Аттестация в сфере защиты информации

         Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК (Гостехкомиссией) России.

          Перед началом обработки подлежащей защите информации необходимо официально подтвердить эффективность комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

          Аттестация объектов информатизации носит обязательный характер в случае, если объект информатизации предназначен для обработки информации, отнесённой к служебной тайне или персональным данным, в остальных случаях – рекомендательный характер. Аттестация объектов проводится на соответствие требованиям СТР-К и РД ФСТЭК России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки конфиденциальной информации на период времени, установленный в этом «Аттестате соответствия».

             Объектами аттестации являются защищаемые помещения и объекты информатизации в состав которых входят средства и системы непосредственно обрабатывающие защищаемую информацию. В целом, объект аттестации представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

           Аттестацию объектов информатизации могут проводить организации имеющие лицензию на право оказания услуг по технической защите конфиденциальной информации, органы по аттестации объектов информатизации, аккредитованные ФСТЭК России.

          Аттестация объектов информатизации проводится в соответствии со следующими нормативными документами:

• Положение о государственной системе защиты информации в Российс-

кой Федерации от иностранных  технических разведок и от утечки по техническим каналам». (Постановление  Совета Министров – Правительства  Российской Федерации от 15.09.1993 г. № 912-51)

• Специальные требования и рекомендации по технической защите

конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282

• Положение по аттестации объектов информатизации по требованиям

безопасности информации. Утверждено председателем Гостехкомиссии России 25.11.1994 г.

• Сборник руководящих документов по защите информации от несанк-

ционированного доступа. Гостехкомиссия России, 1998 г.

• Сборник временных методик оценки защищённости конфиден- циальной информации от утечки по техническим каналам. Утвержден первым заместителем Председателя Гостехкомиссии России 8.11.2001 г.

         Порядок проведения аттестации объектов информатизации:

• Подача и рассмотрение заявки на аттестацию
• Предварительное ознакомление с аттестуемым объектом (при необходимости)
• Разработка программы и методики аттестационных испытаний
• Заключение договора на проведение аттестации

          Оформление, регистрация и выдача «Аттестата соответствия»

            При проведении аттестационных испытаний может применяться метод измерения и оценки уровней защищенности для отдельных технических средств и каналов утечки или проверка функций или комплекса функций защиты информации от НСД, а также пробный запуск средств защиты информации от НСД. Так же может применяться экспертно-документальный метод.

          При проведении аттестации, исполнитель получает отчетные документы в виде протоколов испытаний (протокол от утечки информации за счет НСД и по техническим каналам), заключение по итогам аттестационных испытаний и, если все необходимые требования соблюдены, аттестат соответствия объекта информатизации по требованиям безопасности информации.

          При выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», с оформлением этого решения в «Аттестате соответствия». Владелец аттестованного объекта информатизации несёт ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.

          Схожесть процессов сертификации и аттестации заключается в том, что в обоих случаях используются одни и те же требования и нормы и объектом этих процессов зачастую выступают технические средства обработки информации. Однако различия, и существенные, состоят в том, что при аттестации оцениваются в совокупности все средства защиты информации, включая принятые организационно-технические и организационные меры, а также конкретные условия эксплуатации рассматриваемого объекта. При этом объектом аттестации выступает объект информатики, понимаемый в широком смысле как совокупность помещений с расположенными в них конкретными техническими средствами, которые обслуживаются данным персоналом в соответствии с порядком, предписанным нормативно-технической документацией. В узком смысле под объектом информатики может пониматься конкретное, единственное (с конкретными заводскими номерами) техническое средство. Подчеркнем, что данное техническое средство защиты может выступать как в качестве объекта сертификации, так и в качестве объекта аттестации, поскольку именно это в ряде случаев вызывает непонимание и приводит к путанице и ошибкам. В первом случае, при сертификации, речь идет о типовом образце изделия или типовых испытаниях. Во втором, при аттестации, речь идет о конкретном образце, предназначенном для эксплуатации в определенных условиях с заданным конкретным расположением относительно других технических средств в определенном помещении. Техническое средство обработки, имеющее аттестат на соответствие некоторой категории, является защищенным.

         Система аттестации объектов информации по требованиям безопасности информации (далее - система аттестации) является составной частью единой системы обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.

         Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым в настоящее время является Федеральная служба технического и экспортного контроля Российской Федерации (ФСТЭК России) в пределах ее компетенции, определяемой законодательными актами Российской Федерации.

          Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации при наличии юридически закрепленного его согласия выполнять требования Положения.

         При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации:

• от несанкционированного доступа, в том числе от компьютерных вирусов;
• от утечки за счет побочных электромагнитных излучений и наводок

при специальных воздействиях на объект (высокочастотное облучение, электромагнитное и радиационное воздействие);

• от утечки или воздействия на нее за счет специальных устройств,

встроенных в объект информатизации.

          Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации.

          Аттестация проводится органом по аттестации в установленном Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:

• анализ исходных данных по аттестуемому объекту информатизации;
• предварительное ознакомление с аттестуемым объектом информа- тизации;
• проведение экспертного обследования объекта информатизации и

анализ разработанной  документации по информации на этом объекте  с точки зрения ее соответствия требованиям  нормативной и методической документации;

• проведение испытаний отдельных средств и систем защиты информа-

ции на аттестуемом объекте  информатизации с помощью специальной  контрольной аппаратуры и тестовых средств;

         Органы по аттестации аккредитуются федеральным органом по сертификации и аттестации. Правила аккредитации определяются действующим в системе «Положением об аккредитации испытательных лабораторий и органов по сертификации средств информации по требованиям безопасности информации» для органов сертификации.

       Федеральный орган по аттестации может передавать на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти.

         Расходы по проведению всех работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.

         Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам в порядке, установленном федеральным органом по сертификации и аттестации в пределах его компетенции, по согласованию с Министерством финансов Российской Федерации, а при их отсутствии - по договорной цене.

 

 

2.АТТЕСТАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

 

           Аттестация по требованиям безопасности информации — процедура не дешевая и в большинстве случаев удорожает обеспечение безопасности ИСПДн раза в полтора-два, поэтому многие операторы персональных данных хотели бы обойти данную процедуру.

           В правовых, нормативных и методических документах понятия «аттестация ИСПДн» не существует. Во-первых, ИСПДн в госоргане или госучреждении будут являться государственными информационными ресурсами, что накладывает на операторов обязательства по их защите в соответствии со Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К). Документ этот ограниченного доступа и получить его можно только в территориальном управлении ФСТЭК России.

         Во-вторых, аттестат соответствия требованиям по безопасности информации может понадобиться для доказывания должного уровня защиты ИСПДн. В этом случае данную процедуру можно провести в добровольном порядке.

         Сама процедура аттестации проводится организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом в данной организации создается аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая проводит оценку соответствия организационных и технических мер, а также испытания технических средств защиты персональных данных. В результате оценки соответствия выдается аттестат либо предписание на устранение недостатков системы защиты ИСПДн, поэтому необходимо очень тщательно подойти к процедуре подготовки к аттестации, а лучше поручить подготовку компетентной организации.

 

        Также в целях доказывания должного уровня защиты персональных данных возможно окажется достаточно и декларации соответствия, которая составляется самим оператором с привлечением специалистов в области защиты информации.

        Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных, является добровольной и самой затратной частью.

         Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.

         Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя следующие работы:

• разработка пакета аттестационных документов. Формируется пакет

организационно-распорядительной и технической документации на аттестуемую  ИСПДн, содержащий:

- программу и методику  аттестационных испытаний;

- проект документа «Перечень  персональных данных, обрабатываемых  в ИСПДн»;

- проект документа «Перечень  лиц, допущенных к обработке  ПДн»;

- проект документа «Перечень  лиц, допущенных в помещения,  в которых располагаются технические  средства ИСПДн»;

- проект документа «Акт  классификации ИСПДн»;

- проект документа «Акт  внедрения СЗИ»;

- технический паспорт  на ИСПДн;

- проекты приказов о  назначении ответственных за  обеспечение режима безопасности  персональных данных;

- инструкция по обеспечению  безопасности персональных данных;

- описание технологии  обработки информации в ИСПДн.

• проведение аттестационных испытаний. Уровень безопасности

информации, оцениваемый  в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации  в соответствии нормативно-методическими  документами ФСТЭК России). При  этом выполнятся следующие работы:

- проведение аттестационных  испытаний ИСПДн;

- разработка отчетных  документов.

             Аттестационные испытания ИСПДн предполагают проведение следующих проверок: