3.3. Аттестация на соответствие требованиям по защите информации
Аттестация объекта информатизации (ОИ) – это завершающий этап работ по внедрению средств ИБ, призванный подтвердить соответствие объекта требованиям нормативных документов регулирующих органов в сфере защиты информации. Аттестация проводится в виде комплекса организационно-технических мероприятий, по результатам которых выдается «Аттестат соответствия» тем или иным требованиям и нормативам, на соответствие которым она проводится. Аттестация позволяет проверить и подтвердить действительную степень защищенности ИС, успешность выполненного проекта внедрения средств ИБ, а также соответствие защищенности информации нормативам. В 15-20% случаев на этом этапе удается выявить и исправить недоработки, которые могли бы привести к нежелательным и опасным последствиям.
Аттестация может быть как добровольная, так и обязательная. Добровольная – проводится по инициативе владельца ОИ и служит для подтверждения его соответствия определенным нормативам и требованиям по безопасности информации в случаях, когда требуется либо подтверждение функциональных показателей, либо независимая экспертная оценка. Обязательная – проводится для ОИ в случаях, установленных федеральным законодательством РФ и правовыми актами уполномоченных контролирующих органов. Так, обязательной аттестации подлежат ОИ, предназначенные для обработки сведений, представляющих государственную тайну, государственные и муниципальные ИС и пр. Также, аттестация является обязательной при подготовке к получению лицензий на определенные виды деятельности.
Мероприятия предусматривают комплексную проверку защищаемого ОИ в реальных условиях эксплуатации, в ходе которой выполняются все необходимые виды работ. Аттестация охватывает весь спектр объектов, подлежащих контролю соответствия требованиям:
Информационные системы
Рабочие места, оснащенные средствами автоматизации
Сети передачи данных
Помещения
Проводится аттестация ОИ на соответствие:
Требованиям по защите персональных данных
Требованиям по защите государственных информационных систем
Требованиям по защите конфиденциальной информации
Требованиям, предъявляемым к ИС, обрабатывающим информацию, составляющую государственную тайну
Виды выполняемых работ при проведении аттестации ОИ:
Определение перечня ОИ, подлежащих аттестации, категорирование и классификация
Анализ и оценка исходных данных и документации по защите информации на ОИ, оценка правильности категорирования
Проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации ОИ
Разработка документации (включая как паспорта ОИ, так и организационно-распорядительную документацию) на ОИ, подготавливаемые к аттестационным испытаниям
Проверка технологического процесса хранения и обработки информации, определение возможных каналов утечки информации и разработка перечня мероприятий по их исключению
Оценка соответствия помещений, в которых установлены ОИ предъявляемым требованиям, включая, при необходимости, специальную проверку на наличие внедренных устройств перехвата информации
Оценка уровня подготовки персонала
При необходимости, проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации)
Подготовка и утверждение программы и методики проведения аттестационных испытаний
Проведение аттестационных испытаний, включая отдельные технические и программные средства, инженерное, ИТ-оборудование и др.
Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от несанкционированного доступа и утечки по техническим каналам
Подготовка отчетной документации (протоколов испытаний, заключения по результатам аттестационных испытаний)
Выдача, при условии положительного заключения, «Аттестата соответствия»
Анализ результатов аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации
Аттестационные испытания завершаются оформлением Заключения по результатам аттестационных испытаний с краткой оценкой соответствия объекта информатизации по безопасности информации, конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации, а также выводом о возможности выдачи «Аттестата соответствия».
К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
В случае положительного заключения по результатам аттестационных испытаний, выдается Аттестат соответствия объекта информатизации требованиям по безопасности информации.
Срок действия аттестата соответствия составляет 3 года, в течение которых владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
Do'stlaringiz bilan baham: |