Разработка заключения и протоколов испытаний по результатам аттестации объектов информатизации

1. Назначение документа

2. Сфера применения

3. Данные об органе по аттестации, проводившем испытания с указанием лицензии на деятельность по технической защите конфиденциальной информации

4. Нормативно-правовая база, на основе который был разработан документ

1. Виды и краткое описание объектов информатизации (наименование, место расположения, данные о классификации)

2. Перечень технических средств, входящих в состав объекта информатизации (может оформляться приложением к протоколу)

3. Перечень программного обеспечения, используемого на объекте информатизации (может оформляться приложением к протоколу)

1. Перечень средств контроля защищенности информации, используемых при проведении аттестационных испытаний от несанкционированного доступа

2. Данные о сертификатах на средства контроля

1. Перечень документов на объект информатизации, представленных заявителем органу по аттестации

2. Перечень исходных данных на объект информатизации

3. Результаты оценки полноты и достаточности разработанных заявителем документов по защите информации на объект информатизации

4. Результаты оценки соответствия предоставленных документов требованиям по защите информации

1. Информация о составе технических средств объекта информатизации, месте расположения объекта информатизации, перечень программного обеспечения, установленного на объекте информатизации

2. Результаты оценки соответствия предоставленных исходных данных об объекте информатизации реальным условиям размещения и эксплуатации объекта информатизации

1. Краткое описание технологического процесса обработки информации на объекте информатизации

2. Перечень объектов доступа (накопители информации, оперативная память, программные средства вывода информации на печать и т.д.)

3. Перечень субъектов доступа (Пользователи автоматизированной системы, администратор безопасности и т.д.)

4. Перечень штатных средств доступа к информации (средства операционной системы, прикладные программы обработки информации ограниченного доступа и т.д.)

5. Перечень средств защиты информации, установленных на объекте информатизации с указанием номеров сертификатов соответствия и сроков их действия, других характеристик

6. Анализ соответствия инструкций администратора безопасности и пользователей установленным требованиям

7. Проверка наличия и правильности разработки разрешительной системы доступа, реализованной на объекте информатизации

8. Определения перечня факторов и угроз несанкционированного доступа к информации, перечень уязвимых мет автоматизированной системы и способы снижения факторов риска

9. Перечень реализованных мер защиты информации и установленных средств защиты информации на объекте информатизации

1. Анализ реализованных на объекте информатизации правил разграничения доступа

2. Проверка настройки средств защиты информации от несанкционированного доступа на предмет настройки процедуры аутентификации субъекта доступа

1. Проверка настройки процедуры записи событий в системный журнал

2. Проверка наличия журнала учета съемных носителей информации

1. Проверка обеспечения целостности программной и аппаратной среды автоматизированной системы

2. Проверка наличия средств восстановления средств защиты информации от несанкционированного доступа

3. Анализ обеспечения охраны объекта информатизации

1. Отчет, выдаваемый программой контроля защищенности (может оформляться приложением к протоколу)

2. Вывод по результатам оценки защищенности о выполнении или невыполнении требований по защите информации от несанкционированного доступа

3. Обобщенные данные о выполнении на объекте информатизации требований по защите информации от несанкционированного доступа (перечень требований и способ их реализации на объекте информатизации)

1. Выводы о соответствии (несоответствии) объекта информатизации требованиям по защите информации от несанкционированного доступа

1. Назначение документа

2. Сфера применения

3. Данные об органе по аттестации, проводившем испытания с указанием лицензии на деятельность по технической защите конфиденциальной информации

4. Нормативно-правовая база, на основе который был разработан документ

5. Методы проверок и испытаний при проведении аттестационных испытаний

1. Виды и краткое описание объектов информатизации (наименование, место расположения, данные о классификации)

2. Перечень технических средств, входящих в состав объекта информатизации (может оформляться приложением к протоколу)

3. Перечень программного обеспечения, используемого на объекте информатизации (может оформляться приложением к протоколу)

1. Перечень документов на объект информатизации, представленных заявителем органу по аттестации

2. Перечень исходных данных на объект информатизации

3. Результаты оценки полноты и достаточности разработанных заявителем документов по защите информации на объект информатизации

4. Результаты оценки соответствия предоставленных документов требованиям по защите информации

3. Информация о составе технических средств объекта информатизации, месте расположения объекта информатизации, перечень программного обеспечения, установленного на объекте информатизации

4. Результаты оценки соответствия предоставленных исходных данных об объекте информатизации реальным условиям размещения и эксплуатации объекта информатизации

1. Ссылка на результаты анализа, приведенные в "Протоколе аттестационных испытаний объекта информатизации на соответствие требованиям по защите информации от несанкционированного доступа"

1. Анализ достаточности документов, предоставленных заявителем на объект информатизации, требованиям по защите информации

2. Анализ соответствия данных, представленных в документах заявителя реальным условиям эксплуатации объекта информатизации

3. Анализ правильности классификации автоматизированной системы

4. Оценка уровня подготовки кадров организации-заявителя по вопросам защиты информации

5. Анализ документов, выданных по результатам проведения специальных исследований, установки и настройки средств защиты информации, проверка наличия сертификатов соответствия

6. Анализ документов на предмет выполнения требований по защите информации от утечки за счет побочных электромагнитных излучений и наводок

7. Анализ документов на предмет оценки результатов работ по проведению специальной проверки (при необходимости)

8. Анализ документов на предмет выполнения требований по защите информации от несанкционированного доступа

1. Выводы о соответствии (несоответствии) объекта информатизации требованиям по защите информации