Аттестация по требованиям безопасности информации

1438726_40337020_e

Аттестация объектов информатизации – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.

Аттестацию объектов информатизации на соответствие требованиям безопасности конфиденциальной информации могут осуществлять организации лицензиаты ФСТЭК России, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В перечне работ и услуг лицензии должно быть указано – аттестационные испытания и аттестация на соответствие требованиям по защите информации и перечислены типы объектов информатизации, которые организация может аттестовать.

К объектам информатизации могут относиться:

  • автоматизированные системы (информационные системы) различного уровня и назначения (средства и системы информатизации);
  • системы связи, приема, обработки и передачи данных(средства и системы информатизации);
  • системы отображения и размножения(помещения со средствами и системами информатизации);
  • помещения и объекты, предназначенные для ведения конфиденциальных переговоров (защищаемые помещения).

Порядок организации и проведения аттестации объектов информатизации изложен в следующих документах:

  • Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утвержден Председателем Гостехкомиссии России 25.11.94г.).
  • ГОСТ РО 0043-003-2012 Защита информации. АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. Общие положения.
  • ГОСТ РО 0043-004-2013 Защита информации. АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. Программа и методики аттестационных испытаний.

В ходе аттестации объекта проводятся следующие работы:

  • инженерный анализ с целью выявления потенциальных каналов утечки информации;
  • проверка достаточности и полнота организационно-распорядительной документации по защите информации;
  • инструментальное обследование объекта информатизации с использованием специальной контрольно-измерительной аппаратуры и оценка защищенности обрабатываемой на объекте информатизации защищаемой информации от утечки по техническим каналам;
  • оценка соответствия объекта информатизации требованиям безопасности по защите от НСД к информации.

Обобщенная схема по проведению аттестационных испытаний объектов информатизации приведена на рис. 1.

att1

Рис. 1. Обобщенная схема по проведению аттестационных испытаний объектов информатизации

Для выявления потенциальных каналов утечки информации на объекте изучаются условия функционирования объекта (схемы электропитания и заземления, инженерных коммуникаций здания, а так же систем охранной и пожарной сигнализации в котором расположен объект информатизации, месторасположение трансформаторной подстанции, режим доступа и т.д.).

Выявление и учет факторов, которые воздействуют или могут воздействовать на информацию в реальных условиях эксплуатации автоматизированной системы определяются в соответствии с ГОСТ Р 51275-2006.

Проверка организационно-распорядительной документации по защите информации заключается в установке наличия и полноты следующей документации на объект информатизации:

  • Акт классификации объекта информатизации (для автоматизированной или информационной системы);
  • Технический паспорт объекта информатизации;
  • схемы заземления и электропитания объекта информатизации;
  • протоколы проверки сопротивления заземления;
  • лицензионные соглашения, накладные или другие документы, подтверждающие законное приобретение установленного в АС программного обеспечения;
  • сертификаты соответствия на СВТ по требованиям стандартов Российской Федерации (по электромагнитной совместимости, по безопасности, по санитарным нормам);
  • эксплуатационная документация на объект информатизации и средства защиты информации, а также организационно-распорядительная документация по защите информации (приказы, инструкции);
  • сведения о квалификации сотрудников, обеспечивающих защиту информации;
  • таблица (матрица) разграничения доступа субъектов к защищаемым объектам;
  • сертификаты на средства защиты информации.

До окончания срока аттестационных испытаний Заказчик должен утвердить и ввести в действие разработанную Исполнителем и согласованную с ним организационно-распорядительную документацию.

Инструментальное обследование объекта информатизации с использованием специальной контрольно-измерительной аппаратуры и оценка защищенности обрабатываемой на объекте информатизации защищаемой информации от утечки по техническим каналам заключается в проверке выполнения требований по защите информации от утечки за ПЭМИ  ОТСС, наводок на вспомогательные средства и системы и от утечки по цепям заземления и электропитания, а так же проверке  выполнения требований на отсутствие в технических средствах объекта информатизации специальных электронных устройств перехвата информации.

Испытания объектов информатизации на соответствие требованиям по защите конфиденциальной информации от утечки по техническим каналам проводятся в соответствии с требованиями следующих нормативно-технических документов:

  • Специальные требования и рекомендации по технической защите конфиденциальной информации, утверждены приказом Гостехкомиссии России от 30 августа 2002г. № 282;
  • Сборник временных методик оценки защищённости конфиденциальной информации, обрабатываемой техническими средствами и системами (Гостехкомиссия России, Москва, 2001 г.)
  • СанПиН 2.2.2.542-96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы».

Испытания проводятся в следующем порядке:

  • проверка наличия сертификатов соответствия на средства вычислительной техники (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПин 2.2.2.542-96);
  • проведение инструментальных измерений и расчётов;
  • проверка соответствия фактических размеров контролируемой зоны полученным при проведении инструментальных измерений и расчётов;
  • проверка взаимного размещения основных и вспомогательных технических средств и систем объекта информатизации требованиям предписания на его эксплуатацию;
  • оценка влияния электромагнитных излучений на устойчивость функционирования технических средств;
  • проверка наличия выделенного контура заземления объекта информатизации и оценка достаточности предусмотренных мер по защите информации от ее утечки за счет наводок информационного сигнала на цепи заземления и электропитания;
  • выдача рекомендаций по устранению выявленных недостатков и выполнению требований по защите информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники;
  • проведение повторных объектовых испытаний с целью оценки эффективности проведенных мероприятий;
  • инструментальные испытания помещений и оценка достаточности применяемых по защите акустической речевой информации.

Оценка соответствия объекта информатизации требованиям безопасности по защите от НСД к информации проводится в соответствии с требованиями следующих нормативно-технических документов:

  • Руководящий документ «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации». Гостехкомиссия России. Москва. Военное издательство. 1992г.
  • Специальные требования и рекомендации по технической защите конфиденциальной информации, утверждены приказом Гостехкомиссии России от 30 августа 2002г. № 282;
  • Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Гостехкомиссия России. Москва. Военное издательство. 1992г.
  • ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».

Испытания заключаются проверке следующих подсистем:

  • управления доступом;
  • регистрации и учета;
  • криптографическая;
  • обеспечения целостности;
  • антивирусная защита.

Испытания объекта информатизации на соответствие требованиям защиты от НСД к информации проводятся методом экспертно-документального контроля и тестирования функций, реализованных средствами защиты информации от НСД и проводятся в следующем порядке:

  • проверка работоспособности и настройки используемых на объекте информатизации средств защиты информации от несанкционированного доступа;
  • проведение анализа информационных потоков в технологическом процессе обработки информации;
  • оценка достаточности предусмотренных мер по защите информации от НСД и их соответствие требованиям руководящих документов ФСТЭК России;
  • проверка наличия и порядка применения антивирусных средств на объекте информатизации (при необходимости систем обнаружения вторжений).

Аттестационные испытания завершаются оформлением Заключения по результатам аттестационных испытаний с краткой оценкой соответствия объекта информатизации по безопасности информации,  конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации, а такжевыводом о возможности выдачи «Аттестата соответствия».

К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.

В случае положительного заключения по результатам аттестационных испытаний, выдается Аттестат соответствия объекта информатизации требованиям по безопасности информации.

Срок действия аттестата соответствия составляет 3 года, в течение которых владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.