Pastein: Учебные вопросы 1.1 Система объектов информатизации по требованиям безопасности информации Система аттес

Загрузка данных
Учебные вопросы

1.1 Система объектов информатизации по требованиям безопасности информации

Система аттестации объектов информатизации представляет собой совокупность организационных структур, нормативных и методических документов, а также технических средств, обеспечивающих проведение аттестации. Организационную структуру системы образуют федеральный орган по сертификации и аттестации (ФСТЭК России), органы по аттестации объектов информатизации, испытательные центры (лаборатории) по сертификации продукции, а также заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации). Аттестации подлежат объекты информатизации, предназначенные для обработки информации ограниченного доступа, управления экологически опасными объектами, ведения секретных переговоров, а также иные объекты по решению заказчика или владельца.

1.2 Виды аттестации объектов информатизации по требованиям безопасности информации

Различают обязательную и добровольную аттестацию. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер и может осуществляться по инициативе заказчика или владельца объекта информатизации для подтверждения соответствия требованиям по защите информации.

1.3 Функции ФСТЭК и органов по аттестации в области аттестации объектов информатизации

ФСТЭК России организует обязательную аттестацию объектов информатизации, создает системы аттестации и устанавливает правила их проведения, утверждает нормативные и методические документы, аккредитует органы по аттестации, осуществляет государственный контроль и надзор, рассматривает апелляции. Органы по аттестации аттестуют объекты информатизации и выдают Аттестаты соответствия, осуществляют контроль за безопасностью информации на аттестованных объектах, отменяют и приостанавливают действие выданных аттестатов, формируют фонд нормативной документации.

1.4 Функции испытательных центров (лабораторий) и заявителей по аттестации объектов информатизации

Испытательные центры (лаборатории) проводят специальные исследования и испытания средств защиты информации, измеряют уровни побочных электромагнитных излучений и наводок, проверяют защиту от высокочастотного навязывания и облучения, а также электромагнитного и радиационного воздействия. Заявители проводят подготовку объекта информатизации для аттестации путем реализации организационно-технических мероприятий по защите информации, привлекают органы по аттестации, предоставляют необходимые документы и условия для проведения аттестации, привлекают испытательные центры для испытаний несертифицированных средств защиты и осуществляют эксплуатацию объекта в соответствии с требованиями аттестата.

1.5 Порядок проведения аттестации и контроля

Аттестация проводится органом по аттестации в соответствии со схемой, включающей анализ исходных данных, предварительное ознакомление с объектом, экспертное обследование, испытания средств защиты, комплексные аттестационные испытания в реальных условиях эксплуатации, анализ результатов и утверждение заключения. Срок проведения работ по аттестации не может превышать четырех месяцев. Контроль за выполнением установленных условий функционирования аттестованного объекта информатизации осуществляется владельцем объекта путем проведения периодического контроля уровня защиты информации не реже одного раза в 2 года.

---

2. Контрольные вопросы

2.1 Дайте определение аттестации объектов информатизации по требованиям безопасности информации

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

2.2 Организационная структура системы объектов информатизации по требованиям безопасности информации

Организационную структуру системы аттестации объектов информатизации образуют федеральный орган по сертификации и аттестации (Гостехкомиссия России), органы по аттестации объектов информатизации, испытательные центры (лаборатории) по сертификации продукции, а также заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

2.3 Виды аттестации объектов информатизации по требованиям безопасности информации

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер и может осуществляться по инициативе заказчика или владельца объекта информатизации.

2.4 Какие объекты информатизации подлежат обязательной аттестации

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

2.5 Каковы функции ФСТЭК в области аттестации объектов информатизации по требованиям безопасности информации

ФСТЭК России организует обязательную аттестацию объектов информатизации, создает системы аттестации и устанавливает правила их проведения, утверждает нормативные и методические документы, аккредитует органы по аттестации, осуществляет государственный контроль и надзор, рассматривает апелляции и организует публикацию информации о функционировании системы аттестации.

2.6 Каковы функции органов по аттестации

Органы по аттестации аттестуют объекты информатизации и выдают Аттестаты соответствия, осуществляют контроль за безопасностью информации на аттестованных объектах, отменяют и приостанавливают действие выданных аттестатов, формируют фонд нормативной документации, ведут информационную базу аттестованных объектов и взаимодействуют с Гостехкомиссией России.

2.7 Каковы функции заявителей в области аттестации объектов информатизации по требованиям безопасности информации

Заявители проводят подготовку объекта информатизации для аттестации путем реализации организационно-технических мероприятий по защите информации, привлекают органы по аттестации, предоставляют необходимые документы и условия для проведения аттестации, привлекают испытательные центры для испытаний несертифицированных средств защиты и осуществляют эксплуатацию объекта в соответствии с требованиями аттестата.

2.8 Порядок проведения аттестации объектов информатизации по требованиям безопасности информации

Аттестация проводится органом по аттестации в соответствии со схемой, включающей анализ исходных данных, предварительное ознакомление с объектом, экспертное обследование, испытания средств защиты, комплексные аттестационные испытания в реальных условиях эксплуатации, анализ результатов и утверждение заключения. Срок проведения работ по аттестации не может превышать четырех месяцев.

2.9 На основе каких сведений разрабатывается программа аттестационных испытаний

Программа аттестационных испытаний разрабатывается на основе анализа представленных заявителем документов (технического паспорта, акта классификации, модели угроз, проектной и эксплуатационной документации) и предварительного ознакомления с объектом информатизации в условиях его эксплуатации.

2.10 Порядок проведения аттестационных испытаний

Для проведения аттестационных испытаний привлекается специализированная организация, имеющая лицензию ФСТЭК России, и назначается аттестационная комиссия из числа работников органа по аттестации в составе не менее трех человек. Испытания проводятся в соответствии с разработанной программой и методиками, после чего оформляются протоколы и заключение.

2.11 Какая документация представляется органу по аттестации

Органу по аттестации представляются технический паспорт на объект информатизации, акт классификации, модель угроз безопасности информации, техническое задание на создание объекта, проектная документация на систему защиты информации, эксплуатационная документация на средства защиты, организационно-распорядительные документы по защите информации, документы с результатами анализа уязвимостей и приемочных испытаний.

2.12 Что такое технический паспорт объекта информатизации и какие сведения о объекте он включает в себя

Технический паспорт объекта информатизации включает общие сведения об информационной системе, условия эксплуатации (архитектура, топологическая схема, информационные связи), описание технологического процесса обработки информации, сведения об аттестате соответствия инфраструктуры, состав общесистемного и прикладного программного обеспечения, состав телекоммуникационного оборудования, сведения о соответствии требованиям по защите информации и данные о проведении контроля за уровнем защищенности.

2.13 В чем состоит содержание специального исследования аттестуемого объекта информатизации

Специальные исследования проводятся для выявления технических каналов утечки информации, оценки эффективности применяемых средств защиты информации, проверки отсутствия недекларированных возможностей и закладочных устройств, а также для подтверждения соответствия объекта требованиям нормативных документов по безопасности информации.

2.14 Цель и содержание специальных обследований и проверок

Целью специальных обследований и проверок является выявление уязвимостей информационных систем с последующей оценкой возможности их использования нарушителем для реализации угроз безопасности информации, приводящих к возникновению негативных последствий. Проверки включают анализ защищенности от несанкционированного доступа и утечки по техническим каналам.

2.15 Проведение измерения и оценка уровней защищенности

Измерения и оценка уровней защищенности проводятся в ходе аттестационных испытаний с помощью специальной контрольной аппаратуры и тестовых средств. Проверяется соответствие применяемого комплекса мер и средств защиты требуемому уровню безопасности информации, включая подсистемы управления доступом, регистрации и учета, обеспечения целостности и криптографическую подсистему.

2.16 Какие измерения дополнительно проводятся при использовании на объекте информатизации систем активной защиты

При использовании систем активной защиты дополнительно проводятся измерения уровня побочных электромагнитных излучений и наводок, проверка защиты от высокочастотного навязывания и облучения, электромагнитного и радиационного воздействия.

2.17 Содержание заключения аттестационной проверки объекта информатизации

Заключение аттестационной проверки содержит результаты анализа документации и аттестационных испытаний, выводы о соответствии объекта информатизации требованиям по защите информации, перечень выявленных недостатков и рекомендации по их устранению, а также заключение о возможности выдачи Аттестата соответствия.

2.18 Содержание протокола аттестационных испытаний объекта информатизации

Протоколы аттестационных испытаний включают результаты контроля защищенности, оценки эффективности защиты информации, данные измерений технических каналов утечки, проверки подсистем управления доступом, регистрации и учета, обеспечения целостности и криптографической подсистемы.

2.19 Содержание аттестата соответствия на объект информатизации

Аттестат соответствия содержит наименование объекта информатизации, класс защищенности информационной системы или категорию значимого объекта, наименование владельца объекта, требования по защите информации, на соответствие которым проводилась аттестация, и дает право обработки информации с определенным уровнем секретности или конфиденциальности на установленный период времени.

2.20 Ответственность за выполнение установленных условий функционирования аттестованного объекта информатизации

Владелец аттестованного объекта информатизации обеспечивает поддержку его безопасности путем реализации требований по защите информации в ходе эксплуатации и проведения периодического контроля уровня защиты информации не реже одного раза в 2 года. Непредставление протоколов контроля является основанием для приостановления действия аттестата соответствия. Органы по аттестации несут ответственность за выполнение возложенных на них функций и обеспечение сохранности государственных и коммерческих секретов.
Цель практического занятия, заключавшаяся в закреплении теоретических знаний по вопросам аттестации объектов информатизации по требованиям безопасности информации, достигнута в полном объеме. В ходе выполнения работы изучена организационная структура системы аттестации, включающая ФСТЭК России, органы по аттестации, испытательные центры и заявителей. Рассмотрены виды аттестации (обязательная и добровольная), определены объекты информатизации, подлежащие обязательной аттестации. Усвоены функции каждого участника системы аттестации, порядок проведения аттестации и контроля, а также перечень необходимой документации. Изучены содержание и назначение технического паспорта объекта информатизации, протоколов аттестационных испытаний, заключения аттестационной проверки и аттестата соответствия. Полученные знания позволяют правильно организовать процесс аттестации объектов информатизации и обеспечить выполнение требований нормативных документов по защите информации
Больше возможностей при регистрации:
