Аттестование объектов связи и информатики
16.1
Аттестование объектов связи и информатики
Содержание
Введение ......................................................................................................................... |
16.3 |
|
1. |
Структура системы аттестования объектов ......................................................... |
16.3 |
2. |
Порядок проведения аттестации ........................................................................... |
16.5 |
Заключение .................................................................................................................... |
16.8 |
|
ПРИЛОЖЕНИЕ ¹1 ....................................................................................................... |
16.9 |
|
ПРИЛОЖЕНИЕ ¹2 ..................................................................................................... |
16.10 |
|
16.2
Аттестование объектов связи и информатики
Введение
Система аттестации объектов информатики является важной частью государственной системы обеспечения безопасности информации. Система аттестации создана в соответствии с Законом РФ “О БЕЗОПАСНОСТИ” от 05.03.1992 г. Система аттестации функционирует во взаимодействии с системами режима секретности (ФСБ), криптографической защиты данных, передаваемых по каналам связи (ФАПСИ), сертификации продукции и лицензирования деятельности в области защиты информации.
Система аттестации объектов информатики по требованиям безопасности информации является важным орга низационно техническим мероприятием системы защиты информации.
Деятельность системы аттестации объектов информатики по требованиям безопасности организует ГОСТЕХ КОМИССИЯ.
1. Структура системы аттестования объектов
Определение1.
Под аттестацией объектов понимается комплекс организационных мероприятий, в результате которых посредством специального документа “АТТЕСТАТА СООТВЕТСТВИЯ” официально подтверждается, что объект соответствует требованиям стандартов или иных НМД по безопасности информации, утвержден ных государственным органом по сертификации и аттестации.
Определение 2.
Объекты информатики автоматизированные системы различного уровня и назначения, системы свя зи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначен ные для ведения конфиденциальных переговоров.
Какие виды аттестации бывают?
Установлены два вида аттестации: обязательная и добровольная.
Какие объекты подлежат аттестации?
Обязательной аттестации подлежат объекты информатики, предназначенные для:
•обработки информации, составляющей гостайну;
•управления экологически опасными объектами;
•ведения секретных переговоров.
Во всех остальных случаях аттестация носит добровольный характер (добровольная аттестация) и прово дится по решению заказчика заявителя.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта ин форматики в реальных условиях эксплуатации.
Цель аттестации оценка соответствия использованного комплекса мер и средств защиты требуемому уров ню безопасности информации.
Аттестация включает 5 основных пунктов (рис.1):
1.Анализ исходных данных и предварительное ознакомление с аттестуемым объектом информатики.
2.Экспертное обследование и анализ документации по защите информации на соответствие требованиям НМД.
3.Испытания отдельных средств и систем на самом объекте и в испытательной лаборатории.
4.Комплексные аттестационные испытания объекта информатики в реальных условиях.
5.Анализ результатов и утверждение заключения по результатам аттестации.
Что даёт владельцу объекта наличие АТТЕСТАТА СООТВЕТСТВИЯ?
Наличие на объекте действующего АТТЕСТАЦИЯ СООТВЕТСТВИЯ даёт право обработки информации, с уров нем секретности (конфиденциальности) на период времени, установленного в АТТЕСТАТЕ.
Кроме этого, АТТЕСТАТ обязывает владельца объекта в период его действия выполнять правила, установлен ные в нем.
Когда надо проводить аттестацию?
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса исполь зуемых на объекте мер и средств защиты информации.
Руководящим документом, определяющим порядок аттестации, является “Положение об аттестации объек тов информатики по требованиям безопасности информации ”.
Организационно структуру системы аттестации объектов информатики образуют (рис.2):
1.Государственный орган.
2.Органы по аттестации объектов.
3.Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности ин формации.
4.Заявители (разработчики, изготовители, владельцы информационных систем и информации).
16.3
Аттестование объектов связи и информатики
Анализ исходных данных
Предварителное ознакомление с аттестуемым объектом информатики
|
|
Испытания отдельных |
|
Экспертное |
Анализ |
средств и систем |
|
обследование |
|||
результатов |
|
||
и анализ |
|
||
è |
Íà |
||
документации по |
|||
объекте |
|||
|
|||
защите информации |
утверждение |
||
информатики |
|||
на соответствие |
заключения |
|
|
требованиям НМД |
|
 |
|
|
|
испытательных |
|
|
|
лабораториях |
Комплексные аттестационные испытания объектов информатики в реальных условиях эксплуатации
Рис.1. Содержание аттестации объектов информатики
Гостехкомиссия РФ
Органы |
Испытатель- |
|
|
íûå |
Заяви- |
||
ïî |
|||
лаборатории |
òåëè |
||
аттестации |
|||
(центры) |
|
||
|
|
Рис.2. Структура системы аттестации
В качестве государственного органа по аттестации выступает ГОСТЕХКОМИССИЯ. Она выполняет следующие функции:
создаёт систему аттестации и устанавливает правила аттестации;
аккредитует органы по аттестации объектов информатики и выдаёт им лицензии на проведение отдель ных видов работ;
осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатики;
16.4