Аттестация объектов информатизации реферат

Обновлено: 05.07.2024

Пример готового реферата по предмету: Информационная безопасность

Содержание

§ 1. Понятие и общие положения аттестации объекта информатизации 5

§ 2. Организационная структура системы аттестации объектов информатизации 8

§ 3. Порядок проведения аттестации объектов информатизации 11

Список источников 18

Выдержка из текста

Под аттестацией объектов информатизации следует понимать комплекс организационно-технических мероприятий, в конечном итоге которых посредством специального документа "Аттестата соответствия" подтверждается то, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утверждённых ФСТЭК (Гостехкомиссией) России.

Актуальность моего исследования заключается в том, что если объект информатизации не будет аттестован в соответствии с нормативно-технической базой и иными нормативно-правовыми документами, то информация будет подвергнута несанкционированному доступу и следом произойдёт утечка информации.

Список использованной литературы

1. ФЗ "Об информации, информационных технологиях и о защите информации" от 27.07. 2006 г. № 149-ФЗ.;

2. Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утверждено Председателем Гостехкомиссии России 25.11.1994).

– М.: Гостехкомиссия РФ, 1994, с. 22.;

6. Руководящие документы по защите информации от НСД (Гостехкомиссия России).

7. Березюк Л. П. Организационное обеспечение информационной безопасности: учеб. пособие. Хабаровск: Изд-во ДВГУПС, 2008. – 188 с.;

8. Блинов А.М. Информационная безопасность: Учебное пособие. Часть 1. – СПб.:Изд-во СПбГУЭФ, 2012. – 96 с.;

9. Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие. – М.: Горячая линия – Телеком, 2005, с. 416.;

10. Гафнер В. В. Информационная безопасность : учеб. пособие / В.В. Гафнер. — Ростов н/Д : Феникс, 2014. — 324 с.;

11. Камышев Э.Н. Информационная безопасность и защита информации: Учебное пособие. — Томск: ТПУ, 2009. — 95 с.;

Введение 3
1. Теоретическая часть. 4
2. Акт обследования помещения 12
2.1. Общая характеристика помещения 12
2.2. Частная модель угроз. 16
3. Графоаналитический расчет звукоизоляции ограждающих конструкций помещения. 19
3. Обоснование рекомендованных мер защиты 26
4. Экономическая часть 28
Заключение 31
Библиографический список 32
Приложение А 33
Приложение Б 34
Приложение В 35
Приложение Г 36
Приложение Д 37
Приложение Е 38
Приложение Ж 39
Приложение З 40

Прикрепленные файлы: 1 файл

GOTOVYJ_KURSACh_NA.docx

1. Теоретическая часть. 4

2. Акт обследования помещения 12

2.1. Общая характеристика помещения 12

2.2. Частная модель угроз. 16

3. Графоаналитический расчет звукоизоляции ограждающих конструкций помещения. 19

3. Обоснование рекомендованных мер защиты 26

4. Экономическая часть 28

Библиографический список 32

Приложение А 33

Приложение Б 34

Приложение В 35

Приложение Г 36

Приложение Д 37

Приложение Е 38

Приложение Ж 39

Приложение З 40

Введение

Аттестация объекта информатизации по требованиям безопасности информации представляет собой комплекс организационно-технических мероприятий, в результате которых подтверждается, что на аттестационном объекте выполнены требования по безопасности информации, заданные в нормативно-технической документации, утвержденные государственными органами обеспечения безопасности информации и контролируемые при аттестации.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации меp и средств защиты информации.

В связи с этим целью данной курсовой работы было поставлена организация защиты информации в выделенном помещении и подготовка её к аттестационным мероприятиям.

1. Теоретическая часть.

Звук – это упругие волны, колебательные движения частиц в упругой среде, вызванные каким-либо источником.

Звуковое поле – это область пространства, в которой распространяются звуковые волны, т. е. происходят акустические колебания частиц упругой среды (твердой, жидкой или газообразной), заполняющей эту область. Звуковое поле определяется изменением в каждой его точке одного из параметров, характеризующих звуковую волну: колебательная скорость частиц, звуковое давление и т. п..

Фронтом звуковой волны называют поверхность, объединяющую точки с одинаковой фазой колебания. По форме фронта различают три типа звуковых волн:

а) плоские – фронт в виде плоскости, нормальной к направлению распространения волны);

б) сферические – сферический фронт;

в) цилиндрические – фронт в виде боковой поверхности цилиндра.

Поскольку тип звуковой волны влияет на ее затухание в пространстве, на практике важно определить вид волны хотя бы приближенно. Если плоский источник звука имеет большие размеры, то вблизи него возникают плоские волны, и в этой области звуковое давление постоянно. По мере удаления от источника, плоская звуковая волна переходит в сферическую, распространяющуюся во всех направлениях. Фронт волны может определяться не только размерами источника звука, но и частотой (длиной звуковой волны). При низких частотах (большая длина волны) фронт, как правило, сферический, а при высоких частотах и малой длине волны – плоский.

Если источник звука расположен в помещении, то звуковые волны будут распространяться от источника звука до тех пор, пока не достигнут границ помещения или расположенных в нем ограждений, где часть звуковой энергии будет отражена, часть поглощена, а часть передана через несущие конструкции (рисунок 1.1).

Рис. 1.1 Схема прохождения звука через преграду

Уравнение баланса звуковой энергии выглядит следующим образом:

, , , - интенсивности падающего, поглощенного, отраженного и прошедшего звука, соответственно.

Отношение интенсивности прошедшего звука к интенсивности падающего звука называется коэффициентом звукопроводности:

Звукоизоляцией называется величина, обратная коэффициенту звукопроводности. Звукоизоляция характеризует процесс отражения звука и является мерой степени звуконепроницаемости преграды. Значение звукоизоляции определяется следующим образом:

Коэффициент звукопоглощения определяется отношением интенсивности поглощенного в конструкции звука к интенсивности падающего:

Звукопоглощение характеризует физический процесс перехода звуковой энергии в тепловую, а коэффициент звукопоглощения (α) служит мерой звукопоглощения.

При распространении звука от различных источников звуковые волны могут взаимодействовать.

Интерференция – это сложение в пространстве нескольких волн, при котором в разных его точках возникает устойчивое во времени усиление или ослабление амплитуды результирующей волны.

Распространение акустических волн в закрытых помещениях имеет свои особенности. Акустические волны многократно отражаются от предметов и ограждений, частично поглощаются при каждом столкновении (взаимодействии) с твердым телом. Интерференция происходит всякий раз, когда прямая волна, идущая от источника, встречается с отраженной волной от стен. Если две звуковые волны совпадают по фазе, то они усиливают друг друга, – человек слышит более громкий звук. Если же фазы двух волн противоположны, то теоретически волны могут погасить друг друга.

На самом деле интерференция звука происходит несколько иначе. Во-первых, звук от источника распределен по всему помещению. Во-вторых, поскольку интерференционная картина различна для разных частот, некоторые звуки вообще могут не погаситься. Для создания помещения с хорошей акустикой стараются сделать отраженный звук рассеянным, в результате чего в любую точку помещения со всех сторон приходят отраженные волны с совершенно рассогласованными фазами.

Дифракцией волн называется огибание ими препятствий. Объяснить дифракцию можно на основе принципа Гюйгенса. Согласно этому принципу каждую точку среды, в которую проникла звуковая волна, можно считать источником вторичных волн. Поэтому на краю огибаемого звуком тела образуется вторичный источник, от которого распространяется звуковая волна, проникая в область акустической тени (рисунок 1.2)

Рисунок 1.2 – Схема образования звуковой тени:

1 – препятствие; 2 – звуковая тень; 3 – источник звука; 4 – точка наблюдения

Вследствие дифракции звук может огибать встречные препятствия, попадать в область геометрической тени, концентрироваться на отверстиях и т. п.

Распространение акустических волн в помещениях (их отражение, дифракция и т. п.) связано с длиной распространяющейся волны и размерами объектов, встречающихся на пути ее распространения.

Зная частоту и скорость звука, можно вычислить длину акустической волны из соотношения:

где υ – скорость звука в соответствующей среде;

ν – частота звуковой волны.

В воздухе при t = 0°C и υ = 331,5 м/с для ν = 16 Гц длина максимальной волны речевого диапазона равна 20,7 м. При максимальной частоте ν = 20 кГц минимальная длина звуковой волны в воздухе равна 16,5 мм.

Учитывая скорость распространения звука в воздухе (331,5–344 м/с), длина слышимых в воздухе звуковых волн колеблется от 1,5 см до 15 м.

Современная инженерная акустика накопила солидный арсенал средств и методов защиты от шума и звуковой вибрации.

По принципу действия различают следующие методы защиты от шума и звуковой вибрации:

  • звукоизоляция;
  • звукопоглощение;
  • виброизоляция;
  • вибропоглощение (вибродемпфирование).

Звукоизоляция – метод защиты от воздушного шума, основанный на отражении звука от бесконечной плотной звукоизолирующей преграды

Звуко- и виброизолирующие конструкции устанавливаются на пути распространения опасного звукового воздушного или структурного сигнала и служат для того, чтобы уменьшить уровень акустического давления опасного информационного воздушного или структурного акустического сигнала до уровня, не позволяющего осуществить его перехват соответствующими техническими средствами (лазерные системы, микрофоны, направленные микрофоны, стетоскопы и т. п.). Основной вклад в звуко- и виброизоляцию вносит отражение волн.

Рисунок 1.3 – Схема звукоизоляции:

1 – источник шума; 2 – бесконечная плотная звукоизолирующая преграда

Звукоизолирующую способность конструкции характеризуют величиной звукоизоляции, определяемой соотношением:

где Iпад и Iпр – соответственно интенсивность волны, падающей на преграду и прошедшей через нее.

Простейшей звукоизолирующей преградой является плоская граница двух сред.

Наряду со звукоизоляционными конструкциями, действие которых основано на явлении отражения волн, в конструкциях защиты акустического канала широкое применение нашли диссипативные конструкции, уменьшающие интенсивность звуковых волн за счет преобразования звуковой энергии в тепловую.

Звукопоглощение – метод ослабления воздушного шума, использующий переход звуковой энергии в тепловую в мягкой звукопоглощающей (волокнистой или пористой) конструкции (рисунок 1.4).

Рисунок 1.4 – Схема звукопоглощения:

1 – твердая отражающая поверхность; 2 – звукопоглощающий материал; 3 – перфорированное покрытие

Виброизоляция – метод снижения структурного звука, базирующийся на отражении вибрации в виброизоляторах (рисунок 1.5).

Рисунок 1.5 – Схема виброизоляции:

1 – источник вибрации; 2 – виброизоляторы, 3 – опорная поверхность

Вибродемпфирование – способ защиты от звуковой вибрации, в котором используется переход вибрационной энергии в тепловую в вибродемпфирующих покрытиях (рисунок 1.6).

Рисунок 1.6 – Схема вибродемпфирования:

1 – виброизолируемая звукоизлучающая поверхность; 2 – вибродемпфирующее покрытие

Способы звуко- и виброизоляции и поглощения используются на практике как отдельно, так и в комбинации.

Рисунок 1.7 – Схема устройства активной шумозащиты:

1 – источник шума; 2 – микрофон; 3 – усилитель; 4 – анализатор спектра; 5 – фазоинвертор; 6 – блок динамиков; 7 – область тишины

Снижение шума активными методами может быть достигнуто в длинных трубопроводах или тоннелях, где звуковая волна плоская, а также в замкнутых объемах с диффузным характером акустического поля; в свободном пространстве, где образуется бегущая звуковая волна.

2. Акт обследования помещения

2.1. Общая характеристика помещения

    1. Ширина 6 метров;
    2. Длина 9.5 метров;
    3. Высота 3 метра;
    4. Площадь 57 метров квадратных.

Помещение планируется использовать для совещаний, в ходе которых предполагается обсуждение вопросов, содержащих государственную тайну. Максимальный гриф секретности – секретно. Помимо этого в нем будут проводиться учебные занятия.

Аннотация: В лекции приведены основные понятия в области аттестации объекта информатизации по требованиям безопасности, рассмотрены участники стандартной схемы аттестации и этапы аттестации.

Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации .

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации , помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров [6.1].

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации , утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации .

Аттестация является обязательной в следующих случаях:

  • государственная тайна ;
  • при защите государственного информационного ресурса;
  • управление экологически опасными объектами;
  • ведение секретных переговоров.

Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации .

Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

  • защита от НСД, в том числе компьютерных вирусов ;
  • защита от утечки через ПЭМИН;
  • защита от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации .

Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ :

  • анализ исходных данных по аттестуемому объекту информатизации ;
  • предварительное ознакомление с аттестуемым объектом информатизации ;
  • проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
  • проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
  • проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
  • проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
  • анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".

Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации.

Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика.

В структуру системы аттестации входят:

  • федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации – ФСТЭК России;
  • органы по аттестации объектов информатизации по требованиям безопасности информации;
  • испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
  • заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации ).

В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации .

В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию.

Органы по аттестации:

  • аттестуют объекты информатизации и выдают "Аттестаты соответствия";
  • осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации , и за их эксплуатацией;
  • отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";
  • формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации , участвуют в их разработке;
  • ведут информационную базу аттестованных этим органом объектов информатизации ;
  • осуществляют взаимодействие с ФСТЭК России и ежеквартально информируют его о своей деятельности в области аттестации.

ФСТЭК осуществляет следующие функции в рамках системы аттестации:

  • организует обязательную аттестацию объектов информатизации ;
  • создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
  • устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
  • организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации ;
  • аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
  • осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации ;
  • рассматривает апелляции, возникающие в процессе аттестации объектов информатизации , и контроля за эксплуатацией аттестованных объектов информатизации ;
  • организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.

Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации .

Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России в разделе "Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации".

  • проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
  • привлекают органы по аттестации для организации и проведения аттестации объекта информатизации ;
  • предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;
  • привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации , используемых на аттестуемом объекте информатизации , испытательные центры (лаборатории) по сертификации ;
  • осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";
  • извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");
  • предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации , прошедшего обязательную аттестацию.

Для проведения испытаний заявитель предоставляет органу по аттестации следующие документы и данные:

  • приемо-сдаточную документацию на объект информатизации ;
  • акты категорирования выделенных помещений и объектов информатизации ;
  • инструкции по эксплуатации средств защиты информации ;
  • технический паспорт на аттестуемый объект;
  • документы на эксплуатацию ( сертификаты соответствия требованиям безопасности информации) ТСОИ;
  • сертификаты соответствия требованиям безопасности информации на ВТСС;
  • сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
  • акты на проведенные скрытые работы;
  • протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
  • протоколы измерения величины сопротивления заземления;
  • протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
  • данные по уровню подготовки кадров, обеспечивающих защиту информации;
  • данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
  • нормативную и методическую документацию по защите информации и контролю эффективности защиты.

Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.

  • пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
  • перечень объектов информатизации , подлежащих защите, с указанием мест их расположения и установленной категории защиты;
  • перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
  • перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
  • перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
  • перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
  • cхему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции , заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
  • технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
  • планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
  • план-схему инженерных коммуникаций всего здания, включая систему вентиляции;
  • план-схему системы заземления объекта с указанием места расположения заземлителя;
  • план-схему системы электропитания здания с указанием места расположения разделительного трансформатора ( подстанции ), всех щитов и разводных коробок;
  • план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
  • план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
  • схемы систем активной защиты (если они предусмотрены)[6.3].

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

  1. подача и рассмотрение заявки на аттестацию. Заявка имеет установленную форму, с которой можно ознакомиться в "Положении об аттестации объектов информатизации по требованиям безопасности ". Заявитель направляет заявку в орган по аттестации, который в месячный срок рассматривает заявку, выбирает схему аттестации и согласовывает ее с заявителем.
  2. предварительное ознакомление с аттестуемым объектом – производится в случае недостаточности предоставленных заявителем данных до начала аттестационных испытаний;
  3. испытание в испытательных лабораториях несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.
  4. разработка программы и методики аттестационных испытаний. Этот шаг является результатом рассмотрения исходных данных и предварительного ознакомления с аттестуемым объектом. Орган по аттестации определяет перечень работ и их продолжительность, методику испытаний, состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств или участия испытательных лабораторий. Программа аттестационных испытаний согласовывается с заявителем.
  5. заключение договоров на аттестацию. Результатом предыдущих четырех этапов становится заключение договора между заявителем и органом по аттестации, заключением договоров между органом по аттестации и привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
  6. проведение аттестационных испытаний объекта информатизации . В ходе аттестационных испытаний выполняется следующее:
    • анализ организационной структуры объекта информатизации , информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
    • определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
    • проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации ;
    • проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации ;
    • проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
    • оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации [6.2]

К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.

Протокол аттестационных испытаний должен включать:

  • вид испытаний;
  • объект испытаний;
  • дату и время проведения испытаний;
  • место проведения испытаний;
  • перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);
  • перечень нормативно-методических документов, в соответствии с которыми проводились испытания;
  • методику проведения испытания (краткое описание);
  • результаты измерений;
  • результаты расчетов;
  • выводы по результатам испытаний [6.4]

Протоколы испытаний подписываются экспертами – членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов.

Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю [2]. Заключение и протоколы испытаний подлежат утверждению органом по аттестации.

Аттестат соответствия должен содержать:

  • регистрационный номер;
  • дату выдачи;
  • срок действия;
  • наименование, адрес и местоположение объекта информатизации ;
  • категорию объекта информатизации ;
  • класс защищенности автоматизированной системы;
  • гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации ;
  • организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
  • номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;
  • перечень руководящих документов, в соответствии с которыми проводилась аттестация;
  • номер и дата утверждения заключения по результатам аттестационных испытаний;
  • состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации , а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;
  • организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;
  • перечень действий, которые запрещаются при эксплуатации объекта информатизации ;
  • список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации .

Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение , режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

Новый Порядок организации и проведения работ по аттестации объектов информатизации будет способствовать обеспечению реальной безопасности ИС.

image

1. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

2. Порядок применяется для аттестации объектов информатизации с 1 сентября 2021 года.

Все работы по аттестации, которые будут выполняться начиная с этой даты, должны проходить в соответствии с новым Порядком. Важно, что это касается даже тех работ, которые будут проводиться в рамках уже ранее заключенных контрактов.

3. Настоящий Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

4. Аттестация объектов информатизации на соответствие требованиям о защите информации (далее – аттестация) осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее – владельцы объектов информатизации).

Здесь стоит обратить внимание на то, что аттестовывать объекты информатизации теперь имеют право и эксплуатирующие их организации – их в явном виде включили в состав владельцев объектов информатизации.

5. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний).

С одной стороны, положение очевидное. Но на практике нам приходилось сталкиваться с ситуацией, когда заказчик заявлял о необходимости аттестационных мероприятий для информационных систем, выведенных из эксплуатации. Теперь явно названы этапы жизненного цикла ИС, на которых эти испытания требуются.

6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками), ответственными за защиту информации.

7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.

Появился четкий ответ на вопрос о минимальном количестве участников аттестационной комиссии – не менее трех.

8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.

9. Для проведения работ по аттестации владелец объекта информатизации в качестве исходных данных представляет в орган по аттестации копии ряда документов, включая «документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).

Новый документ однозначно определил ответственного за предоставление результатов инструментального сканирования. Это не орган по аттестации, проводящий испытания, а именно владелец аттестуемого объекта информатизации.

10. По решению владельца объекта информатизации указанные в настоящем пункте копии документов представляются в орган по аттестации в виде электронных документов.

Раньше орган по аттестации, как правило, принимал только бумажные варианты утвержденных документов (с подписью и печатью организации). Теперь же допустимо предоставлять их в электронном виде. Пока остался открытым вопрос о форме их заверения: требуется ли она и если да, то в каком виде? Будет ли достаточно пересылки с авторизованного почтового ящика или понадобится электронная подпись того или иного вида?

11. Аттестационные испытания включают следующие мероприятия и работы:

б) проверку наличия и согласования с ФСТЭК России … модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации или частного технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем).

12. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.

Определен крайний срок, в течение которого необходимо выслать аттестационную документацию владельцу объекта информатизации.

13. По результатам устранения недостатков орган по аттестации повторно оформляет заключение, в которое наряду со сведениями, указанными в пункте 18 настоящего Порядка, включаются сведения об устранении владельцем объекта информатизации всех выявленных недостатков, а также делается вывод о возможности выдачи аттестата соответствия требованиям по защите информации на объект информатизации.

В ряде случаев в номенклатуре аттестационных документов в явном виде появляется дополнительный. Как он будет называться – заключение № 2, повторное заключение?

14. Владелец объекта информатизации в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, направляет в течение 5 рабочих дней с момента получения заключения и протоколов письменное обращение с обоснованием такого несогласия в ФСТЭК России.

15. ФСТЭК России (территориальный орган ФСТЭК России) в течение 10 календарных дней с даты получения обращения проводит оценку документов.

16. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

а) аттестата соответствия объекта информатизации;

б) технического паспорта на объект информатизации;

в) акта классификации системы (сети), акта категорирования значимого объекта;

г) программы и методик аттестационных испытаний объекта информатизации;

д) заключения и протоколов.

В договорах и ПМИ нужно аккуратно подходить к определению даты подписания аттестата соответствия. Особенно если есть необходимость иметь запас по времени на обработку, утверждение и отправку документации при наличии бюрократических многоэтапных, требующих различных согласований процедур внутри органа по аттестации.

Напомним, что максимальная длительность работ по аттестации согласно положениям рассматриваемого Порядка не может превышать четырех месяцев.

17. ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней со дня получения от органа по аттестации документов, предусмотренных пунктом 27 настоящего Порядка, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации.

Самое важное новшество: вводится реестровая (централизованная) система учета выданных аттестатов соответствия на ИС. Будет очень хорошо, если этот реестр (выписка из реестра) станет общедоступным, чтобы была возможность проверить наличие и действительность аттестатов соответствия в отношении интересующих объектов информатизации.

18. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.

Регулятор не только требует предоставлять документы по аттестованной ИС, но и будет анализировать их на предмет корректности. Очевидно, что это вызвано желанием ФСТЭК России улучшить качество проводимых органами по аттестации испытаний, что не может не радовать.

19. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.

20. Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года предоставляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

21. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичных средств или заменены на аналогичные средства проводятся дополнительные аттестационные испытания.

В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация…

В явном виде определены критерии, при выполнении которых проводятся дополнительные аттестационные испытания или повторная аттестация. Остается открытым вопрос: требуется ли при проведении повторной аттестации изменять номер и дату выдачи первоначального аттестата соответствия?

22. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае…

Действие аттестата соответствия прекращается ФСТЭК России (территориальным органом ФСТЭК России) в случае…

23. В случае утраты аттестата соответствия владелец объекта информатизации вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия.

Появилась новая возможность – выдача дубликата аттестата соответствия. Из интересного: орган по аттестации не имеет права выдать его копию. По крайней мере, в новом Порядке о таком варианте ничего не говорится. Нужно учитывать, что согласно нормам делопроизводства при выдаче копии документа сохраняются номер и дата выдачи оригинального документа, а вот дубликат документа должен иметь новые реквизиты. Найдет ли этот момент отражение в реестре аттестатов ФСТЭК России – вопрос открытый.

24. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.

25. Из Приложения № 1 исключена необходимость указания в техническом паспорте границ контролируемой зоны, линий связи и питания, выходящих за границы контролируемой зоны, а также инвентарных (учетных, серийных) номеров ОТСС и ВТСС, номера лицензий ПО.

Это положение позволяет заменять СВТ на однотипные и обновлять лицензии на ПО без корректировки технического паспорта. Такая норма соотносится с бессрочным сроком действия аттестата соответствия и выполнением необходимых процедур на всех этапах жизненного цикла ИС.

Это нововведение говорит о том, что ФСТЭК не настаивает на обязательном выполнении требований о защите ИС, не обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, от ПЭМИН, что раньше и обуславливало необходимость отображать границы контролируемых зон и проводные линии.

26. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, вводит фиксированный формат номера аттестата соответствия.

Раньше каждый орган по аттестации сам определял формат номера аттестата соответствия. Текущий формат фиксирует в номере: | | . Это позволит сделать номер аттестата соответствия достаточно информативным.

Нераскрытой остается неопределенность с – должен он в обязательном порядке быть сквозным (00001, 00002, 00003) или допускается произвольное, но неповторяемое назначение номеров (00024, 01121, 00001)?

27. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, при эксплуатации аттестованного объекта информатизации не допускает проводить обработку информации в случае обнаружения инцидента безопасности.

Пока не очень понятно, как реализовать это на практике – например, если инцидентом является компрометация пароля в ИС непрерывного цикла или даже просто попытка его подбора. Также это положение противоречит принципу PDCA и бессрочности аттестатов соответствия.

Будем надеяться, что данное Приложение определяет всего лишь форму (как и указано на его титуле), а не строгое указание по содержанию и данный момент возможно будет исключить из перечня ограничений на эксплуатацию ИС.

Новый Порядок организации и проведения работ по аттестации объектов информатизации, на наш взгляд, будет способствовать обеспечению реальной безопасности ИС. Но при этом в документе есть ряд нераскрытых моментов, а также положений, которые невыполнимы в реальных условиях эксплуатации.

Главное, чтобы последующие редакции документа учитывали и исправляли недостатки предыдущих, а сам он использовался как инструмент упорядочивания и улучшения ситуации с аттестацией объектов информатизации, а не наказания и запугивания.

В качестве бонуса расскажем, при каких условиях новый Порядок позволит эксплуатировать ГИС даже без аттестата соответствия (пусть и не на постоянной основе).

Существует три случая, при которых возможно запретить (временно или постоянно) эксплуатацию ГИС:

1) вновь созданная ГИС не введена в промышленную эксплуатацию (не проведены успешные аттестационные испытания);

2) действие аттестата соответствия приостановлено;

3) действие аттестата соответствия прекращено.

Первый вариант не рассматриваем – он очевиден и вопросов не вызывает.

А далее, как говорят фокусники, следите за руками.

То есть на этапе прекращения действия аттестата соответствия требование о прекращении эксплуатации объекта информатизации не распространяется на случай, если ранее действие аттестата соответствия было приостановлено.

А есть ли варианты, при которых можно прийти к вышеописанному состоянию – действие аттестата соответствия было приостановлено – и при этом ГИС находилась бы в эксплуатации на законных основаниях? Давайте посмотрим.

Если на этапе приостановления действия аттестата соответствия ГИС согласовать с ФСТЭК России и принять меры, исключающие возможность возникновения угроз безопасности информации, то даже последующее прекращение действия аттестата соответствия формально не потребует прекращения ее дальнейшей эксплуатации.

Можно предположить, что озвученная возможность связана с необходимостью в ряде случаев продолжать эксплуатацию критичных ИС (например, ИС непрерывного цикла, обеспечивающих критичные функции, или социально значимых систем), даже если в них в определенный момент не соблюдаются все требования безопасности информации.

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Аттестация объектов информатизации

Аттестация объектов информатизации: методики проведения, нюансы и лайфхаки

Постоянное совершенствование методов несанкционированного доступа к информации, а также значительный ущерб от такого рода действий привели к целенаправленному и систематическому совершенствованию технологий обеспечения информационной безопасности и механизмов реагирования. Для некоторых объектов информатизации оценка защищенности и соответствия их установленным законом требованиям происходит путем аттестации.


Чтобы понимать принципы и порядок проведения аттестации, в первую очередь, следует рассмотреть документы, направленные на сам процесс аттестации (положения, стандарты), а также внимательно изучить требования ФСТЭК для соответствующего типа объекта информатизации.


При проведении проверки оформляется ряд документов по аттестационным испытаниям, а именно программа и методики.


Оценка соответствия подразумевает определение соответствия всех применяемых средств защиты объекта. Среди прочего, учитываются и его эксплуатационные условия.

Кому может понадобиться?

Действующими на территории РФ нормативными актами определено, что аттестация может быть как добровольный, так и обязательной. Последняя необходима в следующих случаях:

• При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).

• При обработке информация, которая относится к информации ограниченного доступа (для коммерческой тайны – обязательных аттестационных испытаний нет).
• Если системы используются для управления объектами, представляющими экологическую опасность.

• Для лицензирующей деятельности, которая касается предоставления лицензий.


Остальные случаи не требуют обязательной аттестации: её можно провести добровольно. Для этого следует обратиться в организацию, производящий такую аттестацию, и заключить с ним соответствующий договор. Обычно основной целью добровольной аттестации выступает получение официального документа, подтверждающего полное соответствие уровня систем и средств защиты информации существующим стандартам.


Важно помнить, что ИС разных типов и классов должны соответствовать разным требованиям. Несоблюдение соответственных требований может повлечь за собой ответственность. Действующее законодательство подразумевает разный спектр санкций в этом вопросе. В некоторых случаях это штрафы, в других возможна и уголовная ответственность.


Порой случаются недоразумения, когда информационную систему по ошибке причисляют к ГИСам. Это приводит к применению излишних мер зашиты системы. Чтобы избежать такой ошибки, стоит проводить следующие действия:

• Выяснить, существует ли нормативный акт, требующий создания ИС.

• Проверить, создается ли она с целью обмена информацией или для реализации полномочий госоргана. Цель создания может быть также определена ФЗ.

• Определить, является ли информационное наполнение документированной информация, предоставляемой физлицами, организациями, госорганам или органами местного самоуправления.

Аттестация ГИС: подготовка, порядок действий, нововведения


Сначала оформляется приказ о необходимости защиты информации в ГИС и акт ее классификации. Также разрабатываются модель угроз и модель нарушителя, а еще техзадание на систему защиты информации (далее - СЗИ).


Следующие действия предполагают создание технического проекта и эксплуатационной документации на СЗИ, при надобности проводится макетирование и тестирование такой системы. Техпроект должен состоять из документов, определенных соответствующими ГОСТами, либо документов, определенных Заказчиком в ТЗ.


В ходе практической части работ закупаются (с последующей установкой и настройкой) средства защиты информации и проводится ряд сопутствующих мероприятий. Так, должна быть разработана документация организационно-распорядительного характера, реализованы меры защиты информации, определены уязвимости ГИС. Завершается этот этап предварительными испытаниями, опытной эксплуатацией, приемочными испытаниями СЗИ.


На завершающем этапе оценивается организационно-распорядительная, эксплуатационная документация и условия работы ГИС, анализируются ее уязвимости и испытывается СЗИ. Процесс и результаты отображаются в соответствующих документах: программе, методике и протоколе испытаний, заключении и аттестате соответствия.

Определение класса ГИС

ГИС присваивается один из трех классов защищенности, основанных на масштабе ГИС и важности информации, которая в ней обрабатывается.


Порядок определения класса можно прочитать в приложении 1 приказа ФСТЭК №17 . Оператор выясняет размер ущерба, который может быть нанесен владельцу информации, чтобы определиться с уровнем значимости информации. Также выясняется масштаб ГИС (может быть федеральным, региональным, объектовым). результирующим документом является акт классификации ГИС.

Готовимся к аттестации

Остановимся подробнее на важных моментах подготовки к аттестации ГИС, придерживаясь описанной выше схемы.


Итак. Начать рассмотрение вопроса нужно с обследования ГИС, по итогу которого составляется акт. Далее определяются требования к защите информации с утверждением техзадания.


На стадии проектирования разрабатывается частный техпроект и эксплуатационная документация (как использовать средства защиты информации в зависимости от роли пользователя) на СЗИ в составе ГИС, макетируется и тестируется СЗИ (предполагается использование тестового стенда, средств защиты и моделирования реальных условий эксплуатации ГИС).


Продолжаем мероприятия согласно порядку. Закупаются (плюс установка и настройка) сертифицированные СЗИ, формируется пакет документации организационно-распорядительного характера (по защите информации и режимным мерам), осуществляются организационные мероприятия по защите информации. Также надо проанализировать уязвимости ГИС, на базе этого составляется программа, методика, протокол и заключение испытаний. Ну а дальше черед предварительных испытаний, опытной эксплуатации и приемочных испытаний СЗИ в составе ГИС.


Обращаем ваше внимание на некоторые новшества приказа ФСТЭК №17 :

• Должностные лица, проектировавшие и внедрявшие СЗИ, не имеют права проводить аттестацию.

• Перечень классов защищенности СЗИ ограничиваются только тремя.

• Любой класс СЗИ требует принятия мер защиты информации.

Выбор техсредств защиты ГИС

Зная класс защищенности ГИС, можно выбрать класс СЗИ для применения. Например, если имеется 3 класс защищенности, тогда требуются средства защиты информации 6 класса, а средства вычислительной техники – не ниже 5 класса (п. 26 приказа ФСТЭК №17).


Для того, чтобы найти средства защиты, сертифицированные по новым требованиям, можно ввести в строку поиска определенные сокращения:

• ИТ.МЭ. для межсетевых экранов.
• ИТ.СДЗ. для средств доверенной загрузки.
• ИТ.САВЗ. для антивирусных средств защиты.
• ИТ.ОС. для операционных систем.
• ИТ.СОВ. для систем обнаружения вторжений.
• ИТ.СКН. для средств контроля носителей информации.

Аттестация КИИ: порядок, тонкости и лайфхаки

Дорожну карту по выполнению ФЗ-187 можете найти здесь!

Что требует Закон

Закон о безопасности КИИ (187-ФЗ ) не установил четкие требования относительно аттестации объектов критической информационной инфраструктуры согласно требованиям [ФСТЭК] безопасности информации. Так, в ст. 12 и 13 говорится о проведении проверок выполнения требований нормативных актов, об оценке информации с объектов КИИ, анализе компьютерных атак, прогнозе влияния на остальные объекты КИИ.


Необходимость проведения оценки защищенности объекта КИИ в формате аттестации согласно требованиям безопасности информации отображена лишь в тексте приказа ФСТЭК № 239 от 25.12.2017. Там сказано: когда объект КИИ – ГИС, то оценка его защищенности проводится в виде аттестации по нормам приказа ФСТЭК № 17 от 11.02.2013. Остальные ситуации предполагают, что аттестацию можно проводить по желанию субъекта КИИ.

Каким образом соответствовать требованиям?


Когда объект КИИ эксплуатируется, владельцу нужно обеспечить безопасность информации: анализировать угрозы, планировать мероприятия защиты и противодействия, реагировать на атаки, обучать персонал.

На что обратить внимание?


При категорировании важно обращать внимание на положения Закона о безопасности КИИ и правила категорирования ( Постановление Правительства № 127 ) . При этом не стоит забегать вперед: только получив от уполномоченного органа подтверждение правильного категорирования и внесения объекта в реестр объектов КИИ, осуществлять меры по защите объектов КИИ.


Стоит упомянуть о возможности использования результатов предшествующей аттестации согласно приказу ФСТЭК № 17, что значительно снизит сложность подготовительных работ, а также стоимость приобретения средств защиты.


В ситуации с критической информационной инфраструктурой, моделируя угрозы, следует использовать базовую модель угроз и методику определения актуальных угроз безопасности информации в ключевых системах информинфраструктуры, утвержденные ФСТЭК 18.05.2007. С другой стороны, необходимо соблюдать приказы ФСТЭК №№ 235, 239 при условии, когда объект критической информационной инфраструктуры – автоматизированная система управления технологическими процессами.

Сложности подготовки

Если объект категорирован неверно, уполномоченный федеральный орган может отказаться регистрировать его в реестре КИИ. А без подтверждения о правильности категорирования и внесения в реестр КИИ официально начинать работы по защите (подготовке) объекта КИИ нельзя. Отказ может последовать и в том случае, если будут предоставлены неполные или неточные сведения об объекте.


Кроме того, необходимо внедрить множество программных и программно-аппаратных систем защиты информации, что требует наличие соответствующей компетенции обслуживающего персонала при внедрении и дальнейшем сопровождении этих систем.


Очередности осуществления мероприятий относительно подготовки к аттестации КИИ выглядит следующим образом:

Когда техзадание на создание подсистемы безопасности уже разработано, нужна подготовка модели угроз безопасности информации, проекта подсистемы безопасности, рабочая (эксплуатационная) документация на нее.


Далее следуют практические шаги: реализация организационных и технических мер по обеспечению безопасности объекта и введению его в эксплуатацию. Субъекту КИИ предстоит закупка и установка средств защиты информации, разработка соответствующей документации, проведение испытаний подсистемы безопасности с анализом уязвимостей.


А когда подготовка объекта КИИ будет полностью завершена, к проведению аттестации привлекается лицензиат ФСТЭК.

Аттестации АСУ ТП: на что обратить внимание


В целом порядок аттестации состоит из таких этапов:

• изучение объекта в предварительном порядке;

• создание методик и программы испытаний для него;

• непосредственно испытание объекта;

• проведения оформления, регистрации и последующая выдача документа о прохождении аттестации.


Во время испытаний проводится разработка следующих аттестационных документов:

• программы, а также методики проведения испытаний;

• создание протокола аттестации;

• заключения, которое создаётся по результатам прохождения аттестации;
• сам аттестат соответствия.


На сегодняшний день требования для АСУ ТП закреплены в приказе № 31 ФСТЭК РФ .

Насколько обоснованы устоявшиеся мнения по вопросу аттестации по принципу типовых сегментов?

Как обычно и бывает, процесс аттестации по принципу типовых сегментов воспринимается большинством людей однобоко, и общее впечатление о нем основано на устоявшихся мнениях, растиражированных во многих публикациях в интернете.


Но насколько верны умозаключения их авторов? И есть ли реальное обоснование этим мнениям? Об этом читайте дальше.

Это звучит реально и выполнимо, но несколько странно. Все становится на свои места после ознакомления с пунктом 17.3 Приказа Федеральной службы по техническому и экспортному контролю РФ № 17 от 11.02.2013 и ГОСТ РО 0043-003-2012


Согласно приказу, в сегментах информсистемы, на которые распространяется аттестат соответствия, (…) обеспечивается соблюдение эксплуатационной документации на систему защиты информации информсистемы и организационно-распорядительных документов по защите информации.


Вопрос риторический, а озвученное мнение не выдерживает никакой критики.


Чтобы в этом убедиться, достаточно ознакомиться с пунктом 7 Приказа, согласно которому требования могут применяться для защиты информации, содержащейся в негосударственных информсистемах. Кроме того, ГОСТ РО 0043-003-2012 уже в своем названии говорит про аттестацию объектов информатизации, не ограничиваясь только государственными.


Следующая ситуация. Даже когда аттестат касается серверной части, каналов связи, автоматизированного РМ, нельзя распространить его, к примеру, на ноутбук. Последний, хоть и аналог аттестованного ранее компьютера, является переносным устройством с более широким ресурсом подключений, отсутствующим в автоматизированном РМ, а значит не соответствует сегменту информсистемы, по отношению к которому проводились испытания, к тому же для них не определены одинаковые классы защищенности, угрозы безопасности информации, не осуществлены одинаковые проектные решения по информсистеме.


Следующий случай. В компании создано несколько информсистем: первая посвящена работникам, вторая – клиентам, третья – еще чему-то. Так вот, имея одну аттестованную информсистему, расширить сертификат на остальные не выйдет. Причина раскрывается в Приказе: различные проектные решения по информсистеме и ее системе защиты исключают соответствие одного сегмента иному сегменту, по отношению к которому проводились аттестационные испытания.


Значит, перед аттестацией нужно сделать масштабную подготовку, чтобы заранее предусмотреть разумный максимум вариаций типовых сегментов, потом же соответствующим образом подготовить документацию.


Если оператор информсистемы может сделать всю необходимую подготовительную работу, то лицензиат однозначно не нужен. Именно при использовании типовых сегментов оператор может сократить расходы, ведь тогда отсутствует нужда в осуществлении полномасштабного аттестационного испытания, написании проектной документации про систему защиты информации, а также не требуется разработка дополнительной модели угроз.


Технические средства не вечны, более того, их срок службы обычно сильно ограничен, поэтому ситуация с заменой вышедшего из строя оборудования не редкость.


Нормативная база не требует от техники, используемой в типовых сегментах, полной идентичности, а лишь: одного класса защищенности, одних угроз безопасности, проектных решений по информсистеме.

Читайте также: