Расширенный

Расширенный поиск

Автор

Статьи

Аттестация АС и ИС. Обзор нормативно-методических документов.

04.02.2016 16:36:56
Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" - подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Аттестация объектов информатизации предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации для оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности является завершающей стадией ввода в действие системы защиты информации и выступает подтверждением эффективности комплекса мер и средств защиты информации, используемых на конкретном объекте информатизации. При проведении аттестации оцениваются в совокупности все средства защиты информации, а также конкретные условия эксплуатации рассматриваемого объекта. Вне зависимости от используемых отечественных или зарубежных технических и программных средств объекты информатизации аттестуются на соответствие требованиям нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации (СТР-К и РД Гостехкомиссии).

В качестве объекта информатизации выступают автоматизированные и информационные системы, выделенные и защищаемые помещения, системы связи, отображения и размножения информации.

Согласно законодательству Российской Федерации и нормативным правовым актам уполномоченных федеральных органов аттестация может носить добровольный либо обязательный характер.

Обязательная аттестация имеет место в случае:

  • обработки информации, составляющей государственную тайну;
  • управления экологически опасными объектами;
  • ведения секретных переговоров;
  • при организации защиты информации, содержащейся в государственных информационных ресурсах («СТР-К», Гостехкомиссия России);
  • при обработке информации в государственных и муниципальных информационных системах (Приказ ФСТЭК России № 17);
  • при проведении лицензирующей деятельности по ТЗКИ и СКЗИ (Постановления Правительства РФ № 79 и № 313).

В остальных случаях аттестация носит добровольный характер и представляет собой способ официального подтверждения соответствия вашего объекта информатизации требованиям по безопасности информации (иного способа нормативная база не предусматривает).

Нормативно-методические документы, регламентирующие порядок проведения аттестации объектов информатизации и содержащие требования к объектам информатизации:

  • Положение по аттестации объектов информатизации по требованиям безопасности информации, утв. председателем Гостехкомиссии при Президенте РФ, 25 ноября 1994 г.;
  • ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики испытаний»;
  • «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), Гостехкомиссия России, 30.08.2002;
  • Руководящие документы по защите информации от НСД (Гостехкомиссия России).

Стороны, участвующие в аттестации:

Уполномоченный федеральный орган. В соответствии с законодательством РФ федеральным органом, который организует деятельность системы аттестации, является ФСТЭК России. В рамках своих полномочий он осуществляет лицензирование организаций и аккредитацию органов по аттестации, разработку и утверждение нормативных правовых актов, устанавливающих требования безопасности информации и порядок аттестации, рассмотрение апелляций в спорных случаях, осуществление государственного контроля (надзора) за соблюдением порядка аттестации и ведение сводного реестра аттестованных объектов.

Органы по аттестации объектов информатизации по требованиям безопасности информации – это отраслевые и региональные предприятия, учреждения и организации, специальные центры ФСТЭК России, аккредитованные ФСТЭК России и получившие от него лицензию на проведение аттестации объектов информатизации. Аккредитация органов по аттестации осуществляется согласно положению Гостехкомиссии России «Об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации» и служит официальным подтверждением их технической компетентности.

Испытательные центры (лаборатории) привлекаются заявителем для испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации.

Перечень органов по аттестации и испытательных лабораторий, прошедших аккредитацию, представлен на официальном сайте ФСТЭК России.

Заявители (владельцы аттестуемых объектов информатизации) проводят подготовку системы защиты информации объекта информатизации и самого объекта для аттестации. Для проведения аттестации заявитель должен предоставить органам по аттестации все необходимые материалы. После получения аттестата соответствия он должен осуществлять эксплуатацию объекта информатизации в соответствии с установленными требованиями, а в случае изменений объекта информатизации обязан извещать орган по аттестации, выдавший аттестат соответствия.

Основным документами, определяющими цели и задачи, порядок и условия проведения аттестации объектов информатизации, являются руководящий документ Гостехкомиссии РФ «Положение об аттестации объектов информатизации по требованиям безопасности информации» и ГОСТ РО 0043-003-2012. Предложенный ими порядок аттестации объектов информатизации по требованиям безопасности информации представлен на схеме ниже.


Аттестация АС и ИС.png


Сначала заявитель осуществляет выбор органа по аттестации и направляет в него заявку на проведение аттестации с исходными данными об аттестуемом объекте информатизации. Орган по аттестации рассматривает ее, производит анализ исходных данных и в случае, если их недостаточно, проводит работы по ознакомлению с аттестуемым объектом. Если на аттестуемом объекте используются несертифицированные средства и системы защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.

Следующим важным шагом в проведении аттестации является разработка программы и методики аттестационных испытаний, определяющей перечень работ и их продолжительность, методы испытаний (при обязательной аттестации используют ГОСТ РО 0043-004-2013), а также количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации, используемые технические, программные средства и измерительную аппаратуру. Разработанную программу согласовывают с заказчиком.

ГОСТ РО 0043-004-2013 устанавливает требования к составу и содержанию аттестационных испытаний и содержит наборы программ и методик для разных объектов информатизации.

Проведение аттестационных испытаний объекта информатизации включает:

  • анализ структуры объекта информатизации, информационных потоков, комплекса технических средств и программного обеспечения, системы защиты информации и разработанной документации;
  • оценку корректности категорирования объекта информатизации и классификации информационной системы, выбора и применения продукции, используемой для защиты информации;
  • проверку наличия сертификатов соответствия на продукцию, используемую в целях защиты информации;
  • аттестационные испытания системы защиты информации объекта информатизации в реальных условиях эксплуатации;
  • оформление протоколов аттестационных испытаний. Протоколы подписывают специалисты, проводившие испытания, и утверждает орган по аттестации. Протоколы должны содержать описание проведенных измерений, испытаний, расчетов, а также их результаты и выводы о соответствии этих результатов требованиям безопасности информации;
  • оформление заключения по результатам аттестационных испытаний. Заключение подписывается членами аттестационной комиссии, утверждается органом по аттестации и доводится до заявителя.

При проведении аттестационных испытаний применяют:

  • экспертно-документальный метод;
  • инструментальный метод;
  • проверку соответствия параметров настройки элементов системы защиты информации требованиям безопасности информации;
  • проверку подсистем защиты информации от несанкционированного доступа, целостности применяемых средств защиты информации от несанкционированного доступа, в том числе с использованием специальных средств контроля защищенности информации;
  • проверку программной совместимости и корректности функционирования всего комплекса используемых средств вычислительной техники с продукцией, используемой в целях защиты информации;
  • испытания системы защиты информации от несанкционированного доступа путем осуществления попыток несанкционированного доступа к тестовой защищаемой информации в обход используемой системы защиты информации, в том числе с использованием специальных программных тестирующих средств.

После утверждения положительного заключения по результатам аттестационных испытаний объекта информатизации орган по аттестации оформляет и регистрирует аттестат соответствия. В течении срока действия аттестата (не более 3 лет) владелец должен обеспечивать неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, которые могут повлиять на характеристики, определяющие безопасность информации (состава и структуры технических средств, условий размещения, используемого программного обеспечения, режимов обработки информации, средств и мер защиты).

В случае несогласия с отказом в выдаче аттестата соответствия заявитель имеет право обратиться в уполномоченный федеральный орган исполнительной власти с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов.

Положение об аттестации объектов информатизации по требованиям безопасности информации и ГОСТ РО 0043-003-2012 также определяют порядок ввода в действие и эксплуатации аттестованных объектов информатизации и контроля за эксплуатацией уже аттестованных объектов информатизации.