АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ И ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ..

logo11d 4 1

АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ И ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ..

АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ И ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ.

ХОРЕВ Анатолий Анатольевич,
доктор технических наук, профессор

АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ И ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации [2].

Объекты информатизации вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации [2].

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации [2].

Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия» [2].

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа к информации, обрабатываемой автоматизированными средствами (в том числе от компьютерных вирусов), и от утечки информации по техническим каналам.

При необходимости по решению руководителя предприятия (учреждения, фирмы) организациями, имеющими соответствующие лицензии ФСБ России, могут быть проведены специальные проверки на наличие возможно внедренных в выделенные помещения или технические средства специальных электронных устройств перехвата информации («закладных устройств»).

Основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроль и надзор за аттестацией и эксплуатацией аттестуемых объектов информатизации устанавливает «Положение по аттестации объектов информации по требованиям безопасности информации» (далее — Положение), утвержденное председателем Гостехкомиссии России 25 ноября 1994 г. [2].

Система аттестации объектов информации по требованиям безопасности информации (далее – система аттестации) является составной частью единой обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке [2].

Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее – федеральный орган по сертификации и аттестации), которым является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) в пределах ее компетенции, определяемой законодательными актами Российской Федерации.

Организационную структуру системы аттестации объектов информатизацииобразуют [2]:

  • федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации;
  • органы по аттестации объектов информатизации по требованиям безопасности информации;
  • испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
  • заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

Федеральный орган по сертификации и аттестацииосуществляет следующие функции [2]:

  • организует обязательную аттестацию объектов информатизации;
  • создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
  • устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
  • организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
  • аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
  • осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
  • рассматривает апелляции, возникающие в процессе аттестации объектов информатизации и контроля за эксплуатацией аттестованных объектов информатизации;
  • организует периодическую публикацию информации по функционированию системы аттестации объектов по требованиям безопасности информации.

Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации.

Такими органами могут быть отраслевые и региональные организации, предприятия и организации по защите информации, специальные центры ФСТЭК РФ.

Правила аккредитации определяются действующим в системе «Положением об аккредитации испытательных лабораторий и органов по сертификации средств информации по требованиям безопасности информации» для органов по сертификации.

Органы по аттестации [2]:

  • аттестуют объекты информатизации и выдают «Аттестаты соответствия»;
  • осуществляют контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;
  • отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»;
  • формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;
  • ведут информационную базу аттестованных этим органом объектов информатизации;
  • осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.

Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.

Испытательные центры (лаборатории) сертификации продукции по требованиям безопасности информации в соответствии с заказами заявителей проводят испытания несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации» [2].

Заявители [2]:

  • проводят подготовку объекта информатизации к аттестации путем необходимых организационно-технических мероприятий по защите информации;
  • привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;
  • предоставляют органам по аттестации необходимые документы и условия проведения аттестации;
  • при необходимости привлекают для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры по сертификации;
  • осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;
  • извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в «Аттестате соответствия»);
  • предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

Расходы по проведению всех работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.

Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам в порядке, установленном федеральным органом по сертификации и аттестации в пределах его компетенции, по согласованию с Министерством финансов Российской Федерации, а при их отсутствии – по договорной цене.

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации.

Порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации включает следующие действия [2]:

  • подачу заявки на рассмотрение и проведение аттестации;
  • анализ исходных данных по аттестуемому объекту информатизации;
  • проведение предварительного специального обследования аттестуемого объекта информатизации;
  • разработку программы и методики аттестационных испытаний;
  • заключение договоров на аттестацию;
  • испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
  • проведение специальных проверок на наличие возможно внедренных электронных устройств перехвата информации;
  • проведение аттестационных испытаний объекта информатизации;
  • оформление, регистрацию и выдачу «Аттестата соответствия»;
  • осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
  • рассмотрение апелляций.

Рассмотрим порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации от утечки по техническим каналам.

Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации, которые включают:

  • перечень подлежащих аттестации объектов информатизации и выделенных помещений с указанием для каждого объекта назначения, категории и местоположения;
  • перечень установленных технических средств обработки информации ограниченного доступа (ТСОИ) с указанием наличия сертификата соответствия (предписания на эксплуатацию), заключением по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации, категорий и мест (помещений) их установки;
  • перечень установленных вспомогательных технических средств и систем (ВТСС) с указанием наличия сертификата соответствия, заключения по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации и мест их установки;
  • перечень установленных технических средств защиты информации с указанием наличия сертификата соответствия и мест их установки.

Орган по аттестации в месячный срок рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.

При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному специальному обследованию аттестуемого объекта, проводимые до этапа аттестационных испытаний.

При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.

По результатам рассмотрения заявки и анализа исходных данных, а также предварительного специального обследования аттестуемого объекта органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (если не используются типовые методики), определяется состав (количественный и профессиональный) аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров по сертификации средств защиты информации по требованиям безопасности информации [2].

Программа испытаний разрабатывается на основе анализа исходных данных об объекте информатизации и должна включать необходимые виды испытаний, определенные методические рекомендации для соответствующих видов объектов информатизации (выделенные помещения, автоматизированные системы, системы связи и т.д.), а также определять сроки, условия и методики проведения испытаний.

Программа аттестационных испытаний согласовывается с заявителем и может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии.

Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных объектов информатизации.

Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту. В нормативную и методическую документацию включаются только те показатели, характеристики и требования, которые могут быть объективно проверены.

В нормативной и методической документации по методам испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты.

Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование, в них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направлениям защиты информации.

Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации [2].

Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.

Аттестационные испытания предусматривают комплексную проверку защищаемого объекта в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации и проводятся в следующем порядке [1, 2]:

  • анализ и оценка исходных данных и документации по защите информации на объекте информатизации, оценка правильности категорирования выделенных помещений и объектов информатизации;
  • оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
  • специальное обследование объекта информатизации;
  • проведение испытаний отдельных средств и систем защиты информации в испытательных центрах по сертификации продукции по требованиям безопасности информации (при необходимости);
  • специальные проверки технических средств на наличие возможно внедренных специальных электронных устройств перехвата информации;
  • специальные проверки помещений на наличие возможно внедренных специальных электронных устройств перехвата информации;
  • проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольно-измерительной аппаратуры;
  • анализ результатов специального обследования и аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации;
  • подготовка отчетной документации — протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта информатизации установленным требованиям, которая представляется в орган по аттестации для принятия решения о выдаче «Аттестата соответствия».

Для проведения испытаний заявитель представляет органу по аттестации следующие исходные данные и документацию:

  • приемо-сдаточную документацию на объект информатизации;
  • акты категорирования выделенных помещений и объектов информатизации;
  • инструкции по эксплуатации средств защиты информации;
  • технический паспорт на аттестуемый объект;
  • документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
  • сертификаты соответствия требованиям безопасности информации на ВТСС;
  • сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
  • акты на проведенные скрытые работы;
  • протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
  • протоколы измерения величины сопротивления заземления;
  • протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
  • данные по уровню подготовки кадров, обеспечивающих защиту информации;
  • данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
  • нормативную и методическую документацию по защите информации и контролю эффективности защиты.

Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.

Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять