Аттестация объектов информатизации

Объекты информатизации вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации.

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации.

Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия».

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа к информации, обрабатываемой автоматизированными средствами (в том числе от компьютерных вирусов), и от утечки информации по техническим каналам.

При необходимости по решению руководителя предприятия (учреждения, фирмы) организациями, имеющими соответствующие лицензии ФСБ России, могут быть проведены специальные проверки на наличие возможно внедренных в выделенные помещения или технические средства специальных электронных устройств перехвата информации («закладных устройств»).

Порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации включает следующие действия:

• подачу заявки на рассмотрение и проведение аттестации;
• анализ исходных данных по аттестуемому объекту информатизации;
• проведение предварительного специального обследования аттестуемого объекта информатизации;
• разработку программы и методики аттестационных испытаний;
• заключение договоров на аттестацию;
• испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
• проведение специальных проверок на наличие возможно внедренных электронных устройств перехвата информации;
• проведение аттестационных испытаний объекта информатизации;
• оформление, регистрацию и выдачу «Аттестата соответствия»;
• осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
• рассмотрение апелляций.

При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному специальному обследованию аттестуемого объекта, проводимые до этапа аттестационных испытаний.

По результатам рассмотрения заявки и анализа исходных данных, а также предварительного специального обследования аттестуемого объекта органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (если не используются типовые методики), определяется состав (количественный и профессиональный) аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров по сертификации средств защиты информации по требованиям безопасности информации.

Программа испытаний разрабатывается на основе анализа исходных данных об объекте информатизации и должна включать необходимые виды испытаний, определенные методические рекомендации для соответствующих видов объектов информатизации (выделенные помещения, автоматизированные системы, системы связи и т.д.), а также определять сроки, условия и методики проведения испытаний.

Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных объектов информатизации.

Аттестационные испытания предусматривают комплексную проверку защищаемого объекта в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации и проводятся в следующем порядке:

• анализ и оценка исходных данных и документации по защите информации на объекте информатизации, оценка правильности категорирования выделенных помещений и объектов информатизации;
• оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
• специальное обследование объекта информатизации;
• проведение испытаний отдельных средств и систем защиты информации в испытательных центрах по сертификации продукции по требованиям безопасности информации (при необходимости);
• специальные проверки технических средств на наличие возможно внедренных специальных электронных устройств перехвата информации;
• специальные проверки помещений на наличие возможно внедренных специальных электронных устройств перехвата информации;
• проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольно-измерительной аппаратуры;
• анализ результатов специального обследования и аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации;
• подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта информатизации установленным требованиям, которая представляется в орган по аттестации для принятия решения о выдаче «Аттестата соответствия».

Также проводится анализ разработанной документации по защите информации с точки зрения полноты и достаточности представленных документов и соответствия их требованиям организационно-распорядительной и нормативно-методической документации.

Проверяется состояние организации работ и выполнения организационно-технических требований по защите информации, оценка правильности категорирования выделенных помещений и объектов информатизации и выбора средств и систем защиты информации.

Проводится оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации.

«Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 г.

Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки информации и требований по безопасности информации [2].

В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.