9 на основе каких сведений разрабатывается программа аттестационных испытаний

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации определяется следующими документами:

• «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам», утверждены решением Гостехкомиссии России от 23 мая 1997 года № 55;
• «Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем Гостехкомиссии России 25 ноября 1994 года;
• «Методические рекомендации управлениям ФСТЭК России по федеральным округам об организации работ по аттестации объектов информатизации по требованиям безопасности информации, приказ Директора ФСТЭК России от 21 апреля 2006 года № 126.

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает:
1. Подача заявки на аттестацию объекта информатизации.
Заявитель для получения аттестата соответствия направляет в управление ФСТЭК России по федеральному округу (далее — Управление) заявку на проведение аттестации объекта информатизации с необходимыми исходными данными по установленной форме (приложение № 1).

Круглый стол «Новый порядок аттестации объектов информатизации

2. Рассмотрение заявки на аттестацию, принятие решения на ее проведение, доведение решения до заявителя и органа по аттестации объектов информатизации.
2.1. По результатам рассмотрения заявки Управлением, организации-заявителю в 3-дневный срок направляется перечень органов по аттестации объектов информатизации, аккредитованных ФСТЭК России в Системе сертификации средств защиты информации № РОСС RU.0001.01БИ00, размещенный также на официальном Web-сайте ФСТЭК России по адресу: www.fstec.ru.
2.2. Руководитель Управления принимает решение по определению органа по аттестации объекта информатизации на основании выбора, сделанного Заявителем, исходя из полученного перечня. Принятое решение доводится до органа по аттестации объектов информатизации предписанием и до заявителя уведомлением.
2.3. Управление учитывает информацию:
— об органе по аттестации, который определен организацией-заявителем;
— о сроках проведения работ на объектах информатизации.

3. Разработка программы и методики аттестационных испытаний.
3.1. Программа аттестационных испытаний, согласованная с организацией-заявителем, должна содержать:
перечень работ, их продолжительность, методики испытаний, перечни используемой контрольной и контрольно-измерительной аппаратуры, а также средств тестирования на аттестуемом объекте информатизации (с учетом различных видов объектов информатизации и действующих нормативных и методических документов);
мероприятия по контролю состояния защищенности информации в процессе эксплуатации объекта информатизации;
мероприятия по контролю неизменности условий эксплуатации объекта информатизации;
работы в испытательных лабораториях по сертификации средств (систем) защиты информации по требованиям безопасности информации (в случае если на аттестуемом объекте информатизации используются несертифицированные средства (системы) защиты информации). Такие работы в отдельных случаях могут проводиться непосредственно на аттестуемом объекте информатизации;

Аттестация/Переаттестация ИСПДн по направлению: «Информационная безопасность»

состав аттестационной комиссии.
3.2. До начала работ по аттестации объектов информатизации Управлением согласовываются программа и методика аттестационных испытаний объектов информатизации 1-й категории и собственных объектов информатизации вне зависимости от категории (в случае если организация-заявитель аккредитована в качестве органа по аттестации).

4. Заключение договора на проведение аттестации объектов информатизации.
Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.

Источник: dehack.ru

Аттестация методик измерений

В соответствии с Федеральным законом от 26 июня 2008 г. № 102-ФЗ «Об обеспечении единства измерений»:

методика (метод) измерений это «совокупность конкретно описанных операций, выполнение которых обеспечивает получение результатов измерений с установленными показателями точности».

аттестация методик измерений: «исследование и подтверждение соответствия методик измерений установленным метрологическим требованиям к измерениям».

Методики измерений, предназначенные для применения в сфере государственного регулирования обеспечения единства измерений (ГРОЕИ), согласно Федеральному закону №102 подлежат обязательной аттестации, методики измерений, применяемые вне сферы ГРОЕИ, могут быть аттестованы в добровольном порядке или проведена их валидация в соответствии с требованиями ГОСТ ISO/IEC 17025 — 2019.

УНИИМ — филиал ФГУП «ВНИИМ им. Д.И. Менделеева» проводит работы по аттестации методик измерений с 1972 г., а в 1994 г. определен Госстандартом России в качестве научно-методического центра в области метрологического обеспечения количественного химического анализа, в рамках реализации функций которого специалистами института были разработаны основополагающие документы в данной области: ГОСТ 51232-98, ГОСТ 27384-2002, ГОСТ 52361-2005, РМГ 61-2010, РМГ 76-2014, МИ 2881-2004, РМГ 59-2003, Р 50. 2.060-2008, Р 50.2.090-2013 и другие, которые получили широкое признание и используются большинством испытательных, аналитических лабораторий России и стран СНГ.

Ежегодно специалистами УНИИМ — филиала ФГУП «ВНИИМ им. Д.И. Менделеева» аттестуется более 300 методик измерений, в том числе для предприятий и организаций ПАО «Газпром», ПАО «Нефтяная компания «ЛУКОЙЛ», ПАО «НК «Роснефть», ФМБА России, Роспотребнадзора, Госкорпорации «Росатом» и других.

В настоящее время УНИИМ — филиал ФГУП «ВНИИМ им. Д.И. Менделеева» аккредитован в национальной системе аккредитации в области обеспечения единства измерений для выполнения работ и оказания услуг по аттестации методик измерений и метрологической экспертизе (Аттестат аккредитации RA.RU.311866, PDF 158kb, Область аккредитации УНИИМ — филиал ФГУП «ВНИИМ им. Д.И.

Менделеева» Аттестация методик (методов) измерений и метрологическая экспертиза), PDF 91kb, имеет широкую область аккредитации, в рамках которой выполняет работы по аттестации методик измерений (в том числе референтных методик и первичных референтных методик измерений), и метрологической экспертизе, включая метрологическую экспертизу материалов по разработке методик измерений. Работы по аттестации методик измерений УНИИМ — филиал ФГУП «ВНИИМ им. Д.И. Менделеева» проводит в соответствии с требованиями Приказа Минпромторга России №4091 от 15.12.2015 г.

Также специалисты института оказывают следующие метрологические услуги юридическим лицам и индивидуальным предпринимателям:

— разработка методик измерений;

— валидация методик измерений, методик качественного анализа;

— метрологическая экспертиза проектов документов на методики измерений, методики испытаний;

— разработка и метрологическая экспертиза методик приготовления аттестованных растворов (смесей), предназначенных для метрологического обеспечения измерений;

— метрологическая экспертиза и валидация программных продуктов на лабораторные информационные системы (ЛИМС, ЛИС);

— разработка и валидация методик отбора проб;

— оформление документов по внедрению методик измерений в испытательных и аналитических лабораториях;

— разработка нормативной и методической документации, связанной с метрологическим обеспечением методик измерений и контролем качества результатов измерений.

Проведение работ и оказание услуг в области метрологического обеспечения методик измерений оказывают ведущие специалисты УНИИМ — филиала ФГУП «ВНИИМ им. Д.И. Менделеева», имеющие ученые степени и звания, многолетний практический опыт в области метрологического обеспечения аналитического контроля, разработки и аттестации методик измерений.

Указанные работы (услуги) институт проводит по заявкам организаций, присылаемым на бланке организации на имя руководителя УНИИМ — филиал ФГУП «ВНИИМ им. Д.И. Менделеева».

Источник: uniim.ru

Аттестация объектов информатизации

Аттестация объектов информатизации (автоматизированных систем и защищаемых помещений)

Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».

Для объектов информатизации, не попадающих под действие приказа № 77 ФСТЭК России, в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации от 25 ноября 1994 г. (пункт 3.8.4), срок аттестации для объектов информатизации, обрабатывающих конфиденциальную информацию, составляет не более 3-х лет.

3.8.4. «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

В процессе аттестации по требованиям безопасности информации будут проведены:

• Анализ и оценка исходных данных.
• Поставка, установка и настройка средств защиты информации.
• Подготовка проектов организационно-распорядительной документации Заказчика.
• Аттестационные испытания в соответствии с методиками ФСТЭК России.
• Разработка аттестационных документов, в том числе Аттестата соответствия требованиям по безопасности.

После успешного прохождения аттестации предоставляются:

• Проекты организационно-распорядительно й документации (технический паспорт, приказы, акт классификации, инструкции, описание техпроцесса обработки информации, список пользователей ОВТ, перечень защищаемых ресурсов и пр.).
• Программа и методики аттестационных испытаний.
• Протоколы аттестационных испытаний.
• Заключение по результатам аттестационных испытаний.
• Аттестат соответствия требованиям по безопасности информации.

Не уверены, нужна ли Вашему объекту информатизации аттестация по требованиям безопасности информации? Тогда рекомендуем ознакомиться со статьей экспертов Департамента аттестационных работ «ЦИБИТ».

Периодический (ежегодный) контроль защищенности объектов информатизации

В период действия аттестата соответствия проводятся ежегодные контрольные проверки эффективности принятых мер защиты. Согласно ГОСТ РО 0043-003-2012 (ДСП): «Заявители организуют ежегодный контроль соответствия системы защиты информации объекта информатизации требованиям безопасности информации».

В случае существенных изменений условий эксплуатации объекта информатизации, заявитель также обязан организовать проведение контрольной проверки.

Контрольная проверка объекта информатизации проводится в порядке, установленном программой и методиками аттестационных испытаний объекта информатизации.

В результате проверки выдаются протоколы контрольных испытаний и Заключение. В техническом паспорте на объект информатизации осуществляется запись о ежегодной либо внеплановой проверке.

Сопровождение объектов информатизации на период действия аттестатов соответствия

Департамент аттестационных работ ГК «ЦИБИТ» предлагает комплексную услугу по сопровождению объектов информатизации по аттестации и переаттестации для соответствия требованиям ФСТЭК России и ФСБ России в области защиты информации (долгосрочное сотрудничество: заключение договора на 3 года).

Согласно нормам законодательства РФ (ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. Москва, Стандартинформ. 2012 г.), каждый объект информатизации для соответствия требованиям должен проходить:

— ежегодные контроли эффективности

— переаттестацию каждые 3 года

Кроме того, необходимо следить за выходом новых версий программного обеспечения и сроком действия сертификатов соответствия, правильно вести внутреннюю документацию и пр.

Департамент аттестационных работ ГК «ЦИБИТ» предлагает комплексную услугу, включающую все необходимые плановые мероприятия: аттестация, ежегодный контроль, переаттестация (раз в три года), постоянная поддержка и консультирование.

Состав комплексной услуги по сопровождению одного объекта информатизации:

• Аттестация
• Два ежегодных контроля эффективности объекта информатизации
• Установка актуальных обновлений программных модулей средств защиты информации
• Консультации по настройке средств защиты информации и ведению организационно-распорядительной документации
• Организация поверочных мероприятий (для лицензиатов ФСТЭК России с контрольно-измерительным оборудованием)
• Модернизация системы защиты с учётом изменений в нормативной документации и требованиях регуляторов
• Переаттестация

Источник: www.cibit.ru