Аттестация АС и ИС. Обзор нормативно-методических документов.
Аттестация объектов информатизации предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации для оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности является завершающей стадией ввода в действие системы защиты информации и выступает подтверждением эффективности комплекса мер и средств защиты информации, используемых на конкретном объекте информатизации. При проведении аттестации оцениваются в совокупности все средства защиты информации, а также конкретные условия эксплуатации рассматриваемого объекта. Вне зависимости от используемых отечественных или зарубежных технических и программных средств объекты информатизации аттестуются на соответствие требованиям нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации (СТР-К и РД Гостехкомиссии).
В качестве объекта информатизации выступают автоматизированные и информационные системы, выделенные и защищаемые помещения, системы связи, отображения и размножения информации.
Согласно законодательству Российской Федерации и нормативным правовым актам уполномоченных федеральных органов аттестация может носить добровольный либо обязательный характер.
Обязательная аттестация имеет место в случае:
- обработки информации, составляющей государственную тайну;
- управления экологически опасными объектами;
- ведения секретных переговоров;
- при организации защиты информации, содержащейся в государственных информационных ресурсах («СТР-К», Гостехкомиссия России);
- при обработке информации в государственных и муниципальных информационных системах (Приказ ФСТЭК России № 17);
- при проведении лицензирующей деятельности по ТЗКИ и СКЗИ (Постановления Правительства РФ № 79 и № 313).
В остальных случаях аттестация носит добровольный характер и представляет собой способ официального подтверждения соответствия вашего объекта информатизации требованиям по безопасности информации (иного способа нормативная база не предусматривает).
Нормативно-методические документы, регламентирующие порядок проведения аттестации объектов информатизации и содержащие требования к объектам информатизации:
- Положение по аттестации объектов информатизации по требованиям безопасности информации, утв. председателем Гостехкомиссии при Президенте РФ, 25 ноября 1994 г.;
- ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
- ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики испытаний»;
- «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), Гостехкомиссия России, 30.08.2002;
- Руководящие документы по защите информации от НСД (Гостехкомиссия России).
Стороны, участвующие в аттестации:
Уполномоченный федеральный орган. В соответствии с законодательством РФ федеральным органом, который организует деятельность системы аттестации, является ФСТЭК России. В рамках своих полномочий он осуществляет лицензирование организаций и аккредитацию органов по аттестации, разработку и утверждение нормативных правовых актов, устанавливающих требования безопасности информации и порядок аттестации, рассмотрение апелляций в спорных случаях, осуществление государственного контроля (надзора) за соблюдением порядка аттестации и ведение сводного реестра аттестованных объектов.
Органы по аттестации объектов информатизации по требованиям безопасности информации – это отраслевые и региональные предприятия, учреждения и организации, специальные центры ФСТЭК России, аккредитованные ФСТЭК России и получившие от него лицензию на проведение аттестации объектов информатизации. Аккредитация органов по аттестации осуществляется согласно положению Гостехкомиссии России «Об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации» и служит официальным подтверждением их технической компетентности.
Испытательные центры (лаборатории) привлекаются заявителем для испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации.
Перечень органов по аттестации и испытательных лабораторий, прошедших аккредитацию, представлен на официальном сайте ФСТЭК России.
Заявители (владельцы аттестуемых объектов информатизации) проводят подготовку системы защиты информации объекта информатизации и самого объекта для аттестации. Для проведения аттестации заявитель должен предоставить органам по аттестации все необходимые материалы. После получения аттестата соответствия он должен осуществлять эксплуатацию объекта информатизации в соответствии с установленными требованиями, а в случае изменений объекта информатизации обязан извещать орган по аттестации, выдавший аттестат соответствия.
Основным документами, определяющими цели и задачи, порядок и условия проведения аттестации объектов информатизации, являются руководящий документ Гостехкомиссии РФ «Положение об аттестации объектов информатизации по требованиям безопасности информации» и ГОСТ РО 0043-003-2012. Предложенный ими порядок аттестации объектов информатизации по требованиям безопасности информации представлен на схеме ниже.
Сначала заявитель осуществляет выбор органа по аттестации и направляет в него заявку на проведение аттестации с исходными данными об аттестуемом объекте информатизации. Орган по аттестации рассматривает ее, производит анализ исходных данных и в случае, если их недостаточно, проводит работы по ознакомлению с аттестуемым объектом. Если на аттестуемом объекте используются несертифицированные средства и системы защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.
Следующим важным шагом в проведении аттестации является разработка программы и методики аттестационных испытаний, определяющей перечень работ и их продолжительность, методы испытаний (при обязательной аттестации используют ГОСТ РО 0043-004-2013), а также количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации, используемые технические, программные средства и измерительную аппаратуру. Разработанную программу согласовывают с заказчиком.
ГОСТ РО 0043-004-2013 устанавливает требования к составу и содержанию аттестационных испытаний и содержит наборы программ и методик для разных объектов информатизации.
Проведение аттестационных испытаний объекта информатизации включает:
- анализ структуры объекта информатизации, информационных потоков, комплекса технических средств и программного обеспечения, системы защиты информации и разработанной документации;
- оценку корректности категорирования объекта информатизации и классификации информационной системы, выбора и применения продукции, используемой для защиты информации;
- проверку наличия сертификатов соответствия на продукцию, используемую в целях защиты информации;
- аттестационные испытания системы защиты информации объекта информатизации в реальных условиях эксплуатации;
- оформление протоколов аттестационных испытаний. Протоколы подписывают специалисты, проводившие испытания, и утверждает орган по аттестации. Протоколы должны содержать описание проведенных измерений, испытаний, расчетов, а также их результаты и выводы о соответствии этих результатов требованиям безопасности информации;
- оформление заключения по результатам аттестационных испытаний. Заключение подписывается членами аттестационной комиссии, утверждается органом по аттестации и доводится до заявителя.
При проведении аттестационных испытаний применяют:
- экспертно-документальный метод;
- инструментальный метод;
- проверку соответствия параметров настройки элементов системы защиты информации требованиям безопасности информации;
- проверку подсистем защиты информации от несанкционированного доступа, целостности применяемых средств защиты информации от несанкционированного доступа, в том числе с использованием специальных средств контроля защищенности информации;
- проверку программной совместимости и корректности функционирования всего комплекса используемых средств вычислительной техники с продукцией, используемой в целях защиты информации;
- испытания системы защиты информации от несанкционированного доступа путем осуществления попыток несанкционированного доступа к тестовой защищаемой информации в обход используемой системы защиты информации, в том числе с использованием специальных программных тестирующих средств.
После утверждения положительного заключения по результатам аттестационных испытаний объекта информатизации орган по аттестации оформляет и регистрирует аттестат соответствия. В течении срока действия аттестата (не более 3 лет) владелец должен обеспечивать неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, которые могут повлиять на характеристики, определяющие безопасность информации (состава и структуры технических средств, условий размещения, используемого программного обеспечения, режимов обработки информации, средств и мер защиты).
В случае несогласия с отказом в выдаче аттестата соответствия заявитель имеет право обратиться в уполномоченный федеральный орган исполнительной власти с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов.
Положение об аттестации объектов информатизации по требованиям безопасности информации и ГОСТ РО 0043-003-2012 также определяют порядок ввода в действие и эксплуатации аттестованных объектов информатизации и контроля за эксплуатацией уже аттестованных объектов информатизации.