Аттестация объектов информатизации

Аттестация объектов информатизации 
 

 Аттестация объектов  информатизации 

Порядок аттестации объектов информатизации по требованиям  безопасности информации:

• подача и рассмотрение заявки на аттестацию;
• предварительное ознакомление с аттестуемым объектом;
• испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
• разработка программы и методики аттестационных испытаний;
• заключение договора на аттестацию;
• проведение аттестационных испытаний объекта информатизации;
• оформление, регистрация и выдача «Аттестата соответствия»;
• осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации.

Аттестационные испытания объекта информатизации. 

  Аттестация предусматривает  комплексную проверку (аттестационные  испытания) защищаемого объекта  информатизации в реальных условиях  эксплуатации с целью оценки  соответствия применяемого комплекса  мер и средств защиты требуемому  уровню безопасности информации. 

  Порядок, содержание, условия и методы испытаний  для оценки характеристик и  показателей, проверяемых при  аттестации, соответствия их установленным  требованиям, а также применяемые  в этих целях контрольная аппаратура  и тестовые средства определяются в методиках испытаний различных видов объектов информатизации. В процессе аттестации:

• осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
• определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;
• проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
• проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
• проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
• оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

  В рамках выполнения  аттестационных испытаний специалисты  в целях обеспечения полного  цикла работ от создания и  внедрения системы защиты информации  на объекте информатизации Заказчика,  до подтверждения его соответствия  требованиям по безопасности информации проведут следующие работы:

Справочные материалы. 

  Заявка на  аттестацию содержит:

• перечень подлежащих аттестации объектов информатизации и выделенных помещений с указанием для каждого объекта назначения, категории и местоположения;
• перечень установленных технических средств обработки информации ограниченного доступа (ТСОИ) с указанием наличия сертификата соответствия (предписания на эксплуатацию), заключением по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации, категорий и мест (помещений) их установки;
• перечень установленных вспомогательных технических средств и систем (ВТСС) с указанием наличия сертификата соответствия, заключения по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации и мест их установки;
• перечень установленных технических средств защиты информации с указанием наличия сертификата соответствия и мест их установки.
• Необходимые организационно-распорядительной документации по защите конфиденциальной информации:
• Приемо-сдаточная документация на объект информатизации;
• Акты категорирования выделенных помещений и объектов информатизации;
• Инструкции по эксплуатации средств защиты информации;
• Технический паспорт на аттестуемый объект;
• Документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
• Сертификаты соответствия требованиям безопасности информации на ВТСС;
• Сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
• Акты на проведенные скрытые работы;
• Протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
• Протоколы измерения величины сопротивления заземления;
• Протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
• Данные по уровню подготовки кадров, обеспечивающих защиту информации;
• Данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
• Нормативную и методическую документацию по защите информации и контролю эффективности защиты;
• Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией;
• Пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
• Перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
• Перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
• Перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
• Перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
• Перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
• Схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
• Технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
• Планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
• План-схему инженерных коммуникаций всего здания, включая систему вентиляции;
• План-схему системы заземления объекта с указанием места расположения заземлителя;
• План-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
• План-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
• План-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
• Схемы систем активной защиты (если они предусмотрены).

  Аттестация по  требованиям безопасности информации  предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. 

  Аттестация объектов  информатизации по требованиям безопасности информации осуществляется в соответствии с нормативно – правовыми и методическими документами ФСТЭК России. 

  Под аттестацией  объектов информатизации понимается  комплекс организационно-технических  мероприятий, в результате которых  посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации. 

  Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров (ГОСТ Р 51275-99). 

  Наличие на  объекте информатизации действующего  «Аттестата соответствия» дает  право обработки информации с  уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия». 

  «Аттестат соответствия»  выдается владельцу аттестованного  объекта информатизации органом  по аттестации на период, в  течение которого обеспечивается  неизменность условий функционирования  объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации. 

  Государственный  контроль и надзор, инспекционный  контроль за проведением аттестации  объектов информатизации проводится  ФСТЭК России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных  объектов информатизации - периодически в соответствии с планами работы по контролю и надзору.