Pastein: РАЗДЕЛ 1. УЧЕБНЫЕ ВОПРОСЫ 1.1 Система сертификации технических, программно-технических, программных автомати

Загрузка данных
РАЗДЕЛ 1. УЧЕБНЫЕ ВОПРОСЫ
1.1 Система сертификации технических, программно-технических,
программных автоматизированных систем и локальных вычислительных сетей на
соответствие требованиям по безопасности информации
Система сертификации представляет собой совокупность организационных
структур, осуществляющих сертификацию, а также нормативных и методических
документов, устанавливающих правила и процедуры проведения сертификации.
Организационную структуру образуют федеральный орган по сертификации (ФСТЭК
России, ФСБ России), органы по сертификации, испытательные лаборатории (центры) и
заявители (разработчики, изготовители, поставщики). Сертификация проводится в целях
подтверждения соответствия средств вычислительной техники и связи требованиям по
безопасности информации, установленным нормативными и методическими документами
ФСТЭК России. Система сертификации функционирует на основе принципов
гармонизации с международными нормами, обеспечения доверия к сертификации,
открытости участия, независимости органов и лабораторий. Федеральный орган по
сертификации организует работы по сертификации, устанавливает правила и процедуры,
аккредитует органы по сертификации и испытательные лаборатории, ведет реестр
выданных сертификатов.
1.2 Виды и схемы сертификации средств вычислительной техники и связи
Сертификация подразделяется на обязательную и добровольную. Обязательной
сертификации подлежат средства вычислительной техники и связи, предназначенные для
обработки информации ограниченного доступа, а также средства защиты информации.
Добровольная сертификация проводится по инициативе заявителя.
Схемы сертификации включают испытания типового образца в испытательной
лаборатории, анализ состояния производства, проверку производства, сертификацию
системы качества, а также инспекционный контроль за сертифицированной продукцией.
При сертификации серийно выпускаемой продукции применяется схема 1с, которая
включает испытания типового образца и анализ состояния производства. При
подтверждении соответствия партии оборудования (единичного изделия) анализ состояния 
производства не проводится. Конкретная схема определяется в зависимости от сложности
продукции, объема предполагаемых испытаний и особенностей производства.
1.3 Особенности подготовки и проведения сертификации средств
вычислительной техники и связи по требованиям безопасности информации
Подготовка к сертификации включает подачу заявки заявителем в орган по
сертификации, рассмотрение заявки и принятие решения, формирование комиссии,
разработку программы и методики испытаний. Проведение сертификации включает
идентификацию продукции, проведение испытаний в аккредитованной испытательной
лаборатории, анализ результатов, оформление протоколов испытаний и принятие решения
о выдаче сертификата соответствия. Особенностью является необходимость проведения
специальных исследований на соответствие требованиям по безопасности информации, а
также проверка отсутствия недекларированных возможностей и закладочных устройств.
При получении сертификата заявитель наносит единый знак обращения продукции на
рынке и формирует комплект документов, включающий протоколы испытаний, результаты
анализа состояния производства и сертификат соответствия.
РАЗДЕЛ 2. КОНТРОЛЬНЫЕ ВОПРОСЫ
2.1 Организационная структура системы сертификации технических,
программно-технических, программных автоматизированных систем и локальных
вычислительных сетей на соответствие требованиям по безопасности информации
Организационную структуру системы сертификации образуют федеральный орган
по сертификации (ФСТЭК России, ФСБ России), органы по сертификации, испытательные
лаборатории (центры), а также заявители (разработчики, изготовители, поставщики
продукции). ФСТЭК России организует работы по сертификации, устанавливает правила и
процедуры, аккредитует органы по сертификации и испытательные лаборатории, ведет
реестр выданных сертификатов. Органы по сертификации осуществляют сертификацию
конкретных видов продукции, выдают сертификаты, приостанавливают или аннулируют их
действие, осуществляют инспекционный контроль. Испытательные лаборатории проводят
испытания продукции и оформляют протоколы испытаний. Заявители подают заявки,
предоставляют образцы и документацию, обеспечивают условия для проведения
испытаний.
2.2 Назовите виды и схемы сертификации средств вычислительной техники и
связи по требованиям безопасности информации
Виды сертификации: обязательная и добровольная. Обязательная сертификация
проводится для средств вычислительной техники и связи, предназначенных для обработки
информации ограниченного доступа, а также для средств защиты информации.
Добровольная сертификация проводится по инициативе заявителя. Схемы сертификации:
схема 1 (испытания типового образца), схема 2 (испытания типового образца и анализ
состояния производства), схема 3 (испытания типового образца и проверка производства),
схема 4 (испытания типового образца и сертификация системы качества), схема 5
(сертификация системы качества и инспекционный контроль), схема 6 (проверка
производства и испытания выборки образцов). При сертификации серийно выпускаемой
продукции применяется схема 1с, включающая испытания типового образца и анализ
состояния производства. При сертификации партии или единичного изделия анализ
состояния производства не проводится.
2.3 Каковы функции органов сертификации, испытательных лабораторий и
заявителей в системе сертификации средств вычислительной техники и связи по
требованиям безопасности информации
Органы по сертификации осуществляют сертификацию продукции, выдают
сертификаты соответствия, приостанавливают или аннулируют действие выданных
сертификатов, осуществляют инспекционный контроль за сертифицированной продукцией,
ведут реестр сертифицированной продукции, формируют фонд нормативной
документации, взаимодействуют с федеральным органом по сертификации.
Испытательные лаборатории проводят испытания продукции в соответствии с областью
аккредитации, оформляют протоколы испытаний, обеспечивают достоверность и
объективность результатов, предоставляют протоколы в орган по сертификации. Заявители
подают заявку на проведение сертификации, предоставляют образцы продукции и
техническую документацию, обеспечивают условия для проведения испытаний и анализа
производства, оплачивают работы по сертификации, наносят знак соответствия на
сертифицированную продукцию.
2.4 Особенности порядка подготовки и проведения сертификации средств
вычислительной техники и связи по требованиям безопасности информации
Подготовка к сертификации включает подачу заявки заявителем в орган по
сертификации, рассмотрение заявки и принятие решения, формирование комиссии,
разработку программы и методики испытаний. Проведение сертификации включает
идентификацию продукции, проведение испытаний в аккредитованной испытательной
лаборатории, анализ результатов испытаний, оформление протоколов испытаний и
принятие решения о выдаче сертификата соответствия. Особенностями являются
необходимость проведения специальных исследований на соответствие требованиям по
безопасности информации, проверка отсутствия недекларированных возможностей и
закладочных устройств, анализ технической документации на предмет полноты и
достоверности сведений о защитных механизмах, проведение испытаний в условиях,
моделирующих реальную эксплуатацию, а также проведение анализа состояния
производства для серийно выпускаемой продукции.
2.5 Виды контроля в области сертификации средств вычислительной техники
и связи по требованиям безопасности информации
Различают инспекционный контроль за сертифицированной продукцией,
проводимый органом по сертификации, выдавшим сертификат, а также государственный
контроль и надзор, осуществляемый ФСТЭК России и ФСБ России за соблюдением правил
сертификации и за сертифицированной продукцией. Инспекционный контроль бывает
плановым и внеплановым. Плановый инспекционный контроль проводится не реже одного
раза в год и включает испытания образцов продукции и анализ состояния производства.
Внеплановый инспекционный контроль проводится при поступлении жалоб и претензий к
качеству продукции от потребителей, при изменении конструкции или технологии
производства, а также по решению федерального органа по сертификации.
2.6 На какой срок выдается сертификат
Сертификат соответствия на серийно выпускаемую продукцию выдается на срок не
более 5 лет. На партию технических средств или на единичное изделие срок действия
сертификата соответствия не устанавливается. При выдаче сертификата более чем на один
год орган по сертификации осуществляет инспекционный контроль за сертифицированной
продукцией в течение всего срока действия сертификата.
2.7 Назовите причины приостановления или аннулирования действия
сертификата
Действие сертификата приостанавливается или аннулируется в следующих случаях:
несоответствие продукции требованиям безопасности информации; изменение
нормативных документов, на соответствие которым проводилась сертификация;
нарушение правил маркировки продукции знаком соответствия; отказ заявителя от
прохождения инспекционного контроля; изменение конструкции (состава) продукции или
технологии ее производства, которые могут повлиять на показатели безопасности;
невыполнение заявителем корректирующих мероприятий в установленный срок; наличие
обоснованных жалоб потребителей на качество продукции; истечение срока действия
сертификата; а также на основании решения федерального органа по сертификации.
Решение о приостановлении действия сертификата принимается в случае, если путем
проведения корректирующих мероприятий заявитель может устранить выявленные
несоответствия в течение 3 месяцев.
2.8 Назовите показатели защищенности
Показатели защищенности от несанкционированного доступа к информации
включают: дискреционный контроль доступа; мандатный контроль доступа; очистку 
памяти; изоляцию программ; защиту ввода-вывода; маркировку документов; регистрацию
событий; контроль целостности программного обеспечения и данных; обеспечение
достоверности информации; защиту от повторного использования объектов. Каждый
показатель защищенности реализуется соответствующими механизмами защиты,
встроенными в средства вычислительной техники.
2.9 Сколько классов защищенности существует
Согласно руководящему документу «Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Показатели защищенности от
несанкционированного доступа к информации» от 30 марта 1992 года, устанавливается 7
классов защищенности. Первый класс является высшим, седьмой класс является низшим.
Каждый последующий класс включает в себя требования предыдущего класса плюс
дополнительные требования по показателям защищенности.
2.10 Сформулируйте требования к показателям защищенности
Требования к показателям защищенности устанавливаются в зависимости от класса
защищенности. Для седьмого класса требуется наличие средств дискреционного контроля
доступа. Для шестого класса дополнительно требуется наличие средств мандатного
контроля доступа и очистки памяти. Для пятого класса дополнительно требуется наличие
средств изоляции программ. Для четвертого класса дополнительно требуется наличие
средств защиты ввода-вывода и маркировки документов. Для третьего класса
дополнительно требуется наличие средств регистрации событий. Для второго класса
дополнительно требуется наличие средств контроля целостности программного
обеспечения и обеспечения достоверности данных. Для первого класса (высшего)
дополнительно требуется наличие средств защиты от повторного использования объектов
и всех вышеперечисленных показателей. Конкретный состав и содержание требований к
каждому классу защищенности определяются нормативными документами ФСТЭК России.
Больше возможностей при регистрации:
