Editörün Seçimi

Bilgilendirme amaçlarının belgelendirilmesi: transit zamanı, koşullar, GOST'un temel hükümleri ve gereklilikleri

Anonim

Bilgi güvenliği gereklilikleri için bilgi nesnelerinin belgelendirilmesi çalışmaları, Rusya'da, devlet güvenliği alanında özel işlevler yürüten bütünlük işbirliği ve koordinasyonu ile ilgilenen Federal Teknik ve İhracat Kontrolü Hizmeti tarafından yürütülmektedir.

Bilgi nesnelerinin belgelendirilmesinin özü

Bilgisayarlaşmanın nesneleri, önceden kurulmuş bir teknolojiye uygun olarak kullanılan veri kaynaklarının yanı sıra sistemler ve bunların işlenme yöntemleridir. Ayrıca, bilişimin amacı bilgisayarlı eşyalar, tesisler (yapılar, binalar), gizli toplantılar ve müzakereler için tasarlanan teknik cihazlar sağlama aracıdır.

Bilgi güvenliği gereklilikleri için bir bilgilendirme nesnesinin belgelendirilmesi bir dizi kurumsal ve teknik önlemdir. Böyle bir kontrolün sonucu uzmanlar tarafından hazırlanan bir belgedir - “uygunluk belgesi”. Bu makale, denetlenen nesnenin FSTEC tarafından onaylanan düzenlemelerin ve standartların tüm gereksinimlerini karşıladığını onaylar. Nihai belgeyi aldıktan sonra, kuruluş belirli bir süre boyunca bilgileri farklı gizlilik veya gizlilik düzeylerinde işleme hakkına sahiptir. Bilgilendirme objelerini sertifikalandırırken, bu süre verilen FSTEC'de belirtilir.

Uygunluk kontrolü, özel bir yasal düzenleme kanunu tarafından belirlenen kurallara göre yapılır. Böyle bir belge 1994'ten itibaren "Bilgi nesnelerinin belgelendirilmesine dair düzenlemeler" dir. Bilgi saklama nesnelerinin araştırılması, işlenmesi gereken herhangi bir veri veri taşıyıcılarına ulaşmadan önce gerçekleştirilir. Bu gereklilik, kuruluşun belirli bir depolama ortamı üzerindeki verileri korumak için kullandığı araçların ve önlemlerin etkinliğini resmi olarak doğrulaması gerektiğinden kaynaklanmaktadır.

Zorunlu sertifika gerektiren kuruluşların faaliyet alanları

Bilgilendirme hedefinin belgelendirilmesi, aşağıdaki durumlarda işletmenin işlerini yürütürken zorunlu olarak gerçekleştirilir:

  • devlet sırlarının unsurları var;
  • devlet bilgi kaynağının korunması yürütülür
  • Şirketin faaliyeti, çevresel olarak tehlikeli kabul edilen nesnelerin yönetimi ile ilgilidir;
  • Organizasyon çerçevesinde gizli görüşmeler yapılır.

Belirtilen davaların hiçbiri işletmede gerçekleşmezse, denetim yapılması gerekli değildir. Aynı zamanda, birçok şirket, veri güvenliği gereklilikleri için bilgilendirme tesislerinin onayını gönüllü olarak gerçekleştirmektedir. Müşteri veya belirtilen bilgilendirme nesnesinin sahibi, kontrol etme isteğini beyan edebilir.

Muayene, gerçek çalışma koşulları altında verilerin depolandığı ve işlendiği bir dizi önlem (test) içerir. Bilgilendirme amaçlarının belgelendirilmesinin amacı, kuruluş tarafından kullanılan koruyucu önlemlerin ve araçların gerekli standartlara uygunluğunu analiz etmektir.

Test sırasında, aşağıdaki alanlar incelenmiştir:

  1. Bilgisayar virüsleri de dahil olmak üzere yetkisiz erişime karşı koruma.
  2. Nesnenin PEMIN'den sızıntıya karşı korunma derecesi.
  3. Doğrulama konusu gömülü özel nesneler ve cihazların yardımı ile darbelere veya sızıntılara karşı bilgi güvenliği.

Bilgi nesnelerinin gönüllü veya zorunlu sertifikalarının yerine getirilip getirilmediğine bakılmaksızın, uygulamanın maliyeti müşteri tarafından karşılanacaktır.

Belgelendirme sürecinde uygulanan faaliyetlerin listesi

Bilgi nesnelerinin sertifikalandırılması için organlar seçtikleri şemaya göre çalışmaktadır. Doğrulamadaki çalışmaların listesi aşağıdaki eylemleri içerir:

  • Analiz edilen bilgisayarlaşma nesnesine ilişkin mevcut bilgilerin analizi.
  • Sertifikalandırılacak bilgi konusunun ön incelemesi.
  • Şirkette yer alan bilgilerin korunması için denetlenen kuruluş tarafından geliştirilen bilgisayarlı bir nesnenin uzman incelemesi ve denetlenen kuruluş tarafından analiz edilmesi. Analizin amacı, menkul kıymetlerin metodolojik ve düzenleyici dokümantasyonun gereklerine uygunluğunu tespit etmektir.
  • Özel teçhizatlar ve enstrümanlar kullanarak özel sistemler ve veri koruma araçlarının belirli bir bilgisayar nesnesinde test edilmesi.
  • Bilgisayar güvenliği gereksinimleri için koruyucu bilgi araçlarının sertifikalandırılması için test laboratuarlarında ve merkezlerinde benzer testler ve çeşitli testler yapılması.
  • Doğrudan işlem altındaki bilgi nesnesindeki bir onay testi ölçütünün gerçekleştirilmesi.
  • Muayene sonuçları ve uzmanlar tarafından alınan karmaşık testlerin belgelendirme çerçevesinde analizi, sonuçların doğrulanması sonucu yapılan onay.

Bilgi nesnelerinin belgelendirilmesine ilişkin organlar, ilgili Tüzük tarafından onaylanan FSTEC'e zorunlu akreditasyona tabidir. Bir kuruluşun denetimi yapılırken, kontrol organları, kendilerine yasal normlar tarafından atanan fonksiyonların kalite performansının yanı sıra, beyan sırasında aldıkları bilgilerin korunması sorumluluğunu da taşır. İncelemenin analizi yapıldıysa (veya başka şekilde etkilendiyse) müşterinin telif hakkına saygı duyulması gerekir.

Sertifika veren kuruluşların listesi

JCPA 2 kapsamında bilgilendirme nesnesinin belgelendirilmesi aşağıdaki kuruluşlar tarafından gerçekleştirilir:

  1. Koruyucu bilgi ortamını sertifikalandırmak ve veri koruma gereklilikleri için ilgili bilgisayar tesislerini onaylamak için federal düzeyde bir otorite.
  2. Belirli nesneleri çalışma normlarına ve güvenlik standartlarına uygunluk açısından inceleyen alt FSTEK organları.
  3. Çeşitli ürünler için test laboratuarları ve sertifikasyon merkezleri.
  4. Başvuru sahipleri (bilgisayarlı sertifikalı nesnelerin sahipleri, müşterileri veya geliştiricileri).

Belgelendirme kuruluşları, yasal mevzuat normlarına uygun olarak akredite edilmiş olan Rus FSTEC'in bilgi koruma, merkezi ve bölümleri için bölgesel ve sektörel kurumlar, kuruluşlar ve girişimler olabilir.

Sertifika kuruluşlarının yetkileri

Bilgi nesnelerinin belgelendirilmesi için hizmet sağlayan kuruluşlara aşağıdaki yetkiler verilmiştir:

  • Bilgisayarların nesnelerini kontrol ediyorlar ve analiz sonuçlarına göre özel belgeler - “Uygunluk Sertifikaları” veriyorlar.
  • Doğrulama sürecinde, inceleme alanlarında dolaşan ve ayrıca belirli veri taşıyıcıların işlettiği bilgi güvenliği sağlanır.
  • Resmi eylemi askıya alın ve daha önce verilmiş kuruluşların güvenlik standartlarına uygunluk sertifikalarını iptal edin.
  • Her belirli bilgisayarlaşma nesnesinin belgelendirilmesi için uygun olan ve geliştirilmelerinde yer alan, ayrı bir metodolojik ve düzenleyici dokümantasyon fonu oluştururlar.
  • Sertifikasyonu geçen bilgisayarlaşma nesnelerinin bilgi tabanını oluştururlar.
  • Rus FSTEC ile sürekli olarak etkileşime girerek, kuruluşların belgelendirme alanında yaptığı çalışmaları üç ayda bir bilgilendirir.

Bilgi nesnelerinin onaylanmasına ilişkin düzenlemeye göre, Federal Hizmet uyumluluk kontrolleri alanındaki diğer yetkileri kullanır:

  1. Bilgisayar objelerinin zorunlu sertifikasyon organizasyonunu yapar.
  2. Doğrulama geçiren kuruluşlar için sertifikasyon sistemleri oluşturur, her sistemdeki bilgilerin korunması için kuruluşların analizini yapmak için gereksinimler belirler.
  3. Akreditasyona geçme ve zorunlu uyumluluk kontrolleri için faaliyetlerde bulunmak üzere lisans almak için kuralları belirler.
  4. JCPA 2 uyarınca bir bilgilendirme nesnesinin onaylanmasının planlamasını organize eder ve finanse eder, ilgili metodolojik ve düzenleyici belgeleri geliştirir ve onaylar.
  5. Kuruluştaki veri güvenliği standartlarına uygunluğu doğrulamaya devam edecek kuruluşların akreditasyonunu yapar, belirli yetki türlerinin uygulanması için bu kuruluşlara lisans verir.
  6. Denetlenen kuruluşların devam eden faaliyetlerinin yanı sıra, devam eden bilgi nesnelerinin doğrulanmasının doğruluğuna dikkat edilmesi üzerine devlet kontrolü ve denetimi için önlemler uygular.
  7. Bilgisayarlaşma nesnelerinin analizi sürecinde ortaya çıkan temyizlerin değerlendirmesini kabul eder.
  8. Bilgi nesnelerinin sertifikalandırılması konusunda eğitim verir.
  9. Bilgi güvenliği yönetmeliklerine uyum için çeşitli nesnelerin kontrol sisteminin çalışmasıyla ilgili bilgilerin periyodik olarak yayınlanması organizasyonunu gerçekleştirir.

Test merkezleri ve laboratuvarları, uygunluk kontrolü yapılan bir işletmede kullanılıyorsa sertifikalandırılmayan ürünleri test eder. FSTEC resmi sitesi, bilgi nesnelerinin ve bu kontrolleri yapan organların onaylanması prosedürü hakkında bilgi içerir.

Başvuranların makamları

Bilgilendirme objelerinin tasdiki sırasındaki bilgileri korumak için her işletmenin görevini ve tatbikat yetkisini yerine getirmesi gerekir. Başvuranların yetkilileri aşağıdaki gibidir:

  1. Bilgi güvenliği alanında kullanılan gerekli organizasyonel ve teknik önlemleri uygulayarak uyumluluk kontrolleri yapmak için bilgilendirme objeleri hazırlayın.
  2. Bilgilendirme hedefleri ile ilgili olarak planlı denetimlerin organizasyonu ve uygulanması için belgelendirme kuruluşlarını dahil edin.
  3. Denetim organlarına denetim için gerekli belgeleri ve koşulları sağlayın.
  4. Gerekirse, muayene alanında test edilmek üzere onaylanmamış bilgi koruma araçlarını kullanın. Ayrıca test laboratuvarları ve sertifikasyon merkezleri içerebilir.
  5. Bilgi işlemlerinin belgelendirilmesine ilişkin Yönetmelikte belirtilen şartlara ve koşullara uygun olarak bilgisayar tesislerinin işletmesini uygulayın.
  6. Bilgi teknolojilerinde, bilgi sistemlerinin ve araçların yerleştirilmesinde ve kompozisyonunda ve bu bilgi araçlarının çalışma koşullarında koruyucu bilgi önlemlerinin etkinliğini etkileyen sertifika belgelerini veren sertifika kuruluşlarına bilgi vermek.
  7. Zorunlu sertifikalandırmayı geçen bilgisayar nesnesinin çalışmasının gözetimi ve kontrolü için gerekli belgeleri ve koşulları sağlayın.

Başvuru sahibi tarafından muayene kuruluşuna sunulan belgeler

GOST'un bilgi nesnelerinin belgelendirilmesine ilişkin genel hükümlerine göre (GOST RO 0043-003-2012), başvuru sahibi tarafından muayene için sunulan evrakların listesi aşağıdaki belgeleri içerir:

  • Bilgisayarlaşma nesnesine ilişkin kabul belgeleri.
  • Bilgi alanın ve bilgi nesnelerinin kategorilere bölünmesi üzerinde hareket eder.
  • Koruyucu bilgi araçlarının çalışma kuralları ile ilgili talimatlar.
  • Sertifika alan nesneler için teknik pasaportlar.
  • Tsoi'nin işletilmesine ilişkin belgeler (bu nesnelerin bilgi güvenliği gerekliliklerine uygunluk belgeleri).
  • Gizli eserlerin eylemleri.
  • VTSS'deki nesnelerin bilgi güvenliği gereksinimlerine uygunluk sertifikaları.
  • Seçilen odaların ve diğer odaların ses yalıtımı derecesinin yanı sıra binalarda ve kabinlerde ekranların kurulumunun etkinliğini ölçen protokoller.
  • Teknik veri koruma araçlarıyla ilgili olarak nesnelerin bilgi güvenliği gerekliliklerine uygunluk sertifikaları.
  • Dünyaya direnç derecesini ölçmek için protokoller.
  • Potansiyel keşif araçlarının bulunduğu yerlere bilgi cihazları tarafından sağlanan sinyallerin zayıflamasının gerçek değerinin ölçülmesine ilişkin protokoller.
  • Bilgi koruma sağlayan kişilerin eğitim seviyesine ilişkin veriler.
  • Kuruluşa veri korumanın etkinliğini izlemek ve metrolojik doğrulamalarını gerçekleştirmek için teknik yöntemler sağlama konusunda bilgi.
  • Bilginin korunması ve etkinliğinin kontrolü ile ilgili metodolojik ve düzenleyici nitelikte dokümantasyon. Bu belgeler, belgelendirme amacının özelliklerinden kaynaklanıyorsa, başka verilerin sağlanmasının denetlenen komisyon ile kararlaştırılması durumunda diğer belgelere eklenebilir.
  • Bilgi özelliklerine ve korunan nesnenin örgütsel yapısının bir göstergesine, örgütsel ve teknik türden önlemlere ilişkin verilere ilişkin bilgilerin teknik kanallardan sızıntıdan korunması için yapılan açıklama notları.
  • Konumlarını ve belirlenmiş koruma derecesini tam olarak gösteren, korunacak bilgisayarlı nesnelerin listesi.
  • Korunan bilgi taşıyıcıların bulunduğu binaların listesi, bulundukları yeri ve belirlenmiş koruma derecesini tam olarak gösterir.
  • Kuruluşta oluşturulan Tsoi'nin listesi, operasyondaki sertifikaların veya yönetmeliklerin varlığı veya yokluğunun yanı sıra konumlarının belirlenmesine ilişkin bir işaret.
  • Teknik koruyucu bilgilerin listesi, bulundukları yeri gösteren araçlar anlamına gelir.
  • Kuruluşa kurulan VTSS'nin listesi, işlem için sertifikaların veya reçetelerin varlığının veya yokluğunun bir işaretiyle ve konumlarının belirlenmesi.
  • Her elektrik kalkanının ve ayarlanabilir bir kutunun, bölme alt istasyonunun konumuyla birlikte elektrik enerjisi sisteminin şematik bir diyagramı.
  • Koruma planlarının, kontrol bölgesinin sınırlarının, trafo trafo merkezlerinin, topraklama cihazlarının, elektrik hatları ve tesislerin konumlarının, hırsız ve yangın alarmlarının konumlarının ve ayırma tipindeki cihazların bulunduğu yapı planına sahip ölçek şeması.
  • Döşenen telefonun düzeni, her bir bağlantı kutusunun ve telefonun konumuna göre sıralanır.
  • Belirli bilgisayarlaşma nesnelerinin konumlarının, ekipman için ayrılan odaların konumlarının, zeminlerin, duvarların, pencere ve kapı tiplerinin ve kullanılan kaplama malzemelerinin özelliklerinin belirlenmesi ile doğrulama nesnesinin kat planları.
  • Topraklama sisteminin düzeni ve topraklama.
  • Her nesnenin yeri için VTSS, TSOI, bunların bağlantı hatları ve yardımcı programların ve dış kılavuzların yerleştirildiği yolları gösteren genel planlar.
  • Binanın mühendislik tipinin havalandırma sistemi ile birlikte haberleşmesinin düzenlenmesi.
  • Aktif koruma sistemlerinin şeması (varsa).
  • Her bir sensörün ve bağlantı kutusunun bulunduğu bir yangın ve hırsız alarm sistemi planı.

Sertifika prosedürünü yürütme prosedürü

JCPA tarafından bilgilendirme nesnesinin belgelendirilmesi aşağıdaki sırada yapılır:

  1. Sertifika başvurusu komisyonu tarafından gönderme ve değerlendirme. Başvuru, Yönetmelikte onaylanan biçimde yapılır. Talebin değerlendirilme süresi bir aydır. Komisyon inceleme yapmak için bir karar verirse, sertifika düzeni başvuru sahibi ile belirlenir ve kararlaştırılır.
  2. Başvuru sahibi tarafından sunulan bilgi tam bir resim oluşturmak için yeterli değilse, sertifikalı nesnenin ön incelemesi.
  3. Sertifikalandırılmamış nesnenin koruma sistemleri ve laboratuar testleri.
  4. Sertifikalandırma sırasında metot geliştirme ve test programı. İş listesi ve süresi, test prosedürü, çalışma grubunun bileşimi, analizde kullanılan araç ve gereçler belirlenir.
  5. Muayene kurumu ve başvuru sahibi arasında ve ayrıca kuruluş ile ilgili dış uzmanlar arasında belgelendirme sözleşmesinin imzalanması.
  6. Nesne üzerinde testler yapmak.

Son aşama, aşağıdaki eylem listesini içerir:

  • kuruluşun yapısının bir bütün olarak analizi, incelenen nesne içindeki bilgi akışı, yazılım paketinin ve teknik araçların yapısı ve bileşimi, bilgi koruma sistemleri, dokümantasyon ve dokümanların düzenleyici şartlara uygunluğunun doğrulanması;
  • Nesnelerin bilgisayar ve otomatik sistem kategorilerine bölünmesinin doğruluğunun belirlenmesi, sertifikalı ve sertifikalı olmayan sistemlerin ve veri koruma araçlarının seçimi ve kullanımına uygunluk;
  • sertifikasyon geçmemiş koruyucu sistemlerin ve tesislerin test edilmesi, test laboratuarlarında ve merkezlerinde doğrulamalarının analizi;
  • personelin eğitim seviyesinin kontrol edilmesi, bilgilerin korunması için gerekenlerin yerine getirilmesi konusundaki sorumluluğunun dağılımı;
  • fiili kullanımda kapsamlı sertifikalandırma faaliyetlerinin yürütülmesi;
  • Test raporları hazırlamak, tespit edilen eksiklikleri gidermek ve veri ambarlarının normal işleyişini kontrol etmek için tavsiyelerde bulunmak üzere bir tavsiye hazırlamak.

Test raporlarının içeriği

Devlet sırları veya diğer gizli alanlar için bilgi nesnelerinin sertifikası çerçevesinde yürütülen test raporları aşağıdaki bilgileri içerir:

  1. Test türleri
  2. Doğrulamanın amacı.
  3. Analizin saati ve tarihi.
  4. Muayene yeri.
  5. Analizde kullanılan ekipmanların listesi.
  6. Testler sırasında kullanılan normatif ve metodik dokümanların listesi.
  7. Testi yaparken kullanılan tekniğin kısa bir açıklaması.
  8. Ölçme ve hesaplama sonuçları.
  9. Test sonuçları.

Nihai protokoller, onay komisyonuna dahil olan uzmanlar tarafından imzalanır (soyadları, baş harfleri, pozisyonlar). Заключения, подписанные комиссией, утверждаются руководителем аттестующего органа.

Если заключение утверждено руководителем, указывается согласие на оформление, регистрацию и выдачу документа о соответствии. Если в выдаче аттестата было отказано, заявитель вправе подать апелляционную жалобу. Срок ее рассмотрения – не более месяца.

Сведения, содержащиеся в сертификате соответствия

В сертификате, выдаваемом после аттестации объекта информатизации, защита которого должна быть обеспечена в обязательном порядке, указываются следующие сведения:

  • регистрационный порядковый номер сертификата;
  • veriliş tarihi;
  • geçerlilik süresi;
  • полное наименование, адрес местонахождения аттестованного объекта;
  • категория объекта компьютеризации;
  • класс (степень) защищенности автоматизированных систем;
  • гриф конфиденциальности (секретности) данных, обрабатываемых на объекте;
  • структура объекта и вывод о соответствии уровня подготовки соответствующих специалистов в организации;
  • дата и номер утверждения методики и программы, которые были положены в основу проверки;
  • перечень документов, которые являлись базой для аттестации;
  • дата и номер заключения о результатах проведения аттестации;
  • перечень технического оборудования и средств для обработки данных;
  • мероприятия организационного характера, в ходе которых разрешается изучение и обработка данных с ограниченным доступом;
  • список действий, запрещенных в период эксплуатации проверенного объекта;
  • перечень лиц, ответственных за обеспечение необходимых требований по защите данных, и список сотрудников, контролирующих эффективность средств и мер защиты.

Аттестат о соответствии объекта необходимым требованиям подписывается главой проверочной комиссии и утверждением непосредственным руководителем аттестационного органа.

Документ о соответствии выдается на срок, в течение которого должна обеспечиваться неизменность порядка и условий работы объекта компьютеризации. Также в течение этого периода должны сохраняться технологии, применяемые при обработке защищаемых данных. Максимальный срок действия аттестата – три года.

Проведение аттестации объектов информатизации – необходимая процедура для организаций, деятельность которых связана с конфиденциальными сведениями и их защитой.

arrow