Рассматривается проблема разработки программы и методик испытаний значимого объекта критической информационной инфраструктуры Российской Федерации, использование информационной системы персональных данных.
В данном случае информационная система является одновременно значимым объектом. Средства защиты информации, используемые в данной системе, должны пройти оценку соответствия в форме испытаний. По приказу ФСТЭК № 21 средства защиты информационной системы персональных данных не обязаны проходить оценку соответствия в форме обязательной сертификации, но по приказу ФСТЭК № 239 средства защиты значимого объекта должны пройти оценку соответствия в форме обязательной сертификации, испытаний или приемки.
Таким образом, наличие программы и методики испытаний, а также проведенные испытания оборудования, обязательное требование для получения разрешения на его применение. Именно поэтому данная проблема является актуальной. На многих значимых объектах критической информационной инфраструктуры Российской Федерации используется информационная система персональных данных, которая требует ввода в эксплуатацию соответствующих средств защиты информации.
В связи с этим возникает потребность в разработке программы и методик испытаний значимого объекта критической информационной инфраструктуры Российской Федерации информационной системы персональных данных, в которых будут описаны приемочные испытания, содержащие оценку соответствия требованиям по безопасности в форме испытаний для средств защиты информации, и требования к оборудованию, используемому на данном объекте.
1. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2. Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
3. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
4. Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
5. ГОСТ 19.301–79. Программа и методика испытаний. Требования к содержанию и оформлению. – Введ. 01.01.80. – М.: Стандартинформ, 2010.
6. ГОСТ 34.603–92. Информационная технология (ИТ). Виды испытаний автоматизированных систем. – Взамен ГОСТ 24.104-85 в части разд. 3: введ. 01.01.93. – М.: Изд-во стандартов, 1992.
Ерохина А.А., Селифанов В.В. Анализ нормативно-правовых документов на этапе подготовки к разработке программы и методики испытаний значимого объекта критической информационной инфраструктуры РФ (ИСПДн) // Сборник научных трудов НГТУ. – 2019. – № 2 (95). – С. 57–65. – DOI: 10.17212/2307-6879-2019-2-57-65.
Erohina A.A., Selifanov V.V. Analiz normativno-pravovyh dokumentov na etape podgotovki k razrabotke programmy i metodiki ispytanij znachimogo ob"ekta kriticheskoj informacionnoj infrastruktury RF (ISPDn) [Analysis of legal documents in preparation for the development of programs and significant objects test procedures critical information infrastructure of the RF (PDIS)]. Sbornik nauchnykh trudov Novosibirskogo gosudarstvennogo tekhnicheskogo universiteta – Transaction of scientific papers of the Novosibirsk state technical university, 2019, no. 2 (95), pp. 57–65. DOI: 10.17212/2307-6879-2019-2-57-65.