Аттестация объектов информатизации по требованиям безопасности информации
[+]
Опубликован: 23.02.2018 | Доступ: свободный | Студентов: 1978 / 631 | Длительность: 13:24:00
Тема: Безопасность
Специальности: Администратор информационных систем, Специалист по безопасности, Администратор коммуникационных систем
Лекция 16:

Разработка заключения и протоколов испытаний по результатам аттестации объектов информатизации
A
|
версия для печати
< Лекция 15 || Лекция 16: 123 || Лекция 17 >

"Протокол аттестационных испытаний защищаемого помещения на соответствие требованиям по защите информации" оформляется и подписывается комиссией, проводившей аттестацию, и содержит следующие данные:

Таблица 8. Структура "Протокола аттестационных испытаний…"
№ раздела Название раздела Содержание раздела
1 Общие положения

1. Назначение документа

2. Сфера применения

3. Данные об органе по аттестации, проводившем испытания с указанием лицензии на деятельность по технической защите конфиденциальной информации

4. Нормативно-правовая база, на основе который был разработан документ

5. Методы проверок и испытаний при проведении аттестационных испытаний

2 Данные об объекте (объектах) информатизации

1. Виды и краткое описание объектов информатизации (наименование, место расположения)

2. Перечень основных и вспомогательных технических средств, входящих в состав объекта информатизации (может оформляться приложением к протоколу)

3 Анализ исходных данных об объекте информатизации

1. Перечень документов на объект информатизации, представленных заявителем органу по аттестации

2. Перечень исходных данных на объект информатизации

3. Результаты оценки полноты и достаточности разработанных заявителем документов по защите информации на объект информатизации

4. Результаты оценки соответствия предоставленных документов требованиям по защите информации

4 Анализ выполнения требований по защите информации на объекте информатизации от утечки по техническим каналам

1. Оценка соответствия защищаемого помещения требованиям безопасности информации от утечки по акустическому каналу

2. Оценка соответствия защищаемого помещения требованиям безопасности информации от утечки по виброакустическому каналу

3. Оценка соответствия защищаемого помещения требованиям безопасности информации от утечки информации за счет акустоэлектрических преобразований

4. Проверка наличия и правильности настройки средств активной защиты, установленной в защищаемом помещении

5 Аттестационные испытания объекта информатизации на соответствие требованиям по защите информации

1. Анализ достаточности документов, предоставленных заявителем на объект информатизации, требованиям по защите информации

2. Анализ соответствия данных, представленных в документах заявителя реальным условиям эксплуатации объекта информатизации

3. Анализ правильности определения перечня защищаемых помещений и границ контролируемой зоны

4. Оценка уровня подготовки кадров организации-заявителя по вопросам защиты информации

5. Анализ документов, выданных по результатам проведения специальных исследований, установки и настройки средств защиты информации, проверка наличия сертификатов соответствия

6. Проверка выполнения требований, установленных в предписании на эксплуатацию

8 Выводы

Выводы о соответствии (несоответствии) объекта информатизации требованиям по защите информации

"Заключение по результатам аттестационных испытаний объекта информатизации на соответствие требованиям по безопасности информации" оформляется и подписывается комиссией, проводившей аттестацию, и содержит следующие данные:

Таблица 9. Структура "Заключения по результатам аттестационных испытаний…"
№ раздела Название раздела Содержание раздела
1 Объект испытаний

1. Наименование и краткое описание объекта информатизации

2. Место расположения объекта информатизации

2 Условия и порядок проведения аттестационных испытаний

1. Ссылка на "Программу и методики аттестационных испытаний" с указанием реквизитов документа (учетный номер и дата утверждения) в соответствии с которыми проводятся аттестационные испытания

2. Методы проверок, которые проводились в рамках аттестационных испытаний

3. Перечень документов, на соответствие требованиям которых, проводились аттестационные испытания

3 Результаты аттестационных испытаний (по каждому разделу формируется краткий обзор предоставленных данных и документации и делается вывод о соответствии или несоответствии установленным требованиям по защите информации)

1. Результаты проверки технологического процесса обработки информации

2. Результаты проверки выполнения организационно-технических требований по защите информации

3. Результаты проверки правильности проведения процедуры классификации автоматизированной системы

4. Результаты оценки уровня подготовки кадров по вопросам защиты информации

5. Результаты проверки полноты и качества документов, выданных по результатам проведения инструментальных измерений (протоколов, предписания на эксплуатацию)

6. Результаты испытаний объекта информатизации на соответствие требованиям по защите информации от утечки по каналам ПЭМИН

7. Результаты проверки выполнения требований по защите информации от утечки за счет наводок на вспомогательные средства и системы

8. Результаты проверки выполнения требований по защите информации от утечки по цепям заземления и электропитания

9. Результаты испытаний объекта информатизации на соответствие требованиям по защите информации от несанкционированного доступа

10. Общий вывод по разделу с учетом выводов о соответствии (не соответствии) принятых мер установленным требованиям по защите информации

4 Замечания и рекомендации по результатам аттестационных испытаний

1. Наличие замечаний и данные по их устранению в ходе проведения аттестационных испытаний

2. Рекомендации по защите информации на объекте информатизации в ходе его эксплуатации

5 Заключение по результатам аттестационных испытаний

1. Общий вывод по итогам анализа данных и документации на аттестуемый объект информатизации о выполнении требований по защите информации (соответствии системы защиты информации установленным требованиям) и наличие основания для выдачи "Аттестата соответствия на объект информатизации"

"Заключение по результатам аттестационных испытаний защищаемого помещения" аналогично "Заключению по результатам аттестационных испытаний автоматизированной системы". Отличие заключается в третьем разделе документа и содержит для защищаемого помещения следующие данные:

  1. Результаты оценки исходных данных об объекте информатизации, а также документации по защите информации на объекте информатизации, предоставленной заявителем органу по аттестации.
  2. Результаты проверки выполнения организационных и технических мероприятий по защите информации на объекте информатизации.
  3. Результаты проверки выполнения требований по охране защищаемого помещения, а также порядка доступа в защищаемое помещение.
  4. Результаты оценки уровня подготовки кадров по вопросам защиты информации.
  5. Результаты выполнения требований по защите информации на объекте информатизации от утечки по техническим каналам (акустическому, виброакустическому, от утечки за счет акустоэлектрических преобразований).

Итоги: неотъемлемой частью комплекса аттестационных испытаний является оценка эффективности принятых мер и установленных средств защиты информации. Аттестационные испытания объекта информатизации предусматривают комплексную проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Контроль эффективности защиты информации от утечки по техническим каналам осуществляется по тем же методикам, по которым проводились испытания средств вычислительной техники, входящих в состав объекта информатизации с учетом внедренных на объекте мер защиты информации, а также установленных средств защиты информации.

При проведении оценки эффективности средств защиты информации от несанкционированного доступа осуществляется оценка возможностей преодоления нарушителем системы защиты информации объекта информатизации и предотвращения реализации угроз безопасности информации. Оценка возможностей включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.

По результатам проведения аттестационных испытаний выдается "Протокол аттестационных испытаний объекта информатизации на соответствие требованиям по защите информации от несанкционированного доступа", "Протокол аттестационных испытаний объекта информатизации на соответствие требованиям по защите информации" и "Заключение по результатам аттестационных испытаний объекта информатизации".

Ключевые слова: аттестационные испытания объекта информатизации, объект информатизации, оценка (контроль) эффективности, угроза безопасности информации

Дальше >>
< Лекция 15 || Лекция 16: 123 || Лекция 17 >

Вопросы и ответы

вопросов: 6
Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

ответить
Оксана Беляева
Оксана Беляева

Добрый день!

Подскажите, почему после прохождения теста, не могу увидеть свои варианты ответов. в некоторых случаях возникает спорная ситауция и не понятно  - это неточность вопроса или моя опечатка.

 

ответить