Киберправо и киберэтика


Аттестация на соответствие требованиям по защите информации



Download 1,84 Mb.
bet19/97
Sana06.07.2022
Hajmi1,84 Mb.
#752104
TuriУчебное пособие
1   ...   15   16   17   18   19   20   21   22   ...   97
Bog'liq
учебное пособие (2)

3.3. Аттестация на соответствие требованиям по защите информации
Аттестация объекта информатизации (ОИ) – это завершающий этап работ по внедрению средств ИБ, призванный подтвердить соответствие объекта требованиям нормативных документов регулирующих органов в сфере защиты информации. Аттестация проводится в виде комплекса организационно-технических мероприятий, по результатам которых выдается «Аттестат соответствия» тем или иным требованиям и нормативам, на соответствие которым она проводится. Аттестация позволяет проверить и подтвердить действительную степень защищенности ИС, успешность выполненного проекта внедрения средств ИБ, а также соответствие защищенности информации нормативам. В 15-20% случаев на этом этапе удается выявить и исправить недоработки, которые могли бы привести к нежелательным и опасным последствиям.
Аттестация может быть как добровольная, так и обязательная. Добровольная – проводится по инициативе владельца ОИ и служит для подтверждения его соответствия определенным нормативам и требованиям по безопасности информации в случаях, когда требуется либо подтверждение функциональных показателей, либо независимая экспертная оценка. Обязательная – проводится для ОИ в случаях, установленных федеральным законодательством РФ и правовыми актами уполномоченных контролирующих органов. Так, обязательной аттестации подлежат ОИ, предназначенные для обработки сведений, представляющих государственную тайну, государственные и муниципальные ИС и пр. Также, аттестация является обязательной при подготовке к получению лицензий на определенные виды деятельности.
Мероприятия предусматривают комплексную проверку защищаемого ОИ в реальных условиях эксплуатации, в ходе которой выполняются все необходимые виды работ. Аттестация охватывает весь спектр объектов, подлежащих контролю соответствия требованиям:

  • Информационные системы

  • Рабочие места, оснащенные средствами автоматизации

  • Сети передачи данных

  • Помещения

Проводится аттестация ОИ на соответствие:

  • Требованиям по защите персональных данных

  • Требованиям по защите государственных информационных систем

  • Требованиям по защите конфиденциальной информации

  • Требованиям, предъявляемым к ИС, обрабатывающим информацию, составляющую государственную тайну




Виды выполняемых работ при проведении аттестации ОИ:

  1. Определение перечня ОИ, подлежащих аттестации, категорирование и классификация

  2. Анализ и оценка исходных данных и документации по защите информации на ОИ, оценка правильности категорирования

  3. Проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации ОИ

  4. Разработка документации (включая как паспорта ОИ, так и организационно-распорядительную документацию) на ОИ, подготавливаемые к аттестационным испытаниям

  5. Проверка технологического процесса хранения и обработки информации, определение возможных каналов утечки информации и разработка перечня мероприятий по их исключению

  6. Оценка соответствия помещений, в которых установлены ОИ предъявляемым требованиям, включая, при необходимости, специальную проверку на наличие внедренных устройств перехвата информации

  7. Оценка уровня подготовки персонала

  8. При необходимости, проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации)

  9. Подготовка и утверждение программы и методики проведения аттестационных испытаний

  10. Проведение аттестационных испытаний, включая отдельные технические и программные средства, инженерное, ИТ-оборудование и др.

  11. Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от несанкционированного доступа и утечки по техническим каналам

  12. Подготовка отчетной документации (протоколов испытаний, заключения по результатам аттестационных испытаний)

  13. Выдача, при условии положительного заключения, «Аттестата соответствия»

  14. Анализ результатов аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации


Аттестационные испытания завершаются оформлением Заключения по результатам аттестационных испытаний с краткой оценкой соответствия объекта информатизации по безопасности информации, конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации, а также выводом о возможности выдачи «Аттестата соответствия».
К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
В случае положительного заключения по результатам аттестационных испытаний, выдается Аттестат соответствия объекта информатизации требованиям по безопасности информации.
Срок действия аттестата соответствия составляет 3 года, в течение которых владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.

Download 1,84 Mb.

Do'stlaringiz bilan baham:
1   ...   15   16   17   18   19   20   21   22   ...   97




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish