Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Нормативные требования к аттестации АС/ИС по ГОСТ–РО 0043-003-2012 года

В статье рассмотрены нормативные требования к аттестации автоматизированных систем и информационных систем (АС/ИС) по ГОСТ-РО 0043-003-2012, а также действия заявителя и организации, проводящей аттестацию АС/ИС. Приводятся требования положений ГОСТ РО 0043-003-2012 об аттестации объектов информатизации на соответствие требованиям безопасности. Также рассмотрен порядок ввода в действие аттестованных объектов информатизации, порядок их эксплуатации и контроля.

Введение

Аттестация АС/ИС, согласно ГОСТ РО 0043-003-2012, носит как добровольный, так и обязательный характер.

Обязательной аттестация является в случаях, если АС/ИС:

  1. обрабатывает информацию, составляющую государственную тайну;
  2. используется при организации защиты информации, содержащейся в государственных информационных ресурсах («СТР-К», Гостехкомиссия России);
  3. используется при обработке информации в государственных и муниципальных информационных системах (Приказ ФСТЭК России № 17);
  4. используется при выполнении требований по лицензированию по ТЗКИ и СКЗИ (Постановление Правительства Российской Федерации № 79);
  5. используется при выполнении требований по лицензированию по СКЗИ (Постановление Правительства Российской Федерации № 313).

Все остальные системы аттестуются в добровольном порядке по инициативе заявителя, в том числе, если АС/ИС:

  1. является объектом критической информационной инфраструктуры (Приказ ФСТЭК России № 239);
  2. является системой обработки персональных данных (Приказ ФСТЭК России № 21);
  3. является автоматизированной системой управления технологическим процессом (Приказ ФСТЭК России № 31);
  4. является аккредитованным удостоверяющим центром;
  5. соответствует внутренним нормативным требованиям по информационной безопасности заявителя.

В соответствии с ГОСТ РО 0043-003-2012, участниками аттестации являются:

  • уполномоченные федеральные органы исполнительной власти;
  • органы по аттестации (в случае защиты государственной тайны) или организации, имеющие лицензию на деятельность в области технической защиты конфиденциальной информации (в случае защиты конфиденциальной информации);
  • заявители.

Обязанности участников закреплены в ГОСТ РО 0043-003-2012.

Основными функциями уполномоченных федеральных органов исполнительной власти являются нормативное регулирование в области аттестации и обеспечения безопасности информации, а также аккредитация и лицензирование организаций, проводящих аттестацию.

Основные функции организаций, проводящих аттестацию, закреплены в нормативных документах и в том числе включают:

  • проведение аттестации АС/ИС и выдачу аттестатов соответствия;
  • отмену и приостановку действия выданных этой организацией аттестатов соответствия;
  • ведение реестра выданных аттестатов соответствия.

Заявителями могут быть владельцы или операторы АС/ИС, их основными задачами являются:

  • подготовка АС/ИС к аттестации;
  • привлечение организации для аттестации;
  • эксплуатация аттестованной АС/ИС в соответствии с установленными требованиями.

Аттестация АС/ИС является завершающим этапом целого комплекса работ по защите информации, который включает в себя следующие основные составляющие:

  1. Определение требований безопасности информации, которым должна соответствовать АС/ИС.
  2. Создание системы защиты информации в соответствии с требованиями безопасности информации.
  3. После создания системы защиты информации возможно проведение аттестационных испытаний.

Определение требований безопасности информации к АС/ИС

Требования безопасности информации определяются путем проведения классификации АС/ИС по классу их защищенности (для некоторых категорий АС/ИС могут применяться термины «категория» и «уровень защищенности»). Исходя из класса защищенности, формируется требуемый набор мер защиты информации. Для некоторых категорий АС/ИС (в частности, государственные ИС, ИС персональных данных, значимые объекты критической информационной инфраструктуры) при выборе мер защиты информации обязательной является необходимость учитывать актуальные угрозы безопасности информации. Классификация АС/ИС, которые подлежат обязательной аттестации, осуществляется ее владельцем, согласно нормативно-методическим документам, приведенным в таблице 1.

Таблица 1. Классификация АС/ИС, подлежащих обязательной аттестации

№ п/п
Тип АС/ИС
Нормативная документация, в соответствии с которой проводится классификация АС/ИС
     1. АС/ИС обрабатывает информацию, составляющую государственную тайну Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
     2. АС/ИС используется при организации защиты информации, содержащейся в государственных информационных ресурсах («СТР-К», Гостехкомиссия России)
     3. АС/ИС используется при выполнении требований по лицензированию по ТЗКИ и СКЗИ (Постановление Правительства Российской Федерации № 79)
     4. АС/ИС используется при выполнении требований по лицензированию по СКЗИ (Постановление Правительства Российской Федерации № 313)
     5. АС/ИС используется при обработке информации в государственных и муниципальных информационных системах Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

Классификация для АС/ИС, которые подлежат аттестации в добровольном порядке, осуществляется владельцем аттестуемой АС/ИС, согласно нормативно-методическим документам или внутренним нормативным документам владельца АС/ИС. Применяемые требования показаны в таблице 2.

Таблица 2. Классификация АС/ИС, аттестация которых проводится в добровольном порядке

№ п/п
Тип АС/ИС
Нормативная документация, в соответствии с которой проводится классификация АС/ИС
     1. АС/ИС является объектом критической информационной инфраструктуры (Приказ ФСТЭК России № 239) Постановление Правительства Российской Федерации № 127 от 08 февраля 2018 г. (ред. 13 апреля 2019 г.) «Об утверждении Правил категорирования объектов КИИ Российской Федерации, а также перечня показателей критериев значимости объектов КИИ Российской Федерации и их значений»
     2. АС/ИС является системой обработки персональных данных (Приказ ФСТЭК России № 21) Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
     3. АС/ИС является автоматизированной системой управления технологическим процессом (Приказ ФСТЭК России № 31) Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
     4. АС/ИС является аккредитованным удостоверяющим центром Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
     5. После создания системы защиты информации можно проводить аттестационные испытания АС/ИС Методика категорирования АС/ИС, утвержденная в организации

В случае, если проводится аттестация АС/ИС на соответствие внутренним нормативным требованиям по информационной безопасности владельца АС/ИС, классификация может не проводиться.

Создание системы защиты информации

Целью создания системы защиты информации является выполнение требуемых мер защиты информации, включая:

  • выбор и внедрение дополнительных средств защиты информации;
  • настройка имеющихся средств защиты информации (при их наличии);
  • внедрение необходимых процессов обеспечения безопасности информации;
  • разработка и утверждение организационно-распорядительной и эксплуатационной документации.

Особое внимание необходимо уделить организационно-распорядительной и эксплуатационной документации, в которой должно быть отражено следующее:

  • В организационно-распорядительной документации должен быть определен порядок выполнения организационных и технических мер по защите информации аттестуемой АС/ИС.
  • В эксплуатационной документации должны быть определены технологические процессы обработки защищаемой информации, описаны программные, технические средства, включенные в состав АС/ИС, а также средства, обеспечивающие защиту информации в АС/ИС. Необходимо определить порядок работы пользователей и администраторов с АС/ИС, а в случае обязательной аттестации — еще и место размещения технических средств, на которых работает АС/ИС.

Состав документации должен соответствовать нормативно-методической документации, в соответствии с которой проводится аттестация.

Работы по созданию системы защиты информации могут быть выполнены владельцем АС/ИС самостоятельно или с привлечением подрядчиков, обладающих лицензиями на проведение таких работ.

Проведение аттестации АС/ИС

Когда подготовительные работы выполнены (проведена классификация АС/ИС, выбраны и внедрены необходимые меры защиты информации), можно приступать непосредственно к аттестации АС/ИС. Последовательность работ по аттестации показана на рисунке ниже.


Рисунок 1. Этапы работ по аттестации АС/СИ

Этап I. Подготовительный

Обследование аттестуемой АС/ИС

Проведение обследования аттестуемой АС/ИС не является обязательным и проводится с привлечением для аттестации организации, не участвующей в создании системы защиты информации. Такие обследования проводятся для сбора данных, необходимых для понимания всех процессов обработки защищаемой информации и определения необходимости и достаточности реализуемых мер защиты.

Доработка системы защиты информации

В случае, если при обследовании выясняется, что в АС/ИС не в полной мере выполняются требования безопасности информации, для успешной аттестации необходимо провести работы по доработке системы защиты информации. Они могут включать в себя:

  • дополнительную настройку средств защиты информации;
  • корректировку организационно-распорядительной и эксплуатационной документации.

Эти работы могут быть проведены как владельцем аттестуемой АС/ИС, так и организацией, проводящей аттестацию.

Данный шаг не является обязательным, и он может не потребоваться в случае качественного выполнения работ по созданию системы защиты информации.

Разработка программы и методик аттестационных испытаний

После ознакомления с АС/ИС организация, проводящая ее аттестацию, разрабатывает программу и методики аттестационных испытаний. В них должны быть определены:

  • требования, на соответствие которым проводится аттестация;
  • состав аттестационной комиссии;
  • методы проверки соответствия требований информационной безопасности АС/ИС;
  • наличие технических средств для проверки утечки информации по техническим каналам (при необходимости).

Программа и методики аттестационных испытаний разрабатываются в соответствии с требованиями нормативно-методических документов и согласуются с владельцем АС/ИС.

Этап II. Аттестационный

Аттестационный этап делится на два подэтапа:

  1. Проведение аттестационных испытаний АС/ИС в реальных условиях, в которых проверяется фактическое выполнение требований по защите информации на различных этапах технологического процесса обработки защищаемой информации. По завершении данного подэтапа организация, выполнившая аттестацию АС/ИС, оформляет протокол аттестационных испытаний. В нем фиксируются результаты проводимых проверок, согласно программе и методикам аттестационных испытаний.
  2. Разработка заключения на основании протокола аттестационных испытаний, в котором содержатся оценка соответствия системы защиты информации АС/ИС требованиям безопасности информации, рекомендации по контролю за функционированием АС/ИС и вывод о возможности выдачи аттестата соответствия или необходимые рекомендации по устранению замечаний, выявленных в результате аттестационных испытаний.

Этап III. Заключительный

Аттестат соответствия оформляется и выдается организацией, проводившей аттестацию, после утверждения положительного заключения по результатам аттестационных испытаний АС/ИС.

Все время эксплуатации АС/ИС либо в течение срока действия аттестата соответствия (не более трех лет, кроме АС/ИС, отнесенных к ГИС) заявитель обязан соблюдать все требования по эксплуатации, описанные в организационно-распорядительной и эксплуатационной документации.

В случае изменения размещения технологических средств, условий эксплуатации или смены средств защиты информации владелец аттестованных АС/ИС обязан оповестить об этом организацию, выдавшую аттестат соответствия требованиям информационной безопасности. В таком случае, если это необходимо, организацией назначаются дополнительные проверки эффективности системы защиты информации.

Заключение

Аттестация АС/ИС – это совместный путь организации, выполняющей работы по аттестации АС/ИС, и заявителя (владельца системы), который они должны пройти вместе от первого до последнего шага. Итогом этой командной работы становится получение заявителем Аттестата соответствия требованиям безопасности информации.

Авторы:
Егор Ляпустин, инженер-проектировщик Центра информационной безопасности компании «Инфосистемы Джет»,
Дмитрий Шлей, эксперт группы системной архитектуры Центра информационной безопасности компании «Инфосистемы Джет»