Сертификация АС - Форум по вопросам информационной безопасности

Приветствую.

Каким образом можно сертифицировать автоматизированную систему на соответствие требованиям безопасности по классу 1Г? Или сертифицировать можно только систему защиты информации, реализованной в АС? Если да, то получается у неё должен быть отдельный децимальный номер?

Кто как к этому вопросу подходит?

to Грот:

> Каким образом можно сертифицировать автоматизированную систему на соответствие требованиям безопасности по классу 1Г?
Для автоматизированных систем оценка соответствия проводится в форме аттестации или оценивается эффективность принятых мер защиты. Зависит от вида автоматизированной (информационной) системы. Для более определенного ответа на это вопрос нужна краткая информация о системе, обрабатываемой информации и наименование документа на соответствие которому требуется аттестовать (может быть сертифицировать?!).

> Или сертифицировать можно только систему защиты информации, реализованной в АС?
Если под системой защиты информации понимается программное или программно-аппаратное средство защиты, то да. Для такого вида средств защиты информации предусмотрена процедура сертификации. Если под системой защиты информации понимается комплекс организационных и технически мер, то данная система отдельно не сертифицируется. Такая система оценивается в составе автоматизированной (информационной) системы (см. ответ на 1 вопрос).

> Если да, то получается у неё должен быть отдельный децимальный номер?
Если речь идёт про программные и программно-аппаратные средства защиты, то у каждого такого средства (изделия) имеется учетный (заводской) номер. Для учета программных изделий (компонент) дополнительно могут использоваться номера копии и версии. Средства Кроме того, защиты маркируются специальными защитными знаками, которые также имеют свои учетные номера. Все указанные номера указываются в формулярах (паспортах), поставляемых вместе со средствами защиты.
Если речь идёт про систему защиты информации, как комплекс организационных и технических мер автоматизированной (информационной) системы, то требования у учету таких видов систем нормативно не определены. В случае необходимости можно отрегулировать на локально уровне.
Децимальные номера часто применяются для учета технической документации (проектной, рабочей, эксплуатационной), оформляемой на автоматизированные (информационные) системы, включая ее систему защиты информации (как комплекса организационных и технических мер). Как правило, через децимальные номера такой документации ведется учет данных систем.

to CM

Спасибо за отклик.

>Для автоматизированных систем оценка соответствия проводится в форме аттестации или оценивается эффективность принятых мер защиты.

Проблема в том, что в ТЗ указано именно сертификация именно АС. Не аттестация.

>Зависит от вида автоматизированной (информационной) системы. Для более определенного ответа на это вопрос нужна краткая информация о системе, обрабатываемой информации и наименование документа на соответствие которому требуется аттестовать (может быть сертифицировать?!).

По сути не попадает под персоналку, объекты КИИ и ГИС. Просто автоматизированная система, контролирующая параметры сигналов. И для неё предъявлены требования по классу 1Г (Руководящий документ
Автоматизированные системы. Защита от несанкционированного доступа к информации
Классификация автоматизированных систем и требования по защите информации).

Обрабатываются параметры сигналов, сравнивается с допусками, составляется протокол, который и составляет сведения ограниченного доступа, но не гостайну.

>Если под системой защиты информации понимается комплекс организационных и технически мер, то данная система отдельно не сертифицируется.

Да, понимается в первую очередь закупка и применение соответтсвующих сертифицированных средств защиты информации. Дополнительно возможно придётся сертифицировать ПО по соответствующему уровню корнтроля отсутствия НДВ (недекларируемых возможностей).

>Если речь идёт про систему защиты информации, как комплекс организационных и технических мер автоматизированной (информационной) системы, то требования у учету таких видов систем нормативно не определены. В случае необходимости можно отрегулировать на локально уровне.

То есть в принципе возомжно выделить такую систему защиты, как отдельный объект АС, для которого предусмотрены свои документы (модели угроз, эксплуатационная документация и так далее)? Или так обычно не делают?

to Грот:

>То есть в принципе возомжно выделить такую систему защиты, как отдельный объект АС, для которого предусмотрены свои документы (модели угроз, эксплуатационная документация и так далее)? Или так обычно не делают?

На практике довольно часто для создания системы (подсистемы) защиты информации у конкретных АС (ИС) разрабатывается техническое задание (частное техническое задание). Разработка таких ТЗ, как правило, осуществляется в соответствии ГОСТ 34.602 (иногда с учетом требований ГОСТ Р 51583-2014). В ТЗ включаются требования нормативно-методических документов ФСТЭК России, ФСБ России и ведомственные требования. В нём же указываются стадии создания и этапы работ, а также и состав оформляемой документации (технического проекта, рабочей, эксплуатационной и исполнительной документации, иногда проекты организационно-распорядительной документации). Модель угроз на систему защиты отдельно от АС (ИС) не делается.