|
Деятельность аттестационных комиссий. Сводный реестр сертифицированных средств защиты информации
Каждое сертифицированное средство защиты информации подлежит маркированию специальным номерным защитным знаком соответствия, который производитель (заявитель) получает во ФСТЭК России. В соответствии с Руководящим документом"Защита информации. Специальные защитные знаки. Классификация и общие требования", утвержденным решением председателя Гостехкомиссии от 25.07.1997 г., специальный защитный знак - сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности специального защитного знака путем сравнения самого знака или композиции "специальный защитный знак - подложка" по критериям соответствия характерным признакам визуальными, инструментальными и другими методами.
При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка или доработка средств защиты информации и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений на создание объекта информатизации или его подсистемы защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.
Следует отметить, что ФСТЭК России регулярно проводит работы по выявлению и анализу уязвимостей программного обеспечения и ведению банка данных угроз безопасности информации. В результате подобных мероприятий выявляются уязвимости в сертифицированных средствах защиты информации, применяемых на действующих объектах информатизации. С целью предотвращения утечки информации и нейтрализации угроз безопасности информации, ФСТЭК России регулярно публикует на своем сайте Информационные письма с описанием средства и вида уязвимости и дает рекомендации по способам устранения выявленных уязвимостей. В свою очередь производители таких средств защиты информации выпускают обновления, устраняющие уязвимость, после установки которого, повторной аттестации не требуется. Все работы по обновлению средств защиты информации проводятся в рамках действующих аттестатов соответствия на объекты информатизации.
Возникают ситуации, при которых производители тех или иных средств защиты информации прекращают их серийное производство и перестают осуществлять поддержку этих средств. В таких случаях, по заявлению производителя, ФСТЭК России, как правило, продлевает на три года ранее выданные сертификаты соответствия. Если этого не происходит, то пользователю необходимо заблаговременно подать заявку на продление сертификата соответствия на конкретный экземпляр средства, установленного на его объекте информатизации. Как правило, сертификат продлевают не более, чем на три года. В течение этого времени необходимо осуществить замену такого средства защиты информации на актуальную модель. Для разъяснения порядка продления сертификатов соответствия и действий заявителей ФСТЭК России выпустила Информационное сообщение от 23.01.2015 № 240/24/223 "По вопросу продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации" с приложением формы заявки на продление срока действия сертификата соответствия.
Подбор необходимых средств защиты осуществляется органом по аттестации исходя их утвержденных заявителем требований по защите информации. Для этого из реестра сертифицированных средств защиты информации выбираются средства, разрешенные к использованию на объекте информатизации заданного уровня конфиденциальности.
Итоги: Аттестационная комиссия формируется руководителем органа по аттестации из числа квалифицированных специалистов органа по аттестации, имеющих достаточные теоретические знания в области защиты информации, необходимые для аттестации конкретного объекта информатизации, а также имеющих практический опыт проведения аналогичных работ и не участвующих непосредственно в деятельности заявителей, т.е. не аффилированы с ним.
В ходе проведения работ по аттестации объектов информатизации аттестационными комиссиями осуществляется оценка правильности выбора, установки и настройки сертифицированных средств защиты информации. Все сертифицированные средств и системы защиты информации включены в единый реестр ФСТЭК России. Каждое сертифицированное средство защиты информации подлежит маркированию специальным номерным защитным знаком соответствия, который производитель (заявитель) получает во ФСТЭК России.
Ключевые слова: аттестационная комиссия, сертификация средств защиты информации по требованиям безопасности информации, специальный защитный знак