Процедура "Сертификация на системи за физическа сигурност на класифицираната информация за организационни единици извън Министерството на отбраната, Българската армия и структурите на пряко подчинение на министъра на отбраната"
ОТДЕЛ “КОМУНИКАЦИОННИ И ИНФОРМАЦИОННИ СИСТЕМИ И ЗАЩИТА НА ИНФОРМАЦИЯТА” |
КИСЗИ ПР 06-01/2013 |
|||
ПРОЦЕДУРА |
||||
"СЕРТИФИКАЦИЯ НА СИСТЕМИ ЗА ФИЗИЧЕСКА СИГУРНОСТ НА КЛАСИФИЦИРАНАТА ИНФОРМАЦИЯ ЗА ОРГАНИЗАЦИОННИ ЕДИНИЦИ ИЗВЪН МИНИСТЕРСТВОТО НА ОТБРАНАТА, БЪЛГАРСКАТА АРМИЯ И СТРУКТУРИТЕ НА ПРЯКО ПОДЧИНЕНИЕ НА МИНИСТЪРА НА ОТБРАНАТА" |
|
|||
1.Обект, цел и област на приложение 1.1.Обект Процедурата определя реда за сертификация на системи за физическа сигурност на класифицираната информация, изградени в организационни единици извън Министерството на отбраната, Българската армия и структурите на пряко подчинение на Министъра на отбраната, за съответствие с изискванията на „Методика за изграждане и оценка на средствата и системите за физическа сигурност на класифицираната информация” (приета от ДКСИ (тук и навсякъде в текста се разбира актуалната версия момента на извършване на сертификацията). 1.2.Цел на процедурата Целта на процедурата е да осигури описание на дейностите по планиране, организиране и изпълнение на сертификацията на системи за физическа сигурност на класифицираната информация по начин, който посочва с необходимата детайлност правата, отговорностите и връзките между персонала, който ги осъществява. 1.3.Област на приложение 1.3.1.Тази процедура се изпълнява от персонал на отдел „Комуникационни и информационни системи и защита на информацията” („КИСЗИ”) от дирекция „Развитие на системите C4I” („РС C4I”), изпълняващ дейности по сертификация на системи за физическа сигурност на класифицираната информация. 2. Права и отговорности Директорът на Института по отбрана има правото да подписва сертификати за съответствие на системи за физическа сигурност на класифицираната информация. Директорът на Института по отбрана има правото да утвърждава програми за изпитване и методики за изпитване на системи за физическа сигурност на класифицираната информация. Директорът на дирекция „Развитие на системите C4I” координира изпълнението на дейностите по сертификация на системи за физическа сигурност на класифицираната информация. Директорът на дирекция „Развитие на системите C4I” има право да възлага изпълнение на дейности по сертификация на системи за физическа сигурност на класифицираната информация и на персонал от други отдели на дирекцията. Началникът на отдел „Комуникационни и информационни системи и защита на информацията” отговаря за планиране и изпълнение на дейностите по сертификация на системи за физическа сигурност на класифицираната информация в съответствие с документираната система за управление. Личният състав на отдел „Комуникационни и информационни системи и защита на информацията” участва в планирането и изпълнението на дейностите по сертификация на системи за физическа сигурност на класифицираната информация. |
3.Връзка с други документи
3.1. Позоваване
3.1.1. Постановление № 54 на Министерския съвет от 2010 г. за приемане на Устройствен правилник на Министерството на отбраната и за определяне на структури на пряко подчинение на министъра на отбраната (обн. ДВ, бр. 27 от 2010 г.).
3.1.2.Правилник за устройството и дейността на Института по отбрана (обн. ДВ бр. 44/2011г.).
3.1.3. Заповед на министъра на отбраната на Република България № ОХ-230/27.03.2012 г.
3.1.4. Методика за изграждане и оценка на средствата и системите за физическа сигурност на класифицираната информация (приета от ДКСИ), (по-нататък в текста и Методика на ДКСИ).
3.1.5. БДС EN ISO 9000 Системи за управление на качеството. Основни принципи и речник.
3.1.6. БДС EN ISO/IEC 17000 Оценяване на съответствието. Речник и общи принципи.
3.1.7. БДС EN ISO/IEC 17020 Оценяване на съответствието. Изисквания за дейността на различни видове органи, извършващи контрол (ISO/IEC 17020).
3.1.8. Заповед № 159/24.06.2013 г. на директора на Института по отбрана.
3.2. Препратки
КИСЗИ ПР 04-01/2013 Рекламации и възражения при сертификация на системи за физическа сигурност на класифицираната информация
4. Термини и определения
Използваните в текста термини са в съответствие с посочените в стандарт БДС EN ISO/IEC 17000 „Оценяване на съответствието. Речник и общи принципи” и БДС EN ISO 9000 „Системи за управление на качеството. Основни принципи и речник” и Методика за изграждане и оценка на средствата и системите за физическа сигурност на класифицираната информация.
4.1. Системи за физическа сигурност на класифицираната информация
Терминът „Системи за физическа сигурност на класифицираната информация” включва системи за контрол на физическия достъп, както следва:
- Алармени системи против проникване;
- Системи за видеонаблюдение;
- Системи за контрол на достъп;.
- Защита на периметъра.
4.2. Оценяване на съответствие
Доказване, че определени изисквания , отнасящи се до продукт, процес, система, лице или орган, са изпълнени (БДС EN ISO/IEC 17000, точка 2.1.).
4.3. Принципи на оценяване на съответствието; Функционален подход
Оценяването на съответствие е последователност от три функции , които удовлетворяват необходимост или искане да се докаже, че определени изисквания са изпълнени:
- Избор;
- Определение;
- Преглед и атестация (БДС EN ISO/IEC 17000, Приложение А).
4.4. Атестация
Даване на потвърждение, основано на решение, взето след преглед, доказващо, че са изпълнени определени изисквания (БДС EN ISO/IEC 17000, точка 5.2.).
4.5. Сертификация
Атестация, извършена от трета страна, отнасяща се за продукти, процеси, системи или лица (БДС EN ISO/IEC 17000, точка 5.5.).
4.6. Контрол
Изследване на проекта на продукт, на продукта, процеса или монтажа и определяне на тяхното съответствие със специфични изисквания или на основата на професионална преценка спрямо общи изисквания (БДС EN ISO/IEC 17000, точка 5.5.).
4.7. Изпитване
Определяне на една или повече характеристики, съгласно процедура (по ISO 9000:2007, т. 3.8.3.).
4.8 Оценяване
Процес по оценка на система за физическа сигурност на класифицираната информация.
4.9. Оценител
Лице, на което е възложено самостоятелно или като част от екип по оценяване да извърши оценяване.
4.10. Водещ оценител
Оценител, който носи цялата отговорност за оценяването.
ЗАБЕЛЕЖКА: Процесите по оценяване и сертификация обикновено се означават с общия термин сертификация.
5. Разпространение на процедурата
Настоящата процедура се разпространява до персонала на дирекция „Развитие на системите C4I”, изпълняващ дейности по сертификация на системи за физическа сигурност на класифицираната информация.
6. Описание на дейностите
Сертификацията на системи за физическа сигурност на класифицираната информация се извършва за установяване на съответствие с изискванията на Методиката на ДКСИ.
Процесът по сертификация (оценяване и сертификация) на системи за физическа сигурност на класифицираната информация започва да тече от момента на получаване в Института по отбрана на заявка от организационните единици извън системата на Министерството на отбраната, Българската армия и структурите на пряко подчинение на Министъра на отбраната и приключва в момента на получаване на сертификат от заявителя или в момента на утвърждаване на предложение да не се издава сертификат, или в момента на утвърждаване на решение по възражение на заявител срещу отказ за издаване на сертификат (точка 6.2. от процедура КИСЗИ ПР 04-01/2013).
Процесът на сертификация на система за физическа сигурност на класифицираната информация включва следните етапи, описани подробно по-нататък в процедурата:
- Заявяване за сертификация;
- Подготовка за оценяване;
- Оценяване;
- Доклад от оценяването и вземане на решение за сертификация;
- Издаване на сертификат.
6.1. Заявяване за сертификация
От организационните единици извън Министерството на отбраната, структурите на пряко подчинение на Министъра на отбраната и Българската армия, е необходимо да се подаде Заявка (Ф КИСЗИ 06/01/01) за извършване на сертификация на система за физическа сигурност на класифицираната информация до директора на Института по отбрана.
6.2. Подготовка за оценяване
След получаване на попълнената заявка, тя се регистрира в „Регистър на заявките” (Ф КИСЗИ 06/01/02), който се поддържа в електронен вид. Директорът на дирекция „Развитие на системите C4I” и началникът на отдел „Комуникационни и информационни системи и защита на информацията” съвместно извършват преглед на информацията в заявката и вземат решение за това дали да се пристъпи към извършване на сертификация на системата за физическа сигурност на класифицираната информация.
- случай на положително решение писмено се уведомява ръководството на съответната организационна единица и се пристъпва към подготовка и сключване на договор за сертификация.
- случай на отрицателно решение писмено се уведомява ръководството на съответната организационна единица, като се посочват мотивите за отказа.
6.2.1. Определяне на цената на сертификацията
Цената на сертификацията се определя на основание заповед № 159/24.06.2013 г. на директора на Института по отбрана.
6.2.2. Подготовка и сключване на договор
След определяне на цената на сертификацията началникът на отдел “Комуникационни и информационни системи и защита на информацията” възлага на експерт от отдела подготовката на проекта на договора (Ф 06/01/03 - препоръчителна), който се предоставя на организацията за предварително одобрение. Проектът на договора се съгласува в Института по отбрана съгласно установения ред , подписва се първо от ръководителя на организацията и след това от директора на Института по отбрана.
6.2.3. Анализ на заявката за сертификация
- съответствие с информацията в заявката началникът на отдел „Комуникационни и информационни системи и защита на информацията” организира определянето на основните параметри на подлежащите за изпълнение дейности, като има предвид таблицата по-долу, без да се ограничава от нея.
Информация от заявката | Използва се за: |
Основни технически и количествени данни на системата за физическа сигурност на класифицираната информация, подлежаща на сертификация |
Определяне на състава и квалификацията на екипа за оценка и водещия оценител |
Изпълнение на процеса по създаване (проектиране и изграждане) на системата в условията на внедрена система за управление на качеството по БДС EN ISO 9001 или изпълнение без внедрена система за управление на качеството |
Определяне на обема и дълбочината на процеса на оценяване на създаването (проектирането и изграждането) на системата за физическа сигурност на класифицираната информация |
Наличие на сертификати/декларации за съответствие с изискванията на стандарти за съставните части на системата за физическа сигурност на класифицираната информация |
Предварителна оценка на възможността системата да съответства на изискванията на Методиката на ДКСИ |
Проведени изпитвания на системата за физическа сигурност на класифицираната информация |
Определяне на обема и вида на изпитванията, при необходимост от такива |
6.2.4. Определяне на необходимите дни за оценка
Необходимите дни се определят на основата на извършения анализ и съгласно Заповед № ____/___.___.2013 г. на директора на Института по отбрана.
6.2.5. Определяне на екипа за оценка и водещ оценител
Началникът на отдел „Комуникационни и информационни системи и защита на информацията” определя екип за оценка и водещ оценител.
След определянето му водещият оценител е длъжен да се запознае със заявката.
Всички следващи дейности, свързани с конкретната оценка се организират и изпълняват от и под ръководството на водещия оценител, който носи цялата отговорност за изпълнението на оценката в пълен обем и съгласно установените правила.
6.2.6. Определяне на необходимостта от изпитване и състава на изпитването
Водещият оценител, на основание на данните в заявката, преценява необходимостта от изпитване.
Водещият оценител прави преглед на техническите параметри, по които трябва да се установи съответствие на системата за физическа сигурност на класифицираната информация с изискванията на Методиката на ДКСИ.
6.3. Оценяване
Оценяването се извършва като се спазват изискванията на Методиката на ДКСИ.
6.3.1. Подготовка и административна организация
Водещият оценител трябва да изпълни следното, без да се ограничава от него:
- да осъществи контакт със съответно определено лице от организационната единица и да уточни всички подробности по извършване на оценката;
- да организира изготвянето на Програма за оценяване на системата за физическа сигурност на класифицираната информация (Ф КИСЗИ 06/01/04) и предоставянето й за предварително съгласуване с организационната единица;
- да инструктира екипа за оценка, като запознае всеки оценител с общата и конкретната за оценителя част от програмата;
- да организира издаването на заповеди за командировка за членовете на екипа (при необходимост).
6.3.2. Проверка на документацията на системата за физическа сигурност на класифицираната информация
При проверката на документацията се прави оценка за:
- състава на документацията за системата за физическа сигурност на класифицираната информация (проектна и др.);
- съответствието на техническите решения с изискванията на Методиката на ДКСИ;
- наличието на документи, доказващи съответствие на съставните части с изискванията на Методиката на ДКСИ (съответните стандарти);
- съответствието на документацията с изискванията на действащите стандарти за разработването й.
6.3.3. Оценка на процеса на изграждане на системата за физическа сигурност на класифицираната информация
Провежда се на място в организационната единица.
Извършва се оценка на съответствието на изградената система за физическа сигурност на класифицираната информация с изискванията на Методиката на ДКСИ и с документацията.
6.3.4. Изпитване на системата за физическа сигурност на класифицираната информация (при необходимост) и анализ на резултатите
Изпитването на системата за физическа сигурност на класифицираната информация се извършва по програма, в която са описани обема, реда и продължителността на изпитването и методика, в която са изложени методите за провеждане на изпитването.
Програмата за изпитване и методиката за изпитване се изготвят от Института по отбрана и се утвърждават от директора на Института по отбрана.
Изпитването на системата за физическа сигурност на класифицираната информация се извършва на място.
По преценка на екипа могат да бъдат признати резултати от предишни изпитвания, както и да бъдат изискани допълнителни такива.
6.3.5. Действия при установяване на несъответствия
- случай на установяване на несъответствия по време на извършване на дейностите, посочени в точки 6.3.2, 6.3.3. и 6.3.4. на процедурата, се попълва отчет за всяко несъответствие (Ф КИСЗИ 06/01/05). Копия на отчетите за несъответствия се предоставят на организационната единица.
Изпълнението на коригиращите действия по несъответствията може да започне веднага. Когато определено коригиращо действие бъде изпълнено в рамките на оценката, водещия или съответния оценител, който е документирал несъответствието, прави оценка на изпълнението и го закрива чрез попълване на съответната част от формата.
При документиране на несъответствия, според които системите за физическа сигурност на класифицираната информация не отговарят на изискванията на Методиката на ДКСИ, се назначава допълнителна оценка. Решението и срокът за провеждане на допълнителна оценка се отразяват в протокол, подписан от водещия оценител и ръководителя на организационната единица или негов упълномощен представител.
6.4. Изготвяне на доклад от оценяването и вземане на решение за сертификация
Докладът от оценяването се изготвя във форма (Ф КИСЗИ 06/01/06). Неразделна част от доклада са отчетите за несъответствия, ако има такива (включително и закритите) и протокола за провеждане на допълнителна оценка (в случай, че е изготвен такъв).
Докладът се предоставя на началника на отдел „Комуникационни и информационни системи
- защита на информацията” за преглед и предложение за издаване на сертификат (ФКИСЗИ 06/01/07) или за провеждане на допълнителна оценка, или предложение да не се издава сертификат.
Директорът на дирекция „Развитие на системите C4I” утвърждава предложението за провеждане на допълнителна оценка или за издаване на сертификат или предложението да не се издава сертификат. Копие на доклада се изпраща на организационната единица.
Допълнителната оценка се провежда, след като ръководителят на организационната единица или негов упълномощен представител писмено декларира, че несъответствията са отстранени, но не по-късно от 6 (шест) месеца от датата на утвърждаване на предложението за провеждане на допълнителна оценка.
При невъзможност за отстраняване на несъответствията в срок, не по-голям от 6 (шест) месеца от датата на утвърждаване на предложението за провеждане на допълнителна оценка, процедурата по оценката на системата за физическа сигурност на класифицираната информация се прекратява, за което писмено се уведомява ръководството на организационната единица.
6.5. Издаване на сертификат
Срокът за издаване на сертификат е 30 (тридесет) календарни дни от утвърждаване на предложението за издаване на сертификат.
На директора на Института по отбрана се предоставя за преглед доклада от оценяването и сертификат за системата за физическа сигурност на класифицираната информация. При предложение за издаване на сертификат директора на Института по отбрана подписва съответния сертификат.
Сертификатът се издава със срок на валидност 5 (пет) години от датата на издаване.
Сертификатът се вписва в Регистър на сертификатите (Ф КИСЗИ 06/01/08).
7. Приложения
Приложение 1: Ф КИСЗИ 06/01/01 Заявка за сертификация
Приложение 2: Ф КИСЗИ 06/01/02 Регистър на заявките
Приложение 3: Ф КИСЗИ 06/01/03 Проект на договор (препоръчителен)
Приложение 4: Ф КИСЗИ 06/01/04 Програма за оценяване
Приложение 5: Ф КИСЗИ 06/01/05 Отчет за несъответствие