Постанова Кабінету Міністрів України No 56/99
Ординанс Національного офісу з питань забезпечення безпеки диференціальних інформаційних систем, їх сертифікація та сертифікація
Чинний
Замовити
Чинний від 30.03.1999
Версії тексту:
30.03.1999
Zobrazeno prvních 200 z celkem 250 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
56 км
ВИЗНАЧЕННЯ
Національний офіс безпеки
з 19 березня 1999
на безпеку обробки інформаційних систем довідкова інформація, що здійснює сертифікацію та сертифікацію
Національний офіс безпеки ("The Office ') надає, згідно з розділами 51 (3) і 53 (3) Акту No 148 / 1998 Coll., про захист позначеної інформації та про внесення змін до деяких актів (" Акт"):
Тема питання
Цей Указ встановлює вимоги до безпеки для інформаційних систем, які використовують інформацію (далі – Інформаційна система), мінімальні вимоги до сфери комп’ютерної безпеки, а також процедури та процедури сертифікації процесу інформаційних систем та реквізитів сертифіката.
Визначення умов
Для цілей цієї постанови:
(а) актив системи апаратної інформації, програмне забезпечення, класифікована класифікована інформація, що зберігається в інформаційній системі та документообігу інформаційної системи;
(b) об’єктом інформаційної системи (далі – «об’єкт») пасивним елементом інформаційної системи, яка містить або отримує інформацію;
(c) суб'єкт інформаційної системи (далі – «управління») активний елемент інформаційної системи, що викликає інформацію, що передається між об'єктами або змінами в статусі системи;
(d) аналіз ризику процесу, при якому активи інформаційної системи, загрози активам інформаційної системи, її вразливостей, ймовірність виникнення загроз і оцінка її наслідків;
(e) аудиторський облік подій, які можуть вплинути на безпеку інформаційної системи;
(f) шляхом автентифікації суб’єкта господарювання, процесу перевірки його ідентичності на засіданні необхідного рівня гарантії;
(g) уповноважена особа на надання певних прав на проведення визначених заходів;
(h) механізм безпеки виконання функції безпеки;
(i) режим безпеки навколишнього середовища, в якому працює система інформації, характеризується рівнем класифікації класифікованої інформації та рівнів авторизації користувачів;
(j) за конфіденційністю інформації, її майно, що дозволяє неможливе розкриття інформації на несанкціоновану особу;
(k) фізична безпека інформаційної системи заходів, що використовуються для забезпечення фізичного захисту активів інформаційної системи проти випадкового або навмисного загроз;
(l) цілісність активу інформаційної системи, майно, яка дозволяє її змінити в зазначеному порядку і тільки уповноваженою особою;
(m) заходи безпеки зв'язку, які використовуються для забезпечення захисту інформації, що стосується передачі каналів телекомунікацій;
(n) комп’ютерна безпека інформаційної системи, що надається технічним та програмним забезпеченням;
(o) обов’язкове управління доступом означає обмежити доступ суб’єктами до об’єктів на основі порівняння класифікованого рівня інформації, що міститься в об’єкті та рівня авторизації суб’єкта господарювання для доступу до класифікації інформації та забезпечення коректного потоку інформації між об’єктами різного рівня класифікації, незалежно від обраного користувачем вибору;
(р) ризику інформаційної системи ймовірність виникнення загрози, що мають перевагу вразливості інформаційної системи;
(r) роль резюме позначеної діяльності та необхідних авторизації для користувачів в інформаційній системі;
(s) управління доступом означає обмежити доступ суб'єктам до об'єктів, що забезпечують лише уповноважений користувач або процес отримує доступ до них;
t) необов'язковий доступ до об'єктів суб'єктами, що базуються на перевірці прав доступу суб'єкта господарювання на об'єкт, в якому користувач, оснащений певними правами доступу до об'єкта, може вибрати, для якого інші особи передадуть права доступу до цього об'єкта і, таким чином, може вплинути на потік інформації між об'єктами.
Вимоги до безпеки інформаційних систем
Безпека інформаційних систем
(1) Безпека інформаційної системи складається з системи заходів з області:
(а) комп’ютерно-інформаційна безпека;
(b) адміністративна безпека та організаційні заходи;
(c) безпека персоналу;
(d) фізична безпека інформаційної системи.
(2) Система дій, зазначених в пункті 1, вказана в документі про безпеку інформаційної системи.
Документація системи інформаційної безпеки
(1) Документація про безпеку інформаційної системи складається з:
(а) проектна документація інформаційної системи;
(b) оперативна документація інформаційної системи.
(2) У документі про безпеку інформаційної системи внесено:
(а) політика безпеки інформаційної системи та оцінка ризиків;
(b) проект заходів безпеки для різних етапів надання інформаційної системи;
(c) документація для проведення перевірок безпеки інформаційної системи.
(3) Документація оперативної безпеки інформаційної системи включає:
(а) інформаційна система безпеки, що описує діяльність адміністратора безпеки в відповідній інформаційній системі;
(b) захисні засоби для окремих типів користувачів інформаційної системи.
(4) Документація безпеки, зазначена в пунктах 2 та 3 (а), буде класифіковано та визначено рівнем класифікації, ідентичним найвищим рівнем класифікації класифікованої інформації, що керується інформаційною системою.
Вимоги щодо доступу до інформації в інформаційній системі
(1) Доступ до позначеної інформації в інформаційній системі може бути надана тільки зареєстрованим особам для такого доступу. Авторизація базується на унікальному ідентифікатору користувача в системі інформації.
(2) Доступ до позначеної інформації в інформаційній системі може бути надана тільки особам, які обов'язково потребують такого доступу для здійснення своєї діяльності. Такі особи повинні бути уповноважені тільки в обсязі, необхідну для здійснення своїх призначених заходів в інформаційній системі.
Вимоги відповідальності за діяльність в інформаційній системі
(1) Користувачі інформаційної системи відповідають за виконання своїх зобов’язань щодо забезпечення безпеки інформаційної системи. Ці зобов’язання покладаються в оперативній документації інформаційної системи, включаючи визначення відповідальності за захист окремих активів інформаційної системи.
(2) У інформаційній системі роль адміністратора безпеки інформаційної системи вводиться окремо від цього адміністратора інформаційної системи.
(3) Роль адміністратора інформаційної системи безпеки включає виконання управління безпекою інформаційної системи, що складається з зокрема розподілу прав доступу, управління автентифікацією та дозвільною інформацією, оцінку аудиторських записів, оновлення напрямів безпеки, підготовка звіту про інциденти безпеки та інших заходів, встановлених в оперативній документації інформаційної системи.
(4) Інформація про діяльність суб’єкта господарювання в інформаційній системі повинна бути записана таким чином, що порушення безпеки або спроби інформаційної системи можуть бути призначені для конкретного користувача в кожній з його ролей в інформаційній системі. Записи зберігаються на період, зазначений в політиці безпеки інформаційної системи.
Запит на класифікацію маркування інформації
Визначена інформація, яка з'являється в будь-якій формі з інформаційної системи, повинна бути визначена відповідним рівнем класифікації таким чином, щоб забезпечити, що рівень конфіденційності, зазначений, по відношенню до будь-якої подальшої обробки цієї інформації.
Політика безпеки інформаційної системи
(1) Для кожної інформаційної системи політика безпеки інформаційної системи вже повинна бути розроблена на початковій стадії її розвитку. Політика безпеки інформаційної системи складається з набору стандартів, правил та процедур, які визначають, як конфіденційність, цілісність та доступність інформації та відповідальність користувача за свою діяльність в інформаційній системі. Принципи політики безпеки розроблені в проектній та оперативній документації інформаційної системи.
(2) Політика безпеки інформаційної системи повинна бути оброблена відповідно до законодавства та міжнародних договорів, за якими Чеська Республіка є обов’язковою та з політикою безпеки вищого органу, якщо вона була оброблена.
(3) Міжнародні стандартизовані характеристики безпеки 1)
Вимоги до політики інформаційної безпеки
На підставі:
(a) мінімальні вимоги безпеки в галузі комп'ютерної безпеки;
(b) системно залежних вимог безпеки, вимог користувачів та результатів аналізу ризиків;
(c) вимоги безпеки політики безпеки вищого органу, якщо будь-який.
Мінімальні вимоги безпеки в галузі комп'ютерної безпеки
(1) Довідкова інформація про рівень «Конфіденційності» або вище включає такі функції мінімальної безпеки:
(а) неоднозначна ідентифікації та автентифікації користувача, що зобов’язується попередити всі інші дії користувачів в інформаційній системі та забезпечити конфіденційність та цілісність автентифікації;
(b) додаткове управління доступом до об’єктів, заснованих на визначенні та управлінні правами доступу користувачів та ідентичністю користувачів або її членством в групі користувачів;
(c) безперервний запис заходів, які можуть вплинути на безпеку інформаційної системи в аудиторських записах та безпеку аудиторських записів перед несанкціонованим доступом, зокрема шляхом модифікації або знищення. Зокрема, використання ідентифікаційної та автентифікації інформації, спроби вивчення прав доступу, створення або порушення об’єкта або діяльності уповноважених користувачів, які впливають на безпеку інформаційної системи, будуть записані,
(d) можливість вивчення записів перевірок та визначення відповідальності користувача інформаційної системи;
(e) лікування об'єктів пам'яті до їх подальшого використання, зокрема перед призначенням іншого тіла, що дозволяє визначити їх попередній зміст;
(f) захист конфіденційності даних при передаванні мережі, з необхідною метою захисту інформації в процесі передачі між джерелом та ціль у відповідному порядку.
(2) Для забезпечення мінімальних функцій безпеки, зазначених у пункті 1, в інформаційній системі впроваджені ідентифікаційні механізми програми. Їх виконання і оперативні налаштування задокументовані таким чином, що вони можуть бути самостійно перевірені і їх адекватність оцінюється.
(3) Механізми забезпечення безпеки інформаційної системи повинні бути захищені від порушень або несанкціонованих змін протягом усього життєвого циклу інформаційної системи.
(4) У інформаційній системі, що здійснюється тільки на підставі принципу доступу до інформації, може бути додана інформація. Функції безпеки, зазначені в пункті 1, а також заходи, пов’язані з персоналом, адміністративною та фізичною безпекою інформаційних систем, застосовуються у відповідному порядку.
Системно залежні вимоги безпеки, отримані від оперативного режиму безпеки
(1) Інформаційні системи можуть працювати лише в одному з наступних режимів безпеки:
(а) режим роботи з безпекою;
(b) режим оперативної безпеки високого рівня;
(c) багаторівневий режим безпеки.
(2) Зарезервований режим безпеки є середовищем, в якому інформаційна система призначена виключно для обробки одного спеціалізованого типу класифікованої інформації, всі користувачі, які призначені для доступу до класифікації інформації найвищого рівня, що міститься в інформаційній системі, і, одночасно, будучи уповноваженим на роботу з усіма відповідними даними, що містяться в інформаційній системі. Безпека інформаційної системи, яка працює в режимі оперативного забезпечення безпеки, забезпечується дотриманням мінімальних вимог безпеки в галузі комп'ютерної безпеки, зазначених у статті 10 (1) (c), (d) та (f), а також заходів у сфері адміністративної, кадрової та фізичної безпеки інформаційних систем. Рівень заходів, що застосовуються з тих районів і заходів забезпечення конфіденційності даних при передачі, відповідає рівням, необхідному для найвищого рівня класифікованої інформації, яка керується інформаційною системою.
(3) Операційний режим високорівневої безпеки є середовищем, що дозволяє одночасно обробляти класифіковану класифіковану класифіковану інформацію, в якій всі користувачі повинні бути призначені для доступу до інформації про найвищий рівень, що міститься в інформаційній системі, в той час як всі користувачі не можуть бути уповноважені мати справу з усіма оголошеннями. Безпека інформаційної системи, яка працює в режимі оперативної безпеки високого рівня, забезпечується дотриманням мінімальних вимог безпеки в галузі комп'ютерної безпеки, що зазначено в розділі 10, а також заходів у сфері адміністративної, кадрової та фізичної безпеки інформаційних систем. Рівень заходів, що застосовуються з тих районів і заходів забезпечення конфіденційності даних при передачі, відповідає рівням, необхідному для найвищого рівня класифікованої інформації, яка керується інформаційною системою.
(4) Багаторівневий режим безпеки є середовищем, що дозволяє одночасно обробляти класифіковані класифіковані класифіковані класифіковані дані в одній інформаційній системі, в якій всі користувачі не призначені для роботи з позначеною інформацією найвищого рівня, що міститься в інформаційній системі, в той час як всі користувачі не можуть бути уповноважені працювати з усіма оголошеннями. Безпека інформаційної системи, яка працює в багаторівневому режимі, забезпечується заходами, зазначеними в пункті 3 і функцією безпеки обов'язкового управління доступом суб'єктів до об'єктів. На підставі принципу обов’язкового управління доступом визначається рівень адміністративної та кадрової безпеки, фізичної безпеки інформаційних систем та заходів забезпечення конфіденційності даних при передачі даних.
(5) Функції обов’язкового управління доступом суб’єктів до об’єктів:
(а) постійний зв’язок між кожним суб’єктом та об’єктом з атрибутом безпеки, який виражає суб’єктам рівень затвердження суб’єкта господарювання та його класифікація для об’єкта;
(b) захист цілісності атрибуту безпеки;
(c) ексклюзивна авторизація системи безпеки для внесення змін до атрибутів безпеки як суб’єктів, так і об’єктів;
d) призначити задані значення атрибутів для новостворених об'єктів і зберігаючи атрибут при копіюванні об'єкта.
(6) У заяві обов’язкового управління доступом суб’єктів до об’єктів:
(а) суб’єкт може прочитати інформацію в об’єкті, якщо його рівень авторизації дорівнює або вище рівня класифікації об’єкта;
(b) суб'єкт може ввести інформацію в об'єкті, якщо рівень його авторизації дорівнює або менше рівня класифікації об'єкта;
(c) доступ до інформації, що міститься в об'єкті, можливо, якщо це дозволено як правилами обов'язкового управління доступом, так і правилами додаткового управління доступом.
(7) Інформаційна система, яка працює в багаторівневому режимі, повинна бути в змозі точно вказати класифікація класифікованої інформації, що виходить з інформаційної системи та увімкнути класифікація класифікованої інформації, що надходить до інформаційної системи.
(8) У разі інформаційної системи, що керуються багаторівневим режимом безпеки і керуються класифікованою класифікацією "Top Secret", ідентифікаційною та аналізом прихованих каналів, необхідно проводити. Прихований канал – це неприпустимий зв’язок, за яким позначена інформація досягає несанкціонованої особи.
Системно-залежні вимоги безпеки для комп'ютерних мереж
(1) При передачі інформації через канал зв'язку, конфіденційність і цілісність буде забезпечено.
(2) Криптографічний захист є базовим засобом забезпечення конфіденційності інформації, коли передається через канал зв'язку.
(3) Важливим засобом забезпечення цілісності позначеної інформації при переведенні через канал зв'язку є достовірне виявлення як навмисних, так і випадкових змін до класифікації інформації.
(4) В залежності від середовища спілкування забезпечується надійна ідентифікації та автентифікації сторін спілкування, включаючи захист ідентифікаційної та автентифікації. Ця ідентифікація і автентиція перешкоджає передачі інформації, що зазначена.
(5) Підключення мережі під керуванням управління інформаційної системи до зовнішньої мережі не під контролем управління інформаційної системи забезпечується відповідним інтерфейсом безпеки для запобігання проникнення в інформаційні системи.
Вимоги до доступу до інформації та інформаційних систем
(1) Система інформації повинна забезпечити, що зазначена інформація, яка вимагається, доступна в зазначеному місці, в необхідному вигляді і в межах зазначеного часу.
(2) Щоб забезпечити безпечну роботу інформаційної системи, політика безпеки інформаційної системи вкажіть компоненти, які необхідно замінити без переривання інформаційної системи. Сфера необхідної мінімальної функціональності інформаційної системи повинна бути додатково визначена і компоненти, для яких повинна бути гарантована мінімальна функціональність інформаційної системи.
(3) Планування активів інформаційної системи та моніторинг вимог ємності здійснюється таким чином, щоб уникнути помилок, викликаних їх дефіцитом.
(4) Розроблено план відновлення заходів з інформаційної системи. Відновлення інформаційної системи в відомому захищеному стані може здійснюватися вручну адміністратором інформаційної системи або автоматично. Усі дії, здійснені для продовження інформаційної системи, як правило, будуть записані в аудиторських записах, захищених від несанкціонованої модифікації або знищення.
Системно залежні вимоги безпеки, отримані з аналізу ризику
(1) Аналіз ризиків повинен здійснюватися для визначення загроз активам інформаційної системи.
(2) При здійсненні аналізу ризику визначено активи інформаційної системи та виявлені загрози, які впливають на індивідуальні активи інформаційної системи. Зокрема, будуть розглянуті загрози, які викликають втрату функціональності або безпеки інформаційної системи.
(3) Після виявлення загроз, вразливі точки інформаційної системи будуть визначені таким чином, що кожна загроза виявлена як вразлива або постраждала.
(4) Аналіз ризику призведе до переліку загроз, які можуть перешкоджати інформаційній системі, що вказують на відповідний ризик.
(5) Заяви апробації підбирають на підставі аналізу ризику.
Можливість заміни комп'ютерних пристроїв безпеки
У разі непропорційних витрат на забезпечення безпеки інформаційної системи, засоби захисту комп'ютерів можуть бути замінені за допомогою персоналу або адміністративної безпеки, фізичної безпеки інформаційних систем або організаційних заходів. У разі заміни комп’ютерних пристроїв безпеки з альтернативним механізмом безпеки або групою механізмів, призначених для забезпечення функції безпеки:
(а) функція безпеки повинна бути повністю реалізована;
(b) збереження якості та рівня функції безпеки.
Вимоги до фізичної безпеки для інформаційних систем
(1) Активи інформаційної системи повинні бути розміщені в безпечному місці, в якому забезпечується захист інформації від несанкціонованого доступу, пошкодження та впливу. Цей простір визначається елементами захисту, що мають відповідні елементи керування доступом та перешкодами безпеки.
(2) Актив інформаційної системи повинні бути фізично захищені від загроз безпеки та екологічних ризиків.
(3) Розміщення активів інформаційної системи має бути таким, щоб не допустити несанкціонованої особи від читання позначеної інформації.
(4) Інфраструктура телекомунікації, яка передає послуги інформаційної системи, повинна бути захищена від можливості захоплення та пошкодження, що передається класифікацією.
(5) Фізична безпека інформаційних систем доповнюється заходами об’єкта або технічної безпеки.
Захист від паразитарного випромінювання
(1) Компоненти інформаційної системи, яка ручить класифіковану інформацію, повинні бути захищені від паразитичного електромагнітного випромінювання, яке може призвести до розкриття інформації.
(2) Рівень безпеки залежить від рівня класифікації класифікованої інформації, що керується інформаційною системою.
Вимоги до безпеки для ЗМІ
(1) Всі ЗМІ позначеної інформаційної системи повинні бути зареєстровані.
(2) Змінне середовище позначеної інформації також буде визначено в порядку, визначеному для позначеної інформації непаперової природи.
(3) Рівень класифікації змінного середовища позначеної інформації, яка була класифікована як "Top Secret" не повинна бути зменшена.
(4) Рівень класифікації змінного середовища позначеної інформації, яка була класифікована як "Секрете", "Конфіденційне" або "Зберегти" може бути зменшено лише якщо видалення позначеної інформації було здійснено в порядку, встановленому в пункті 5.
(5) Використовуються класифіковані дані з взаємозамінного середовища позначеної інформації, яка дозволяє зменшити її рівень класифікації, здійснюється таким чином, що неможливо або важко отримати залишкову інформацію за допомогою спеціальних лабораторних методів і засобів.
(6) Зруйнування середовища віднесення інформації до інформаційної системи здійснюється таким чином, що її не можна отримати в будь-якому випадку.
Захист інформації в окремих персональних комп'ютерах
(1) У державному органі або організації політика безпеки для окремих персональних комп'ютерів, які ручать позначену інформацію, можуть бути розроблені в однорідному порядку, зокрема для управління позначеною інформацією через текстові редактори, таблиці, системи баз даних з локальними базами або спеціалізованими програмами, встановленими на окремих персональних комп'ютерах.
(2) Система заходів, що використовуються для загального захисту окремого персонального комп’ютера, заснованого на концепції такого пристрою, як середа класифікованої інформації, що класифікована найвищим рівнем секретності позначеної інформації, що керується окремим персональним комп’ютером.
Вимоги до захисту мобільних та портативних інформаційних систем
(1) Для мобільних і портативних інформаційних систем аналіз ризиків також оцінять ризики, пов’язані з транспортними засобами для мобільних інформаційних систем і для портативних інформаційних систем з середовищами, в яких використовуються такі інформаційні системи.
(2) Захист компонента мобільного та портативної інформаційної системи, що містить позначену інформацію, засновану на концепції такого компонента, як середа класифікованих класифікованих класифікованих класифікованих класифікацій за цим компонентом.
Запит на тестування безпеки інформаційної системи
(1) Безпека інформаційної системи повинна бути перевірена шляхом тестування до сертифікації. Тестування здійснюється комісією, які члени не повинні бути упереджені щодо інформаційної системи та команди розвитку, яка бере участь у розробці інформаційної системи, маючи особистий інтерес до результатів тестування, або шляхом зв'язку з ними з командою розвитку до особистого або трудового та інших подібних відносин. Оголошення не застосовується для тестування.
(2) Результати випробувань показують, що функції безпеки повністю відповідають політиці безпеки інформаційної системи. Результати тестування будуть задокументовані. Помилки, виявлені під час тестування, повинні бути видалені та їх видалення, перевірені на наступних тестах.
Вимоги до безпеки для роботи інформаційної системи
(1) Забезпечення безпеки інформаційної системи необхідно постійно перевіряти та оцінювати, враховуючи фактичний стан інформаційної системи. Після оцінки впливу цієї зміни на безпеку інформаційної системи може бути здійснена часткова зміна інформаційної системи.
(2) цілісність програмного забезпечення та позначеної інформації повинна бути захищена від шкідливих програм.
У оперативній інформаційній системі можна використовувати тільки програмне забезпечення, яке було подано оператором інформаційної системи.
(4) Програмне забезпечення та класифікаційна інформація здійснюється в оперативній інформаційній системі. Резервування програмного забезпечення та позначеної інформації може зберігатися таким чином, що вона не може бути пошкоджена або знищена, коли система інформації порушується.
(5) Проведення службової діяльності в інформаційній системі зобов’язаний організовуватись таким чином, що її безпека не порушується. ЗМІ позначеної інформації інформаційної системи, доступні в процесі надання послуг, будуть видалені, а дистанційна діагностика закріплюється проти зловживань.
(6) Оцінювання записів перевірок здійснюється без затримки в момент, зазначеному в документі про безпеку інформаційної системи та коли виникає кризова ситуація. Аудиторські записи зберігаються за періодом, зазначеним у документі про безпеку інформаційної системи.
(7) Для того, щоб звернутися до служби безпеки інформаційної системи, необхідно здійснити заходи, спрямовані на внесення її до відома безпечна держава в документі про безпеку інформаційної системи. Документація про безпеку інформаційної системи включає наступні заходи:
(а) дія негайно слідує кризовій ситуації, спрямованій на мінімізацію збитків;
(b) дія за кризовою ситуацією, спрямованою на вирішення наслідків кризової ситуації, включаючи визначення персональної відповідальності за кожне завдання;
(c) як здійснюється система інформації;
(d) спосіб надання послуг;
(e) засоби забезпечення екстреної роботи інформаційної системи з переліком мінімальних функцій, які слід підтримувати;
(f) метод відновлення функціональності та забезпечення інформаційної системи в звичному стані.
(8) Перед знищенням інформаційної системи видалення, видалення або знищення інформації, яку здійснюється обробка інформаційної системи.
Вимоги до безпеки персоналу для роботи інформаційної системи
(1) Користувач інформаційної системи необхідно авторизуватися на роботу в інформаційній системі, а це авторизація повинна бути змінена при зміні його ролі в інформаційній системі або при припиненні інформаційної системи.
(2) Оператор інформаційних систем зобов’язаний забезпечити, що користувачі інформаційної системи навчаються у відповідності до заходів, встановлених у документі про безпеку інформаційної системи та коректне використання інформаційної системи.
Сертифікація інформаційних систем
Порядок та метод сертифікації інформаційної системи
(1) Заява про атестацію інформаційної системи подається в орган державної влади або організації, яка буде функціонувати інформаційні системи (далі – заявник).
(2) Додаток, зазначене в пункті 1, містить:
(а) короткий опис мети та обсягу інформаційної системи, в тому числі визначення її нормальних та мінімальних функцій;
(b) класифікацію класифікованої інформації, з якою буде оброблятися інформаційні системи;
(c) встановлення оперативного режиму безпеки інформаційної системи;
(d) ідентифікації постачальника інформаційної системи.
(3) Офіс складається з переліку допоміжних документів для перевірки компетентності інформаційної системи для обробки інформації (далі – «оцінка») та розкладу для їх подання заявником. Щоб здійснити оцінку, заявник завжди надає такі документи, що підтверджуються:
(а) політика безпеки інформаційної системи та результати аналізу ризиків;
(b) проектування безпеки інформаційної системи;
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Наказ Міністерства охорони здоров'я No 56 / 1999 Coll., про забезпечення безпеки виділених інформаційних систем, вимоги до сертифікації та сертифікації |
|---|---|
| Тип нормативного акту | Замовити |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 30.03.1999 |
|---|---|
| Чинний від | 30.03.1999 |
| Чинний до | - |
| Стан | Чинний |
Текст нормативного акту має інформаційний характер.
Коментарі 0