Основные понятия и термины по вопросам аттестации

В соответствии с "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным председателем государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г., под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

В процессе аттестации комплекс мероприятий по подтверждению соответствия проводится в отношении "объекта информатизации". В случае подтверждения возможности обработки на объекте информатизации информации ограниченного доступа выдается аттестат соответствия.

Несмотря на схожесть процессов сертификации и аттестации, где в качестве объекта выступают технические средства, отличием является то, что в процессе сертификации подтверждается соответствие типового образца, при аттестации же осуществляется проверка конкретного объекта в реальных условиях эксплуатации, с учетом применения, как технических средств защиты информации, так и организационных мер по защите информации.

Основным документом, регламентирующим правила проведения аттестации объектов информатизации по требованиям безопасности информации, является "Положение по аттестации объектов информатизации по требованиям безопасности информации", утвержденное председателем Гостехкомиссии России 25 ноября 1994 г. Положение закладывает основные принципы аттестации, определяет порядок проведения аттестации, описывает структуру системы аттестации, а также устанавливает процедуры контроля и надзора за аттестацией объектов информатизации.

В процессе проведения аттестации осуществляется оценка соответствия системы защиты объекта информатизации требованиям по защите информации. В соответствии с "ГОСТом Р 50922-2006. Защита информации. Основные термины и определения", утвержденным Приказом Ростехрегулирования от 27.12.2006 № 373-ст,оценка соответствия требованиям по защите информации - это прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.

В качестве объекта защиты информации может выступать информация, носитель информации или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. Цель защиты информации - заранее намеченный результат защиты информации. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию на основании "ГОСТа Р 50922-2006. Защита информации. Основные термины и определения", утвержденного Приказом Ростехрегулирования от 27.12.2006 № 373-ст.

Владелец информации, определившийся с выбором объектов защиты, неизменно встает перед вопросом о категорийности информации, подлежащей защите, а также о технологиях и способах обработки информации. В результате чего появляется объект информатизации, подлежащий аттестации по требованиям безопасности информации.

Напомним, что в соответствии с "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным председателем государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г., под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они расположены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров. При этом защите подлежат носители информации, а также речевая информация, информация, обрабатываемая с использованием технических средств и систем, а также информация, представленная в виде информативных сигналов, физических полей, в виде информационных массивов и баз данных.

В рамках выполнения работ по аттестации объектов информатизации проводятся организационные и технические мероприятия по защите информации.

Организационные меры предусматривают установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации, что определено в "Рекомендациях по стандартизации Р 50.1.056-2005. Техническая защита информации. Основные термины и определения".

Техническая защита информации – деятельность, направленная на обеспечение некриптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств, что определено "Рекомендациями по стандартизации Р 50.1.056-2005. Техническая защита информации. Основные термины и определения".

К организационным мероприятиям, например, можно отнести:

• установление ответственных за защиту информации в организации;
• определение категории (для гостайны) и класса обрабатываемой информации;
• определение границ контролируемой зоны…

К техническим мероприятиям, например, можно отнести:

• установку средств контроля доступа в помещения, где осуществляется обработка информации;
• звукоизоляцию помещений;
• использование сертифицированных средств защиты информации…

Необходимо отметить, что технические меры по защите информации могут быть пассивными и активными.

Пассивные меры защиты информации обусловливают использование конструктивных решений и технологических особенностей обработки информации ограниченного доступа на объектах информатизации. К таким мерам относят, например, использование специальных материалов, повышающих звукоизоляцию помещений, предназначенных для ведения конфиденциальных переговоров, использование специальных защитных экранов для защиты технических средств обработки информации.

К активным мерам защиты информации относится применение специальных технических средств защиты информации и программного обеспечения, сертифицированных по требованиям безопасности информации.

Более подробно организация и проведение работ по аттестации объектов информатизации, включая применение организационно-технических мер по защите информации, будут рассмотрены в следующих главах.

Итоги: подсистема сертификации средств защиты информации и подсистема лицензирования в области защиты информации образуют государственную систему защиты информации. В процессе сертификации в результате проведения комплекса испытаний подтверждается соответствие "изделия" или "средства" установленным требованиям по безопасности к тому или иному виду изделий (средств) и выдается сертификат соответствия. В ходе лицензирования осуществляется оценка готовности организации к осуществлению определенного вида деятельности с выдачей лицензии. В процессе аттестации проводится комплекс мероприятий по подтверждению соответствия объекта информатизации установленным требованиям по безопасности информации с выдачей аттестата соответствия. В процессе аттестации для защиты информации могут применяться организационные и технические мероприятия.

Ключевые слова: аттестация объектов информатизации, лицензирование в области защиты информации, лицензия, организационные меры по защите информации, оценка соответствия требованиям по защите информации, сертификат соответствия, сертификация средств защиты информации по требованиям безопасности информации, система сертификации, техническая защита информации, цель защиты информации