ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12644
Скачиваний: 26
321
•проведение испытаний отдельных средств и систем защиты информации на
аттестуемом объекте информатизации с помощью специальной контрольной
аппаратуры и тестовых средств;
•проведение испытаний отдельных средств и систем информации в
испытательных центрах (лабораториях) по сертификации средств защиты
информации по требованиям безопасности информации;
•проведение
комплексных
аттестационных
испытаний
объекта
информатизации в реальных условиях эксплуатации;
•анализ
результатов
экспертного
обследования
и
комплексных
аттестационных испытаний объекта и утверждение заключения по
результатам аттестации.
Органы по аттестации аккредитуются федеральным органом по
сертификации и аттестации. Правила аккредитации определяются
действующим в системе "Положением об аккредитации испытательных
лабораторий и органов по сертификации средств информации по
требованиям безопасности информации" для органов по сертификации [62].
Федеральный орган по аттестации может передавать на аккредитацию
отраслевых (ведомственных) органов по аттестации другим органам
государственной власти [62].
Расходы по проведению всех работ и услуг по обязательной и добровольной
аттестации объектов информатизации оплачивают заявители [62].
Оплата работ по обязательной аттестации производится в соответствии с
договором по утвержденным расценкам в порядке, установленном
федеральным органом по сертификации и аттестации в пределах его
компетенции, по согласованию с Министерством финансов Российской
Федерации, а при их отсутствии - по договорной цене [62].
Расходы по проведению всех видов работ и услуг по аттестации объектов
информатизации оплачивают заявители за счет средств, выделенных на
разработку (доработку) и введение в действие защищаемого объекта
информатизации [62].
Органы по аттестации объектов информатизации несут ответственность за
выполнение возложенных на них функций, обеспечение сохранности
государственных и коммерческих секретов, а также за соблюдение авторских
прав разработчиков аттестуемых объектов информатизации и их компонент
[62].
Организационную
структуру
системы
аттестации
объектов
информатизации
образуют [62]:
•федеральный орган по сертификации средств и аттестации объектов
информатизации по требованиям безопасности информации;
322
•органы по аттестации объектов информатизации по требованиям
безопасности информации; • испытательные центры (лаборатории) по
сертификации продукции по требованиям безопасности информации;
•заявители (заказчики, владельцы, разработчики аттестуемых объектов
информатизации).
Федеральный орган по сертификации и аттестации
осуществляет
следующие функции [62]: • организует обязательную аттестацию объектов
информатизации;
•создает системы аттестации объектов информатизации и устанавливает
правила для проведения аттестации в этих системах;
•устанавливает правила аккредитации и выдачи лицензий на проведение
работ по обязательной аттестации;
•организует, финансирует разработку и утверждает нормативные и
методические документы по аттестации объектов информатизации;
•аккредитует органы по аттестации объектов информатизации и выдает им
лицензии на проведение определенных видов работ;
•осуществляет государственный контроль и надзор за соблюдением правил
аттестации и эксплуатацией аттестованных объектов информатизации;
•рассматривает апелляции, возникающие в процессе аттестации объектов
информатизации и контроля за эксплуатацией аттестованных объектов
информатизации;
•организует периодическую публикацию информации по функционированию
системы аттестации объектов по требованиям безопасности информации.
Органы по аттестации объектов аккредитуются федеральным органом по
сертификации и аттестации и получают от него лицензию на проведение
аттестации объектов информатизации [62].
Такими органами могут быть отраслевые и региональные учреждения,
предприятия и организации по защите информации, специальные центры
Гостехкомиссии России.
Органы по аттестации
[62]:
•аттестуют объекты информатизации и выдают "Аттестаты соответствия";
•осуществляют контроль за эксплуатацией аттестованных объектов
информатизации и безопасностью информации, циркулирующей на них;
•отменяют и приостанавливают действие выданных этим органом
"Аттестатов соответствия"; • формируют фонд нормативной и
методической документации, необходимой для аттестации конкретных
типов объектов информатизации, участвуют в их разработке;
•ведут информационную базу аттестованных этим органом объектов
информатизации;
323
•осуществляют взаимодействие с органом по сертификации и аттестации и
ежеквартально информируют его о своей деятельности в области аттестации.
Испытательные центры (лаборатории)
по сертификации продукции по
требованиям безопасности информации по заказам заявителей проводят
испытания несертифицированной продукции, используемой на объекте
информатизации, подлежащем обязательной аттестации, в соответствии с
"Положением о сертификации средств защиты информации по требованиям
безопасности информации" [62].
Заявители
[62]:
•проводят подготовку объекта информатизации аттестации путем
необходимых организационно-технических мероприятий по защите
информации;
•привлекают на договорной основе органы по аттестации для организации и
проведения аттестации объекта информатизации;
•педоставляют органам по аттестации необходимые документы и условия
проведения аттестации;
•привлекают, в необходимых случаях для проведения испытаний
несертифицированных средств защиты информации, используемых на
аттестуемом объекте информатизации, испытательные центры (лаборатории)
по сертификации;
•осуществляют эксплуатацию объекта информатизации в соответствии с
условиями и требованиями, установленными в "Аттестате соответствия";
•извещают орган по аттестации, выдавший "Аттестат соответствия", о всех
изменениях в информационных технологиях, составе и размещении средств и
систем информатизации, условиях их эксплуатации, которые могут повлиять
на эффективность мер и средств информации (перечень характеристик,
определяющих безопасность информации, об изменениях которых требуется
обязательно извещать орган по аттестации, приводится в "Аттестате
соответствия");
•предоставляют необходимые документы и условия для осуществления
контроля и надзора за эксплуатацией объекта информатизации, прошедшего
обязательную аттестацию.
Порядок проведения аттестации объектов информатизации требованиям
безопасности информации включает следующие действия [62]:
•подачу и рассмотрение на аттестацию;
•предварительное ознакомление с аттестуемым объектом;
•испытание несертифицированных средств и систем защиты информации,
используемых на аттестуемом объекте (при необходимости);
•разработку программы и методики аттестационных испытаний;
•заключение договоров на аттестацию;
324
•проведение аттестационных испытаний объекта информатизации;
•оформление, регистрацию и выдачу "Аттестата соответствия";
•осуществление государственного контроля и надзора, инспекционного
контроля за проведением аттестации и эксплуатацией аттестованных
объектов информатизации;
•рассмотрение апелляций.
Заявитель для получения "Аттестата соответствия" заблаговременно
направляет в орган по аттестации заявку на проведение аттестации с
исходными данными по аттестуемому объекту информатизации [62].
Орган по аттестации в месячный срок рассматривает заявку и на основании
исходных данных выбирает схему аттестации, согласовывает ее с заявителем
и принимает решение о проведении аттестации объекта информатизации
[62].
При недостаточности исходных данных по аттестуемому объекту
информатизации
в
схему
аттестации
включаются
работы
по
предварительному ознакомлению с аттестуемым объектом, проводимые до
этапа аттестационных испытаний [62].
При
использовании
на
аттестуемом
объекте
информатизации
несертифицированных средств и систем защиты информации в схему
аттестации могут быть включены работы по их испытаниям в испытательных
центрах (лабораториях) по сертификации средств защиты информации по
требованиям безопасности информации или непосредственно на аттестуемом
объекте информатизации с помощью специальной контрольной аппаратуры и
тестовых средств [62].
При проведении испытаний отдельных несертифицированных средств и
систем защиты информации в испытательных центрах (лабораториях) по
сертификации эти испытания проводятся до аттестационных испытаний
объектов информатизации. В этом случае заявителем к началу
аттестационных испытаний должны быть представлены заключения органов
по сертификации средств защиты информации по требованиям безопасности
информации и сертификаты [62].
По результатам рассмотрения заявки и анализа исходных данных, а также
предварительного ознакомления с аттестуемым объектом органом по
аттестации разрабатываются программа аттестационных испытаний,
предусматривающая перечень работ и их продолжительность, методики
испытаний (или используются типовые методики), определяются
количественный и профессиональный состав аттестационной комиссии,
назначаемой
органом
по
аттестации
объектов
информатизации,
необходимость использования контрольной аппаратуры и тестовых средств
на аттестуемом объекте информатизации или привлечения испытательных
325
центров (лабораторий) по сертификации средств защиты информации по
требованиям безопасности информации [62].
Порядок, содержание, условия и методы испытаний для оценки
характеристик и показателей, проверяемых при аттестации, соответствия их
установленным требованиям, а также применяемые в этих целях контрольная
аппаратура и тестовые средства определяются в методиках испытаний
различных объектов информатизации [62].
Программа аттестационных испытаний согласовывается с заявителем [62].
Этап подготовки завершается заключением договора между заявителем и
органом по аттестации на проведение аттестации, заключением договоров
(контрактов) органа по аттестации с привлекаемыми экспертами и
оформлением предписания о допуске аттестационной комиссии к
проведению аттестации [62].
Оплата работы членов аттестационной комиссии производится органом по
аттестации в соответствии с заключенными трудовыми договорами
(контрактами) за счет финансовых средств от заключаемых договоров на
аттестацию объектов информатизации.
На этапе аттестационных испытаний объекта информатизации [62]:
•осуществляется
анализ
организационной
структуры
объекта
информатизации, информационных потоков, состава и структуры комплекса
технических средств и программного обеспечения, системы защиты
информации на объекте, разработанной документации и ее соответствия
требованиях нормативной документации по защите информации;
•определяется
правильность
категорирования
объектов
ЭBT
и
классификации АС (при аттестации автоматизированных систем), выбора и
применения сертифицированных и несертифицированных средств и систем
защиты информации;
•проводятся испытания несертифицированных средств и систем защиты
информации на аттестуемом объекте или анализ результатов их испытаний в
испытательных центрах (лабораториях) по сертификации;
•проверяется уровень подготовки кадров и распределение ответственности
персонала за обеспечение выполнения требований по безопасности
информации;
•проводятся
комплексные
аттестационные
испытания
объекта
информатизации в реальных условиях эксплуатации путем проверки
фактического выполнения установленных требований на различных этапах
технологического процесса обработки защищаемой информации;
•оформляются протоколы испытаний и заключение по результатам
аттестации с конкретными рекомендациями по устранению допущенных
нарушений, приведению системы защиты объекта информатизации в