'

Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ

Понравилась презентация – покажи это...





Слайд 0

Центр безопасности информации Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ


Слайд 1

Варианты оценки соответствия ИСПДн различных классов требованиям безопасности ПДн ИСПДн 1 и 2 классов ИСПДн 3 класса ИСПДн 4 класса обязательная сертификация (аттестация) по требованиям безопасности информации декларирование соответствия требованиям безопасности информации оценка соответствия проводится по решению оператора  Какие уровни сертификации СВТ необходимы для каких ИСПДн? Что будет, если аттестацию не пройти?


Слайд 2

Система защиты ИСПДн Интернет Средства предотвращения утечки информации по техническим каналам Средства защиты носителей информации Межсетевые экраны Шлюзы безопасности Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей Шифровальные (криптографические) средства защиты информации Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: 2. Специализированные средства ЗИ Средства защиты речевой информации Используемые в информационной системе информационные технологии . Средства предотвращения программно- технических воздействий на технические средства обработки персональных данных Антивирусные средства 2. Программное обеспечение, сертифицированное на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак Что делать, если используются несертифицированные продукты и их замена невозможна?


Слайд 3

Большой объём и специальные категории ПДн Высокие требования по безопасности ПДн Пути уменьшения сложности решаемой задачи: Декомпозиция (в разрезе ИС и объектов) Раздельная классификация Модель угроз>только необходимые требования по ЗИ Что делать, если используются несертифицированные продукты и их замена невозможна?


Слайд 4

Модель угроз – основа для уточнения требований Что делать, если используются несертифицированные продукты и их замена невозможна?


Слайд 5

Требования к СЗИ Определение облика системы защиты ИСПДн и оценка ее соответствия ИСПДн Классификация ИСПДн Модель угроз Требования к системе защиты ИСПДн требуемая номенклатура механизмов защиты Требования по стойкости механизмов защиты Требования доверия У Г Р О З Ы Аттестация Средство защиты 1 Средство защиты 2 Средство защиты N Оргмеры Аттестация Сертификация Сертификация Функциональные требования Насколько сертифицированное оборудование и ПО помогает пройти аттестацию?        


Слайд 6

Типовое решение по защите ПДн Состав решения: сертифицированная платформа (ОС, СУБД); сертифицированное прикладное ПО, со встроенными механизмами защиты; организационные мероприятия для объекта информатизации; комплект эксплуатационных и организационно-распорядительных документов Эффект: гарантированное выполнение всех требований по защите ПДн на множестве типовых объектов легкость в модернизации ранее созданных ИСПДн сокращение сроков и стоимости внедрения в большое количество ИСПДн


Слайд 7

Аттестация по требованиям безопасности ПДн Кто проводит Основание Этап Документ Аттестационный центр Программа и методика аттестационных испытаний Ввод в эксплуатацию, аттестационные испытания Аттестат соответствия и Заключение по результатам аттестационных испытаний ИСПДн Как проходит процедура аттестации?


Слайд 8

ФОРМАЛЬНЫЙ ПОРЯДОК ПРОВЕДЕНИЯ ИСПЫТАНИЙ ИСПДн ПРОВЕРКА СОСТОЯНИЯ ТЕХНОЛОГИЧЕСКОГО ПРОЦЕССА АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ИНФОРМАЦИИ ПРОВЕРКА НА СООТВЕТСТВИЕ ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИМ ТРЕБОВАНИЯМ ПО ЗИ ИСПЫТАНИЯ АС НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ИСПЫТАНИЯ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ПОДГОТОВКА ОТЧЕТНОЙ ДОКУМЕНТАЦИИ И ОЦЕНКА РЕЗУЛЬТАТОВ ИСПЫТАНИЙ Как проходит процедура аттестации? Что должен подготовить оператор системы?


Слайд 9

Полнота реализации требования по защите информации Как проходит процедура аттестации? Что должен подготовить оператор системы?


Слайд 10

Полнота реализации требования по защите информации Как проходит процедура аттестации? Что должен подготовить оператор системы?


Слайд 11

Полнота реализации мероприятия по обеспечению безопасности ПДн: определение угроз безопасности ПДн, формирование модели угроз; классификация ИСПДн; разработка системы защиты ПДн; разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн; установка средств защиты ПДН; организация охраны и физической защиты помещений ИСПДн; ввод в эксплуатацию системы защиты ПДн, включая оценку соответствия ИСПДн требованиям безопасности информации; назначение должностных лиц, ответственных за обеспечение безопасности ПДн, их обучение; допуск лиц к работе с ПДн; контроль за соблюдением условий использования СЗИ, проведение разбирательств по фактам нарушений; разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений. Как проходит процедура аттестации? Что должен подготовить оператор системы?


Слайд 12

Наличие организационно-распорядительных документов по вопросам обеспечения безопасности ПДн в ИСПДн Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн. Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации. Руководство администратора безопасности информации в ИСПДн. Модель угроз. Акт классификации ИСПДн. Технический паспорт на ИСПДн. Разрешительная система доступа. Как проходит процедура аттестации? Что должен подготовить оператор системы?


Слайд 13

Использование сертифицированных средств защиты информации Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ от 17 ноября 2007 г. N 781) Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации – СЗИ, в том числе и встроенных в общесистемное и прикладное программное обеспечение – ПО), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ (ФСТЭК РОССИИ. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ) Какие уровни сертификации СВТ необходимы для каких ИСПДн?        


Слайд 14

Сертификация СЗИ Выбор параметров сертификации: система сертификации требования – РД (СВТ, МЭ), ЗБ, ТУ, РД НДВ схема – единичный образец, партия, производство испытательная лаборатория Подача заявки на сертификацию Приложение: ТУ или ЗБ Заключение договора с ИЛ Подготовка объекта сертификации и документации Подготовка партии продукции Подготовка производства продукции Отбор образца (Акт отбора образца) Разработка программы и методики испытаний Согласование с ОС Проведение испытаний образца продукции Контроль и маркировка партии продукции Проверка производства продукции Оформление отчетных документов Экспертиза результатов испытаний Выдача решения на сертификацию Назначение органа по сертификации Выдача сертификата Внесение изменений в сертифицированную продукцию Инспекционный контроль сертифицированной продукции Разработчик, производитель Испытательная лаборатория Федеральный ОС ОС Получение сертификата  Какие сертификации бывают, и чем они отличаются?   Правда ли, что сертифицированное ПО нельзя обновлять?  О чем молчат поставщики сертифицированных продуктов?  Что реально сертифицированные продукты дают организации?


×

HTML:





Ссылка: