КАТЕГОРИЯ:


Астрономия- (809) Биология- (7483) Биотехнологии- (1457) Военное дело- (14632) Высокие технологии- (1363) География- (913) Геология- (1438) Государство- (451) Демография- (1065) Дом- (47672) Журналистика и СМИ- (912) Изобретательство- (14524) Иностранные языки- (4268) Информатика- (17799) Искусство- (1338) История- (13644) Компьютеры- (11121) Косметика- (55) Кулинария- (373) Культура- (8427) Лингвистика- (374) Литература- (1642) Маркетинг- (23702) Математика- (16968) Машиностроение- (1700) Медицина- (12668) Менеджмент- (24684) Механика- (15423) Науковедение- (506) Образование- (11852) Охрана труда- (3308) Педагогика- (5571) Полиграфия- (1312) Политика- (7869) Право- (5454) Приборостроение- (1369) Программирование- (2801) Производство- (97182) Промышленность- (8706) Психология- (18388) Религия- (3217) Связь- (10668) Сельское хозяйство- (299) Социология- (6455) Спорт- (42831) Строительство- (4793) Торговля- (5050) Транспорт- (2929) Туризм- (1568) Физика- (3942) Философия- (17015) Финансы- (26596) Химия- (22929) Экология- (12095) Экономика- (9961) Электроника- (8441) Электротехника- (4623) Энергетика- (12629) Юриспруденция- (1492) Ядерная техника- (1748) Arhitektura- (3434) Astronomiya- (809) Biologiya- (7483) Biotehnologii- (1457) Военни бизнесмен (14632) Висока technologies- (1363) Geografiya- (913) Geologiya- (1438) на държавата (451) Demografiya- ( 1065) Къща- (47672) журналистика и смирен (912) Izobretatelstvo- (14524) външен >(4268) Informatika- (17799) Iskusstvo- (1338) историята е (13644) Компютри- (11,121) Kosmetika- (55) Kulinariya- (373) културата е (8427) Lingvistika- (374) Literatura- (1642) маркетинг-(23702) математиците на (16968) Механична инженерно (1700) медицина-(12668) Management- (24684) Mehanika- (15423) Naukovedenie- (506) образователна (11852) truda- сигурност (3308) Pedagogika- (5571) Poligrafiya- (1312) Politika- (7869) Лево- (5454) Priborostroenie- (1369) Programmirovanie- (2801) производствено (97 182 ) индустрия- (8706) Psihologiya- (18388) Religiya- (3217) Svyaz (10668) Agriculture- (299) Sotsiologiya- (6455) на (42831) спортист строително (4793) Torgovlya- (5050) транспорт ( 2929) Turizm- (1568) физик (3942) Filosofiya- (17015) Finansy- (26596) химия (22929) Ekologiya- (12095) Ekonomika- (9961) Electronics- (8441) Elektrotehnika- (4623) Мощност инженерно ( 12629) Yurisprudentsiya- (1492) ядрена technics- (1748)

Сертифициране на изискванията за информация, информация обект на сигурността

Дейности за сертифициране на информационни обекти в съответствие с изискванията за сигурност, трябва да FSTEC Русия (напр. Държавна Техническа комисия на Русия). Да започнем с това ние определяме информацията на обекта.

информатизация обект - набор от информационни ресурси, оборудване и системи за обработка на информация се използва в съответствие с дадената информация технологията означава да се гарантира, обект на информация, зони или обекти (сгради, съоръжения, помещения), в която са инсталирани, или в помещенията и съоръженията, предназначени за провеждане на конфиденциални преговори [6.1].

Сертифициране на информационни обекти (за сертифициране) - комплекс от организационни и технически мерки, които да доведат чрез специален документ - "сертификат за съответствие" потвърди, че съоръжението отговаря на изискванията на стандарти или други нормативни технически документи относно сигурността на информацията, одобрен FSTEC Русия (държава Техническа комисия на Русия). Наличие на сертификат за съответствие по организацията дава право обработката на информация с ниво на секретност (конфиденциалност) за периода от време, посочен в удостоверението.

Сертифицирането се извършва по начин, определен от "Правилника за сертифициране на информационни обекти в съответствие с изискванията за сигурност" на 25 ноември 1994 година. Сертифицирането трябва да се извършва преди началото на обработката на информацията, за да бъдат защитени. Необходимо е за официално потвърждение на ефективността на мерките, които се използват и средства за защита на тази информация по конкретен информационен обект.

Сертифицирането е задължително в следните случаи:

държавна тайна;

в областта на защитата на държавните информационни ресурси;

управление на опасни за околната среда съоръжения;

провеждане на тайни преговори.

Във всички други случаи, сертификация е доброволен, т.е. той може да се извършва по искане на клиента, или информация за собственика на обекта.

Сертификация включва цялостен преглед (квалификация тестване) информация от един обект в реални работни условия. Целта е да се провери съответствието на средствата и мерките за защита на необходимото ниво на сигурност. Чрез проверими изисквания включват:

защита срещу неоторизиран достъп, включително компютърни вируси;

защита срещу течове през PEMIN;

Защита от изтичане или излагане на информация чрез специални устройства за вградени обект информатизация.

Сертифицирането се извършва от сертифициращия орган, в съответствие с избрания от това тяло на схемата, и се състои от следния списък от дейности:

предпроектно проучване на проекта на сертифицирани информация;

запознаване с оценявания информацията на обект;Експертизата на информацията за обекта и Анализ на документация, разработена за защита на информация по този въпрос от гледна точка на съответствието му с изискванията на нормативната и методическа документация;

изпитване на отделни фондове и защита на информационните системи в атестацията на информационен обект с помощта на специална апаратура за изпитване и оборудване за изпитване;

изпитване на отделни превозни средства и системи за информационна сигурност в тест центрове (лаборатории) Сертифициране на изискванията за информационна сигурност за информационна сигурност;

провеждане на цялостен тест за сертифициране информация на обекта в реални условия на работа;

анализ на резултатите от експертизата и изчерпателна информация за удостоверяване на обект и да подпише декларация за резултатите от сертифициране.

Органите трябва да бъдат акредитирани за сертифициране FSTEC в съответствие с "Наредбата за акредитация на лаборатории за тестване и сертифициращите органи на сигурността на информацията за изискванията по сигурността на информацията."

Всички разходи за атестацията за сметка на клиента, в случай на доброволно или задължително сертифициране.

за сертифициране органи са отговорни за изпълнението на техните функции, за запазване на тайната на информацията, получена в хода на сертифициране, както и за спазването на авторските права на клиента.

Структурата на системата за оценка включват:

федерална агенция за сертифициране на сигурността на информацията и сертифициране на обекти на информация за изискванията на информационната сигурност - FSTEC Русия;

власти за сертифициране на информационни изисквания за сигурност на съоръжения информация;

центрове за изпитване (лаборатории) изисквания за сертифициране на продукти за информационна сигурност;

кандидатите (клиенти, собственици, разработчиците на сертифицирани съоръжения информатизация).

Както жалбоподателите могат да обслужват клиенти, собственици или разработчиците на сертифицирани информация съоръжения.

Що се отнася до органите за сертифициране индустрия и регионални институции могат да действат, предприятия и организации за защита на информацията, специални центрове FSTEC Русия, който е преминал съответните акредитацията.

за сертифициращите органи:

удостоверявам съоръжения информация и въпрос "сертификатите за съответствие";

упражнява контрол върху сигурността на информацията, движещо се по информатизация на сертифицирани съоръжения и тяхната експлоатация;

анулира и да спре орган, издадено от този "сертификат за съответствие";

формират основата на нормативната и методическа документация, необходима за сертифицирането на специфични видове информационни обекти, които участват в тяхното развитие;

провеждане на информационна база данни на сертифицирани съоръжения от този орган на информация;

реагира с FSTEC Русия и на тримесечна база, да го информира за дейността си в областта на сертифицирането.

FSTEC изпълнява следните функции в рамките на системата за оценка:

организиране на задължително сертифициране на обекти на информатизация;

Той създава система за сертифициране на информационни обекти и определя правилата за сертифициране на тези системи;

установява правила за акредитация и лицензионна процедура за задължително сертифициране;

организиране, финансиране на разработването и одобрява наредби и ръководства за сертифициране на информационни обекти;

акредитират органи за сертифициране на информационни обекти и да ги дава на лиценз за извършване на определени видове работа;

осъществява държавен контрол и надзор за спазването на правилата за сертифициране и експлоатация на съоръжения сертифицирани информационни;

разглежда жалби, възникнали в процеса на сертифициране на информационни обекти и контрол върху работата на сертифицираните обекти на информатизация;

организира периодично публикуване на информация за функционирането на системата за сертифициране на информационни обекти в съответствие с изискванията за сигурност.

Тестване лаборатории тестват несертифицирани продукти, използвани при удостоверяването на информационен обект.

Списъкът за сертифициращите органи и лаборатории за тестване, които са преминали на акредитацията може да се намери на официалния сайт FSTEC Русия в "System Data сертифициране на сигурността на информацията за изискванията по сигурността на информацията."

кандидатите:

предоставяне на обучение за сертифициране на информационен обект от прилагане на необходимите организационни и технически мерки за защита на информацията;

привлечени от сертифициращи органи, да организира и провежда информацията сертифициране на обекта;

предоставят органи за сертифициране на необходимите документи и условията за сертифициране;

включва, когато е необходимо, за тестване neseptifitsipovannyh инструменти за сигурност на информацията, използвани за удостоверяване на информационен обект, тестови центрове (лаборатории) за сертифициране;

работи информационната обекта в съответствие с условията и изискванията, посочени в "сертификат за съответствие";

уведомява органа за сертифициране, издадено на "сертификат за съответствие", на каквито и да било промени в информационните технологии, Състав и разгръщане инструменти и компютърни системи, условията за тяхното използване, които могат да повлияят на ефективността на мерките и защита на информационните активи (в списъка на характеристиките, които определят информацията за сигурност за промените които задължително се изисква да уведоми органа за сертифициране, са изброени в "сертификат за съответствие");

предоставяне на необходимите документи и условията за контрол и надзор на информацията за експлоатация на обекта, преминали задължително сертифициране.

За изпитванията, заявителят представи на органа за сертифициране на следните документи и информация:

Рутинна документация на информационен обект;

изолирани актове на категоризация на помещения и съоръжения на информация;

инструкцията за експлоатация на информационната сигурност;

технически паспорт на обект оценявания;

документи за операцията (последователността на изискванията за информационна сигурност на сертификати) Tsoi;

сертификати за съответствие с изискванията за информационна сигурност VTSS;

сертификати за съответствие с изискванията за информационна сигурност за техническа защита на информацията;

актове, извършени на тайна операция;

акустични протоколи за измерване, предназначени помещения и ефективността на скрининг растения и кабини (ако е проведено);

измерване протоколи магнитуд от земята устойчивост;

измервателни протоколи реални сигнали затихване на данни към предполагаемото място на разузнаване;

данни за нивото на обучение, осигуряване на защита на информацията;

данни за техническа поддръжка означава мониторинг на ефективността на информационната сигурност и тяхното калибриране метрология;

регулиране и методически документи за опазване и контрол на ефективността на защитата на информация.

Имаме общия размер на входните данни и документация, заявителят може да се регулира в зависимост от характеристиките на обекта атестацията на информация в съгласие с Комисията за сертифициране.

обяснителна записка, съдържаща информацията, и описание на организационната структура на обекта на защита, информация относно организационни и технически мерки за защита на изтичане на информация чрез технически канали;

в списъка на обектите на информация, за да бъдат защитени, като се посочват местонахождението им и установените категории на защита;

списък с избрани стаи да бъдат защитени, като се посочват местонахождението им и установените категории на защита;

списък с инсталирани Tsoi показва наличието на сертификат (инструкции за работа) и за местата на инсталиране;

списък на инсталираните VTSS показва наличието на сертификата и техните места за монтаж;

списък на инсталираните технически средства за информация, която показва наличието на такова удостоверение и техните места за монтаж;

схематично представяне (по скалата) с плана на сградата, в която се помещава на защитените обекти, контролирани граничен район, трафопост, заземяване устройство, определяне на маршрута на комунални услуги, електропроводи, комуникации, пожар и алармени системи, места за инсталиране разделителни устройства и т.н. ;

технология сграда етажни планове, показващи местоположението на обекти и информация на отделено място и на характеристиките на техните стени, подове, материали, облицовки, видове врати и прозорци;

планове за информатизация на обекти, показващи монтаж Tsoi, VTSS и кокошки стволовете им, както и определяне на маршрута на комунални услуги и чуждестранни диригенти;

плана оформление на помощните програми за изграждане, включително вентилация;

план-схема на системата за съоръжение за заземяване с местоположението на режима на заземяване;

плана оформление на електрическата система на сградата, посочващ местоположението на изолиращ трансформатор (подстанция), всички билбордове и подвижни кутии;

оформление план на година за телефонни линии, показващи местоположението на разклонителни кутии и монтаж на телефонни апарати;

оформление план на системи за сигурност и пожароизвестяване, показващи монтирането и видовете сензори и разпределителни кутии;

автоматични системи за активна защита (ако има такива) [6,3].

Процедурата за сертифициране на информационни обекти в съответствие с изискванията за сигурност, включват следното:

подаване и разглеждане на заявлението за сертифициране. Приложението има установена форма, която може да се намери в "Правилник за сертификация на изискванията за съоръжения по сигурността на информацията." Заявителят подава заявление в за сертифициращия орган, че в рамките на един месец разгледа заявлението, избира схемата за сертифициране и да го съгласува с кандидата.

запознаване с обекта оценяваният - се прави в случай на повреда на данните, предоставени от заявителя преди тестовете за сертифициране;

тест в лаборатории за изпитване незаверени средства и защита на информационните системи, използвани в съоръжението за атестация.

развитие на програмата и методите на тестовете за сертифициране. Тази стъпка е резултат от разглеждането на първоначалните данни и познаване на обекта оценявания. от сертифициращ орган определя списъка на делата и тяхната продължителност, метод за изпитване, състава на комисията за оценка, необходимостта от наблюдение оборудване и съоръжения за изпитване или на участието на лаборатории за изпитване. изпитване за сертифициране на програма, съгласувана със заявителя.

И накрая, за сертифициране на договори. Резултатът от предходните четири етапа става сключването на договора между кандидата и сертифициращия орган, сключването на договори между сертифициращия орган и привлича експерти и проектни изисквания за допускане до атестацията на атестационната комисия.

провеждане на изпитвания за сертифициране на информационни обекти. По време на тестовете за сертифициране, извършени както следва:

Анализ на организационната структура на информацията за обекта, информационни потоци, съставът и структурата на комплекс хардуер и софтуер, системи за информационна сигурност на обекта, разработена документация и нейното съответствие с нормативните изисквания за защита на информацията;

ще определи точната категоризация и класификация на обекти EVT високоговорители (с сертифициране на автоматизирани системи), подбор и прилагане сертифицирани и neseptifitsipovannyh средства и защита на информационните системи;

проведено тестване на незаверени средства и защита на информационните системи на сертифицирани съоръжение или анализ на резултатите от техните тестове в тест центрове (лаборатории) за сертифициране;

Проверете нивото на обучение и персонал отговорности за гарантиране на спазването на изискванията за информационна сигурност;

проведен цялостен тест за сертифициране информация на обекта в реални условия на работа чрез проверка на реалното изпълнение на установените изисквания в различните етапи на процеса на обработка на информация, за да бъдат защитени;

документирани доклади от изпитвания и да докладва за резултатите от сертифициране, с конкретни препоръки за справяне с нарушенията, въвеждат обект на защита на информационните системи в съответствие с установените изисквания и подобряване на системата, както и препоръки за контрол на информацията за експлоатация на обекта [6.2]

Чрез сключването на протоколите от изпитванията трябва да бъде прикрепен, което потвърждава резултатите, получени при изпитванията и обосноваване на заключението е посочено в заключението.

доклад за сертифициране тест се vlyuchaet:

Тествайте формата;

обекта тест;

дата и час на теста;

Място на провеждане на тестовете;

Списък на използваното оборудване в хода на изпитването (име, тип, сериен номер, сертификат за проверка и неговата валидност);

списък на нормативни и методически документи, според които се провеждат изпитванията;

метод на изпитване (кратко описание);

измервания;

резултатите от изчисленията;

заключения относно резултатите от изпитванията [6.4]

Протоколите от изпитванията се подписва от експертите - членовете на Комисията за оценка, за да се извършат тестове, посочване на позицията, името и инициалите.

Доклад за резултатите от сертифициране, подписан от членовете на комисията за оценка, трябва да бъдат одобрени от ръководителя на сертифициране и предоставена на заявителя [2]. Заключение и протоколи за изпитване трябва да бъдат одобрени от сертифициращия орган.

регистрация, регистрация и издаване на "сертификат за съответствие" (ако становище относно резултатите от сертифициране, одобрена).

осигуряване на държавен контрол и надзор, контрол на инспекцията по сертифициране и експлоатация на съоръжения сертифицирани информационни;

обжалване. Ако заявителят не е съгласен с отказ за издаване на "сертификат за съответствие", той може да обжалва пред по-висша инстанция за сертифициране или FSTEC. Жалбата се разглежда в срок не по-дълъг от един месец с участието на заинтересованите страни.

Сертификатът за съответствие включва:

регистрационен номер;

дата на издаване;

срок на годност;

име, адрес и местоположение информация на обекта на;

категория информация на обекта;

клас автоматизирани системи за сигурност;

тайна (конфиденциалност) информацията, обработвана в информацията на обекта;

организационната структура на информацията за обекта и заключения за нивото на подготовка на специалисти по сигурността на информацията;

номер и дата на одобрение на програмата, и методологията, чрез която провежда тестове за сертифициране;

списък на документи с насоки, според които се извършва сертифициране на;

номер и дата на одобрение за сключването на резултатите от тестовете за сертифициране;

Комплексът от технически средства за обработка на информация на ограничен достъп, в списъка на технически помощни средства и системи, в списъка на технически средства за защита на информацията, както и тяхното разположение на помещенията и на границите на сравнително контролирана зона, в списъка на софтуерни инструменти;

организационни мерки, които са разрешени по време на обработката на информация с ограничен достъп;

списък на дейности, които са забранени в информацията за експлоатация на обекта;

списък на лицата, на които са възложени за да се гарантира на изискванията за защита на личните данни и мониторинг на ефективността на прилаганите мерки и средства за защита на информацията.

Сертификатът за съответствие, подписан от ръководителя на комисията за оценка и одобрена от ръководителя на сертифициращия орган.

Сертификат за съответствие се издава за срок, по време на който гарантира неизменност на условията на информатизация на обекта и защитените технологии за обработка на данни, които могат да повлияят на характеристиките, които определят сигурността на информацията (състав и структура на техническото оборудване, условия за настаняване, използвания софтуер, режими за обработка на информация, средства и мерки защита), но не повече от 3 години.

<== Предишна лекция | На следващата лекция ==>
| Сертифициране на изискванията за информация, информация обект на сигурността

; Дата: 01.07.2014; ; Прегледи: 753; Нарушаването на авторските права? ;


Ние ценим Вашето мнение! Беше ли полезна публикуван материал? Да | неТЪРСЕНЕ:


Вижте също:ailback.ru - Edu Doc (2013 - 2017) на година. Тя не е автор на материали, и дава на студентите с безплатно образование и използва! Най-новото допълнение , Al IP: 11.45.9.24
Page генерирана за: 0.064 сек.