Цель: использование заказчиками и исполнителями при планировании работ, которые выполняются с учетом требований по информационной безопасности.
Цель документа - договориться о наименовании работ по ИБ между заказчиками и исполнителями. Наименования работ можно использовать, например, для написания документов первого уровня: Технических требований для конкурса, ТЗ к договору и т.п. Подвиды работ в последующих документах (например, в ТЗ на создание/модернизацию) могут уточняться и дополнятся, но и заказчики и исполнители в начале пути должны понимать на основе каких нормативных документов (устанавливающих перечень видов работ) они их выполняют.
Классификатор работ по информационной безопасности
1. Классификатор работ по информационной
безопасности
Версия 1
Цель: использование заказчиками и исполнителями при планировании работ, которые
выполняются с учетом требований по информационной безопасности.
Наименования работ приводятся из документов, регламентирующих вид деятельности,
определенный наименованием пункта (см. Список литературы).
Автор благодарен за отзывы на документ и открыт для обсуждения спорных вопросов.
1. Управление проектом (Росстандарт России, 2012)
1.1. Управление содержанием проекта.
1.2. Управление сроками проекта.
1.3. Управление затратами в проекте.
1.4. Управление рисками проекта.
1.5. Управление персоналом проекта.
1.6. Управление заинтересованными сторонами проекта.
1.7. Управление поставками проекта.
1.8. Управление качеством в проекте.
1.9. Управление обменом информацией в проекте.
1.10. Управление интеграцией проекта.
2. Работы, которые выполняются с учетом требований по
информационной безопасности
2.1. Выполнение работ по созданию/модернизации систем защиты
информации автоматизированных/информационных систем и
автоматизированных/информационных систем в защищенном
исполнении (Росстандарт России, 2014).
2.1.1. Формирование требований к системам защиты информации
автоматизированных/информационным систем1
и
автоматизированным/информационным системам в защищенном исполнении2
.
2.1.1.1. Проведение работ на стадии «Формирование требований к Системе»,
определенной ГОСТ 34.601.
1 Далее СЗИ АС (либо, если применимо одновременно к СЗИ АС и АСЗИ, то Система)
2 Далее АСЗИ (либо, если применимо одновременно к СЗИ АС и АСЗИ, то Система)
2. 2
2.1.1.1.1. Проведение работ на этапе «Обследование объекта и обоснование
необходимости создания Системы».
2.1.1.1.1.1. Анализ данных о назначении, функциях, условиях
функционирования создаваемой (модернизируемой) Системы и
характере обрабатываемой информации.
2.1.1.1.1.2. Определение перечня информации, подлежащей защите (в случае
информации, содержащейсведения,составляющие государственную
тайну – только консультирование Заказчика).
2.1.1.1.1.3. Определение актуальных угроз безопасности информации,
связанных с НСД к защищаемой информации, с утечкой информации
по техническим каналам и с несанкционированным воздействием на
информацию.
2.1.1.1.1.4. Разработка модели угроз безопасности информации
применительно к конкретным вариантам функционирования
Системы.
2.1.1.1.1.5. Оценка(технико-экономическойит.п.) целесообразностисоздания
Системы.
2.1.1.1.2. Проведение работ на этапе «Формирование требований
пользователя к Системе»
2.1.1.1.2.1. Подготовка исходных данных для формирования требований в
части системы ЗИ к создаваемой (модернизируемой) Системе
(исходя из её предназначения и условий использования).
2.1.1.1.2.1.1. Определение порядка обработки информации в Системе в
целом и в отдельных компонентах.
2.1.1.1.2.1.2. Оценкустепениучастияперсоналавобработке (обсуждении,
передаче, хранении) защищаемой в Системе информации.
2.1.1.1.2.1.3. Определение требуемого класса (уровня) защищенности
Системы от НСД.
2.1.1.1.2.1.4. Выбор целесообразных (исходя из экономических, научно-
технических, временных и других ограничений, а также
технологии обработки информации) способов ЗИ и контроля
состояния ЗИ в АСЗИ.
2.1.1.1.2.1.5. Обоснование архитектуры и конфигурации Системы и ее
отдельных составных частей, физических, функциональных и
технологических связей как внутри Системы, так и с другими
взаимодействующими системами.
2.1.1.1.2.1.6. Выбор ТС, которые могут бытьиспользованы при разработке
Системы.
2.1.1.1.2.1.7. Оценкавозможностисоздания Системы,исходяизресурсных
ограничений.
2.1.1.1.2.2. Формирование требований к Системе в части требований о
защите информации
2.1.1.1.3. Проведение работ на этапе «Оформление отчета о выполненной
работе и заявки на разработку АС (ТТЗ)».
2.1.1.1.3.1. Систематизация результатов, полученных на предыдущих этапах.
2.1.1.1.3.2. Формирование разделовотчетао выполненных работах наданной
стадии в части создания Системы.
2.1.1.1.3.3. Оформление заявки на разработку Системы (ТЗ или дополнения к
ТЗ) или другого заменяющего её документа с аналогичным
3. 3
содержанием (в случае разработки отдельного ТЗ на систему ЗИ
АСЗИ).
2.1.1.2. Проведение работ на стадии «Разработка концепции Системы»,
определенной ГОСТ 34.601.
2.1.1.2.1. Проведение работ на этапе «Изучение объекта»
2.1.1.2.1.1. Определение путейиоценкавозможностиреализациитребований,
предъявляемых к Системе.
2.1.1.2.1.2. Обоснование необходимости привлеченияорганизаций, имеющих
необходимые лицензии, для создания Системы.
2.1.1.2.1.3. Оценку ориентировочных сроков создания Системы.
2.1.1.2.1.4. Оценку материальных, трудовых и финансовых затрат на
разработку и внедрение Системы.
2.1.1.2.1.5. Обоснование целесообразности проведения НИР (составной части
НИР),определение основных вопросов,подлежащих исследованиюв
интересах создания Системы.
2.1.1.2.1.6. Разработка ТТЗ на НИР (при необходимости).
2.1.1.2.2. Проведение работ на этапе «Проведение необходимых научно-
исследовательских работ»
2.1.1.2.2.1. Анализ требований к назначению, структуре и конфигурации
Системы.
2.1.1.2.2.2. Уточнение режимовобработкиинформациив Системе в целом и в
отдельных компонентах.
2.1.1.2.2.3. Анализ возможных уязвимостей и обоснование актуальных угроз
безопасности информации и перечня мероприятий по их
блокированию (нейтрализации).
2.1.1.2.2.4. Уточнение требований о ЗИ в Системе.
2.1.1.2.2.5. Уточнение требований к архитектуре и конфигурации Системы.
2.1.1.2.2.6. Уточнение требований к составу и характеристикам основных и
вспомогательных программных средств (ПС) и технических средств
(ТС), которые могут быть использованы при разработке Системы,
режимам их работы.
2.1.1.2.2.7. Обоснование перечня сертифицированных средств ЗИ,
использование которых возможно в составе Системы.
2.1.1.2.2.8. Уточнение оценкиматериальных,трудовыхифинансовых затратна
создание Системы.
2.1.1.2.2.9. Оформление и утверждение отчета о НИР.
2.1.1.2.3. Проведение работ на этапе «Разработка вариантов концепции
Системы и выбор варианта концепции Системы, удовлетворяющего
требованиям пользователя»
2.1.1.2.3.1. Разработка альтернативных вариантов концепции создаваемой
Системы и планов их реализации.
2.1.1.2.3.2. Оценка необходимых ресурсов на реализацию каждого
варианта и обеспечение функционирования Системы.
2.1.1.2.3.3. Оценка эффектов, преимуществ и недостатков от реализации
каждого варианта.
2.1.1.2.3.4. Выбор варианта концепции системы.
2.1.1.2.4. Проведение работ на этапе «Оформление отчета о выполненной
работе»
4. 4
2.1.1.2.4.1. Разрабатывается самостоятельный отчет о работах,
выполненных на стадии «Разработка концепции АС» в части системы
ЗИ или раздел в основной отчет о работах, выполненных в интересах
создания (модернизации) АСЗИ в целом
2.1.1.3. Проведение работ на стадии «Разработка технического задания на
создание/модернизацию Системы», определенной ГОСТ 34.601.
2.1.1.3.1. Проведение работ на этапе «Разработка и утверждение
технического задания на создание Системы»
2.1.1.3.1.1. Разработка, оформление, согласование и утверждение ТЗ на
Систему (по ГОСТ 34.602).
2.1.2. Разработка (проектирование) Системы (АС, СЗИ АС и АСЗИ).
2.1.2.1. Проведение работ на стадии «Эскизный проект», определенной ГОСТ
34.601.
2.1.2.1.1. Проведение работ на этапе «Разработка предварительных
проектных решений по системе и ее частям»
2.1.2.1.1.1. Определение субъектов доступа (пользователей, процессов и иных
субъектовдоступа) иобъектовдоступа(устройств,объектовфайловой
системы, запускаемых и исполняемых модулей, объектов системы
управления базами данных, объектов, создаваемых прикладным
программным обеспечением, иных объектов доступа).
2.1.2.1.1.2. Уточнение исходных данных, касающихся технических,
информационных, программных и организационных аспектов
создания, и функционирования Системы.
2.1.2.1.1.3. Определение функцийсистемыЗИ создаваемой(модернизируемой)
АСЗИ, состава комплексов задач и отдельных задач, решаемых
подсистемой ЗИ.
2.1.2.1.1.4. Проработкаирассмотрение вариантовпостроенияСистемысучетом
результатов ранее проведенных исследований и новейших
достижений науки, и техники, в том числе по зарубежным аналогам,
определение общих требований к Системе (ее структура, состав
(число) и места размещения составных частей Системы).
2.1.2.1.1.5. Определение функций и параметров ТС и ПС системы ЗИ,
особенностей их реализации в интересах блокирования
(нейтрализации) угроз безопасности информации в АСЗИ.
2.1.2.1.1.6. Определение составаорганизационных мерЗИ, ТС и ПС системы ЗИ,
выбор сертифицированных СрЗИ с учетом их совместимости с
основными ТС и ПС создаваемой (модернизируемой) АСЗИ.
2.1.2.1.1.7. Обоснование номенклатуры СЗИ, специального технологического
оборудования, средств контроля и измерений, подлежащих
разработке в ходе создания АСЗИ.
2.1.2.1.2. Проведение работ на этапе «Разработка документации на
Систему и ее части» (разработка, оформление, согласование и
утверждение документациивобъеме,необходимомдляописания полной
совокупности принятых предварительных проектных решений и
достаточном для дальнейшего выполнения работ по созданию Системы,
виды документов - по ГОСТ 34.201).
2.1.2.1.2.1. Разработка ведомости эскизного проекта.
5. 5
2.1.2.1.2.2. Разработка пояснительной записки к эскизному проекту.
2.1.2.1.2.3. Разработка схема организационной структуры.
2.1.2.1.2.4. Разработка схемы структурной комплекса технических средств.
2.1.2.1.2.5. Разработка схемы функциональной структуры.
2.1.2.1.2.6. Разработка перечня заданий на разработку специализированных
(новых) технических средств.
2.1.2.1.2.7. Разработка схемы автоматизации.
2.1.2.1.2.8. Разработка технического задания на разработку
специализированных (новых) технических средств.
2.1.2.2. Проведение работ на стадии «Технический проект», определенной ГОСТ
34.601.
2.1.2.2.1. Разработка проектных решений по системе и ее частям.
2.1.2.2.1.1. Разработка общих решений по Системе, по ее функциональной
структуре, ТС и ПС системы ЗИ, алгоритмам функционирования
системы ЗИ, функциям персонала, обслуживающего Систему.
2.1.2.2.1.2. Разработкаалгоритмоврешениязадач ЗИ,параметровнастройкиТС
и ПС, обеспечивающих реализацию функциональных возможностей
Системы.
2.1.2.2.1.3. Разработка макетов составных частей Системы.
2.1.2.2.2. Разработка документации на АС и ее части (разработка,
оформление, согласование и утверждение технической документации на
Систему, виды документов - по ГОСТ 34.201).
2.1.2.2.2.1. Разработка задания на разработку строительных,
электротехнических, санитарно-технических и других разделов
проекта, связанных с созданием Системы.
2.1.2.2.2.2. Разработка ведомости технического проекта.
2.1.2.2.2.3. Разработка ведомости покупных изделий.
2.1.2.2.2.4. Разработка перечня входных сигналов и данных.
2.1.2.2.2.5. Разработка перечня выходных сигналов (документов).
2.1.2.2.2.6. Разработка перечня заданий на разработку строительных,
электротехнических, санитарно-технических и других разделов
проекта, связанных с созданием Системы.
2.1.2.2.2.7. Разработка пояснительной записка к техническому проекту.
2.1.2.2.2.8. Разработка описания автоматизируемых функций.
2.1.2.2.2.9. Разработка описания постановки задач (комплекса задач).
2.1.2.2.2.10. Разработка описания информационного обеспечения Системы.
2.1.2.2.2.11. Разработка описания организации информационной базы.
2.1.2.2.2.12. Разработка описания систем классификации и кодирования.
2.1.2.2.2.13. Разработка описания массива информации.
2.1.2.2.2.14. Разработка описания комплекса технических средств.
2.1.2.2.2.15. Разработка описания программного обеспечения.
2.1.2.2.2.16. Разработка описания алгоритма (проектной процедуры).
2.1.2.2.2.17. Разработка описания организационной структуры.
2.1.2.2.2.18. Разработка плана расположения.
2.1.2.2.2.19. Разработка ведомости оборудования и материалов.
2.1.2.2.2.20. Разработка локального сметного расчета.
2.1.2.2.2.21. Разработка проектной оценки надежности системы.
2.1.2.2.2.22. Разработка чертежа формы документа (видеокадра).
6. 6
2.1.2.2.3. Разработкаиоформление документациинапоставкуизделий
для комплектования АС и (или) технических требований (технических
заданий) на их разработку.
2.1.2.2.3.1. Подготовка и оформление документов на поставку ТС и ПС для
комплектования Системы.
2.1.2.2.3.2. Определение технических требований и составление ТЗ на
разработку специальных СрЗИ, специального технологического
оборудования, средств контроля и измерений, не изготавливаемых
серийно.
2.1.2.2.4. Разработка заданий на проектирование в смежных частях
проекта объекта информатизации (разработка, оформление, согласование
и утверждение заданий на проектирование помещений для Системы с
учетом требований о ЗИ).
2.1.2.3. Проведение работ на стадии «Рабочая документация», определенной
ГОСТ 34.601.
2.1.2.3.1. Разработка рабочей документации на Систему и ее части (по ГОСТ
34 серии).
2.1.2.3.1.1. Разработка ведомости держателей подлинников.
2.1.2.3.1.2. Разработка ведомости эксплуатационных документов.
2.1.2.3.1.3. Разработка cспецификации оборудования.
2.1.2.3.1.4. Разработка ведомости потребности в материалах.
2.1.2.3.1.5. Разработка ведомости машинных носителей информации.
2.1.2.3.1.6. Разработка массива входных данных.
2.1.2.3.1.7. Разработка каталог базы данных.
2.1.2.3.1.8. Разработка состава выходных данных (сообщений).
2.1.2.3.1.9. Разработка локальной сметы.
2.1.2.3.1.10. Разработка методики (технологии) автоматизированного
проектирования.
2.1.2.3.1.11. Разработка технологической инструкции.
2.1.2.3.1.12. Разработка руководства пользователя.
2.1.2.3.1.13. Разработка инструкции по формированию и ведению базы
данных (набора данных).
2.1.2.3.1.14. Разработка инструкции по эксплуатации КТС.
2.1.2.3.1.15. Разработка схемы соединений внешних проводок.
2.1.2.3.1.16. Разработка схемы подключения внешних проводок.
2.1.2.3.1.17. Разработка таблицы соединений и подключений.
2.1.2.3.1.18. Разработка схемы деления Системы (структурная).
2.1.2.3.1.19. Разработка чертежа общего вида.
2.1.2.3.1.20. Разработка чертежа установки технических средств.
2.1.2.3.1.21. Разработка схемы принципиальной.
2.1.2.3.1.22. Разработка схемы структурной комплекса технических средств.
2.1.2.3.1.23. Разработка плана расположения оборудования и проводок.
2.1.2.3.1.24. Разработка описания технологического процесса обработки
данных (включая телеобработку).
2.1.2.3.1.25. Разработка общего описания системы.
2.1.2.3.1.26. Разработка программы и методики испытаний (компонентов,
комплексов средств автоматизации, подсистемы, систем).
2.1.2.3.1.27. Разработка формуляра.
7. 7
2.1.2.3.1.28. Разработка паспорта.
2.1.2.3.2. Разработка и адаптация программ
2.1.2.3.2.1. Разработка ПС для СЗИ, адаптацию и / или привязку
приобретаемых ПС, тестирование ПС системы ЗИ АСЗИ.
2.1.2.3.2.2. Разработка и испытания СЗИ, технологического оборудования,
средств контроля и измерений системы ЗИ АСЗИ.
2.1.2.3.2.3. Сертификация разрабатываемых ПС и СЗИ системы ЗИ АСЗИ по
требованиям безопасности информации (см. пункт 2.2).
2.1.2.3.2.4. Разработка документации на ПС и СЗИ системы ЗИ АСЗИ.
2.1.2.3.2.5. Тестирование ПС системы ЗИ АСЗИ:
2.1.2.3.2.5.1. ПроверкаработоспособностиисовместимостиПСсистемыЗИ
с информационнымитехнологиямииТСобработкиинформации.
2.1.2.3.2.5.2. Проверка выполнения ПС системы ЗИ требований к системе
ЗИ АСЗИ.
2.1.2.3.2.5.3. Корректировка документации на систему ЗИ АСЗИ (при
необходимости).
2.1.3. Внедрение системы (АС, СЗИ АС и АСЗИ).
2.1.3.1. Внедрение системы ЗИАСЗИ (проведение работ присозданииАС или АСЗИ
на стадии «Ввод в действие», определенной ГОСТ 34.601)
2.1.3.1.1. Установка и настройка СЗИ.
2.1.3.1.2. Разработка организационно-распорядительных документов,
определяющих мероприятия по ЗИ в ходе эксплуатации АСЗИ.
2.1.3.1.3. Предварительные испытания системы ЗИ АСЗИ (см. п. 2.1.4.2.6).
2.1.3.1.4. ОпытнаяэксплуатацияидоработкасистемыЗИ АСЗИ (см.п. 2.1.4.2.7).
2.1.3.1.5. Приемочные испытания системы ЗИ АСЗИ (см. п. 2.1.4.2.8).
2.1.3.1.6. Аттестация АСЗИ на соответствие требованиям безопасности
информации (см. пункт 2.3).
2.1.4. Аттестация АС или АСЗИ на соответствие требованиям безопасности
информации и ввод ее в действие.
2.1.4.1. Аттестация по требованиям безопасности информации (см. пункт 2.3).
2.1.4.2. Ввод АС или АСЗИ в действие (при создании АС или АСЗИ на стадии «Ввод
в действие» в интересах внедрения системы ЗИ создаваемой
(модернизируемой) АСЗИ проводят следующие работы).
2.1.4.2.1. Подготовка объекта к вводу АС в действие:
2.1.4.2.1.1. Реализация проектных решений по организационной структуре
системы ЗИ создаваемой (модернизируемой) АСЗИ и АСЗИ в целом.
2.1.4.2.1.2. Реализация организационных мер, обеспечивающих эффективное
использование системы ЗИ.
2.1.4.2.2. Подготовка персонала:
2.1.4.2.2.1. Обучение персоналаАСЗИ ипроверкуегоспособностиобеспечивать
функционирование системы ЗИ и АСЗИ в целом.
2.1.4.2.2.2. Проверка и подготовку специалистов структурного подразделения
или должностного лица (работника), ответственных за ЗИ в АСЗИ
2.1.4.2.3. Комплектация АС поставляемыми изделиями (программными и
техническими средствами, программно-техническими комплексами,
информационными изделиями):
8. 8
2.1.4.2.3.1. Обеспечение получения комплектующих изделий системы ЗИ
серийного и единичного производства, материалов и монтажных
изделий.
2.1.4.2.3.1.1. Оказание консультаций при организации конкурса для
закупки комплектующих изделий системы ЗИ.
2.1.4.2.3.1.2. Оказание консультаций при организации аукциона для
закупки комплектующих изделий системы ЗИ.
2.1.4.2.3.2. Проведение входного контроля качества комплектующих изделий
системы ЗИ, проверку наличия документов по сертификации.
2.1.4.2.3.2.1. Проведение входного контроля качества комплектующих
изделий системы ЗИ.
2.1.4.2.3.2.2. Проверка наличия документов по сертификации на
комплектующие изделия системы ЗИ (и прочих документов,
предусмотренных по требованиям безопасности информации).
2.1.4.2.3.3. Специальные исследования и специальные проверки закупленных
средств (см. п.п. 2.4 – 2.5).
2.1.4.2.4. Проведение строительно-монтажных работ:
2.1.4.2.4.1. Надзор за выполнениемстроительнымиорганизациямитребований
ЗИ.
2.1.4.2.4.2. Проверка реализации требований о ЗИ при приемке монтажных
работ (в случае необходимости проводят соответствующие
испытания).
2.1.4.2.5. Пусконаладочные работы:
2.1.4.2.5.1. Автономная наладка ТС и ПС системы ЗИ.
2.1.4.2.5.2. Комплексная наладка всех СЗИ системы ЗИ.
2.1.4.2.6. Проведение предварительных испытаний:
2.1.4.2.6.1. Испытания системы ЗИ на работоспособность и соответствие
техническому заданию в соответствии с программой и методикой
испытаний.
2.1.4.2.6.2. Устранение недостатков, выявленных в процессе испытаний, и
внесение изменений в документацию на систему ЗИ создаваемой
(модернизируемой) АСЗИ, в том числе эксплуатационную, в
соответствии с протоколом испытаний.
2.1.4.2.6.3. Принятие решенияовозможностиопытнойэксплуатациисистемыЗИ
АСЗИ.
2.1.4.2.7. Проведение опытной эксплуатации:
2.1.4.2.7.1. ПроверкафункционированиясистемыЗИ всоставе АСЗИ,втомчисле
реализованных мер ЗИ.
2.1.4.2.7.2. Анализ выявленных в ходе опытной эксплуатации системы ЗИ
уязвимостей АСЗИ, доработку, наладку системы ЗИ.
2.1.4.2.7.3. Проверка готовности пользователей и администраторов к
эксплуатации системы ЗИ АСЗИ.
2.1.4.2.7.4. Оформление акта о завершении опытной эксплуатации системы ЗИ
АСЗИ.
2.1.4.2.8. Проведение приемочных испытаний:
2.1.4.2.8.1. Испытания системы ЗИ АСЗИ на соответствие ТЗ на систему ЗИ в
соответствии с программой и методиками испытаний АСЗИ.
2.1.4.2.8.2. Анализ результатов испытаний системы ЗИ АСЗИ и устранение
недостатков, выявленных при испытаниях.
9. 9
2.1.4.2.8.3. Оформление разделов акта о приемке АСЗИ в постоянную
эксплуатацию (в части системы ЗИ АСЗИ).
2.1.5. Проведение работна стадии «Сопровождение системы»,определеннойГОСТ
34.601.
2.1.5.1. Выполнение работ в соответствии с гарантийными обязательствами
2.1.5.1.1. Устранение недостатков системы ЗИ, выявленных в процессе
эксплуатации АСЗИ, и последующему контролю за стабильностью
характеристик системы АСЗИ, влияющих на эффективность ЗИ в течение
установленных гарантийных сроков.
2.1.5.1.2. Внесение изменений в документацию на систему ЗИ и, при
необходимости, в документацию на АСЗИ в целом.
2.1.5.2. Послегарантийное обслуживание
2.1.5.2.1. Мониторинг качества функционирования системы ЗИ АСЗИ.
2.1.5.2.2. Установление причин невыполнения требований о ЗИ в процессе
функционирования АСЗИ.
2.1.5.2.3. Устранение недостатков в системе ЗИ и контролю за стабильностью
ее характеристик, влияющих на эффективность ЗИ.
2.1.5.2.4. Внесение изменений в документацию на систему ЗИ и, при
необходимости, в документацию на АСЗИ в целом.
2.2. Сертификация по требованиям безопасности информации
(Гостехкомиссия России, 1995).
2.2.1. Подготовка программного обеспечения и средств защиты информации к
проведению испытаний, в том числе помощь в разработке Технических условий и
Заданий по безопасности.
2.2.2. Отбор образцов средств защиты информации для проведения
сертификационных испытаний.
2.2.3. Разработка и согласование в органе по сертификации программ и методик
сертификационных испытаний.
2.2.4. Проведение сертификационных испытаний программного обеспечения и
средств защиты информации.
2.2.4.1. Проведение сертификационных испытаний программного обеспечения и
средствзащиты информации на отсутствие недекларированныхвозможностей
(РД НДВ).
2.2.4.2. Проведение сертификационных испытаний средств защиты информации
на соответствие требованиям к средствам вычислительной техники (РД СВТ).
2.2.4.3. Проведение сертификационных испытаний средств защиты информации
на соответствие требованиям к государственным информационным системам
(ГосИС).
2.2.4.4. Проведение сертификационных испытаний средств защиты информации
на соответствие требованиям к системам обработки персональных данных
(ПДн).
2.2.4.5. Проведение сертификационных испытаний средств защиты информации
на соответствие требованиям к системам обнаружения вторжений (СОВ).
2.2.4.6. Проведение сертификационных испытаний средств защиты информации
на соответствие требованиям с средствам антивирусной защиты (САВЗ, САЗ).
10. 10
2.2.4.7. Проведение сертификационных испытаний средств защиты информации
на соответствие требованиям к средствам доверенной загрузки (СДЗ).
2.2.4.8. Проведение сертификационных испытаний средств защиты информации
на соответствие требованиям к средствам контроля съемных машинных
носителей информации (СМНИ).
2.2.4.9. Проведение сертификационных испытаний средств защиты информации
на соответствие реальныхи декларируемыхвдокументациифункциональных
возможностей (РДВ).
2.2.4.10. Проведение сертификационных испытаний средств защиты информации
на соответствие требованиям к средствам электронной подписи (ЭП) и
средствам удостоверяющих центров (УЦ).
2.2.5. Оформление протоколов сертификационных испытаний и технических
заключений.
2.2.5.1. Оказание консультационных услуг по внесению изменений в Технические
условия и Формуляр.
2.2.6. Маркировка сертифицированных средств защиты информации знаком
соответствия в порядке, установленном правилами системы сертификации.
2.2.7. Участие в аттестации производства сертифицируемых средств защиты
информации.
2.2.7.1. Участие в разработке акта по результатам сертификационных испытаний.
2.2.8. Поверка средств измерений испытательного центра (лаборатории).
2.2.9. Аттестация испытательного оборудования испытательного центра
(лаборатории).
2.2.10. Рассмотрение извещения от заявителя об изменениях в технологии,
конструкции (составе) сертифицированныхсредствзащиты информации и принятие
решения о необходимости проведения повторной сертификации.
2.2.11. Поддержание в актуальном состоянии нормативных документов для
проведения испытаний средств защиты информации в соответствии с областью
аккредитации.
2.2.12. Рассмотрение заявки на проведение сертификации (продление срока
действия сертификата) средств защиты информации.
2.2.13. Проведение аттестации производства средств защиты информации.
2.2.14. Проведение экспертизы результатов испытаний (участие в экспертизе).
2.2.15. Проведение работ, связанных с государственным контролем и надзором,
осуществляемым федеральным органом по сертификации за соблюдением
испытательными центрами (лабораториями) правил обязательной сертификации.
2.2.16. Инспекционный контроль за сертифицированными средствами защиты
информации.
2.2.17. Продление срока действия сертификата по упрощенной схеме.
2.3. Аттестация по требованиям безопасности информации
(Гостехкомиссия России, 1994).3
3 С учетом положений ГОСТ РО 0043-003-2012.
11. 11
2.3.1. Аттестация объектов информатизации4
.
2.3.1.1. Анализ исходных данных по аттестуемому объекту информатизации
(рассмотрение заявки на аттестацию).
2.3.1.2. Предварительное ознакомление с аттестуемым объектом
информатизации.
2.3.1.2.1. Разработка программы аттестационных испытаний.
2.3.1.2.2. Согласование программы аттестационных испытаний с заявителем.
2.3.1.2.3. Разработка методик аттестационных испытаний.
2.3.1.3. Проведение аттестационных испытаний объектов информатизации
2.3.1.3.1. Проведение экспертного обследования объекта информатизации и
анализ разработанной документации по защите информации на этом
объекте с точки зрения ее соответствия требованиям нормативной и
методической документации.
2.3.1.3.1.1. Анализ организационной структуры объекта информатизации,
информационных потоков, состава и структуры комплекса
технических средств и программного обеспечения, системы защиты
информации на объекте, разработанной документации и ее
соответствия требованиям нормативной документации по защите
информации.
2.3.1.3.1.2. Проверка правильности категорирования объектов ЭВТ и
классификации АС (при аттестации автоматизированных систем),
выбора и применения сертифицированных и несертифицированных
средств, и систем защиты информации.
2.3.1.3.2. Проведение испытаний отдельных средств и систем защиты
информации в испытательных центрах (лабораториях) по сертификации
средств защиты информациипо требованиям безопасности информации5
.
2.3.1.3.2.1. Испытания несертифицированных средств и систем защиты
информации на аттестуемом объекте или анализ результатов их
испытанийвиспытательных центрах (лабораториях)посертификации.
2.3.1.3.3. Проверка уровня подготовки кадров и распределение
ответственности персонала за обеспечение выполнения требований по
безопасности информации.
2.3.1.3.4. Проведение испытаний отдельных средств и систем защиты
информации на аттестуемом объекте информатизации с помощью
специальной контрольной аппаратуры и тестовых средств (в части НСД).
2.3.1.3.5. Проведение комплексных аттестационных испытаний объекта
информатизации в реальных условиях эксплуатации путем проверки
фактическоговыполненияустановленных требованийнаразличных этапах
технологического процесса обработки защищаемой информации
4 Под объектами информатизации, аттестуемыми по требованиям безопасности информации,
понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и
размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и
передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения
конфиденциальных переговоров (см. примечание к «Положению по аттестации…»)
или по ГОСТ РО 0043-004-2013 – АС, СИРД, средства обработки речевой и видеоинформации, ВП/ЗП.
5 Предпочтительно осуществлять в рамках отдельного договора (на сертификацию) ввиду
длительного срока выполнения работ
12. 12
2.3.1.3.6. Анализ результатов экспертного обследования и комплексных
аттестационных испытаний объекта информатизации и утверждение
заключения по результатам аттестации.
2.3.1.3.6.1. Оформление протоколов испытаний и заключения по результатам
аттестации с конкретными рекомендациями по устранению
допущенных нарушений, приведению системы защиты объекта
информатизации в соответствие с установленными требованиями и
совершенствованию этой системы, а также рекомендациями по
контролю за функционированием объекта информатизации.
2.3.1.4. Проведение испытаний отдельных средств и систем защиты информации
на аттестуемом объекте информатизации с помощью специальной
контрольной аппаратуры и тестовых средств (в части ПЭМИН).
2.3.1.5. Проведение испытаний отдельных средств и систем защиты информации
в испытательных центрах (лабораториях) по сертификации средств защиты
информации по требованиям безопасности информации.
2.3.1.6. Оформление, регистрация и выдача «Аттестата соответствия» (в случае,
если в заключении по результатам аттестации сделан вывод о возможности
выдачи «Аттестата соответствия»).
2.3.2. Ведение информационных баз аттестованных объектов информатизации.
2.3.3. Ежегодный контроль соответствия системы защиты информации объекта
информатизации требованиям безопасности информации.
2.3.3.1. Уточнение и повторное согласование порядка контроля, установленного
программой и методиками аттестационных испытаний объекта
информатизации.
2.3.3.2. Проведение контроля в порядке, установленном программой и
методиками аттестационных испытаний объекта информатизации.
2.3.4. Дополнительная проверка эффективности системы защиты объекта
информатизации6
.
2.3.4.1. Рассмотрение извещения от заявителя об изменениях в информационных
технологиях, составе и размещении средств и систем информатики, условиях
их эксплуатации, которые могут повлиять на эффективность мер и средств
защиты информации7
.
2.3.4.2. Разработка и согласование порядка проверки эффективности системы
защиты объекта информатизации.
2.3.5. Поддержание в актуальном состоянии нормативных документов для
проведения аттестации объектов информатизации в соответствии с областью
аккредитации.
2.3.6. Участие в мероприятиях, проводимых федеральными органами
исполнительной власти в рамках системы аттестации объектов информатизации.
2.4. Специальные исследования (Росстандарт России, 2014).
2.4.1. Специальные лабораторные исследования.
2.4.2. Специальные объектовые исследования.
6 См. п. 3.8.5 «Положения по аттестации…»
7 См. п. 2.6 «Положения по аттестации…».
13. 13
2.5. Специальные проверки (Росстандарт России, 2014).
Список литературы
1) ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем
в защищенном исполнении. Общие положения. [В Интернете] /авт.Росстандарт России. -
01 09 2014 г.. - http://protect.gost.ru/v.aspx?control=7&id=186815.
2) ГОСТ Р 54869-2011. Проектный менеджмент. Требования к управлению проектом. [В
Интернете] / авт. Росстандарт России. - 01 09 2012 г.. -
http://protect.gost.ru/v.aspx?control=7&id=179244.
3) Положение о сертификации средств защиты информации по требованиям безопасности
информации, утвержденное Приказом председателя Государственной технической
комиссии при Президенте Российской Федерации от 27.10.1995 г. № 199. [В Интернете] /
авт. Гостехкомиссия России // ФСТЭК России. - ФСТЭК России, 1995 г.. - 2015 г.. -
http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/119-
polozheniya/395-polozhenie-ot-27-oktyabrya-1995-g-n-199.
4) Положение по аттестации объектов информатизации по требованиям безопасности
информации (утв. Гостехкомиссией РФ 25.11.1994) [В Интернете] / авт. Гостехкомиссия
России // Федеральнаяслужбапо техническомуиэкспортномуконтролю(ФСТЭКРоссии). -
ФСТЭК России, 1994 г.. - 18 12 2015 г.. - http://fstec.ru/tekhnicheskaya-zashchita-
informatsii/dokumenty/112-polozheniya/375-polozhenie-ot-25-noyabrya-1994-g.