Российские нормативные документы



2.4.6. Российские нормативные документы

В 1993-1996 гг. была опубликована серия законов, постановлений правительства и нормативных документов Гостехкомиссии [13] в которых рассмотрены вопросы сертификации и аттестации по требованиям ИБ.
Вначале рассмотрим основные определения, использованные в этих документах.
· Сертификация средств защиты информации. Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России [13].
· Объекты информатизации. Под объектами информатизации понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены.
· Аттестация объектов информатизации по требованиям ИБ. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России [14].
Система аттестации объектов информатизации по требованиям безопасности является составной частью единой системы сертификации и подлежит государственной регистрации в установленном Госстандартом России порядке. Организационная структура систем сертификации и аттестации приводится на рисунке 17, функции определены в РД Гостехкомиссии [14].
Методы управления ИБ интенсивно развиваются. Основные направления развития связаны с совершенствованием:
· методологии выбора и формализации целей в области безопасности;
· инструментария (методик) для построения подсистемы ИБ в соответствии с выбранными целями;
· технологий аудита, позволяющих объективно оценить положение дел в области ИБ.
Эти составляющие неразрывно связаны и должны соответствовать друг другу. Использование современных методов управления ИБ позволяет поддерживать режим ИБ, соответствующий любым корректно сформулированным целям. Обязательной составной частью таких методов является действенная система аудита ИБ.
До недавнего времени лишь сравнительно небольшая доля организаций добровольно проходила аудит ИБ. Сейчас положение меняется. Приведение подсистем ИБ в соответствие с требованиями современных стандартов и добровольная сертификация на соответствие этим требованиям рассматриваются большинством руководителей как основной путь улучшения положения дел в области безопасности.
Система сертификации

Система аттестации
ß

ß
Гостехкомиссия России. Федеральный орган по сертификации средств защиты информации

Гостехкомиссия России. Федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям ИБ
ß

ß
Центральный орган системы сертификации средств защиты информации

ß
ß
ß
ß

ß
Органы по сертификации средств защиты информации

Органы по аттестации объектов информатизации по требованиям ИБ
ß

ß
Испытательные центры (лаборатории)

Испытательные центры (лаборатории) по сертификации продукции по требованиям ИБ
ß

ß
заявители (разработчики, изготовители, поставщики, потребители средств защиты информации)

заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации)



Начало Назад Вперед