (100 руб.сертификат+13 руб. СЗЗ).В случае принятия положительного решения по экспертизепредставленныхматериаловФедеральныморганомпосертификации выписывается сертификат соответствия.71АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИНА СООТВЕСТВИЕ ТРЕБОВАНИЯМБЕЗОПАСНОСТИ ИНФОРМАЦИИ24Аттестация объекта – официальное подтверждение наличия наобъекте защиты необходимых и достаточных условий,обеспечивающих выполнение установленных требованийруководящих документов по защите информации.Под аттестацией объекта информатизации по требованиямбезопасности информации понимается комплекс организационнотехнических мероприятий, в результате которых посредствомспециального документа - «Аттестата соответствия» подтверждается,что объект соответствует требованиям стандартов или иныхнормативных документов по защите информации, утвержденныхФСТЭК (Гостехкомиссией) РоссииАттестация по требованиям безопасности информации предшествуетначалу обработки подлежащей защите информации и вызвананеобходимостью официального подтверждения эффективностикомплекса используемых на конкретном объекте информатизациимер и средств защиты информацииОбщие требования по аттестации объектовинформатизации, предназначенных дляобработки конфиденциальной информации25Аттестация объектов информатизации, предназначенных дляобработки защищаемой информации, проводится насоответствие требованиям СТР-К и РД Гостехкомиссии(ФСТЭК) РоссииАттестация объектов информатизации носит обязательныйхарактер в случае, если объект информатизации предназначендля обработки информации, отнесённой к:● служебной тайне;● персональным данным,В остальных случаях – рекомендательный характер.Наличие на объекте информатизации действующего «Аттестатасоответствия» дает право обработки конфиденциальнойинформации на период времени, установленный в«Аттестате соответствия»72Объекты,Объекты, подлежащие аттестации26♦ Объект информатизации - совокупность информационныхресурсов, средств и систем обработки информации, используемых всоответствии с заданной информационной технологией, средствобеспечения объекта информатизации, помещений или объектов(зданий, сооружений, технических средств), в которых ониустановлены, или помещения и объекты, предназначенные дляведения конфиденциальных переговоров.Объект аттестацииОИ на базе средств и системинформатизации, участвующихв обработке защищаемойинформации (ОТСС)Защищаемыепомещения (ЗП)Перечень основных нормативных документов,определяющих порядок и объём аттестационныхиспытаний ОИ по требованиям безопасности КИ1.2.3.4.5.27Положение о государственной системе защиты информации вРоссийской Федерации от иностранных технических разведок иот утечки по техническим каналам».(Постановление Совета Министров – Правительства РоссийскойФедерации от 15.09.1993 г.
№ 912-51).Специальные требования и рекомендации по техническойзащите конфиденциальной информации (СТР-К). Утвержденыприказом Гостехкомиссии России от 30.08.2002 г. № 282.Положение по аттестации объектов информатизации потребованиям безопасности информации. Утвержденопредседателем Гостехкомиссии России 25.11.1994 г.Сборник руководящих документов по защите информации отнесанкционированного доступа.
Гостехкомиссия России, 1998 г.Сборник временных методик оценки защищённостиконфиденциальной информации от утечки по техническимканалам. Утвержден первым заместителем ПредседателяГостехкомиссии России 8.11.2001 г.73Органы,Органы, имеющие право проведенияаттестации объектов информатизации,предназначенных для обработкиконфиденциальной информации28♦ Организации, имеющие лицензию на правооказания услуг по технической защитеконфиденциальной информации (по пост.Правительства РФ № 290 (504) – (~640 орг-ий)♦ Органы по аттестации объектовинформатизации, аккредитованныеФСТЭК России – для ОИ по требованиямзащиты гостайны (аккредитовано ~270 ОА)♦ Аттестация объектов информатизациипроводится при участии подразделения(специалистов) по ЗИ организацииПорядок проведения аттестации ОИ29♦Подача и рассмотрение заявки на аттестацию.♦ Предварительное ознакомление с аттестуемым объектом (принеобходимости).♦Разработка программы и методики аттестационных испытаний.♦Заключение договора на проведение аттестации.♦Анализорганизационнойструктурыобъектаинформатизации,информационных потоков, состава и структуры комплекса технических средстви программного обеспечения, системы защиты информации на объекте,разработанной документации и её соответствия требованиям нормативнойдокументации по защите информации.♦ОценкаправильностиклассификацииАС(приаттестацииавтоматизированных систем), выбора и применения сертифицированных инесертифицированных средств и систем защиты информации.♦Проверка уровня подготовки кадров и распределения ответственностиперсонала за обеспечение выполнения требований по безопасностиинформации.♦Комплексные аттестационные испытания объекта информатизации вреальных условиях эксплуатации путем проверки фактического выполненияустановленных требований на различных этапах технологического процессаобработки защищаемой информации.♦Оформление протоколов испытаний и заключения по результатаматтестации с конкретными рекомендациями по устранению допущенныхнарушений, приведению системы защиты объекта информатизации всоответствие с установленными требованиями и совершенствованию этойсистемы, а также рекомендациями по контролю за функционированиемобъекта информатизации.♦ Оформление, регистрация и выдача "Аттестата соответствия".74Структура программы аттестационных испытаний30ПРОГРАММАаттестационных испытаний ОИ по требованиям безопасностиинформации1.
ОБЪЕКТ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ.2. ЦЕЛЬ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ.3. ОБЩИЕ ПОЛОЖЕНИЯ (в т. ч. состав аттестационной комиссии).4. СОДЕРЖАНИЕ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ (в т. ч.:- виды и объём аттестационных испытаний (перечень мероприятий);- мероприятия по контролю состояния защищённости информации впроцессе эксплуатации объекта информатизации;- мероприятия по контролю неизменности условий эксплуатации объектаинформатизации;- работы по сертификации СЗИ (при необходимости).5. УСЛОВИЯ И ПОРЯДОК ПРОВЕДЕНИЯ АТТЕСТАЦИОННЫХИСПЫТАНИЙ.6. МАТЕРИАЛЬНО - ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ АТТЕСТАЦИОННЫХИСПЫТАНИЙ (в т.
ч. перечни средств тестирования)7. МЕТРОЛОГИЧЕСКОЕ ОБЕСПЕЧЕНИЕ АТТЕСТАЦИОННЫХИСПЫТАНИЙ (в т. ч. перечни используемой контрольной иконтрольно-измерительной аппаратуры)8. ОТЧЕТНОСТЬ И ДОКУМЕНТИРОВАНИЕМетоды проведения аттестационныхиспытаний31При проведении аттестационных испытаний могутприменяться следующие методы проверок и испытаний:●оэкспертно-документальный метод;●оэкспертно-инструментальныйметод(проверкафункций или комплекса функций защиты информации отНСД с помощью тестирующих средств, а также путемпробного запуска средств защиты информации от НСД инаблюдения за их выполнением);●ометод «взлома» системы защиты информации;●оизмерение и оценка уровней защищенности дляотдельных технических средств и каналов утечкиинформации (при необходимости).7532Оформление результатов аттестацииВиды отчётных документов:Заключение по результатам аттестационных испытаний, с выводамиаттестационной комиссии о соответствии или несоответствии ОИустановленным требованиям.Протоколы испытаний (эффективности защиты ОИ от утечкиинформации по техническим каналам и АС от НСД)Аттестат соответствия ОИ требованиям безопасностиинформации(оформляется в соответствии с приложениями Д и Е СТР-К)Примерная форма Аттестата соответствия АСУТВЕРЖДАЮ33(должность руководителя органа по аттестации)АТТЕСТАТ СООТВЕТСТВИЯтребованиям по безопасности информации________________________________________"Ф.И.О." ________ 20__ г.(указывается наименование автоматизированной системы)м.п.№ _____Выдан “___” ________ 20__г.(дата)1.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
