Опубликован: 23.02.2018 | Уровень: для всех | Доступ: платный
Лекция 19:

Состав и содержание документов, разрабатываемых для проведения аттестации и по результатам аттестации автоматизированной системы

Состав и содержание документов, разрабатываемых для проведения аттестации и по результатам аттестации защищаемого помещения

Краткая аннотация: структура и содержание документов, оформляемых на этапе подготовки к аттестации, проведения аттестации и по результатам проведения аттестации объекта информатизации – защищаемого помещения.

Цель: получить навыки разработки документов на аттестуемый объект информатизации – защищаемое помещение.

На аттестуемый объект информатизации на базе защищаемого помещения, разрабатываются следующие документы:

  1. Приказ "Об организации защиты информации на объекте информатизации", определяет:
    • должностное лицо, ответственное за объект информатизации;
    • функциональные обязанности ответственного лица по поддержанию заданного уровня безопасности информации на объекте информатизации;
    • перечень документов, которыми ответственное лицо обязано руководствоваться по вопросам защиты информации.
  2. Положение о защите конфиденциальной информации или Руководство по защите конфиденциальной информации (раздел 3.1).
  3. Перечень сведений конфиденциального характера (раздел 3.1).
  4. Приказ об определении границ контролируемой зоны (раздел 3.1).
  5. Справка об уровне подготовки кадров, обеспечивающих защиту информации в организации и на объекте информатизации. Указывается образование и данные о повышении квалификации специалистов, ответственных за защиту и эксплуатацию объекта информатизации. При необходимости, может быть проведен опрос с целью выяснения уровня подготовки кадров, а также проведено обучение работе со средствами защиты информации, установленными в защищаемом помещении.
  6. Документация разрешительной системы доступа в защищаемое помещение и к обсуждаемым в нем вопросам, включающая в себя:
    • перечень должностных лиц, имеющих право доступа в защищаемое помещение с указанием должности и ФИО;
    • круг вопросов, к которым допущено каждое должностное лицо.
  7. Акт обследования защищаемого помещения (раздел 3.1).
  8. Программа-методика аттестационных испытаний защищаемого помещения (раздел 3.3.2).
  9. Протокол инструментально-расчетной оценки защищенности помещения от утечки речевой информации(раздел 3.5).
  10. Протокол инструментального контроля величины акустоэлектрических преобразований(раздел 3.5).
  11. Протокол оценки защищенности защищаемого помещения от утечки информации по каналам акустоэлектрических преобразований(раздел 3.5).
  12. Предписание на эксплуатацию основных технических средств и систем объекта информатизации (раздел 3.1).
  13. Инструкция по обеспечению защиты информации, обсуждаемой в защищаемом помещении. Содержит требования по обеспечению защиты информации на аттестованном объекте информатизации, перечень организационных мероприятий, которые необходимо выполнять при проведении работ на объекте информатизации, список действий, которые необходимо осуществлять до и после проведения переговоров, перечень действий ответственного лица, в случае нарушения работоспособности системы активной защиты, ответственность за нарушение требований по защите информации на объекте информатизации.
  14. Инструкция по эксплуатации средств защиты информации на объекте информатизации. Определяет перечень систем активной защиты информации, установленных на объекте информатизации, порядок работы с ними, лиц, ответственных за эксплуатацию средств защиты информации, а также перечень действий, запрещенных пользователю при работе на объекте информатизации с установленными средствами защиты информации.
  15. Акт технической приемки системы активной защиты информации, установленной в защищаемом помещении. Акт содержит данные о составе система активной защиты информации, установленной в защищаемом помещении (с указанием всех установленных датчиков), данные о проверке работоспособности, произведенных настройках системы защиты, а также подписи должностных лиц со стороны органа по аттестации и заявителя, заверяющие работоспособность системы активной защиты.
  16. Технический паспорт на защищаемое помещение. Технический паспорт на защищаемое помещение имеет следующую структуру:
Таблица 17. Структура "Технического паспорта…"
№ раздела Название раздела Содержание раздела
1 Состав технических средств, установленных в защищаемом помещении

1. Данные об объекте информатизации

2. Данные о расположении объекта информатизации

3. Данные о выданном аттестате соответствия

2 Перечень оборудования, установленного в защищаемом помещении

1. Состав основных технических средств и систем

2. Состав вспомогательных технических средств и систем

3. Состав средств защиты информации

4. Перечень мебели и предметов интерьера

3 Сведения об аттестации объекта информатизации

2. Перечень документов, выданных органом по аттестации в рамках проведения работ по аттестации (протоколы, заключения, аттестат соответствия) с указанием учетных номеров документов

4 Результаты контроля защищаемого помещения

1. Лист регистрации аттестационных испытаний и периодического контроля состояния защищенности аттестованного защищаемого помещения с указанием наименования организации, проводившей проверку, даты проведения проверки, номера протокола и подписи ответственного за проведение контроля

5 Лист регистрации изменений

1. Пустые листы для записи изменений, производимых на объекте информатизации (изменение состава основных и вспомогательных технических средств и систем, места расположения, замена средств защиты информации)

6 Приложения к техническому паспорту

1. Схема расположения технических средств относительно границ контролируемой зоны

2. Схема сети электропитания и заземления

  1. Протокол аттестационных испытаний объекта защищаемого помещения (раздел 3.7).
  2. Заключение по результатам аттестационных испытаний защищаемого помещения (раздел 3.7). Содержит оценку соответствия объекта информатизации – защищаемого помещения требованиям по безопасности информации, а также вывод о соответствии или несоответствии объекта информатизации установленным требованиям и возможность выдачи "Аттестата соответствия". При отрицательных выводах заключения органом по аттестации принимается решение о проведении дополнительных мероприятий по защите информации и назначаются повторные аттестационные испытания защищаемого помещения.
  3. Аттестат соответствия требованиям безопасности информации защищаемого помещения (раздел 3.8). Выдается при положительных выводах о соответствии объекта информатизации установленным требованиям по безопасности информации и дает право обсуждения информации заявленной степени конфиденциальности в защищаемом помещении. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в "Аттестате соответствия".
  1. Приказ о вводе в эксплуатацию объекта информатизации – защищаемого помещения. Разрабатывается после получения Аттестата соответствия и определяет сроки начала обработки информации на объекте информатизации. В приказе указываются:
    • наименование объекта информатизации и место его расположения;
    • дата ввода объекта информатизации в эксплуатацию;
    • решение о возможности обсуждения информации ограниченного доступа с указанием максимальной степени ее конфиденциальности;
    • документы, которые устанавливают требования при обработке информации на объекте информатизации (Аттестат соответствия, Инструкции и т.д.);
    • перечень должностных лиц, ответственных за защиту информации на объекте информатизации, а также за его эксплуатацию;
    • периодичность проведения контроля защищенности объекта информатизации.

Итоги: Аттестация объекта информатизации проводится в тесной взаимосвязи заявителя и органа по аттестации. До начала проведения работ по аттестации заявитель разрабатывает требуемый пакет документов и предоставляет его органу по аттестации. Орган по аттестации проводит работы по аттестации объекта информатизации и выдает пакет документов, подтверждающих выполнение требований по защите информации на объекте информатизации и дающий право обработки информации на аттестованном объекте информатизации.

Ключевые слова: автоматизированная система, аттестат соответствия, аттестация, заявитель, защищаемое помещение, объект информатизации, орган по аттестации

Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

Оксана Беляева
Оксана Беляева

Добрый день!

Подскажите, почему после прохождения теста, не могу увидеть свои варианты ответов. в некоторых случаях возникает спорная ситауция и не понятно  - это неточность вопроса или моя опечатка.

 

Алексей Федосеев
Алексей Федосеев
Россия, Белгород, Белгородский государственный национальный исследовательский университет
Зоя Костромина
Зоя Костромина
Россия, г.Шадринск, ШГБОУ ВО Шадринский государственный педагогический университет