Объекты информатизации, требующие сертификации программных средств

В1

Начать. Это бесплатно

или регистрация c помощью Вашего email-адреса

Объекты информатизации, требующие сертификации программных средств создатель Вероника 123 Mind Map: Объекты информатизации, требующие сертификации программных средств

Mind Map: Объекты информатизации, требующие сертификации программных средств

1. В целях установления соответствия комплекса мероприятий по защите информации, проведенного на объекте информатизации, требованиям по безопасности информации, установленным законодательством Российской Федерации, проводится аттестация объектов информатизации по требованиям безопасности информации.

1.1. Правовую основу аттестации объектов информатизации по требованиям безопасности информации устанавливают Конституция РФ, федеральные законы, подзаконные акты, в том числе нормативно-методические документы органов исполнительной власти, уполномоченных в области обеспечения безопасности информации в пределах своих полномочий.

1.1.1. В процессе проведения аттестации осуществляется оценка соответствия системы защиты объекта информатизации требованиям по защите информации. В соответствии с ГОСТ Р 50922—2006 «Защита информации. Основные термины и определения» оценка соответствия требованиям по защите информации — это прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.

1.2. Федеральными органами исполнительной власти, уполномоченными в области безопасности информации, являются Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная служба безопасности (ФСБ России).

2. В соответствии с Федеральным законом от 27 июля 2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» информация, в зависимости от категории доступа к ней, подразделяется на общедоступную, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Информацией ограниченного доступа является информация, доступ к которой ограничивается на законном основании и которая представляет ценность для ее обладателя, будь то юридическое лицо, индивидуальный предприниматель или орган власти.

2.1. Общедоступная информация подразделяется на две категории: 1) информация, ставшая общедоступной по решению ее владельца; 2) информация, которая в соответствии с федеральными законами не может быть отнесена к информации ограниченного доступа.

2.1.1. Решение об общедоступности информации принимает ее обладатель (владелец), размещая ее в Интернете (например, фото в социальных сетях), распространяя через средства массовой информации, сообщая публично, передавая по открытым каналам связи, а также любым другим способом открывая к ней свободный доступ.

2.2. Информация ограниченного доступа включает следующие данные: 1)информация, составляющая:персональные данные. 2)государственную тайну; 3)служебную тайну; 4)коммерческую тайну; 5)банковскую тайну; 6)прочие профессиональные тайны (врачебную, 7)судопроизводства, следствия и т.д.);

2.2.1. В целях установления соответствия комплекса мероприятий по защите информации, проведенного на объекте информатизации, требованиям по безопасности информации, установленным законодательством Российской Федерации, проводится аттестация объектов информатизации по требованиям безопасности информации.

3. Особое место занимает направление сертификации в сфере информатизации по требованиям информационной безопасности, которое включает как обязательные требования, так и необязательные с точки зрения законодательства Российской Федерации.

3.1. Рассматривается три основных группы характеристик информационной безопасности в информационной сфере, связанной с программно-информационными продуктами: 1) предотвращение несанкционированного доступа к информационным ресурсам; 2) отсутствие недекларированных возможностей; 3) корректное выполнение заданных функций назначения.

3.2. Сертификация информационных систем — процесс, направленный на подтверждение их соответствия нормам и требованиям, действующим на территории России. Необходимость контроля обусловлена в первую очередь обеспечением бесперебойности работы предприятий. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.

3.2.1. Основной характеристикой качества должна быть функциональная полнота объекта назначения, ибо если продукция плохая, т.е. не решает в заданном объеме задач, то нет необходимости ее защищать от несанкционированного доступа и применять по назначению. Корректное выполнение заданных функций назначения означает: 1)точное, однозначное и полное выполнение всех заданных функций; 2)выполнение всех заданных видов операций с данными; 3)простой и удобный интерфейс для пользователя; 4)возможность обеспечения детализации прав доступа; 5)взаимодействие с внешними информационными системами; 6)масштабируемость; 7)возможность расширения функций и взаимодействия с внешними системами.

3.2.2. Сертификация информационных систем подразумевает сертификацию программного обеспечения: сетевого; 1)издательского, в том числе текстовых и графических редакторов; 2)электронных изданий, таблиц и архивов; 3)справочных систем; 4)для игр, лотерей, «электронных сделок», аукционов; 5)для научных исследований, моделирования, систем искусственного интеллекта; 6)автоматизированных систем проектирования и управления технологическими процессами; 7)систем подготовки производства; 8)систем управлениями объединениями, отдельными предприятиями, отраслями и т.д.; 9)СУБД и т.д.

4. Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний (предварительных, государственных и др.). По результатам успешных испытаний оформляется сертификат, удостоверяющий соответствие средств вычислительной техники или автоматизированной системы требованиям по защите и дающий право разработчику на использование и(или) распространение их как защищенных.

5. Сертификация информационных (информационно-измерительных) систем, в том числе средств измерений, — самая распространенная на сегодня система оценки информационных технологий, являясь добровольной, тем не менее подразумевает внесение зарегистрированного программного обеспечения в Росреестр, а в ряде случаев — инспекционный контроль производства на протяжении срока действия сертификата.

5.1. Сертификация информационных систем во многом пересекается с оценкой соответствия защиты средств информации (юрисдикция ФСТЭК России, Минобороны России, ФСБ России и Службы внешней разведки Российской Федерации), но не тождественна ей и регламентируется другими правительственными документами и государственными стандартами. Тем не менее информационная безопасность на уровне проектирования и производства информационных технологий является обязательным критерием оценки.

5.2. Федеральная служба по техническому и экспортному контролю России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею. В подчинении ФСТЭК России находятся территориальные органы (управления ФСТЭК России по федеральным округам), Государственный научно-исследовательский испытательный институт проблем технической защиты информации и другие подведомственные Службе организации. Кроме того, ФСТЭК России является органом защиты государственной тайны, наделенным полномочиями по распоряжению сведениями, составляющими государственную тайну.

5.2.1. Все нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.

5.2.2. Федеральная служба по техническому и экспортному контролю России наделена следующими полномочиями: 1)организация и проведение лицензирования деятельности по осуществлению мероприятий и(или) оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и(или) технической защиты информации); 2)создание средств защиты информации, содержащей сведения, составляющие государственную тайну; 3)техническая защита конфиденциальной информации; 4)разработка и(или) производство средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации.

5.2.2.1. Федеральная служба по техническому и экспортному контролю России является одним из организаторов разработки двух документов: ТР «О безопасности информационных технологий» (утратил силу); Письмо ФСТЭК от 15 октября 2020 г. №240/24/4268 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».

5.2.2.2. Государственная система лицензирования деятельности в области защиты информации включает: допуск предприятий и организаций к оказанию услуг по защите информации; контроль качества и эффективности оказываемых услуг в процессе их деятельности. Лицензирование деятельности в области защиты информации, представляющее собой определенную форму государственного контроля, должно обеспечить не только допуск организаций, соответствующих определенным требованиям и условиям, к осуществлению указанных видов деятельности, но и повышение качества непосредственно мероприятий и услуг по технической защите информации. Оценка соответствия продукции по требованиям безопасности информации базируется на действующей в стране системе стандартизации и нормативно-технической документации по безопасности информации.

6. В Российской Федерации действуют системы обязательной сертификации и системы добровольной сертификации, официально зарегистрированные в Государственном реестре систем сертификации, которые охватывают подавляющую часть производимой продукции и оказываемых населению услуг

6.1. Обязательная сертификация осуществляется в случаях, предусмотренных законодательными актами Российской Федерации. К числу систем обязательной сертификации относятся системы ГОСТ Р Федерального агентства по техническому регулированию и метрологии (Росстандарт), «Электросвязь» Минсвязи России, система Федерального собрания Российской Федерации.

6.2. Добровольная сертификация проводится по продукции, не подлежащей, в соответствии с законодательными актами Российской Федерации, обязательной сертификации, и по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации.

6.2.1. Добровольную сертификацию в соответствии с законодательством Российской Федерации вправе осуществлять любое юридическое лицо, взявшее на себя функцию органа по добровольной сертификации и зарегистрировавшее систему сертификации и знак соответствия в Росстандарте в установленном Росстандартом порядке.

или Регистрация