Аттестация объекта информатизации по требованиям безопасности информации
Аттестация объектов информатизации
Аттестация объекта информатизации (ОИ) по требованиям безопасности информации (БИ) это комплекс организационно-технических мероприятий, в результате которых подтверждается, что на ОИ выполнены требования по БИ, оглашенные в нормативно-технической документации и утвержденные гос. органами обеспечения БИ и контролируемые при аттестации.
По завершению аттестационных работ, при соблюдении всех требований, заявителю выдается «Аттестат соответствия», разрешающий обрабатывать информацию утвержденного уровня конфиденциальности.
Наличие на ОИ действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в этом «Аттестате соответствия».
Обязательной аттестации подлежат ОИ, предназначенные для обработки информации, составляющей гос. тайну, управления экологически опасными объектами, ведения секретных переговоров.В оставшихся случаях аттестация носит добровольный характер (аттестация) и может осуществляться по инициативе заказчика или владельца ОИ.
Аттестация по требованиям БИ предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном ОИ систем защиты информации.
При аттестации ОИ подтверждается его соответствие требованиям по защите информации от несанкционированного доступа (НСД), в том числе от компьютерных вирусов и утечки за счет побочных электромагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает аттестационные испытания защищаемого ОИ в реальных условиях эксплуатации систем с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню БИ.
Аттестация ОИ проводится органом по аттестации в установленном законодательством порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
— анализ исходных данных по аттестуемому ОИ;
— предварительное ознакомление с аттестуемым ОИ;
— проведение экспертного обследования ОИ и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной, методической, организационно-распорядительной документации;
— проведение испытаний отдельных средств и систем защиты информации на аттестуемом ОИ с помощью специальной контрольной аппаратуры и тестовых средств (в том числе программных);
— проведение испытаний отдельных средств и систем защиты информации в испытательных лабораториях по сертификации средств защиты информации по требованиям БИ;
— проведение аттестационных испытаний ОИ в реальных условиях эксплуатации;
— анализ результатов экспертного обследования и комплексных аттестационных испытаний ОИ и утверждение заключения по результатам аттестации.
Определения и понятия, используемые при аттестации ОИ
Объект информатизации (ОИ) — совокупность средств информатизации вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи защищаемой информации, а также выделенные помещения.
Средства информатизации — средства вычислительной техники и связи, оргтехники, предназначенные для сбора, накопления, хранения, поиска, обработки данных и выдачи информации потребителю.
Средства вычислительной техники (СВТ) — электронные вычислительные машины и комплексы, персональные электронные вычислительные машины, в том числе программные средства, периферийное оборудование, устройства телеобработки данных.
Объект вычислительной техники (ВТ) — стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации к объектам вычислительной техники, относятся автоматизированные системы (АС), автоматизированные рабочие места (АРМ) информационно-вычислительные центры (ИВЦ) и другие комплексы средств вычислительной техники.
К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.
Выделенное помещение (ВП) — специальное помещение, предназначенное для проведения собраний, совещаний, бесед и других мероприятий речевого характера по секретным или конфиденциальным вопросам.
Мероприятия речевого характера могут проводиться в выделенных помещениях с использованием технических средств обработки речевой информации (ТСОИ) и без них.
Техническое средство обработки информации (ТСОИ) — техническое средство, предназначенное для приема, хранения, поиска, преобразования, отображения и/или передачи информации по каналам связи.
К ТСОИ относятся средства вычислительной техники, средства и системы связи средства записи, усиления и воспроизведения звука, переговорные и телевизионные устройства, средства изготовления и размножения документов, кино-проекционная аппаратура и другие технические средства, связанные с приемом, накоплением, хранением, поиском, преобразованием, отображением и/или передачей информации по каналам связи.
Автоматизированная система (AC) — комплекс программных и технических средств, предназначенных для автоматизации различных процессов, связанных с деятельности человека. При этом человек является звеном системы.
Специальная проверка — это проверка технического средства обработки информации, осуществляемая с целью поиска и изъятия специальных электронных закладных устройств (аппаратных закладок).
Аттестат объекта защиты — документ, выдаваемый органом по сертификации или другим специально уполномоченным органом подтверждающий наличие на объекте защиты необходимых и достаточных условий для выполнения установленных требований и норм эффективности защиты информации.
Аттестат выделенного помещения — документ, выдаваемый органом по аттестации или другим специально уполномоченным органом, подтверждающий наличие необходимых условий, обеспечивающих надежную акустическую защищенность выделенного помещения в соответствии с установленными нормами и правилами.
Предписание на эксплуатацию — документ, содержащий требования по обеспечению защищенности технического средства обработки информации в процессе его эксплуатации.
Программа и методики аттестационных испытаний (ПиМ) — обязательный для выполнения, организационно-методический документ, устанавливающий объект и цели испытании, виды, последовательность и объем проводимых экспериментов, порядок, условия, место и сроки проведения испытаний, обеспечение и отчетность по ним, а также ответственность за обеспечение и проведение испытаний.
Методика аттестационных испытаний — обязательный для выполнения, организационно методический документ, включающий метод испытаний, средства и условия испытаний, отбор образцов, алгоритм выполнения операций. По определению одной или нескольких взаимосвязанных характеристик защищенности объекта формы представления данных и оценка точности, достоверности результатов.
Протокол аттестационных испытаний — документ, содержащий необходимые сведения об объекте испытаний, применяемых методах, средствах и условиях испытаний, а также заключение по результатам испытаний, оформленный в установленном порядке.
Основные технические средства и системы (ОТСС) — технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной (секретной) информации
К ОТСС могут относиться средства и системы информатизации (средства вычислительной техники, АС различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео-, смысловой и буквенно-цифровой информации) используемые для обработки конфиденциальной (секретной) информации.
Вспомогательные технические средства и системы (ВТСС) — технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.
К ним относятся:
— различного рода телефонные средства и системы;
— средства и системы передачи данных в системе радиосвязи;
— средства и системы охранной и пожарной сигнализации;
— средства и системы оповещения и сигнализации;
— контрольно-измерительная аппаратура;
— средства и системы кондиционирования;
— средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
— средства электронной оргтехники.
Подготовка документов по итогам аттестационных испытаний
По результатам аттестационных испытаний по различным направлениям и компонентам составляются Протоколы испытаний. На основании протоколов принимается Заключение по результатам аттестации с краткой оценкой соответствия ОИ требованиям по безопасности информации, выводом о возможности выдачи «Аттестата соответствия» и необходимыми рекомендациями. В случае, если объект информатизации соответствует установленным требованиям по БИ, на него выдается «Аттестат соответствия».
Переаттестация объектов информатизации (повторная аттестация)
Переаттестация ОИ производится в случае, когда на недавно аттестованном объекте были произведены изменения. К таким изменениям может быть отнесено:
— изменение категории объекта;
— изменение расположения ОТСС или ВТСС;
— замена ОТСС или ВТСС на другие;
— замена технических средств защиты информации;
— изменения в монтаже и прокладке слаботочных и соловых кабельных линии;
— несанкционированное вскрытие опечатанных корпусов ОТСС или ВТСС;
— производство ремонтно-строительных работ в выделенных помещениях и пр.
В случае необходимости переаттестации объекта информатизации повторная аттестация производятся, по упрощенной программе Упрощения заключаются, в том, что испытаниям подвергаются только элементы, подвергшиеся изменениям, (или внесенные изменения повлекли за собой изменения параметров этих элементов).
0