АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Аттестация объектов информации

Читайте также:
  1. C) кезекті аттестация
  2. Count - свойство содержащее количество объектов
  3. Автоматизированная информационная поисковая система правовой информации
  4. Алфавитный подход к измерению информации.
  5. Алфавитный подход к измерению информации.
  6. Анализ диаграмм внешней передачи информации
  7. Анализа реальных экономических объектов.
  8. Аппаратные средства защиты информации
  9. Аттестация гражданских служащих: понятие, цель, задачи, система, функции и принципы аттестации. Квалификационный экзамен.
  10. Аттестация интерна ПО ТЕОРЕТИЧЕСКОЙ ПОДГОТОВКЕ
  11. Аттестация кадров. Подготовка, переподготовка и повышение квалификации кадров

Аттестацией объектов называется комплекс организационно-технических мероприятий, в результате которых посредством специального документа, «Аттестата соответствия», подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. «Аттестат соответствия» дает право на обработку секретной информации в течение времени, установленного в «Аттестате соответствия».

ФСТЭК организует обязательную аттестацию объектов информатики, для чего:

· создает системы аттестации и устанавливает правила проведения аттестации в этих системах;

· устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

· утверждает нормативные и методические документы по аттестации.

Органы по аттестации объектов информатизации аккредитуются ФСТЭК и получают от нее лицензию на право проведения аттестации объектов.

Под объектом информатики понимается отдельное техническое средство или группа технических средств, предназначенные для обработки охраняемой информации, вместе с помещениями, в которых они размещены.

Выделенные помещения (ВП) – это помещения, предназначенные для проведения закрытых мероприятий (совещаний, конференций, заседаний, сборов, переговоров и т. п.), на которых обсуждаются вопросы, содержащие охраняемые сведения.

Обязательной аттестации подлежат объекты, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер.

При аттестации объекта информатики подтверждается его соответствие требованиям по защите информации:

· от несанкционированного доступа, в том числе от компьютерных вирусов;

· утечки за счет побочных электромагнитных излучений и наводок;

· специальных воздействий на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие);

· утечки информации или воздействия на нее за счет специальных устройств.

Направления испытаний представлены на рис. 4.5.

Рис. 4.5. Примерная схема направлений испытаний

Сертификация

Сертификация – процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям.



Закон «О сертификации продукции и услуг» (в ред. Федеральных законов от 27.12.95 № 211-ФЗ, от 02.03.98 № 30-ФЗ, от 31.07.98 № 154-ФЗ) устанавливает правовые основы обязательной и добровольной сертификации продукции, услуг и иных объектов (далее ­– продукция) в Российской Федерации, а также права, обязанности и ответственность участников сертификации.

Сертификация осуществляется в целях:

· создания условий для деятельности организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;

· содействия потребителям в компетентном выборе продукции;

· защиты потребителя от недобросовестности изготовителя (продавца, исполнителя);

· контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества;

· подтверждения показателей качества продукции, заявленных изготовителем.

Сертификация может иметь обязательный и добровольный характер.

Под сертификацией средств защиты информации понимается деятельность по подтверждению соответствия этих средств требованиям государственных стандартов или иных нормативных документов по защите информации.

К средствам защиты информации относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, используемые в управлении экологически опасными объектами.

Организационную структуру системы сертификации образуют:

· центральный орган системы сертифи­кации (возглавляет систему сертификации однородных средств защиты информации);

· федеральный орган по сертификации средств защиты информации;

· органы по сертификации средств защиты информации (проводят сертифика­цию средств защиты информации);

· испытательные лаборатории (прово­дят сертификационные испытания средств защиты информации);

· заявители (разработчики, изготови­тели, поставщики, потребители средств за­щиты информации).

Руководящий документ ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

В соответствии с этим руководящим документом возможные показатели защищенности исчерпываются 7 классами. По классу защищенности можно судить о номенклатуре используемых механизмов защиты – наиболее защищенным является 1 класс. Выбор класса защищенности зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы. В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса (рис. 4.6).

Рис 4.6. Классификация средств защиты

 

Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей. Недекларированные возможности (НДВ) – функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации (см. рис. 4.7).

Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.

Рис. 4.7. Классификация ПО по уровням НДВ

Показатели защищенности от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований (см. рис. 4.8).

Рис. 4.8. Классификация межсетевых экранов

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы, и обеспечивающее защиту автоматизированной системы посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в автоматизированной системе (или вне автоматизированной системы).


1 | 2 | 3 |


Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.007 сек.)