Loclay : другие произведения.

Аттестация объектов информатизации

Самиздат: [Регистрация] [Найти] [Рейтинги] [Обсуждения] [Новинки] [Обзоры] [Помощь|Техвопросы]
Ссылки:
Школа кожевенного мастерства: сумки, ремни своими руками
Оценка: 6.41*6  Ваша оценка:


   Вопросы по теме "Аттестация объектов информатизации".
      -- Организационная структура системы аттестации ОИ и их функции. Какие ОИ подлежат обязательной аттестации.
  
   Организационную структуру системы аттестации объектов информатизации образуют:
   - федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации - Гостехкомиссия России;
   - органы по аттестации объектов информатизации по требованиям безопасности информации;
   - испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
   - заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).
   Гостехкомиссия России может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органам по аттестации.
   Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
   В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
   Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
  
      -- Федеральные органы по аттестации и их функции.
   Федеральный орган по сертификации и аттестации осуществляет следующие функции:
   организует обязательную аттестацию объектов информатизации;
   создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
   устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
   организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
   аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
   осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
   рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;
   организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.
  
      -- Органы по аттестации объектов и их функции. Задачи и функции органа по аттестации.
   Органы по аттестации объектов информатизации аккредитуются Гостехкомиссией России и получают от нее лицензию на право проведения аттестации объектов информатизации.
   Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры Гостехкомиссии России.
   Основными задачами органа по аттестации является организация и проведение аттестации объектов информатизации по требованиям безопасности информации, а также контроль за состоянием и эксплуатацией аттестованных этим органом объектов информатизации. Орган по аттестации осуществляет следующие функции:
   1) Формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации используемой при аттестации конкретных типов объектов информатизации
   2) Рассматривает заявки на аттестацию объектов информатизации, планирует работы по аттестации объектов информатизации и доводит сроки проведения аттестации до заявителей
   3) Проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы о необходимости проведения аттестации не сертифицированной продукции в лабораториях
   4) Организует работы по аттестации объектов информатизации как на основе заключенных договоров, так и на их взаимоотношении определяемых на предприятии и закрепляемых в положении о конкретном органе
   5) Разрабатывает программу, а при необходимости и методики аттестационных испытаний. Формирует и командирует(при проведении работ по аттестации по заказам сторонних заявителей) аттестационные комиссии из компетентных специалистов в необходимых для конкретного объекта информатизации направления защиты информации. Привлекает к работе в комиссиях специалистов испытательных центров по сертификации в случае испытаний средств защиты информации непосредственно на аттестуемом объекте информатизации.
   6) Рассматривает результаты аттестационных испытаний объекта информатизации и выдает заявителю аттестат соответствия. При осуществлении контроля за состоянием и эксплуатацией аттестованных объектов проверяет условия реальной эксплуатации объекта и технологии обработки защищаемой информации условиями при которых был выдан аттестат.
   Отменяет и приостанавливает действие выданного предприятию аттестатов соответствия в случае нарушений и ведет информационную базу аттестованных этих органом объектов информатизации осуществляя взаимодействие взаимодействие с ФСТЭКОМ России и информирует их о своих действиях
  
      -- Деятельность аттестационных комиссий
   Аттестационные комиссии формируются органами по аттестации объектов из числа как штатных сотрудников органов так и специалистов в различных направлениях защиты информации других предприятий и других специалистов, таким образом чтобы обеспечить комплексную проверку конкретного защищаемого объекта на соответствие условиям защиты информации. При необходимости в случае проведении испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции
  
      -- Права , обязанности и ответственность органов по проведению аттестации.
   Орган по аттестации имеет право:
   1) Привлекать для работы в аттестационных комиссиях наиболее компетентных специалистов в порядке определяемом положением о конкретном органе.
   2) Устанавливает сроки договорные цены на проведение аттестации, а также устанавливает иные условия взаимодействий определяемых положением о конкретном органе
   3) Отказывать заявителю в аттестации объекта информатизации указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации
   4) Участвовать в контроле за состоянием и эксплуатацией атестованого этим органом объекта информатизации
   5) Решать и приостанавливать действие аттестата соответствия в случае нарушения его владельцем условий функционирования объекта информатизации, технологии обработки защищаемой информации и требования по безопасности информации
   Орган по аттестации обязан:
   1) Соблюдать в полном объеме все правила и прядок сертификации установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, организационно методическими документами и другими документами предъявляемыми при аккредитации
   2) Признавать сертификаты на те средства ЗИ для которых доказано их соответствие конкретным нормативным документам по правилам защиты
   3) При введении нормативным документов на средства ЗИ новой нормы на ранние сертифицированные средства информировать изготовителя средств защиты информации в течение месяца о сроках и порядке его введения, а также оказывать ему содействие в своевременном проведении работы по сертификации в соответствии с новыми нормами
   4) Информировать ФСТЭК России о всех изменениях которые могут привести к необходимости рассмотрения вопроса о проведении аккредитации и приостановлении действий лицензии
   5) Вести учет всех предъявляемых рекламаций сертифицированным средством ЗИ и информировать об этом ФСТЭК России
   6) В установленные договором с заявителем сроки организовывать и проводить аттестацию объектов информатизации обеспечивая полноту и объективность
   7) Обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершению аттестации, соблюдение авторского права
   8) Вести информационную базу аттестованных этим органом объектов информатизации, представляет ежеквартально в федеральные органы по сертификации информацию о результатах аттестации а также копии аттестатов соответствия для их регистрации и допускает в установленном порядке представителей контрольных органов для осуществления надзора за аттестацией объекта
   Орган аттестации несет ответственность за:
   1) Соответствие проверенных им аттестационных испытаний объекта информатизации, требованием стандартов и иных нормативных и методических документов по безопасности информации, а также достоверность и объективность их результатов
   2) Полноту и качество выполнения функций и обязанностей возложенных на него
   3) Формирование и квалификацию аттестационных комиссий , соблюдение требований нормативных и методических документов предъявляемых к порядку проведения аттестации
   4) Соблюдение установленных сроков и условий проведения аттестации зафиксированных в договоре с заявителем
   Обеспечение сохранности государственной и коммерческой тайны заявителя соблюдением действующего законодательства
  
      -- Аккредитация испытательных лабораторий и органов по сертификации средств защиты информации по требованию безопасности информации. Порядок аккредитации.
   Этапы:
   1) Рассмотрение документов представленных на предприятии
   2) Проверка предприятия комиссией определяемой ФСТЭК России
   3) Принятие решения об аккредитации по результатам проверки
   4) Оформление регистрации и выдачи аттестата аккредитации
   Предприятие претендующее на аккредитацию должно подать заявку на аккредитацию в соответствующей форме одновременно с заявкой направляется проект положение об органе по сертификации или лаборатории с заявляемой областью аккредитации. В случае аккредитации предприятия в качестве лаборатории средств ЗИ к заявке дополнительно прикладывается паспорт лаборатории и анкета опросник, по установленной форме. После рассмотрения материалов создается комиссия по проверке. Состав комиссии формируется из специалистов территориальных органов ФСТЭК, отраслевых и региональных центров по защите информации, а также других организаций и предприятий компетентных в области ЗИ, состав комиссии утверждается руководителем ФСТЭК России. Проверка проводится на соответствие фактического состояния представленным документам и на способность выполнять заявленные функции. По результатам комиссия составляет акт, который подписывается членом комиссии и представляется для ознакомления руководителю аккредитуемого предприятия. Решение об аккредитации предприятия принимается после рассмотрения всей полученной информации о состоянии этого предприятия и его готовности к аккредитации. Аккредитованное предприятие вносится ФСТЭК России в государственный реестр и ему выдается аттестат. За 6 месяцев до окончания срока действия аттестата предприятние имеющее намерение продлить его действие направляет заявку на продление. Порядок повторной аккредитации устанавливается в зависимости от результатов контроля и может проводится по полной или сокращенной процедуре устанавливаемой в каждом конкретном случает.
  
      -- Контроль и надзор за деятельностью аккредитованных испытательных лабораторий и органов по сертификации.
   Контроль может осуществлятся путем:
   1) Периодических проверок
   2) Представления предприятием регулярной информации о качестве проводимых им испытаний, об результатах периодических внутренних проверок системы обеспечения качества испытаний, о претензиях к клиентам(заявителей)
   3) Любых других действий контрольного характера которые могут обеспечить уверенность в том, что предприятие в течение срока действия аттестата соответствует требованиям предъявляемых к нему при аккредитации. Условия контроля для каждого предприятия определяются в соответствии с положением об органе сертификации(лабораторий) при принятии решений по его аккредитации
   Аннулирование аккредитации предприятий в качестве лабораторий и органов сертификации
   Аккредитация предприятия может быть досрочно отменена в следующих случаях:
   1) Несоответствие предприятия требованиям предъявляемом к аккредитованным предприятиям
   2) Самостоятельное решение аккредитованного предприятия о досрочном прекращении действий аккредитации
   Прим. Предприятие может в течение 15 дней опротестовать решение по любым вопросам аккредитации в гос. арбитраже России
  
      -- Заявители и их функции. Заявка на проведение аттестации ОИ.
   Заявители:
   1) Проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических предприятий по ЗИ
   2) Привлекают органы по аттестации для организации и проведения аттестации объекта информатизации
   3) Предоставляют органам по аттестации необходимые документы и условия для проведения аттестации
   4) Привлекают в необходимых случаях для проведения испытаний не сертифицированных средств защиты информации используемых на аттестуемом объекте испытательные центры(лаборатории)
   5) Осуществляет эксплуатацию объекта информатизации в соответствии с условиями и требованиями установленными в аттестате соответствия
   6) Извещает орган по аттестации выдавший аттестат соответствия о всех изменениях по инф. технологиях в составе использования
   7) Предоставляет необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации прошедшего обязательную аттестацию
  
   Начальник Управления
   государственной технической комиссии
   при президенте Российской Федерации
   В. Вирковский
   " 24 " ноября 1994 г.
  

Приложение 1

  
   Кому:_________________________________
   (наименование органа по аттестации и его адрес)
  

З А Я В К А

на проведение аттестации объекта информатизации

  
   1. (наименование заявителя) просит провести аттестацию (наименование объекта информатизации) на соответствие требованиям по безопасности информации:___________________________________________
  
   2. Необходимые исходные данные по аттестуемому объекту информатизации прилагаются.
   3. Заявитель готов предоставить необходимые документы и условия для проведения аттестации.
   4. Заявитель согласен на договорной основе оплатить расходы по всем видам работ и услуг по аттестации указанного в данной заявке объекта информатизации.
   5. Дополнительные условия или сведения для договора:
   5.1. Предварительное ознакомление с аттестуемым объектом предлагаю провести в период _______________
   5.2. Аттестационные испытания объекта информатики предлагаю провести в период ______________________
   5.3. Испытания несертифицированных средств и систем информатизации (наименование сpедств и систем) предусмотрено провести в испытательных центрах (лабораториях) (наименование испытательных центров) в период ____________ (или предлагается провести непосредственно на аттестуемом объекте в период _____)
   Другие условия (предложения).
  
   печать
   Руководитель (органа заявителя)
   (подпись, дата) (Фамилия, И.О.)
  
  
      -- Порядок проведения аттестации объектов информатизации. Содержание заявок.
   Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
   - подачу и рассмотрение заявки на аттестацию;
   - предварительное ознакомление с аттестуемым объектом;
   - испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
   - разработка программы и методики аттестационных испытаний;
   - заключение договоров на аттестацию;
   - проведение аттестационных испытаний объекта информатизации;
   - оформление, регистрация и выдача "Аттестата соответствия";
   - осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
   - рассмотрение апелляций.
  
      -- Порядок взаимодействия заявителя и органа по проведению аттестации.
   Заявитель для получения "Аттестата соответствия" заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации по форме, приведенной в приложении 1.
   орган по аттестации в месячный срок рассматривает заявку и на основании анализа исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.
   Предварительное ознакомление с аттестуемым объектом.
   При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.
  
      -- Испытательные центры сертификации продукции по требованию безопасности. ИХ функции.
   Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации по заказам заявителей проводят испытания несеpтифициpованной продукции, используемой на объекте информатики, подлежащем обязательной аттестации, в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации".
   Орган по сертификации осуществляет следующие функции:
   * сертифицирует продукцию, выдает сертификаты и лицензии на применение знака соответствия, регистрирует их в государственном реестре системы;
   * участвует в аккредитации испытательных центров (лабораторий);
   * осуществляет инспекционный контроль за стабильностью характеристик сертифицированной продукции и состоянием ее про-изводства, а также надзор за деятельностью испытательных центров (лабораторий);
   * совместно с государственными органами по сертификации и аттестации и территориальными органами Госстандарта России принимает участие в аттестации производства, на котором производится сертифицируемая продукция;
   * определяет схему проведения сертификации конкретной продукции с учетом предложения заявителя;
   * рекомендует заявителю испытательный центр (лабораторию) для проведения испытаний;
   * приостанавливает либо отменяет действие выданных им сертификатов в случае нарушения изготовителем требований стандартов и иных нормативных и методических документов по безопасности информации; формирует фонд документов, необходимых для сертификации, участвует в их разработке;
   * разрабатывает и ведет методическую документацию по сертификации конкретных видов продукции;
   * взаимодействует с изготовителем конкретных видов продукции в своей области аккредитации по своевременной сертификации продукции при изменении требований стандартов;
   * участвует в разработке корректирующих мероприятий для повышения стабильности характеристик сертифицированной продукции, определяющих безопасность информации;
   * ведет перечень сертифицированной продукции в своей области аккредитации и готовит для публикации информацию о результатах сертификации;
   * ведет перечень аттестованных тестирующих средств;
   * представляет заявителю по его требованию необходимую информацию в пределах своей компетенции.
  
      -- Исходные данные и документация представляемая заявителем для проведения аттестации.
   1) Полное и точное наименование объекта информатизации и его назначение
   2) Характер(научно-техническое, экономическое, производственное, финансовое, военное, политическое) и уровень секретности(конфиденциальности обрабатываемой информации (Государственный, отраслевой, ведомственный перечень)
   3) Организационная структура объекта информатизации
   4) Перечень помещений, состав комплекса технических средств, основных и вспомогательных, входящих в объект информатизации(на которых обрабатывается указанная инфромация)
   5) Особенности и схема расположения объекта информатизации с указанием хранить контролируемые зоны
   6) Структура программного обеспечения, общесистемного и прикладного используемого на на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информации
   7) Общая функциональная сфера объекта включая схему информационных потоков и режима обработки защищаемой информации
   8) Наличие и характер взаимодействия с другими объектами информатизации
   9) Состав и структура системы защиты информации на аттестуемом объекте информатизации
   10) Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат и предписание на эксплуатацию
   11) Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков(по отношению к предприятию на котором расположен аттестуемый объект) лицензий на проведение подобных работ
   12) Наличие на объекте информатизации (на предприятии) службы безопасности информации, службы администратора(автоматизированные системы сети баз данных)
   13) Наличие и основные характеристики физической защиты объекта информатизации(помещений где обрабатывается защищаемая информация)
   14) Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные по аттестуемому объекту влияющие на безопасность информации
  
      -- Составляющие аттестационных испытаний объектов информатизации. Программа аттестации на объектах.
   По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.
   Программа испытаний разрабатывается на основе анализа исходных данных об ОИ и должна включать необходимые виды испытаний, определенные методические рекомендации для соответствующих видов ОИ (выделенные помещения, автоматизированные системы, системы связи и т.д.), а также определять сроки, условия и методики проведения испытаний. Программа аттестационных испытаний согласовывается с заявителем и может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии
   Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных ОИ.
  
      -- Проведение аттестации объектов информатизации. Этапы аттестации.
   Аттестационные испытания предусматривают комплексную проверку защищаемого объекта в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации и проводятся в следущем порядке:
   • анализ и оценка исходных данных и документации по защите информации на ОИ, оценка правильности категорирования выделенных помещений и ОИ; оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
   • специальное обследование ОИ; проведение испытаний отдельных средств и систем защиты информации в испытательных центрах по сертификации продукции по требованиям безопасности информации (при необходимости);
   • специальные проверки технических средств на наличие возможно внедренных специальных электронных устройств перехвата информации;
   • специальные обследвания помещений на наличие возможно внедренных специальных электронных устройств перехвата информации;
   • проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольно-измерительной аппаратуры;
   • анализ результатов специального обследования и аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации;
   • подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (несоответствии) ОИ установленным требованиям, которая представляется в орган по аттестации для принятия решения о выдаче "Аттестата соответствия".
  
      -- Порядок проведения аттестационных испытаний АС. Основные составляющие.
   Аттестационные испытания АС включают:
   * анализ организационной структуры объекта информатизации;
   * анализ и оценка исходных данных и документации по защите информации на полноту содержания;
   * изучение технологического процесса обработки и хранения конфиденциальной информации, анализ информационных потоков, определение состава использованных для обработки защищаемой информации средств ВТ;
   * проверка состояния организации работ и выполнения организационно-технических требований по защите информации;
   * оценка правильности классификации объектов информатизации;
   * оценка правильности категорирования объектов информатизации;
   * оценка полноты и уровня разработки организационно-распорядительной и эксплуатационной документации и ее соответствия требованиям нормативной документации по защите информации;
   * оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации;
   * испытания отдельных технических и программных средств, средств и систем защиты информации, на соответствие требованиям безопасности информации по утвержденным или согласованным методикам испытаний;
   * комплексные испытания объектов информатизации на соответствие требованиям безопасности информации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
   * подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии объектов информатизации требованиям по безопасности информации.
  
      -- Порядок проведения аттестационных испытаний ВП. Основные составляющие.
   Для проведения испытаний выделенных помещений заявитель представляет аттестационной комиссии следующие исходные данные и документацию:
   * оформленный технический паспорт на объект информатизации (в соответствии с приложением N1 СТР);
   * акт категорирования выделенных помещений;
   * план контролируемой зоны предприятия (учреждения);
   * перечень защищаемых ресурсов с документальным подтверждением максимальной степени секретности обсуждаемых в выделенном помещении вопросов;
   * инструкции по эксплуатации средств защиты информации;
   * предписания на эксплуатацию технических средств и систем;
   * протоколы специальных исследований технических средств и систем;
   * акты или заключения о специальной проверке технических средств;
   * сертификаты соответствия требованиям безопасности информации на средства и системы обработки и передачи информации, используемые средства защиты информации;
   * данные по уровню подготовки кадров, обеспечивающих защиту информации;
   * данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
   * данные о наличии нормативной и методической документации по защите информации и контролю эффективности защиты.
   Аттестационные испытания проводятся в следующем порядке:
   * проверка на соответствие организационно-техническим требованиям по защите информации;
   * испытания на соответствие требованиям по защите информации от утечки по каналам ПЭМИН;
   * испытания на соответствие требованиям по защите информации от утечки по акустическому и виброакустическому каналам;
   * проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации;
   * подготовка отчетной документации.
  
      -- Заключительный этап аттестации ОИ. Условия получения аттестата соответствия.
   Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.
   К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
   Протоколы испытаний подписываются экспертами - членами аттестационной комиссии, проводившими испытания.
   Заключение и протоколы испытаний подлежат утверждению органом по аттестации.
  
      -- Что должно содержать заключение аттестационной комиссии.
   Результаты аттестационных испытаний оформляются протоколом испытаний, в общем случае содержащим:
   состав комиссии, дату испытаний, наименование объекта аттестационных испытаний;
   цель испытаний;
   * перечень нормативных документов и методик испытаний;
   * результаты испытаний на момент окончания.
   На основании полученных результатов испытаний принимается заключение, которое должно включать:
   * оценку соответствия объекта информатизации требованиям по безопасности информации;
   * перечень выявленных недостатков и нарушений;
   * рекомендации по устранению выявленных недостатков и нарушений;
   * вывод о возможности выдачи "Аттестата соответствия".
   Оценка соответствия объекта информатизации требованиям по безопасности информации производится на основании анализа общих результатов испытаний и выявленных в процессе испытаний конкретных недостатков и нарушений.
   В случае несоответствия объекта информатизации установленным требованиям по защите информации комиссия может рассмотреть предложения заявителя по оперативному устранению выявленных недостатков и нарушений. При этом могут рекомендоваться следующие меры:
   * доработка организационно-распорядительной документации;
   * снижение класса объекта ВТ;
   * исключение отдельных средств из состава объекта ВТ;
   * применение дополнительных организационно-технических мер защиты;
   * применение дополнительных сертифицированных средств защиты информации.
   Если в процессе аттестационных испытаний выявлены недостатки, не приводящие к нарушениям установленных требований и норм защищенности информации, то комиссия может рекомендовать следующие меры:
   * оперативное устранение выявленных недостатков в процессе аттестационных испытаний;
   * устранение установленных недостатков и нарушений в согласованные с комиссией сроки с представлением необходимых документов в Орган по аттестации;
   * проведение дополнительных частичных испытаний в согласованные сроки и по дополнительному соглашению.
  
      -- Оформление, регистрация и выдача "Аттестата соответствия".
   "Аттестат соответствия" на ОИ, отвечающий требованиям по безопасности информации, оформляется и выдается органом по аттестации по установленной форме заявителю после утверждения заключения по результатам аттестации.
   "Аттестат соответствия" ОИ (выделенного помещения) требованиям по безопасности информации должен содержать:
   • регистрационный номер;
   • дату выдачи;
   • срок действия;
   • наименование, адрес и местоположение ОИ (выделенного помещения);
   • категорию объекта информатизации (выделенного помещения);
   • класс защищенности автоматизированной системы;
   • разрешенный гриф конфиденциальности (секретности) информации, обрабатываемой на объекте информатизации (обсуждаемой в выделенном помещении);
   • организационную структуру ОИ и вывод об уровне подготовки специалистов по защите информации;
   • номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;
   • перечень руководящих документов, в соответствии с которыми проводилась аттестация;
   • номер и дату утверждения заключения по результатам аттестационных испытаний;
   • состав комплекса технических средств обработки информации ограниченного доступа (с указанием категорий, заводских номеров, моделей, изготовителей, номеров сертификатов соответствия и мест установки), перечень ВТСС (с указанием заводских номеров, моделей, изготовителей, номеров сертификатов соответствия и мест установки), перечень технических средств защиты информации (с указанием заводских номеров, моделей, изготовителей, номеров сертификатов соответствия и мест установки), а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;
   • организационные мероприятия, при проведении котоых разрешается обработка информации ограниченного доступа;
   • перечень действий, которые запрещаются при эксплуатации ОИ (выделенного помещения);
   • список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.
   "Аттестат соответствия" подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.
   Регистрация "Аттестатов соответствия" осуществляется по отраслевому или территориальному признакам органами по аттестации в целях ведения информационной базы аттестованных ОИ и планирования мероприятий по контролю и надзору. Ведение сводных информационных баз аттестованных ОИ осуществляется федеральным органом по сертификации и аттестации или по его поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов. "Аттестат соответствия" выдается владельцу аттестованного объекта ОИ органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования ОИ и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более, чем на 3 года. На основании "Аттестата соответствия" на предприятии оформляется приказ (указание, распоряжение) о разрешении обработки (обсуждении) информации ограниченного доступа и назначении лиц, ответственных за эксплуатацию ОИ (выделенного помещения).
  
      -- Эксплуатация аттестованного объекта.
   Владелец аттестованного ОИ несет ответственность за выполнение установленных условий функционирования ОИ, технологии обработки информации и требований по безопасности информации.
   В целях своевременного выявления и предотвращения утечки информации по техническим каналам на предприятии проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности предприятия и заключается в оценке:
   • соблюдения требований нормативно-методических документов по защите информации;
   • работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
   • знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
   В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ОИ.
  
      -- Рассмотрение апелляций по вопросам аттестации.
   При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче "Аттестата соответствия". При этом может быть предложен срок повторной аттестации при условии устранения недостатков. При наличии замечаний непринципиального характера "Аттестат соответствия" может быть выдан после проверки устранения этих замечаний.
   В случае несогласия заявителя с отказом в выдаче "Аттестата соответствия" он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в государственный орган по аттестации с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении. Государственный контроль и надзор, инспекционный контроль за проведением аттестации ОИ проводятся федеральным органом по сертификации и аттестации как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных ОИ - периодически в соответствии с планом работы по контролю и надзору. Федеральный орган по сертификации и аттестации может передавать некоторые из своих функций государственного контроля и надзора аккредитованным органам по аттестации.
  
      -- Аттестационные испытания АС. Что входит в изучение технологического процесса обработки, передачи и хранения информации.
   При изучении технологического процесса автоматизированной обработки и хранения информации обращается внимание на такие компоненты объекта ВТ как объекты и субъекты доступа, средства обработки и передачи информации:
   * к объектам доступа относятся средства обработки и передачи информации, информационные носители на магнитной и бумажной основе, накопители и все виды памяти ЭВМ, в которых может находиться информация, отдельные документы и их архивы, используемые в технологическом процессе автоматизированной обработки информации, файлы, записи и другие единицы информационных ресурсов, доступ к которым необходимо регламентировать;
   * к субъектам доступа относятся персонал и все лица, которые имеют возможность доступа к средствам обработки информации, а также программные средства, посредством которых осуществляется доступ к объектам;
   * к средствам обработки и передачи информации относятся технические и программные средства ВТ, средства и линии связи, предоставляющие возможности как для перемещения (копирования) информации между различными областями памяти и информационными носителями, различными средствами обработки, определенными для объекта ВТ, так и по выводу информации из установленной для нее сферы обращения.
   Используя исходные данные по технологии обработки и передачи информации, разрешительной системы доступа персонала к защищаемым ресурсам, анализируется обобщенная технологическая схема объекта ВТ с существующими и возможными информационными потоками, возможностями доступа к обрабатываемой и передаваемой информации.
   Проверяется соответствие описания технологического процесса обработки, хранения и передачи конфиденциальной информации реальной практике на объекте.
   Проверяются паспортные (исходные) данные объекта ВТ и устанавливаются опасные факторы и угрозы, критические места объекта ВТ, снижающие уровень защиты, комплектность и характеристики средств защиты.
   Проверяются наличие оформленных разрешений на допуск персонала к информации определенного уровня конфиденциальности, метки конфиденциальности (грифа секретности) на информационных носителях, соответствие технологических инструкций пользователей и администратора безопасности информации установленным требованиям.
   По результатам изучения уточняется схема технологического процесса с привязкой к конкретным средствам обработки и передачи информации и штатному персоналу.
  
      -- Аттестационные испытания АС. Что входит в изучение соответствия организационно-техническим требованиям по ЗИ.
   Проверка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации
   Производится проверка достаточности представленных документов и соответствия их содержания требованиям стандартов и иных руководящих документов по безопасности информации Гостехкомиссии России и других органов государственного управления в пределах компетенции.
   Проверка соответствия состава и структуры программно-технических средств объекта ВТ представленной документации 9.4.3
   Состав и структура программно-технических средств, включенных в реальный технологический процесс обработки информации, сверяется с представленной документацией.
   Проверка правильности классификации объекта ВТ производится в соответствии с требованиями РД Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации" и раздела 6 СТР на основании следующих определяющих признаков:
   * уровней конфиденциальности (степени секретности) обрабатываемой информации;
   * уровней полномочий по доступу к конфиденциальной информации различных пользователей;
   * режимов обработки данных на объекте ВТ - многопользовательский или однопользовательский;
   *максимального уровня конфиденциальности обрабатываемой информации. Полученный класс объекта ВТ сравнивается с установленным на объекте аттестации.
   Проверка правильности категорирования объектов ВТ производится в соответствии с требованиями раздела 3 СТР на основании следующих исходных данных:
   * максимального уровня конфиденциальности (степени секретности) обрабатываемой на объекте ВТ информации;
   * условий расположения объекта ВТ.
   Указанные исходные данные должны быть подтверждены документально заключениями об уровне конфиденциальности информации, актами, планами размещения и другими документами.
   Производится категорирование объектов ВТ. Результаты категорирования сравниваются с категориями, указанными в актах категорирования соответствующих объектов ВТ.
  
   Проверка уровня подготовки кадров и распределения ответственности персонала производится на основе следующих показателей:
   * экспертной оценки знания инструкций по безопасности информации пользователями и эксплуатационным персоналом;
   * наличия разрешительной системы доступа персонала к защищаемым ресурсам, определяющей полномочия по доступу к конфиденциальной информации и процедуры их оформления, системы распределения ответственности персонала за выполнение требований по безопасности информации, оформленной приказами и распоряжениями руководителя предприятия (объекта информатизации);
   * экспертной оценки системы технической учебы и повышения квалификации персонала и пользователей объекта ВТ.
   Путем опроса персонала проверяется доведение до конкретных исполнителей руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях.
   Проверка наличия сертификатов соответствия на СВТ и средства защиты информации, экспертиза отчетов и протоколов по специальным исследованиям СВТ, предписаний на эксплуатацию СВТ
   Производится проверка наличия документов, подтверждающих возможность применения технических и программных средств ВТ, средств защиты для обработки конфиденциальной информации (сертификатов соответствия), экспертиза отчетов и протоколов по специальным исследованиям СВТ, предписаний на эксплуатацию СВТ, а также их соответствия требованиям нормативных документов
   Проверка выполнения требований к помещениям, в которых производится обработка информации средствами ВТ
   При проверке помещений производится оценка их соответствия требованиям действующей инструкции по обеспечению режима секретности в министерствах, ведомствах, на предприятиях.
   Производится проверка выполнения требований руководящих документов по условиям размещения СВТ в рабочих помещениях, которые исключали бы возможность несанкционированного просмотра информации с экранов мониторов, с распечаток принтеров и с других устройств ввода-вывода информации лицами, не имеющими права доступа к обрабатываемой информации
  
      -- Аттестационные испытания АС. Что входит в проверку требований по ЗИ от утечки по цепям заземления и питания.
   Проверка выполнения требований к схеме организации электропитания технических средств ВТ, монтажу питающих кабелей, фильтрации опасных сигналов в цепях питания
   Производится проверка выполнения требований разделов 9 и 10 СТР по выполнению схемы энергопитания средств ВТ:
   * по размещению трансформаторной подстанции;
   * по монтажу фидерных линий, их экранированию и фильтрации;
   * по монтажу САЗ и сетевых фильтров.
   Проверка выполнения требований руководящих документов по выполнению схемы заземления, правилам монтажа за земляющих конструкций, величине сопротивления заземлителя и регламентному контролю его значении
   Производится проверка выполнения следующих требований:
   * по размещению очага заземления и величине его сопротивления;
   * наличию протоколов измерения величины сопротивления току растекания очага заземления;
   * отсутствию соединений системы заземления с металлоконструкциями, выходящими за пределы контролируемой зоны.
   Проверка работоспособности использованных в составе объекта ВТ средств защиты информации, выполнения правил их монтажа и эксплуатации
   Проверка средств защиты информации производится по следующим показателям:
   соответствие видов и типов установленных средств защиты тем, что указаны в предписаниях на эксплуатацию СВТ (САЗ, экранирующие конструкции, фильтры);
   * наличие сертификатов соответствия на средства защиты;
   * выполнение правил монтажа и эксплуатации средств защиты;
   * наличие актов ввода в эксплуатацию и протоколов контроля средств защиты;
   * работоспособность средств защиты.
   Экспертная оценка результатов контроля эффективности мер и средств защиты информации в цепях электропитания и заземления
   Производится экспертная оценка результатов контроля эффективности защиты информации в СВТ по следующим признакам:
   * использованные методики контроля;
   * использованные тестовые средства;
   * полнота проведенных измерений по объему и видам измерений (частотный спектр, режимы работы СВТ, измеренные составляющие электромагнитного поля, направления распространения информативных сигналов в пространстве);
   использованная измерительная аппаратура;
   * схема измерений;
   * достоверность результатов измерений.
   Аппаратурные испытания эффективности защиты информации от утечки по цепям заземления и электропитания средств ВТ
   Производятся выборочные аппаратурные испытания защищенности информации от утечки по цепям заземления и электропитания СВТ в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России.
  
      -- Аттестационные испытания АС. Что входит в испытания на соответствие требованиям по ЗИ от НСД.
   Защита от НСД к информации. Классификация АС и требования по защите информации на основании следующих определяющих признаков:
   * уровней конфиденциальности (степени секретности) обрабатываемой информации;
   * уровней полномочий по доступу к конфиденциальной информации различных пользователей;
   * режимов обработки данных на объекте ВТ - многопользовательский или однопользовательский;
   * максимального уровня конфиденциальности обрабатываемой информации. Полученный класс объекта ВТ сравнивается с установленным на объекте аттестации.
   Задача сертификационных испытаний изделия на соответствие требованиям защищенности от несанкционированного доступа к информации включает:
   1 Подготовку к проведению испытаний объекта сертификации;
   2 Проведение испытаний объекта сертификации;
   3 Документирование результатов испытаний.
   Подготовка к проведению испытаний объекта сертификации включает сбор и анализ необходимых технологических и вспомогательных материалов, технических требований к объекту сертификации, конструкторской, программной и эксплуатационной документации, содержащей сведения о реализации средств (сервисов, механизмов) защиты, и результатах государственных испытаний объекта сертификации. Подготовка также включает выбор, а при необходимости разработку специальных методов и процедур испытаний, и определение требований к стенду испытаний.
  
   26 Аттестационные испытания ВП. Что входит в проверку требований по ЗИ от утечки за счет ПЭМИН.
   Проверка соответствия фактических размеров контролируемой зоны представленным документам
   Производится выборочная проверка соответствия размеров контролируемой зоны (КЗ) в представленных документах (планы объекта, планы размещения СВТ, акты обследования и др.) фактическим размерам контролируемой зоны. Определяются минимальные значения расстояний от источников информативных сигналов до границы КЗ
   Проверка соответствия размеров контролируемой зоны требованиям предписаний на эксплуатацию СВТ и других документов, определяющих требования к размеру зоны 2
   Сравниваются требуемые значения расстояний до границы КЗ, указанные в предписаниях на эксплуатацию СВТ (радиусы зоны 2), с фактическими значениями этих расстояний. Значения R2 должны укладываться в расстояния от СВТ до границ КЗ. В противном случае должны применяться дополнительные меры и средства защиты
   Проверка работоспособности средств защиты информации, выполнения правил их эксплуатации
   Проверка средств защиты информации производится по следующим показателям:
   * соответствие видов и типов установленных средств защиты тем, что указаны в предписаниях на эксплуатацию СВТ (САЗ, экранирующие конструкции, фильтры);
   * наличие сертификатов соответствия на средства защиты;
   * выполнение правил монтажа и эксплуатации средств защиты;
   * наличие актов ввода в эксплуатацию и протоколов контроля средств защиты;
   * работоспособность средств защиты.
   Экспертная оценка результатов аппаратурного контроля защищенности
   Производится экспертная оценка результатов контроля эффективности защиты информации в СВТ по следующим признакам:
   * использованные методики контроля;
   * использованные тестовые средства;
   * полнота проведенных измерений по объему и видам измерений (частотный спектр, режимы работы СВТ, измеренные составляющие электромагнитного поля, направления распространения информативных сигналов в пространстве);
   * использованная измерительная аппаратура;
   * схема измерений;
   * достоверность результатов измерений.
   Аппаратурные испытания эффективности защиты информации от утечки за счет ПЭМИН СВТ
   Аппаратурные испытания защищенности информации от утечки за счет ПЭМИ СВТ производятся выборочно для отдельных СВТ в соответствии с действующими нормами эффективности защиты информации от утечки за счет ПЭМИН, методикой контроля защищенности объектов ВТ, методиками специальных исследований СВТ, утвержденными (согласованными) Гостехкомиссией России.
  
  -- Аттестационные испытания ВП. Что входит в проверку систем ЗИ
   Проверка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации
   Производится проверка достаточности представленных документов и соответствия их содержания требованиям стандартов и иных руководящих документов по безопасности информации Гостехкомиссии России и других органов государственного управления в пределах компетенции
   Проверка соответствия состава и структуры технических средств обработки информации представленной документации
   Состав и структура технических средств, включенных в реальный технологический процесс обработки информации, сверяется с представленной документацией.
   Проверка правильности категорирования ВП
   Проверка правильности категорирования ВП производится в соответствии с требованиями раздела 3 СТР на основании следующих исходных данных:
   *максимального уровня конфиденциальности (степени секретности) обрабатываемой в ВП;
   *условий расположения ВП.
   Указанные исходные данные должны быть подтверждены документально заключениями об уровне конфиденциальности информации, актами, планами размещения и другими документами.
   Производится категорирование ВП. Результаты категорирования сравниваются с категориями, указанными в актах категорирования.
   Проверка уровня подготовки кадров и распределения ответственности персонала
   Проверка уровня подготовки кадров и распределения ответственности производится на основе следующих показателей:
   *экспертной оценки знания инструкций по безопасности информации пользователями;
   *экспертной оценки системы технической учебы и повышения квалификации персонала.
   Путем опроса персонала проверяется доведение до конкретных исполнителей руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях.
   Производится проверка наличия документов, подтверждающих возможность применения технических средств обработки информации, средств защиты для обработки конфиденциальной информации (сертификатов соответствия), экспертиза отчетов и протоколов по специальным исследованиям, предписаний на эксплуатацию, а также их соответствия требованиям нормативных документов.
   Проверка выполнения требований к помещениям 11.3.7
   При проверке помещений производится оценка их соответствия требованиям раздела 4.1.2. СТР, а также требований действующей инструкции по обеспечению режима секретности в министерствах, ведомствах, на предприятиях.
  
  -- Аттестационные испытания ВП. Что входит в проверку систем ВТСС на отсутствие акустоэлектрических преобразований.
   Проверка соответствия фактического расположения и конструкции ВП требованиям по ЗИ от утечки по акустическому каналу
   Производится проверка соответствия фактического расположения и конструкции ВП требованиям по акустической защите. Определяются разведопасные направления
   Проверка соответствия фактического расположения и конструкции ВП требованиям по ЗИ от утечки по виброакустическому каналу 11.5.3
   Производится проверка соответствия фактического расположения и конструкции ВП требованиям по виброакустической защите. Определяются разведопасные направления
   Проверка работоспособности средств защиты информации, выполнения правил их эксплуатации
   Проверка средств защиты информации производится по следующим показателям:
   соответствие видов и типов установленных средств защиты тем, что указаны в паспорте на выделенное помещение;
   *наличие сертификатов соответствия на средства защиты;
   *выполнение правил монтажа и эксплуатации средств защиты;
   *наличие актов ввода в эксплуатацию и протоколов контроля средств защиты;
   *работоспособность средств защиты.
   Аппаратурные испытания эффективности защиты информации от утечки по акустическому каналу
   Аппаратурные испытания защищенности информации от утечки по акустическому каналам производятся в местах возможного перехвата информации, по методикам утвержденным (согласованным) Гостехкомиссией России
   Аппаратурные испытания эффективности защиты информации от утечки по виброакустическому каналу
   Аппаратурные испытания защищенности информации от утечки по виброакустическому каналам производятся в местах возможного перехвата информации, по методикам утвержденным (согласованным) Гостехкомиссией России
  
  -- С пецобследование ЗП по поиску работающих радиозакладок. Использование индикаторов поля.
  
  -- Спецобследование ЗП по поиску временно отключенных закладных устройств. НРЛ.
  
  

Оценка: 6.41*6  Ваша оценка:

Связаться с программистом сайта.

Новые книги авторов СИ, вышедшие из печати:
О.Болдырева "Крадуш. Чужие души" М.Николаев "Вторжение на Землю"

Как попасть в этoт список

Кожевенное мастерство | Сайт "Художники" | Доска об'явлений "Книги"