Cпособы и средства защиты информации


Аттестование объектов информатизации.


Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимают автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения, предназначенные для обработки и передачи информации, подлежащей защите, вместе с помещениями, в которых они установлены, а также помещения, предназначенные для ведения конфиденциальных переговоров [62]. То есть к объектами информатизации относятся объекты ТСПИ (см. п. 1.1).

Основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестуемых объектов информатизации устанавливает Положение по аттестации объектов информации по требованиям безопасности информации (далее - Положение), утвержденное Председателем Гостехкомиссии России 25.11. 1994 г. [62].

Система аттестации объектов информации по требованиям безопасности информации (далее - система аттестации)

является составной частью единой системы обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке [62].

Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссии России) в пределах ее компетенции, определяемой законодательными актами Российской Федерации [62].

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия"

подтверждается, что объект соответствует требованиям стандартов иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции [62].


Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленными в "Аттестате соответствия" [62].

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров [62]. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации при наличии юридически закрепленного его согласия выполнять требования Положения [62].

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации [62].

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации [62]:

• от несанкционированного доступа, в том числе от компьютерных вирусов;



• от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное и облучение, электромагнитное и радиационное воздействие);

• от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации [62].

Аттестация проводится органом по аттестации в установленном Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ [62]:

• анализ исходных данных по аттестуемому объекту информатизации;

• предварительное ознакомление с аттестуемым объектом информатизации;



• проведение экспертного обследования объекта информатизации и анализ разработанной документации по информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

• проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

• проведение испытаний отдельных средств и систем информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

• проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

• анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта и утверждение заключения по результатам аттестации.

Органы по аттестации аккредитуются федеральным органом по сертификации и аттестации. Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных лабораторий и органов по сертификации средств информации по требованиям безопасности информации" для органов по сертификации [62]. Федеральный орган по и аттестации может передавать на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти [62].

Расходы по проведению всех работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители

[62].

Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам в порядке, установленном федеральным органом по сертификации и аттестации в пределах его компетенции, по согласованию с Министерством финансов Российской Федерации, а при их отсутствии - по договорной цене [62].

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации [62].

Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент [62].



Организационную структуру системы аттестации объектов информатизации образуют [62]:

• федеральный орган по сертификации средств и аттестации объектов информатизации по требованиям безопасности информации;

• органы по аттестации объектов информатизации по требованиям безопасности информации;

• испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

• заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

Федеральный орган по сертификации я аттестации осуществляет следующие функции [62]:

• организует обязательную аттестацию объектов информатизации;

• создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

• устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

• организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

• аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

• осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;

• рассматривает апелляции, возникающие в процессе аттестации объектов информатизации и контроля за эксплуатацией аттестованных объектов информатизации;

• организует периодическую публикацию информации по функционированию системы аттестации объектов по требованиям безопасности информации.

Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации [62].

Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры Гостехкомиссии России.

Органы по аттестации [62]:

• аттестуют объекты информатизации и выдают "Аттестаты соответствия";

• осуществляют контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;



• отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";

• формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

• ведут информационную базу аттестованных этим органом объектов информатизации;

• осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.

Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации по заказам заявителей проводят испытания не сертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации" [62].

Заявители [62]:

• проводят подготовку объекта информатизации аттестации путем необходимых организационно-технических мероприятий по защите информации;

• привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;

• предоставляют органам по аттестации необходимые документы и условия проведения аттестации;

• привлекают, в необходимых случаях для проведения испытаний, не сертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;

• осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";

• извещают орган по аттестации, выдавший "Аттестат соответствия", обо всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");



• предоставляют необходимые документы и условия дня осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

Порядок проведения аттестации объектов информатизации требованиям безопасности информации включает следующие действия [62]:

• подачу и рассмотрение на аттестацию;

• предварительное ознакомление с аттестуемым объектом;

• испытание не сертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);

• разработку программы и методики аттестационных испытаний;

• заключение договоров на аттестацию;

• проведение аттестационных испытаний объекта информатизации;

• оформление, регистрацию и выдачу "Аттестата соответствия";

• осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;

• рассмотрение апелляций.

Заявитель для получения "Аттестата соответствия" заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации [62].

Орган по аттестации в месячный срок рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации [62].

При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний [62].

При использовании на аттестуемом объекте информатизации не сертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств [62].



При проведении испытаний отдельных не сертифицированных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации эти испытания проводятся до аттестационных испытаний объектов информатизации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты [62].

По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации [62].

Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных объектов информатизации [62].

Программа аттестационных испытаний согласовывается с заявителем [62].

Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации [62].

Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.



На этапе аттестационных испытаний объекта информатизации [62]:

• осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиях нормативной документации по защите информации;

• определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения, сертифицированных и не сертифицированных средств и систем защиты информации;

• проводятся испытания не сертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

• проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;

• проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

• оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя [62].

К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод [62].



Протоколы испытаний подписываются экспертами - членами аттестационной комиссии, проводившими испытания [62].

Заключение и протоколы испытаний подлежат утверждению органом по аттестации [62].

"Аттестат соответствия" на объект информатизации, отвечающий требованиям по безопасности информации, оформляется и выдается органом по аттестации по установленной форме заявителю после утверждения заключения по результатам аттестации [62].

Регистрация "Аттестатов соответствия" осуществляется по отраслевому или территориальному признакам органами по аттестации с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору [62].

Ведение сводных информационных баз аттестованных объектов информатизации осуществляется федеральным органом по сертификации и аттестации или по его поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов [62].

"Аттестат соответствия" выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года [62].

Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки информации и требований по безопасности информации [62].

В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации [62].

При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче "Аттестата соответствия" [62].


При этом может быть предложен срок повторной аттестации при условии устранения недостатков.

При наличии непринципиального характера "Аттестат соответствия" может быть выдан после проверки устранения этих замечаний [62].

В случае несогласия заявителя с отказом в выдаче "Аттестата соответствия" он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в государственный орган по аттестации с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон [62]. Податель апелляции извещается о принятом решении.

Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится федеральным органом по сертификации и аттестации, как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации - периодически в соответствии с планом работы по

контролю и надзору [62].

Федеральный орган по сертификации и аттестации может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органам по аттестации [62].

Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации по аттестации объектов информатизации [62].

Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль за эксплуатацией аттестованных объектов информатизации [62].

В случае грубых нарушений органом по аттестации требований стандартов или иных нормативных и методических документов по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации по ходатайству вышестоящего органа, проводящего контроль и надзор, перед федеральным органом по сертификации и аттестации [62].



По результатам контроля и надзора за эксплуатацией аттестованных объектов в случае нарушения их владельцами условий функционирования объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводившим контроль и надзор, может быть приостановлено или аннулировано действие "Аттестата соответствия", оформив это решение в "Аттестате соответствия" и проинформировав орган, ведущий сводную информационную базу аттестованных объектов информатизации, и федеральный орган по сертификации и аттестации [62].

Решение о приостановлении или аннулировании действия "Аттестата соответствия" принимается в случае, когда в результате оперативного принятия организационно-технических мер не может быть восстановлен требуемый уровень безопасности информации [62].

В случае грубых нарушений органом по аттестации требований стандартов или нормативных документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции, выявленных при контроле и надзоре и приведших к повторной аттестации, расходы по осуществлению контроля и надзора могут быть по решению Госарбитража взысканы с органа по аттестации [62]. Кроме того, и повторная аттестация может быть осуществлена за счет этого органа по аттестации.

Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств госбюджета, выделенных ему в этих целях [62].

Объекты информатизации, вне зависимости от используемых отечественных или зарубежных технических и программных средств, аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции [62].

Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту [62].

В нормативную и методическую документацию включаются только те показатели, характеристики и требования, которые могут быть объективно проверены [62].

В нормативной и методической документации на методы испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты

[62].

Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование, в них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направлений защиты информации [62].


Содержание раздела