Аттестация объектов информатизации по требованиям безопасности информации
20.1. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации
Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России. Вспомним определение объекта информатизации.
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации. Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.
В качестве объекта информатизации выступают автоматизированные и информационные системы, выделенные и защищаемые помещения, системы связи, отображения и размножения информации.
Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводиться до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.
Согласно законодательству Российской Федерации аттестация может носить добровольный либо обязательный характер.
Аттестация является обязательной в случаях:
- обработки информации, составляющей государственную тайну;
- управления экологически опасными объектами;
- ведения секретных переговоров;
- при обработке информации в государственных и муниципальных информационных системах (Приказ ФСТЭК России № 17);
- при проведении лицензирующей деятельности по ТЗКИ и СКЗИ (Постановления Правительства РФ № 79 и № 313).
Нормативно-методические документы, регламентирующие порядок проведения аттестации объектов информатизации и содержащие требования к объектам информатизации:
- Положение по аттестации объектов информатизации по требованиям безопасности информации, утв. председателем Гостехкомиссии при Президенте РФ, 25 ноября 1994 г.;
- ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения";
- ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики испытаний";
- "Специальные требования и рекомендации по технической защите конфиденциальной информации" (СТР-К), Гостехкомиссия России, 30.08.2002;
Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:
- защита от НСД
- защита от утечки через технические каналы утечки информации;
- защита от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации.
Стороны, участвующие в аттестации:
Уполномоченный федеральный орган - ФСТЭК России. В рамках своих полномочий осуществляет лицензирование организаций и аккредитацию органов по аттестации, разработку и утверждение нормативных правовых актов, устанавливающих требования безопасности информации и порядок аттестации, рассмотрение апелляций в спорных случаях, осуществление государственного контроля (надзора) за соблюдением порядка аттестации и ведение сводного реестра аттестованных объектов.
ФСТЭК осуществляет следующие функции в рамках системы аттестации:
- организует обязательную аттестацию объектов информатизации;
- создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
- устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
- организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
- аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
- осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
- рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;
- организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.
Органы по аттестации объектов информатизации по требованиям безопасности информации - это отраслевые и региональные предприятия, учреждения и организации, специальные центры ФСТЭК России, аккредитованные ФСТЭК России и получившие от него лицензию на проведение аттестации объектов информатизации. Аккредитация органов по аттестации осуществляется согласно положению Гостехкомиссии России "Об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
Органы по аттестации:
- аттестуют объекты информатизации и выдают "Аттестаты соответствия";
- осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией;
- отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";
- формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;
- ведут информационную базу аттестованных этим органом объектов информатизации;
- осуществляют взаимодействие с ФСТЭК России и ежеквартально информируют его о своей деятельности в области аттестации.
Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика.
Испытательные центры (лаборатории) привлекаются заявителем для испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации.
Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России.
Заявители:
- проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
- привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;
- предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;
- привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;
- осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";
- извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");
- предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
Общая схема аттестации объекта информатизации показана на рис. 20.1.
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
- подача и рассмотрение заявки на аттестацию. Заявка имеет установленную форму, с которой можно ознакомиться в "Положении об аттестации объектов информатизации по требованиям безопасности". Заявитель направляет заявку в орган по аттестации, который в месячный срок рассматривает заявку, выбирает схему аттестации и согласовывает ее с заявителем.
- предварительное ознакомление с аттестуемым объектом - производится в случае недостаточности предоставленных заявителем данных до начала аттестационных испытаний;
- испытание в испытательных лабораториях несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.
- разработка и согласование программы и методики аттестационных испытаний. Этот шаг является результатом рассмотрения исходных данных и предварительного ознакомления с аттестуемым объектом. Орган по аттестации определяет перечень работ и их продолжительность, методику испытаний, состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств или участия испытательных лабораторий. Программа аттестационных испытаний согласовывается с заявителем.
- заключение договоров на аттестацию. Результатом предыдущих четырех этапов становится заключение договора между заявителем и органом по аттестации, заключением договоров между органом по аттестации и привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
- проведение аттестационных испытаний объекта информатизации. В ходе аттестационных испытаний выполняется следующее:
- анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
- определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
- проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
- проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
- проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
- оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
- оформление, регистрация и выдача "Аттестата соответствия" (если заключение по результатам аттестации утверждено).
В случае если заявитель не согласен с отказом в выдаче "Аттестата соответствия", он может подать апелляцию. Апелляция рассматривается в срок, не превышающий один месяц с привлечением заинтересованных сторон.