Опубликован: 23.02.2018 | Уровень: для всех | Доступ: свободно
Лекция 8:

Деятельность аттестационных комиссий. Сводный реестр сертифицированных средств защиты информации

< Лекция 7 || Лекция 8: 12 || Лекция 9 >
Аннотация: Введение понятия аттестационная комиссия, особенности формирования и функционирования аттестационных комиссий, сводный реестр сертифицированных средств защиты информации, устанавливаемых на аттестованных объектах информатизации.

Деятельность аттестационных комиссий. Сводный реестр сертифицированных средств защиты информации

Цель: понимание роли и задач аттестационной комиссии в процессе аттестации объектов информатизации, формирование навыков работы со сводным реестром сертифицированных средств защиты информации.

Аттестационные комиссии – это квалифицированные группы сотрудников органа по аттестации, формирующиеся с целью проведения работ по аттестации объектов информатизации заявителя. Принципы деятельности аттестационных комиссий, особенности формирования, а также требования к квалификации специалистов, входящих в состав аттестационных комиссий, определены в "Типовом положении об органе по аттестации объектов информатизации по требованиям безопасности информации", утвержденном приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 5 января 1996 г. № 3.

Аттестационные комиссии формируются органом по аттестации, как из числа штатных сотрудников органа по аттестации, так и специалистов других предприятий и организаций. Для этого органом по аттестации издается приказ, в котором указывается перечень сотрудников, привлекаемых к аттестации объекта информатизации заявителя, ссылка на договор (контракт, гарантийное письмо и т.д.), заключенный с заявителем на проведение работ по аттестации объекта информатизации, сроки, объем проведения работ и прочие данные (при необходимости).

Формирование аттестационных комиссий осуществляется таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатизации с целью оценки его соответствия требуемому уровню безопасности информации.

В состав аттестационных комиссий включаются только квалифицированные специалисты органа по аттестации, имеющие достаточные теоретические знания в области защиты информации, необходимые для аттестации конкретного объекта информатизации, а также имеющие практический опыт проведения аналогичных работ и не участвующие непосредственно в деятельности заявителей, т.е. не аффилированы с ним.

В случае выявления в ходе проведения работ по аттестации объекта информатизации необходимости проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатики, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции.

Штат сотрудников (персонал) органа по аттестации должен быть укомплектован достаточным количеством специалистов, имеющих соответствующие документы, подтверждающие присвоение квалификации (дипломы, свидетельства, удостоверения). Это же требование предъявляется к органу по аттестации, как соискателю лицензии на деятельность по технической защите конфиденциальной информации, что отражено в Постановлении Правительства Российской Федерации "О лицензировании деятельности по технической защите конфиденциальной информации" от 03.02.2012 N 79.

Сотрудники аттестационных комиссий осуществляют свою деятельность в соответствии с должностными инструкциями и обязаны руководствоваться в работе нормативно-правовыми актами, нормативно-методическими и руководящими документами в области защиты информации.

Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации заявителей.

В ходе проведения работ по аттестации объектов информатизации аттестационными комиссиями в том числе осуществляется оценка правильности выбора, установки и настройки сертифицированных средств защиты информации.

Следует упомянуть, что в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации", утвержденным приказом председателя Гостехкомиссии России от 27.10.1995 № 199, под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России.

Перечень средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности информации ФСТЭК России определен "Положением о сертификации средств защиты информации по требованиям безопасности информации", утвержденным Приказом председателя Гостехкомиссии России от 27 октября 1995 г. N 199.

ФСТЭК России в пределах своих полномочий ведет реестр сертифицированных средств защиты информации. В реестр включено более 500 типов сертифицированных средств защиты информации, которые могут применяться для защиты информации конфиденциального характера, используемых в целях защиты государственного информационного ресурса и (или) персональных данных. Указанные типы сертифицированных средств защиты информации прошли сертификационные испытания по схемам сертификации единичных образцов, партий и серийных производств средств защиты информации.

< Лекция 7 || Лекция 8: 12 || Лекция 9 >
Анатолий Зимиров
Анатолий Зимиров

 

 

Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

Владислав Ветошкин
Владислав Ветошкин
Россия, Ижевск, Ижевский государственный технический университет имени А.Т. Калашникова, 2011
Саламат Исахан
Саламат Исахан
Россия, Turkistan