Шрифт:
Интервал:
Закладка:
2.2.3. Добровольная аттестация объектов информатизации по требованиям безопасности информации
В настоящее время единственным способом юридически обосновать достаточность организационных и технических мероприятий по защите информации, а также компетентность собственной службы безопасности является добровольная аттестация (при защите сведений, составляющих государственную тайну аттестация объектов обязательна). При этом под аттестацией объектов информатизации будем понимать комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с соответствующим уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия» (АС).
Однако до начала процедуры аттестации необходимо подготовить объект информатизации. Эта работа проводится в несколько этапов.
1. Определяется перечень помещений, предназначенных для обсуждения конфиденциальных вопросов, а так же автоматизированных систем, предназначенных для обработки, хранения, передачи важнейшей информации.
2.Определяется класс АС (см. п.2.1.3).
3.Заключается договор на проектирование объекта в защищенном исполнении с организацией на это уполномоченной (п. 5 Лицензии Гостехкомиссии России, Приложение № 3).
4.0существляется закупка сертифицированных средств защиты информации (Перечень в приложении № 8)
5. Осуществляется монтаж технических средств защиты информации, организацией на это уполномоченной (п.3 Лицензии Гостехкомиссии России, Приложение № 3).
6. Проводится подготовка (переподготовка) службы безопасности в учебных центрах (п.6 Лицензии Гостехкомиссии России, Приложение № 3).
По окончанию этой работы возможно начинать аттестацию объектов. Основным руководящим документом является «Положение по аттестации объектов информатизации по требованиям безопасности информации», которое утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации Ю. Яшиным 25 ноября 1994 г. Оно устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от всех возможных угроз безопасности информации, приведенных в ГОСТ «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» (Приложение № 9).
Органы по аттестации аккредитуются Гостехкомиссией России в соответствии с «Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации». Перечень органов по аттестации приведен в Приложении № 5.
Аттестация проводится в соответствии со схемой, выбираемой органом по аттестации на этапе подготовки к аттестации из следующего основного перечня работ:
>• анализ исходных данных по аттестуемому объекту информатизации;
>• предварительное ознакомление с аттестуемым объектом информатизации;
>• проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
>• проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
>• проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
>• проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
>• анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
Установлено, что органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.
Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту на основе следующего перечня вопросов:
1. Полного и точного наименования объекта информатизации и его назначение.
2. Характера (научно-техническая, экономическая, производственная, финансовая, политическая) и уровня конфиденциальности обрабатываемой информации.
3. Организационной структуры объекта информатизации.
4. Перечня помещений, состава комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует).
5. Особенности и схемы расположения объекта информатизации с указанием границ контролируемой зоны.
6. Структуры программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемых протоколов обмена информацией.
7. Общей функциональной схемы объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.
8. Наличия и характера взаимодействия с другими объектами информатизации.
9. Состава и структуры системы защиты информации на аттестуемом объекте информатизации.
10. Перечня технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию (перечень сертифицированных средств защиты информации приведен в Приложении № 8).
11. Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ (перечень лицензиантов приведен в Приложении № 3).
12. Наличия на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных).
13. Наличия и основных характеристик физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители).
14. Наличия и готовности проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.
Орган по аттестации рассматривает заявку и на основании анализа исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.
При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.
При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств. Перечень органов по сертификации приведен в Приложении № 6.
По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональней состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.
Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура