Оценка соответствия. Аттестация информационных систем персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Требования к средствам защиты информации в ст.5 Постановления Правительства 781: «5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.» В ст.2.1 Приказа ФСТЭК 58 от 5 февраля 2010 г.: «2.1. Методами и способами защиты информации от несанкционированного доступа являются:...; использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; … ООО "МКЦ "АСТА-информ", (351) , Оценка соответствия СЗИ
В Законе 184-ФЗ «О техническом регулировании»: «оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту;» «Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.» «форма подтверждения соответствия - определенный порядок документального удостоверения соответствия … требованиям технических регламентов, положениям стандартов или условиям договоров;» ООО "МКЦ "АСТА-информ", (351) , Оценка соответствия СЗИ
В Законе 184-ФЗ «О техническом регулировании»: «декларирование соответствия - форма подтверждения соответствия продукции требованиям технических регламентов;» «технический регламент - документ, который принят ратифицированным международным договором РФ, или заключенным межправительственным соглашением, или ФЗ, или УП РФ, или ПП РФ, или НПА ФОИВ по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования…;» «сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров;» ООО "МКЦ "АСТА-информ", (351) , Оценка соответствия СЗИ
Технического регламента по декларированию соответствия на данный момент нет. Но есть рекомендации по декларированию соответствия в «Методических рекомендациях … в учреждениях здравоохранения, социальной сферы, труда и занятости» (согласованы с ФСТЭК): самостоятельно или с привлечением лицензиата ФСТЭК (декларация будет иметь одинаковую юридическую силу); при самостоятельном декларировании - необходимо документальное мотивированное основание для подтверждения соответствия. ООО "МКЦ "АСТА-информ", (351) , Оценка соответствия СЗИ
Можно сделать вывод, что на данный момент наилучшим выбором будет использование сертифицированных средств защиты информации ООО "МКЦ "АСТА-информ", (351) , Оценка соответствия СЗИ
«Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено председателем Гос.тех. комиссии 25 ноября 1994 г.: «Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…» Аттестация: это официальное подтверждение соответствия от органа- лицензиата ФСТЭК; подразумевает комплексную проверку (аттестационные испытания) в реальных условиях. ООО "МКЦ "АСТА-информ", (351) , Оценка соответствия ИСПДн
Алгоритм аттестации: ООО "МКЦ "АСТА-информ", (351) , Оценка соответствия ИСПДн 1. анализ исходных данных 2. предварительное ознакомление 3. проведение экспертного обследования и анализ разработанной документации по защите информации 4. проведение испытаний отдельных средств и систем защиты информации с помощью специальной контрольной аппаратуры и тестовых средств 5. проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации 6. проведение комплексных аттестационных испытаний в реальных условиях эксплуатации 7. анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации
Сопроводительная документация: ООО "МКЦ "АСТА-информ", (351) , Оценка соответствия ИСПДн 1. программа и методика аттестационных испытаний 2. состав аттестационной комиссии 3. заключение по результатам аттестации 4. протоколы испытаний 5. «Аттестат соответствия» (выдаётся на период неизменных условий функционирования, но не более чем на 3 года)
Спасибо за внимание. Вопросы? ООО "МКЦ "АСТА-информ", (351) ,