01-10-2018 15:17

Аттестация объектов информатизации: сроки прохождения, условия, основные положения и требования ГОСТ

Содержание статьи:

Работа по аттестации объектов информатизации по требованиям безопасности информации проводится в России Федеральной службой по техническому и экспортному контролю, которая занимается межведомственным взаимодействием и координацией, исполняя специальные функции в сфере безопасности государства.

Сущность аттестации объектов информатизации

Объектами компьютеризации являются совокупность ресурсов с данными, а также систем и средств их обработки, которые используются в соответствии с предварительно установленной технологией. Также объектами информатизации являются средства обеспечения компьютеризированными предметами, помещения (сооружения, здания), технические приспособления, которые предназначаются для проведения конфиденциальных встреч и переговоров.

Проверка службы безопасности при приеме на работу: правила проверки, сроки, необходимые данные соискателя и результатыВам будет интересно:Проверка службы безопасности при приеме на работу: правила проверки, сроки, необходимые данные соискателя и результаты

Аттестация объекта информатизации по требованиям безопасности информации – совокупность мероприятий организационно-технического характера. Результатом такой проверки является составленный специалистами документ – «аттестат соответствия». Эта бумага подтверждает, что проверяемый объект отвечает всем требованиям регламентов и стандартов, утвержденных ФСТЭК. После получения итогового документа организация получает право обрабатывать информацию с различным уровнем конфиденциальности или секретности на определенный отрезок времени. Этот период указывается в выдаваемом ФСТЭК при аттестации объектов информатизации заключении.

Пошлина на регистрацию права собственности на квартиру: расчет пошлины, сумма платежа, правильность оформления, реквизиты для оплаты и примеры с образцамиВам будет интересно:Пошлина на регистрацию права собственности на квартиру: расчет пошлины, сумма платежа, правильность оформления, реквизиты для оплаты и примеры с образцами

Проведение проверки соответствия производится по правилам, установленным специальным нормативным правовым актом. Таким документом является «Положение по аттестации объектов информатизации» от 1994 года. Обследование предметов хранения информации проводится до того, как на носители сведений поступят какие-либо данные, нуждающиеся в обработке. Это требование обусловлено тем, что организация должна иметь официальное подтверждение эффективности средств и мер, используемых ею по защите данных на конкретном носителе информации.

Сферы деятельности организаций, требующие обязательной аттестации

Проведение аттестации объекта информатизации осуществляется в обязательном порядке при осуществлении работы предприятия в следующих случаях:

  • присутствуют элементы государственной тайны;
  • осуществляется защита информационного государственного ресурса;
  • деятельность компании связана с управлением объектами, которые считаются экологически опасными;
  • в рамках работы организации ведутся секретные переговоры.

Если ни один из указанных случаев на предприятии не имеет места, проверку проводить не обязательно. При этом многие компании проводят аттестации объектов информатизации по требованиям безопасности данных в добровольном порядке. Заявить о желании провести проверку может заказчик или владелец указанного информатизируемого объекта.

Международное трудовое право: предмет, понятие, принципыВам будет интересно:Международное трудовое право: предмет, понятие, принципы

Проведение проверки включает комплекс мероприятий (испытаний) предметов, в которых хранятся и обрабатываются данные в реальных эксплуатационных условиях. Цель проведения аттестации объектов информатизации – анализ соответствия защитных мер и средств, применяемых организацией, требуемым стандартам.

В ходе проверки исследуются следующие сферы:

  • Защита от НСД, включая компьютерные вирусы.
  • Степень сохранности объекта от утечки посредством ПЭМИН.
  • Защищенность информации от воздействия или утечки с помощью специальных предметов и устройств, которые встраиваются в предмет проверки.

    • Независимо от того, добровольная или принудительная аттестация объектов информатизации проводится, расходы по ее реализации несет заказчик.

    Перечень действий, реализуемых в процессе аттестации

    Органы по аттестации объектов информатизации проводят работу, согласно выбранной ими схеме. В перечень работ по проверке входят следующие действия:

    • Анализ имеющихся сведений по анализируемому объекту компьютеризации.
    • Предварительное изучение аттестуемого предмета информатизации.
    • Экспертное проведение обследования компьютеризируемого объекта и анализ документации, разработанной проверяемой организацией для защиты информации, содержащейся в компании. Целью анализа является установление соответствия бумаг требованиям методической и нормативной документации.
    • Проведение тестирования отдельных систем и средств защиты данных на конкретном объекте компьютеризации при помощи специальной аппаратуры и приборов.
    • Проведение аналогичного тестирования и различных испытаний в испытательных лабораториях и центрах по сертификации защитных информационных средств по требованиям компьютерной безопасности.
    • Реализация комплекса аттестационных испытательных мероприятий на объекте информатизации при непосредственной эксплуатации.
    • Анализ полученных экспертами результатов обследования и комплексных испытаний в рамках аттестации, утверждение составленного на основе результатов проверки заключения.

    Органы по аттестации объектов информатизации проходят обязательную аккредитацию в ФСТЭК, утвержденную соответствующим Положением. При проведении проверки организаций контрольные органы несут на себе ответственность за качественное выполнение функций, возложенных на них законодательными нормами, а также за сохранность информации, которая была получена ими в ходе проведения аттестации. Если при проверке были подвергнуты анализу (или иным образом затронуты) авторские права заказчика, они также должны быть соблюдены.

    Список органов, проводящих аттестацию

    Аттестация объекта информатизации по ОКПД 2 проводится следующими органами:

  • Орган федерального уровня по сертификации защитных информационных средств и аттестации соответствующих объектов компьютеризации по требованиям защиты данных.
  • Подведомственные ФСТЭК органы, осуществляющие проверку конкретных объектов на соответствие их работы нормам и стандартам безопасности.
  • Испытательные лаборатории и центры по сертификации различной продукции.
  • Заявители (владельцы, заказчики или разработчики компьютеризируемых аттестуемых объектов).

    • Аттестуемыми органами могут являться региональные и отраслевые учреждения, организации и предприятия по информационной защите, центры и отделения российской ФСТЭК, прошедшие аккредитацию в соответствии с нормами правовых законодательных актов.

    Полномочия органов, проводящих аттестацию

    Как оформить гражданство новорожденного?Вам будет интересно:Как оформить гражданство новорожденного?

    Органы, оказывающие услуги по аттестации объектов информатизации, наделены следующими полномочиями:

    • Проверяют объекты компьютеризации и выдают по итогам анализа специальные документы – «Аттестаты соответствия».
    • Осуществляют в процессе проверки контроль за информационной безопасностью, которая циркулирует на объектах проверки, а также за эксплуатацией конкретных носителей данных.
    • Приостанавливают официальность действия и отменяют выданные ранее аттестаты о соответствии организаций установленным нормам безопасности.
    • Формируют отдельные фонды методической и нормативной документации, которая подходит для аттестации каждого конкретного типа объектов компьютеризации, и принимают участие в их разработке.
    • Составляют информационную базу прошедших аттестацию объектов компьютеризации.
    • Постоянно взаимодействуют с российской ФСТЭК, ежеквартально информируя его о проведенной работе в сфере аттестации организаций.

    Согласно положению по аттестации объектов информатизации, Федеральная служба осуществляет иные полномочия в сфере проверок соответствия:

  • Проводит организацию обязательной аттестации объектов компьютеризации.
  • Создает аттестационные системы для организаций, проходящих проверку, устанавливает требования к проведению анализа организаций на предмет защиты информации в каждой системе.
  • Определяет правила прохождения аккредитации и получения лицензии по осуществлению деятельности по обязательным проверкам соответствия.
  • Организует и финансирует планирование аттестации объекта информатизации по ОКПД 2, разрабатывает и утверждает соответствующие методические и нормативные документы.
  • Проводит аккредитацию органов, которые будут в дальнейшем осуществлять проверку соответствия нормам уровня безопасности данных в организации, выдает этим органам лицензии на реализацию определенных типов полномочий.
  • Реализует меры по государственному контролю и надзору за соблюдением правильности проводимой аттестации объектов информатизации, а также за дальнейшей деятельностью прошедших проверку организаций.
  • Принимает к рассмотрению апелляции, которые возникают в процессе проведения анализа объектов компьютеризации.
  • Проводит обучение по аттестации объектов информатизации.
  • Осуществляет организацию периодической публикации информации по работы системы проверок различных объектов на соответствие нормам о защите информации.

    • Испытательные центры и лаборатории испытывают продукцию, не прошедшую сертификацию, если она используется на предприятии, проходящем проверку соответствия. Официальный сайт ФСТЭК содержит сведения о порядке аттестации объектов информатизации и органах, которые осуществляют эти проверки.

    Полномочия заявителей

    Для защиты информации при аттестации объектов информатизации каждый субъект должен выполнять свои обязанности и реализовывать полномочия. Полномочия заявителей состоят в следующем:

  • Подготавливать объекты информатизации для проведения проверки соответствия с помощью применения необходимых мероприятий организационно-технического характера, используемых в сфере защиты информации.
  • Привлекать аттестационные органы для организации и реализации плановых проверок в отношении объектов информатизации.
  • Предоставлять проверяющим органам необходимый пакет документов и условия для осуществления проверки.
  • Привлекать при необходимости средства информационной защиты, не прошедшие сертификацию, для проведения испытательных работ на объекте проверки. Также они могут привлекать испытательные лаборатории и центры по сертификации.
  • Реализовывать эксплуатацию компьютерных объектов, согласно требованиям и условиям, которые установлены в Положении по аттестации объектов информатизации.
  • Извещать аттестационные органы, которые выдают сертификаты, о происходящих в информационных технологиях изменениях, в размещении и составе систем и средств информатики, условиях эксплуатации этих средств, которые оказывают влияние на эффективность защитных информационных мер.
  • Предоставлять требуемые документы и условия для проведения надзора и контроля за эксплуатацией компьютерного объекта, который прошел обязательную аттестацию.

    • Документы, представляемые заявителем проверяющему органу

    Согласно общим положениям ГОСТ об аттестации объектов информатизации (ГОСТ РО 0043-003-2012), в перечень бумаг, подаваемых заявителем для проведения проверки, входят следующие документы:

    • Приемно-сдаточная документация на объект компьютеризации.
    • Акты о разделении помещений и предметов информатизации на категории.
    • Инструкции о правилах эксплуатации защитных информационных средств.
    • Технические паспорта на объекты, проходящие аттестацию.
    • Документы об эксплуатации ТСОИ (сертификаты о соответствии указанных объектов требованиям информационной безопасности).
    • Акты о проведении скрытых работ.
    • Сертификаты о соответствии объектов требованиям информационной безопасности на ВТСС.
    • Протоколы об измерении степени звукоизоляции выделенных комнат и иных помещений, а также эффективности установки экранов в сооружениях и кабинах.
    • Сертификаты о соответствии объектов требованиям информационной безопасности в отношении технических средств защиты данных.
    • Протоколы об измерении степени сопротивления заземления.
    • Протоколы об измерении реальной величины затухания сигналов, подаваемых информационными приборами, до мест потенциального размещения разведывательных средств.
    • Данные об уровне кадровой подготовки лиц, обеспечивающих информационную защиту.
    • Сведения об обеспечении организации техническими средствами, позволяющими контролировать эффективность защиты данных и осуществлять их метрологическую поверку.
    • Документация методического и нормативного характера, связанная с защитой информации и контролем ее эффективности. Указанные документы можно дополнять другими бумагами, если это обусловлено особенностями объекта аттестации, если предоставление других данных согласовано с проверяемой комиссией.
    • Пояснительные записки с информационной характеристикой и указанием организационной структуры защищаемого объекта, данные о мероприятиях организационного и технического типа, проводящихся в целях защиты сведений от утечки посредством технических каналов.
    • Перечень компьютеризированных объектов, которые подлежат защите, с точным указанием их местоположений и установленной степени охраны.
    • Список помещений, в которых располагаются защищаемые информационные носители, с точным указанием их местоположения и установленной степени охраны.
    • Перечень ТСОИ, устанавливаемых в организации, с пометкой о наличии или отсутствии сертификатов или предписаний об эксплуатации, а также определение их местоположения.
    • Список технических защитных информационных средств с указанием мест их размещения.
    • Перечень ВТСС, устанавливаемых в организации, с пометкой о наличии или отсутствии сертификатов или предписаний об эксплуатации, а также определение их местоположения.
    • План-схема электрической системы питания с указанием местоположения разделительной подстанции, каждого щита и разводной коробки.
    • Масштабная схема с планом здания, в котором находятся объекты защиты, границы зоны контроля, трансформаторных подстанций, заземляющих устройств, мест расположения линий электропитания и инженерных коммуникаций, местонахождение охранной и пожарной сигнализаций и устройств разделительного типа.
    • План-схема расположения проложенных линий телефонной связи с определением местоположений каждой разделительной коробки и телефонов.
    • Поэтажные технологические планы объекта проверки с определением местоположений конкретных объектов компьютеризации, мест размещения помещений, выделенных под оборудование, а также характеристика перекрытий, стен, типов окон и дверей и использованных отделочных материалов.
    • План-схема размещения системы заземления и заземлителя.
    • Общие планы расположения каждого объекта с указанием местоположения ВТСС, ТСОИ, их линий соединения, а также трасс, по которым проложены инженерные коммуникации и посторонние проводники.
    • План-схема коммуникаций инженерного типа здания вместе с системой вентиляции.
    • Схема активных систем защиты (при наличии).
    • План-схема систем пожарной и охранной сигнализации с определением местоположения каждого датчика и распределительной коробки.

    Порядок ведения аттестационной процедуры

    Жалоба в администрацию города: особенности и советыВам будет интересно:Жалоба в администрацию города: особенности и советы

    Аттестация объекта информатизации по ОКПД проводится в следующем порядке:

  • Направление и рассмотрение комиссией заявки на проведение аттестации. Заявка составляется по форме, утвержденной в Положении. Срок рассмотрения запроса – один месяц. Если комиссией принято решение о проведении проверки, определяется схема аттестации и согласовывается с заявителем.
  • Предварительное изучение аттестуемого объекта, если сведений, поданных заявителем, недостаточно для формирования полной картины.
  • Проведение лабораторных испытаний систем и средств защиты объекта, не прошедших сертификацию.
  • Разработка методики и программы испытаний в ходе аттестации. Определяется перечень и продолжительность работ, методика проверки, состав исследовательской комиссии, используемые при анализе приборы и средства.
  • Заключение договора на аттестацию между проверяющим органом и заявителем, а также между органом и привлекаемыми сторонними экспертами.
  • Проведение испытаний на объекте.

    • Последний этап включает следующий перечень действий:

    • анализ структуры организации в целом, потоков информации внутри проверяемого объекта, структуры и состава комплекса программ и средств технического характера, системы информационной защиты, документации, а также проверка соответствия документов нормативным требованиям;
    • определение правильности разделения объектов на категории ЭВТ и АС, соответствие выбора и использования несертифицированных и сертифицированных систем и средств защиты данных;
    • проведение испытаний защитных систем и средств, не прошедших сертификацию, анализ их проверки в испытательных лабораториях и центрах;
    • проверка уровня кадровой подготовки персонала, распределение его ответственности за выполнение требований по охране информации;
    • проведение комплексных аттестационных мероприятий в условиях реальной эксплуатации;
    • оформление протоколов испытаний, составление заключения с указанием рекомендаций по исправлению выявленных недочетов и организации контроля за нормальным функционированием хранилищ данных.

    Содержание протоколов испытаний

    Протоколы испытаний, проводимых в рамках аттестации объектов информатизации по гостайне или иным секретным сферам, включают следующие сведения:

  • Виды проводимых испытаний.
  • Объект проверки.
  • Время и дата проведения анализа.
  • Место осуществления проверки.
  • Перечень аппаратуры, используемой в ходе анализа.
  • Список нормативных и методических документов, используемых при проведении испытаний.
  • Сжатое описание используемой при проведении проверки методики.
  • Результаты измерений и расчетов.
  • Выводы по итогам испытаний.

    • Окончательные протоколы подписывают эксперты, входившие в аттестационную комиссию (фамилии, инициалы, должности). Заключения, подписанные комиссией, утверждаются руководителем аттестующего органа.

    Если заключение утверждено руководителем, указывается согласие на оформление, регистрацию и выдачу документа о соответствии. Если в выдаче аттестата было отказано, заявитель вправе подать апелляционную жалобу. Срок ее рассмотрения – не более месяца.

    Сведения, содержащиеся в сертификате соответствия

    В сертификате, выдаваемом после аттестации объекта информатизации, защита которого должна быть обеспечена в обязательном порядке, указываются следующие сведения:

    • регистрационный порядковый номер сертификата;
    • дата выдачи;
    • период действия;
    • полное наименование, адрес местонахождения аттестованного объекта;
    • категория объекта компьютеризации;
    • класс (степень) защищенности автоматизированных систем;
    • гриф конфиденциальности (секретности) данных, обрабатываемых на объекте;
    • структура объекта и вывод о соответствии уровня подготовки соответствующих специалистов в организации;
    • дата и номер утверждения методики и программы, которые были положены в основу проверки;
    • перечень документов, которые являлись базой для аттестации;
    • дата и номер заключения о результатах проведения аттестации;
    • перечень технического оборудования и средств для обработки данных;
    • мероприятия организационного характера, в ходе которых разрешается изучение и обработка данных с ограниченным доступом;
    • список действий, запрещенных в период эксплуатации проверенного объекта;
    • перечень лиц, ответственных за обеспечение необходимых требований по защите данных, и список сотрудников, контролирующих эффективность средств и мер защиты.

    Аттестат о соответствии объекта необходимым требованиям подписывается главой проверочной комиссии и утверждением непосредственным руководителем аттестационного органа.

    Документ о соответствии выдается на срок, в течение которого должна обеспечиваться неизменность порядка и условий работы объекта компьютеризации. Также в течение этого периода должны сохраняться технологии, применяемые при обработке защищаемых данных. Максимальный срок действия аттестата – три года.

    Проведение аттестации объектов информатизации – необходимая процедура для организаций, деятельность которых связана с конфиденциальными сведениями и их защитой.



    Источник

    Реклама
    Автор: Глеб Герасимов
    Жду ваши вопросы и мнения в комментариях