Опубликован: 23.02.2018 | Доступ: свободный | Студентов: 1349 / 318 | Длительность: 13:24:00
Лекция 5:

Виды аттестации объектов информатизации по требованиям безопасности информации

< Лекция 4 || Лекция 5: 12 || Лекция 6 >
Аннотация: Введение понятия добровольной и обязательной аттестации, анализ нормативно-правовой базы на предмет определения видов объектов информатизации, подлежащих обязательной аттестации.

Виды аттестации объектов информатизации по требованиям безопасности информации

Цель: получить умение определять необходимость проведения аттестации объектов информатизации по требованиям безопасности информации (наличие требований об обязательной аттестации).

Как было сказано выше, система аттестации объектов информатизации по требованиям безопасности информации является частью единой системы сертификации средств защиты информации. Исходя из этого основополагающие принципы, особенности проведения работ по аттестации, требования при проведении работ по аттестации объектов информатизации по требованиям безопасности информации, а также виды аттестации определяются уполномоченным органом по обеспечению информационной безопасности в Российской Федерации – ФСТЭК России.

Согласно "Положению по аттестации объектов информатизации по требованиям безопасности информации", утвержденному председателем Гостехкомиссии России 25 ноября 1994 г., обязательной аттестации подлежат объекты информатизации:

  • предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну;
  • управления экологически опасными объектами;
  • предназначенные для ведения секретных переговоров.

Таким образом, обязательная аттестация – это процедура аттестации, которая должна быть проведена в обязательном порядке для определенного вида объектов информатизации.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации. Таким образом, добровольная аттестация – это процедура аттестации, которая проводится в соответствии с установленными требованиями по защите информации по решению владельца объекта информатизации.

То есть, "Положение…" устанавливает обязательство по аттестации объектов информатизации, обрабатывающих государственную тайну, и на экологически опасных объектах.

Со времени выхода "Положения по аттестации…" законодательство Российской Федерации в области защиты информации претерпело существенные изменения. Расширился перечень объектов информатизации, подлежащих обязательной аттестации по требованиям безопасности информации.

Аттестации по требованиям безопасности конфиденциальной информации в обязательном порядке подлежат объекты информатизации (автоматизированные системы) органов власти и других государственных учреждений, обрабатывающие служебную информацию. Также обязательной аттестации по требованиям безопасности конфиденциальной информации подлежат объекты информатизации, предназначенные для проведения конфиденциальных переговоров (защищаемые помещения).

В соответствии с приказом ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", для обеспечения защиты информации, содержащейся в государственной информационной системе (ГИС), проводится аттестация государственной информационной системы по требованиям защиты информации и ввод ее в действие.

Федеральным законом Российской Федерации "Об информации, информационных технологиях и о защите информации" от 27.07.2006 №149-ФЗопределено, что государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

При обработке в государственной информационной системе информации, содержащей персональные данные, такие информационные системы также подлежат обязательной аттестации.

Оценка соответствия в форме аттестации не является обязательной для информационных систем, обрабатывающих персональные данные и не являющихся государственными информационными системами. Достаточно провести оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных. Однако, по желанию оператора персональных данных информационная система персональных данных (ИСПДн) может быть аттестована по требованиям безопасности конфиденциальной информации.

Объекты информатизации, обрабатывающие коммерческую тайну, могут быть аттестованы по требованиям безопасности конфиденциальной информации, по решению обладателя (владельца) такой информации.

В том случае, если на каком либо из вышеуказанных объектов, будь то государственная информационная система, информационная система персональных данных или иная другая система - обрабатываемая информация составляет государственную тайну, то такой объект подлежит обязательной аттестации по требованиям законодательства Российской Федерации по защите государственной тайны.

Виды аттестации, включая виды объектов информатизации, представлены на схеме ниже:

Виды аттестации объектов информатизации

увеличить изображение
Рис. 2. Виды аттестации объектов информатизации
< Лекция 4 || Лекция 5: 12 || Лекция 6 >
Игорь Лункин
Игорь Лункин

Возможно ли после окончания обучения и сдачи экзамена получить Удостоверение а не Сертификат. 

Владимир Власенко
Владимир Власенко

День добрый!

В настоящий момент, прохожу курс https://www.intuit.ru/studies/courses/3648/890/info

прошел обучение наполовину, но вдруг

Обнаружил, что существует

https://www.intuit.ru/studies/professional_skill_improvements/21266/info

Возникло 2 вопроса, в связи с эим, а также получением информационное письма на почту.

http://pp.intuit.ru/

Могу ли я, по окончании данного курса, со скидкой 67% получить Удостоверение о повышении квалификации

Евгений Вагин
Евгений Вагин
Россия, Казань, Казанский авиационный институт, 1995