- •Этапы построения ксзи
- •Субъекты и объекты ксзи
- •Порядок проведения аттестации и контроля объектов информатизации
- •Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации
- •Назначение аттестации объектов информатизации
- •6. Основные руководящие документы фстэк России по аттестации объектов информатизации
- •Основные руководящие документы фстэк России по аттестации объектов информатизации
- •Права, ответственность и обязанности органа по аттестации
- •Исходные данные по аттестуемому объекту информатизации
- •Оформление, регистрация и выдача аттестатов соответствия
- •Действия в случае изменения условий и технологии обработки защищаемой информации
- •Требования к нормативным и методическим документам по аттестации объектов информатизации
- •12. Каналы утечки информации, обрабатываемой в овт
- •Каналы утечки информации, обрабатываемой в овт
- •Разрешительные документы, необходимые для проведения работ по аттестации ои
- •14. Методы и средства защиты информации в овт от утечки по техническим каналам
- •Методы и средства защиты информации в овт от утечки по техническим каналам
- •Мероприятия по защите информации на ои
- •16. Требования к средствам защиты информации на ои
- •Требования к средствам защиты информации на ои
- •Каналы утечки речевой информации в вп
- •18. Методы и средства защиты информации в вп от утечки по техническим каналам
- •Методы и средства защиты информации в вп от утечки по техническим каналам
- •Структура программы проведения аттестационных испытаний ои
- •20. Классификация автоматизированных систем в составе объектов вычислительной техники
- •Классификация автоматизированных систем в составе объектов вычислительной техники
- •Категорирование объектов информатизации
- •Подбор средств защиты информации от несанкционированного доступа
- •Организация защиты пэвм от несанкционированного доступа
- •24. Методы и средства защиты от несанкционированного доступа
- •Методы и средства защиты от несанкционированного доступа
- •Методы защиты программно-аппаратными средствами ас
- •Требования и рекомендации по защите информации от несанкционированного доступа
Назначение аттестации объектов информатизации
6. Основные руководящие документы фстэк России по аттестации объектов информатизации
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
Обязательной аттестации подлежат:
-объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну;
-объекты информатизации, предназначенные для управления экологически опасными объектами;
-объекты, предназначенные для ведения секретных переговоров;
- объекты, предназначенные для обработки и обсуждения конфиденциальной информации.
В остальных случаях аттестация носит добровольный характер и может осуществляться по желанию заказчика или владельца объекта информатизации при наличии юридически закрепленного его согласия выполнять требования Положения.
Основные руководящие документы фстэк России по аттестации объектов информатизации
ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ;
Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено Председателем Гостехкомиссии России 25.11.94 г.;
Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное приказом председателя Гостехкомиссии России от 5 января 1996 г. № 3;
Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации, утвержденное Председателем Гостехкомиссии России 25.11.94 года;
Специальные требования и рекомендации по технической защите конфиденциальной информации, утверждены решением Коллегии Гостехкомиссии России от 02.03.01 г. № 7.2;
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации РД Гостехкомиссии России, утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г.
Права, ответственность и обязанности органа по аттестации
Права органа по аттестации
привлекать в порядке, определяемом в Положении о конкретном органе, для работы в аттестационных комиссиях наиболее компетентных специалистов;
устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые в Положении о конкретном органе;
отказывать заявителю в аттестации объекта информатизации, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации;
участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатизации;
лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
Ответственность органа по аттестации
Орган по аттестации несет ответственность за:
соответствие проведенных им аттестационных испытаний требованиям стандартов и иных НМД по безопасности информации, а также достоверность результатов;
полноту и качество выполнения функций и обязанностей, возложенных на него;
формирование и квалификацию аттестационных комиссий;
соблюдение требований НМД, предъявляемых к порядку проведения аттестации;
соблюдение установленных сроков и условий проведения аттестации;
обеспечение сохранности государственной тайны и коммерческой тайны заявителя;
соблюдение действующего законодательства.
Обязанности органа по аттестации
соблюдать в полном объеме все правила и порядок сертификации и аттестации;
выдавать или признавать сертификаты соответствия;
при введении новых требований информировать изготовителя в течение месяца о сроках и порядке ее введения, оказывать содействие в проведении работы по сертификации в соответствии с новыми нормами;
информировать ФСТЭК России обо всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии;
вести учет всех предъявляемых рекламаций и информировать об этом ФСТЭК России;
в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатизации;
обеспечивать полноту и объективность проведения аттестации;
обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации;
вести информационную базу аттестованных этим органом объектов;
представлять в государственные органы по сертификации и аттестации информацию о результатах аттестации, а также "Аттестаты соответствия" для их регистрации;
допускать представителей контрольных органов для осуществления надзора за аттестацией.