Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ

классов
ИСПДн 3 класса
ИСПДн 4 класса

обязательная сертификация (аттестация) по требованиям безопасности информации
декларирование соответствия требованиям безопасности информации
оценка соответствия проводится по решению оператора

 Какие уровни сертификации СВТ необходимы для каких ИСПДн? Что будет, если аттестацию не пройти?

Шлюзы безопасности

Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей

Шифровальные
(криптографические)
средства защиты
информации

Средства предотвращения несанкционированного доступа к информации:
1. Защищенные ОС:
2. Специализированные средства ЗИ

Средства защиты
речевой информации

Используемые в информационной системе
информационные технологии
.

Средства предотвращения программно-
технических воздействий на технические
средства обработки персональных данных
Антивирусные средства
2. Программное обеспечение,
сертифицированное на отсутствие НДВ.
3. Системы обнаружения вторжений
и компьютерных атак

Что делать, если используются несертифицированные продукты и их замена невозможна?

решаемой задачи:
Декомпозиция (в разрезе ИС и объектов)
Раздельная классификация
Модель угроз→только необходимые требования по ЗИ

Что делать, если используются несертифицированные продукты и их замена невозможна?

и их замена невозможна?

угроз

Требования к системе защиты ИСПДн

требуемая номенклатура механизмов защиты

Требования по стойкости механизмов защиты

Требования доверия

У Г Р О З Ы

Аттестация

Средство защиты 1

Средство защиты 2

Средство защиты N

Оргмеры

Аттестация

Сертификация

Сертификация

Функциональные требования

Насколько сертифицированное оборудование и ПО помогает пройти аттестацию?  

встроенными механизмами защиты;
организационные мероприятия для объекта информатизации;
комплект эксплуатационных и организационно-распорядительных документов
Эффект:
гарантированное выполнение всех требований по защите ПДн на множестве типовых объектов
легкость в модернизации ранее созданных ИСПДн
сокращение сроков и стоимости внедрения в большое количество ИСПДн

эксплуатацию, аттестационные испытания
Аттестат соответствия и Заключение по результатам аттестационных испытаний ИСПДн

Как проходит процедура аттестации?

СООТВЕТСТВИЕ ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИМ ТРЕБОВАНИЯМ ПО ЗИ

ИСПЫТАНИЯ АС НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ

ИСПЫТАНИЯ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

ПОДГОТОВКА ОТЧЕТНОЙ ДОКУМЕНТАЦИИ И ОЦЕНКА РЕЗУЛЬТАТОВ ИСПЫТАНИЙ

Как проходит процедура аттестации? Что должен подготовить оператор системы?

оператор системы?

оператор системы?

угроз;
классификация ИСПДн;
разработка системы защиты ПДн;
разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;
установка средств защиты ПДН;
организация охраны и физической защиты помещений ИСПДн;
ввод в эксплуатацию системы защиты ПДн, включая оценку соответствия ИСПДн требованиям безопасности информации;
назначение должностных лиц, ответственных за обеспечение безопасности ПДн, их обучение;
допуск лиц к работе с ПДн;
контроль за соблюдением условий использования СЗИ, проведение разбирательств по фактам нарушений;
разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

Как проходит процедура аттестации? Что должен подготовить оператор системы?

организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
Требования по обеспечению безопасности ПДн при их обработке в ИСПДн.
Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.
Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
Руководство администратора безопасности информации в ИСПДн.
Модель угроз.
Акт классификации ИСПДн.
Технический паспорт на ИСПДн.
Разрешительная система доступа.

Как проходит процедура аттестации? Что должен подготовить оператор системы?

установленном порядке проходят процедуру оценки соответствия (ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ от 17 ноября 2007 г. N 781)
Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации – СЗИ, в том числе и встроенных в общесистемное и прикладное программное обеспечение – ПО), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ (ФСТЭК РОССИИ. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ)

Какие уровни сертификации СВТ необходимы для каких ИСПДн?