SlideShare ist ein Scribd-Unternehmen logo

Классификатор работ по информационной безопасности

Als DOCX, PDF herunterladen
О
Олег Габов

Цель: использование заказчиками и исполнителями при планировании работ, которые выполняются с учетом требований по информационной безопасности. Цель документа - договориться о наименовании работ по ИБ между заказчиками и исполнителями. Наименования работ можно использовать, например, для написания документов первого уровня: Технических требований для конкурса, ТЗ к договору и т.п. Подвиды работ в последующих документах (например, в ТЗ на создание/модернизацию) могут уточняться и дополнятся, но и заказчики и исполнители в начале пути должны понимать на основе каких нормативных документов (устанавливающих перечень видов работ) они их выполняют.

Ingenieurwesen
1 von 13
Классификатор работ по информационной безопасности Версия 1 Цель: использование заказчиками и исполнителями при планировании работ, которые выполняются с учетом требований по информационной безопасности. Наименования работ приводятся из документов, регламентирующих вид деятельности, определенный наименованием пункта (см. Список литературы). Автор благодарен за отзывы на документ и открыт для обсуждения спорных вопросов. 1. Управление проектом (Росстандарт России, 2012) 1.1. Управление содержанием проекта. 1.2. Управление сроками проекта. 1.3. Управление затратами в проекте. 1.4. Управление рисками проекта. 1.5. Управление персоналом проекта. 1.6. Управление заинтересованными сторонами проекта. 1.7. Управление поставками проекта. 1.8. Управление качеством в проекте. 1.9. Управление обменом информацией в проекте. 1.10. Управление интеграцией проекта. 2. Работы, которые выполняются с учетом требований по информационной безопасности 2.1. Выполнение работ по созданию/модернизации систем защиты информации автоматизированных/информационных систем и автоматизированных/информационных систем в защищенном исполнении (Росстандарт России, 2014). 2.1.1. Формирование требований к системам защиты информации автоматизированных/информационным систем1 и автоматизированным/информационным системам в защищенном исполнении2 . 2.1.1.1. Проведение работ на стадии «Формирование требований к Системе», определенной ГОСТ 34.601. 1 Далее СЗИ АС (либо, если применимо одновременно к СЗИ АС и АСЗИ, то Система) 2 Далее АСЗИ (либо, если применимо одновременно к СЗИ АС и АСЗИ, то Система)
2 2.1.1.1.1. Проведение работ на этапе «Обследование объекта и обоснование необходимости создания Системы». 2.1.1.1.1.1. Анализ данных о назначении, функциях, условиях функционирования создаваемой (модернизируемой) Системы и характере обрабатываемой информации. 2.1.1.1.1.2. Определение перечня информации, подлежащей защите (в случае информации, содержащейсведения,составляющие государственную тайну – только консультирование Заказчика). 2.1.1.1.1.3. Определение актуальных угроз безопасности информации, связанных с НСД к защищаемой информации, с утечкой информации по техническим каналам и с несанкционированным воздействием на информацию. 2.1.1.1.1.4. Разработка модели угроз безопасности информации применительно к конкретным вариантам функционирования Системы. 2.1.1.1.1.5. Оценка(технико-экономическойит.п.) целесообразностисоздания Системы. 2.1.1.1.2. Проведение работ на этапе «Формирование требований пользователя к Системе» 2.1.1.1.2.1. Подготовка исходных данных для формирования требований в части системы ЗИ к создаваемой (модернизируемой) Системе (исходя из её предназначения и условий использования). 2.1.1.1.2.1.1. Определение порядка обработки информации в Системе в целом и в отдельных компонентах. 2.1.1.1.2.1.2. Оценкустепениучастияперсоналавобработке (обсуждении, передаче, хранении) защищаемой в Системе информации. 2.1.1.1.2.1.3. Определение требуемого класса (уровня) защищенности Системы от НСД. 2.1.1.1.2.1.4. Выбор целесообразных (исходя из экономических, научно- технических, временных и других ограничений, а также технологии обработки информации) способов ЗИ и контроля состояния ЗИ в АСЗИ. 2.1.1.1.2.1.5. Обоснование архитектуры и конфигурации Системы и ее отдельных составных частей, физических, функциональных и технологических связей как внутри Системы, так и с другими взаимодействующими системами. 2.1.1.1.2.1.6. Выбор ТС, которые могут бытьиспользованы при разработке Системы. 2.1.1.1.2.1.7. Оценкавозможностисоздания Системы,исходяизресурсных ограничений. 2.1.1.1.2.2. Формирование требований к Системе в части требований о защите информации 2.1.1.1.3. Проведение работ на этапе «Оформление отчета о выполненной работе и заявки на разработку АС (ТТЗ)». 2.1.1.1.3.1. Систематизация результатов, полученных на предыдущих этапах. 2.1.1.1.3.2. Формирование разделовотчетао выполненных работах наданной стадии в части создания Системы. 2.1.1.1.3.3. Оформление заявки на разработку Системы (ТЗ или дополнения к ТЗ) или другого заменяющего её документа с аналогичным
3 содержанием (в случае разработки отдельного ТЗ на систему ЗИ АСЗИ). 2.1.1.2. Проведение работ на стадии «Разработка концепции Системы», определенной ГОСТ 34.601. 2.1.1.2.1. Проведение работ на этапе «Изучение объекта» 2.1.1.2.1.1. Определение путейиоценкавозможностиреализациитребований, предъявляемых к Системе. 2.1.1.2.1.2. Обоснование необходимости привлеченияорганизаций, имеющих необходимые лицензии, для создания Системы. 2.1.1.2.1.3. Оценку ориентировочных сроков создания Системы. 2.1.1.2.1.4. Оценку материальных, трудовых и финансовых затрат на разработку и внедрение Системы. 2.1.1.2.1.5. Обоснование целесообразности проведения НИР (составной части НИР),определение основных вопросов,подлежащих исследованиюв интересах создания Системы. 2.1.1.2.1.6. Разработка ТТЗ на НИР (при необходимости). 2.1.1.2.2. Проведение работ на этапе «Проведение необходимых научно- исследовательских работ» 2.1.1.2.2.1. Анализ требований к назначению, структуре и конфигурации Системы. 2.1.1.2.2.2. Уточнение режимовобработкиинформациив Системе в целом и в отдельных компонентах. 2.1.1.2.2.3. Анализ возможных уязвимостей и обоснование актуальных угроз безопасности информации и перечня мероприятий по их блокированию (нейтрализации). 2.1.1.2.2.4. Уточнение требований о ЗИ в Системе. 2.1.1.2.2.5. Уточнение требований к архитектуре и конфигурации Системы. 2.1.1.2.2.6. Уточнение требований к составу и характеристикам основных и вспомогательных программных средств (ПС) и технических средств (ТС), которые могут быть использованы при разработке Системы, режимам их работы. 2.1.1.2.2.7. Обоснование перечня сертифицированных средств ЗИ, использование которых возможно в составе Системы. 2.1.1.2.2.8. Уточнение оценкиматериальных,трудовыхифинансовых затратна создание Системы. 2.1.1.2.2.9. Оформление и утверждение отчета о НИР. 2.1.1.2.3. Проведение работ на этапе «Разработка вариантов концепции Системы и выбор варианта концепции Системы, удовлетворяющего требованиям пользователя» 2.1.1.2.3.1. Разработка альтернативных вариантов концепции создаваемой Системы и планов их реализации. 2.1.1.2.3.2. Оценка необходимых ресурсов на реализацию каждого варианта и обеспечение функционирования Системы. 2.1.1.2.3.3. Оценка эффектов, преимуществ и недостатков от реализации каждого варианта. 2.1.1.2.3.4. Выбор варианта концепции системы. 2.1.1.2.4. Проведение работ на этапе «Оформление отчета о выполненной работе»
4 2.1.1.2.4.1. Разрабатывается самостоятельный отчет о работах, выполненных на стадии «Разработка концепции АС» в части системы ЗИ или раздел в основной отчет о работах, выполненных в интересах создания (модернизации) АСЗИ в целом 2.1.1.3. Проведение работ на стадии «Разработка технического задания на создание/модернизацию Системы», определенной ГОСТ 34.601. 2.1.1.3.1. Проведение работ на этапе «Разработка и утверждение технического задания на создание Системы» 2.1.1.3.1.1. Разработка, оформление, согласование и утверждение ТЗ на Систему (по ГОСТ 34.602). 2.1.2. Разработка (проектирование) Системы (АС, СЗИ АС и АСЗИ). 2.1.2.1. Проведение работ на стадии «Эскизный проект», определенной ГОСТ 34.601. 2.1.2.1.1. Проведение работ на этапе «Разработка предварительных проектных решений по системе и ее частям» 2.1.2.1.1.1. Определение субъектов доступа (пользователей, процессов и иных субъектовдоступа) иобъектовдоступа(устройств,объектовфайловой системы, запускаемых и исполняемых модулей, объектов системы управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа). 2.1.2.1.1.2. Уточнение исходных данных, касающихся технических, информационных, программных и организационных аспектов создания, и функционирования Системы. 2.1.2.1.1.3. Определение функцийсистемыЗИ создаваемой(модернизируемой) АСЗИ, состава комплексов задач и отдельных задач, решаемых подсистемой ЗИ. 2.1.2.1.1.4. Проработкаирассмотрение вариантовпостроенияСистемысучетом результатов ранее проведенных исследований и новейших достижений науки, и техники, в том числе по зарубежным аналогам, определение общих требований к Системе (ее структура, состав (число) и места размещения составных частей Системы). 2.1.2.1.1.5. Определение функций и параметров ТС и ПС системы ЗИ, особенностей их реализации в интересах блокирования (нейтрализации) угроз безопасности информации в АСЗИ. 2.1.2.1.1.6. Определение составаорганизационных мерЗИ, ТС и ПС системы ЗИ, выбор сертифицированных СрЗИ с учетом их совместимости с основными ТС и ПС создаваемой (модернизируемой) АСЗИ. 2.1.2.1.1.7. Обоснование номенклатуры СЗИ, специального технологического оборудования, средств контроля и измерений, подлежащих разработке в ходе создания АСЗИ. 2.1.2.1.2. Проведение работ на этапе «Разработка документации на Систему и ее части» (разработка, оформление, согласование и утверждение документациивобъеме,необходимомдляописания полной совокупности принятых предварительных проектных решений и достаточном для дальнейшего выполнения работ по созданию Системы, виды документов - по ГОСТ 34.201). 2.1.2.1.2.1. Разработка ведомости эскизного проекта.
5 2.1.2.1.2.2. Разработка пояснительной записки к эскизному проекту. 2.1.2.1.2.3. Разработка схема организационной структуры. 2.1.2.1.2.4. Разработка схемы структурной комплекса технических средств. 2.1.2.1.2.5. Разработка схемы функциональной структуры. 2.1.2.1.2.6. Разработка перечня заданий на разработку специализированных (новых) технических средств. 2.1.2.1.2.7. Разработка схемы автоматизации. 2.1.2.1.2.8. Разработка технического задания на разработку специализированных (новых) технических средств. 2.1.2.2. Проведение работ на стадии «Технический проект», определенной ГОСТ 34.601. 2.1.2.2.1. Разработка проектных решений по системе и ее частям. 2.1.2.2.1.1. Разработка общих решений по Системе, по ее функциональной структуре, ТС и ПС системы ЗИ, алгоритмам функционирования системы ЗИ, функциям персонала, обслуживающего Систему. 2.1.2.2.1.2. Разработкаалгоритмоврешениязадач ЗИ,параметровнастройкиТС и ПС, обеспечивающих реализацию функциональных возможностей Системы. 2.1.2.2.1.3. Разработка макетов составных частей Системы. 2.1.2.2.2. Разработка документации на АС и ее части (разработка, оформление, согласование и утверждение технической документации на Систему, виды документов - по ГОСТ 34.201). 2.1.2.2.2.1. Разработка задания на разработку строительных, электротехнических, санитарно-технических и других разделов проекта, связанных с созданием Системы. 2.1.2.2.2.2. Разработка ведомости технического проекта. 2.1.2.2.2.3. Разработка ведомости покупных изделий. 2.1.2.2.2.4. Разработка перечня входных сигналов и данных. 2.1.2.2.2.5. Разработка перечня выходных сигналов (документов). 2.1.2.2.2.6. Разработка перечня заданий на разработку строительных, электротехнических, санитарно-технических и других разделов проекта, связанных с созданием Системы. 2.1.2.2.2.7. Разработка пояснительной записка к техническому проекту. 2.1.2.2.2.8. Разработка описания автоматизируемых функций. 2.1.2.2.2.9. Разработка описания постановки задач (комплекса задач). 2.1.2.2.2.10. Разработка описания информационного обеспечения Системы. 2.1.2.2.2.11. Разработка описания организации информационной базы. 2.1.2.2.2.12. Разработка описания систем классификации и кодирования. 2.1.2.2.2.13. Разработка описания массива информации. 2.1.2.2.2.14. Разработка описания комплекса технических средств. 2.1.2.2.2.15. Разработка описания программного обеспечения. 2.1.2.2.2.16. Разработка описания алгоритма (проектной процедуры). 2.1.2.2.2.17. Разработка описания организационной структуры. 2.1.2.2.2.18. Разработка плана расположения. 2.1.2.2.2.19. Разработка ведомости оборудования и материалов. 2.1.2.2.2.20. Разработка локального сметного расчета. 2.1.2.2.2.21. Разработка проектной оценки надежности системы. 2.1.2.2.2.22. Разработка чертежа формы документа (видеокадра).
6 2.1.2.2.3. Разработкаиоформление документациинапоставкуизделий для комплектования АС и (или) технических требований (технических заданий) на их разработку. 2.1.2.2.3.1. Подготовка и оформление документов на поставку ТС и ПС для комплектования Системы. 2.1.2.2.3.2. Определение технических требований и составление ТЗ на разработку специальных СрЗИ, специального технологического оборудования, средств контроля и измерений, не изготавливаемых серийно. 2.1.2.2.4. Разработка заданий на проектирование в смежных частях проекта объекта информатизации (разработка, оформление, согласование и утверждение заданий на проектирование помещений для Системы с учетом требований о ЗИ). 2.1.2.3. Проведение работ на стадии «Рабочая документация», определенной ГОСТ 34.601. 2.1.2.3.1. Разработка рабочей документации на Систему и ее части (по ГОСТ 34 серии). 2.1.2.3.1.1. Разработка ведомости держателей подлинников. 2.1.2.3.1.2. Разработка ведомости эксплуатационных документов. 2.1.2.3.1.3. Разработка cспецификации оборудования. 2.1.2.3.1.4. Разработка ведомости потребности в материалах. 2.1.2.3.1.5. Разработка ведомости машинных носителей информации. 2.1.2.3.1.6. Разработка массива входных данных. 2.1.2.3.1.7. Разработка каталог базы данных. 2.1.2.3.1.8. Разработка состава выходных данных (сообщений). 2.1.2.3.1.9. Разработка локальной сметы. 2.1.2.3.1.10. Разработка методики (технологии) автоматизированного проектирования. 2.1.2.3.1.11. Разработка технологической инструкции. 2.1.2.3.1.12. Разработка руководства пользователя. 2.1.2.3.1.13. Разработка инструкции по формированию и ведению базы данных (набора данных). 2.1.2.3.1.14. Разработка инструкции по эксплуатации КТС. 2.1.2.3.1.15. Разработка схемы соединений внешних проводок. 2.1.2.3.1.16. Разработка схемы подключения внешних проводок. 2.1.2.3.1.17. Разработка таблицы соединений и подключений. 2.1.2.3.1.18. Разработка схемы деления Системы (структурная). 2.1.2.3.1.19. Разработка чертежа общего вида. 2.1.2.3.1.20. Разработка чертежа установки технических средств. 2.1.2.3.1.21. Разработка схемы принципиальной. 2.1.2.3.1.22. Разработка схемы структурной комплекса технических средств. 2.1.2.3.1.23. Разработка плана расположения оборудования и проводок. 2.1.2.3.1.24. Разработка описания технологического процесса обработки данных (включая телеобработку). 2.1.2.3.1.25. Разработка общего описания системы. 2.1.2.3.1.26. Разработка программы и методики испытаний (компонентов, комплексов средств автоматизации, подсистемы, систем). 2.1.2.3.1.27. Разработка формуляра.
7 2.1.2.3.1.28. Разработка паспорта. 2.1.2.3.2. Разработка и адаптация программ 2.1.2.3.2.1. Разработка ПС для СЗИ, адаптацию и / или привязку приобретаемых ПС, тестирование ПС системы ЗИ АСЗИ. 2.1.2.3.2.2. Разработка и испытания СЗИ, технологического оборудования, средств контроля и измерений системы ЗИ АСЗИ. 2.1.2.3.2.3. Сертификация разрабатываемых ПС и СЗИ системы ЗИ АСЗИ по требованиям безопасности информации (см. пункт 2.2). 2.1.2.3.2.4. Разработка документации на ПС и СЗИ системы ЗИ АСЗИ. 2.1.2.3.2.5. Тестирование ПС системы ЗИ АСЗИ: 2.1.2.3.2.5.1. ПроверкаработоспособностиисовместимостиПСсистемыЗИ с информационнымитехнологиямииТСобработкиинформации. 2.1.2.3.2.5.2. Проверка выполнения ПС системы ЗИ требований к системе ЗИ АСЗИ. 2.1.2.3.2.5.3. Корректировка документации на систему ЗИ АСЗИ (при необходимости). 2.1.3. Внедрение системы (АС, СЗИ АС и АСЗИ). 2.1.3.1. Внедрение системы ЗИАСЗИ (проведение работ присозданииАС или АСЗИ на стадии «Ввод в действие», определенной ГОСТ 34.601) 2.1.3.1.1. Установка и настройка СЗИ. 2.1.3.1.2. Разработка организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации АСЗИ. 2.1.3.1.3. Предварительные испытания системы ЗИ АСЗИ (см. п. 2.1.4.2.6). 2.1.3.1.4. ОпытнаяэксплуатацияидоработкасистемыЗИ АСЗИ (см.п. 2.1.4.2.7). 2.1.3.1.5. Приемочные испытания системы ЗИ АСЗИ (см. п. 2.1.4.2.8). 2.1.3.1.6. Аттестация АСЗИ на соответствие требованиям безопасности информации (см. пункт 2.3). 2.1.4. Аттестация АС или АСЗИ на соответствие требованиям безопасности информации и ввод ее в действие. 2.1.4.1. Аттестация по требованиям безопасности информации (см. пункт 2.3). 2.1.4.2. Ввод АС или АСЗИ в действие (при создании АС или АСЗИ на стадии «Ввод в действие» в интересах внедрения системы ЗИ создаваемой (модернизируемой) АСЗИ проводят следующие работы). 2.1.4.2.1. Подготовка объекта к вводу АС в действие: 2.1.4.2.1.1. Реализация проектных решений по организационной структуре системы ЗИ создаваемой (модернизируемой) АСЗИ и АСЗИ в целом. 2.1.4.2.1.2. Реализация организационных мер, обеспечивающих эффективное использование системы ЗИ. 2.1.4.2.2. Подготовка персонала: 2.1.4.2.2.1. Обучение персоналаАСЗИ ипроверкуегоспособностиобеспечивать функционирование системы ЗИ и АСЗИ в целом. 2.1.4.2.2.2. Проверка и подготовку специалистов структурного подразделения или должностного лица (работника), ответственных за ЗИ в АСЗИ 2.1.4.2.3. Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями):
8 2.1.4.2.3.1. Обеспечение получения комплектующих изделий системы ЗИ серийного и единичного производства, материалов и монтажных изделий. 2.1.4.2.3.1.1. Оказание консультаций при организации конкурса для закупки комплектующих изделий системы ЗИ. 2.1.4.2.3.1.2. Оказание консультаций при организации аукциона для закупки комплектующих изделий системы ЗИ. 2.1.4.2.3.2. Проведение входного контроля качества комплектующих изделий системы ЗИ, проверку наличия документов по сертификации. 2.1.4.2.3.2.1. Проведение входного контроля качества комплектующих изделий системы ЗИ. 2.1.4.2.3.2.2. Проверка наличия документов по сертификации на комплектующие изделия системы ЗИ (и прочих документов, предусмотренных по требованиям безопасности информации). 2.1.4.2.3.3. Специальные исследования и специальные проверки закупленных средств (см. п.п. 2.4 – 2.5). 2.1.4.2.4. Проведение строительно-монтажных работ: 2.1.4.2.4.1. Надзор за выполнениемстроительнымиорганизациямитребований ЗИ. 2.1.4.2.4.2. Проверка реализации требований о ЗИ при приемке монтажных работ (в случае необходимости проводят соответствующие испытания). 2.1.4.2.5. Пусконаладочные работы: 2.1.4.2.5.1. Автономная наладка ТС и ПС системы ЗИ. 2.1.4.2.5.2. Комплексная наладка всех СЗИ системы ЗИ. 2.1.4.2.6. Проведение предварительных испытаний: 2.1.4.2.6.1. Испытания системы ЗИ на работоспособность и соответствие техническому заданию в соответствии с программой и методикой испытаний. 2.1.4.2.6.2. Устранение недостатков, выявленных в процессе испытаний, и внесение изменений в документацию на систему ЗИ создаваемой (модернизируемой) АСЗИ, в том числе эксплуатационную, в соответствии с протоколом испытаний. 2.1.4.2.6.3. Принятие решенияовозможностиопытнойэксплуатациисистемыЗИ АСЗИ. 2.1.4.2.7. Проведение опытной эксплуатации: 2.1.4.2.7.1. ПроверкафункционированиясистемыЗИ всоставе АСЗИ,втомчисле реализованных мер ЗИ. 2.1.4.2.7.2. Анализ выявленных в ходе опытной эксплуатации системы ЗИ уязвимостей АСЗИ, доработку, наладку системы ЗИ. 2.1.4.2.7.3. Проверка готовности пользователей и администраторов к эксплуатации системы ЗИ АСЗИ. 2.1.4.2.7.4. Оформление акта о завершении опытной эксплуатации системы ЗИ АСЗИ. 2.1.4.2.8. Проведение приемочных испытаний: 2.1.4.2.8.1. Испытания системы ЗИ АСЗИ на соответствие ТЗ на систему ЗИ в соответствии с программой и методиками испытаний АСЗИ. 2.1.4.2.8.2. Анализ результатов испытаний системы ЗИ АСЗИ и устранение недостатков, выявленных при испытаниях.
9 2.1.4.2.8.3. Оформление разделов акта о приемке АСЗИ в постоянную эксплуатацию (в части системы ЗИ АСЗИ). 2.1.5. Проведение работна стадии «Сопровождение системы»,определеннойГОСТ 34.601. 2.1.5.1. Выполнение работ в соответствии с гарантийными обязательствами 2.1.5.1.1. Устранение недостатков системы ЗИ, выявленных в процессе эксплуатации АСЗИ, и последующему контролю за стабильностью характеристик системы АСЗИ, влияющих на эффективность ЗИ в течение установленных гарантийных сроков. 2.1.5.1.2. Внесение изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом. 2.1.5.2. Послегарантийное обслуживание 2.1.5.2.1. Мониторинг качества функционирования системы ЗИ АСЗИ. 2.1.5.2.2. Установление причин невыполнения требований о ЗИ в процессе функционирования АСЗИ. 2.1.5.2.3. Устранение недостатков в системе ЗИ и контролю за стабильностью ее характеристик, влияющих на эффективность ЗИ. 2.1.5.2.4. Внесение изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом. 2.2. Сертификация по требованиям безопасности информации (Гостехкомиссия России, 1995). 2.2.1. Подготовка программного обеспечения и средств защиты информации к проведению испытаний, в том числе помощь в разработке Технических условий и Заданий по безопасности. 2.2.2. Отбор образцов средств защиты информации для проведения сертификационных испытаний. 2.2.3. Разработка и согласование в органе по сертификации программ и методик сертификационных испытаний. 2.2.4. Проведение сертификационных испытаний программного обеспечения и средств защиты информации. 2.2.4.1. Проведение сертификационных испытаний программного обеспечения и средствзащиты информации на отсутствие недекларированныхвозможностей (РД НДВ). 2.2.4.2. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к средствам вычислительной техники (РД СВТ). 2.2.4.3. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к государственным информационным системам (ГосИС). 2.2.4.4. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к системам обработки персональных данных (ПДн). 2.2.4.5. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к системам обнаружения вторжений (СОВ). 2.2.4.6. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям с средствам антивирусной защиты (САВЗ, САЗ).
10 2.2.4.7. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к средствам доверенной загрузки (СДЗ). 2.2.4.8. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к средствам контроля съемных машинных носителей информации (СМНИ). 2.2.4.9. Проведение сертификационных испытаний средств защиты информации на соответствие реальныхи декларируемыхвдокументациифункциональных возможностей (РДВ). 2.2.4.10. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к средствам электронной подписи (ЭП) и средствам удостоверяющих центров (УЦ). 2.2.5. Оформление протоколов сертификационных испытаний и технических заключений. 2.2.5.1. Оказание консультационных услуг по внесению изменений в Технические условия и Формуляр. 2.2.6. Маркировка сертифицированных средств защиты информации знаком соответствия в порядке, установленном правилами системы сертификации. 2.2.7. Участие в аттестации производства сертифицируемых средств защиты информации. 2.2.7.1. Участие в разработке акта по результатам сертификационных испытаний. 2.2.8. Поверка средств измерений испытательного центра (лаборатории). 2.2.9. Аттестация испытательного оборудования испытательного центра (лаборатории). 2.2.10. Рассмотрение извещения от заявителя об изменениях в технологии, конструкции (составе) сертифицированныхсредствзащиты информации и принятие решения о необходимости проведения повторной сертификации. 2.2.11. Поддержание в актуальном состоянии нормативных документов для проведения испытаний средств защиты информации в соответствии с областью аккредитации. 2.2.12. Рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации. 2.2.13. Проведение аттестации производства средств защиты информации. 2.2.14. Проведение экспертизы результатов испытаний (участие в экспертизе). 2.2.15. Проведение работ, связанных с государственным контролем и надзором, осуществляемым федеральным органом по сертификации за соблюдением испытательными центрами (лабораториями) правил обязательной сертификации. 2.2.16. Инспекционный контроль за сертифицированными средствами защиты информации. 2.2.17. Продление срока действия сертификата по упрощенной схеме. 2.3. Аттестация по требованиям безопасности информации (Гостехкомиссия России, 1994).3 3 С учетом положений ГОСТ РО 0043-003-2012.
11 2.3.1. Аттестация объектов информатизации4 . 2.3.1.1. Анализ исходных данных по аттестуемому объекту информатизации (рассмотрение заявки на аттестацию). 2.3.1.2. Предварительное ознакомление с аттестуемым объектом информатизации. 2.3.1.2.1. Разработка программы аттестационных испытаний. 2.3.1.2.2. Согласование программы аттестационных испытаний с заявителем. 2.3.1.2.3. Разработка методик аттестационных испытаний. 2.3.1.3. Проведение аттестационных испытаний объектов информатизации 2.3.1.3.1. Проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации. 2.3.1.3.1.1. Анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации. 2.3.1.3.1.2. Проверка правильности категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств, и систем защиты информации. 2.3.1.3.2. Проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информациипо требованиям безопасности информации5 . 2.3.1.3.2.1. Испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытанийвиспытательных центрах (лабораториях)посертификации. 2.3.1.3.3. Проверка уровня подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации. 2.3.1.3.4. Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств (в части НСД). 2.3.1.3.5. Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации путем проверки фактическоговыполненияустановленных требованийнаразличных этапах технологического процесса обработки защищаемой информации 4 Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров (см. примечание к «Положению по аттестации…») или по ГОСТ РО 0043-004-2013 – АС, СИРД, средства обработки речевой и видеоинформации, ВП/ЗП. 5 Предпочтительно осуществлять в рамках отдельного договора (на сертификацию) ввиду длительного срока выполнения работ
12 2.3.1.3.6. Анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации. 2.3.1.3.6.1. Оформление протоколов испытаний и заключения по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации. 2.3.1.4. Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств (в части ПЭМИН). 2.3.1.5. Проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации. 2.3.1.6. Оформление, регистрация и выдача «Аттестата соответствия» (в случае, если в заключении по результатам аттестации сделан вывод о возможности выдачи «Аттестата соответствия»). 2.3.2. Ведение информационных баз аттестованных объектов информатизации. 2.3.3. Ежегодный контроль соответствия системы защиты информации объекта информатизации требованиям безопасности информации. 2.3.3.1. Уточнение и повторное согласование порядка контроля, установленного программой и методиками аттестационных испытаний объекта информатизации. 2.3.3.2. Проведение контроля в порядке, установленном программой и методиками аттестационных испытаний объекта информатизации. 2.3.4. Дополнительная проверка эффективности системы защиты объекта информатизации6 . 2.3.4.1. Рассмотрение извещения от заявителя об изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации7 . 2.3.4.2. Разработка и согласование порядка проверки эффективности системы защиты объекта информатизации. 2.3.5. Поддержание в актуальном состоянии нормативных документов для проведения аттестации объектов информатизации в соответствии с областью аккредитации. 2.3.6. Участие в мероприятиях, проводимых федеральными органами исполнительной власти в рамках системы аттестации объектов информатизации. 2.4. Специальные исследования (Росстандарт России, 2014). 2.4.1. Специальные лабораторные исследования. 2.4.2. Специальные объектовые исследования. 6 См. п. 3.8.5 «Положения по аттестации…» 7 См. п. 2.6 «Положения по аттестации…».
13 2.5. Специальные проверки (Росстандарт России, 2014). Список литературы 1) ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. [В Интернете] /авт.Росстандарт России. - 01 09 2014 г.. - http://protect.gost.ru/v.aspx?control=7&id=186815. 2) ГОСТ Р 54869-2011. Проектный менеджмент. Требования к управлению проектом. [В Интернете] / авт. Росстандарт России. - 01 09 2012 г.. - http://protect.gost.ru/v.aspx?control=7&id=179244. 3) Положение о сертификации средств защиты информации по требованиям безопасности информации, утвержденное Приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27.10.1995 г. № 199. [В Интернете] / авт. Гостехкомиссия России // ФСТЭК России. - ФСТЭК России, 1995 г.. - 2015 г.. - http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/119- polozheniya/395-polozhenie-ot-27-oktyabrya-1995-g-n-199. 4) Положение по аттестации объектов информатизации по требованиям безопасности информации (утв. Гостехкомиссией РФ 25.11.1994) [В Интернете] / авт. Гостехкомиссия России // Федеральнаяслужбапо техническомуиэкспортномуконтролю(ФСТЭКРоссии). - ФСТЭК России, 1994 г.. - 18 12 2015 г.. - http://fstec.ru/tekhnicheskaya-zashchita- informatsii/dokumenty/112-polozheniya/375-polozhenie-ot-25-noyabrya-1994-g.

Empfohlen

НСИ в Минздраве описание информационного обеспечения (1)
НСИ в Минздраве описание информационного обеспечения (1)НСИ в Минздраве описание информационного обеспечения (1)
НСИ в Минздраве описание информационного обеспечения (1)
Victor Gridnev
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
 
НСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодированияНСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодирования
Victor Gridnev
 
Ais Lecture 3
Ais Lecture 3Ais Lecture 3
Ais Lecture 3
Alexander Babich
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...
Олег Габов
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новая
trenders
 
White Paper для NetWrix Corporation
White Paper для NetWrix CorporationWhite Paper для NetWrix Corporation
White Paper для NetWrix Corporation
Andrey Markin
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
 

Empfohlen

НСИ в Минздраве описание информационного обеспечения (1)
НСИ в Минздраве описание информационного обеспечения (1)НСИ в Минздраве описание информационного обеспечения (1)
НСИ в Минздраве описание информационного обеспечения (1)
Victor Gridnev
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
 
НСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодированияНСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодирования
Victor Gridnev
 
Ais Lecture 3
Ais Lecture 3Ais Lecture 3
Ais Lecture 3
Alexander Babich
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...
Олег Габов
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новая
trenders
 
White Paper для NetWrix Corporation
White Paper для NetWrix CorporationWhite Paper для NetWrix Corporation
White Paper для NetWrix Corporation
Andrey Markin
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
 
Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]
Netwrix Россия/СНГ
 
Обеспечение безопасности персональных данных
Обеспечение безопасности персональных данныхОбеспечение безопасности персональных данных
Обеспечение безопасности персональных данных
belovaelena
 
лекция 7 управление конфигурациями-ч1
лекция 7 управление конфигурациями-ч1лекция 7 управление конфигурациями-ч1
лекция 7 управление конфигурациями-ч1
student_kai
 
лабораторная работа 1
лабораторная работа 1лабораторная работа 1
лабораторная работа 1
student_kai
 
Технический архив документов и чертежей
Технический архив документов и чертежейТехнический архив документов и чертежей
Технический архив документов и чертежей
AlexanderAvva
 
Типовое проектирование эис
Типовое проектирование эисТиповое проектирование эис
Типовое проектирование эис
adam93
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
NAUMEN. Информационные системы управления растущим бизнесом
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Security Code Ltd.
 
9 а,б
9 а,б9 а,б
9 а,б
Елена Гришко
 
відкрите заняття гуртка «народна вишивка» юдіна і.о.
відкрите заняття гуртка «народна вишивка» юдіна і.о.відкрите заняття гуртка «народна вишивка» юдіна і.о.
відкрите заняття гуртка «народна вишивка» юдіна і.о.
liliya2896
 
цени за-превод
цени за-преводцени за-превод
цени за-превод
University American College Skopje
 
Wowthing
WowthingWowthing
Wowthing
Kelly Zepeda
 
Makalah macam macam imunoglobulin
Makalah macam macam imunoglobulinMakalah macam macam imunoglobulin
Makalah macam macam imunoglobulin
Warnet Raha
 
GENTENG METAL
GENTENG METALGENTENG METAL
GENTENG METAL
Hamdanil Hamdanil
 
Cuaderno de-poesia-critica-n-17-ernesto-cardenal
Cuaderno de-poesia-critica-n-17-ernesto-cardenalCuaderno de-poesia-critica-n-17-ernesto-cardenal
Cuaderno de-poesia-critica-n-17-ernesto-cardenal
Vladimir Ferro González
 
Oeko Tex Certificate
Oeko Tex CertificateOeko Tex Certificate
Oeko Tex Certificate
ANBU M
 
Comunicación #8CNBP: Gamificación en bibliotecas como estrategia para aumenta...
Comunicación #8CNBP: Gamificación en bibliotecas como estrategia para aumenta...Comunicación #8CNBP: Gamificación en bibliotecas como estrategia para aumenta...
Comunicación #8CNBP: Gamificación en bibliotecas como estrategia para aumenta...
Ana Ordás
 
Immunoglobulin dan antibodi
Immunoglobulin dan antibodiImmunoglobulin dan antibodi
Immunoglobulin dan antibodi
Corry Oktaviani S
 
Звіт директора
Звіт директораЗвіт директора
Звіт директора
liliya2896
 
Materi biologi x ppt bab 8 fix
Materi biologi x ppt bab 8 fixMateri biologi x ppt bab 8 fix
Materi biologi x ppt bab 8 fix
eli priyatna laidan
 
Paijo Car Wash- Business Plan PKH UB Siti Nurjannah
Paijo Car Wash- Business Plan PKH UB Siti NurjannahPaijo Car Wash- Business Plan PKH UB Siti Nurjannah
Paijo Car Wash- Business Plan PKH UB Siti Nurjannah
Siti Nurjannah
 
Materi biologi x ppt bab 9 fix
Materi biologi x ppt bab 9 fixMateri biologi x ppt bab 9 fix
Materi biologi x ppt bab 9 fix
eli priyatna laidan
 

Weitere ähnliche Inhalte

Was ist angesagt?

Обеспечение безопасности персональных данных
Обеспечение безопасности персональных данныхОбеспечение безопасности персональных данных
Обеспечение безопасности персональных данных
belovaelena
 
лекция 7 управление конфигурациями-ч1
лекция 7 управление конфигурациями-ч1лекция 7 управление конфигурациями-ч1
лекция 7 управление конфигурациями-ч1
student_kai
 
лабораторная работа 1
лабораторная работа 1лабораторная работа 1
лабораторная работа 1
student_kai
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Security Code Ltd.
 

Was ist angesagt? (8)

Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]Как выбрать решение для аудита Active Directory [White Paper]
Как выбрать решение для аудита Active Directory [White Paper]
 
Обеспечение безопасности персональных данных
Обеспечение безопасности персональных данныхОбеспечение безопасности персональных данных
Обеспечение безопасности персональных данных
 
лекция 7 управление конфигурациями-ч1
лекция 7 управление конфигурациями-ч1лекция 7 управление конфигурациями-ч1
лекция 7 управление конфигурациями-ч1
 
лабораторная работа 1
лабораторная работа 1лабораторная работа 1
лабораторная работа 1
 
Технический архив документов и чертежей
Технический архив документов и чертежейТехнический архив документов и чертежей
Технический архив документов и чертежей
 
Типовое проектирование эис
Типовое проектирование эисТиповое проектирование эис
Типовое проектирование эис
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
 

Andere mochten auch

відкрите заняття гуртка «народна вишивка» юдіна і.о.
відкрите заняття гуртка «народна вишивка» юдіна і.о.відкрите заняття гуртка «народна вишивка» юдіна і.о.
відкрите заняття гуртка «народна вишивка» юдіна і.о.
liliya2896
 
Oeko Tex Certificate
Oeko Tex CertificateOeko Tex Certificate
Oeko Tex Certificate
ANBU M
 

Andere mochten auch (16)

9 а,б
9 а,б9 а,б
9 а,б
 
відкрите заняття гуртка «народна вишивка» юдіна і.о.
відкрите заняття гуртка «народна вишивка» юдіна і.о.відкрите заняття гуртка «народна вишивка» юдіна і.о.
відкрите заняття гуртка «народна вишивка» юдіна і.о.
 
цени за-превод
цени за-преводцени за-превод
цени за-превод
 
Wowthing
WowthingWowthing
Wowthing
 
Makalah macam macam imunoglobulin
Makalah macam macam imunoglobulinMakalah macam macam imunoglobulin
Makalah macam macam imunoglobulin
 
GENTENG METAL
GENTENG METALGENTENG METAL
GENTENG METAL
 
Cuaderno de-poesia-critica-n-17-ernesto-cardenal
Cuaderno de-poesia-critica-n-17-ernesto-cardenalCuaderno de-poesia-critica-n-17-ernesto-cardenal
Cuaderno de-poesia-critica-n-17-ernesto-cardenal
 
Oeko Tex Certificate
Oeko Tex CertificateOeko Tex Certificate
Oeko Tex Certificate
 
Comunicación #8CNBP: Gamificación en bibliotecas como estrategia para aumenta...
Comunicación #8CNBP: Gamificación en bibliotecas como estrategia para aumenta...Comunicación #8CNBP: Gamificación en bibliotecas como estrategia para aumenta...
Comunicación #8CNBP: Gamificación en bibliotecas como estrategia para aumenta...
 
Immunoglobulin dan antibodi
Immunoglobulin dan antibodiImmunoglobulin dan antibodi
Immunoglobulin dan antibodi
 
Звіт директора
Звіт директораЗвіт директора
Звіт директора
 
Materi biologi x ppt bab 8 fix
Materi biologi x ppt bab 8 fixMateri biologi x ppt bab 8 fix
Materi biologi x ppt bab 8 fix
 
Paijo Car Wash- Business Plan PKH UB Siti Nurjannah
Paijo Car Wash- Business Plan PKH UB Siti NurjannahPaijo Car Wash- Business Plan PKH UB Siti Nurjannah
Paijo Car Wash- Business Plan PKH UB Siti Nurjannah
 
Materi biologi x ppt bab 9 fix
Materi biologi x ppt bab 9 fixMateri biologi x ppt bab 9 fix
Materi biologi x ppt bab 9 fix
 
Праздник осень 2015 группа №11
Праздник осень 2015 группа №11Праздник осень 2015 группа №11
Праздник осень 2015 группа №11
 
Importancia del computador como herramienta de trabajo
Importancia del computador como herramienta de trabajoImportancia del computador como herramienta de trabajo
Importancia del computador como herramienta de trabajo
 

Ähnlich wie Классификатор работ по информационной безопасности

Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"
olalapim10
 
разработка технического задания
разработка технического заданияразработка технического задания
разработка технического задания
olalapim10
 
разработка технического задания 1
разработка технического задания 1разработка технического задания 1
разработка технического задания 1
olalapim10
 
содержание этапов создания ас
содержание этапов создания ас содержание этапов создания ас
содержание этапов создания ас
Anastasia Snegina
 
КОНЦЕПЦИЯ ИТ-ПЛАТФОРМЫ «АН2»
КОНЦЕПЦИЯ ИТ-ПЛАТФОРМЫ «АН2»КОНЦЕПЦИЯ ИТ-ПЛАТФОРМЫ «АН2»
КОНЦЕПЦИЯ ИТ-ПЛАТФОРМЫ «АН2»
Патриаршее подворье в Сокольниках
 
Conception
ConceptionConception
Conception
biv63
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
Марина Макарчук, Практический опыт создания и развития Комплексной системы ин...
Марина Макарчук, Практический опыт создания и развития Комплексной системы ин...Марина Макарчук, Практический опыт создания и развития Комплексной системы ин...
Марина Макарчук, Практический опыт создания и развития Комплексной системы ин...
ScrumTrek
 
методические рекомендации для гис
методические рекомендации для гисметодические рекомендации для гис
методические рекомендации для гис
AKlimchuk
 
лекция 1
лекция 1лекция 1
лекция 1
cezium
 
лекция 1
лекция 1лекция 1
лекция 1
cezium
 

Ähnlich wie Классификатор работ по информационной безопасности (20)

Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"
 
разработка технического задания
разработка технического заданияразработка технического задания
разработка технического задания
 
разработка технического задания 1
разработка технического задания 1разработка технического задания 1
разработка технического задания 1
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdf
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
п2 01 02
п2 01 02п2 01 02
п2 01 02
 
содержание этапов создания ас
содержание этапов создания ас содержание этапов создания ас
содержание этапов создания ас
 
КОНЦЕПЦИЯ ИТ-ПЛАТФОРМЫ «АН2»
КОНЦЕПЦИЯ ИТ-ПЛАТФОРМЫ «АН2»КОНЦЕПЦИЯ ИТ-ПЛАТФОРМЫ «АН2»
КОНЦЕПЦИЯ ИТ-ПЛАТФОРМЫ «АН2»
 
концепция платформы ан2 v1.6
концепция платформы ан2 v1.6концепция платформы ан2 v1.6
концепция платформы ан2 v1.6
 
Conception
ConceptionConception
Conception
 
Обеспечение контроля над ИТ-инфраструктурой
Обеспечение контроля над ИТ-инфраструктуройОбеспечение контроля над ИТ-инфраструктурой
Обеспечение контроля над ИТ-инфраструктурой
 
тема 10
тема 10тема 10
тема 10
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
 
Профстандарт "Сетевой администратор ИКТ систем"
Профстандарт "Сетевой администратор ИКТ систем"Профстандарт "Сетевой администратор ИКТ систем"
Профстандарт "Сетевой администратор ИКТ систем"
 
Марина Макарчук, Практический опыт создания и развития Комплексной системы ин...
Марина Макарчук, Практический опыт создания и развития Комплексной системы ин...Марина Макарчук, Практический опыт создания и развития Комплексной системы ин...
Марина Макарчук, Практический опыт создания и развития Комплексной системы ин...
 
01 Архитектура информационных систем. Общие понятия
01 Архитектура информационных систем. Общие понятия01 Архитектура информационных систем. Общие понятия
01 Архитектура информационных систем. Общие понятия
 
методические рекомендации для гис
методические рекомендации для гисметодические рекомендации для гис
методические рекомендации для гис
 
лекция 1
лекция 1лекция 1
лекция 1
 
лекция 1
лекция 1лекция 1
лекция 1
 

Классификатор работ по информационной безопасности

  • 1. Классификатор работ по информационной безопасности Версия 1 Цель: использование заказчиками и исполнителями при планировании работ, которые выполняются с учетом требований по информационной безопасности. Наименования работ приводятся из документов, регламентирующих вид деятельности, определенный наименованием пункта (см. Список литературы). Автор благодарен за отзывы на документ и открыт для обсуждения спорных вопросов. 1. Управление проектом (Росстандарт России, 2012) 1.1. Управление содержанием проекта. 1.2. Управление сроками проекта. 1.3. Управление затратами в проекте. 1.4. Управление рисками проекта. 1.5. Управление персоналом проекта. 1.6. Управление заинтересованными сторонами проекта. 1.7. Управление поставками проекта. 1.8. Управление качеством в проекте. 1.9. Управление обменом информацией в проекте. 1.10. Управление интеграцией проекта. 2. Работы, которые выполняются с учетом требований по информационной безопасности 2.1. Выполнение работ по созданию/модернизации систем защиты информации автоматизированных/информационных систем и автоматизированных/информационных систем в защищенном исполнении (Росстандарт России, 2014). 2.1.1. Формирование требований к системам защиты информации автоматизированных/информационным систем1 и автоматизированным/информационным системам в защищенном исполнении2 . 2.1.1.1. Проведение работ на стадии «Формирование требований к Системе», определенной ГОСТ 34.601. 1 Далее СЗИ АС (либо, если применимо одновременно к СЗИ АС и АСЗИ, то Система) 2 Далее АСЗИ (либо, если применимо одновременно к СЗИ АС и АСЗИ, то Система)
  • 2. 2 2.1.1.1.1. Проведение работ на этапе «Обследование объекта и обоснование необходимости создания Системы». 2.1.1.1.1.1. Анализ данных о назначении, функциях, условиях функционирования создаваемой (модернизируемой) Системы и характере обрабатываемой информации. 2.1.1.1.1.2. Определение перечня информации, подлежащей защите (в случае информации, содержащейсведения,составляющие государственную тайну – только консультирование Заказчика). 2.1.1.1.1.3. Определение актуальных угроз безопасности информации, связанных с НСД к защищаемой информации, с утечкой информации по техническим каналам и с несанкционированным воздействием на информацию. 2.1.1.1.1.4. Разработка модели угроз безопасности информации применительно к конкретным вариантам функционирования Системы. 2.1.1.1.1.5. Оценка(технико-экономическойит.п.) целесообразностисоздания Системы. 2.1.1.1.2. Проведение работ на этапе «Формирование требований пользователя к Системе» 2.1.1.1.2.1. Подготовка исходных данных для формирования требований в части системы ЗИ к создаваемой (модернизируемой) Системе (исходя из её предназначения и условий использования). 2.1.1.1.2.1.1. Определение порядка обработки информации в Системе в целом и в отдельных компонентах. 2.1.1.1.2.1.2. Оценкустепениучастияперсоналавобработке (обсуждении, передаче, хранении) защищаемой в Системе информации. 2.1.1.1.2.1.3. Определение требуемого класса (уровня) защищенности Системы от НСД. 2.1.1.1.2.1.4. Выбор целесообразных (исходя из экономических, научно- технических, временных и других ограничений, а также технологии обработки информации) способов ЗИ и контроля состояния ЗИ в АСЗИ. 2.1.1.1.2.1.5. Обоснование архитектуры и конфигурации Системы и ее отдельных составных частей, физических, функциональных и технологических связей как внутри Системы, так и с другими взаимодействующими системами. 2.1.1.1.2.1.6. Выбор ТС, которые могут бытьиспользованы при разработке Системы. 2.1.1.1.2.1.7. Оценкавозможностисоздания Системы,исходяизресурсных ограничений. 2.1.1.1.2.2. Формирование требований к Системе в части требований о защите информации 2.1.1.1.3. Проведение работ на этапе «Оформление отчета о выполненной работе и заявки на разработку АС (ТТЗ)». 2.1.1.1.3.1. Систематизация результатов, полученных на предыдущих этапах. 2.1.1.1.3.2. Формирование разделовотчетао выполненных работах наданной стадии в части создания Системы. 2.1.1.1.3.3. Оформление заявки на разработку Системы (ТЗ или дополнения к ТЗ) или другого заменяющего её документа с аналогичным
  • 3. 3 содержанием (в случае разработки отдельного ТЗ на систему ЗИ АСЗИ). 2.1.1.2. Проведение работ на стадии «Разработка концепции Системы», определенной ГОСТ 34.601. 2.1.1.2.1. Проведение работ на этапе «Изучение объекта» 2.1.1.2.1.1. Определение путейиоценкавозможностиреализациитребований, предъявляемых к Системе. 2.1.1.2.1.2. Обоснование необходимости привлеченияорганизаций, имеющих необходимые лицензии, для создания Системы. 2.1.1.2.1.3. Оценку ориентировочных сроков создания Системы. 2.1.1.2.1.4. Оценку материальных, трудовых и финансовых затрат на разработку и внедрение Системы. 2.1.1.2.1.5. Обоснование целесообразности проведения НИР (составной части НИР),определение основных вопросов,подлежащих исследованиюв интересах создания Системы. 2.1.1.2.1.6. Разработка ТТЗ на НИР (при необходимости). 2.1.1.2.2. Проведение работ на этапе «Проведение необходимых научно- исследовательских работ» 2.1.1.2.2.1. Анализ требований к назначению, структуре и конфигурации Системы. 2.1.1.2.2.2. Уточнение режимовобработкиинформациив Системе в целом и в отдельных компонентах. 2.1.1.2.2.3. Анализ возможных уязвимостей и обоснование актуальных угроз безопасности информации и перечня мероприятий по их блокированию (нейтрализации). 2.1.1.2.2.4. Уточнение требований о ЗИ в Системе. 2.1.1.2.2.5. Уточнение требований к архитектуре и конфигурации Системы. 2.1.1.2.2.6. Уточнение требований к составу и характеристикам основных и вспомогательных программных средств (ПС) и технических средств (ТС), которые могут быть использованы при разработке Системы, режимам их работы. 2.1.1.2.2.7. Обоснование перечня сертифицированных средств ЗИ, использование которых возможно в составе Системы. 2.1.1.2.2.8. Уточнение оценкиматериальных,трудовыхифинансовых затратна создание Системы. 2.1.1.2.2.9. Оформление и утверждение отчета о НИР. 2.1.1.2.3. Проведение работ на этапе «Разработка вариантов концепции Системы и выбор варианта концепции Системы, удовлетворяющего требованиям пользователя» 2.1.1.2.3.1. Разработка альтернативных вариантов концепции создаваемой Системы и планов их реализации. 2.1.1.2.3.2. Оценка необходимых ресурсов на реализацию каждого варианта и обеспечение функционирования Системы. 2.1.1.2.3.3. Оценка эффектов, преимуществ и недостатков от реализации каждого варианта. 2.1.1.2.3.4. Выбор варианта концепции системы. 2.1.1.2.4. Проведение работ на этапе «Оформление отчета о выполненной работе»
  • 4. 4 2.1.1.2.4.1. Разрабатывается самостоятельный отчет о работах, выполненных на стадии «Разработка концепции АС» в части системы ЗИ или раздел в основной отчет о работах, выполненных в интересах создания (модернизации) АСЗИ в целом 2.1.1.3. Проведение работ на стадии «Разработка технического задания на создание/модернизацию Системы», определенной ГОСТ 34.601. 2.1.1.3.1. Проведение работ на этапе «Разработка и утверждение технического задания на создание Системы» 2.1.1.3.1.1. Разработка, оформление, согласование и утверждение ТЗ на Систему (по ГОСТ 34.602). 2.1.2. Разработка (проектирование) Системы (АС, СЗИ АС и АСЗИ). 2.1.2.1. Проведение работ на стадии «Эскизный проект», определенной ГОСТ 34.601. 2.1.2.1.1. Проведение работ на этапе «Разработка предварительных проектных решений по системе и ее частям» 2.1.2.1.1.1. Определение субъектов доступа (пользователей, процессов и иных субъектовдоступа) иобъектовдоступа(устройств,объектовфайловой системы, запускаемых и исполняемых модулей, объектов системы управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа). 2.1.2.1.1.2. Уточнение исходных данных, касающихся технических, информационных, программных и организационных аспектов создания, и функционирования Системы. 2.1.2.1.1.3. Определение функцийсистемыЗИ создаваемой(модернизируемой) АСЗИ, состава комплексов задач и отдельных задач, решаемых подсистемой ЗИ. 2.1.2.1.1.4. Проработкаирассмотрение вариантовпостроенияСистемысучетом результатов ранее проведенных исследований и новейших достижений науки, и техники, в том числе по зарубежным аналогам, определение общих требований к Системе (ее структура, состав (число) и места размещения составных частей Системы). 2.1.2.1.1.5. Определение функций и параметров ТС и ПС системы ЗИ, особенностей их реализации в интересах блокирования (нейтрализации) угроз безопасности информации в АСЗИ. 2.1.2.1.1.6. Определение составаорганизационных мерЗИ, ТС и ПС системы ЗИ, выбор сертифицированных СрЗИ с учетом их совместимости с основными ТС и ПС создаваемой (модернизируемой) АСЗИ. 2.1.2.1.1.7. Обоснование номенклатуры СЗИ, специального технологического оборудования, средств контроля и измерений, подлежащих разработке в ходе создания АСЗИ. 2.1.2.1.2. Проведение работ на этапе «Разработка документации на Систему и ее части» (разработка, оформление, согласование и утверждение документациивобъеме,необходимомдляописания полной совокупности принятых предварительных проектных решений и достаточном для дальнейшего выполнения работ по созданию Системы, виды документов - по ГОСТ 34.201). 2.1.2.1.2.1. Разработка ведомости эскизного проекта.
  • 5. 5 2.1.2.1.2.2. Разработка пояснительной записки к эскизному проекту. 2.1.2.1.2.3. Разработка схема организационной структуры. 2.1.2.1.2.4. Разработка схемы структурной комплекса технических средств. 2.1.2.1.2.5. Разработка схемы функциональной структуры. 2.1.2.1.2.6. Разработка перечня заданий на разработку специализированных (новых) технических средств. 2.1.2.1.2.7. Разработка схемы автоматизации. 2.1.2.1.2.8. Разработка технического задания на разработку специализированных (новых) технических средств. 2.1.2.2. Проведение работ на стадии «Технический проект», определенной ГОСТ 34.601. 2.1.2.2.1. Разработка проектных решений по системе и ее частям. 2.1.2.2.1.1. Разработка общих решений по Системе, по ее функциональной структуре, ТС и ПС системы ЗИ, алгоритмам функционирования системы ЗИ, функциям персонала, обслуживающего Систему. 2.1.2.2.1.2. Разработкаалгоритмоврешениязадач ЗИ,параметровнастройкиТС и ПС, обеспечивающих реализацию функциональных возможностей Системы. 2.1.2.2.1.3. Разработка макетов составных частей Системы. 2.1.2.2.2. Разработка документации на АС и ее части (разработка, оформление, согласование и утверждение технической документации на Систему, виды документов - по ГОСТ 34.201). 2.1.2.2.2.1. Разработка задания на разработку строительных, электротехнических, санитарно-технических и других разделов проекта, связанных с созданием Системы. 2.1.2.2.2.2. Разработка ведомости технического проекта. 2.1.2.2.2.3. Разработка ведомости покупных изделий. 2.1.2.2.2.4. Разработка перечня входных сигналов и данных. 2.1.2.2.2.5. Разработка перечня выходных сигналов (документов). 2.1.2.2.2.6. Разработка перечня заданий на разработку строительных, электротехнических, санитарно-технических и других разделов проекта, связанных с созданием Системы. 2.1.2.2.2.7. Разработка пояснительной записка к техническому проекту. 2.1.2.2.2.8. Разработка описания автоматизируемых функций. 2.1.2.2.2.9. Разработка описания постановки задач (комплекса задач). 2.1.2.2.2.10. Разработка описания информационного обеспечения Системы. 2.1.2.2.2.11. Разработка описания организации информационной базы. 2.1.2.2.2.12. Разработка описания систем классификации и кодирования. 2.1.2.2.2.13. Разработка описания массива информации. 2.1.2.2.2.14. Разработка описания комплекса технических средств. 2.1.2.2.2.15. Разработка описания программного обеспечения. 2.1.2.2.2.16. Разработка описания алгоритма (проектной процедуры). 2.1.2.2.2.17. Разработка описания организационной структуры. 2.1.2.2.2.18. Разработка плана расположения. 2.1.2.2.2.19. Разработка ведомости оборудования и материалов. 2.1.2.2.2.20. Разработка локального сметного расчета. 2.1.2.2.2.21. Разработка проектной оценки надежности системы. 2.1.2.2.2.22. Разработка чертежа формы документа (видеокадра).
  • 6. 6 2.1.2.2.3. Разработкаиоформление документациинапоставкуизделий для комплектования АС и (или) технических требований (технических заданий) на их разработку. 2.1.2.2.3.1. Подготовка и оформление документов на поставку ТС и ПС для комплектования Системы. 2.1.2.2.3.2. Определение технических требований и составление ТЗ на разработку специальных СрЗИ, специального технологического оборудования, средств контроля и измерений, не изготавливаемых серийно. 2.1.2.2.4. Разработка заданий на проектирование в смежных частях проекта объекта информатизации (разработка, оформление, согласование и утверждение заданий на проектирование помещений для Системы с учетом требований о ЗИ). 2.1.2.3. Проведение работ на стадии «Рабочая документация», определенной ГОСТ 34.601. 2.1.2.3.1. Разработка рабочей документации на Систему и ее части (по ГОСТ 34 серии). 2.1.2.3.1.1. Разработка ведомости держателей подлинников. 2.1.2.3.1.2. Разработка ведомости эксплуатационных документов. 2.1.2.3.1.3. Разработка cспецификации оборудования. 2.1.2.3.1.4. Разработка ведомости потребности в материалах. 2.1.2.3.1.5. Разработка ведомости машинных носителей информации. 2.1.2.3.1.6. Разработка массива входных данных. 2.1.2.3.1.7. Разработка каталог базы данных. 2.1.2.3.1.8. Разработка состава выходных данных (сообщений). 2.1.2.3.1.9. Разработка локальной сметы. 2.1.2.3.1.10. Разработка методики (технологии) автоматизированного проектирования. 2.1.2.3.1.11. Разработка технологической инструкции. 2.1.2.3.1.12. Разработка руководства пользователя. 2.1.2.3.1.13. Разработка инструкции по формированию и ведению базы данных (набора данных). 2.1.2.3.1.14. Разработка инструкции по эксплуатации КТС. 2.1.2.3.1.15. Разработка схемы соединений внешних проводок. 2.1.2.3.1.16. Разработка схемы подключения внешних проводок. 2.1.2.3.1.17. Разработка таблицы соединений и подключений. 2.1.2.3.1.18. Разработка схемы деления Системы (структурная). 2.1.2.3.1.19. Разработка чертежа общего вида. 2.1.2.3.1.20. Разработка чертежа установки технических средств. 2.1.2.3.1.21. Разработка схемы принципиальной. 2.1.2.3.1.22. Разработка схемы структурной комплекса технических средств. 2.1.2.3.1.23. Разработка плана расположения оборудования и проводок. 2.1.2.3.1.24. Разработка описания технологического процесса обработки данных (включая телеобработку). 2.1.2.3.1.25. Разработка общего описания системы. 2.1.2.3.1.26. Разработка программы и методики испытаний (компонентов, комплексов средств автоматизации, подсистемы, систем). 2.1.2.3.1.27. Разработка формуляра.
  • 7. 7 2.1.2.3.1.28. Разработка паспорта. 2.1.2.3.2. Разработка и адаптация программ 2.1.2.3.2.1. Разработка ПС для СЗИ, адаптацию и / или привязку приобретаемых ПС, тестирование ПС системы ЗИ АСЗИ. 2.1.2.3.2.2. Разработка и испытания СЗИ, технологического оборудования, средств контроля и измерений системы ЗИ АСЗИ. 2.1.2.3.2.3. Сертификация разрабатываемых ПС и СЗИ системы ЗИ АСЗИ по требованиям безопасности информации (см. пункт 2.2). 2.1.2.3.2.4. Разработка документации на ПС и СЗИ системы ЗИ АСЗИ. 2.1.2.3.2.5. Тестирование ПС системы ЗИ АСЗИ: 2.1.2.3.2.5.1. ПроверкаработоспособностиисовместимостиПСсистемыЗИ с информационнымитехнологиямииТСобработкиинформации. 2.1.2.3.2.5.2. Проверка выполнения ПС системы ЗИ требований к системе ЗИ АСЗИ. 2.1.2.3.2.5.3. Корректировка документации на систему ЗИ АСЗИ (при необходимости). 2.1.3. Внедрение системы (АС, СЗИ АС и АСЗИ). 2.1.3.1. Внедрение системы ЗИАСЗИ (проведение работ присозданииАС или АСЗИ на стадии «Ввод в действие», определенной ГОСТ 34.601) 2.1.3.1.1. Установка и настройка СЗИ. 2.1.3.1.2. Разработка организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации АСЗИ. 2.1.3.1.3. Предварительные испытания системы ЗИ АСЗИ (см. п. 2.1.4.2.6). 2.1.3.1.4. ОпытнаяэксплуатацияидоработкасистемыЗИ АСЗИ (см.п. 2.1.4.2.7). 2.1.3.1.5. Приемочные испытания системы ЗИ АСЗИ (см. п. 2.1.4.2.8). 2.1.3.1.6. Аттестация АСЗИ на соответствие требованиям безопасности информации (см. пункт 2.3). 2.1.4. Аттестация АС или АСЗИ на соответствие требованиям безопасности информации и ввод ее в действие. 2.1.4.1. Аттестация по требованиям безопасности информации (см. пункт 2.3). 2.1.4.2. Ввод АС или АСЗИ в действие (при создании АС или АСЗИ на стадии «Ввод в действие» в интересах внедрения системы ЗИ создаваемой (модернизируемой) АСЗИ проводят следующие работы). 2.1.4.2.1. Подготовка объекта к вводу АС в действие: 2.1.4.2.1.1. Реализация проектных решений по организационной структуре системы ЗИ создаваемой (модернизируемой) АСЗИ и АСЗИ в целом. 2.1.4.2.1.2. Реализация организационных мер, обеспечивающих эффективное использование системы ЗИ. 2.1.4.2.2. Подготовка персонала: 2.1.4.2.2.1. Обучение персоналаАСЗИ ипроверкуегоспособностиобеспечивать функционирование системы ЗИ и АСЗИ в целом. 2.1.4.2.2.2. Проверка и подготовку специалистов структурного подразделения или должностного лица (работника), ответственных за ЗИ в АСЗИ 2.1.4.2.3. Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями):
  • 8. 8 2.1.4.2.3.1. Обеспечение получения комплектующих изделий системы ЗИ серийного и единичного производства, материалов и монтажных изделий. 2.1.4.2.3.1.1. Оказание консультаций при организации конкурса для закупки комплектующих изделий системы ЗИ. 2.1.4.2.3.1.2. Оказание консультаций при организации аукциона для закупки комплектующих изделий системы ЗИ. 2.1.4.2.3.2. Проведение входного контроля качества комплектующих изделий системы ЗИ, проверку наличия документов по сертификации. 2.1.4.2.3.2.1. Проведение входного контроля качества комплектующих изделий системы ЗИ. 2.1.4.2.3.2.2. Проверка наличия документов по сертификации на комплектующие изделия системы ЗИ (и прочих документов, предусмотренных по требованиям безопасности информации). 2.1.4.2.3.3. Специальные исследования и специальные проверки закупленных средств (см. п.п. 2.4 – 2.5). 2.1.4.2.4. Проведение строительно-монтажных работ: 2.1.4.2.4.1. Надзор за выполнениемстроительнымиорганизациямитребований ЗИ. 2.1.4.2.4.2. Проверка реализации требований о ЗИ при приемке монтажных работ (в случае необходимости проводят соответствующие испытания). 2.1.4.2.5. Пусконаладочные работы: 2.1.4.2.5.1. Автономная наладка ТС и ПС системы ЗИ. 2.1.4.2.5.2. Комплексная наладка всех СЗИ системы ЗИ. 2.1.4.2.6. Проведение предварительных испытаний: 2.1.4.2.6.1. Испытания системы ЗИ на работоспособность и соответствие техническому заданию в соответствии с программой и методикой испытаний. 2.1.4.2.6.2. Устранение недостатков, выявленных в процессе испытаний, и внесение изменений в документацию на систему ЗИ создаваемой (модернизируемой) АСЗИ, в том числе эксплуатационную, в соответствии с протоколом испытаний. 2.1.4.2.6.3. Принятие решенияовозможностиопытнойэксплуатациисистемыЗИ АСЗИ. 2.1.4.2.7. Проведение опытной эксплуатации: 2.1.4.2.7.1. ПроверкафункционированиясистемыЗИ всоставе АСЗИ,втомчисле реализованных мер ЗИ. 2.1.4.2.7.2. Анализ выявленных в ходе опытной эксплуатации системы ЗИ уязвимостей АСЗИ, доработку, наладку системы ЗИ. 2.1.4.2.7.3. Проверка готовности пользователей и администраторов к эксплуатации системы ЗИ АСЗИ. 2.1.4.2.7.4. Оформление акта о завершении опытной эксплуатации системы ЗИ АСЗИ. 2.1.4.2.8. Проведение приемочных испытаний: 2.1.4.2.8.1. Испытания системы ЗИ АСЗИ на соответствие ТЗ на систему ЗИ в соответствии с программой и методиками испытаний АСЗИ. 2.1.4.2.8.2. Анализ результатов испытаний системы ЗИ АСЗИ и устранение недостатков, выявленных при испытаниях.
  • 9. 9 2.1.4.2.8.3. Оформление разделов акта о приемке АСЗИ в постоянную эксплуатацию (в части системы ЗИ АСЗИ). 2.1.5. Проведение работна стадии «Сопровождение системы»,определеннойГОСТ 34.601. 2.1.5.1. Выполнение работ в соответствии с гарантийными обязательствами 2.1.5.1.1. Устранение недостатков системы ЗИ, выявленных в процессе эксплуатации АСЗИ, и последующему контролю за стабильностью характеристик системы АСЗИ, влияющих на эффективность ЗИ в течение установленных гарантийных сроков. 2.1.5.1.2. Внесение изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом. 2.1.5.2. Послегарантийное обслуживание 2.1.5.2.1. Мониторинг качества функционирования системы ЗИ АСЗИ. 2.1.5.2.2. Установление причин невыполнения требований о ЗИ в процессе функционирования АСЗИ. 2.1.5.2.3. Устранение недостатков в системе ЗИ и контролю за стабильностью ее характеристик, влияющих на эффективность ЗИ. 2.1.5.2.4. Внесение изменений в документацию на систему ЗИ и, при необходимости, в документацию на АСЗИ в целом. 2.2. Сертификация по требованиям безопасности информации (Гостехкомиссия России, 1995). 2.2.1. Подготовка программного обеспечения и средств защиты информации к проведению испытаний, в том числе помощь в разработке Технических условий и Заданий по безопасности. 2.2.2. Отбор образцов средств защиты информации для проведения сертификационных испытаний. 2.2.3. Разработка и согласование в органе по сертификации программ и методик сертификационных испытаний. 2.2.4. Проведение сертификационных испытаний программного обеспечения и средств защиты информации. 2.2.4.1. Проведение сертификационных испытаний программного обеспечения и средствзащиты информации на отсутствие недекларированныхвозможностей (РД НДВ). 2.2.4.2. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к средствам вычислительной техники (РД СВТ). 2.2.4.3. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к государственным информационным системам (ГосИС). 2.2.4.4. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к системам обработки персональных данных (ПДн). 2.2.4.5. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к системам обнаружения вторжений (СОВ). 2.2.4.6. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям с средствам антивирусной защиты (САВЗ, САЗ).
  • 10. 10 2.2.4.7. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к средствам доверенной загрузки (СДЗ). 2.2.4.8. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к средствам контроля съемных машинных носителей информации (СМНИ). 2.2.4.9. Проведение сертификационных испытаний средств защиты информации на соответствие реальныхи декларируемыхвдокументациифункциональных возможностей (РДВ). 2.2.4.10. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям к средствам электронной подписи (ЭП) и средствам удостоверяющих центров (УЦ). 2.2.5. Оформление протоколов сертификационных испытаний и технических заключений. 2.2.5.1. Оказание консультационных услуг по внесению изменений в Технические условия и Формуляр. 2.2.6. Маркировка сертифицированных средств защиты информации знаком соответствия в порядке, установленном правилами системы сертификации. 2.2.7. Участие в аттестации производства сертифицируемых средств защиты информации. 2.2.7.1. Участие в разработке акта по результатам сертификационных испытаний. 2.2.8. Поверка средств измерений испытательного центра (лаборатории). 2.2.9. Аттестация испытательного оборудования испытательного центра (лаборатории). 2.2.10. Рассмотрение извещения от заявителя об изменениях в технологии, конструкции (составе) сертифицированныхсредствзащиты информации и принятие решения о необходимости проведения повторной сертификации. 2.2.11. Поддержание в актуальном состоянии нормативных документов для проведения испытаний средств защиты информации в соответствии с областью аккредитации. 2.2.12. Рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации. 2.2.13. Проведение аттестации производства средств защиты информации. 2.2.14. Проведение экспертизы результатов испытаний (участие в экспертизе). 2.2.15. Проведение работ, связанных с государственным контролем и надзором, осуществляемым федеральным органом по сертификации за соблюдением испытательными центрами (лабораториями) правил обязательной сертификации. 2.2.16. Инспекционный контроль за сертифицированными средствами защиты информации. 2.2.17. Продление срока действия сертификата по упрощенной схеме. 2.3. Аттестация по требованиям безопасности информации (Гостехкомиссия России, 1994).3 3 С учетом положений ГОСТ РО 0043-003-2012.
  • 11. 11 2.3.1. Аттестация объектов информатизации4 . 2.3.1.1. Анализ исходных данных по аттестуемому объекту информатизации (рассмотрение заявки на аттестацию). 2.3.1.2. Предварительное ознакомление с аттестуемым объектом информатизации. 2.3.1.2.1. Разработка программы аттестационных испытаний. 2.3.1.2.2. Согласование программы аттестационных испытаний с заявителем. 2.3.1.2.3. Разработка методик аттестационных испытаний. 2.3.1.3. Проведение аттестационных испытаний объектов информатизации 2.3.1.3.1. Проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации. 2.3.1.3.1.1. Анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации. 2.3.1.3.1.2. Проверка правильности категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств, и систем защиты информации. 2.3.1.3.2. Проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информациипо требованиям безопасности информации5 . 2.3.1.3.2.1. Испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытанийвиспытательных центрах (лабораториях)посертификации. 2.3.1.3.3. Проверка уровня подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации. 2.3.1.3.4. Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств (в части НСД). 2.3.1.3.5. Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации путем проверки фактическоговыполненияустановленных требованийнаразличных этапах технологического процесса обработки защищаемой информации 4 Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров (см. примечание к «Положению по аттестации…») или по ГОСТ РО 0043-004-2013 – АС, СИРД, средства обработки речевой и видеоинформации, ВП/ЗП. 5 Предпочтительно осуществлять в рамках отдельного договора (на сертификацию) ввиду длительного срока выполнения работ
  • 12. 12 2.3.1.3.6. Анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации. 2.3.1.3.6.1. Оформление протоколов испытаний и заключения по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации. 2.3.1.4. Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств (в части ПЭМИН). 2.3.1.5. Проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации. 2.3.1.6. Оформление, регистрация и выдача «Аттестата соответствия» (в случае, если в заключении по результатам аттестации сделан вывод о возможности выдачи «Аттестата соответствия»). 2.3.2. Ведение информационных баз аттестованных объектов информатизации. 2.3.3. Ежегодный контроль соответствия системы защиты информации объекта информатизации требованиям безопасности информации. 2.3.3.1. Уточнение и повторное согласование порядка контроля, установленного программой и методиками аттестационных испытаний объекта информатизации. 2.3.3.2. Проведение контроля в порядке, установленном программой и методиками аттестационных испытаний объекта информатизации. 2.3.4. Дополнительная проверка эффективности системы защиты объекта информатизации6 . 2.3.4.1. Рассмотрение извещения от заявителя об изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации7 . 2.3.4.2. Разработка и согласование порядка проверки эффективности системы защиты объекта информатизации. 2.3.5. Поддержание в актуальном состоянии нормативных документов для проведения аттестации объектов информатизации в соответствии с областью аккредитации. 2.3.6. Участие в мероприятиях, проводимых федеральными органами исполнительной власти в рамках системы аттестации объектов информатизации. 2.4. Специальные исследования (Росстандарт России, 2014). 2.4.1. Специальные лабораторные исследования. 2.4.2. Специальные объектовые исследования. 6 См. п. 3.8.5 «Положения по аттестации…» 7 См. п. 2.6 «Положения по аттестации…».
  • 13. 13 2.5. Специальные проверки (Росстандарт России, 2014). Список литературы 1) ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. [В Интернете] /авт.Росстандарт России. - 01 09 2014 г.. - http://protect.gost.ru/v.aspx?control=7&id=186815. 2) ГОСТ Р 54869-2011. Проектный менеджмент. Требования к управлению проектом. [В Интернете] / авт. Росстандарт России. - 01 09 2012 г.. - http://protect.gost.ru/v.aspx?control=7&id=179244. 3) Положение о сертификации средств защиты информации по требованиям безопасности информации, утвержденное Приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27.10.1995 г. № 199. [В Интернете] / авт. Гостехкомиссия России // ФСТЭК России. - ФСТЭК России, 1995 г.. - 2015 г.. - http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/119- polozheniya/395-polozhenie-ot-27-oktyabrya-1995-g-n-199. 4) Положение по аттестации объектов информатизации по требованиям безопасности информации (утв. Гостехкомиссией РФ 25.11.1994) [В Интернете] / авт. Гостехкомиссия России // Федеральнаяслужбапо техническомуиэкспортномуконтролю(ФСТЭКРоссии). - ФСТЭК России, 1994 г.. - 18 12 2015 г.. - http://fstec.ru/tekhnicheskaya-zashchita- informatsii/dokumenty/112-polozheniya/375-polozhenie-ot-25-noyabrya-1994-g.