Загрузка данных

Учебные вопросы

1. Система аттестации объектов информатизации по требованиям безопасности информации это совокупность организационных структур, нормативных и методических документов, а также технических мероприятий, направленных на подтверждение того, что на конкретном объекте обеспечены условия для безопасной обработки защищаемой информации и реализованная система защиты соответствует установленным нормам.
2. Аттестация подразделяется на обязательную и добровольную. Обязательная аттестация проводится для объектов, обрабатывающих сведения, составляющие государственную тайну, служебную информацию ограниченного распространения, а также для значимых объектов критической информационной инфраструктуры. Добровольная аттестация проводится по инициативе владельца объекта для независимого подтверждения уровня защищённости.
3. ФСТЭК России устанавливает порядок аттестации, правила и методические документы, аккредитует органы по аттестации и испытательные лаборатории, ведёт государственный реестр выданных аттестатов и осуществляет государственный контроль за соблюдением требований. Органы по аттестации принимают заявки, формируют комиссии, утверждают программы и методики испытаний, проводят оценку, выдают аттестаты, приостанавливают или аннулируют их действие и проводят инспекционный контроль.
4. Испытательные лаборатории проводят инструментальные измерения побочных электромагнитных излучений и наводок, выполняют специальные проверки и исследования, оформляют протоколы испытаний и заключения. Заявители подают заявку, предоставляют документацию на объект, обеспечивают доступ комиссии, внедряют требуемые меры защиты, оплачивают работы и соблюдают условия эксплуатации, указанные в аттестате.
5. Порядок аттестации начинается с подачи заявителем заявки в орган по аттестации. Затем проводится предварительное ознакомление с объектом. На основе исходных данных разрабатывается и утверждается программа и методика испытаний. Комиссия проводит испытания, включающие проверку документации, специальные обследования, исследования и измерения. По итогам оформляются протоколы и заключение, после чего выдаётся аттестат. Контроль осуществляется в виде плановых и внеплановых проверок в течение всего срока действия аттестата.

Контрольные вопросы

1. Аттестация объекта информатизации по требованиям безопасности информации это комплекс организационных и технических мероприятий, подтверждающих соответствие объекта установленным требованиям и наличие условий для безопасной обработки защищаемой информации.
2. Организационную структуру системы аттестации образуют федеральный орган в лице ФСТЭК России, органы по аттестации, испытательные лаборатории и центры, а также заявители, являющиеся владельцами объектов информатизации.
3. Существует два вида аттестации. Обязательная аттестация и добровольная аттестация. Обязательная проводится в случаях, установленных законодательством, добровольная по инициативе владельца объекта.
4. Обязательной аттестации подлежат объекты, обрабатывающие сведения, составляющие государственную тайну, объекты, обрабатывающие иную информацию ограниченного доступа, значимые объекты критической информационной инфраструктуры, а также объекты, определённые нормативными актами ФСТЭК России.
5. ФСТЭК России устанавливает единый порядок аттестации, аккредитует органы по аттестации и испытательные лаборатории, утверждает нормативные и методические документы, ведёт государственный реестр аттестованных объектов, осуществляет государственный контроль и надзор за соблюдением правил аттестации.
6. Органы по аттестации принимают и рассматривают заявки, формируют состав комиссии, утверждают программу и методику аттестационных испытаний, организуют и проводят аттестацию, принимают решение о выдаче аттестата, приостанавливают или аннулируют его действие, а также осуществляют инспекционный контроль.
7. Заявители подают заявку на аттестацию, предъявляют объект и всю необходимую документацию, обеспечивают условия работы комиссии, реализуют меры защиты, оплачивают расходы и несут ответственность за соблюдение условий эксплуатации аттестованного объекта.
8. Порядок аттестации включает подачу заявки, предварительное ознакомление с объектом, разработку и утверждение программы и методики испытаний, проведение аттестационных испытаний, оформление протоколов и заключения, принятие решения о выдаче или отказе в выдаче аттестата и выдачу аттестата соответствия.
9. Программа аттестационных испытаний разрабатывается на основе анализа исходных данных об объекте, включающих технический паспорт, акт категорирования, модель угроз безопасности информации, схему инженерно-технической защиты и перечень используемых технических средств.
10. Аттестационные испытания проводятся комиссией на реальном объекте по утверждённой программе и включают проверку организационных мер, анализ технической документации, инструментальные измерения побочных излучений и наводок, проверку настроек средств защиты от несанкционированного доступа, специальные исследования и оформление результатов.
11. Органу по аттестации представляется следующая документация: акт категорирования объекта, технический паспорт, модель угроз безопасности информации, разрешительные документы на эксплуатацию, заключения специальных проверок и исследований, протоколы измерений и иные документы, предусмотренные программой.
12. Технический паспорт объекта информатизации это документ, содержащий основные сведения об объекте. Он включает наименование и назначение объекта, его размещение, состав технических средств, схему инженерных коммуникаций, условия эксплуатации и класс защищённости.
13. Содержание специального исследования аттестуемого объекта заключается в выявлении технических каналов утечки информации, включая побочные электромагнитные излучения, наводки в посторонних цепях, акустоэлектрические преобразования, а также в проверке отсутствия недекларированных возможностей в программном обеспечении и оборудовании.
14. Цель специальных обследований и проверок заключается в выявлении реальных угроз безопасности информации на конкретном объекте. Содержание включает проверку выполнения организационных мероприятий, корректность настройки средств защиты от несанкционированного доступа, контроль отсутствия закладочных устройств и анализ защищённости цепей электропитания и заземления.
15. Измерение и оценка уровней защищённости проводятся путём инструментального контроля уровней побочных электромагнитных излучений и наводок в токопроводящих коммуникациях. Полученные значения сравниваются с нормативными показателями, после чего делается вывод о достаточности реализованной защиты.
16. При использовании на объекте систем активной защиты дополнительно проводятся измерения эффективности этих систем. Измеряется уровень сигнала и шума в контрольной зоне сначала при выключенной системе, а затем при включённой системе активной защиты для оценки реального зашумления.
17. Заключение аттестационной проверки содержит выводы комиссии о полноте и достаточности реализованных мер защиты, о соответствии объекта установленным требованиям безопасности информации и о возможности или невозможности выдачи аттестата соответствия.
18. Протокол аттестационных испытаний фиксирует ход испытаний, условия их проведения, применявшиеся методики и средства измерений, результаты всех проверок и измерений по каждому пункту программы, а также выявленные недостатки.
19. Аттестат соответствия на объект информатизации содержит номер, срок действия, наименование объекта и его владельца, перечень разрешённых к эксплуатации технических средств, условия функционирования, класс защищённости и подпись руководителя органа по аттестации.
20. Ответственность за выполнение установленных условий функционирования аттестованного объекта возлагается на заявителя, то есть на руководителя организации, эксплуатирующей данный объект информатизации. Вот заключение, можно использовать как итоговый ответ или вывод по всему занятию.

Заключение по теме

В ходе изучения темы аттестации объектов информатизации по требованиям безопасности информации установлено, что аттестация представляет собой завершающий этап создания системы защиты объекта и является обязательным условием для начала обработки защищаемой информации. Она подтверждает, что объект полностью готов к эксплуатации, а реализованные меры защиты организационного и технического характера соответствуют нормативным требованиям.

Система аттестации имеет чёткую организационную структуру, включающую федеральный орган в лице ФСТЭК России, органы по аттестации, испытательные лаборатории и заявителей. Каждый элемент этой структуры выполняет строго определённые функции, что обеспечивает объективность и независимость процедуры. ФСТЭК России задаёт единые правила и контролирует их исполнение, органы по аттестации непосредственно проводят аттестацию, испытательные лаборатории выполняют инструментальные измерения и специальные исследования, а заявители обеспечивают внедрение и соблюдение мер защиты.

Аттестация подразделяется на обязательную и добровольную. Обязательной подлежат объекты, обрабатывающие государственную тайну, иные сведения ограниченного доступа, а также значимые объекты критической информационной инфраструктуры. Порядок аттестации строго регламентирован и включает этапы от подачи заявки до выдачи аттестата соответствия с последующим инспекционным контролем.

Важнейшим элементом аттестации является проведение специальных исследований, в ходе которых выявляются технические каналы утечки информации, побочные излучения, наводки, а также проверяется отсутствие закладочных устройств и недекларированных возможностей. Результаты испытаний фиксируются в протоколах, на основании которых оформляется заключение и принимается решение о выдаче аттестата.

Итоговым документом является аттестат соответствия, который содержит условия эксплуатации объекта, перечень разрешённых технических средств и класс защищённости. Ответственность за соблюдение условий функционирования аттестованного объекта полностью возлагается на заявителя.

Таким образом, аттестация объектов информатизации является ключевым механизмом обеспечения безопасности информации, позволяющим гарантировать, что обработка защищаемых данных осуществляется в контролируемой и безопасной среде.