Know-how, előadás, információbiztonsági tanúsítás

Megjegyzések: Az előadás tartalmazza a tanúsítás területén alkalmazott fő fogalmakat, a szabványos tanúsítási rendszer résztvevői és az információbiztonsági eszközök tanúsításának szakaszait.

5.1. Az információvédelmi eszközök tanúsításának általános eljárása

Tanúsítás - a tanúsító szervezet formája, amely igazolja, hogy a tárgyak megfelelnek a műszaki előírásoknak, a szabványok előírásainak, a gyakorlati kódexeknek vagy a szerződéses feltételeknek.

Megfelelőségi igazolás - egy dokumentum, amely tanúsítja, hogy valamely tárgy megfelel a műszaki előírásoknak, a szabványok előírásainak, a működési szabályoknak vagy a szerződéses feltételeknek.

Műszaki, kriptográfiai, szoftveres és egyéb eszközök, amelyek az állam titkát képező információ védelmét szolgálják. a megvalósítás eszközei, valamint az információvédelem hatékonyságának ellenőrzésére szolgáló eszközök az információ védelmének eszközei.

Ezek az alapok kötelező tanúsítás alá esnek, amelyet az információbiztonsági tanúsítási rendszerek keretében [5.1] végeznek,

Az információbiztonsági tanúsítási rendszer a tanúsítás résztvevői csoportja, amelyek:

• szövetségi tanúsító szervezet;
• a tanúsítási rendszer központi hatósága a homogén termékek tanúsítására szolgáló rendszer vezetője;
• az információs védelmi eszközök tanúsításával foglalkozó szervek - az egyes termékek tanúsítását végző szervezetek;
• laboratóriumi laboratóriumok - bizonyos termékek tanúsító tesztjeit végző laboratóriumok (egyes tesztek típusai);
• gyártók - eladók, termékgyártók.

A minősítési rendszer központi szervezetei, az információs védelmi eszközök tanúsításával foglalkozó szervek és a vizsgáló laboratóriumok akkreditálva vannak a tanúsítási munkálatokhoz való jogért. Az akkreditálás célja az információbiztonsági eszközök tanúsításával kapcsolatos munka megvalósíthatóságának ellenőrzése. Az akkreditációt csak akkor hajtják végre, ha a meghatározott szervek és laboratóriumok engedélyt kapnak az adott tevékenységre.

A szövetségi tanúsító szervezet a következőket hajtja végre:

• tanúsítási rendszereket hoz létre;
• Kiválaszthat egy választási módot az információ védelmének a szabványos dokumentumok követelményei szerinti megfelelőségének elismerésére;
• meghatározza a tanúsítási rendszerek központi szerveinek akkreditációjára vonatkozó szabályokat, az információs védelmi létesítmények és vizsgálati laboratóriumok tanúsításával foglalkozó szerveket;
• meghatározza az egyes tanúsítási rendszer központi hatóságát;
• tanúsítványokat és engedélyeket állít ki a megfelelőségi jel használatára;
• fenntartja a résztvevők államigazgatási nyilvántartását a tanúsítás és a hitelesített információvédelmi eszközök terén;
• végzi el az állami ellenőrzést és felügyeletet a tanúsítási szabályok tanúsításával és a hitelesített információvédelmi eszközökkel való betartás résztvevői által, valamint meghatározza az ellenőrzési ellenőrzés sorrendjét;
• felszólít a tanúsítási kérdésekre;
• képviseli az állam regisztrációját az Orosz Föderációban a tanúsítási rendszer standardizációjához, metrológiájához és tanúsításához, valamint egy megfelelőségi jelet;
• meghatározza a külföldi bizonyítványok elismerésének eljárását;
• felfüggeszti vagy érvényteleníti a kiadott tanúsítványokat.

A tanúsítási rendszer központi eleme:

• szervezi a tanúsítási rendszer kialakításának és irányításának munkáját, koordinálja a tanúsítási rendszerben szereplő információvédelmi létesítmények és vizsgálati laboratóriumok tanúsításával foglalkozó szervek tevékenységét;
• nyilvántartást vezet az adatvédelmi eszközök és a vizsgáló laboratóriumok tanúsító szerveiről, kiadja és visszavonja a megfelelőségi jelölés használatára vonatkozó tanúsítványokat és engedélyeket;
• a tanúsítási résztvevőket tájékoztatja a tanúsítási rendszer tevékenységeiről.

Ha a tanúsítási rendszerben nincs központi hatóság, funkcióit a szövetségi tanúsító testület végzi

Az információbiztonsági tanúsításért felelős hatóságok:

• igazolják az információvédelemmel kapcsolatos eszközöket, tanúsítványokat és engedélyeket adnak a megfelelőségi jelölés alkalmazásához a másolatoknak a szövetségi tanúsító szervekhez történő benyújtásával és nyilvántartásával;
• felfüggeszti vagy megszünteti a megfelelőségi jelölés alkalmazásával kiadott tanúsítványok és engedélyek érvényességét;
• döntést hozzon a tanúsított információbiztonsági eszközök gyártási technológiájának és formatervezésének (összetételének) változásairól;
• a tanúsításhoz szükséges szabályozási dokumentumok alapját képezik;
• a gyártóknak kérésükre megküldik a hatáskörükbe tartozó szükséges információkat.

A vizsgálati laboratóriumok elvégzik az adatvédelmi eszközök hitelesítési tesztjeit, és eredményük alapján következtetéseket és protokollokat készítenek, amelyeket az információs védelmi eszközökre és a gyártókra vonatkozóan a megfelelő tanúsító szervezetnek továbbítanak [5.1]. A vizsgálati laboratóriumok felelősek az adatvédelmi eszközök tesztelésének teljességéért és az eredmények megbízhatóságáért.

• az információ védelmére szolgáló eszközöket csak akkor kell elkészíteni (megvalósítani), ha rendelkezik tanúsítvánnyal;
• értesíti a hitelesítést végző tanúsító szervezetet, a tanúsítási tanúsítványt, a gyártási technológiák és a minősített információs védelmi eszközök (kompozíció) változásait;
• a tanúsítási rendszer által létrehozott sorrendben jelölje meg a tanúsított információs védelmi eszközt a megfelelőségi jelzéssel;
• a kísérő műszaki dokumentációban feltüntetik azokat a tanúsítási és szabályozási dokumentumokat, amelyeknek az információvédelmi eszközöknek meg kell felelniük, és biztosítaniuk kell ezen információk fogyasztónak történő átadását;
• a tanúsítványt és a megfelelőségi jelet az Orosz Föderáció jogszabályai és az e tanúsítási rendszerre megállapított szabályok szerint kell alkalmazni;
• biztosítsa az információvédelmi eszközöknek az információvédelemre vonatkozó szabályozási dokumentumok követelményeinek való megfelelését;
• biztosítja a hatáskörük akadálytalan teljesítését azoknak a testületeknek a tisztviselői számára, akik tanúsítvánnyal és ellenőrzéssel rendelkeznek a hitelesített információs védelmi eszközökkel szemben;
• megszünteti az információvédelmi eszközök végrehajtását, ha nem felelnek meg a szabályozási dokumentumok követelményeinek, vagy a tanúsítvány érvényességi idejének lejártával, valamint a tanúsítvány felfüggesztésével vagy törlésével kapcsolatban.

A tanúsítási eljárás magában foglalja:

1. a szövetségi tanúsító szervezet tanúsítási kérelmének benyújtására és megvizsgálására (az érvényességi idő meghosszabbítása). A kérelmet a feladó levélpapírján teszik és bélyegzik. A szövetségi testület kijelöl egy tanúsító testületet és egy vizsgálati laboratóriumot, amely után a kérelmező egy hitelesített információbiztonsági eszközt küld.
2. az információvédelmi eszközök tanúsítási tesztjei és (ha szükséges) a gyártás igazolása. A vizsgálati feltételeket szerződéses alapon állapítják meg a kérelmező és a laboratórium között. A tesztek eredményei alapján elkészül egy vélemény, amelyet a tanúsító szervhez és a kérelmezőhöz kell küldeni.
3. a vizsgálati eredmények vizsgálata, a nyilvántartásba vétel, a nyilvántartásba vétel és a tanúsítvány kiadása, valamint a megfelelőségi jel használatára vonatkozó engedély. A vizsgáló laboratórium végkövetkeztetése alapján a tanúsító szerv végkövetkeztetést hoz, és azt a szövetségi tanúsító testületnek továbbítja. Miután hozzárendelt egy regisztrációs számot a tanúsítványhoz, a kérelmező megkapja. A tanúsítvány 3 évig érvényes.
4. állami ellenőrzés és felügyelet végrehajtása, ellenőrzési ellenőrzés a kötelező tanúsítás és a hitelesített információcsere-szabályok betartása mellett. Az ellenőrzési eredmények alapján a szövetségi tanúsító szervezet felfüggesztheti vagy visszavonhatja a tanúsítványt a következő esetekben:
   • az információbiztonsági eszközökre, a tesztelésre és az ellenőrzési módokra vonatkozó követelményekre vonatkozó jogalkotási változások;
   • a gyártástechnológia, a formatervezés (összetétel) változása, az információvédelmi eszközök és a minőségellenőrzési rendszerek teljessége;
   • a gyártási technológia követelményeinek, az információvédelmi eszközök ellenőrzésének és tesztelésének elmulasztása;
   • a hitelesített információs védelmi eszközök műszaki előírásokkal vagy az állami vagy ellenőrzési ellenőrzés során feltárt formában való eltérése;
   • a kérelmező megtagadása az állami ellenőrzés és felügyelet gyakorlásához felhatalmazott személyek befogadására (befogadása), a minősítési szabályok betartásának ellenőrzési ellenőrzése és a hitelesített információcsere-eszközök.

tájékoztatja az információvédelmi eszközök tanúsításának eredményeit;

a fellebbezések vizsgálata. A fellebbezést a szövetségi tanúsító szervhez nyújtják be, és egy hónapon belül felülvizsgálják független szakértők és érdekelt felek részvételével.

Az importált információbiztonsági eszközök tanúsítása ugyanazon szabályok szerint történik, mint a belföldiek.

Az információbiztonsági eszközök tanúsításának főbb rendszerei a következők:

• az adatvédelmi eszközök egy-egy mintája - e minták vizsgálata az információvédelmi követelmények betartása érdekében;
• adatbiztonsági eszközök sorozatgyártásához - az információs biztonsági eszközök mintáinak szabványos tesztjeinek végrehajtása az információvédelmi követelményeknek való megfeleléshez és a tanúsított információvédelmi eszközök jellemzőinek stabilitásával kapcsolatos utólagos ellenőrzéshez. amelyek meghatározzák e követelmények teljesítését.

Bizonyos esetekben, a tanúsító szervekkel való megegyezés alapján információvédelmi eszközökkel, a gyártó vizsgálati bázisán történő tesztelés megengedett. A vizsgálati feltételeket a gyártó és a vizsgáló laboratórium megállapodása alapján állapítják meg.

Ha a vizsgálati eredmények nem felelnek meg az információvédelemmel kapcsolatos szabályozási és módszertani dokumentumok követelményeinek, az információvédelmi eszközök tanúsításával foglalkozó szervezet úgy dönt, hogy megtagadja a tanúsítvány kiadását, és indokolt következtetést küld a gyártónak.

Egyet nem értés esetén a megtagadása igazolást állít ki a gyártó jogosult alkalmazni a központi szerve, a minősítési rendszer a szövetségi tanúsító szervezet vagy Tárcaközi Bizottság további vizsgálata során kapott eredményeket a vizsgálatok [5.1].

Fizetési tanúsítási különleges eszközöket az informatikai biztonság alapján közötti szerződés tanúsító résztvevők.

Ellenőrzés felett minősített információk védelmét szolgáló eszközök hajtjuk szervek, ezek az eszközök végzi tanúsító vonatkozó előírásokat.

A fő tanúsító szervezetek a műszaki adatok védelme és az orosz FSB és FSTEC Oroszországban. Ebben az esetben az orosz FSB terén működik, kriptográfiai információ védelmére, és FSTEC Oroszország - a műszaki információk védelme nekriptograficheskimi módszereket. Képesítésére előírt FSB Oroszország zárva, ismerős velük feltételezi egy speciális tolerancia követelmények FSTEC Oroszország közzé a hivatalos honlapon és nyilvános.

Kapcsolódó cikkek

• A tanúsítás az információbiztonsági megoldások - szabályozás alkalmazásával kripto -

• GOST R 57073-2018 biológiai védekezési

• Hogyan védi az adatokat a flash meghajtó védelmét cserélhető meghajtók, világ-x