Опубликован: 01.02.2012 | Уровень: для всех | Доступ: свободно
Лекция 6:

Аттестация объекта информатизации по требованиям безопасности информации

< Лекция 5 || Лекция 6 || Лекция 7 >
Аннотация: В лекции приведены основные понятия в области аттестации объекта информатизации по требованиям безопасности, рассмотрены участники стандартной схемы аттестации и этапы аттестации.

Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров [6.1].

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.

Аттестация является обязательной в следующих случаях:

  • государственная тайна;
  • при защите государственного информационного ресурса;
  • управление экологически опасными объектами;
  • ведение секретных переговоров.

Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации.

Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

  • защита от НСД, в том числе компьютерных вирусов;
  • защита от утечки через ПЭМИН;
  • защита от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации.

Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ:

  • анализ исходных данных по аттестуемому объекту информатизации;
  • предварительное ознакомление с аттестуемым объектом информатизации;
  • проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
  • проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
  • проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
  • проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
  • анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".

Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации.

Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика.

В структуру системы аттестации входят:

  • федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации – ФСТЭК России;
  • органы по аттестации объектов информатизации по требованиям безопасности информации;
  • испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
  • заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации.

В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию.

Органы по аттестации:

  • аттестуют объекты информатизации и выдают "Аттестаты соответствия";
  • осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией;
  • отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";
  • формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;
  • ведут информационную базу аттестованных этим органом объектов информатизации;
  • осуществляют взаимодействие с ФСТЭК России и ежеквартально информируют его о своей деятельности в области аттестации.

ФСТЭК осуществляет следующие функции в рамках системы аттестации:

  • организует обязательную аттестацию объектов информатизации;
  • создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
  • устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
  • организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
  • аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
  • осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
  • рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;
  • организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.

Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации.

Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России в разделе "Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации".

Заявители:

  • проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
  • привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;
  • предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;
  • привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;
  • осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";
  • извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");
  • предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

Для проведения испытаний заявитель предоставляет органу по аттестации следующие документы и данные:

  • приемо-сдаточную документацию на объект информатизации;
  • акты категорирования выделенных помещений и объектов информатизации;
  • инструкции по эксплуатации средств защиты информации;
  • технический паспорт на аттестуемый объект;
  • документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
  • сертификаты соответствия требованиям безопасности информации на ВТСС;
  • сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
  • акты на проведенные скрытые работы;
  • протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
  • протоколы измерения величины сопротивления заземления;
  • протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
  • данные по уровню подготовки кадров, обеспечивающих защиту информации;
  • данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
  • нормативную и методическую документацию по защите информации и контролю эффективности защиты.

Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.

  • пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
  • перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
  • перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
  • перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
  • перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
  • перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
  • cхему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
  • технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
  • планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
  • план-схему инженерных коммуникаций всего здания, включая систему вентиляции;
  • план-схему системы заземления объекта с указанием места расположения заземлителя;
  • план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
  • план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
  • план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
  • схемы систем активной защиты (если они предусмотрены)[6.3].

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

  1. подача и рассмотрение заявки на аттестацию. Заявка имеет установленную форму, с которой можно ознакомиться в "Положении об аттестации объектов информатизации по требованиям безопасности". Заявитель направляет заявку в орган по аттестации, который в месячный срок рассматривает заявку, выбирает схему аттестации и согласовывает ее с заявителем.
  2. предварительное ознакомление с аттестуемым объектом – производится в случае недостаточности предоставленных заявителем данных до начала аттестационных испытаний;
  3. испытание в испытательных лабораториях несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.
  4. разработка программы и методики аттестационных испытаний. Этот шаг является результатом рассмотрения исходных данных и предварительного ознакомления с аттестуемым объектом. Орган по аттестации определяет перечень работ и их продолжительность, методику испытаний, состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств или участия испытательных лабораторий. Программа аттестационных испытаний согласовывается с заявителем.
  5. заключение договоров на аттестацию. Результатом предыдущих четырех этапов становится заключение договора между заявителем и органом по аттестации, заключением договоров между органом по аттестации и привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
  6. проведение аттестационных испытаний объекта информатизации. В ходе аттестационных испытаний выполняется следующее:
    • анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
    • определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
    • проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
    • проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
    • проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
    • оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации[6.2]

    К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.

    Протокол аттестационных испытаний должен включать:

    • вид испытаний;
    • объект испытаний;
    • дату и время проведения испытаний;
    • место проведения испытаний;
    • перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);
    • перечень нормативно-методических документов, в соответствии с которыми проводились испытания;
    • методику проведения испытания (краткое описание);
    • результаты измерений;
    • результаты расчетов;
    • выводы по результатам испытаний [6.4]

    Протоколы испытаний подписываются экспертами – членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов.

    Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю [2]. Заключение и протоколы испытаний подлежат утверждению органом по аттестации.

  7. оформление, регистрация и выдача "Аттестата соответствия" (если заключение по результатам аттестации утверждено).
  8. осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
  9. рассмотрение апелляций. В случае, если заявитель не согласен с отказом в выдаче "Аттестата соответствия", он может подать апелляцию в вышестоящий орган по аттестации или в ФСТЭК. Апелляция рассматривается в срок, не превышающий один месяц с привлечением заинтересованных сторон.

Аттестат соответствия должен содержать:

  • регистрационный номер;
  • дату выдачи;
  • срок действия;
  • наименование, адрес и местоположение объекта информатизации;
  • категорию объекта информатизации;
  • класс защищенности автоматизированной системы;
  • гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;
  • организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
  • номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;
  • перечень руководящих документов, в соответствии с которыми проводилась аттестация;
  • номер и дата утверждения заключения по результатам аттестационных испытаний;
  • состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;
  • организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;
  • перечень действий, которые запрещаются при эксплуатации объекта информатизации;
  • список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.

Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

< Лекция 5 || Лекция 6 || Лекция 7 >
Роман Скобин
Роман Скобин
Евгений Надбитов
Евгений Надбитов