Аттестат соответствия требованиям безопасности информации

Кому нужна аттестация объектов информатизации

Если Вы не уверены, нужна ли Вашему объекту информатизации аттестация по требованиям безопасности информации, рекомендуем ознакомиться со следующей информацией.

Основной документ, регламентирующий процесс аттестации — ГОСТ РО 0043 – 003 – 2012  (ДСП), определяет понятия добровольной и обязательной аттестации:

«2) Аттестация объектов информатизации может носить добровольный или обязательный характер.

Добровольная аттестация осуществляется по инициативе заявителя (владельца информации или владельца объекта информатизации) на условиях договора между заявителем и органом по аттестации. Добровольная аттестация может осуществляться для установления соответствия системы защиты информации объекта информатизации требованиям безопасности информации, установленным национальными стандартами и владельцем информации или владельцем объекта информатизации.

Обязательная аттестация проводится только в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти, и исключительно на соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленным федеральными законами, нормативными правовыми актами Президента Российской Федерации, Правительства Российской Федерации, уполномоченных федеральных органов исполнительной власти.»

Далее в хронологическом порядке рассмотрим выдержки из нормативных документов, проливающие свет на необходимость обязательной аттестации.

Положение по аттестации объектов информатизации по требованиям безопасности информации, Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г. гласит:

«1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.»

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) (ДСП), утвержденные приказом Гостехкомиссии России от 30.08.2002 №282. Этот документ носит обязательный характер для объектов информатизации, осуществляющих обработку государственных информационных ресурсов, и рекомендован для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.):

«2.17 Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями настоящего документа.»

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённые приказом ФСТЭК России от 11 февраля 2013 г. N 17:

«3. Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении …

1. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: … аттестация информационной системы по требованиям защиты информации …»

Руководящие документы ФСТЭК по защите ключевых систем информационной инфраструктуры (КСИИ) (ДСП) предусматривают аттестацию как обязательное мероприятие при вводе КСИИ в действие.

Принадлежность объекта информатизации к КСИИ устанавливается на основании секретного документа «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий» (утв. Секретарем Совета Безопасности от 08.11.2005)».

Кроме случаев, когда необходимость аттестации обусловлена вышеупомянутыми нормативными документами, регулирующие органы государственной власти (ФСТЭК России, ФСБ России и др.) требуют у лицензиатов и соискателей лицензий на определённые виды деятельности выполнения требований соответствующих постановлений правительства РФ.

Для лицензиатов и соискателей лицензии ФСТЭК России по технической защите конфиденциальной информации процесс лицензирования регламентирует Постановление Правительства РФ от 03.02.2012 №79

«8. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы:

г) копии технических паспортов и аттестатов соответствия защищаемых помещений требованиям безопасности информации; д) копии аттестатов соответствия автоматизированных систем требованиям безопасности информации»

Для лицензиатов и соискателей лицензии ФСБ России по разработке и производству средств защиты конфиденциальной информации – Постановление Правительства РФ от 03.03.2012 №171

«9. Для получения лицензии соискатель лицензии направляет или представляет в лицензирующий орган следующие документы:

г) копии аттестатов соответствия защищаемых помещений требованиям по безопасности информации… д) копии аттестатов соответствия средств обработки информации требованиям по безопасности информации…»

Для лицензиатов и соискателей лицензии ФСБ России на осуществление деятельности, связанной с шифровальными (криптографическими) средствами – положение, утверждённое Постановлением Правительства РФ от 16.04.2012 №313

«6. Лицензионными требованиями при осуществлении лицензируемой деятельности являются:

в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность

1. Для получения лицензии соискатель лицензии представляет (направляет) в лицензирующий орган следующие копии документов и сведения:

и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации»

Аттестация является самой доступной формой подтверждения выполнения требований Постановления №313 и не вызывает у регулятора никаких сомнений в возможности соискателя обеспечивать конфиденциальность информации.

Если по отношению к Вашему объекту информатизации процедура обязательной аттестации не установлена, Вы можете заказать добровольную аттестацию (рекомендуется в т.ч. для информационных систем персональных данных) в целях:

• независимой оценки сторонней организацией степени защищённости средств и систем, обрабатывающих конфиденциальную информацию;
• установления соответствия системы защиты информации объекта информатизации требованиям безопасности информации, установленным национальными стандартами, а также владельцем информации или объекта информатизации;
• официального подтверждения эффективности системы защиты информации, реализованной на объекте информатизации.

Заказать аттестацию объектов информатизации

Аттестация АРМ по требованиям информационной безопасности

Ни для кого не секрет, что для обеспечения защиты информации в государственных информационных системах требуется выполнить ряд обязательных мероприятий. Среди них разработка технического задания на создание системы защиты информации, проектирование и внедрение системы защиты информации. Еще одним важным и обязательным мероприятием является аттестация информационной системы по требованиям безопасности. Федеральный закон № 152-ФЗ «О персональных данных», ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и другие подзаконные нормативные документы регулирующих органов (ФСТЭК России, ФСБ России) устанавливают довольно серьезные требования к защите информации. Для того чтобы подтвердить, что информационная система или выделенный компьютер соответствует требованиям стандартов и нормативно – методических документов по информационной безопасности проводится аттестация. Целью проведения работ является приведение автоматизированного рабочего места в соответствии с требованиями по безопасности конфиденциальной информации ФСТЭК России. Аттестация объекта информатизации может включать в себя следующие этапы:

• подготовка объекта информатизации к аттестационным испытаниям;
• проведение аттестационных испытаний;
• подготовка отчетной документации по результатам аттестационных испытаний.

Подготовка объекта информатизации к аттестационным испытаниям включает:

• поставку, установку и настройку необходимых сертифицированных средств защиты информации;
• разработку технической документации на объект информатизации;
• разработку программы и методики проведения аттестационных испытаний АС.

Проведение аттестационных испытаний включает:

• проверку объекта информатизации на соответствие организационно-техническим требованиям по защите информации;
• испытания АС на соответствие требованиям по защите информации от утечки по техническим каналам;
• испытания АС на соответствие требованиям по защите информации от НСД.

Подготовка отчетной документации по результатам аттестационных испытаний включает:

• разработку протоколов оценки защищенности АС;
• разработку заключения по результатам аттестационных испытаний;
• оформление и выдача Аттестата соответствия.

Повторная аттестация Аттестат соответствия выдается владельцу аттестованного объекта информатизации на 3 года. По завершении данного срока или при существенных изменениях условий и технологии обработки защищаемой информации требуется проведение повторной аттестации. Срок проведения работ с поставкой средств защиты и установкой не превышает 20 рабочих дней. Цена аттестации одного арм по требованиям безопасности информации составляет 90 000 руб. В указанную сумму не включены средства защиты информации:

• Подсистема защиты информации от несанкционированного доступа включая установочный комплект.
• Подсистема антивирусной защиты включая установочный комплект.

Перечень документов, на основании и в соответствии с которыми оказываются услуги:

• Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 31.12.2014) «Об информации, информационных технологиях и о защите информации» ;
• «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Гостехкомиссия России, 2001 г.;
• «Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации», Гостехкомиссия России, 2002 г.;
• «Временная методика оценки защищенности конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы их коммуникации», Гостехкомиссия России, 2002;
• «Положение по аттестации объектов информатизации по требованиям безопасности информации», Гостехкомиссия России, 1994 г.;
• РД «Защита от несанкционированного доступа к информации, ч. 1. «Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», Гостехкомиссия России, 1999 г.;
• РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации», Гостехкомиссия России, 1998 г.;
• РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от НСД к информации», Гостехкомиссия России, 1998 г.

Аналитика

Защита информации является одним из наиболее сложных, востребованных направлений информационных технологий и одним из приоритетных направлений в развитии современного информационного общества в Российской Федерации. Проблемам обеспечения информационной безопасности и повсеместному внедрению безопасных информационных технологий в последние годы уделяется все больше внимания, в том числе и на высшем уровне. Следует обратить внимание, что процессы обеспечения информационной безопасности и защиты информации стоят особняком в новой приоритетной программе «Цифровая экономика Российской Федерации» и являются её неотъемлемой частью.

ФГБУ «ЦЭКИ» постоянно взаимодействует с представителями органов государственной власти, отвечающих за формирование и подготовку мероприятий по информатизации, для которых аттестация объектов информатизации по требованиям безопасности информации не является строго формализованным процессом, в связи с чем возникают ошибки. Подобного рода ситуация в сочетании с неумелым использованием терминологического аппарата по информационной безопасности в частности, и ИТ в целом, приводит к отрицательной экспертной оценке мероприятий по информатизации, направленных на обеспечение информационной безопасности и защиту информации.

В данной статье мы попытаемся разобрать основные положения по аттестации объектов информатизации по требованиям безопасности информации и ответим на самые часто задаваемые вопросы представителей органов государственной власти Российской Федерации.

Термин «аттестация» достаточно широко распространен не только в сфере информационных технологий и информационной безопасности, но и в других отраслях. В настоящей статье нас интересует аттестация по требованиям безопасности информации. В широком смысле под аттестацией чего-либо по требованиям безопасности информации понимают комплекс организационно-технических мероприятий, направленных на получение объективных свидетельств выполнения требований нормативно-правовых, методических и иных документов, стандартов по информационной безопасности, действие которых распространяется на объект аттестации.

Необходимо отметить, что словосочетание «аттестация чего-либо» не является случайным. При глубоком рассмотрении процесса аттестации становится очевидно, что к объектам аттестации по требованиям безопасности могут относиться:

• выделенные и защищаемые помещения;
• автоматизированные и информационные системы;
• средства вычислительной техники.

Аттестация средств вычислительной техники в настоящее время встречается достаточно редко в составе мероприятий по информатизации, в отличие от аттестации автоматизированных и информационных систем. С позиции ГОСТ Р 53114-2008 под аттестацией автоматизированных систем следует понимать процесс комплексной проверки выполнения заданных функций автоматизированной системы по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функции по обработке защищаемой информации на конкретном объекте информатизации.

Таким образом, термин «аттестация» ограничен конкретными рамками. При проведении аттестации оценивается совокупность всех средств защиты информации, входящих в состав системы защиты информации, а также конкретные условия их эксплуатации. В результате проведения комплекса мероприятий (в случае их положительного исхода) по аттестации выдается специальный документ - «Аттестат соответствия», который является основным свидетельством, подтверждающим выполнение требований по безопасности информации на аттестованном объекте.

К основным документам, регламентирующим порядок проведения аттестации объектов информатизации, относятся:

• «Положение по аттестации объектов информатизации по требованиям безопасности информации», Гостехкомиссия России, 25.11.1994 г.;
• ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
• ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики испытаний»;
• «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), Гостехкомиссия России, 30.08.2002 г.;
• Руководящие документы Гостехкомисии России по защите информации от НСД.

С точки зрения законодательства Российской Федерации в нашей стране действует единая стандартизированная система аттестации, которую обеспечивает уполномоченный федеральный орган — ФСТЭК России. Данный орган государственной власти в рамках своих полномочий осуществляет лицензирование организаций и аккредитацию органов по аттестации, разработку и утверждение нормативных правовых актов, устанавливающих требования безопасности информации и порядок аттестации, рассмотрение апелляций в спорных случаях, осуществление государственного контроля (надзора) за соблюдением порядка аттестации и ведение сводного реестра аттестованных объектов. В свою очередь органами по аттестации являются предприятия, учреждения и организации, а также специальные центры ФСТЭК России, аккредитованные ФСТЭК России и получившие специальную лицензию на проведение данного вида работ. Аттестация проводится по требованию и в интересах конкретных заявителей (в нашем случае органов государственной власти и/или их подведомственных учреждений), которые осуществляют мероприятия по подготовке системы защиты информации объектов информатизации и самого объекта информатизации к прохождению аттестации.

Достаточно частое заблуждение, с которым мы сталкиваемся, это понимание аттестации как работы по защите информации. Следствием данного ошибочного суждения является утверждение, что аттестация защищает информацию. Важно понимать, что сами работы по аттестации не защищают обрабатываемую информацию, они лишь проверяют в каком объеме и как защитные меры реализованы, фиксируют состояние, при котором указанные меры способны обеспечивать заданные характеристики защищенности объекта.

Процесс аттестации объектов информатизации по требованиям безопасности информации может носить добровольный или обязательный характер. Для того чтобы разобраться в нюансах обязательности проведения аттестации необходимо обратиться к нормативным документам по информационной безопасности, действующим в Российской Федерации. Если не вдаваться в подробности и опустить анализ данных документов с приведением конкретных выдержек и положений, то на сегодняшний день аттестация по требованиям безопасности информации является обязательной, если:

• происходит обработка сведений, составляющих государственную тайну или проводятся секретные переговоры;
• осуществляется эксплуатация экологически опасных объектов;
• осуществляется проведение секретных переговоров;
• осуществляется защита информации в государственной или муниципальной информационной системе;
• в системе осуществляется обработка государственных информационных ресурсов;
• осуществляется ввод в эксплуатацию объектов ключевых систем информационной инфраструктуры;
• осуществляется защита информации значимых объектов критической информационной инфраструктуры Российской Федерации.

Во всех остальных случаях аттестация по требованиям безопасности информации носит добровольный характер и осуществляется по инициативе заявителя (владельца информации или владельца объекта информатизации) на условиях и в порядке договорных отношений между заявителем и органом по аттестации. Аттестация проводится только очно, с выездом органа по аттестации к аттестуемому объекту, никакой заочной, дистанционной и иной аттестации нет. Аттестация проводится с учетом эксплуатационных характеристик аттестуемого объекта и совокупного объема и документированной информации по нему. Состав данной информации может существенно варьироваться и отличаться от объекта к объекту, поэтому заострять внимание на полном составе и названиях типовых документов, подготавливаемых и передаваемых при аттестации, мы не будем. Однако рассмотреть общий порядок действий, осуществляемых при проведении аттестации, следует.

Если пропустить процессы определения необходимости аттестации, проведения соответствующих конкурсных процедур и заключения договора на аттестацию, общий порядок действий, осуществляемых при проведении аттестации будет сводиться к:

• определению, выборке и согласованию схемы проведения аттестации с конечным заказчиком работ (органом государственной власти и/или подведомственным учреждением);
• проведению предварительного ознакомления с аттестуемым объектом и сбору недостающей информации для органа по аттестации;
• испытанию в соответствующих лабораториях несертифицированных средств защиты информации, используемых на аттестуемом объекте;
• разработке программы и методики аттестационных испытаний и её согласование с заказчиком, включая определение:
  • продолжительности аттестации;
  • методики проведения работ;
  • состава аттестационной комиссии;
  • необходимости использования контрольно-измерительной аппаратуры и специализированных тестовых средств.

В ходе проведения аттестационных испытаний, осуществляется:

• анализ организационной и функциональной инфраструктуры объекта, существующих информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, средств и мер, входящих в состав действующей на объекте системы защиты информации, разработанной документации и её соответствия требованиям нормативно-правовой, методической и иной документации по защите информации, действующей в Российской Федерации;
• определение правильности категорирования объектов вычислительной техники и проведенной классификации ИС/АС;
• определение правильности выбора и применения средств и мер защиты информации;
• анализ результатов сертификационных испытаний несертифицированных средств защиты информации;
• проверка уровня подготовки и компетенции персонала, обеспечивающего выполнение требований по безопасности информации, включая распределение функций и обязанностей по защите информации между конкретными работниками;
• проведение соответствующих комплексных проверок (в соответствии с разработанной программой и методикой) объекта, в реальных условиях его эксплуатации, в том числе путем номинального выполнения основных функциональных возможностей объекта с выявлением выполнения установленных требований безопасности информации на всех этапах технологического процесса обработки защищаемой информации;
• оформление протоколов испытаний и заключения по результатам проведения аттестационных испытаний, с конкретными рекомендациям по устранению допущенных нарушений и приведению системы защиты информации в соответствии с установленными требованиями, включая рекомендации по контролю за функционированием объекта;
• оформление, регистрация и выдача аттестата соответствия (в случае положительного результата проведения испытаний).

Рассмотрим два, на наш взгляд, самых основных документа, оформляемых по завершению аттестационных испытаний — протокол аттестационных испытаний и непосредственно аттестат соответствия. Начнем в хронологическом порядке, а именно с протокола. В общем виде протокол проведения аттестационных испытаний должен включать в себя:

• вид испытаний;
• объект испытаний;
• дату и время проведения испытаний;
• место проведения испытаний;
• перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);
• перечень нормативно-методических документов, в соответствии с которыми проводились испытания;
• методику проведения испытания (краткое описание);
• результаты измерений;
• результаты расчетов;
• выводы по результатам испытаний.

Аттестат соответствия в ошибочном представлении большинства является неким листом установленного образца, содержащим определенную сжатую информацию, размещенную на специализированном бумажном носителе с защитными знаками. Указанное заблуждение пошло по аналогии с иными существующими лицензиями и сертификатами. Однако подлинный аттестат соответствия представляет собой документ, выполненный по определенным требованиям и нормам на обычном бумажном носителе формата А4, который содержит:

• регистрационный номер;
• дату выдачи;
• срок действия;
• наименование, адрес и местоположение объекта информатизации;
• категорию объекта информатизации;
• класс защищенности автоматизированной системы;
• гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;
• организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
• номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;
• перечень руководящих документов, в соответствии с которыми проводилась аттестация;
• номер и дату утверждения заключения по результатам аттестационных испытаний;
• состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;
• организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;
• перечень действий, которые запрещаются при эксплуатации объекта информатизации;
• список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.

Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации. Стоит отметить, что в соответствии с Приказом ФСТЭК России №17 изменен срок действия аттестата соответствия. В настоящее время срок действия является ограниченным и не может превышать 5 лет с момента выдачи.

Теперь, рассмотрев и формализовав основные понятия по аттестации объектов информатизации по требованиям безопасности информации, мы перейдем к разъяснению типовых, наиболее часто встречавшихся вопросов по аттестации, сформулированных в процессе взаимодействия с органами государственной власти.

Вопрос о случаях необходимости переаттестации государственной информационной системы (ГИС), на наш взгляд, является самым часто задаваемым. С точки зрения приказа ФСТЭК России №17 переаттестация требуется в случаях:

• окончания действия аттестата ИС (максимальный срок действия не может превышать 5 лет);
• повышения класса защищенности ИС;
• изменения состава угроз безопасности информации. В данном случае аттестат не отзывается и действует. Решение о необходимости проведения дополнительных аттестационных испытаний принимает орган по аттестации, выдавший действующий аттестат, на основе той информации, которую ему предоставляет орган государственной власти;
• изменения проектных решений, реализованных при создании средств защиты информации. Аттестат также не отзывается и действует. Решение о необходимости проведения дополнительных аттестационных испытаний принимает орган по аттестации, выдавший действующий аттестат, на основе предоставленной органом государственной власти информации.

Вторым по частоте возникновения является ряд достаточно схожих по своей сути вопросов, ответить на которые в общем виде является достаточно сложной и нетривиальной задачей, особенно для некоторых случаев. Для понимания сути вопросов, представим себе ситуацию, когда орган государственной власти планирует проведение работ по развитию ГИС, однако общего понимания об изменении системы с точки зрения вопросов информационной безопасности достаточно мало. Как мы можем определить, требуются ли какие-либо работы связанные с защитой информации и аттестацией? Ранее отмечалось, что данная ситуация не является однозначной, но в целом мы можем судить об указанной необходимости по наличию следующих маркеров, содержащихся в мероприятии:

• наличие принципиальных изменений в составе обрабатываемой информации и объектов защиты;
• изменение масштаба ГИС (объектовый, региональный, федеральный);
• изменение уровня значимости информации (высокий, средний, низкий);
• дополнительная или повторная классификация ГИС;
• внесение изменений в модель угроз и/или модель нарушителя;
• изменение проектных технических решений по средствам защиты информации.

Замыкает тройку лидеров вопрос, смысл которого можно сформулировать следующим образом: «Для каких случаев необходимо наличие аттестата, а для каких сертификата?». Несмотря на тот факт, что процессы сертификации и аттестации являются принципиально разными и имеют разные цели и результаты, сертификаты и аттестаты постоянно путаются. С целью исключения ошибок, необходимо учитывать, что в отличие от аттестации сертификации подлежат непосредственно сами средства защиты информации.

Таким образом, мы рассмотрели общие вопросы по аттестации объектов информатизации, привели и систематизировали общие сведения по данному процессу, а также дали дополнительные разъяснения по наиболее часто встречающимся вопросам при формировании мероприятий по информатизации.

Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации

Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимают автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения, предназначенные для обработки и передачи информации, подлежащей защите, вместе с помещениями, в которых они установлены, а также помещения, предназначенные для ведения конфиденциальных переговоров. [1]

То есть к объектам информатизации относятся объекты ТСПИ (технических систем передачи информации).

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов иных нормативно — технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции. [1]

Организационную структуру системы аттестации объектов информатизации образуют (рис. 1):

1                    федеральный орган по сертификации средств и аттестации объектов информатизации по требованиям безопасности информации;

2                    органы по аттестации объектов информатизации по требованиям безопасности информации;

3                    испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

4                    заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

Рис. 1. Организационная структура системы аттестации объектов информатизации

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам: обеспечения безопасности информации [4] в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;противодействия иностранным техническим разведкам на территории Российской Федерации; обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации; защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств [5]; осуществления экспортного контроля. [2]

Федеральный орган по сертификации и аттестации осуществляет следующие функции [1]:

-                   организует обязательную аттестацию объектов информатизации;

-                   создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

-                   устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

-                   организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

-                   аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

-                   осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;

-                   организует периодическую публикацию информации по функционированию системы аттестации объектов по требованиям безопасности информации.

Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации.

Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России.

Органы по аттестации:

-                   аттестуют объекты информатизации и выдают «Аттестаты соответствия»;

-                   осуществляют контроль над эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;

-                   отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»;

-                   формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

-                   ведут информационную базу аттестованных этим органом объектов информатизации;

-                   осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.

Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации по заказам заявителей проводят испытания несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации» [1,6].

Заявители:

-                   проводят подготовку объекта информатизации аттестации путем необходимых организационно-технических мероприятий по защите информации;

-                   привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;

-                   представляют органам по аттестации необходимые документы и условия проведения аттестации;

-                   привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;

-                   осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;

-                   извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган аттестации, приводится в «Аттестате соответствия»;

-                   предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию [1].

Порядок проведения аттестации и контроля

Порядок проведения аттестации объектов информатизации требованиям безопасности информации представлен на рис. 2.

Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации.

Орган по аттестации рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.

Рис.2. Порядок проведения аттестации объектов информатизации требованиям безопасности информации

При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.

При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации [7] в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.

При проведении испытаний отдельных несертифицированных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации эти испытания проводятся до аттестационных испытаний объектов информатизации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.

По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программы аттестационных испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств [8] на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации [3].

Программа аттестационных испытаний согласовывается с заявителем.

Этап подготовки завершается заключение договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации [1].

Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.

На этапе аттестационных испытаний объекта информатизации:

-                   осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;

-                   определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;

-                   проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

-                   проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;

-                   проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

-                   оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации [1].

Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки информации и требований по безопасности информации.

В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче «Аттестата соответствия». При этом может быть предложен срок повторной аттестации при условии устранения недостатков [1].

При наличии непринципиального характера «Аттестат соответствия» может быть выдан после проверки устранения этих замечаний.

В случае несогласия заявителя с отказом в выдаче «Аттестата соответствия» он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в государственный орган по аттестации с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.

Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится федеральным органом по сертификации и аттестации как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации — периодически в соответствии с планом работы по контролю и надзору [1].

Федеральный орган по сертификации и аттестации может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органом по аттестации.

Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации по аттестации объектов информатизации.

Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль над эксплуатацией аттестованных объектов информатизации.

В случае грубых нарушений органом по аттестации требований стандартов или иных нормативных и методических документов по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации по ходатайству вышестоящего органа, проводящего контроль и надзор, перед федеральным органом по сертификации и аттестации [1].

По результатам контроля и надзора за эксплуатацией аттестованных объектов в случае нарушения их владельцами условий функционирования объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводившим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», оформив это решение в «Аттестате соответствия» и проинформировав орган, ведущий сводную информационную базу аттестованных объектов информатизации, и федеральный орган по сертификации и аттестации.

Решение о приостановлении или аннулировании действия «Аттестата соответствия» принимается в случае, когда в результате оперативного принятия организационно — технических мер не может быть восстановлен требуемый уровень безопасности информации [4].

В случае грубых нарушений органом по аттестации требований стандартов или нормативных документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции, выявленных при контроле и надзоре и пришедших к повторной аттестации, расходы по осуществлению контроля и надзора могут быть по решению Госарбитража взысканы с органа по аттестации. Кроме того, и повторная аттестация может быть осуществлена за счет этого органа по аттестации.

Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств госбюджета, выделенных ему в этих целях [1].

Требования к нормативным и методическим документам по аттестации объектов информатизации

Объекты информатизации, вне зависимости от используемых отечественных или зарубежных технических и программных средств, аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.

По результатам аттестации выписывается заключение с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи «Аттестата соответствия» и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.

К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.

Протоколы испытаний подписываются экспертами — членами аттестационной комиссии, проводившими испытания.

Заключение и протоколы испытаний подлежат утверждению органом по аттестации.

«Аттестат соответствия» на объект информатизации, отвечающий требованиям по безопасности информации, оформляется и выдается органом по аттестации по установленной форме заявителю после утверждения заключения по результатам аттестации.

Регистрация «Аттестатов соответствия» осуществляется по отраслевому или территориальному признакам органами по аттестации с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору.

Ведение сводных информационных баз аттестованных объектов информатизации осуществляется федеральным органом по сертификации и аттестации или по его поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов.

«Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту.

В нормативную и методическую документацию включаются только те показатели, характеристики и требования, которые могут быть объективно проверены.

В нормативной и методической документации на методы испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты.

Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование, в них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направленной защиты информации.

Литература:

1.    Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утверждено Председателем Гостехкомиссии России 25.11.1994). — М.: Гостехкомиссия РФ, 1994. — 22 с.

2.    Положение о Федеральной службе по техническому и экспортному контролю (Утверждено Указом Президента Российской Федерации от 16 августа 2004 г. N 1085)-М.:СЗ РФ,2004.-34 с.

3.    Методические рекомендации управлениям ФСТЭК России по федеральным округам об организации работ по аттестации объектов информатизации по требованиям безопасности информации (Утверждены ФСТЭК России 30 апреля 2006 г.).

4.    Ярочкин, В. И. Информационная безопасность [Текст]: учеб. для вузов. Изд.3. / В. И. Ярочкин — М.: Академический Проект, 2006. — 544 с.: ил.

5.    Шумский, А. А. Системный анализ в защите информации [Текст]: учеб. пособие для вузов. / А. А. Шумский — М.: Гелиос АРВ, 2005. — 224 с.: ил.

6.    Положение о сертификации средств защиты информации по требованиям безопасности информации. Приказ председателя Государственной технической комиссии при Президенте Российской Федерации № 199 от 27 октября 1995 г. [Электронный ресурс]

7.    Партыка, Т. Л. Вычислительная техника. Терминология [Текст]: справочное пособие. / Т. Л. Партыка, И. И. Попов — М.: Изд-во стандартов, 2006.- 168 с.: ил.

8.    Галатенко, В. А. Основы информационной безопасности [Текст]: Учеб.пособие для вузов. Изд.4. (Основы информационных технологий)/ В. А. Галатенко — М.: Лаборатория Базовых Знаний, 2008. — 205с.: ил.

---

Смотрите также

• 
  Как разобрать фиксатор ремня безопасности
• 
  Информационная безопасность для школьников
• 
  Конверт с прорезями для ремней безопасности
• 
  Комментарий к закону о радиационной безопасности населения
• 
  Инструктаж по технике безопасности в доу для сотрудников
• 
  Ширина коридора по пожарной безопасности
• 
  Технологический сектор зоны транспортной безопасности это
• 
  Урок безопасности 1 сентября в начальной школе конспект с презентацией
• 
  Паспорт безопасности объекта культуры
• 
  Требования безопасности предъявляемые к складированию материалов на производстве
• 
  Приложением 1 к федеральному закону о промышленной безопасности опасных производственных объектов