- •1.Этапы построения Комплексной системы защиты информации
- •2. Субъекты и объекты ксзи
- •3.Порядок проведения аттестации и контроля объектов информатизации
- •4.Организационная структура системы аттестации объектов информатизации по требованиям безопасности
- •5. Назначение аттестации объектов информатизации
- •6. Основные руководящие документы фстэк России по аттестации объектов информатизации
- •Фз «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-фз;
- •7. Права, обязанности и ответственность органа по аттестации Права органа по аттестации
- •Обязанности органа по аттестации
- •Ответственность органа по аттестации
- •8. Исходные данные по аттестуемому объекту информатизации
- •9. Офоpмление, регистрация и выдача "Аттестата соответствия".
- •10. Действия в случае изменения условий и технологии обработки защищаемой информации
- •11.Требования к нормативным и методическим документам по аттестации объектов информатизации
- •12.Каналы утечки информации, обрабатываемой в овт
- •13.Разрешительные документы, необходимые для проведения работ по аттестации ои
- •14.Методы и средства защиты информации в овт от утечки по техническим каналам
- •15.Мероприятия по защите информации на ои
- •17.Каналы утечки речевой информации в вп
- •19.Структура программы проведения аттестационных испытаний ои
- •20.Классификация автоматизированных систем в составе объектов вычислительной техники
- •21.Категорирование объектов информатизации
- •22.Подбор средств защиты информации от несанкционированного доступа
- •23.Организация защиты пэвм от несанкционированного доступа
- •24.Методы и средства защиты от несанкционированного доступа
- •25.Методы защиты программно-аппаратными средствами ас
- •26.Требования и рекомендации по защите информации от несанкционированного доступа
2. Субъекты и объекты ксзи
Субъекты КСЗИ
В процесс создания КСЗИ вовлекаются следующие стороны: Заказчик: организация, для которой осуществляется построение КСЗИ; Исполнитель: организация, осуществляющая мероприятия по построению КСЗИ; Организатор экспертизы: организация, осуществляющая государственную экспертизу КСЗИ;
Подрядчик: организация, привлекаемая в случае необходимости Заказчиком или Исполнителем для выполнения некоторых работ по созданию КСЗИ.
Объекты защиты КСЗИ
Объектами защиты КСЗИ является информация в любом ее виде и форме представления.
Материальными носителями информации являются сигналы. По своей физической природе информационные сигналы бывают следующих видов:
• электрические; • электромагнитные; • акустические; • комбинированные.
Сигналы могут быть представлены в форме электромагнитных, механических и других видов колебаний, при этом информация, подлежащая защите, содержится в их изменяющихся параметрах.
В зависимости от природы, информационные сигналы распространяются в определенных физических средах. Среды бывают газовыми, жидкостными и твердыми.
Например: воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт и другие.
В зависимости от вида и формы представления информационных сигналов, которые циркулируют в информационно-телекоммуникационной системе (ИТС), в том числе и в автоматизированных системах (АС), при построении КСЗИ могут использоваться различные средства защиты.
3.Порядок проведения аттестации и контроля объектов информатизации
Порядок проведения аттестации объектов информатизации требованиям безопасности информации включает следующие действия:
подачу и рассмотрение заявки на аттестацию;
предварительное ознакомление с аттестуемым объектом;
испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
разработку программы и методики аттестационных испытаний;
заключение договоров на аттестацию;
проведение аттестационных испытаний объекта информатизации;
оформление, регистрацию и выдачу «Аттестата соответствия»;
осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
рассмотрение апелляций.
Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации.
Орган по аттестации в месячный срок рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.
При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.
При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работу по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
При проведении испытаний отдельных несертифицированных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации эти испытания проводятся до аттестационных испытаний объектов информатизации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.
По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программы аттестационных испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.
Программа аттестационных испытаний согласовывается с заявителем.
Этап подготовки завершается заключение договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.