125 Кібербезпека / 4 Курс / 4.1_Системи технічного захисту інформації / Лекції СТЗІ

Порядок проведення ліцензування підприємств-заявників в області захисту інформації включає наступні дії:

-проведення експертизи заявника;

-подання, розгляд заяви на ліцензування, оформлення і видачу ліцензій;

-продовження терміну дії ліцензій;

-облік ліцензіатів і інформування у сфері ліцензування.

Експертиза підприємства-заявника здійснюється експертною комісією відповідного ліцензійного центру на підставі заявки підприємства, що містить види діяльності, що ліцензуються, і переліки необхідних для їх забезпечення виробничого і випробувального устаткування, нормативної і методичної документації, наявної на підприємстві. Результатом роботи комісії є експертний висновок, в якому дається оцінка можливості заявника здійснювати роботи в обраному виді діяльності по захисту інформації.

Укладення затверджується керівником відповідного ліцензійного центру і діє впродовж трьох місяців з дня його видачі.

Експертиза проводиться на основі господарського договору між ліцензійним центром і підприємством-заявником. Оплата роботи членів експертної комісії проводиться ліцензійним центром.

Заява на отримання ліцензії подається в державний орган по ліцензуванню і береться до розгляду тільки за наявності усіх необхідних документів.

Орган, що видає ліцензію, має право провести перевірку достовірності відомостей, що представляються.

Оформлення ліцензії і її видача (повідомлення про відмову у видачі) робиться в тридцятиденний термін з дня подання заяви з усіма необхідними документами.

Для розгляду спірних питань, що виникають при експертизі підприємства-заявника, може проводитися додаткова незалежна експертиза. Склад експертної комісії формується державним органом по ліцензуванню за узгодженням з підприємством-заявником. Укладення експертної комісії є визначальний для ухвалення відповідного рішення у зв'язку із заявою про видачу ліцензії.

Час, витрачений на експертизу, в строк, встановлений для видачі ліцензії, не включається.

Фінансування витрат за проведення додаткової незалежної експертизи несе сторона, визнана винною в конфлікті.

Дії органів, що здійснюють ліцензування, можуть бути оскаржені в судових органах в установленому порядку.

Органи, що видали ліцензію, призупиняють або припиняють дію ліцензії достроково у випадках:

-за заявою власника ліцензії;

-ліквідації юридичної особи або припинення дії документу про індивідуальну трудову діяльність;

-недотримання власником ліцензії умов по підтримці нормативної бази і технічної оснащеності на рівні вимог по забезпеченню безпеки інформації;

-несполучення у встановлені терміни органу, що видав ліцензію, інформації, передбаченій Положенням.

Про призупинення або припинення дії ліцензії її власник інформується письмово органом, що видав ліцензію, не пізніше за п'ять днів з дня ухвалення рішення. У десятиденний термін після отримання повідомлення власник ліцензії зобов'язаний здати її в орган, що видав ліцензію.

Облік ліцензіатів ведеться державними органами по ліцензуванню на підставі відомостей, що поступають від ліцензійних центрів.

Порядок сертифікації засобів захисту інформації в встановлює Положення про сертифікація засобів захисту інформації.

Технічні, криптографічні, програмні і інші засоби, призначені для захисту відомостей, що становлять державну таємницю, засоби, в яких вони реалізовані, а також засоби контролю ефективності захисту інформації є засобами захисту інформації.

Вказані засоби підлягають обов'язковій сертифікації, яка проводиться у рамках систем сертифікації засобів захисту інформації.

Система сертифікації засобів захисту інформації є сукупністю учасників сертифікації, що здійснюють її за встановленими правилами (далі іменується - система сертифікації).

Сертифікація засобів захисту інформації здійснюється на підставі вимог державних стандартів, нормативних документів, що стверджуються державними органами з сертифікації в межах їх компетенції.

У кожній системі сертифікації розробляються і узгоджуються з Міжвідомчою комісією положення про цю систему сертифікації, а також перелік засобів захисту інформації, що підлягають сертифікації, і вимоги, якою ці засоби повинні задовольняти.

Учасниками сертифікації засобів захисту інформації є:

-центральний орган системи сертифікації (створюваний при необхідності) - орган, що очолює систему сертифікації однорідної продукції;

-органи з сертифікації засобів захисту інформації - органи, що проводять сертифікацію певної продукції;

-випробувальні лабораторії - лабораторії, що проводять сертифікаційні випробування (окремі види цих випробувань) певної продукції;

-виготівники - продавці, виконавці продукції.

Центральні органи системи сертифікації, органи з сертифікацій засобів захисту інформації і випробувальних лабораторій проходять акредитацію на право проведення робіт по сертифікації, в ході якої федеральні органи з сертифікації визначають можливості виконання цими органами і лабораторіями робіт з сертифікації засобів захисту інформації і оформляють офіційний дозвіл на право проведення вказаний робота.

Акредитація проводиться тільки за наявності у вказаних органів і лабораторій ліцензії на відповідні види діяльності.

Орган з сертифікації в межах своєї компетенції:

-створює системи сертифікації; здійснює вибір способу підтвердження відповідності засобів захисту інформації вимогам нормативних документів;

-встановлює правила акредитації центральних органів систем сертифікації, органів з сертифікації засобів захисту інформації і випробувальних лабораторій;

-визначає центральний орган для кожної системи сертифікації;

-видає сертифікати і ліцензії на застосування знаку відповідності;

-веде державний реєстр учасників сертифікації і сертифікованих засобів захисту інформації;

-здійснює державний контроль і нагляд за дотриманням учасниками сертифікації правил сертифікації і за сертифікованими засобами захисту інформації, а також встановлює порядок інспекційного контролю;

-розглядає апеляції з питань сертифікації;

-представляє на державну реєстрацію системи сертифікації і знак відповідності;

-встановлює порядок визнання зарубіжних сертифікатів;

-призупиняє або відміняє дію виданих сертифікатів.

Центральний орган системи сертифікації:

-організовує роботи по формуванню системи сертифікації і керівництво нею, координує діяльність органів з сертифікації засобів захисту інформації і випробувальних лабораторій, що входять в систему сертифікації;

-веде облік органів, що входять в систему сертифікації, з сертифікації засобів захисту інформації і випробувальних лабораторій, виданих і анулюваних сертифікатів і ліцензій на застосування знаку відповідності;

-забезпечує учасників сертифікації інформацією про діяльність системи сертифікації.

За відсутності в системі сертифікації центрального органу його функції виконуються федеральним органом з сертифікації.

Органи з сертифікації засобів захисту інформації:

-сертифікують засоби захисту інформації, видають сертифікати і ліцензії на застосування знаку відповідності з представленням копій у федеральні органи з сертифікації і ведуть їх облік;

-призупиняють або відміняють дію виданих ними сертифікатів і ліцензій на застосування знаку відповідності;

-приймають рішення про проведення повторної сертифікації при змінах в технології виготовлення і конструкції (складі) сертифікованих засобів захисту інформації;

-формують фонд нормативних документів, необхідних для сертифікації;

-представляють виготівникам на їх вимогу необхідну інформацію в межах своєї компетенції.

Випробувальні лабораторії проводять сертифікаційні випробування засобів захисту інформації і за їх результатами оформляють висновки і протоколи, які направляють у відповідний орган з сертифікації засобів захисту інформації і виготівників. Випробувальні лабораторії несуть відповідальність за повноту випробувань засобів захисту інформації і достовірність їх результатів.

Виготівники:

-роблять (реалізують) засоби захисту інформації тільки за наявності сертифікату;

-сповіщають орган з сертифікації, що проводив сертифікацію, про зміни в технології виготовлення і конструкції (складі) сертифікованих засобів захисту інформації;

-маркірують сертифіковані засоби захисту інформації знаком відповідності в порядку, встановленому для цієї системи сертифікації;

-вказують в супровідній технічній документації зведення про сертифікацію і нормативні документи, яким засоби захисту інформації повинні відповідати, а також забезпечують доведення цієї інформації до споживача;

-застосовують сертифікат і знак відповідності, керуючись законодавством і правилами, встановленими для цієї системи сертифікації;

-забезпечують відповідність засобів захисту інформації вимогам нормативних документів по захисту інформації;

-забезпечують безперешкодне виконання своїх повноважень посадовцями органів, що здійснюють сертифікацію, і контроль за сертифікованими засобами захисту інформації;

-припиняють реалізацію засобів захисту інформації при невідповідності їх вимогам нормативних документів або після закінчення терміну дії сертифікату, а також у разі призупинення дії сертифікату або його відміни.

Виготівники повинні мати ліцензію на відповідний вид діяльності.

Виготівник для отримання сертифікату направляє в орган з сертифікації засобів захисту інформації заявку на проведення сертифікації, до якої можуть бути прикладені схема проведення сертифікації, державні стандарти і інші нормативні і методичні документи, вимогам яких повинні відповідати засоби захисту інформації, що сертифікуються.

Орган з сертифікації засобів захисту інформації в місячний термін після отримання заявки направляє виготівникові рішення про проведення сертифікації з вказівкою схеми її проведення, випробувальної лабораторії, що здійснює випробування засобів захисту інформації, і нормативних документів, вимогам яких повинні відповідати засоби захисту інформації, що сертифікуються, а при необхідності - рішення про проведення і термін попередній перевірка виробництво засіб захист інформація.

Для визнання зарубіжного сертифікату виготівник направляє його копію і заявку на визнання сертифікату у федеральний орган з сертифікації, який сповіщає виготівника про визнання сертифікату або необхідності проведення сертифікаційних випробувань в строк не пізніше за один місяць після отримання вказаних документів. У разі визнання зарубіжного сертифікату федеральний орган з сертифікації оформляє і видає виготівникові сертифікат відповідності встановленого зразка.

Сертифікація засобів захисту інформації, що імпортуються, проводиться за тими ж правилами, що і вітчизняних.

Основними схемами проведення сертифікації засобів захисту інформації є:

одиничних зразків засобів захисту інформації - проведення випробувань цих зразків на відповідність вимогам по захисту інформації;

для серійного виробництва засобів захисту інформації - проведення типових випробувань зразків засобів захисту інформації на відповідність вимогам по захисту інформації і подальший інспекційний контроль за стабільністю характеристик сертифікованих засобів захисту інформації, що визначають виконання цих вимог.

Крім того, допускається попередня перевірка виробництва за спеціально розробленою програмою. Термін дії сертифікату не може перевищувати п'яти років.

Випробування засобів захисту інформації, що сертифікуються, проводяться на зразках, технологія виготовлення і конструкція (склад) яких повинні відповідати зразкам, що поставляються споживачеві (замовникові).

В окремих випадках за узгодженням з органом з сертифікації засобів захисту інформації допускається проведення випробувань на випробувальній базі виготівника. При цьому орган з сертифікації засобів захисту інформації

визначає умови, необхідні для забезпечення об'єктивності результатів випробувань.

У разі відсутності до початку проведення сертифікації акредитованих випробувальних лабораторій орган з сертифікації засобів захисту інформації визначає можливість, місце і умови проведення випробувань, що забезпечують об'єктивність їх результатів.

Терміни проведення випробувань встановлюються договором між виготівником і випробувальною лабораторією.

Виготівникові має бути надана можливість ознайомитися з умовами випробувань і зберігання зразків засобів захисту інформації у випробувальній лабораторії.

При невідповідності результатів випробувань вимогам нормативних і методичних документів по захисту інформації орган з сертифікації засобів захисту інформації приймає рішення про відмову у видачі сертифікату і направляє виготівникові мотивоване укладення.

У разі незгоди з відмовою у видачі сертифікату виготівник має право звернутися в центральний орган системи сертифікації, федеральний орган з сертифікації або в Міжвідомчу комісію для додаткового розгляду отриманих при випробуваннях результатів.

Федеральний орган з сертифікацій і органів з сертифікації засобів захисту інформації мають право призупиняти або анулювати дію сертифікату в наступних випадках:

-зміни нормативних і методичних документів по захисту інформації в частині вимог до засобів захисту інформації, методів випробувань і контролю;

-зміни технології виготовлення, конструкції (складу), комплектності засобів захисту інформації і системи контролю їх якості;

-відмови виготівника забезпечити безперешкодне виконання своїх повноважень особами, що здійснюють державний контроль і нагляд, інспекційний контроль за сертифікацією і сертифікованими засобами захисту інформації.

Оплата робіт по сертифікації конкретних засобів захисту інформації здійснюється на підставі договорів між учасниками сертифікації.

Інспекційний контроль за сертифікованими засобами захисту інформації здійснюють органи, що проводили сертифікацію цих засобів захисту інформації.

Під об'єктами інформатизації, що атестовуються за вимогами безпеки інформації, розуміють автоматизовані системи різного рівня і призначення, системи зв'язку, відображення і розмноження, призначені для обробки і передачі інформації, що підлягає захисту(Розвідувальна інформація), разом з приміщеннями, в яких вони встановлені, а також приміщення, призначені для ведення конфіденційних переговорів. Тобто до об'єктами інформатизації відносяться об'єкти ТСПІ.

Основні принципи, організаційну структуру системи атестації об'єктів інформатизації за вимогами безпеки інформації, порядок проведення атестації, а також контролю і нагляду за атестацією і експлуатацією об'єктів інформатизації, що атестовуються, встановлює Положення по атестації об'єктів інформації за вимогами безпеки інформації (далі - Положення).

Система атестації об'єктів інформації за вимогами безпеки інформації (далі - система атестації) є складовою частиною єдиної системи обов'язкової системи сертифікації засобів захисту інформації і атестації об'єктів інформатизації за вимогами безпеки інформації і підлягає державній реєстрації у встановленому порядку.

Під атестацією об'єктів інформатизації розуміється комплекс організаційно-технічних заходів, в результаті яких за допомогою спеціального документу - "Атестата відповідності" підтверджується, що об'єкт відповідає вимогам стандартів інших нормативно-технічних документів по безпеці інформації, затверджених органом з сертифікації і атестації в межах його компетенції.

Наявність на об'єкті інформатизації діючого "Атестата відповідності" надає право обробки інформації з рівнем секретності (конфіденційності) на період часу, встановленими в "Атестаті відповідності".

Обов'язковій атестації підлягають об'єкти інформатизації, призначені для обробки інформації, що становить державну таємницю, управління екологічно небезпечними об'єктами, ведення секретних переговорів. У інших випадках атестація носить добровільний характер (добровільна атестація) і може здійснюватися за бажанням замовника або власника об'єкту інформатизації за наявності юридично закріпленої його згоди виконувати вимоги Положення.

Атестація за вимогами безпеки інформації передує початку обробки належному захисту інформації і необхідністю офіційного підтвердження ефективності комплексу використовуваних на конкретному об'єкті інформатизації заходів і засобів захисту інформації.

При атестації об'єкту інформатизації підтверджується його відповідність вимогам по захисту інформації:

-від несанкціонованого доступу, у тому числі від комп'ютерних вірусів;

-від витоку за рахунок побічних електромагнітних випромінювань і наведень при спеціальних діях на об'єкт (високочастотне і опромінення, електромагнітна і радіаційна дія);

-від витоку або дії на неї за рахунок спеціальних пристроїв, вбудованих в об'єкти інформатизації.

Атестація передбачає комплексну перевірку (атестаційні випробування) об'єкту інформатизації, що захищається, в реальних умовах експлуатації з метою оцінки відповідності використаного комплексу заходів і засобів захисту інформації необхідному рівню безпеки інформації.

Атестація проводиться органом по атестації у встановленому Положенням порядку відповідно до схеми, вибираної цим органом на етапі підготовки до атестації з наступного основного переліку робіт:

-аналіз початкових даних по об'єкту інформатизації, що атестовується;

-попереднє ознайомлення з об'єктом інформатизації, що атестовується;

-проведення експертного обстеження об'єкту інформатизації і аналіз розробленої документації за інформацією на цьому об'єкті з точки зору її відповідності вимогам нормативної і методичної документації;

-проведення випробувань окремих засобів і систем захисту інформації на об'єкті інформатизації, що атестовується, за допомогою спеціальної контрольної апаратури і тестових засобів;

-проведення випробувань окремих засобів і систем інформації у випробувальних центрах (лабораторіях) по сертифікації засобів захисту інформації за вимогами безпеки інформації;

-проведення комплексних атестаційних випробувань об'єкту інформатизації в реальних умовах експлуатації;

-аналіз результатів експертного обстеження і комплексних атестаційних випробувань об'єкту і затвердження укладення за результатами атестації.

Органи по атестації акредитуються органом з сертифікації і атестації. Правила акредитації визначаються таким, що діє в системі "Положенням про акредитацію випробувальних лабораторій і органів з сертифікації засобів інформації за вимогами безпеки інформації" для органів з сертифікації.

Орган по атестації може передавати на акредитацію галузевих (відомчих) органів по атестації іншим органам державної влади.

Витрати по проведенню усіх робіт і послуг з обов'язкової і добровільної атестації об'єктів інформатизації оплачують заявники.

Витрати по проведенню усіх видів робіт і послуг з атестації об'єктів інформатизації оплачують заявники за рахунок засобів, виділених на розробку (доопрацювання) і введення в дію об'єкту, що захищається, інформатизації.

Органи по атестації об'єктів інформатизації несуть відповідальність за виконання покладених на них функцій, забезпечення збереження державних і комерційних секретів, а також за дотримання авторських прав розробників об'єктів інформатизації і їх компонент, що атестовуються.

Організаційну структуру системи атестації об'єктів інформатизації утворюють:

-органи по атестації об'єктів інформатизації за вимогами безпеки інформації;

-випробувальні центри (лабораторії) по сертифікації продукції за вимогами безпеки інформації;

-заявники (замовники, власники, розробники об'єктів інформатизації, що атестовуються). Орган з сертифікації і атестації здійснює наступні функції:

-організовує обов'язкову атестацію об'єктів інформатизації;

-створює системи атестації об'єктів інформатизації і встановлює правила для проведення атестації в цих системах;

-встановлює правила акредитації і видачі ліцензій на проведення робіт по обов'язковій атестації;

-організовує, фінансує розробку і ухвалює нормативні і методичні документи по атестації об'єктів інформатизації;

-акредитує органи по атестації об'єктів інформатизації і видає їм ліцензії на проведення певних видів робіт;

-здійснює державний контроль і нагляд за дотриманням правил атестації і експлуатацією атестованих об'єктів інформатизації;

-розглядає апеляції, що виникають в процесі атестації об'єктів інформатизації і контролю за експлуатацією атестованих об'єктів інформатизації;

-організовує періодичну публікацію інформації по функціонуванню системи атестації об'єктів за вимогами безпеки інформації.

Органи по атестації:

-атестують об'єкти інформатизації і видають "Атестати відповідності";

-здійснюють контроль за експлуатацією атестованих об'єктів інформатизації і безпекою інформації, циркулюючої на них;

-відміняють і призупиняють дію виданих цим органом "Атестатів відповідності";

-формують фонд нормативної і методичної документації, необхідної для атестації конкретних типів об'єктів інформатизації, беруть участь в їх розробці;

-ведуть інформаційну базу атестованих цим органом об'єктів інформатизації;

-здійснюють взаємодію з органом з сертифікації і атестації і щокварталу інформують його про свою діяльність в області атестації.

Випробувальні центри (лабораторії) по сертифікації продукції за вимогами безпеки інформації по замовленнях заявників проводять випробування несертифікованої продукції, використовуваної на об'єкті інформатизації, підметі обов'язковій атестації, відповідно до "Положення про сертифікацію засобів захисту інформації за вимогами безпеки інформації".

Заявники:

-проводять підготовку об'єкту інформатизації атестації шляхом необхідних організаційно-технічних заходів по захисту інформації;

-притягають на договірній основі органи по атестації для організації і проведення атестації об'єкту інформатизації;

-надають органам по атестації необхідні документи і умови проведення атестації;

-притягають, в необхідних випадках для проведення випробувань несертифікованих засобів захисту інформації, використовуваних на об'єкті інформатизації, що атестовується, випробувальні центри (лабораторії) по сертифікації;

-здійснюють експлуатацію об'єкту інформатизації відповідно до умов і вимог, встановлених в "Атестаті відповідності";

-сповіщають орган по атестації, "Атестат відповідності", що видав, про усі зміни в інформаційних технологіях, складі і розміщенні засобів і систем інформатизації, умовах їх експлуатації, які можуть вплинути на ефективність заходів і засобів інформації (перелік характеристик, що визначають безпеку інформації, про зміни яких вимагається обов'язково сповіщати орган по атестації, наводиться в "Атестаті відповідності");

-надають необхідні документи і умови для здійснення контролю і нагляду за експлуатацією об'єкту інформатизації, що пройшов обов'язкову атестацію.

Порядок проведення атестації об'єктів інформатизації вимогам безпеки інформації включає наступні дії:

-подання і розгляд на атестацію;

-попереднє ознайомлення з об'єктом, що атестовується;

-випробування несертифікованих засобів і систем захисту інформації, використовуваних на об'єкті (при необхідності), що атестовується;

-розробку програми і методики атестаційних випробувань;

-укладення договорів на атестацію;

-проведення атестаційних випробувань об'єкту інформатизації;

-оформлення, реєстрацію і видачу "Атестата відповідності";

-здійснення державного контролю і нагляду, інспекційного контролю за проведенням атестації і експлуатацією атестованих об'єктів інформатизації;

-розгляд апеляцій.

Заявник для отримання "Атестата відповідності" завчасно направляє в орган по атестації заявку на проведення атестації з початковими даними по об'єкту інформатизації, що атестовується.

Орган по атестації в місячний термін розглядає заявку і на підставі початкових даних вибирає схему атестації, погоджує її із заявником і приймає рішення про проведення атестації об'єкту інформатизації.

При недостатності початкових даних по об'єкту інформатизації, що атестовується, в схему атестації включаються роботи по попередньому ознайомленню з об'єктом, що атестовується, що проводяться до етапу атестаційних випробувань.

При використанні на об'єкті інформатизації несертифікованих засобів і систем захисту інформації, що атестовується, в схему атестації можуть бути включені роботи по їх випробуваннях у випробувальних центрах (лабораторіях) по сертифікації засобів захисту інформації за вимогами безпеки інформації або безпосередньо на об'єкті інформатизації, що атестовується, за допомогою спеціальної контрольної апаратури і тестових засобів.

При проведенні випробувань окремих несертифікованих засобів і систем захисту інформації у випробувальних центрах (лабораторіях) по сертифікації ці випробування проводяться до атестаційних випробувань об'єктів інформатизації. В цьому випадку заявником до початку атестаційних випробувань мають бути представлені висновки органів з сертифікацій засобів захисту інформації за вимогами безпеки інформації і сертифікатів.

За результатами розгляду заявки і аналізу початкових даних, а також попереднього ознайомлення з об'єктом, що атестовується, органом по атестації розробляються програма атестаційних випробувань, що передбачає перелік робіт і їх тривалість, методики випробувань (чи використовуються типові методики), визначаються кількісний і професійний склад атестаційної комісії, що призначається органом по атестації об'єктів інформатизації, необхідність використання контрольної апаратури і тестових засобів на об'єкті інформатизації або залучення випробувальних центрів (лабораторій), що атестовується, по сертифікації засобів захисту інформації за вимогами безпека інформація.

Порядок, зміст, умови і методи випробувань для оцінки характеристик і показників, що перевіряються при атестації, відповідності їх встановленим вимогам, а також вживані в цих цілях контрольна апаратура і тестові засоби визначаються в методиках випробувань різних об'єктів інформатизації.

Програма атестаційних випробувань узгоджується із заявником.

Етап підготовки завершується укладенням договору між заявником і органом по атестації на проведення атестації, укладенням договорів (контрактів) органу по атестації з експертами, що притягаються, і оформленням припису про допуск атестаційної комісії до проведення атестації.

Оплата роботи членів атестаційної комісії робиться органом по атестації відповідно до укладених трудових договорів (контрактами) за рахунок фінансових коштів від договорів, що укладаються, на атестацію об'єктів інформатизації.

На етапі атестаційних випробувань об'єкту інформатизації:

-здійснюється аналіз організаційної структури об'єкту інформатизації, інформаційних потоків, складу і структури комплексу технічних засобів і програмного забезпечення, системи захисту інформації на об'єкті, розробленої документації і її відповідності вимогах нормативної документації по захисту інформації;

-визначається правильність категорирования об'єктів ЭBT і класифікації АС (при атестації автоматизованих систем), вибору і застосування сертифікованих і несертифікованих засобів і систем захисту інформації;

-проводяться випробування несертифікованих засобів і систем захисту інформації на об'єкті, що атестовується, або аналіз результатів їх випробувань у випробувальних центрах (лабораторіях) по сертифікації;

-перевіряється рівень підготовки кадрів і розподіл відповідальності персоналу за забезпечення виконання вимог по безпеці інформації;

-проводяться комплексні атестаційні випробування об'єкту інформатизації в реальних умовах експлуатації

шляхом перевірки фактичного виконання встановлених вимог на різних етапах технологічного процесу обробки інформації, що захищається;

-оформляються протоколи випробувань і укладення за результатами атестації з конкретними рекомендаціями по усуненню допущених порушень, приведенню системи захисту об'єкту інформатизації у відповідність зі встановленими вимогами і вдосконаленню цієї системи, а також рекомендаціями по контролю за функціонуванням об'єкту інформатизації.

Укладення за результатами атестації з короткою оцінкою відповідності об'єкту інформатизації вимогам по безпеці інформації, висновком про можливість видачі "Атестата відповідності" і необхідними рекомендаціями підписується членами атестаційної комісії і доводиться до відома заявника.

До укладення додаються протоколи випробувань, що підтверджують отримані при випробуваннях результати і обгрунтовують приведене в укладенні виведення.

Протоколи випробувань підписуються експертами - членами атестаційної комісії, що проводили випробування. Укладення і протоколи випробувань підлягають твердженню органом по атестації.

"Атестат відповідності" на об'єкт інформатизації, що відповідає вимогам по безпеці інформації, оформляється і

видається органом по атестації по встановленій формі заявникові після затвердження укладення за результатами атестації.

Реєстрація "Атестатів відповідності" здійснюється по галузевому або територіальному ознакам органами по атестації з метою ведення інформаційної бази атестованих об'єктів інформатизації і планування заходів по контролю і нагляду.

Ведення звідних інформаційних баз атестованих об'єктів інформатизації здійснюється органом з сертифікації і атестації або за його дорученням одним з органів нагляду за атестацією і експлуатацією атестованих об'єктів.

"Атестат відповідності" видається власникові атестованого об'єкту інформатизації органом по атестації на період, впродовж якого забезпечується незмінність умов функціонування об'єкту інформатизації і технології обробки інформації, що захищається, що можуть вплинути на характеристики, що визначають безпеку інформації (склад і структура технічних засобів, умови розміщення, використовуване програмне забезпечення, режими обробки інформації, засобу і міри захисту), але не більше ніж на 3 роки.

Власник атестованого об'єкту інформатизації несе відповідальність за виконання встановлених умов функціонування об'єкту інформатизації, технології обробки інформації і вимог по безпеці інформації.

У разі зміни умов і технології обробки інформації, що захищається, власники атестованих об'єктів зобов'язані сповістити про це орган по атестації, який приймає рішення про необхідність проведення додаткової перевірки ефективності системи захисту об'єкту інформатизації.

При невідповідності об'єкту, що атестовується, вимогам по безпеці інформації і неможливості оперативно

усунути відмічені атестаційною комісією недоліки орган по атестації приймає рішення про відмову у видачі "Атестата відповідності". При цьому може бути запропонований термін повторної атестації за умови усунення недоліків.

За наявності непринципового характеру "Атестат відповідності" може бути виданий після перевірки усунення цих зауважень.

У разі незгоди заявника з відмовою у видачі "Атестата відповідності" він має право звернутися у вищестоящий

орган по атестації або безпосередньо в державний орган по атестації з апеляцією для додаткового розгляду отриманих при випробуваннях результатів, де вона в місячний термін розглядається із залученням зацікавлених сторін. Подавець апеляції сповіщається про прийняте рішення.

Державний контроль і нагляд, інспекційний контроль за проведенням атестації об'єктів інформатизації проводиться органом з сертифікації і атестації як в процесі, так і після закінчення атестації, а за експлуатацією атестованих об'єктів інформатизації - періодично відповідно до плану роботи по контролю і нагляду.

Орган з сертифікації і атестації може передавати деякі зі своїх функцій державного контролю і нагляду по атестації і за експлуатацією атестованих об'єктів інформатизації акредитованим органам по атестації.

Об'єм, зміст і порядок державного контролю і нагляду встановлюються в нормативній і методичній документації по атестації об'єктів інформатизації.

Державний контроль і нагляд за дотриманням правил атестації включає перевірку правильності і повноти заходів, що проводяться, по атестації об'єктів інформатизації, оформлення і розгляду органами по атестації звітних документів і протоколів випробувань, своєчасне внесення змін до нормативної і методичної документації по безпеці інформації, інспекційний контроль за експлуатацією атестованих об'єктів інформатизації.

У разі грубих порушень органом по атестації вимог стандартів або інших нормативних і методичних документів по безпеці інформації, виявлених при контролі і нагляді, орган по атестації може бути позбавлений ліцензії на право проведення атестації об'єктів інформатизації по клопотанню вищестоящого органу, що проводить контроль і нагляд, перед федеральним органом з сертифікації і атестації.

Рішення про призупинення або анулювання дії "Атестата відповідності" приймається у разі, коли в результаті оперативного вжиття організаційно-технічних заходів не може бути відновлений необхідний рівень безпеки інформації.

У разі грубих порушень органом по атестації вимог стандартів або нормативних документів по безпеці інформації, затверджених органом з сертифікації і атестації в межах його компетенції, виявлених при контролі і нагляді і таких, що привели до повторної атестації, витрати по здійсненню контролю і нагляду можуть бути за рішенням Держарбітража стягнуті з органу по атестації. Крім того, і повторна атестація може бути здійснена за рахунок цього органу по атестації.

Витрати по здійсненню нагляду за обов'язковою атестацією і експлуатацією об'єктів, що пройшли обов'язкову атестацію, оплачуються органом нагляду із засобів держбюджету, виділених йому в цих цілях.

Об'єкти інформатизації, незалежно від використовуваних вітчизняних або зарубіжних технічних і програмних засобів, атестуються на відповідність вимогам державних стандартів або нормативних і методичних документів по безпеці інформації, затверджених органом з сертифікації і атестації в межах його компетенції.

Склад нормативної і методичної документації для атестації конкретних об'єктів інформатизації визначається органом по атестації залежно від умов функціонування об'єктів інформатизації на підставі аналізу початкових даних по об'єкту, що атестовується.

Унормативну і методичну документацію включаються тільки ті показники, характеристики і вимоги, які можуть бути об'єктивно перевірені.

Унормативній і методичній документації на методи випробувань мають бути посилання на умови, зміст і порядок проведення випробувань, використовувані при випробуваннях контрольну апаратуру і тестові засоби, що зводять до мінімуму погрішності результатів випробувань і дозволяють відтворити ці результати.

Тексти нормативних і методичних документів, використовуваних при атестації об'єктів інформатизації, мають бути сформульовані ясно і чітко, забезпечуючи їх точне і однакове тлумачення, в них повинна міститися вказівка про можливість використання документу для атестації певних типів об'єктів інформатизації за вимогами безпеки інформації або напрямів захисту інформації.

Востаннє редаговано: Вівторок, 10 квітня 2018, 19:58. Версія: 3. Опубліковано: Неділя, 27 березня 2016, 18:00.