шпора1
.pdf
Примеры обязательной сертификации:
−Сертификация пищевых продуктов на соответствие ГОСТам.
−Сертификация лекарственных средств.
−Сертификация оборудования, связанного с электробезопасностью. Добровольная сертификация — это процесс, который производители или поставщики проходят по собственной инициативе. Это позволяет им подтвердить качество своей продукции или услуг, повысить конкурентоспособность и завоевать доверие потребителей.
Формы добровольной сертификации:
Добровольная сертификация: Проводится аккредитованными органами по сертификации. Результатом является выдача сертификата соответствия.
Добровольное подтверждение соответствия: Производитель самостоятельно подтверждает соответствие своих товаров или услуг установленным требованиям.
Преимущества добровольной сертификации
Если устройство не вошло в список для обязательной сертификации, предприниматель может пройти добровольную оценку соответствия.
Процедура позволит:
•повысить имидж предприятия;
•участвовать в государственных тендерах;
•сотрудничать с крупными заказчиками;
•увеличить оборот продукции и прибыльность бизнес
61. Принципы и порядок сертификации.
Участниками системы сертификации ФСТЭК России являются:
•федеральный орган по сертификации;
•организации, аккредитованные ФСТЭК России в качестве органа по сертификации;
•организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории;
•изготовители средств защиты информации.
Система сертификации ФСТЭК
Органы по сертификации:
•осуществляют сертификацию средств защиты информации;
• оформляют сертификаты соответствия средств защиты информации требованиям по безопасности информации.
Испытательные лаборатории:
•проводят сертификационные испытания средств защиты информации
•по их результатам оформляют технические заключения и протоколы.
Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов.
Изготовители:
•разрабатывают и (или) производят средства защиты информации в соответствии с требованиями по безопасности информации.
Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну. Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.
Заявителями на осуществление сертификации являются:
•изготовители,
•федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации.
Сертификация средств защиты информации осуществляется по следующим схемам:
•для единичного образца средства защиты информации – проведение испытаний образца средства защиты информации и проверки организации его технической поддержки;
•для партии средства защиты информации – проведение испытаний выборки образцов средства защиты информации и проверки организации его технической поддержки;
•для серийного производства средства защиты информации – проведение испытаний выборки образцов средства защиты информации и проверки организации его производства и технической поддержки.
Также процедура сертификации включает в себя:
•предоставление дубликата сертификата соответствия;
•маркирование средств защиты информации;
•внесение изменений в сертифицированное средство защиты информации;
•переоформление сертификата соответствия;
•продление срока действия сертификата соответствия;
•приостановление действия сертификата соответствия;
•прекращение действия сертификата соответствия.
Подача заявки на сертификацию
Заявитель при намерении сертифицировать средства защиты информации:
1)относит планируемое к сертификации средство защиты информации к одному из типов средств защиты информации, установленных требованиями по безопасности информации и подлежащих сертификации в системе сертификации ФСТЭК России;
2)определяет требования по безопасности информации, на соответствие которым планируется проведение сертификации средства защиты информации;
3)осуществляет производство (подготовку) образца (образцов) средства защиты информации;
4)готовит конструкторскую, программную и эксплуатационную документацию на
средство защиты информации;
5)выбирает для проведения сертификационных испытаний средства защиты информации аккредитованную ФСТЭК России в соответствующей области аккредитации испытательную лабораторию, согласовывает с ней возможность и сроки проведения сертификационных испытаний.
Реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий размещается на официальном сайте ФСТЭК России в информационнотелекоммуникационной сети "Интернет".
Рекомендуемый образец заявки на сертификацию приведен в приложении № 1 Положению «ПОЛОЖЕНИЕ О СИСТЕМЕ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ» К заявке на сертификацию прилагаются следующие документы:
•технические условия в двух экземплярах;
•техническое задание в двух экземплярах (в случае, если планируется проведение сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании);
•задание по безопасности в двух экземплярах (в случае необходимости его разработки в соответствии с требованиями по безопасности информации);
•формуляр (паспорт) на средство защиты информации;
•договор с лицом (лицами), обладающим (обладающими) исключительными правами на средство защиты информации, о предоставлении заявителю права на сертификацию, эксплуатацию или производство средства защиты информации, а также на техническую поддержку средства защиты информации (прилагается в случае, если заявитель не обладает исключительными правами на средство защиты информации).
Заявка на сертификацию и прилагаемые к ней документы направляются заказным почтовым отправлением с уведомлением о вручении или представляются непосредственно в ФСТЭК России.
По итогам рассмотрения заявки на сертификацию и прилагаемых к ней документов в проведении сертификации средства защиты информации может быть отказано.
Основаниями для отказа в проведении сертификации средства защиты информации являются:
•несоответствие назначения средства защиты информации компетенции ФСТЭК России;
•отсутствие у заявителя и (или) изготовителя лицензии ФСТЭК России случае, если наличие такой лицензии предусмотрено законодательством Российской Федерации;
•наличие в заявке на сертификацию и (или) прилагаемых к ней документах недостоверных сведений;
•наличие в банке данных угроз безопасности информации сведений об уязвимостях средства защиты информации или поступивших в ФСТЭК России от уполномоченных органов сведений об угрозах безопасности, связанных с применением средства защиты информации.
Уведомление об отказе в проведении сертификации средства защиты информации или уведомление о необходимости доработки заявки на сертификацию и (или) прилагаемых к ней документов в срок не более трех дней со дня принятия решения подписывается уполномоченным должностным лицом ФСТЭК России и вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.
Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 30 календарных дней со дня получения программы и методики сертификационных испытаний.
Срок проведения оценки материалов сертификационных испытаний устанавливается договором между заявителем и органом по сертификации и не должен превышать 45 календарных дней с даты поступления в орган по сертификации всех документов.
По результатам оценки материалов сертификационных испытаний средства защиты информации орган по сертификации оформляет экспертное заключение o возможности (невозможности) выдачи сертификата соответствия.
62. Сроки действия сертификата.
Срок действия сертификата соответствия не может превышать 5 лет.
Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.
Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.
Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.
По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.
63. Аттестация объектов информатизации. Основные нормативные и методические документы по аттестации.
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ Место процесса аттестации объектов информатизации в проблеме информационной безопасности Сертификация
деятельность по подтверждению соответствия СЗИ требованиям безопасности информации. Эти требования определяются государственными стандартами или иными нормативными документами.
Аттестация комплекс организационно-технических мероприятий, в результате которых
подтверждается, что ОИ соответствует требованиям стандартов или иных нормативных документов по безопасности информации.
Взаимосвязь сертификации и аттестации Общее в аттестации и сертификации
•Похожие формулировки;
•Проверяется соответствие определенных характеристик определенным требованиям, которые установлены НМД;
•Используются в большинстве случаев одни и те же НМД.
Различия в аттестации и сертификации
•Процессы сертификации и аттестации объектов информатизации проводятся на их различных этапы жизненного цикла:
o сертификация связана с этапом производства СЗИ и такой категорией, как продукция, предназначенная для реализации;
o аттестация – с этапом эксплуатации и такой категорией, как объект информатизации.
•При аттестации оцениваются как отдельные СЗИ, так и система защиты в целом, включая организационные меры, а также конкретные условия эксплуатации;
•Процессы сертификации и аттестации – самостоятельные процессы отличающихся процедурами, методологией, объектами и конечными результатами.
Аттестация объектов информатизации – это комплекс мероприятий для подтверждения соответствие системы защиты объекта требованиям безопасности информации, закрепленных в законодательстве или отраслевых стандартах.
Цель аттестации – оценить и подтвердить соответствие системы защиты информации требованиям безопасности данных. Эти меры позволяют выявлять слабые места, защищать информацию от утечки и несанкционированного доступа и дает право обрабатывать конфиденциальную информацию.
Согласно ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы,
воздействующие на информацию» ФСТЭК дает следующее определение термину объект информатизации:
Объект информатизации – это «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.» Нормативная база по аттестации ОИ
•Приказ ФСТЭК от 29 апреля 2021 г. № 77 «ОБ УТВЕРЖДЕНИИ ПОРЯДКА ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ»;
•ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
•ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики испытаний»;
•«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), Гостехкомиссия России, 30.08.2002;
•Руководящие документы по защите информации от НСД (Гостехкомиссия России).
64.Объекты информатизации для проведения аттестации.
Аттестация объектов информатизации осуществляется:
•федеральными органами государственной власти;
•органами государственной власти субъектов Российской Федерации;
•органами местного самоуправления,
•организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации,
•а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации.
Также порядок применяется также для аттестации следующих объектов информатизации, для которых владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:
•значимых объектов критической информационной инфраструктуры Российской Федерации;
•информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);
•автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Что подлежит аттестации
Порядок (Приказ ФСЭК № 77) распространяется на аттестацию на соответствие требованиям по защите информации следующих объектов информатизации:
•государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;
•информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
•помещений, предназначенных для ведения конфиденциальных переговоров.
65.Порядок проведения аттестации.
Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации.
Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.
Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (далее – орган по аттестации).
По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с Порядком (Приказ ФСТЭК № 77) структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при наличии необходимых для проведения работ по аттестации:
•а) средств, предназначенных для контроля эффективности защиты информации от несанкционированного доступа (для аттестации информационных, автоматизированных систем управления, информационно-телекоммуникационных сетей (далее – информационные (автоматизированные) системы), а также контрольно-измерительного, производственного и испытательного оборудования (для аттестации защищаемых помещений);
•б) нормативных правовых актов и методических документов ФСТЭК России по вопросам технической защиты конфиденциальной информации, разработанных и утвержденных ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2020, № 35, ст. 5554), национальных стандартов в области технической защиты информации;
•в) работников, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.
Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и
не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации (далее – эксперты органа по аттестации).
Назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается.
Эксперты органа по аттестации проводят:
•анализ документов, представляемых владельцем объекта информатизации;
•аттестационные испытания объекта информатизации в соответствии с требованиями по технической защите информации.
Срок проведения работ по аттестации объекта информатизации устанавливается владельцем объекта информатизации по согласованию с органом по аттестации, но не может превышать четырех месяцев.
Для проведения работ по аттестации владелец объекта информатизации представляет в орган по аттестации следующие документы или их копии:
а) технический паспорт на объект информатизации по форме согласно приложениям № 1, 2 к Порядку; б) акт классификации информационной (автоматизированной) системы по форме
согласно приложению № 3 к настоящему Порядку, акт категорирования значимого объекта критической информационной инфраструктуры Российской Федерации; в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации);
г) техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации д) проектную документацию на систему защиты информации объекта информатизации (в
случае ее разработки в ходе создания объекта информатизации); с) эксплуатационную документацию на систему защиты информации объекта информатизации и применяемые средства защиты информации;
ж) организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее документы по защите информации владельца объекта информатизации); з) документы, содержащие результаты анализа уязвимостей объекта информатизации и
приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).
Аттестационные испытания включают следующие мероприятия и работы:
а) оценку соответствия технического паспорта объекта информатизации, акта классификации информационной категорирования значимого объекта, состава и содержания эксплуатационной (автоматизированной) системы, акта документации на систему защиты информации объекта информатизации и документов по защите информации владельца объекта информатизации требованиям по защите информации и настоящему Порядку;
б) проверку наличия и согласования с ФСТЭК России модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем); в) обследование объекта информатизации на предмет оценки соответствия объекта информатизации и условий его эксплуатации требованиям по защите информации; г) проверку наличия документов, содержащих результаты анализа уязвимостей,
проведенного на этапах предварительных или приемочных испытаний системы защиты информации объекта информатизации; д) проверку наличия сведений о средствах защиты информации, установленных на
объекте информатизации, в реестре сертифицированных средств защиты информации, ведение которого осуществляет ФСТЭК России; е) проверку наличия у владельца ОИ работников, ответственных за обеспечение ЗИ в ходе
эксплуатации объекта информатизации, в том числе за проведение оценки угроз безопасности информации, управление (администрирование) системой защиты информации (администраторов безопасности), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защиты информации, а также проверку достаточности установленных для них обязанностей в соответствии с требованиями по защите информации; ж) оценку уровня знаний и умений работников владельца объекта информатизации,
ответственных за обеспечение защиты информации, в соответствии с установленными для них обязанностями в эксплуатационной документации и документах по защите информации владельца объекта информатизации; з) оценку соответствия принятых на объекте информатизации организационных мер
требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации; и) оценку соответствия принятых на объекте информатизации технических мер по защите
информации от несанкционированного доступа (воздействия на информацию) требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации; к) оценку эффективности защиты (защищенности) информации от утечки по техническим каналам (только для защищаемых помещений).
По результатам испытаний, органом по аттестации наряду с заключением по результатам аттестационных испытаний оформляются протоколы аттестационных испытаний объекта информатизации.
Аттестат соответствия оформляется органом по аттестации по форме согласно приложению № 4 к настоящему Порядку.
ПОРЯДОК АТТЕСТАЦИИ
Т.О. процесс аттестации можно разделить на шесть этапов:
1.Орган по аттестации назначает аттестационную комиссию;
2.Владелец объекта информатизации предоставляет органу по аттестации всю необходимую документацию;
3.Аттестационная комиссия изучает документы;
4.Разрабатывается программа и методики аттестационных испытаний, согласовывается с владельцем объекта информатизации;
5.Проводятся аттестационные испытания;
6.По результатам испытаний выдаётся аттестат соответствия».
Аттестационные испытания могут завершаться без выдачи аттестата соответствия в том случае, если на объекте информатизации выявлены существенные недостатки в области защиты информации, которые невозможно устранить в рамках проведения аттестационных мероприятий.
В такой ситуации выдаётся отрицательное заключение работы прекращаются.
Если владелец объекта информатизации не согласен с выданным заключением, он может направить претензию во ФСТЭК России. Далее регулятор рассматривает жалобу и делает вывод, легитимно ли решение органа по аттестации.
Владелец аттестованного объекта информатизации обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации в ходе эксплуатации аттестованного объекта информатизации и проведения периодического контроля уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте на объект информатизации.
Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).
66.ФСТЭК и его роль в обеспечении информационной безопасности в РФ. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации Указом Президента РФ от 25 ноября 2017 г. № 569 определена ФСТЭК России
↓↓↓
1)вносит предложения о совершенствовании нормативно-правового регулирования в области обеспечения безопасности КИИ;
2)утверждает порядок ведения реестра значимых объектов КИИ;
3)утверждает форму направления сведений о результатах присвоения объектам КИИ одной из категорий значимости;
4)устанавливает требования по обеспечению безопасности значимых объектов КИИ;
5)осуществляет государственный контроль в области обеспечения безопасности значимых объектов КИИ, а также утверждает форму акта проверки.
67.Область применения ФЗ-187
РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН
26 июля 2017 г. № 187-ФЗ О безопасности критической информационной инфраструктуры Российской Федерации
Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак
68. Понятие критической информационной инфраструктуры
Критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;