Аттестация объектов
информатизации
Аттестация объектов
информатизации
Порядок аттестации
объектов информатизации по требованиям
безопасности информации:
- подача и рассмотрение
заявки на аттестацию;
- предварительное
ознакомление с аттестуемым объектом;
- испытание несертифицированных
средств и систем защиты информации, используемых
на аттестуемом объекте (при необходимости);
- разработка программы
и методики аттестационных испытаний;
- заключение договора
на аттестацию;
- проведение аттестационных
испытаний объекта информатизации;
- оформление, регистрация
и выдача «Аттестата соответствия»;
- осуществление
государственного контроля и надзора,
инспекционного контроля за проведением
аттестации и эксплуатацией аттестованных
объектов информатизации.
Аттестационные испытания
объекта информатизации.
Аттестация предусматривает
комплексную проверку (аттестационные
испытания) защищаемого объекта
информатизации в реальных условиях
эксплуатации с целью оценки
соответствия применяемого комплекса
мер и средств защиты требуемому
уровню безопасности информации.
Порядок, содержание,
условия и методы испытаний
для оценки характеристик и
показателей, проверяемых при
аттестации, соответствия их установленным
требованиям, а также применяемые
в этих целях контрольная аппаратура
и тестовые средства определяются в
методиках испытаний различных видов
объектов информатизации. В процессе аттестации:
- осуществляется
анализ организационной структуры объекта
информатизации, информационных потоков,
состава и структуры комплекса технических
средств и программного обеспечения, системы
защиты информации на объекте, разработанной
документации и ее соответствия требованиям
нормативной документации по защите информации;
- определяется
правильность категорирования объектов
ЭВТ и классификации АС (при аттестации
автоматизированных систем), выбора и
применения сертифицированных и несертифицированных
средств и систем защиты информации;
- проводятся испытания
несертифицированных средств и систем
защиты информации на аттестуемом объекте
или анализ результатов их испытаний в
испытательных центрах (лабораториях)
по сертификации;
- проверяется уровень
подготовки кадров и распределение ответственности
персонала за обеспечение выполнения
требований по безопасности информации;
- проводятся комплексные
аттестационные испытания объекта информатизации
в реальных условиях эксплуатации путем
проверки фактического выполнения установленных
требований на различных этапах технологического
процесса обработки защищаемой информации;
- оформляются протоколы
испытаний и заключение по результатам
аттестации с конкретными рекомендациями
по устранению допущенных нарушений, приведению
системы защиты объекта информатизации
в соответствие с установленными требованиями
и совершенствованию этой системы, а также
рекомендациями по контролю за функционированием
объекта информатизации.
В рамках выполнения
аттестационных испытаний специалисты
в целях обеспечения полного
цикла работ от создания и
внедрения системы защиты информации
на объекте информатизации Заказчика,
до подтверждения его соответствия
требованиям по безопасности информации
проведут следующие работы:
Справочные материалы.
Заявка на
аттестацию содержит:
- перечень подлежащих
аттестации объектов информатизации и
выделенных помещений с указанием для
каждого объекта назначения, категории
и местоположения;
- перечень установленных
технических средств обработки информации
ограниченного доступа (ТСОИ) с указанием
наличия сертификата соответствия (предписания
на эксплуатацию), заключением по результатам
специальной проверки на наличие возможно
внедренных электронных устройств перехвата
информации, категорий и мест (помещений)
их установки;
- перечень установленных
вспомогательных технических средств
и систем (ВТСС) с указанием наличия сертификата
соответствия, заключения по результатам
специальной проверки на наличие возможно
внедренных электронных устройств перехвата
информации и мест их установки;
- перечень установленных
технических средств защиты информации
с указанием наличия сертификата соответствия
и мест их установки.
- Необходимые организационно-распорядительной
документации по защите конфиденциальной
информации:
- Приемо-сдаточная
документация на объект информатизации;
- Акты категорирования
выделенных помещений и объектов информатизации;
- Инструкции по
эксплуатации средств защиты информации;
- Технический паспорт
на аттестуемый объект;
- Документы на
эксплуатацию (сертификаты соответствия
требованиям безопасности информации)
ТСОИ;
- Сертификаты соответствия
требованиям безопасности информации
на ВТСС;
- Сертификаты соответствия
требованиям безопасности информации
на технические средства защиты информации;
- Акты на проведенные
скрытые работы;
- Протоколы измерения
звукоизоляции выделенных помещений и
эффективности экранирования сооружений
и кабин (если они проводились);
- Протоколы измерения
величины сопротивления заземления;
- Протоколы измерения
реального затухания информационных сигналов
до мест возможного размещения средств
разведки;
- Данные по уровню
подготовки кадров, обеспечивающих защиту
информации;
- Данные о техническом
обеспечении средствами контроля эффективности
защиты информации и их метрологической
поверке;
- Нормативную и
методическую документацию по защите
информации и контролю эффективности
защиты;
- Приведенный общий
объем исходных данных и документации
может уточняться заявителем в зависимости
от особенностей аттестуемого объекта
информатизации по согласованию с аттестационной
комиссией;
- Пояснительную
записку, содержащую информационную характеристику
и организационную структуру объекта
защиты, сведения об организационных и
технических мероприятиях по защите информации
от утечки по техническим каналам;
- Перечень объектов
информатизации, подлежащих защите, с
указанием мест их расположения и установленной
категории защиты;
- Перечень выделенных
помещений, подлежащих защите, с указанием
мест их расположения и установленной
категории защиты;
- Перечень устанавливаемых
ТСОИ с указанием наличия сертификата
(предписания на эксплуатацию) и мест их
установки;
- Перечень устанавливаемых
ВТСС с указанием наличия сертификата
и мест их установки;
- Перечень устанавливаемых
технических средств защиты информации
с указанием наличия сертификата и мест
их установки;
- Схему (в масштабе)
с указанием плана здания, в котором расположены
защищаемые объекты, границы контролируемой
зоны, трансформаторной подстанции, заземляющего
устройства, трасс прокладки инженерных
коммуникаций, линий электропитания, связи,
пожарной и охранной сигнализации, мест
установки разделительных устройств и
т.п.;
- Технологические
поэтажные планы здания с указанием мест
расположения объектов информатизации
и выделенных помещений и характеристиками
их стен, перекрытий, материалов отделки,
типов дверей и окон;
- Планы объектов
информатизации с указанием мест установки
ТСОИ, ВТСС и прокладки их соединительных
линий, а также трасс прокладки инженерных
коммуникаций и посторонних проводников;
- План-схему инженерных
коммуникаций всего здания, включая систему
вентиляции;
- План-схему системы
заземления объекта с указанием места
расположения заземлителя;
- План-схему системы
электропитания здания с указанием места
расположения разделительного трансформатора
(подстанции), всех щитов и разводных коробок;
- План-схему прокладки
телефонных линий связи с указанием мест
расположения распределительных коробок
и установки телефонных аппаратов;
- План-схему систем
охранной и пожарной сигнализации с указанием
мест установки и типов датчиков, а также
распределительных коробок;
- Схемы систем
активной защиты (если они предусмотрены).
Аттестация по
требованиям безопасности информации
предшествует началу обработки подлежащей
защите информации и вызвана необходимостью
официального подтверждения эффективности
комплекса используемых на конкретном
объекте информатизации мер и средств
защиты информации.
Аттестация объектов
информатизации по требованиям безопасности
информации осуществляется в соответствии
с нормативно – правовыми и методическими
документами ФСТЭК России.
Под аттестацией
объектов информатизации понимается
комплекс организационно-технических
мероприятий, в результате которых
посредством специального документа –
«Аттестата соответствия» подтверждается,
что объект соответствует требованиям
стандартов или иных нормативно-технических
документов по безопасности информации.
Объект информатизации
- совокупность информационных ресурсов,
средств и систем обработки информации,
используемых в соответствии с заданной
информационной технологией, средств
обеспечения объекта информатизации,
помещений или объектов (зданий, сооружений,
технических средств), в которых они установлены,
или помещения и объекты, предназначенные
для ведения конфиденциальных переговоров
(ГОСТ Р 51275-99).
Наличие на
объекте информатизации действующего
«Аттестата соответствия» дает
право обработки информации с
уровнем секретности (конфиденциальности)
и на период времени, установленными
в «Аттестате соответствия».
«Аттестат соответствия»
выдается владельцу аттестованного
объекта информатизации органом
по аттестации на период, в
течение которого обеспечивается
неизменность условий функционирования
объекта информатизации и технологии
обработки защищаемой информации, могущих
повлиять на характеристики, определяющие
безопасность информации (состав и структура
технических средств, условия размещения,
используемое программное обеспечение,
режимы обработки информации, средства
и меры защиты), но не более чем на 3 года.
Владелец аттестованного объекта информатизации
несет ответственность за выполнение
установленных условий функционирования
объекта информатизации, технологии обработки
защищаемой информации и требований по
безопасности информации.
Государственный
контроль и надзор, инспекционный
контроль за проведением аттестации
объектов информатизации проводится
ФСТЭК России как в процессе,
так и по завершении аттестации,
а за эксплуатацией аттестованных
объектов информатизации - периодически
в соответствии с планами работы по контролю
и надзору.