ЦЕЛЬ: формирования компетенций, необходимых специалистам для выполнения профессиональной деятельности «Техническая защита информации»
Сертификация средств защиты информации является важным этапом в обеспечении безопасности информационных систем. В ходе обучения студенты ознакомятся с требованиями по оформлению результатов сертификации и научатся эффективно выполнять сертификацию в соответствие с руководящими документами
Этот курс даст им необходимые знания и навыки, чтобы успешно проходить процедуру сертификации и убедиться, что разрабатываемые ими средства защиты информации соответствуют высоким стандартам безопасности
Освоение данного курса позволит студентам глубоко понять процесс сертификации средств защиты информации и стать востребованными специалистами в области информационной безопасности”
Курс для сотрудников и специалистов служб информационной безопасности, для директоров по информационной безопасности
Тема № 1. Цели и задачи ТЗИ.
Цели и задачи ТЗИ. Объекты информатизации: классификация и характеристика. Организация научных исследований и разработок в области ТЗИ.
Тема № 2. Правовые основы ТЗИ.
Правовые основы защиты информации. Система документов в области ТЗИ. Нормативные правовые акты. Нормативные правовые акты ФСТЭК России. Методические документы. Технические документы (документация). Плановые документы. Информационные документы. Документы в области технического регулирования и стандартизации. Система стандартов в области защиты информации.
Тема № 3. Организация работ по ТЗИ в организации.
Общие требования по ТЗИ. Комплекс мероприятий по ТЗИ. Модели угроз и краткая характеристика угроз безопасности информации. Создание и функционирование системы защиты информации, как составные части работ по созданию и эксплуатации объектов информатизации учреждений и предприятий.
Тема № 4. Способы и средства защиты информации. Средства контроля защищенности информации.
Общие положения. Способы и средства защиты информации от НСД. Способы и средства защиты речевой информации. Способы и средства защиты информации, обрабатываемой СВТ от утечки за счет ПЭМИН.
Основные задачи контроля эффективности ТЗИ. Общие требования, способы и средства контроля эффективности ТЗИ.
Тема №5. Документы, регламентирующие деятельность в области создания средств защиты информации и сертификации средств защиты информации.
Основные термины и определения в области сертификации. Цели сертификации. Объект сертификации в Системе сертификации ФСТЭК России и его признаки. Формы оценки соответствия и ключевые особенности обязательной сертификации. Системы сертификации средств защиты информации по требованиям безопасности информации в федеральных органах исполнительной власти. Организационная структура системы сертификации ФСТЭК России, задачи и функции ее участников. Система документов по сертификации средств защиты информации в системе сертификации ФСТЭК России.
Тема № 6. Процедура сертификации средств защиты информации по требованиям безопасности информации.
Схемы обязательной сертификации. Процедуры первичной сертификации средств защиты информации, продления сертификата, аннулирования или приостановки действия сертификата, выдачи сертификата соответствия, подачи и рассмотрения апелляций. Задачи сертификационных испытаний. Подготовка заявки на сертификацию. Идентификация средств защиты информации. Отбор образцов для проведения испытаний. Инженерный анализ. Классификация и типизация средств защиты информации. Требования к составу и содержанию документации средств защиты информации при проведении их сертификации. Требования безопасности информации к средствам защиты информации, дифференциация и взаимосвязь требований. Источники задания требований и взаимосвязь требований документов ФСТЭК России, требований документов разработчика средства защиты информации и ограничений на эксплуатацию.
Тема № 7. Разработка программ и методик сертификационных испытаний. Требования к содержанию и оформлению. Методы испытаний.
Классификация и описание основных методов сертификационных испытаний средств защиты информации. Общие требования к программам и методикам испытаний по ГОСТ
Тема №8. Типовые сертификационные испытания программных и аппаратных средств защиты информации.
Порядок испытаний средств защиты информации от НСД. Контроль отсутствия недекларированных возможностей. Особенности использования исходных текстов и объектных сторонних разработчиков. Анализ уязвимостей средств защиты информации от НСД, источники и банки данных по уязвимостям средств защиты информации от НСД. Порядок испытаний средств защиты информации от утечки по техническим каналам. Физические основы возникновения и характеристика технических каналов утечки информации (ТКУИ). Основные виды физико-технических измерений при испытаниях средств защиты информации от. утечки по техническим каналам.
Тема № 9. Инструментальное обеспечение сертификационных испытаний. Типовые контрольно-измерительная аппаратура и лабораторное оборудование.
Единство измерений и его обеспечение. Метрологическое обеспечение сертификационных испытаний. Обязательная поверка и калибровка. Номенклатура средств измерений, подлежащих поверке. Инструментальное обеспечение сертификационных испытаний. Особенности проведения испытаний на материальной базе заявителя. Возможности и характеристики типовой контрольно-измерительной аппаратуры, лабораторного оборудования. Возможности и характеристики программных средств активного аудита и анализа защищенности.
Тема №10. Меры обеспечения достоверности и качества результатов испытаний. Метрологическое обеспечение испытаний.
Основные понятия метрологии, погрешности измерений. Воспроизводимость и повторяемость результатов. Метрологическое обеспечение сертификационных испытаний. Общие требования к измерениям. Анализ постановки измерительной задачи.
Тема№ 11. Цели, задачи, порядок проведения аттестации производства. Система качества организации.
Технология проведения аттестации производства. Порядок организации системы производственного контроля на предприятии. Процессный подход ГОСТ Р ИСО 9001-2015 и процессы жизненного цикла средств защиты информации. Порядок проведения аттестации производства, его цели и задачи. Организация технологического процесса и технологическая документация производства изделия, организация входного и выходного контроля. Требования по учету произведенной сертифицированной продукции, требования к системе послепродажного обслуживания, учета и отработки рекламаций.
Тема № 12. Программа и методика проведения аттестации производства. Порядок оформления акта аттестации производства.
Требования к содержанию программ и методик аттестации производства. Оценка достаточности производственных ’ испытаний для обеспечения неизменности сертифицированных характеристик средств защиты информации. Порядок оформления акта аттестации производства.
Тема№ 1. Организация деятельности испытательных лабораторий и органов по сертификации.
Принципы независимости, беспристрастности, конфиденциальности и раскрытия информации в деятельности испытательной лаборатории. Порядок аккредитации испытательных лабораторий и органов по сертификации, аккредитационные требования и условия. Система организационнораспорядительных документов испытательных лабораторий и органов по сертификации. Условия хранения образцов средств защиты информации в испытательной лаборатории. Ответственность за результаты сертификации и сертификационных испытаний. Определение (расчет) трудозатрат и стоимости проведения работ по сертификации средств защиты информации.
Тема № 2. Система внутреннего документооборота испытательных лабораторий и органов по сертификации.
Система документов и порядок ведения внутреннего документооборота испытательных лабораторий и органов по сертификации. Правовое обеспечение сохранности государственной тайны и авторских прав. Требования и порядок обеспечения режима секретности при проведении сертификации средств защиты информации и оформлении материалов испытаний. Требования и порядок соблюдения авторских прав при проведении сертификации средств защиты информации. Порядок хранения документации и материалов сертификации средств защиты информации в испытательной лаборатории и органе по сертификации.
Тема№3. Система менеджмента качества и информационной безопасности испытательных лабораторий и органов по сертификации.
Требования международных и национальных стандартов Российской Федерации в области менеджмента качества и информационной безопасности. Модель системы менеджмента качества, основанной на процессном подходе. Организация системы менеджмента качества и политики информационной безопасности испытательных лабораторий и органов по сертификации. Сертификация системы менеджмента качества и политики информационной безопасности испытательных лабораторий и органов по сертификации.
Тема № 1. Порядок внесения изменений в средства защиты информации.
Порядок внесения изменений в технические средства защиты информации, программные средства защиты информации, документация средств защиты информации и технологию производства средств защиты информации. Порядок документирования изменений.
Тема №2. Порядок проведения'... инспекционного контроля сертифицированных средств защиты информации. Продление сертификата соответствия средств защиты информации владельцем объекта информатизации.
Порядок продления сертификата соответствия средств защиты информации заявителем. Порядок проведения инспекционного контроля. Регистрация и выдача знаков соответствия, маркирование сертифицированных средств защиты информации. Порядок продления сертификата соответствия организацией, эксплуатирующей средства защиты информации.