- •«Северный (Арктический) федеральный университет имени м.В. Ломоносова»
- •Введение
- •Место аттестации в системе защиты информации
- •1.1 Порядок проведения аттестации объектов информатизации.
- •1.2 Порядок проведения аттестационных испытаний.
- •Аттестационные испытания защищаемого помещения
- •2.1 Каналы утечки информации из выделенных помещений
- •2.2 Проверка соответствия защищаемого помещения организационно-техническим требованиям по защите информации
- •2.3 Проверка выполнения требований и рекомендаций по выбору и защите технических средств
- •2.4 Проверка выполнения требований и рекомендаций по акустической и виброакустической защите
- •2.5 Методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам
- •2.6 Порядок проведения оценки защищенности помещения
- •Аттестационные испытания ас
- •3.1 Каналы утечки информации в автоматизированных системах
- •3.2 Типовое содержание аттестационных испытаний ас
- •3.3 Проверка ас на соответствие организационно-техническим требованиям по защите информации
- •3.4 Проверка состояния технологического процесса обработки информации
- •3.5 Испытания ас на соответствие требованиям по защите информации от утечки по каналам пэмин
- •4. Виды аттестации
- •4.1. Предварительные испытания
- •4.2 Опытная эксплуатация
- •4.3. Приемочные испытания
- •5.Порядок проведения аттестации
- •6. Защита информации в ас
- •7. Газовая промышленность
- •Список использованных информационных источников
Место аттестации в системе защиты информации
Под аттестацией объектов информатизации понимается комплекс организационно – технических мероприятий, в результате которых посредством специального документа – "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно – технических документов по безопасности информации, утвержденных Гостехкомиссией России.
Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия". (Положение по аттестации объектов информатизации по требованиям безопасности информации. Гостехкомиссия РФ. 1994 г.)
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации средств и мер защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса средств и мер защиты требуемому уровню безопасности информации.
1.1 Порядок проведения аттестации объектов информатизации.
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает:
1)Подача заявки на аттестацию объекта информатизации.
Заявитель для получения аттестата соответствия направляет в управление ФСТЭК России по федеральному округу заявку на проведение аттестации объекта информатизации с необходимыми исходными данными по установленной форме.
2)Рассмотрение заявки на аттестацию, принятие решения на ее проведение, доведение решения до заявителя и органа по аттестации объектов информатизации.
1. По результатам рассмотрения заявки Управлением, организации-заявителю в 3-дневный срок направляется перечень органов по аттестации объектов информатизации, аккредитованных ФСТЭК России в Системе сертификации средств защиты информации № РОСС RU.0001.01БИ00, размещенный также на официальном Web-сайте ФСТЭК России по адресу: www.fstec.ru.
2. Руководитель Управления принимает решение по определению органа по аттестации объекта информатизации на основании выбора, сделанного Заявителем, исходя из полученного перечня. Принятое решение доводится до органа по аттестации объектов информатизации предписанием и до заявителя уведомлением.
3. Управление учитывает информацию:
- об органе по аттестации, который определен организацией-заявителем;
- о сроках проведения работ на объектах информатизации.
3)Разработка программы и методики аттестационных испытаний.
1. Программа аттестационных испытаний, согласованная с организацией-заявителем, должна содержать:
- перечень работ, их продолжительность, методики испытаний, перечни используемой контрольной и контрольно-измерительной аппаратуры, а также средств тестирования на аттестуемом объекте информатизации (с учетом различных видов объектов информатизации и действующих нормативных и методических документов);
- мероприятия по контролю состояния защищенности информации в процессе эксплуатации объекта информатизации;
- мероприятия по контролю неизменности условий эксплуатации объекта информатизации;
- работы в испытательных лабораториях по сертификации средств (систем) защиты информации по требованиям безопасности информации (в случае если на аттестуемом объекте информатизации используются не сертифицированные средства (системы) защиты информации). Такие работы в отдельных случаях могут проводиться непосредственно на аттестуемом объекте информатизации;
- состав аттестационной комиссии.
2. До начала работ по аттестации объектов информатизации Управлением согласовываются программа и методика аттестационных испытаний объектов информатизации 1-й категории и собственных объектов информатизации вне зависимости от категории (в случае если организация-заявитель аккредитована в качестве органа по аттестации).
4)Заключение договора на проведение аттестации объектов информатизации.
Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.
5)Проведение аттестационных испытаний объекта информатизации, оформление материалов аттестационных испытаний.
1.Порядок проведения аттестационных испытаний объектов информатизации определен требованиями Положения по аттестации объектов информатизации по требованиям безопасности информации и Специальными требованиями и рекомендациями по защите информации, содержащей сведения, составляющие государственную тайну, от ее утечки по техническим каналам.
2.Заключение по результатам аттестации объекта информатизации, материалы аттестационных испытаний с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи аттестата соответствия и необходимыми рекомендациями подписывается членами аттестационной комиссии. Для объектов информатизации, которые указаны в п. 3.2, данные материалы представляются органом по аттестации в Управление для согласования.
6)Оформление, регистрация и выдача аттестата соответствия.
Оформление, регистрация и выдача аттестата соответствия производится органом по аттестации.
Ведение реестра аттестованных объектов информатизации на территории федерального округа осуществляется Управлением с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору.
Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на 3 года.
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом Управление и орган по аттестации, проводивший аттестацию объекта информатизации.
7)Осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации.
Объем, содержание и порядок государственного контроля и надзора определяются законодательством Российской Федерации, нормативными и методическими документами ФСТЭК России.
Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится: управлением, за проведением аттестационных испытаний, за эксплуатацией аттестованных объектов информатизации (в соответствии с планами работы регионального управления), за соответствием порядка проведения аттестационных испытаний объектов информатизации Специальным требованиям и рекомендациям по защите информации, составляющей государственную тайну, от утечки по техническим каналам, утвержденным решением Гостехкомиссии России от 23 мая 1997 г. № 55, и требованиям Положения по аттестации объектов информатизации по требованиям безопасности информации, утвержденного председателем Гостехкомиссии России 25 ноября 1994 года и органом по аттестации объектов информатизации, проводившим аттестацию объекта информатизации, ежегодно, в соответствии с программой аттестационных испытаний.
В случае выявления грубых нарушений органом по аттестации требований нормативных и методических документов по безопасности информации, аккредитация организации в качестве органа по аттестации может быть приостановлена или прекращена.
Орган по аттестации объектов информатизации обязан сдать аттестат аккредитации в ФСТЭК России в недельный срок со дня окончания его действия или с момента получения соответствующего уведомления о приостановлении (прекращении) аккредитации.
При выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации Управлением действие аттестата соответствия может быть приостановлено или аннулировано.
Решение об аннулировании действия аттестата соответствия принимается в случае, когда в результате оперативного принятия организационно – технических мер защиты требуемый уровень безопасности информации на объекте не соответствует требованиям нормативных документов и не может быть восстановлен без проведения повторной аттестации объекта информатизации.
8)Рассмотрение апелляций.
В случае несогласия заявителя с отказом в выдаче аттестата соответствия он имеет право обратиться в Управление или центральный аппарат ФСТЭК России с апелляцией. Решение по апелляции принимается не позднее 30 дней с момента регистрации обращения. Решение принимается на основании экспертизы материалов аттестационных испытаний. При этом в случае необходимости, Управлением или органом по аттестации с участием представителей Управления могут быть проведены контрольные испытания и измерения на объекте информатизации. Расходы на контрольные испытания и измерения относятся на счет органа по аттестации, если результаты экспертизы подтвердили обоснованность апелляции, в противном случае – на счет заявителя.
9)Порядок проведения аттестации определяется следующими документами:
1.государственную тайну, от утечки по техническим каналам», утверждены решением Гостехкомиссии России от 23 мая 1997 года № 55;
2.«Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем Гостехкомиссии России 25 ноября 1994 года;
3.«Методические рекомендации управлениям ФСТЭК России по федеральным округам об организации работ по аттестации объектов информатизации по требованиям безопасности информации, приказ Директора ФСТЭК России от 21 апреля 2006 года № 126.»