|
|
@@ -0,0 +1,92 @@
|
|
|
+
|
|
|
+# Проведение аттестации объектов информатизации
|
|
|
+
|
|
|
+Одна из первоочередных задач организаций в современном мире — защищать используемые данные, объемы которых в условиях тотальной информатизации постоянно увеличиваются. Подтвердить эффективность защиты объектов информатизаци позволяет аттестация, по результатам которой выдается аттестат соответствия требованиям безопасности информации. Подобную услугу имеют право предоставлять только специальные предприятия с разрешительными документами и большим опытом.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+**Аттестация объектов информатизации** – это комплекс организационно-технических мероприятий, в результате которых посредством аттестата соответствия подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.
|
|
|
+
|
|
|
+**Аттестат соответствия** – это документ, который подтверждает, что автоматизированная информационная система соответствует требованиям безопасности информации, а также дает право определенное время обрабатывать конфиденциальную информацию.
|
|
|
+
|
|
|
+При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
|
|
|
+
|
|
|
+Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
|
|
|
+
|
|
|
+**Необходимость в прохождении проверки и получении аттестата возникает в таких случаях:**
|
|
|
+
|
|
|
+1. Если это предусмотрено законодательством (федеральными или муниципальными нормативно-правовыми актами). Аттестат соответствия требованиям безопасности информации необходим при лицензировании отдельных видов деятельности, а также без него не обойтись организациям, которые имеют дело со сбором, обработкой и хранением данных государственных ИС.
|
|
|
+
|
|
|
+2. По инициативе владельца объекта информатизации, заинтересованного в независимой экспертизе или при планировании модернизации систем информационной защиты. Также аттестацию проводят для подтверждения тех или иных функциональных параметров работы элементов инфраструктуры.
|
|
|
+
|
|
|
+**Обязательной аттестации подлежат:**
|
|
|
+
|
|
|
+1. Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну;
|
|
|
+
|
|
|
+2. Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом;
|
|
|
+
|
|
|
+3. Государственные информационные системы.
|
|
|
+
|
|
|
+Аттестация проводится органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну) или организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера и аттестации государственных информационных систем).
|
|
|
+
|
|
|
+# Подготовка к проведению аттестации
|
|
|
+
|
|
|
+До начала проведения работ по аттестации заказчиком проверяется соответствие принятых организационных и технических мер защиты информации нормативно-правовым актам Российской Федерации, а также достаточность принимаемых организационных мер, отражаемых в организационно-распорядительной документации.
|
|
|
+
|
|
|
+**В рамках работ по подготовке объекта информатизации к аттестации необходимо:**
|
|
|
+
|
|
|
+1. Разработать комплект организационно-распорядительной документации, регламентирующей защиту конфиденциальной информации, и технический проект;
|
|
|
+
|
|
|
+2. Утвердить ОРД;
|
|
|
+
|
|
|
+3. Внедрить систему защиты информации;
|
|
|
+
|
|
|
+4. Подать заявку на аттестацию.
|
|
|
+
|
|
|
+**Подготовка включает:**
|
|
|
+
|
|
|
+**1) Экспресс-обследования информационной системы:**
|
|
|
+
|
|
|
+ 1. Анализ полноты и содержания организационно-распорядительной, эксплуатационной и технической документации на систему защиты информации информационной системы;
|
|
|
+ 2. Экспертную оценку полноты и достаточности реализованных технических и организационных мер по защите информации для нейтрализации актуальных угроз безопасности информации.
|
|
|
+
|
|
|
+**2) Разработки рекомендаций по соответствию требованиям по защите информации и их выполнения:**
|
|
|
+
|
|
|
+ 1. Разработка рекомендаций по внедрению организационных мер по защите информации;
|
|
|
+ 2. Разработка (доработка) технических решений по защите информации;
|
|
|
+ 3. Внесение необходимых изменений и доработка организационно-распорядительной, эксплуатационной и технической документации на систему защиты информации.
|
|
|
+
|
|
|
+Перечень проводимых работ может быть расширен в соответствии с работами по обследованию информационной системы.
|
|
|
+
|
|
|
+**Порядок проведения аттестации объектов информатизации:**
|
|
|
+
|
|
|
+1) Подача заявки на рассмотрение и проведение аттестации.
|
|
|
+
|
|
|
+2) Анализ исходных данных по аттестуемому объекту информатизации.
|
|
|
+
|
|
|
+3) Проведение предварительного специального обследования аттестуемого объекта информатизации.
|
|
|
+
|
|
|
+4) Разработка программы и методики аттестационных испытаний.
|
|
|
+
|
|
|
+5) Заключение договоров на аттестацию.
|
|
|
+
|
|
|
+6) Испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.
|
|
|
+
|
|
|
+7) Проведение специальных проверок на наличие возможно внедренных электронных устройств перехвата информации.
|
|
|
+
|
|
|
+8) Проведение аттестационных испытаний объекта информатизации.
|
|
|
+
|
|
|
+9) Оформление, регистрацию и выдачу «Аттестата соответствия».
|
|
|
+
|
|
|
+10) Осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации.
|
|
|
+
|
|
|
+11) Рассмотрение апелляций.
|
|
|
+
|
|
|
+Получив аттестат соответствия требованиям безопасности, заказчики могут быть уверенными в том, что предпринятые ими меры сохранения конфиденциальности данных являются эффективными. Кроме того, наличие аттестата позволяет не опасаться проверки объектов информационной инфраструктуры контролирующими органами.
|
|
|
+
|
|
|
+# Список литературы
|
|
|
+
|
|
|
+1. https://it-security.admin-smolensk.ru/zinfo/attestat/
|
|
|
+2. https://ib.iitrust.ru/podgotovka-attestatsiy-objectov/
|
|
|
+3. http://www.saomega.ru/attestatsiya-obektov-informatizatsii/poryadok-provedeniya-attestatsii-ob-ektov-informatizatsii
|
|
|
+4. https://data-sec.ru/services/confidential/attestation/
|
ypv
