Ввод в действие и эксплуатация аттестованных по требованиям безопасности информации объектов информатизации

После окончания срока действия аттестата соответствия обработка информации на объекте информатизации не допускается. В этом случае необходимо приостановить обработку информации на объекте информатизации путем издания соответствующего приказа по организации и либо провести повторную аттестацию объекта информатизации, либо вывести его из эксплуатации. Для непрерывной обработки информации на объекте информатизации необходимо заблаговременно подать заявку в орган по аттестации для проведения работ по "переаттестации"объекта информатизации, с тем, чтобы к дате окончания срока действия аттестата соответствия были проведены работы по аттестации и выдан новый аттестат соответствия.

Обеспечение защиты информации при выводе из эксплуатации аттестованного объекта информатизации или после принятия решения об окончании обработки информации осуществляется заявителем в соответствии с эксплуатационной документацией на систему защиты информации и организационно-распорядительными документами по защите информации и в том числе включает:

1. Архивирование информации, содержащейся на объекте информатизации.
2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

Архивирование информации, содержащейся на объекте информатизации, должно осуществляться при необходимости дальнейшего использования информации. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю или в сторонние организации для ремонта, технического обслуживания или для дальнейшего уничтожения.

При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей информации.

С целью поддержания уровня безопасности, достигнутого в ходе проведения аттестации необходимо выполнять ряд мероприятий в процессе эксплуатации объекта информатизации. Ответственность за организацию защиты информации в организации в целом возлагается на руководителя организации. Осуществление контроля за эффективностью принятых мер защиты информации возлагается на штатного специалиста, отвечающего за выполнение работ по защите информации в организации, во взаимосвязи с руководителями подразделений, которые осуществляют эксплуатацию аттестованного объекта информатизации.

С целью своевременного и полноценного проведения мероприятий по поддержанию заданного уровня безопасности осуществляется планирование работ по защите информации. В план работ могут включаться следующие мероприятия:

• проверка работоспособности технических средств и замена вышедших из строя элементов. Замену комплектующих необходимо согласовать с органом по аттестации, выдавшем аттестат соответствия на предмет необходимости проведения дополнительных аттестационных испытаний. Для исключения повторной аттестации рекомендуется включать в состав объекта информатизации несколько запасных технических средств, наиболее часто выходящих из строя (жесткий диск, манипулятор мышь, клавиатура, флэш-накопители). Причем возможен вариант использования одного дополнительного комплекта со всеми объектами информатизации, достаточно лишь включить его в состав основных технических средств и систем всех объектов информатизации при проведении аттестации;
• обновление антивирусных баз до актуальной версии. При отсутствии на аттестованном объекте информатизации возможности выхода в сеть Интернет, обновление скачивается на любом другом автоматизированном рабочем месте и переносится на флэш-накопителе, либо оптическом диске на аттестованный объект информатизации. Следует отметить, что наличие сертифицированного антивируса является необходимым условием для защиты объекта информатизации от несанкционированного доступа и требование по обновлению баз с указанием периодичности указывается в документах, выдаваемых по результатам аттестации;
• продление сертификатов соответствия на средства защиты информации. Как правило, заявку на продление сертификатов во ФСТЭК России подает производитель средства защиты информации. В том случае, если производитель не намерен продлевать сертификат, заявитель имеет право самостоятельно обратиться во ФСТЭК России. В таком случае заявитель для продления срока действия сертификата соответствия не позднее, чем за три месяца до окончания срока его действия направляет во ФСТЭК России заявку установленной формы в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации", утвержденным приказом председателя Гостехкомиссии России от 27.10.1995 № 199. Сертификат продлевается в индивидуальном порядке, как правило, не более чем на три года. В этот период заявителю необходимо запланировать мероприятия по замене средства защиты информации, установленного на объекте информатизации, на другое сертифицированное средство защиты информации;
• проведение контроля состояния защищенности аттестованного объекта информатизации;
• планирование работ по аттестации объекта информатизации по истечении трех лет со дня аттестации объекта информатизации;
• прочие мероприятия, выполняемые для поддержания заданного уровня безопасности (ознакомление сотрудников с новыми требованиями по защите информации, проверка надежности паролей, используемых сотрудниками для входа в систему, периодическое резервное копирование информации с целью обеспечения возможности восстановления информации и т.д.).

Данные мероприятия проводятся силами сотрудников организации, эксплуатирующей аттестованный объект информатизации без привлечения лицензиатов.

Периодический контроль состояния защищенности аттестованного объекта информатизации осуществляется в процессе эксплуатации и проводится не реже одного раза в год с целью выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа, а также предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности технических средств, входящих в состав объекта информатизации.

В ходе проведения периодического контроля производится оценка:

• выполнения требований нормативных и методических документов по защите информации;
• работоспособности и эффективности применяемых средств защиты информации в соответствии с их эксплуатационной документацией с помощью специальной контрольно-измерительной аппаратуры;
• знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации;
• актуальности организационно-распорядительных документов по защите информации в организации (изменения в документы должны вноситься в случае увольнения сотрудников, либо перевода их на другое место работы, увеличения числа пользователей на объекте информатизации и других случаях).

Для проведения ежегодного периодического контроля привлекается, как правило, тот же орган по аттестации, который проводил аттестацию объекта информатизации. Это делается с целью упрощения процедуры проведения контроля, поскольку орган по аттестации обладает всеми исходными данными и результатами измерений, полученными им в ходе проведения аттестации ОИ. Также при привлечении для проведения периодического контроля органа по аттестации заявитель имеет возможность внести незначительные изменения в характеристики и состав технических средств объекта информатизации, которые не вызовут необходимости применения дополнительных к имеющимся мер защиты информации. В случае необходимости серьезных изменений (смена класса автоматизированной системы, замена технических средств, увеличение числа средств вычислительной техники в составе объекта информатизации и др.) вместо периодического контроля орган по аттестации проведет дополнительные аттестационные испытания либо в рамках действующего аттестата соответствия, либо проведет полный комплекс работ и выдаст новый аттестат соответствия. Следует напомнить, что все расходы по проведению аттестации и периодического контроля оплачиваются заявителем.

По результатам проведения периодического контроля оформляется заключение или акт, который подписывается сотрудниками органа по аттестации, осуществлявшими контроль и доводится до сведения руководителя организации-заявителя.

"Заключение по результатам периодического контроля объекта информатизации – защищаемого помещения" содержит следующие данные:

В случае выявления нарушений при проведении периодического контроля, в зависимости от характера нарушений, возможно несколько вариантов:

1. Устранение нарушений в ходе проведения контроля - при незначительных нарушениях.
2. Приостановка обработки информации на объекте информатизации на время, необходимое для приведения объекта информатизации в соответствие с требованиями по безопасности информации.
3. Аннулирование аттестата соответствия на объект информатизации, либо закрытие объекта информатизации в случае серьезных нарушений, повлекших за собой серьезные последствия.

О выявлении нарушения орган по аттестации сообщает руководителю организации, эксплуатирующей объект информатизации, а также, в случае серьезных нарушений, в федеральные органы, уполномоченные в области обеспечения безопасности информации, а также защиты прав субъектов персональных данных.

Для устранения нарушений организацией-заявителем с методической помощью органа по аттестации принимаются необходимые меры, а также, при необходимости, проводится дополнительная проверка эффективности защиты информации на объекте информатизации.

Возобновление работы на объекте информатизации возможно только после принятия всех необходимых мер по устранению нарушений и проверки эффективности защиты информации на объекте информатизации органом по аттестации и только с его разрешения.

Итоги: ввод объекта информатизации в эксплуатацию производится на основании приказа руководителя организации только после получения "Аттестата соответствия…" на объект информатизации. Эксплуатация объекта информатизации должна осуществляться в строгом соответствии с предписаниями и эксплуатационной документацией в течение срока действия "Аттестата соответствия…". В ходе эксплуатации объекта информатизации обеспечение защиты информации включает в себя: управление (администрирование) системой защиты информации объекта информатизации, выявление инцидентов и реагирование на них, управление конфигурацией аттестованного объекта информатизации и его системы защиты информации, контроль (мониторинг) за обеспечением уровня защищенности информации, обрабатываемой объектом информатизации.

После окончания срока действия аттестата соответствия обработка информации на объекте информатизации не допускается.

С целью своевременного и полноценного проведения мероприятий по поддержанию заданного уровня безопасности осуществляется планирование работ по защите информации.

Периодический контроль состояния защищенности аттестованного объекта информатизации осуществляется в процессе эксплуатации и проводится не реже одного раза в год с целью выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа, а также предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности технических средств, входящих в состав объекта информатизации. По результатам проведения периодического контроля оформляется заключение или акт, который подписывается сотрудниками органа по аттестации, осуществлявшими контроль и доводится до сведения руководителя организации-заявителя.

В случае выявления в ходе контроля нарушений, возобновление работы на объекте информатизации возможно только после принятия всех необходимых мер по устранению нарушений и проверки эффективности защиты информации на объекте информатизации органом по аттестации и только его разрешения.

Ключевые слова: инцидент информационной безопасности, орган по аттестации, объект информатизации