- •Гриф по заполнении
- •Инструкция
- •6. Контроль за соблюдением режима секретности
- •7. Ответственность за нарушение режима секретности при обработке секретной информации на объектах информатизации
- •8. Заключение
- •6.1. Методы испытаний.
- •6.2. Проведение изучения по п. 5.1. Программы испытаний.
- •6.3. Проверка объекта по требованиям п.5.2. Программы испытаний.
- •6.4. Проверка объекта по требованиям п.5.3. Программы испытаний.
- •6.5. Проверка объекта по требованиям п. 5.4. Программы испытаний.
- •6.6. Проверка объекта на соответствие требованиям по п. 5.5. Программы испытаний.
- •6.7. Испытания объекта на соответствие требованиям по п. 5.6. Программы испытаний.
- •6.7.2. Испытания подсистемы управления доступом.
- •6.7.3. Испытания подсистемы регистрации и учета.
- •6.7.4. Испытания подсистемы обеспечения целостности.
- •6.8. Проведение изучения по п.5.7. Программы испытаний.
6.1. Методы испытаний.
6.1.1 При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:
экспертно - документальный метод;
измерение и оценка уровней ПЭМИН для отдельных технических средств АС и каналов утечки информации;
проверка отдельных функций или комплекса функций защиты информации от НСД с помощью тестирующих средств, а также путем пробного запуска средств защиты информации от НСД и наблюдения за их выполнением.
6.1.2. Экспертно-документальный метод предусматривает проверку соответствия объекта информатизации требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов, по обеспечению необходимых мер защиты информации в АС, а также соответствия реальных условий эксплуатации требованиям по размещению, монтажу и эксплуатации технических средств АС.
6.1.3. Измерение и оценка уровней ПЭМИН проводится в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по каналам ПЭМИН.
6.1.4. Проверка и испытания функций или комплекса функций зашиты информации от НСД с помощью тестирующих средств, проводятся для отдельных средств АС (технических и программных) по выбору аттестационной комиссии.
6.2. Проведение изучения по п. 5.1. Программы испытаний.
6.2.1. На основе исходных данных по технологии обработки и передачи информации, разрешительной системы доступа персонала к защищенным ресурсам АС, анализируется обобщенная технологическая схема АС с существующими и возможными информационными потоками, возможностями доступа к обрабатываемой и передаваемой информации.
6.2.2. Проверяется соответствие описания технологического процесса обработки, хранения и передачи конфиденциальной информации реальной практике на объекте.
6.2.3. Проверяются паспортные данные АС и устанавливаются опасные факторы и угрозы, критические места АС, снижающие уровень защиты, комплектность и характеристики средств защиты.
6.2.4. Проверяются: наличие оформленных разрешений на допуск персонала к информации определенного уровня конфиденциальности, метки конфиденциальности (грифа секретности) на информационных носителях, соответствие технологических инструкций пользователей и администратора безопасности установленным требованиям.
6.2.5. По результатам изучения уточняется схема технологического процесса с привязкой к конкретным средствам обработки и передачи информации, и штатному персоналу.
6.3. Проверка объекта по требованиям п.5.2. Программы испытаний.
Проверка проводится в объеме, указанном в таблице 1.
Таблица 1.
Наименование проверок и испытаний |
Пункт методики |
Проверка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации. |
6.3.1. |
Проверка соответствия состава и структуры программно-технических средств объекта представленной документации. |
6.3.2. |
Проверка правильности классификации АС. |
6.3.3. |
Проверка правильности категорирования объекта информатизации. |
6.3.4 |
Проверка уровня подготовки кадров и распределения ответственности персонала. |
6.3.5 |
Проверка наличия сертификатов соответствия на ОТСС и средства защиты информации, экспертиза отчетов и протоколов по специальным исследованиям ОТСС, предписаний на эксплуатацию ОТСС. |
6.3.6. |
Проверка выполнения требований к помещениям, в которых производится обработка секретной информации средствами автоматизированной системы. |
6.3.7. |
6.3.1. Производится проверка достаточности представленных документов и соответствия их содержания требованиям стандартов и иных руководящих документов по безопасности информации Гостехкомиссии России и других органов государственного управления в пределах компетенции.
6.3.2. Состав и структура программно-технических средств, включенных в реальный технологической процесс обработки информации, сверяется с представленной документацией.
6.3.3. Проверка правильности классификации автоматизированных систем входящих в состав объекта информатизации производится в соответствии с требованиями пункта 6.7 руководящего документа Гостехкомиссии России «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)» и руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» на основании следующих определяющих признаков:
наличия в АС информации различного уровня конфиденциальности (степени секретности);
уровня полномочий субъектов доступа АС на доступ к конфиденциальной (секретной) информации;
режима обработки данных в АС – коллективного или индивидуального;
максимального уровня конфиденциальности (степени секретности) обрабатываемой информации.
Полученный класс сравнивается с установленным классом для соответствующей автоматизированной системы.
6.3.4. Проверка правильности категорирования объекта информатизации производится в соответствии с требованиями раздела 3 руководящего документа Гостехкомиссии России «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)», на основании следующих исходных данных:
максимального уровня конфиденциальности (степени секретности) обрабатываемой на объекте информатизации информации;
условий расположения объекта информатизации относительно постоянных представительств иностранных государств, обладающих правом экстерриториальности.
Указанные исходные данные должны быть подтверждены документально заключениями об уровне конфиденциальности (степени секретности) информации, актами, планами размещения и другими документами.
Производится категорирование объекта информатизации. Результаты категорирования сравниваются с категориями, указанными в актах категорирования.
6.3.5. Проверка уровня подготовки кадров и распределения ответственности производится на основе следующих показателей:
экспертной оценки знания инструкций по безопасности информации пользователями и эксплуатационным персоналом;
наличия разрешительной системы доступа персонала к защищаемым ресурсам объекта, определяющей полномочия по доступу к конфиденциальной информации и процедуры их оформления, системы распределения ответственности персонала за выполнение требований по безопасности информации, оформленной приказами и распоряжениями руководителя предприятия (объекта информатизации).
Путем опроса персонала проверяется доведение до конкретных исполнителей руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях.
6.3.6. Производится проверка наличия документов, подтверждающих возможность применения технических и программных средств в составе АС, средств защиты для обработки конфиденциальной информации (сертификатов соответствия), экспертиза протоколов по специальным исследованиям ОТСС, предписаний на эксплуатацию ОТСС, а также их соответствия требованиям нормативных документов.
6.3.7. Производится оценка соответствия помещений, в которых расположены ОТСС, требованиям действующих нормативных документов по обеспечению режима секретности.
В соответствии с п.6.8. СТР производится оценка соответствия используемых технических средств охраны помещений уровню конфиденциальности (степени секретности) обрабатываемой информации с целью принятия решения о необходимости применения средств криптографической защиты информации.
Производится проверка выполнения требований руководящих документов по условиям размещения ОТСС в рабочих помещениях, которые исключали бы возможность несанкционированного просмотра информации с экранов мониторов, с распечаток принтеров и с других устройств ввода-вывода информации лицами, не имеющими права доступа к обрабатываемой информации.