CERTIFICACIÓN DE OBJETOS DE INFORMACIÓN Y LOCALES DESIGNADOS.

logo11d 4 1

CERTIFICACIÓN DE OBJETOS DE INFORMACIÓN Y LOCALES DESIGNADOS

CERTIFICACIÓN DE OBJETOS DE INFORMACIÓN Y LOCALES DESIGNADOS.

KHOREV Anatoly Anatolyevich,
Doctor en Ciencias Técnicas, Profesor

CERTIFICACIÓN DE OBJETOS DE INFORMACIÓN Y LOCALES DESIGNADOS

Se entiende por certificación de objetos de información un conjunto de medidas organizativas y técnicas, como resultado de las cuales, mediante un documento especial — “ Certificado de Conformidad”se confirma que el objeto cumple con los requisitos de las normas y otros documentos reglamentarios y técnicos sobre seguridad de la información, aprobados por el organismo federal de certificación y certificación [2].

Objetos de informatización, independientemente de su carácter nacional o El hardware y el software extranjeros utilizados están certificados para cumplir con los requisitos de las normas estatales rusas o los documentos normativos y metodológicos sobre seguridad de la información aprobados por el organismo federal de certificación y certificación dentro de su competencia.

Los objetos de informatización destinados a procesar información que constituye secretos de estado, gestionar objetos ambientalmente peligrosos y realizar negociaciones secretas están sujetos a certificación obligatoria. En otros casos, la certificación es de carácter voluntario (certificación voluntaria) y puede realizarse a petición del cliente o propietario del objeto de informatización [2].

La certificación de los requisitos de seguridad de la información precede al inicio del procesamiento de la información a proteger y prevé una verificación exhaustiva (pruebas de certificación) del objeto de información protegido en condiciones reales de funcionamiento para evaluar el cumplimiento del conjunto de medidas y medios de protección de la información utilizados. con el nivel requerido de seguridad de la información [2].

La presencia de un “Certificado de Cumplimiento” válido en el objeto de informatización da derecho a procesar la información con el nivel de secreto (confidencialidad) y por el período de tiempo establecido en el “Certificado de Cumplimiento” [2].

Al certificar un objeto de informatización, se confirma su cumplimiento de los requisitos para proteger la información del acceso no autorizado a la información procesada por medios automatizados (incluidos los virus informáticos) y de la fuga de información a través de canales técnicos.

Si es necesario, por decisión del director de una empresa (institución, empresa), las organizaciones que cuentan con las licencias correspondientes del FSB de Rusia pueden realizar controles especiales para detectar la presencia de dispositivos especiales de interceptación de información electrónica («dispositivos integrados») que puedan ser instalado en locales designados o medios técnicos.

Los principios básicos, la estructura organizativa del sistema para la certificación de objetos de información de acuerdo con los requisitos de seguridad de la información, el procedimiento para realizar la certificación, así como el control y supervisión de la certificación. y el funcionamiento de los objetos de información certificados se establecen en el “Reglamento para la certificación de objetos de información según los requisitos de seguridad de la información”(en adelante — Reglamento), aprobado por el Presidente de la Comisión Técnica Estatal de Rusia el 25 de noviembre de 1994 [2].

Sistema de certificación de objetos de información según a los requisitos de seguridad de la información (en adelante, sistema de certificación) es una parte integral del sistema obligatorio unificado para la certificación de medios de seguridad de la información y la certificación de objetos de informatización de acuerdo con los requisitos de seguridad de la información y está sujeto a registro estatal en el forma establecida por la Norma Estatal de Rusia [2].

Las actividades del sistema de certificación son organizadas por el organismo federal para la certificación de productos y la certificación de objetos de informatización de acuerdo con los requisitos de seguridad de la información (en adelante, el organismo federal para la certificación y atestación), que es el Servicio Federal de Control Técnico y de Exportaciones de la Federación de Rusia (FSTEC RF) dentro de su competencia, determinada por los actos legislativos de la Federación de Rusia.

La estructura organizativa del sistema de certificación de objetos de informatización está formado por [2]:

  • organismo federal para la certificación de medios de seguridad de la información y certificación de objetos de informatización de acuerdo con los requisitos de seguridad de la información;
  • organismos para la certificación de objetos de informatización de acuerdo con los requisitos de seguridad de la información;
  • centros de pruebas (laboratorios) para la certificación de productos de acuerdo con los requisitos seguridad de la información;
  • solicitantes (clientes, propietarios, desarrolladores de objetos de información certificados).

Organismo federal de certificación y certificación lleva a cabo las siguientes funciones [2]:

  • organiza la certificación obligatoria de los objetos de informatización;
  • crea sistemas de certificación para los objetos de informatización y establece reglas para la certificación en estos sistemas;
  • establece las reglas para la acreditación y emisión de licencias para la realización de trabajos de certificación obligatoria;
  • organiza, financia el desarrollo y aprueba documentos normativos y metodológicos para la certificación de objetos de informatización;
  • acredita a los organismos para la certificación de objetos de informatización y les otorga licencias para realizar ciertos tipos de trabajo;
  • ejerce control y supervisión estatal sobre el cumplimiento de las normas de certificación y el funcionamiento de los objetos de informatización certificados;
  • considera las apelaciones que surgen en el proceso de certificación de objetos de informatización y control sobre el funcionamiento de los objetos de informatización certificados;
  • organiza la publicación periódica de información sobre el funcionamiento del sistema de certificación de objetos de acuerdo con los requisitos de seguridad de la información.

Los organismos de certificación de objetos están acreditados por el organismo federal de certificación y atestación y reciben de él se obtiene una licencia para realizar la certificación de objetos de información.

Dichos organismos pueden ser organizaciones industriales y regionales, empresas y organizaciones de protección de la información, centros especiales del Servicio Federal de Control Técnico y de Exportaciones de la Federación de Rusia.

Las reglas de acreditación están determinadas por el sistema actual «Reglamento sobre la acreditación de laboratorios de pruebas y organismos de certificación de medios para requisitos de seguridad de la información» para organismos de certificación.

Organismos de certificación [2]:

  • certificar objetos de información y emitir “Certificados de Cumplimiento”;
  • monitorear el funcionamiento de los objetos de información certificados y la seguridad de la información que circula sobre ellos;
  • cancelar y suspender la vigencia de los “Certificados de Cumplimiento” emitidos por este organismo;
  • formar un fondo de documentación normativa y metodológica necesaria para la certificación de tipos específicos de objetos de informatización, participar en su desarrollo;
  • mantener una base de información de objetos de informatización certificados por este organismo;
  • interactuar con el organismo de certificación y certificación e informarle trimestralmente sobre sus actividades en el campo de la certificación.

Los organismos de certificación de objetos de informatización son responsables de cumplir las funciones que les son asignadas, garantizar la seguridad de los secretos estatales y comerciales, así como de observar los derechos de autor de los desarrolladores de objetos de informatización certificados y sus componentes.

Centros de pruebas (laboratorios) certificación de productos de acuerdo con los requisitos de seguridad de la información de acuerdo con las órdenes de los solicitantes, pruebas de productos no certificados utilizados en una instalación de informatización sujeta a certificación obligatoria de acuerdo con el «Reglamento sobre la certificación de medios de seguridad de la información de acuerdo con los requisitos de seguridad de la información» [2].

Solicitantes [2]:

  • preparar el objeto de informatización para la certificación mediante las medidas organizativas y técnicas necesarias para proteger la información;
  • contratar a los organismos de certificación para organizar y realizar la certificación de un objeto de informatización de forma contractual;
  • proporcionar a los organismos de certificación los documentos y condiciones necesarios para la certificación;
  • si es necesario, involucrar a los centros de certificación de pruebas para probar las herramientas de seguridad de la información no certificadas utilizadas en el objeto de información certificado;
  • operar el objeto de información de acuerdo con las condiciones y requisitos establecidos en el “Certificado de Conformidad”;
  • notificar al organismo de certificación que emitió el «Certificado de conformidad» sobre todos los cambios en la tecnología de la información, la composición y ubicación de las herramientas y sistemas de tecnología de la información, las condiciones de su operación que pueden afectar la efectividad de las medidas y medios de seguridad de la información (lista de características que determinan la seguridad de la información, los cambios que deben ser notificados al organismo de certificación se dan en el “Certificado de Conformidad”);
  • proporcionar los documentos y condiciones necesarios para monitorear y supervisar el funcionamiento de un objeto de tecnología de la información que ha pasado la certificación obligatoria.

Los costos de todos los trabajos y servicios para la certificación obligatoria y voluntaria de los objetos de informatización son pagados por los solicitantes.

El pago por el trabajo de certificación obligatoria se realiza de acuerdo con el contrato a precios aprobados en la forma establecida por el organismo federal para la certificación y certificación dentro de sus límites competencia, de acuerdo con el Ministerio de Finanzas de la Federación de Rusia y, en su defecto, a un precio acordado.

Los costos de realizar todo tipo de trabajos y servicios para la certificación de objetos de informatización son pagados por los solicitantes con fondos asignados para el desarrollo (revisión) e implementación del objeto de información protegido.

El procedimiento para certificar objetos de información para el cumplimiento de los requisitos de seguridad de la información incluye las siguientes acciones [2]:

  • presentación de una solicitud para su consideración y certificación;
  • análisis de los datos iniciales sobre el objeto de informatización certificado;
  • realización de un estudio preliminar especial de informatización del objeto que se certifica;
  • desarrollo de un programa y metodología para las pruebas de certificación;
  • celebración de acuerdos de certificación;
  • pruebas de herramientas y sistemas de seguridad de la información no certificados utilizados en la instalación certificada (si es necesario);
  • llevar a cabo controles especiales para detectar la presencia de posibles dispositivos electrónicos de interceptación de información;
  • realizar pruebas de certificación del objeto de informatización;
  • ejecutar, registrar y emitir un “Certificado de Cumplimiento”;
  • implementación del control y supervisión estatal, control de inspección sobre la certificación y operación de objetos de información certificados;
  • consideración de apelaciones.

Consideremos el procedimiento para certificar objetos de información para cumplimiento de requisitos de seguridad de la información frente a filtraciones por canales técnicos.

El solicitante, para obtener un “Certificado de Conformidad”, envía previamente al organismo de certificación una solicitud de certificación con los datos iniciales sobre el objeto de informatización certificado, que incluye:

  • una lista de objetos de informatización sujetos a certificación y locales asignados, indicando para cada destino, categoría y ubicación;
  • una lista de los medios técnicos instalados para procesar información de acceso limitado (TSI), que indica la presencia de un certificado de conformidad (instrucciones de operación), una conclusión basada en los resultados de una verificación especial para detectar la presencia de dispositivos electrónicos de interceptación posiblemente instalados información, categorías y lugares (locales) de su instalación;
  • una lista de medios y sistemas técnicos auxiliares instalados (HTSS), que indica la presencia de un certificado de conformidad, una conclusión basada en los resultados de un especial comprobar la presencia de posibles dispositivos electrónicos integrados de interceptación de información y sus lugares de instalación;
  • una lista de los medios técnicos instalados de protección de la información que indique la disponibilidad de un certificado de conformidad y sus lugares de instalación.

El organismo de certificación revisa la solicitud dentro de un mes y, con base en los datos iniciales, selecciona un esquema de certificación, lo coordina con el solicitante y toma la decisión de llevar a cabo la certificación del objeto de informatización.

Si el inicial los datos sobre el objeto de informatización certificado son insuficientes, el trabajo se incluye en el esquema de certificación de acuerdo con un examen especial preliminar del objeto certificado, realizado antes de la etapa de pruebas de certificación.

Cuando se utilizan herramientas y sistemas de seguridad de la información no certificados en un objeto de informatización certificado, el esquema de certificación puede incluir trabajos de prueba en centros de pruebas para la certificación de medios de seguridad de la información de acuerdo con los requisitos de seguridad de la información o directamente en el objeto de informatización certificado mediante un control especial. equipos y herramientas de prueba.

Con base en los resultados de la consideración de la aplicación y el análisis de los datos iniciales, así como un examen especial preliminar del objeto certificado, el organismo de certificación desarrolla un programa de pruebas de certificación, proporcionando una lista de trabajos y su duración, métodos de prueba ( si no se utilizan métodos estándar), se determina la composición (cuantitativa y profesional) de la comisión de certificación designada por el organismo para la certificación de los objetos de informatización, la necesidad de utilizar equipos de control y herramientas de prueba en el objeto de informatización certificado o de involucrar pruebas centros de certificación de medios de seguridad de la información de acuerdo con los requisitos de seguridad de la información [2].

El programa de pruebas se desarrolla a partir del análisis de los datos iniciales sobre el objeto de informatización y debe incluir los tipos de pruebas necesarios, ciertos recomendaciones metodológicas para los tipos relevantes de objetos de informatización (locales dedicados, sistemas automatizados, sistemas de comunicación, etc.), así como determinar los términos, condiciones y métodos de prueba.

El programa de pruebas de certificación se acuerda con el solicitante y puede aclararse y ajustarse durante el proceso de prueba de acuerdo con el solicitante y el jefe de la comisión de certificación.

El procedimiento, contenido, condiciones y métodos de prueba para la evaluación de las características e indicadores verificados durante la certificación, su cumplimiento con los requisitos establecidos, así como los equipos de control y herramientas de prueba utilizados para estos fines se determinan en los métodos de prueba para diversos objetos de informatización.

La composición de la documentación normativa y metodológica para la certificación de objetos de informatización específicos la determina el organismo de certificación en función de las condiciones de funcionamiento de los objetos de informatización con base en un análisis de los datos iniciales del objeto certificado. La documentación regulatoria y metodológica incluye únicamente aquellos indicadores, características y requisitos que pueden verificarse objetivamente.

La documentación reglamentaria y metodológica sobre los métodos de prueba debe contener referencias a las condiciones, el contenido y el procedimiento para realizar las pruebas, los equipos de control y las herramientas de prueba utilizados durante las pruebas, minimizando los errores en los resultados de las pruebas y permitiendo que estos resultados se reproduzcan.

Los textos de los documentos normativos y metodológicos utilizados en la certificación de objetos de informatización deben formularse de forma clara y clara, asegurando su interpretación precisa y uniforme, deben contener una indicación de la posibilidad de utilizar el documento para la certificación de ciertos tipos de objetos de informatización de acuerdo con; requisitos de seguridad de la información o áreas de protección de la información.

La etapa de preparación finaliza con la celebración de un acuerdo entre el solicitante y el organismo de certificación para realizar la certificación, la celebración de acuerdos (contratos) del organismo de certificación con el. expertos involucrados y la emisión de una orden para la admisión de la comisión de certificación para realizar la certificación [2].

El pago por el trabajo de los miembros de la comisión de certificación lo realiza el organismo de certificación de conformidad con los contratos de trabajo celebrados a expensas de los recursos financieros de los contratos celebrados para la certificación de objetos de información.

Las pruebas de certificación prevén un verificación exhaustiva del objeto protegido en condiciones reales de funcionamiento para evaluar la conformidad del conjunto de medidas y medios de protección utilizados con el nivel requerido de seguridad de la información y se llevan a cabo en el siguiente orden [1, 2]:

  • análisis y evaluación de datos originales y documentación sobre la protección de la información en una instalación de protección de la información, evaluación de la categorización correcta de las instalaciones e instalaciones de información asignadas;
  • evaluación del nivel de capacitación del personal y distribución de la responsabilidad para cumplir con la información requisitos de protección;
  • examen especial del objeto de informatización;
  • prueba de herramientas y sistemas de seguridad de la información individuales en centros de pruebas para la certificación de productos de acuerdo con los requisitos de seguridad de la información (si es necesario);
  • inspecciones especiales de medios técnicos para detectar la presencia de dispositivos electrónicos especiales posiblemente integrados para interceptar información;
  • inspecciones especiales de locales para detectar la presencia de dispositivos electrónicos especiales posiblemente integrados para interceptar información;
  • pruebas de herramientas y sistemas de seguridad de la información individuales para el objeto certificado utilizando equipos especiales de control y medición;
  • análisis de los resultados de una encuesta especial y pruebas de certificación, desarrollo de recomendaciones para mejorar las medidas tomadas para proteger la información contra fugas a través de canales técnicos, cierre de canales identificados de fuga de información;
  • preparación de documentación de informes — informes de prueba y conclusiones basadas en los resultados de las pruebas de certificación con las conclusiones de la comisión sobre el cumplimiento (o incumplimiento) del objeto de información con los requisitos establecidos, que se presenta al organismo de certificación para que tome una decisión sobre la emisión de un » Certificado de Conformidad”.

Para realizar las pruebas, el solicitante presenta al organismo de certificación los siguientes datos y documentación iniciales:

  • documentación de aceptación del objeto de informatización;
  • actos de categorización de las instalaciones asignadas e informatización objetos;
  • instrucciones para operar herramientas de seguridad de la información;
  • pasaporte técnico para el objeto certificado;
  • documentos de operación (certificados de cumplimiento de los requisitos de seguridad de la información) TSOI;
  • certificados de cumplimiento de los requisitos de seguridad de la información en VTSS;
  • certificados de cumplimiento de los requisitos de seguridad de la información para los medios técnicos de protección de la información;
  • actos por trabajos ocultos realizados;
  • protocolos para medir el aislamiento acústico de las instalaciones asignadas y la eficacia del blindaje de estructuras y cabinas (si se llevaron a cabo);
  • protocolos para medir el valor de la resistencia de puesta a tierra;
  • protocolos para medir la atenuación real de las señales de información en los lugares de posible ubicación de equipos de reconocimiento;
  • datos sobre el nivel de capacitación del personal que garantiza la seguridad de la información;
  • datos sobre soporte técnico para el monitoreo la eficacia de la seguridad de la información y su verificación metrológica;
  • documentación reglamentaria y metodológica sobre la seguridad de la información y la eficacia del control de la protección.

El volumen total dado de datos y documentación iniciales puede ser aclarado por el solicitante en función de las características del objeto de información certificado de acuerdo con la comisión de certificación.

Добавить комментарий

2 + пять =

Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять