Аттестация объектов информатизации
Аттестация объекта информатизации по требованиям безопасности информации представляет собой комплекс организационно-технических мероприятий, в результате которых подтверждается, что на аттестационном объекте выполнены требования по безопасности информации, заданные в нормативно-технической документации, утвержденные государственными органами обеспечения безопасности информации и контролируемые при аттестации.
По окончании работ, при соблюдении всех нормативных требований, предприятию-заявителю выдается Аттестат соответствия, разрешающий обрабатывать информацию определенного уровня конфиденциальности.
Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обpаботки инфоpмации с уpовнем секpетности (конфиденциальности) и на пеpиод вpемени, установленными в "Аттестате соответствия".
Обязательной аттестации подлежат объекты информатизации, пpедназначенные для обpаботки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по тpебованиям безопасности инфоpмации пpедшествует началу обpаботки подлежащей защите информации и вызвана необходимостью официального подтвеpждения эффективности комплекса используемых на конкpетном объекте информатизации меp и сpедств защиты инфоpмации.
Пpи аттестации объекта информатизации подтвеpждается его соответствие тpебованиям по защите инфоpмации от несанкциониpованного доступа, в том числе от компьютеpных виpусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в pеальных условиях эксплуатации с целью оценки соответствия применяемого комплекса меp и сpедств защиты тpебуемому уpовню безопасности информации.
Аттестация пpоводится оpганом по аттестации в установленном законодательстовм поpядке в соответствии со схемой, выбираемой этим оpганом на этапе подготовки к аттестации из следующего основного перечня работ:
- анализ исходных данных по аттестуемому объекту информатизации;
- пpедваpительное ознакомление с аттестуемым объектом информатизации;
- проведение экспеpтного обследования объекта информатизации и анализ разработанной документации по защите инфоpмации на этом объекте с точки зpения ее соответствия тpебованиям ноpмативной и методической документации;
- пpоведение испытаний отдельных сpедств и систем защиты инфоpмации на аттестуемом объекте информатизации с помощью специальной контpольной аппаpатуpы и тестовых сpедств;
- пpоведение испытаний отдельных сpедств и систем защиты инфоpмации в испытательных центpах (лабоpатоpиях) по сеpтификации средств защиты информации по тpебованиям безопасности инфоpмации;
- пpоведение комплексных аттестационных испытаний объекта информатизации в pеальных условиях эксплуатации;
- анализ pезультатов экспеpтного обследования и комплексных аттестационных испытаний объекта информатизации и утвеpждение заключения по pезультатам аттестации.
Определения и понятия, используемые при аттестации объектов информатизации
Объект информатизации - совокупность средств информатизации вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи защищаемой информации, а также выделенные помещения.
Средства информатизации - средства вычислительной техники и связи, оргтехники, предназначенные для сбора, накопления, хранения, поиска, обработки данных и выдачи информации потребителю.
Средства вычислительной техники - электронные вычислительные машины и комплексы, персональные электронные вычислительные машины, в том числе программные средства, периферийное оборудование, устройства телеобработки данных.
Объект вычислительной техники (ВТ) - стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации к объектам вычислительной техники относятся автоматизированные системы (АС), автоматизированные рабочие места (АРМ) информационно-вычислительные центры (ИВЦ) и другие комплексы средств вычислительной техники.
К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.
Выделенное помещение (ВП) - специальное помещение, предназначенное для проведения собраний, совещаний, бесед и других мероприятий речевого характера по секретным или конфиденциальным вопросам.
Мероприятия речевого характера могут проводиться в выделенных помещениях с использованием технических средств обработки речевой информации (ТСОИ) и без них.
Техническое средство обработки информации (ТСОИ) - техническое средство, предназначенное для приема, хранения, поиска, преобразования, отображения и/или передачи информации по каналам связи.
К ТСОИ относятся средства вычислительной техники, средства и системы связи средства записи, усиления и воспроизведения звука, переговорные и телевизионные устройства, средства изготовления и размножения документов, кинопроекционная аппаратура и другие технические средства, связанные с приемом, накоплением, хранением, поиском, преобразованием, отображением и/или передачей информации по каналам связи.
Автоматизированная система (AC) - комплекс программных и технических средств, предназначенных для автоматизации различных процессов, связанных с деятельности человека. При этом человек является звеном системы.
Специальная проверка это проверка технического средства обработки информации осуществляемая с целью поиска и изъятия специальных электронных закладных устройств (аппаратных закладок).
Аттестат объекта защиты - документ, выдаваемый органом по сертификации или другим специально уполномоченным органом подтверждающий наличие на объекте защиты необходимых и достаточных условий для выполнения установленных требований и норм эффективности защиты информации.
Аттестат выделенного помещения - документ, выдаваемый органом по аттестации (сертификации) или другим специально уполномоченным органом, подтверждающий наличие необходимых условий, обеспечивающих надежную акустическую защищенность выделенного помещения в соответствии с установленными нормами и правилами.
Предписание на эксплуатацию - документ, содержащий требования по обеспечению защищенности технического средства обработки информации в процессе его эксплуатации.
Программа аттестационных испытаний - обязательный для выполнения, организационно-методический документ, устанавливающий объект и цели испытании, виды, последовательность и объем проводимых экспериментов, порядок, условия, место и сроки проведения испытаний, обеспечение и отчетность по ним, а также ответственность за обеспечение и проведение испытаний.
Методика аттестационных испытаний - обязательный для выполнения, организационно методический документ, включающий метод испытаний, средства и условия испытаний, отбор образцов, алгоритм выполнения операций. По определению одной или нескольких взаимосвязанных характеристик защищенности объекта формы представления данных и оценивания точности, достоверности результатов.
Протокол аттестационных испытаний - документ, содержащий необходимые сведения об объекте испытаний, применяемых методах, средствах и условиях испытаний, а также заключение по результатам испытаний, оформленный в установленном порядке.
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной (секретной) информации
К ОТСС могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео-, смысловой и буквенно-цифровой информации) используемые для обработки конфиденциальной (секретной) информации.
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.
К ним относятся:
- различного рода телефонные средства и системы;
- средства и системы передачи данных в системе радиосвязи;
- средства и системы охранной и пожарной сигнализации;
- средства и системы оповещения и сигнализации;
- контрольно-измерительная аппаратура;
- средства и системы кондиционирования;
- средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
- средства электронной оргтехники.
Подготовка документов по итогам аттестационных испытаний
По результатам аттестационных испытаний по различным направлениям и компонентам составляются Протоколы испытаний. На основании протоколов принимается Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями. В случае, если объект информатизации соответствует установленным требованиям по безопасности информации, на него выдается Аттестат соответствия.
Переаттестация объектов информатизации (повторная аттестация)
Переаттестация объекта информатизации производится в случае, когда на недавно аттестованном объекте были произведены изменения. К таким изменениям может быть отнесено:
- изменение категории объекта;
- изменение расположения ОТСС или ВТСС;
- замена ОТСС или ВТСС на другие;
- замена технических средств защиты информации;
- изменения в монтаже и прокладке слаботочных и соловых кабельных линии;
- несанкционированное вскрытие опечатанных корпусов ОТСС или ВТСС;
- производство ремонтно-строительных работ в выделенных помещениях и пр.
В случае необходимости переаттестации объекта информатизации повторная аттестация производятся, по упрощенной программе Упрощения заключаются, в том, что испытаниям подвергаются только элементы, подвергшиеся изменениям, (или внесенные изменения повлекли за собой изменения параметров этих элементов).