Аттестация предусматривает комплексную проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. В ходе проведения аттестации разрабатываются документы. По результатам проверки выдается аттестат соответствия.
В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала ктакого рода сведениям [2].
Для проведения аттестации заявитель представляет аттестационной комиссии следующие исходные данные и документацию:
1. Техническое задание на объект информатизации:
2. Технический паспорт на объект информатизации:
3. Приемо-сдаточную документацию на объект информатизации:
4. Акты категорирования выделенных помещений и технических средств и систем;
5. Акт классификации АС по требованиям зашиты информации;
6. Состав технических и программных средств, входящих в АС (или технических средств, расположенных в выделенном помещении);
7. Планы размещения основных и вспомогательных технических средств и систем;
8. Состав и схемы размещения средств защиты информации;
9. План контролируемой зоны предприятия (учреждения);
10. Схемы прокладки линий передачи данных;
11. Схемы и характеристики систем электропитания и заземления объекта информатизации;
12. Перечень выделенных в АС ресурсов с документальным подтверждением степени секретности каждого ресурса (или максимальной степени секретности обсуждаемых в выделенном помещении вопросов);
13. Организационно-распорядительная документация разрешительной системы доступа персонала к защищаемым ресурсам ас (обсуждаемым вопросам);
14. Описание технологического процесса обработки информации в АС;
15. Технологические инструкции пользователям АС и администратору безопасности информации;
16. Инструкции по эксплуатации средств защиты информации;
17. Предписания на эксплуатацию технических средств и систем;
18. Протоколы специальных исследований технических средств и систем;
19. Акты или заключения о специальной проверке выделенных помещений и технических средств;
20. Сертификаты соответствия требованиям по безопасности информации на средства и системы обработки и передачи информации, используемые средства зашиты информации;
21. Данные по уровню подготовки кадров, обеспечивающих защиту информации;
22. Данные о техническом обеспечении средствами контроля эффективности зашиты информации и их метрологической поверке;
23. Нормативную и методическую документацию по защите информации и контролю эффективности зашиты.
Приведенный общий перечень исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.
На этапе аттестационных испытаний объекта информатизации: оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю над функционированием объекта информатизации [1].
На стадии ввода в действие объекта информатизации и СЗИ оформляются [2]:
- акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
- предъявительский акт к проведению аттестационных испытаний;
- заключение по результатам аттестационных испытаний.
Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи «Аттестата соответствия» и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.
К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
Протоколы испытаний подписываются экспертами — членами аттестационной комиссии, проводившими испытания.
Заключение и протоколы испытаний подлежат утверждению органом по аттестации.
При положительных результатах аттестации на объект информатизации оформляется «Аттестат соответствия» требованиям по безопасности информации.
Кроме вышеуказанной документации на предприятии оформляются приказы, указания и решения [2]:
- о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;
- о формировании группы обследования и назначении ее руководителя;
- о заключении соответствующих договоров на проведение работ;
- о назначении лиц, ответственных за эксплуатацию объекта информатизации;
- о начале обработки вАС (обсуждения в защищаемом помещении) секретной (конфиденциальной) информации.
Для объектов информатизации, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (модернизации), переоформления организационно-распорядительной, технологической и эксплуатационной документации [2].
Программа аттестационных испытаний такого рода объектов информатизации определяется аттестационной комиссией.
Необходимым условием является их соответствие действующим требованиям по защите информации [4].
Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией [2].
Порядок формирования документов
Все документы, разрабатываемые при проведении аттестации объекта информатизации, формируются в строго определенном порядке, обусловленном этапом проведения аттестации. [1] А попытки исключить какой-либо документ или поменять местами этапы приводят, как правило, к ошибкам. Поэтому рассмотрим основные этапы аттестации и закрепленные за ними документы (рис. 1).
Есть несколько этапов проведения аттестации:
1. Документы, представляемые организацией–заявителем.
2. Документы, разрабатываемые по завершению спецпроверки технических средств иностранного производства
3. Документы, разрабатываемые по завершению стендовых (лабораторных) специсследований объектов вычислительной техники или ОТСС и ВТСС (ВП).
4. Документы, разрабатываемые по завершению объектовых специсследований объекта вычислительной техники или ОТСС и ВТСС (ВП).
5. Документы, разрабатываемые при аттестационных испытаниях объекта информатизации.
6. Документы, разрабатываемые на этапе контроля состояния и эффективности защиты информации.
Рис.1. Порядок проведения аттестации
Документы, представляемые организацией–заявителем
При создании объекта информатизации выполняется ряд следующих действий, с указанием создаваемых документов [3]:
1. Устанавливается предназначение создаваемого объекта информатизации (автоматизированная система — АС, выделенное помещение — ВП).
2. Определяется максимальная степень секретности обрабатываемой или обсуждаемой информации. ДляАС — также и режимы обработки информации: однопользовательский, коллективный, права доступа пользователей, количество предполагаемых уровней конфиденциальности информации.
3. На основании информации, полученной в результате выполнения п. 2, устанавливается категория (для ВП и АС) и класс защиты (только для АС) от несанкционированного доступа (НСД). Результаты оформляются соответствующими актами.
ОВТ: Приказ «О назначении комиссии по категорированию, классификации и сопровождению аттестации объектов информатизации»; Акт категорирования объекта информатизации «АРМ»; Акт классификации автоматизированной системы (АС) объекта информатизации «АРМ».
ВП: Приказ «О назначении комиссии по категорированию и организации аттестации выделенного помещения»; Приказ «О назначении ответственных за режим секретности в выделенных помещениях»; Акт категорирования выделенного помещения.
1. Выбираются помещения для создаваемых объектов.
ОВТ: Перечень помещений, в которых проводятся секретные мероприятия, и объектов информатизации, используемых для обработки информации, составляющей государственную тайну.
ВП: Перечень помещений, в которых проводятся секретные мероприятия и объектов информатизации, используемых для обработки информации, содержащей государственную тайну.
2. Проводится их обследование. Уточняется организация электропитания, расположение и сопротивление контура заземления. В ходе проверки определяются вероятные каналы утечки информации. При необходимости может проводиться инструментальный контроль, например, качества звукоизоляции ограждающих конструкций, окон, дверей ВП.
ОВТ: Технический паспорт объекта информатизации с приложениями:
- состав технических и программных средств входящих в АС;
- план размещения АС относительно контролируемой зоны;
- план размещения ОТСС, ВТСС;
- схема прокладки линий передачи данных, цепей питания, заземления и их характеристики.
ВП: Технический паспорт на помещение категории:
- план размещения ОТСС, ВТСС, мебели установленной в ВП относительно границ контролируемой зоны;
- схема прокладки линий передачи данных, охранной и пожарной сигнализации, цепей питания и заземления ВП.
3. С учетом категории и класса ОИ, а также данных обследования осуществляется выбор и приобретение технических средств, на базе которых будет создаваться ОИ. Безусловно, при этом предпочтение должно отдаваться средствам, сертифицированным по требованиям безопасности информации или прошедшим специальные исследования и имеющим предписания на эксплуатацию.
4. В тех случаях, когда условия расположения ОИ не обеспечивают выполнение требований предписаний на эксплуатацию, выбираются дополнительные (организационные, технические, программные) средства и способы защиты информации.
5. Осуществляются установка и монтаж технических средств ОИ, в том числе средств защиты, и их настройка.
Приказ «О вводе в эксплуатацию ОВТ», с назначением ответственного за выполнение мер специальной защиты информации, администратора безопасности информации и ответственного за эксплуатацию ОВТ (после выдачи аттестата соответствия на АС).
6. Разрабатывается комплект организационно-распорядительной документации по защите информации в соответствии с СТР.
ОВТ: Организационно-распорядительная документация разрешительной системы доступа персонала к защищаемым ресурсам ОИ:
1. Перечень лиц, имеющих право самостоятельного доступа в помещение № с объектом информатизации «АРМ».
2. Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы ОИ «АРМ» и уровень их полномочий.
3. Перечень лиц, обслуживающих автоматизированную систему объектов информатизации.
4. Данные по уровню подготовки кадров, обеспечивающих защиту информации на объектах информатизации «АРМ».
5. Инструкция по обеспечению защиты секретной информации, обрабатываемой на объекте информатизации «АРМ».
6. Инструкция администратору безопасности.
7. Инструкция по антивирусному контролю.
8. Инструкция пользователю.
9. Описание технологического процесса обработки информации в автоматизированной системе объекта информатизации «АРМ».
10. Схема информационных потоков автоматизированной системы в составе объекта информатизации «АРМ».
11. Матрица доступа субъектов автоматизированной системы ОИ «АРМ» к ее защищаемым информационным ресурсам.
12. Состав программного обеспечения автоматизированной системы ОИ «АРМ».
13. Перечень защищаемых ресурсов автоматизированной системы объекта информации ОИ «АРМ» и уровень их конфиденциальности.
14. Нормативная и методическая документация по защите информации.
ВП: Организационно-распорядительная документация:
1. Список лиц, имеющих право самостоятельного доступа в помещение;
2. Данные по уровню подготовки кадров, обеспечивающих защиту информации на объектах информатизации;
3. Памятка по обеспечению режима секретности и эксплуатации оборудования в выделенном помещении;
4. Руководство по защите информации от технических разведок и от ее утечки по техническим каналам;
5. Нормативная и методическая документация по защите информации.
Документы, разрабатываемые по завершению спецпроверки технических средств иностранного производства:
- Заключение по результатам специальной проверки.
- Копия лицензии ФСБ.
- Протокол лабораторных специальных исследований средств вычислительной техники (СВТ) от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН).
- Предписание на эксплуатацию средства вычислительной техники (СВТ).
- Копия лицензии ФСТЭК России № выданной.
Документы, разрабатываемые по завершению объектовых специсследований объекта вычислительной техники:
- Протокол проверки состояния технологического процесса информации на объекте информатизации.
- Протокол проверки на соответствие организационно-техническим требованиям по защите информации.
- Протокол аттестационных испытаний объекта информатизации на соответствие требованиям по защите информации от утечки за счет ПЭМИН.
- Протокол оценки эффективности, установленных на объекте средств защиты информации.
- Предписание на эксплуатацию объекта информатизации «АРМ», размещаемого в помещении №.
- Акт установки САЗ на объекте информатизации «АРМ».
- Описание настроек системы разграничения доступа системы защиты от НСД, установленной в АС ОИ «АРМ».
Документы, разрабатываемые по завершению объектовых специсследований (ОТСС) ВТСС, датчиков охранной и пожарной сигнализации, линий связи, которые имеют выход за границы контролируемой зоны:
- Протокол контроля защищенности ВП от утечки информации по акустическому, виброакустическому, оптико-электронному каналам.
- Протокол специальных исследований (ОТСС) ВТСС, датчиков охранной и пожарной сигнализации, линий связи, которые имеют выход за границы контролируемой зоны.
- Предписание по размещению, монтажу и эксплуатации вспомогательных технических средств, установленных в выделенном помещении.
- Акт установки системы виброакустического зашумления в выделенном помещении.
- Эксплуатационная документация и сертификаты на применяемые средства защиты информации.
- Предписание на эксплуатацию вычислительной техники в целом.
Документы, разрабатываемые при аттестационных испытаниях объекта информатизации [2].
Документы, разрабатываемые при аттестационных испытаниях автоматизированной системы:
- Программа и методики аттестационных испытаний.
- Протокол испытаний на соответствие требованиям по защите информации от НСД.
- Заключение по результатам аттестационных испытании объекта информатизации на соответствие требованиям безопасности информации.
- Копия Аттестата аккредитации органа по аттестации (ФСТЭК) России Эксплуатационная документация и сертификаты на применяемые средства защиты информации.
- Аттестат соответствия по требованиям безопасности информации.
Документы, разрабатываемые при аттестационных испытаниях выделенного помещения:
- Программа и методики проведения аттестационных испытаний выделенного помещения.
- Заключение по результатам проведения аттестационных испытаний выделенного помещения, с приложением протоколов контроля эффективности защиты от утечки речевой информации.
- Копия Аттестата аккредитации органа по аттестации (ФСТЭК) России.
- Аттестат соответствия по требованиям безопасности информации.
Документы, разрабатываемые на этапе контроля состояния и эффективности защиты информации:
- Заключение по результатам контроля состояния и эффективности защиты информации на объекте, с приложением протоколов контроля.
Разработка комплекса организационно-распорядительной документации и проведение организационно-технических мероприятий позволяет подтвердить, что объект соответствует требованиям стандартов нормативно-технических документов по безопасности информации, утвержденных Федеральной службой по техническому и экспортному контролю, и получить «Аттестат соответствия», который дает право обработки информации на объекте с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия».
Литература:
1. Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено председателем Гостехкомиссии России от 25 ноября 1994 г.
2. Специальные требования и рекомендации по технической защите конфиденциальной информации (Решение Коллегии Гостехкомиссии России № 7.2/02.03.2001 г.)
3. Царегородцев А. В. Мухин И. Н. Защита информационных ресурсов предприятия: Монография. — М.: ВГНА Минфина России, 2008. — 160с.