Artículos

Normativa sobre certificación de objetos de informatización según requisitos de seguridad de la información.

logo11d 4 1

Normas sobre certificación de objetos de informatización según a la información de requisitos de seguridad.

Normativa sobre certificación de objetos de informatización según los requisitos de seguridad de la información

&# 171;APROBADO»
Presidente de la Comisión Técnica Estatal
bajo el
Presidente de la Federación de Rusia
Yushin
&. #187; 25» Noviembre de 1994

REGLAMENTO
sobre certificación de objetos de información según
requisitos de seguridad de la información
Moscú
1994

Contenido:

  1. Disposiciones generales
  2. Estructura organizativa del sistema de certificación de objetos de informatización según requisitos de seguridad de la información.
  3. El procedimiento de certificación y control
  4. Requisitos para los documentos reglamentarios y metodológicos para la certificación de objetos de informatización
  5. Apéndice 1
  6. Apéndice 2

1. DISPOSICIONES GENERALES

1.1. Este Reglamento establece los principios básicos, la estructura organizativa del sistema de certificación de objetos de informatización de acuerdo con los requisitos de seguridad de la información, el procedimiento de certificación, así como el control y supervisión de la certificación y operación de los objetos de informatización certificados.

1.2. El Reglamento se desarrolló de conformidad con las leyes de la Federación de Rusia «Sobre la certificación de productos y servicios» y «Sobre el secreto de Estado», «Reglamento sobre el sistema estatal de protección de la información en la Federación de Rusia frente a inteligencia técnica extranjera y contra su filtración a través de canales técnicos», «Reglamento sobre secretos de Estado», concesión de licencias para actividades en el campo de la seguridad de la información», «Reglamento sobre la certificación de medios de seguridad de la información según los requisitos de seguridad de la información», «sistema de certificación GOST R».

1.3. El sistema de certificación de objetos de informatización según los requisitos de seguridad de la información (en adelante, el sistema de certificación) es parte integral del sistema unificado de certificación de medios de seguridad de la información y certificación de objetos de informatización según los requisitos de seguridad de la información y está sujeto a las normas estatales. registro en la forma establecida por la Norma Estatal de Rusia. Las actividades del sistema de certificación están organizadas por el organismo federal para la certificación de productos y la certificación de objetos de información de acuerdo con los requisitos de seguridad de la información (en adelante, el organismo federal para la certificación y atestación), que es la Comisión Técnica Estatal de Rusia.

1.4. Se entiende por certificación de objetos de informatización un conjunto de medidas organizativas y técnicas, por lo que, a través de un documento especial — «Certificado de Conformidad» se confirma que el objeto cumple con los requisitos de las normas u otros documentos normativos y técnicos sobre seguridad de la información aprobados por la Comisión Técnica Estatal de Rusia.

La presencia en el objeto de informatización de un « Certificado de conformidad» da derecho a procesar la información con el nivel de secreto (confidencialidad) y por el período de tiempo establecido en el «Certificado de Cumplimiento».

1.5. Los objetos de informatización destinados a procesar información que constituye secretos de estado, gestionar objetos ambientalmente peligrosos y realizar negociaciones secretas están sujetos a certificación obligatoria.

En otros casos, la certificación es voluntaria (certificación voluntaria) y puede llevarse a cabo por iniciativa del cliente o titular objeto de la informatización.

La certificación según los requisitos de seguridad de la información precede al inicio del procesamiento de la información a proteger y surge de la necesidad de confirmar oficialmente la efectividad del conjunto de medidas y medios de protección de la información utilizados en una instalación de informatización específica.

1.6. La certificación de un objeto de informatización se enfrenta adecuadamente a la inspección de información proveniente de accesos no autorizados, incluso desde computadoras, de fugas debidas a radiación amagnética lateral y de la identificación de impactos especiales en el objeto (inversión e irradiación de alta frecuencia, electrofoiling y parásitos). efectos), desde la comodidad de Chki o influyendo en él debido a dispositivos especiales integrados en los objetos de informatización.

1.7. La certificación prevé una verificación exhaustiva (pruebas de certificación) del objeto de información protegida en condiciones reales de funcionamiento para evaluar el cumplimiento del conjunto de medidas y medios de protección aplicados con el nivel requerido de seguridad de la información.

1.8. La certificación la lleva a cabo el organismo de certificación en la forma establecida por este Reglamento de acuerdo con el esquema seleccionado por este organismo en la etapa de preparación para la certificación de la siguiente lista principal de trabajos:

  • análisis de datos originales sobre el objeto de información certificado;
  • familiarización preliminar con el objeto certificado de informatización;
  • realizar un examen pericial del objeto de informatización y análisis de la documentación desarrollada para la protección de la información en este objeto desde el punto de vista de su cumplimiento de los requisitos de la documentación reglamentaria y metodológica;
  • realizar pruebas de herramientas y sistemas de seguridad de la información individuales en el objeto de informatización certificado utilizando equipos de control especiales y herramientas de prueba;
  • pruebas de herramientas y sistemas de seguridad de la información individuales en centros de pruebas (laboratorios) para la certificación de herramientas de seguridad de la información de acuerdo con los requisitos de seguridad de la información;
  • realizar pruebas integrales de certificación de un objeto de informatización en condiciones reales de funcionamiento;
  • análisis de los resultados del peritaje y pruebas integrales de certificación del objeto de informatización y aprobación de la conclusión con base en los resultados de la certificación.

1.9. Los organismos de certificación están acreditados por la Comisión Técnica Estatal de Rusia. Las reglas de acreditación están determinadas por el sistema actual «Reglamento sobre la acreditación de laboratorios de pruebas y organismos de certificación de equipos de seguridad de la información de acuerdo con los requisitos de seguridad de la información».

La Comisión Técnica Estatal de Rusia puede transferir los derechos de acreditar organismos de certificación (departamentales) específicos de la industria a otros organismos gubernamentales.

1.10. Los costos de realización de todo tipo de trabajos y servicios para la certificación obligatoria y voluntaria de los objetos de informatización corren a cargo de los solicitantes.

El pago por el trabajo de certificación obligatorio se realiza de acuerdo con el contrato a las tarifas aprobadas y, en su defecto, — a un precio negociado en la forma establecida por la Comisión Técnica Estatal de Rusia de acuerdo con el Ministerio de Finanzas de la Federación de Rusia, .

Los costos de realización de todo tipo de trabajos y servicios para la certificación de objetos de informatización son pagados por los solicitantes con cargo a los recursos financieros asignados para el desarrollo (revisión) e implementación del objeto de informatización protegido.

1.11. Los organismos de certificación de objetos de informatización son responsables de cumplir las funciones que les son asignadas, garantizar la seguridad de los secretos estatales y comerciales, así como de observar los derechos de autor de los desarrolladores de objetos de informatización certificados y sus componentes.

2. ESTRUCTURA ORGANIZATIVA DEL SISTEMA DE CERTIFICACIÓN DE OBJETOS DE INFORMACIÓN SEGÚN LOS REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN

2.1. La estructura organizativa del sistema de certificación de objetos de información está formada por:

  • organismo federal para la certificación de medios de seguridad de la información y la certificación de objetos de información de acuerdo con los requisitos de seguridad de la información — Comisión Técnica Estatal de Rusia;
  • organismos de certificación de objetos de informatización según los requisitos de seguridad de la información;
  • centros de pruebas (laboratorios) para la certificación de productos según requisitos de seguridad de la información;
  • solicitantes (clientes, propietarios, desarrolladores de objetos de información certificados).
  • 2.2. El Organismo Federal de Certificación y Atestación realiza las siguientes funciones:
  • organiza la certificación obligatoria de los objetos de informatización;
  • crea sistemas para la certificación de objetos de informatización y establece reglas para la certificación en estos sistemas;
  • establece las reglas para la acreditación y emisión de licencias para la realización de trabajos bajo certificación obligatoria;
  • organiza, financia el desarrollo y aprueba documentos normativos y metodológicos para la certificación de objetos de informatización;
  • acredita organismos para la certificación de objetos de tecnología de la información y les otorga licencias para realizar ciertos tipos de trabajo;
  • ejerce control y supervisión estatal sobre el cumplimiento de las normas de certificación y el funcionamiento de los objetos de informatización certificados;
  • considera los recursos que surgen en el proceso de certificación de objetos de informatización y control sobre el funcionamiento de los objetos de informatización certificados;
  • organiza la publicación periódica de información sobre el funcionamiento del sistema de certificación de objetos de información de acuerdo con los requisitos de seguridad de la información.

2.3. Los organismos de certificación de objetos de informatización están acreditados por la Comisión Técnica Estatal de Rusia y reciben de ella una licencia para el derecho a realizar la certificación de objetos de informatización.

Dichos organismos pueden ser instituciones industriales y regionales, empresas y organizaciones para la protección de la información, centros especiales de la Comisión Técnica Estatal de Rusia.

2.4. Organismos de certificación:

  • certifican objetos de información y emiten «Certificados de Cumplimiento»;
  • supervisar la seguridad de la información que circula en las instalaciones de información certificadas y su funcionamiento;
  • cancelar y suspender la vigencia de los «Certificados de Cumplimiento»
  • formar un fondo de documentación normativa y metodológica necesaria para la certificación de tipos específicos de objetos de informatización, participar en su desarrollo;
  • mantener una base de información de los objetos de informatización certificados por este organismo;
  • cooperar con la Comisión Técnica Estatal de Rusia e informarle trimestralmente sobre sus actividades en el campo de la certificación.

2.5. Los centros de pruebas (laboratorios) para la certificación de productos de acuerdo con los requisitos de seguridad de la información, por orden de los solicitantes, realizan pruebas de productos no certificados utilizados en una instalación de ciencias de la información sujeta a certificación obligatoria, de acuerdo con el «Reglamento sobre certificación de información». medios de seguridad según los requisitos de seguridad de la información».

2.6. Solicitantes:

  • preparar el objeto de información para la certificación implementando las medidas organizativas y técnicas necesarias para proteger la información;
  • atraer organismos de certificación para organizar y realizar la certificación del objeto de informatización;
  • proporcionar a los organismos de certificación los documentos y condiciones necesarios para la certificación;
  • involucrar, si es necesario, a los centros de pruebas (laboratorios) de certificación para que realicen pruebas de herramientas de seguridad de la información no certificadas utilizadas en el objeto de informatización certificado;
  • realizar la operación del objeto de informatización de acuerdo con las condiciones y requisitos establecidos en el «Certificado de Conformidad»;
  • notificar al organismo de certificación que emitió el «Certificado de Conformidad&#187 de todos los cambios en la tecnología de la información, la composición y ubicación de las herramientas y sistemas de la tecnología de la información, las condiciones de su operación, que puedan afectar la eficacia de las medidas y medios de protección de la información (la lista de características que determinan la seguridad de la información, cuyos cambios deben notificarse al organismo de certificación, figura en el «Certificado de Conformidad»);
  • proporcionar los documentos y condiciones necesarios para monitorear y supervisar el funcionamiento de un objeto de tecnología de la información que haya pasado la certificación obligatoria.

3. PROCEDIMIENTO DE CERTIFICACIÓN Y CONTROL

3.1. El procedimiento para la certificación de objetos de informatización de acuerdo con los requisitos de seguridad de la información incluye las siguientes acciones:

  • presentación y consideración de una solicitud de certificación;
  • familiarización preliminar con el objeto certificado;
  • pruebas de herramientas y sistemas de seguridad de la información no certificados utilizados en la instalación certificada (si es necesario);
  • desarrollo de un programa y metodología para pruebas de certificación;
  • celebración de acuerdos de certificación;
  • realizar pruebas de certificación del objeto de informatización;
  • ejecución, registro y emisión de un «Certificado de Cumplimiento»;
  • implementación del control y supervisión estatal, control de inspección sobre la certificación y operación de objetos de informatización certificados;
  • Consideración de recursos.

3.2. Presentación y consideración de una solicitud de certificación.

3.2.1. El solicitante de obtener un «Certificado de Cumplimiento» envía previamente al organismo de certificación una solicitud de certificación con los datos iniciales sobre el objeto de información certificado en el formulario que figura en el Apéndice 1.

3.2.2. El organismo de certificación revisa la solicitud dentro de un mes y, con base en el análisis de los datos iniciales, selecciona un esquema de certificación, lo coordina con el solicitante y toma la decisión de realizar la certificación del objeto de informatización.

3.3. Familiarización preliminar con el objeto certificado.

Si no hay datos iniciales suficientes sobre el objeto de informatización certificado, el esquema de certificación incluye el trabajo de familiarización preliminar con el objeto certificado, realizado antes de la etapa de pruebas de certificación.

3.4. Pruebas de herramientas y sistemas de seguridad de la información no certificados utilizados en la instalación de informatización certificada.

3.4.1. Cuando se utilizan herramientas y sistemas de seguridad de la información no certificados en una instalación de seguridad de la información certificada, el esquema de certificación puede incluir trabajo en sus pruebas en centros de pruebas (laboratorios) para la certificación de herramientas de seguridad de la información de acuerdo con los requisitos de seguridad de la información o directamente en la instalación de seguridad de la información certificada utilizando un equipo de control especial y fondos de prueba.

3.4.2. Las pruebas de herramientas y sistemas de seguridad de la información individuales no certificados en los centros de pruebas de certificación (laboratorios) se llevan a cabo antes de las pruebas de certificación de los objetos de informatización.

En este caso, el solicitante deberá presentar las conclusiones de los organismos de certificación de herramientas de seguridad de la información sobre los requisitos y certificados de seguridad de la información antes del inicio de las pruebas de certificación.

3.5. Desarrollo de un programa y metodología para pruebas de certificación.

3.5.1. Con base en los resultados de la consideración de la aplicación y el análisis de los datos iniciales, así como la familiarización preliminar con el objeto certificado, el organismo de certificación desarrolla un programa de pruebas de certificación, que incluye una lista de trabajos y su duración, métodos de prueba (o estándar se utilizan métodos), se determina la composición cuantitativa y profesional de la comisión de certificación, la autoridad designada para la certificación de objetos de informatización, la necesidad de utilizar equipos de control y herramientas de prueba en el objeto de informatización certificado o involucrar centros de pruebas (laboratorios) para la certificación de herramientas de seguridad de la información de acuerdo a los requerimientos de seguridad de la información.

3.5.2. El procedimiento, contenido, condiciones y métodos de prueba para evaluar las características e indicadores verificados durante la certificación, su cumplimiento de los requisitos establecidos, así como los equipos de control y herramientas de prueba utilizados para estos fines se determinan en los métodos de prueba para diversos tipos de objetos de informatización. .

3.5.3. El programa de pruebas de certificación se acuerda con el solicitante.

3.6. Celebración de contratos de certificación.

3.6.1. La etapa de preparación finaliza con la celebración de un acuerdo entre el solicitante y el organismo de certificación para realizar la certificación, la celebración de acuerdos (contratos) del organismo de certificación con los expertos involucrados y la ejecución de una orden para la admisión de la comisión de certificación a realizar la certificación.

3.6.2. El pago por el trabajo de los miembros de la comisión de certificación lo realiza el organismo de certificación de acuerdo con los acuerdos laborales (contratos) celebrados a expensas de los recursos financieros de los acuerdos celebrados para la certificación de objetos de informatización.

3.7. Realización de pruebas de certificación de objetos de informatización.

3.7.1. En la etapa de pruebas de certificación del objeto de informatización:

  • Se realiza un análisis de la estructura organizativa del objeto de informatización, los flujos de información, la composición y estructura del complejo de hardware y software, el sistema de seguridad de la información en la instalación, la documentación desarrollada y su cumplimiento de los requisitos de la documentación reglamentaria sobre protección de la información;
  • se determina la exactitud de la categorización de objetos de equipos electrónicos y la clasificación de sistemas automatizados (durante la certificación de sistemas automatizados), la selección y el uso de herramientas y sistemas de seguridad de la información certificados y no certificados;
  • las pruebas de medios no certificados y sistemas de seguridad de la información se llevan a cabo en una instalación certificada o el análisis de los resultados de sus pruebas en centros de pruebas (laboratorios) para la certificación;
  • se verifica el nivel de capacitación del personal y la distribución de responsabilidades del personal para garantizar el cumplimiento de los requisitos de seguridad de la información;
  • Se realizan pruebas integrales de certificación del objeto de informatización en condiciones reales de operación verificando el cumplimiento real de los requisitos establecidos en las distintas etapas del proceso tecnológico de procesamiento de la información protegida;
  • Se elaboran informes de prueba y una conclusión basada en los resultados de la certificación con recomendaciones específicas para eliminar infracciones, adecuar el sistema de protección del objeto de tecnología de la información a los requisitos establecidos y mejorar este sistema, así como recomendaciones para monitorear el funcionamiento del objeto de tecnología de la información.

3.7.2. Conclusión sobre los resultados de la certificación con una breve evaluación del cumplimiento del objeto de informatización con los requisitos de seguridad de la información, una conclusión sobre la posibilidad de emitir un «Certificado de Conformidad» y las recomendaciones necesarias son firmadas por los miembros de la comisión de certificación y comunicadas al solicitante.

Se adjuntan a la conclusión los informes de prueba que confirman los resultados obtenidos durante las pruebas y justifican la conclusión dada en la conclusión.

Los informes de prueba están firmados por expertos — miembros de la comisión de certificación que realizaron las pruebas.

Los informes de conclusión y de prueba están sujetos a la aprobación del organismo de certificación.

3.8. Inscripción, registro y emisión de un «Certificado de Cumplimiento».

3.8.1. «Certificado de Conformidad» para un objeto de tecnología de la información que cumple con los requisitos de seguridad de la información, es emitido por el organismo de certificación en el formulario que figura en el Apéndice 2.

3.8.2. «Certificado de Conformidad» se redacta y se emite al solicitante después de la aprobación de la conclusión basada en los resultados de la certificación.

3.8.3. Registro de «Certificados de Conformidad» realizado a nivel industrial o territorial por los organismos de certificación con el fin de mantener una base de información de los objetos de informatización certificados y planificar las actividades de control y supervisión.

El mantenimiento de bases de datos consolidadas de información de los objetos de informatización certificados lo lleva a cabo la Comisión Técnica Estatal de Rusia o, siguiendo sus instrucciones, uno de los órganos de supervisión de la certificación y operación de los objetos certificados.

3.8.4. «Certificado de Conformidad» es emitido al propietario de un objeto de informatización certificado por el organismo de certificación por un período durante el cual la invariancia de las condiciones de funcionamiento del objeto de informatización y la tecnología para procesar la información protegida, lo que puede afectar las características que determinan la seguridad de la información (composición y estructura de los medios técnicos, condiciones de colocación, software utilizado), marco, modos de procesamiento de la información, medios y medidas de protección), pero no más de 3 años.

El propietario de un objeto de informatización certificado es responsable del cumplimiento de las condiciones operativas establecidas del objeto de informatización, la tecnología para el procesamiento de la información protegida y los requisitos de seguridad de la información.

3.8.5. En caso de un cambio en las condiciones y la tecnología para el procesamiento de la información protegida, los propietarios de los objetos certificados deben notificar al organismo de certificación, quien decide sobre la necesidad de realizar una verificación adicional de la efectividad del sistema de protección del objeto de información.

3.8.6. Si el objeto certificado no cumple con los requisitos de seguridad de la información y es imposible eliminar rápidamente las deficiencias observadas por la comisión de certificación, el organismo de certificación toma la decisión de negarse a emitir un «Certificado de Conformidad».

En este caso, se podrá proponer un período de recertificación, sujeto a la eliminación de deficiencias.

Si hay comentarios de naturaleza sin principios «Certificado de Conformidad» podrá emitirse después de verificar que estos comentarios han sido corregidos.

3.9. Consideración de recursos.

Si el solicitante no está de acuerdo con la negativa a emitir un «Certificado de Cumplimiento» tiene derecho a apelar ante un organismo de certificación superior o directamente a la Comisión Técnica Estatal de Rusia con una apelación para una consideración adicional de los resultados obtenidos durante las pruebas, donde se considera dentro de un mes con la participación de las partes interesadas. Se notifica al recurrente la decisión adoptada.

3.10. Control y supervisión estatal, control de inspección sobre el cumplimiento de las reglas de certificación y operación de objetos de informatización certificados.

3.10.1. El control y la supervisión estatales, el control de inspección sobre la certificación de los objetos de informatización lo lleva a cabo la Comisión Técnica Estatal de Rusia tanto durante el proceso como al finalizar la certificación, y sobre el funcionamiento de los objetos de informatización certificados — periódicamente de acuerdo con los planes de trabajo de control y supervisión.

La Comisión Técnica Estatal de Rusia puede transferir algunas de sus funciones de control estatal y supervisión de la certificación y operación de objetos de informatización certificados a organismos de certificación acreditados.

3.10.2. El volumen, contenido y procedimiento del control y supervisión estatal se establecen en la documentación reglamentaria y metodológica para la certificación de objetos de informatización.

3.10.3. El control y la supervisión estatal sobre el cumplimiento de las reglas de certificación incluyen verificar la exactitud e integridad de las medidas tomadas para certificar objetos de información, el registro y consideración por parte de los organismos de certificación de los documentos de informes y los informes de prueba, la introducción oportuna de cambios en la documentación regulatoria y metodológica sobre seguridad de la información, inspección. control sobre el funcionamiento de la informatización de objetos certificados.

3.10.4. En caso de violaciones graves por parte del organismo de certificación de los requisitos de las normas u otros documentos reglamentarios y metodológicos sobre seguridad de la información, identificadas durante el control y supervisión, el organismo de certificación podrá ser privado de la licencia para realizar la certificación de objetos de informatización.

3.10.5. Si se detecta una violación de las reglas para la operación de objetos de tecnología de la información certificados, la tecnología para el procesamiento de información protegida y los requisitos de seguridad de la información, el organismo que realiza el control y supervisión podrá suspender o cancelar el «Certificado de Conformidad», con este decisión que se formaliza en «Certificado de Conformidad» e informar al organismo que mantiene una base de información consolidada de objetos informáticos certificados y a la Comisión Técnica Estatal de Rusia.

Decisión de cancelar el «Certificado de Cumplimiento» adoptado en el caso de que, como resultado de la pronta adopción de medidas organizativas y técnicas de protección, no se pueda restablecer el nivel requerido de seguridad de la información.

3.10.6. En caso de violaciones graves por parte del organismo de certificación de los requisitos de las normas u otros documentos reglamentarios sobre seguridad de la información aprobados por la Comisión Técnica Estatal de Rusia, identificadas durante el control y la supervisión y que conduzcan a una nueva certificación, los costos de control y supervisión pueden ser recuperado del organismo por decisión de la prueba de Arbitraje del Estado. La recertificación también se puede realizar a expensas de este organismo de certificación.

3.10.7. Los costos de supervisión de la certificación obligatoria y el funcionamiento de las instalaciones que han sido sometidas a la certificación obligatoria son pagados por la autoridad de supervisión con cargo a los fondos del presupuesto estatal que se le asignan para estos fines.

4. REQUISITOS DE DOCUMENTOS REGLAMENTARIOS Y METODOLÓGICOS PARA LA CERTIFICACIÓN DE OBJETOS DE INFORMACIÓN

4.1. Los objetos de informatización, independientemente del hardware y software nacionales o extranjeros utilizados, están certificados para cumplir con los requisitos de las normas estatales u otros documentos reglamentarios sobre seguridad de la información aprobados por la Comisión Técnica Estatal de Rusia.

4.2. La composición de la documentación normativa y metodológica para la certificación de objetos de informatización específicos la determina el organismo de certificación dependiendo del tipo y las condiciones de funcionamiento de los objetos de informatización con base en un análisis de los datos iniciales sobre el objeto certificado.

4.3. La documentación regulatoria incluye solo aquellos indicadores, características y requisitos que pueden verificarse objetivamente.

4.4. La documentación reglamentaria y metodológica para los métodos de prueba debe contener referencias a las condiciones, el contenido y el procedimiento para realizar las pruebas, los equipos de control y las herramientas de prueba utilizadas durante las pruebas, minimizando los errores en los resultados de las pruebas y permitiendo que estos resultados se reproduzcan.

4.5. Los textos de los documentos normativos y metodológicos utilizados en la certificación de objetos de informatización deben formularse de forma clara y precisa, asegurando su interpretación precisa y uniforme. Deben contener una indicación de la posibilidad de utilizar el documento para la certificación de ciertos tipos de objetos de información de acuerdo con los requisitos de seguridad de la información o áreas de protección de la información.

4.6. El idioma oficial del sistema de certificación es el ruso, en el que se redactan todos los documentos utilizados y emitidos en el marco del sistema de certificación.

JEFE DEL DEPARTAMENTO DE LA COMISIÓN TÉCNICA DEL ESTADO BAJO EL PRESIDENTE DE LA FEDERACIÓN DE RUSIA

 

V . Virkovsky

» 24» Noviembre de 1994

Apéndice 1

Para:________________________________________________
(nombre del organismo de certificación y su dirección)

Solicitud

para la certificación de un objeto de informatización

1.________________________________________________________________
________________________________________________________________
(nombre de el solicitante)

solicita certificación _____________________________________________
________________________________________________________________
________________________________________________________________
(nombre del objeto de información)

para el cumplimiento de los requisitos de seguridad de la información:_______________
_________________________________________________________________
_________________________________________________________________

2. Se adjuntan los datos iniciales necesarios para el objeto de informatización certificado.

3. El solicitante está dispuesto a proporcionar los documentos y condiciones necesarios para la certificación.

4. El solicitante se compromete a pagar de forma contractual los costos de todo tipo de trabajos y servicios para la certificación del objeto de informatización especificado en esta solicitud.

5. Términos o información adicional para el acuerdo:

5.1. Propongo realizar una familiarización preliminar con el objeto certificado durante el período ________________________________________________________________

5.2. Propongo realizar pruebas de certificación del objeto informático durante el período ________________________________________________________________

5.3. Pruebas de herramientas y sistemas de información no certificados _________________________________________________________________
_________________________________________________________________
(nombre de las herramientas y sistemas)

se prevé realizar en los centros de pruebas (laboratorios) ________________________________________________________________
________________________________________________________________
(nombre de los centros de pruebas)

durante el período __________________

(o se propone realizar directamente en el objeto certificado durante el período ______).

Otras condiciones (propuestas).

 

imprimir

 Jefe (del cuerpo del solicitante)
____________ ____________

(firma, fecha) (Apellido, I.O.)

 

Apéndice
del formulario «Solicitud…»

Los datos iniciales sobre el objeto de informatización certificado

se preparan sobre la base de la siguiente lista de preguntas

1. Nombre completo y exacto del objeto de informatización y su finalidad.

2. Se determina la naturaleza (científica, técnica, económica, productiva, financiera, militar, política) y el nivel de secreto (confidencialidad) de la información procesada (según qué listas (estatal, industrial, departamental, empresarial).

3. Estructura organizativa del objeto de informatización

.4. Relación de locales, composición del conjunto de medios técnicos (principales y auxiliares) incluidos en el objeto de informatización, en los que se procesa la información especificada (ubicados en el local por donde circula).

5. Características y disposición del objeto de informatización que indica los límites del área controlada.

6. La estructura del software (sistema general y aplicación) utilizado en el objeto de información certificado y destinado al procesamiento de información protegida, los protocolos de intercambio de información utilizados.

7. Diagrama funcional general de un objeto de informatización, incluido un diagrama de flujos de información y modos de procesamiento de la información protegida.

8. La presencia y naturaleza de la interacción con otros objetos de informatización.

9. Composición y estructura del sistema de seguridad de la información en el objeto de informatización certificado.

10. Una lista de herramientas de hardware y software en un medio seguro de diseño, protección y control utilizados en el objeto de informatización certificado y que cuentan con el certificado e instrucciones de funcionamiento adecuados.

11. Información sobre los desarrolladores del sistema de seguridad de la información, si los desarrolladores externos (en relación con la empresa donde se encuentra el objeto de tecnología de la información certificado) tienen licencias para realizar dicho trabajo.

12. Disponibilidad en la instalación de informatización (en la empresa donde se ubica la instalación de informatización) de un servicio de seguridad de la información y un servicio de administrador (sistema automatizado, red, bases de datos).

13. Disponibilidad y principales características de la protección física del objeto de informatización (locales donde se procesa la información protegida y se almacenan los medios de información).

14. Disponibilidad y preparación de la documentación de diseño y operativa del objeto de informatización y otros datos iniciales sobre el objeto de informatización certificado que afecten la seguridad de la información.

Apéndice 2

«APROBADO»

________________________________________________
(cargo del jefe del organismo de certificación)

________________________________ ____________________

m.p. Nombre completo

«____» _________ 19___

CERTIFICADO DE CONFORMIDAD

________________________________________________________________
(el nombre completo del objeto de informatización es indicado)

REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
N_____

Válido hasta «____&#187 ; _________ 19___

1. Este CERTIFICADO certifica que:
________________________________________________________________
________________________________________________________________
(se proporciona el nombre completo del objeto de información)

______________________________ categoría _______________ clase

cumple con los requisitos de la documentación reglamentaria y metodológica sobre información seguridad.

La composición del complejo de medios técnicos del objeto de informatización (indicando los números de serie, modelo, fabricante, números de certificado), el diagrama de distribución en las instalaciones y en relación con los límites del área controlada, la lista de software utilizado, así como Se adjuntan como equipo de protección (indicando el fabricante y los números de certificado).

2. La estructura organizativa, el nivel de formación especializada, el soporte normativo, metodológico y el equipamiento técnico del servicio de seguridad de la información garantizan el control de la eficacia de las medidas y medios de protección y el mantenimiento del nivel de seguridad del objeto de información durante la operación de acuerdo con requisitos establecidos.

3. La certificación del objeto de informatización se llevó a cabo de acuerdo con el programa y los métodos de pruebas de certificación aprobados por «____»__________ 19__. N______

4. Teniendo en cuenta los resultados de las pruebas de certificación en el centro de informatización, se permite el procesamiento de la información ________________________________________________________________
________________________________________________________________.
(se indica el mayor grado de secreto y confidencialidad)

5. Al operar un objeto de tecnología de la información, está prohibido:

________________________________________________________________
(se indican restricciones que pueden afectar la efectividad de las medidas y medios de protección de la información)

6. El control sobre la eficacia de las medidas y medios de protección implementados está asignado al servicio de seguridad de la información.

7. Los resultados detallados de las pruebas de certificación se dan en la conclusión de la comisión de certificación (N _____ «___»________19) y en los informes de las pruebas.

8. «Certificado de Conformidad» emitido por _____ años, durante los cuales se debe garantizar la invariancia de las condiciones de funcionamiento del objeto de informatización y la tecnología de procesamiento de la información protegida, que puedan afectar las características especificadas en la cláusula 9.

9. Relación de características cuyos cambios deben notificarse al organismo de certificación

9.1________________________________________________________________

9.2________________________________________________________

Jefe del comisión de certificación

b>

_________________________________________________________
(cargo indicando el nombre de la empresa)

_____________________
Nombre completo.

«____» __________19___

Marcas de la autoridad de control: ______________________

 

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять