Загрузка данных
Учебные вопросы
1. Система аттестации объектов информатизации по требованиям безопасности информации
Это совокупность организационных структур, нормативных и методических документов, а также технических мероприятий, направленных на подтверждение того, что на конкретном объекте обеспечены условия для безопасной обработки защищаемой информации и реализованная система защиты соответствует установленным нормам
2. Виды аттестации объектов информатизации по требованиям безопасности информации
Аттестация подразделяется на обязательную и добровольную. Обязательная аттестация проводится для объектов, обрабатывающих сведения, составляющие государственную тайну, служебную информацию ограниченного распространения, а также для значимых объектов критической информационной инфраструктуры. Добровольная аттестация проводится по инициативе владельца объекта для независимого подтверждения уровня защищённости
3. Функции ФСТЭК и органов по аттестации в области аттестации объектов информатизации по требованиям безопасности информации
ФСТЭК России устанавливает порядок аттестации, правила и методические документы, аккредитует органы по аттестации и испытательные лаборатории, ведёт государственный реестр выданных аттестатов и осуществляет государственный контроль за соблюдением требований. Органы по аттестации принимают заявки, формируют комиссии, утверждают программы и методики испытаний, проводят оценку, выдают аттестаты, приостанавливают или аннулируют их действие и проводят инспекционный контроль
4. Функции испытательных центров (лабораторий) и заявителей по аттестации объектов информатизации по требованиям безопасности информации
Испытательные лаборатории проводят инструментальные измерения побочных электромагнитных излучений и наводок, выполняют специальные проверки и исследования, оформляют протоколы испытаний и заключения. Заявители подают заявку, предоставляют документацию на объект, обеспечивают доступ комиссии, внедряют требуемые меры защиты, оплачивают работы и соблюдают условия эксплуатации, указанные в аттестате
5. Порядок проведения аттестации и контроля
Порядок аттестации начинается с подачи заявителем заявки в орган по аттестации. Затем проводится предварительное ознакомление с объектом. На основе исходных данных разрабатывается и утверждается программа и методика испытаний. Комиссия проводит испытания, включающие проверку документации, специальные обследования, исследования и измерения. По итогам оформляются протоколы и заключение, после чего выдаётся аттестат. Контроль осуществляется в виде плановых и внеплановых проверок в течение всего срока действия аттестата
---
Контрольные вопросы
1. Дайте определение аттестации объектов информатизации по требованиям безопасности информации
Аттестация объекта информатизации по требованиям безопасности информации это комплекс организационных и технических мероприятий, подтверждающих соответствие объекта установленным требованиям и наличие условий для безопасной обработки защищаемой информации
2. Организационная структура системы объектов информатизации по требованиям безопасности информации
Организационную структуру системы аттестации образуют федеральный орган в лице ФСТЭК России, органы по аттестации, испытательные лаборатории и центры, а также заявители, являющиеся владельцами объектов информатизации
3. Виды аттестации объектов информатизации по требованиям безопасности информации
Существует два вида аттестации. Обязательная аттестация и добровольная аттестация. Обязательная проводится в случаях, установленных законодательством, добровольная по инициативе владельца объекта
4. Какие объекты информатизации подлежат обязательной аттестации
Обязательной аттестации подлежат объекты, обрабатывающие сведения, составляющие государственную тайну, объекты, обрабатывающие иную информацию ограниченного доступа, значимые объекты критической информационной инфраструктуры, а также объекты, определённые нормативными актами ФСТЭК России
5. Каковы функции ФСТЭК в области аттестации объектов информатизации по требованиям безопасности информации
ФСТЭК России устанавливает единый порядок аттестации, аккредитует органы по аттестации и испытательные лаборатории, утверждает нормативные и методические документы, ведёт государственный реестр аттестованных объектов, осуществляет государственный контроль и надзор за соблюдением правил аттестации
6. Каковы функции органов по аттестации
Органы по аттестации принимают и рассматривают заявки, формируют состав комиссии, утверждают программу и методику аттестационных испытаний, организуют и проводят аттестацию, принимают решение о выдаче аттестата, приостанавливают или аннулируют его действие, а также осуществляют инспекционный контроль
7. Каковы функции заявителей в области аттестации объектов информатизации по требованиям безопасности информации
Заявители подают заявку на аттестацию, предъявляют объект и всю необходимую документацию, обеспечивают условия работы комиссии, реализуют меры защиты, оплачивают расходы и несут ответственность за соблюдение условий эксплуатации аттестованного объекта
8. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации
Порядок аттестации включает подачу заявки, предварительное ознакомление с объектом, разработку и утверждение программы и методики испытаний, проведение аттестационных испытаний, оформление протоколов и заключения, принятие решения о выдаче или отказе в выдаче аттестата и выдачу аттестата соответствия
9. На основе каких сведений разрабатывается программа аттестационных испытаний
Программа аттестационных испытаний разрабатывается на основе анализа исходных данных об объекте, включающих технический паспорт, акт категорирования, модель угроз безопасности информации, схему инженерно-технической защиты и перечень используемых технических средств
10. Порядок проведения аттестационных испытаний
Аттестационные испытания проводятся комиссией на реальном объекте по утверждённой программе и включают проверку организационных мер, анализ технической документации, инструментальные измерения побочных излучений и наводок, проверку настроек средств защиты от несанкционированного доступа, специальные исследования и оформление результатов
11. Какая документация представляется органу по аттестации
Органу по аттестации представляется следующая документация акт категорирования объекта, технический паспорт, модель угроз безопасности информации, разрешительные документы на эксплуатацию, заключения специальных проверок и исследований, протоколы измерений и иные документы, предусмотренные программой
12. Что такое технический паспорт объекта информатизации и какие сведения об объекте он включает в себя
Технический паспорт объекта информатизации это документ, содержащий основные сведения об объекте. Он включает наименование и назначение объекта, его размещение, состав технических средств, схему инженерных коммуникаций, условия эксплуатации и класс защищённости
13. В чем состоит содержание специального исследования аттестуемого объекта информатизации
Содержание специального исследования аттестуемого объекта заключается в выявлении технических каналов утечки информации, включая побочные электромагнитные излучения, наводки в посторонних цепях, акустоэлектрические преобразования, а также в проверке отсутствия недекларированных возможностей в программном обеспечении и оборудовании
14. Цель и содержание специальных обследований и проверок
Цель специальных обследований и проверок заключается в выявлении реальных угроз безопасности информации на конкретном объекте. Содержание включает проверку выполнения организационных мероприятий, корректность настройки средств защиты от несанкционированного доступа, контроль отсутствия закладочных устройств и анализ защищённости цепей электропитания и заземления
15. Проведение измерения и оценка уровней защищенности
Измерение и оценка уровней защищённости проводятся путём инструментального контроля уровней побочных электромагнитных излучений и наводок в токопроводящих коммуникациях. Полученные значения сравниваются с нормативными показателями, после чего делается вывод о достаточности реализованной защиты
16. Какие измерения дополнительно проводятся при использовании на объекте информатизации систем активной защиты
При использовании на объекте систем активной защиты дополнительно проводятся измерения эффективности этих систем. Измеряется уровень сигнала и шума в контрольной зоне сначала при выключенной системе, а затем при включённой системе активной защиты для оценки реального зашумления
17. Содержание заключения аттестационной проверки объекта информатизации
Заключение аттестационной проверки содержит выводы комиссии о полноте и достаточности реализованных мер защиты, о соответствии объекта установленным требованиям безопасности информации и о возможности или невозможности выдачи аттестата соответствия
18. Содержание протокола аттестационных испытаний объекта информатизации
Протокол аттестационных испытаний фиксирует ход испытаний, условия их проведения, применявшиеся методики и средства измерений, результаты всех проверок и измерений по каждому пункту программы, а также выявленные недостатки
19. Содержание аттестата соответствия на объект информатизации
Аттестат соответствия на объект информатизации содержит номер, срок действия, наименование объекта и его владельца, перечень разрешённых к эксплуатации технических средств, условия функционирования, класс защищённости и подпись руководителя органа по аттестации
20. Ответственность за выполнение установленных условий функционирования аттестованного объекта информатизации
Ответственность за выполнение установленных условий функционирования аттестованного объекта возлагается на заявителя, то есть на руководителя организации, эксплуатирующей данный объект информатизации
---
Заключение
В ходе изучения темы аттестации объектов информатизации по требованиям безопасности информации установлено, что аттестация представляет собой завершающий этап создания системы защиты объекта и является обязательным условием для начала обработки защищаемой информации. Она подтверждает, что объект полностью готов к эксплуатации, а реализованные меры защиты организационного и технического характера соответствуют нормативным требованиям.
Система аттестации имеет чёткую организационную структуру, включающую федеральный орган в лице ФСТЭК России, органы по аттестации, испытательные лаборатории и заявителей. Каждый элемент этой структуры выполняет строго определённые функции, что обеспечивает объективность и независимость процедуры. ФСТЭК России задаёт единые правила и контролирует их исполнение, органы по аттестации непосредственно проводят аттестацию, испытательные лаборатории выполняют инструментальные измерения и специальные исследования, а заявители обеспечивают внедрение и соблюдение мер защиты.
Аттестация подразделяется на обязательную и добровольную. Обязательной подлежат объекты, обрабатывающие государственную тайну, иные сведения ограниченного доступа, а также значимые объекты критической информационной инфраструктуры. Порядок аттестации строго регламентирован и включает этапы от подачи заявки до выдачи аттестата соответствия с последующим инспекционным контролем.
Важнейшим элементом аттестации является проведение специальных исследований, в ходе которых выявляются технические каналы утечки информации, побочные излучения, наводки, а также проверяется отсутствие закладочных устройств и недекларированных возможностей. Результаты испытаний фиксируются в протоколах, на основании которых оформляется заключение и принимается решение о выдаче аттестата.
Итоговым документом является аттестат соответствия, который содержит условия эксплуатации объекта, перечень разрешённых технических средств и класс защищённости. Ответственность за соблюдение условий функционирования аттестованного объекта полностью возлагается на заявителя.
Таким образом, аттестация объектов информатизации является ключевым механизмом обеспечения безопасности информации, позволяющим гарантировать, что обработка защищаемых данных осуществляется в контролируемой и безопасной среде.