Опубликован: 23.02.2018 | Уровень: для всех | Доступ: свободно
Лекция 5:

Виды аттестации объектов информатизации по требованиям безопасности информации

< Лекция 4 || Лекция 5: 12 || Лекция 6 >
Аннотация: Введение понятия добровольной и обязательной аттестации, анализ нормативно-правовой базы на предмет определения видов объектов информатизации, подлежащих обязательной аттестации.

Виды аттестации объектов информатизации по требованиям безопасности информации

Цель: получить умение определять необходимость проведения аттестации объектов информатизации по требованиям безопасности информации (наличие требований об обязательной аттестации).

Как было сказано выше, система аттестации объектов информатизации по требованиям безопасности информации является частью единой системы сертификации средств защиты информации. Исходя из этого основополагающие принципы, особенности проведения работ по аттестации, требования при проведении работ по аттестации объектов информатизации по требованиям безопасности информации, а также виды аттестации определяются уполномоченным органом по обеспечению информационной безопасности в Российской Федерации – ФСТЭК России.

Согласно "Положению по аттестации объектов информатизации по требованиям безопасности информации", утвержденному председателем Гостехкомиссии России 25 ноября 1994 г., обязательной аттестации подлежат объекты информатизации:

  • предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну;
  • управления экологически опасными объектами;
  • предназначенные для ведения секретных переговоров.

Таким образом, обязательная аттестация – это процедура аттестации, которая должна быть проведена в обязательном порядке для определенного вида объектов информатизации.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации. Таким образом, добровольная аттестация – это процедура аттестации, которая проводится в соответствии с установленными требованиями по защите информации по решению владельца объекта информатизации.

То есть, "Положение…" устанавливает обязательство по аттестации объектов информатизации, обрабатывающих государственную тайну, и на экологически опасных объектах.

Со времени выхода "Положения по аттестации…" законодательство Российской Федерации в области защиты информации претерпело существенные изменения. Расширился перечень объектов информатизации, подлежащих обязательной аттестации по требованиям безопасности информации.

Аттестации по требованиям безопасности конфиденциальной информации в обязательном порядке подлежат объекты информатизации (автоматизированные системы) органов власти и других государственных учреждений, обрабатывающие служебную информацию. Также обязательной аттестации по требованиям безопасности конфиденциальной информации подлежат объекты информатизации, предназначенные для проведения конфиденциальных переговоров (защищаемые помещения).

В соответствии с приказом ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", для обеспечения защиты информации, содержащейся в государственной информационной системе (ГИС), проводится аттестация государственной информационной системы по требованиям защиты информации и ввод ее в действие.

Федеральным законом Российской Федерации "Об информации, информационных технологиях и о защите информации" от 27.07.2006 №149-ФЗопределено, что государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

При обработке в государственной информационной системе информации, содержащей персональные данные, такие информационные системы также подлежат обязательной аттестации.

Оценка соответствия в форме аттестации не является обязательной для информационных систем, обрабатывающих персональные данные и не являющихся государственными информационными системами. Достаточно провести оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных. Однако, по желанию оператора персональных данных информационная система персональных данных (ИСПДн) может быть аттестована по требованиям безопасности конфиденциальной информации.

Объекты информатизации, обрабатывающие коммерческую тайну, могут быть аттестованы по требованиям безопасности конфиденциальной информации, по решению обладателя (владельца) такой информации.

В том случае, если на каком либо из вышеуказанных объектов, будь то государственная информационная система, информационная система персональных данных или иная другая система - обрабатываемая информация составляет государственную тайну, то такой объект подлежит обязательной аттестации по требованиям законодательства Российской Федерации по защите государственной тайны.

Виды аттестации, включая виды объектов информатизации, представлены на схеме ниже:

Виды аттестации объектов информатизации

увеличить изображение
Рис. 2. Виды аттестации объектов информатизации
< Лекция 4 || Лекция 5: 12 || Лекция 6 >
Анатолий Зимиров
Анатолий Зимиров

 

 

Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

Владислав Ветошкин
Владислав Ветошкин
Россия, Ижевск, Ижевский государственный технический университет имени А.Т. Калашникова, 2011
Саламат Исахан
Саламат Исахан
Россия, Turkistan