Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД

     Под аттестацией объектов информатизации понимается комплекс организационно-технических  мероприятий, в результате которых  посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям  стандартов или иных нормативно-технических  документов по безопасности информации, утвержденных ФСТЭК. Наличие на объекте  информатизации действующего "Аттестата  соответствия" дает право обработки  информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".

     Обязательной  аттестации подлежат объекты информатизации, предназначенные для обработки  информации, составляющей государственную  тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца  объекта информатизации.

     Организационную структуру системы аттестации объектов информатизации образуют:

• федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации - Гостехкомиссия России;
• органы по аттестации объектов информатизации по требованиям безопасности информации;
• испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
• заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

     Аттестация  по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

 

     

2.   Аттестация объектов информатизации.

1. Аттестация  и получение аттестата  соответствия

 

     Аттестация  предусматривает комплексную проверку (аттестационные испытания) защищаемого  объекта информатики в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса  мер и средств защиты требуемому уровню безопасности информации.

     Аттестация  объектов информатизации состоит из комплекса организационно-технических  мероприятий, в результате которых  посредством специального документа - Аттестата соответствия - подтверждается, что объект соответствует требованиям  стандартов или иных нормативно-технических  документов по безопасности информации, утвержденных государственными органами по сертификации и аттестации в пределах своей компетенции.

     В соответствии с требованиями действующих  в Российской Федерации нормативных  документов, обработка сведений, составляющих Государственную тайну, разрешается  только при наличии на объекте  информатизации действующего Аттестата  соответствия, который дает право  обрабатывать информацию с соответствующим  уровнем секретности.

     Конкретные  условия, порядок и объем проведения испытаний объектов информатизации по требованиям безопасности информации определяются "Программой испытаний" и "Методикой испытаний" в рамках заключаемого договора на проведение работ.

2. Виды  объектов информатизации, подлежащих аттестационным испытаниям

 

     Объектами информатизации, подлежащими аттестации по требованиям безопасности информации, являются автоматизированные системы  различного уровня и назначения, системы  связи, отображения и размножения, предназначенные для обработки  и передачи информации ограниченного  доступа, подлежащей защите, вместе с  помещениями, в которых они установлены.

     Аттестационным  проверкам и испытаниям в составе  автоматизированных систем, систем обработки  и передачи информации подвергаются:

• отдельные средства вычислительной техники (СВТ) и ЭВМ;
• комплексы ЭВМ, средств обработки и передачи информации;
• локальные вычислительные сети (ЛВС);
• сети связи на базе СВТ различного уровня и назначения;
• общее и специальное программное обеспечение автоматизированных систем, систем обработки и передачи информации;
• системы и средства защиты информации.

     Инженерные  коммуникации и оборудование объектов, подвергаемое испытаниям, включает в  себя:

• систему энергопитания объекта;
• систему заземления объекта;
• системы связи и сигнализации объекта;
• системы жизнеобеспечения объекта (системы водоснабжения, теплоснабжения и т. д.).

     Конкретный  перечень объектов информатизации организации-Заказчика, подлежащих аттестации по требованиям  безопасности информации (обязательной или добровольной), их состав и необходимый  уровень защиты определяются в договоре на проведение работ.

3. Порядок проведения аттестационных испытаний.

 
 

     Аттестация  объектов информатизации организации-Заказчика  проводится аттестационной комиссией  организации-исполнителя по согласованной  с заявителем "Программе испытаний".

     Программа аттестационных испытаний разрабатывается  на основе анализа исходных данных об объекте информатизации на этапе  предварительного ознакомления с объектом и должна включать необходимые виды испытаний, а также определять сроки, условия и Методику (методики) проведения испытаний.

     Программа испытаний может уточняться и  корректироваться в процессе испытаний  по согласованию с заявителем и руководителем  аттестационной комиссии.

     Для проведения испытаний заявитель  представляет аттестационной комиссии следующие исходные данные и документацию:

• техническое задание и формуляр (технический паспорт) на объект аттестации; приемосдаточную документацию;
• описание технологического процесса обработки информации на аттестуемом объекте;
• перечень технических и программных средств, входящих в состав аттестуемого объекта;
• перечень защищаемых информационных ресурсов аттестуемого объекта с документальным подтверждением уровней конфиденциальности каждого ресурса;
• организационно-распорядительную документацию разрешительной системы доступа персонала к защищаемым ресурсам объекта;
• акты классификации автоматизированных систем по требованиям безопасности информации;
• акты категорирования объектов вычислительной техники;
• технологические инструкции пользователям автоматизированных информационных систем и администратору безопасности информации;
• состав и схемы размещения средств защиты информации;
• инструкции по эксплуатации средств защиты информации;
• планы размещения СВТ и вспомогательных технических средств;
• план контролируемой зоны аттестуемого объекта;
• схемы прокладки линий передачи данных;
• схемы и характеристики систем электропитания и заземления аттестуемого объекта;
• предписания на эксплуатацию СВТ;
• протоколы специальных исследований СВТ;
• акты или заключения о специальной проверке СВТ;
• сертификаты соответствия требованиям безопасности информации на программные и технические СВТ, используемые средства защиты;
• данные по уровню подготовки кадров, обеспечивающих защиту информации;
• данные о техническом обеспечении средствами контроля эффективности защиты информации;
• нормативную и методическую документацию по защите информации и контролю ее эффективности.

     Перечень  исходных данных и документации может  уточняться по согласованию с аттестационной комиссией.

     Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

• подачу и рассмотрение заявки на аттестацию;
• предварительное ознакомление с аттестуемым объектом;
• испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
• разработка программы и методики аттестационных испытаний;
• заключение договоров на аттестацию;
• проведение аттестационных испытаний объекта информатизации;
• оформление, регистрация и выдача "Аттестата соответствия";
• осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
• рассмотрение аппеляций.

     При необходимости аттестационная комиссия по согласованию с заявителем может  временно приостановить аттестацию объекта информатизации на период проведения требуемых дополнительных мероприятий  по защите объекта в целом или  его отдельных элементов.

4. Завершение  аттестационных работ  и оценка их результатов.

 
 

     Результаты  аттестационных испытаний объекта  информатики оцениваются на соответствие требованиям нормативных документов по безопасности информации. Испытания  оформляются протоколами, составляемыми  по каждому отдельному виду испытаний.

     Протоколы испытаний прикладываются к Заключению по результатам проведения испытаний, оформляемому по окончании работы комиссии.

     В "Заключении..." предоставляется  информация по следующим разделам:

• Оценка соответствия аттестуемого объекта требованиям НТД по безопасности информации.
• Рекомендации по устранению недостатков, обнаруженных комиссией.
• Вывод о возможности выдачи "Аттестата соответствия".

     На  основании выводов "Заключения..." оформляется "Аттестат соответствия".

 

 

3.   Набор типовых лабораторных работ, входящих в типовые лабораторные практикумы.

 

     Разработанные типовые лабораторные работы входят в состав типовых лабораторных практикумов  «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации» и «Сверка результатов инвентаризации с представленными исходными данными по составу технических и программных средств».

1.   ТЛП «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации» и «Сверка результатов инвентаризации с представленными исходными данными по составу технических и программных средств».

 

Назначение

     Данный  лабораторный практикум предназначен для  подготовки специалистов в области  аттестации объектов информатизации и  содержит описание  типовых лабораторных работ по теме «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации». В состав данного пособия входят введение к каждой типовой лабораторной работе, методические указания по их проведению, а также список контрольных вопросов на основе теста для более эффективного усвоения необходимого материала.

     ТЛП разработан для профессиональной подготовки специалистов по защите информации в  области аттестации объектов информатизации по требованиям информационной безопасности на примере лаборатории защиты от несанкционированного доступа.

 

     Цель

     Получение практических навыков проведения аттестационных испытаний по требованиям безопасности информации в части проверки соответствия АС требованиям стандартов и других нормативных документов по защите информации, утвержденных (согласованных) Федеральной службой по техническому и экспортному контролю (ФСТЭК) России или иными органами государственного управления в пределах их компетенции от несанкционированного доступа.

 

     Предметная  область

     Объект  исследования – исходные данные и документация, представляемые для проведения аттестации автоматизированной системы.