Аттестование объектов связи и информатики
рассматривает апелляции, возникающие в процессе аттестации и контроля за эксплуатацией аттесто ванных объектов;
организует периодическую публикацию информации по функционированию системы аттестации. Органы по аттестации объектов информатики аккредитуются государственным органом и получают от него аттестат аккредитации на право проведения аттестации объектов информатики. Такими органами могут быть отраслевые и региональные предприятия и организации по защите информации, а также специальные цент ры ГОСТЕХКОМИССИИ.
Органы по аттестации объектов осуществляют следующие функции:
аттестуют объекты информатики и выдают АТТЕСТАТЫ СООТВЕТСТВИЯ;
осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах ин форматики, и за их эксплуатацией;
отменяют и приостанавливают действия выданных этим органом АТТЕСТАТОВ СООТВЕТСТВИЯ;
формируют фонд НМД, необходимой для аттестации конкретных типов объектов информатики и уча ствуют в их разработке.
Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности ин" формации по заказам заявителей проводят испытания несертифицированной продукции, используемой на объекте информатики, подлежащем обязательной аттестации в соответствии с Положением о сертификации продукции по требованиям безопасности информации.
Они несут ответственность за полноту испытаний на аттестуемом объекте и достоверность полученных ре зультатов.
Заявители проводят подготовку объекта для аттестации. Для этого выполняются необходимые организаци онно технические мероприятия по защите информации. Заявители заключают договор с органом по аттеста ции и представляют ему необходимые документы и условия. Для испытаний несертифицированной продук ции заявители привлекают испытательные центры (лаборатории) по сертификации продукции.
После аттестации владельцы осуществляют эксплуатацию объекта информатики в соответствии с условиями и требованиями, установленными в АТТЕСТАТЕ СООТВЕТСТВИЯ.
Заявители (владельцы) должны извещать орган по аттестации обо всех изменениях в информационных тех нологиях (составе и размещении средств и систем информатики, условиях их эксплуатации) которые могут повлиять на эффективность мер и средств защиты информации.
Заявители должны предоставлять необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатики.
2. Порядок проведения аттестации
Аттестация объекта информатики по требованиям безопасности информации состоит из трех основных эта пов:
1.Подготовка аттестации.
2.Аттестационные испытания.
3.Оформление, регистрация и выдача АТТЕСТАТА.
Подготовка аттестации является одним из важнейших этапов. От полноты и правильности подготовительных работ зависит качество проводимых испытаний, достоверность получаемых результатов, а также затраты на проведение необходимых работ.
Подготовительный этап в общем случае включает:
1)подачу и рассмотрение заявки на аттестацию;
2)предварительное ознакомление с аттестуемым объектом (при необходимости);
3)испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
4)разработка программы и методики аттестационных испытаний;
5)заключение договора на аттестацию.
Рассмотрим содержание подготовительного этапа.
Заявитель для получения АТТЕСТАТА СООТВЕТСТВИЯ заблаговременно направляет в орган по аттестации заяв ку на проведение аттестации с исходными данными по аттестуемому объекту. В исходных данных должна быть представлена подробная информация о назначении объекта, перечень сведений, подлежащих защите, нали чие и схемы размещения ОТСС и ВТСС и т.п. Орган по аттестации в месячный срок рассматривает заявку и на основании анализа исходных данных выбирает схему аттестации, согласовывает её с заявителем и принима ет решение о проведении аттестации.
Предварительное ознакомление с аттестуемым объектом осуществляется при недостаточности исходных дан ных по аттестуемому объекту. Оно имеет целью подтвердить наличие документов и условий для обеспечения защиты информации, которые должны контролироваться при аттестации.
Далее, на подготовительном этапе, необходимо уяснить, используются ли на объекте несертифицированные средства и системы защиты информации? Если есть такие средства, то необходимо предусмотреть выполне ние работ по их сертификации.
При проведении испытаний отдельных несертифицированных средств и систем защиты информации в испы тательных лабораториях по сертификации эти испытания проводятся до аттестационных испытаний объек тов информатики и заключения должны быть представлены к началу аттестационных испытаний.
Основой аттестации является выбранная программа и методика аттестационных испытаний. Программа атте
16.5
Аттестование объектов связи и информатики
стации обычно включает анализ комплекса мер защиты информации на объекте и выявление каналов утечки информации. При этом обязательно предусматривается проведение организационных и инструментальных проверок состояния защищенности. Она включает:
перечень работ и их продолжительность;
методики испытаний (или используются типовые);
определяется количественный и профессиональный состав аттестационной комиссии. В состав аттеста ционной комиссии включаются специалисты по БИ, которые могут квалифицированно проверить сте пень выполнения требований по защите информации ;
необходимость использования аппаратуры и тестовых средств на аттестуемом объекте или привлечение испытательных лабораторий по сертификации.
В методиках испытаний определяются:
порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяе мых при аттестации;
применяемая аппаратура и тестовые средства.
Программа аттестационных испытаний согласовывается с заявителем.
Завершается этап подготовки заключением договора между заявителем и аттестационным центром на про ведении аттестации, а также заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
На этапе аттестационных испытаний (рис. 3):
1.Анализируется организационная структура объекта информатики, информационные потоки, состав и структуры технических средств и программного обеспечения, системы защиты информации на объекте, разработанная документация и её соответствие НМД.
2.Определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации авто матизированных систем), выбор и применение сертифицированных и несертифицированных средств защиты информации.
3.Испытываются несертифицированные средств защиты информации на аттестуемом объекте или анали зируются результаты испытаний в испытательных лабораториях по сертификации.
4.Проверяется уровень подготовки кадров и распределение обязанностей персонала по ОБИ.
5.Проводятся комплексные испытания объекта информатики в реальных условиях эксплуатации. При этом проверяется фактическое выполнение установленных требований на различных этапах технологическо го процесса обработки информации.
6.Оформляются ПРОТОКОЛЫ испытаний и ЗАКЛЮЧЕНИЕ по результатам испытаний. В ЗАКЛЮЧЕНИИ дает ся оценка соответствия объекта требованиям по безопасности информации и делается вывод о возмож ности выдачи АТТЕСТАТА СООТВЕТСТВИЯ. ЗАКЛЮЧЕНИЕ подписывается членами аттестационной комис сии и доводится до заявителя. К ЗАКЛЮЧЕНИЮ прилагаются ПРОТОКОЛЫ испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод. ПРОТО КОЛЫ подписываются экспертами членами аттестационной комиссии, проводившими испытания. ЗАК ЛЮЧЕНИЕ и ПРОТОКОЛЫ утверждаются органом по аттестации.
Оформление, регистрация и выдача АТТЕСТАТА СООТВЕТСТВИЯ
Орган по аттестации объектов оценивает результаты испытаний и утверждает заключение по аттестации. При соответствии результатов испытаний требованиям по безопасности информации орган по аттестации офор мляет и выдаёт заявителю АТТЕСТАТ СООТВЕТСТВИЯ.
Срок действия АТТЕСТАТА СООТВЕТСТВИЯ определяется периодом времени, в течение которого обеспечивает ся неизменность условий функционирования объекта информатики и технологии обработки защищаемой информации, могущих повлиять на безопасность информации. Максимальный срок действия 3 года.
Владелец аттестованного объекта несёт ответственность за выполнение установленных условий функциони рования объекта и технологии обработки информации. В случае изменения условий и технологии обработки защищаемой информации владельцы должны известить об этом орган по аттестации, который в этом случае принимает решение о необходимости проведения дополнительной проверки объекта.
При несоответствии объекта требованиям по безопасности информации и невозможности оперативно уст ранить недостатки орган по аттестации принимает решение об отказе в выдаче АТТЕСТАТА СООТВЕТСТВИЯ. При этом может быть предложен срок повторной аттестации при условии устранения отмеченных недостатков.
В случае несогласия с отказом заявитель может обратиться в вышестоящий орган по аттестации или в ГОС ТЕХКОМИССИЯ РФ с апелляцией для дополнительного рассмотрения полученных результатов. Апелляция рас сматривается в месячный срок с привлечением заинтересованных сторон.
Контроль и надзор за аттестацией
Государственный контроль и надзор, инспекционный контроль за проведением аттестации осуществляют орга ны ГОСТЕХКОМИССИИ (Инспекция, Управления ГОСТЕХКОМИССИИ по Федеральным округам). Государственные органы могут передавать некоторые из своих функций контроля и надзора аккредитованным органам по ат тестации.
В случае грубых нарушений органом по аттестации требований стандартов или иных НМД по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен АККРЕДИТАЦИИ. По результатам контроля и надзора за эксплуатацией аттестованных объектов в случае нарушения их владель цами условий функционирования, технологии обработки защищаемой информации и требований по безо пасности информации орган, проводящий контроль и надзор, может приостановить и или аннулировать дей
16.6
Аттестование объектов связи и информатики
ствие АТТЕСТАТА СООТВЕТСТВИЯ, оформив это решение в АТТЕСТАТЕ СООТВЕТСТВИЯ. Решение об аннулирова нии принимается, когда в результате оперативного принятия организационно технических мер не может быть восстановлен требуемый уровень безопасности информации.
À Í À Ë È Ç È Ð Ó Þ Ò Ñ ß
Организацион- |
|
|
|
Состав технич. |
Система защиты |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
средств и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Документация |
|
|
|
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
íàÿ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
программного |
информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
структура объекта |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
обеспечения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ОПРЕДЕЛЯЕТСЯ
Правильность категорирования объекта
Правильность выбора СЗИ
Уровень
подготовки
кадров
Аттестационные испытания
ПРОВОДЯТСЯ
ИСПЫТАНИЯ
Несертифицированных средств ЗИ
Комплексные
испытания объекта в реальных условиях
Протоколы
Заключение
Рис.3. Аттестационные испытания
Проведение спецобследования выделенного помещения включает (рис.4):
Проверку
1.Соблюдения требований к звукоизоляции выделенных помещений.
2.Сохранность печатей (пломб) на ТСПИ, состояние экранов, оболочек кабелей, заземления.
3.Наличие электробытовой радио и телевизионной аппаратуры, устройств иностранного и непромышлен ного производства, которые могут способствовать возникновению каналов утечки.
Выполнение
1.Осмотра мебели, сувениров, осветительной аппаратуры, штор, оконных проёмов.
2.Вскрытия и осмотра розеток, выключателей электросети, вентиляционных люков, каналов скрытой про водки.
3.Проверки качества установки стеклопакетов оконных проёмов.
При уяснении особенностей эксплуатации объекта уточняется:
тип объекта (стационарный, подвижный, подземный или заглубленный);
наличие выносных абонентских пунктов и интенсивность работы ТСОИ; В ходе аттестации проверяются следующие документы:
проектная документация на размещение ТСОИ (в части защиты);
сертификаты (предписания на эксплуатацию) ОТСС;
акт категорирования объекта ТСОИ;
приказ по предприятию на разрешение обработки информации с установленным грифом секретности и о назначении ответственных лиц за соблюдение мер защиты от ТСР иностранных государств;
план размещения объекта ТСОИ на объекте с указанием границ контролируемой зоны;
16.7
Аттестование объектов связи и информатики
Рис.4. Спецобследование выделенного помещения.
схемы прокладки кабелей связи и инженерных коммуникаций, выходящих за пределы контролируемой зоны;
схемы электроснабжения и заземления объекта;
протоколы измерения сопротивления заземления.
При инструментальной проверке контролируется возможность перехвата информации путем:
побочных электромагнитных излучений (ПЭМИ);
наводок;
акустических колебаний;
электроакустических преобразований;
высокочастотного навязывания;
неравномерности потребления тока в сети электропитания;
самовозбуждения усилительных устройств.
Заключение
Система аттестации объектов информатики по требованиям безопасности информации является важным орга низационным мероприятием государственной системы защиты информации. В настоящее время системы ат тестации находятся в стадии практического внедрения. Осуществляется государственная аккредитация ор ганов аттестации. Работы по аттестации объектов информатики являются хозрасчетным видом деятельнос ти. Расходы по всем видам услуг и работ по аттестации оплачиваются заявителем за счет финансовых средств, выделенных на разработку (доработку) и введение в действие объекта информатики. В Министерстве обо роны аттестация объектов возложена на органы РЭБ и на их подразделения КТК. Кроме этого, в войсках свя зи аттестацию объектов информатики может проводить специальная лаборатория Военной академии связи, имеющая лицензию Гостехкомиссии России.
16.8
Аттестование объектов связи и информатики
ПРИЛОЖЕНИЕ ¹1
СХЕМА АТТЕСТАЦИИ ОБЪЕКТА ИНФОРМАТИКИ
1.Анализ состава решаемых задач и уточнение сведений, подлежащих защите (далее информация).
2.Определение подразделений, помещений, технических средств и каналов связи, в которых циркулирует информация.
3.Анализ путей циркуляции информации, формы ее представления и технологии ее обработки.
4.Определение потенциальных возможностей злоумышленников по добыванию, искажению, уничтожению информации (технических средств, носителей информации) в конкретных условиях эксплуатации и раз мещения их на объекте.
5.Обследование информационных технологий с целью определения путей НСД к информации (объектам информатики и программно информационному обеспечению) для выявления возможных каналов утеч ки.
6.Анализ организационных, программных, организационно технических и технических средств и мер за щиты, принятых на объекте.
7.Проверка правильности выбора и применения сертифицированных и не сертифицированных техничес ких средств информатизации и средств защиты информации.
8.Анализ разграничения полномочий руководящих работников, программистов, обслуживающего персо нала и других лиц, имеющих доступ к средствам информатизации.
9.Проведение организационных и инструментальных проверок состояния защищенности информации в каналах возможной утечки на соответствие требованиям нормативных документов.
10.Проведение (при необходимости) дополнительных мероприятий по защите информации.
11.Разработка рекомендаций по защите информации, надзору (контролю) за правильностью функциониро вания системы защиты информации.
12.Оформление АТТЕСТАТА СООТВЕТСТВИЯ (заключения о соответствии объекта требованиям по БИ), ОБЪЕК ТОВОГО ПРЕДПИСАНИЯ на эксплуатацию, проекта ПАСПОРТА ФОРМУЛЯРА и других отчетных документов.
Схема добровольной аттестации определяется органом по аттестации объектов информатики с учетом пред ложений заявителя, но обеспечивающая доказательность необходимого уровня защищенности.
16.9
Аттестование объектов связи и информатики
ПРИЛОЖЕНИЕ ¹2
“Утверждаю”
___________________________________________________________
(должность руководитель органа по аттестации)
____________________________________________________________
Ф.И.О.
М.П.
“_____” _____________________ 20__г.
АТТЕСТАТ СООТВЕТСТВИЯ
№_____
____________________________________________________
(указывается полное наименование объекта информации)
ТРЕБОВАНИЯМ БЕЗОПАСТНОСТИ ИНФОРМАЦИИ
Выдан “________” ____________________ 20___г.
1.Настоящим Аттестатом удостоверяется, что: _________________________________________________
_________________________________________________________________________________
(приводится полное название объекта информатики)
_______________________________________________________категории___________________________________класса соответствует требованиям нормативной и методической документации по безопасности информации.
Состав комплекса технических средств объекта информатики (с указанием заводских номеров, модели, изготовителя, номе ров сертификатов соответствия), схема размещения в помещениях и относительно границ контролируемой зоны, перечень использу емых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) прилагаются.
2.Организационная структура, уровень подготовки специалистов, нормативное, методическое обеспечение и техничес кая оснащенность службы безопасности информации обеспечивают контроль эффективности мер и средств защиты и поддержа ние уровня защищенности объекта информатики в процессе эксплуатации в соответствии с установленными требованиями.
3.Аттестация объекта информатики выполнена в соответствии с программой и методикой аттестационных испытаний, утвержденными “___”_________20__г. N___.
4.С учётом результатов аттестационных испытаний на объекте информатики разрешается обработка
_____________________________________________________________________________________________информации.
(указывается высшая степень секретности)
5.При эксплуатации объекта информатики запрещается:__________________________________________________
________________________________________________________________________________________________________
(указываются ограничения, которые могут повлиять на эффективность мер и средств защиты информации)
6. Контроль за эффективностью реализованных мер и средств защиты возлагается на службу безопасности инфор
мации.
7.Подробные результаты аттестационных испытаний приведены в заключение аттестационной комиссии (N________
“____”_______________20__г.) и протоколах испытаний.
8.Аттестат соответствия выдан на___ года, в течение которых должна быть обеспечена неизменность условий функционирования объекта информатики и технологии обработки защищаемой информации, могущих повлиять на характе ристики, указанные в п.9.
9.Перечень характеристик, об изменениях которых требуется обязательно извещать орган по аттестации 9.1______________________________________________________________________________________________
9.2______________________________________________________________________________________________
Руководитель аттестационной комиссии
_________________________________________________________________________________________________
Ф.И.О.
“___”_________20__г.
16.10