Гост Ро 0043-004-2013
Аттестация объектов информатизации включает комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации. Целью аттестации объекта информатизации является подтверждение соответствия его системы защиты информации в реальных условиях эксплуатации требованиям безопасности информации.
Информационные технологии делают нашу работу эффективнее, а жизнь – насыщеннее и быстрее. Для Лия, ООО 45003 ГОСТы РО 0043-003-2012 (общие положения) и РО 0043-004-2013 (программа и методика. ГОСТ РО 0043-003-2012., 11:24. Коллеги, добрый день. Давно о нём слышал и вот встретил конкретное название следующего документа: 'Национальный стандарт Российской Федерации ограниченного распространения ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения», утвержден приказом Федерального агентства по техническому регулированию и метрологии от № 2-СТ РО'. Интересует следующий момент - у кого есть опыт получения данного документа ограниченного распространения? Мы являемся лицензиатом ФСТЭК. Что за процедуры - запрос во ФСТ. В текущей версии добалось ещё два ДСП ГОСТа: - ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. ДСП; - 118 г ОСТ ро 0043-004-2013. Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний. Остается загадкой, на какой перечень ориентироваться и как так получилось, что были изменены перечни и утверждены одной и той же датой. По факту, ФСТЭК осуществил подлог официальных документов.
Аттестация объекта информатизации необходима, если: в организации или на предприятии обрабатывается информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации; организации или предприятию необходимо подтверждение соответствия системы защиты объекта информатизации, функционирующей в реальных условиях эксплуатации, требованиям безопасности информации. Аттестация объекта информатизации включает в себя: Категории конфиденциальной информации: персональные данные; служебная тайна; коммерческая тайна; иная конфиденциальная информация. Аттестация объекта информатизации по требованиям безопасности информации проводится в соответствии со следующими документами: Федеральный закон «Об информации, информационных технологиях и о защите информации» от N 149-ФЗ; Федеральный закон от 27 июля 2006 г. Компьютерная томография брюшной полости. N 152-ФЗ «О персональных данных»; Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссией России 25 ноября 1994 г.; ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации.
Общие положения»; ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»; Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России от №282; Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Типы линий для autocad 2015. Классификация автоматизированных систем и требования по защите информации», утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г.
Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г. Приказ ФСТЭК России от 11 февраля 2013 г.
N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»; Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Приказ от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Документы, предоставляемы ООО «РЦБ» по окончании аттестационных работ: Акт обследования объекта информатизации; Программа и методики аттестационных испытаний; Протоколы контроля защищенности информации (содержат информацию о проведении измерений, испытаний, расчетов, результаты и выводы о соответствии полученных результатов нормированным значениям); Протоколы аттестационных испытаний (содержат информацию и выводы о соответствии полученных результатов требованиям безопасности информации). Заключение по результатам аттестационных испытаний; Аттестат соответствия объекта информатизации требованиям безопасности информации (выдается на срок не более 3 (трех) лет).
“Аттестация объектов информатизации: комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации. Информационное сообщение ФСТЭК N 2: “В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации.
Программа и методики аттестационных испытаний».”. Приказ ФСТЭК №31: “По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание (модернизацию) автоматизированной системы управления и (или) техническому заданию (частному техническому заданию) на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России.”. Есть мнение что правильная методика испытаний привидится в приложении Д к ГОСТ РО 0043-004-2013 и всем Лицензиатам надо на её ориентироваться.
Гост 21 1101 2013
Но практика показывает что это методика заточенная под гостайну (проверка требований к АС класса 1В, ГИС класса К1) так как, например, включает управление потоками информации. Практика показала, что бывают ситуации, когда СЗИ, настроенные в соответствии с рекомендациями производителя, например к классу 1Г, не могут пройти проверку в соответствии с данной методикой, в которой выбраны только проверки, соответствующие классу 1Г.