- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
Большим недостатком существующей системы сертификации является формальная необходимость «пересертификации» изделия при внесении в него изменений. Вместе с тем, такие изменения могут вноситься достаточно часто, в зависимости от предназначения изделия.
В Положении приведена принципиально новая процедура подтверждения результатов оценки при изменениях в сертифицированной версии изделия. Как указано, подтверждение при изменениях может быть осуществлено двумя путями:
посредством оценки новой версии изделия ИТ;
посредством реализации процедур поддержки доверия безопасности к изделию ИТ, определенных в требованиях поддержки доверия в «Критериях…».
Какую стратегию поддержки выбрать разработчику – зависит от него самого. В последнем случае в ЗБ должны быть внесены соответствующие требования поддержки доверия к безопасности из «Критериев…»
От разработчика требуется наличие двух документов:
план поддержки доверия, определяющий процедуры, которые должен выполнять разработчик;
отчет о категорировании компонентов изделия ИТ по их отношению к безопасности.
Содержание этих документов описано в Положении.
В «Плане…» указываются контрольные точки, когда разработчик должен выдавать владельцу изделия ИТ свидетельство поддержания доверия. К документации поддержки доверия также относится:
список конфигурации изделия ИТ;
список идентифицированных уязвимостей в изделии ИТ;
свидетельство следования процедурам поддержки доверия, определенным в плане ПД.
Кроме того, в Плане указывается график проведения аудита поддержки доверия. Этот аудит выполняет испытательная лаборатория, необязательно та же, что проводила сертификацию.
В цикле поддержки доверия должны предусматриваться четрые типа процедур:
управления конфигурацией;
поддержки свидетельств, в которых отражены вопросы функционального тестирования;
анализа влияния изменений в изделии ИТ на безопасность;
устранения недостатков безопасности.
2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
Порядок подтверждения соответствия приведен в разделе 8 Положения. Начинается этот раздел с требования обязательной сертификации изделий ИТ, предназначенных для обработки информации с ограниченным доступом. Таким образом, впервые не делается различия между, например, служебной информацией государственных органов власти и коммерческой информацией частных фирм.
Заявителем может быть разработчик или другое заинтересованное лицо, которое обязано в этом случае оформить договорные отношения с разработчиком.
Работы, выполняемые при сертификации:
подготовка к оценке изделия ИТ (работы разработчика + предварительное рассмотрение ЗБ лабораторией);
оценка изделия ИТ (выполняет испытательная лаборатория);
подтверждение соответствия изделия ИТ требованиям по безопасности информации (независимая экспертиза результатов работы лаборатории органом по сертификации).
Перечень документов, представляемых разработчиком для проведения сертификации, приведен в Приложении Г. Этот список впечатляет. Требуется представлять не только конечные материалы, но и материалы эскизного, технического, рабочего проекта. Всего имеется 27 категорий документов, разработка которых потребует от разработчика значительных усилий.
Несколько изменен порядок проведения сертификации. Вначале разработчик обращается в испытательную лабораторию, которая должна выполнить предварительное рассмотрение ЗБ (но пока еще не его оценку!). При положительном рассмотрении лаборатория разрабатывает программу проведения оценки и календарный план проведения оценки. Разработчик представляет в орган по сертификации заявку, ЗБ и разработанные лабораторией документы.
Оценка безопасности изделия ИТ включает:
оценку ЗБ на соответствие «Критериям…»
оценку изделия на соответствие требованиям безопасности информации в соответствие с «Методологией…»
Инструментальные средства оценки должны быть сертифицированы.
Орган по сертификации выполняет независимую экспертизу результатов, приведенных в техническом отчете лаборатории, утверждает их и выдает сертификат.
В случае проведения сертификации изделия, находящегося на поддержке доверия к безопасности, в орган по сертификации подается заявка с приложением отчета поддержки доверия, разработанного испытательной лабораторией, включающий в себя оценку анализа разработчиком влияния изменений на безопасность и результаты своих аудитов ПД.