|
|
@@ -0,0 +1,58 @@
|
|
|
+# Аттестация объектов информатизации по требованиям безопасности информации
|
|
|
+
|
|
|
+ **Аттестация объектов информатизации** – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" - подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
|
|
|
+
|
|
|
+Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в "Аттестате соответствия".
|
|
|
+
|
|
|
+# Объектами информатизации могут являться:
|
|
|
+
|
|
|
+-технические устройства для приема, передачи и обработки защищаемой информации (устройства звуко- и видеозаписи, телефония, переговорные и телевизионные устройства и т.д.);
|
|
|
+-различные автоматизированные системы (АС) и АРМ;
|
|
|
+-локальные и распределенные вычислительные сети, в т. ч. с подключением к открытым сетям информационного обмена;
|
|
|
+-средства создания и копирования документов;
|
|
|
+-выделенные помещения для организации переговоров.
|
|
|
+
|
|
|
+Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
|
|
|
+
|
|
|
+При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
|
|
|
+
|
|
|
+Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
|
|
|
+
|
|
|
+Органы по аттестации аккредитуются ФСТЭК России. Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
|
|
|
+
|
|
|
+Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.
|
|
|
+
|
|
|
+# В рамках аттестации специалистами АО «РНТ» осуществляются следующие работы:
|
|
|
+
|
|
|
+
|
|
|
+-анализ исходных данных по аттестуемому объекту информатизации;
|
|
|
+-предварительное ознакомление с аттестуемым объектом информатизации;
|
|
|
+-проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки -зрения ее соответствия требованиям нормативной и методической документации;
|
|
|
+-проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
|
|
|
+-проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
|
|
|
+-анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации, подготовка отчетной документации -(протоколов, заключений) и выдача Аттестата соответствия (при положительном заключении);
|
|
|
+-периодический контроль и дополнительная проверка эффективности системы защиты объекта информатизации.
|
|
|
+
|
|
|
+# Зачем нужна аттестация объектов информатизации
|
|
|
+Как было указано выше, цель аттестации — оценить и подтвердить соответствие системы защиты информации требованиям безопасности данных. Эти меры позволяют выявлять слабые места, защищать информацию от утечки и несанкционированного доступа и дает право обрабатывать конфиденциальную информацию.
|
|
|
+Согласно нормативным актам аттестация может быть добровольный. Для этого необходимо обратиться в организацию для проведения аттестации объектов информатизации, и заключить с ней соответствующий договор. Однако в некоторых случаях обязательная аттестация может быть необходима:
|
|
|
+
|
|
|
+ При обработке информации муниципальных и государственных информационных систем (ГИС).
|
|
|
+ При обработке информации, подпадающей под государственную тайну
|
|
|
+ При обработке конфиденциальной информации (кроме коммерческой тайны – для неё аттестация необязательна).
|
|
|
+ Для получения лицензий на определенный вид деятельности.
|
|
|
+Основные нюансы
|
|
|
+
|
|
|
+Очень важно отличать государственные информационные системы от всех остальных, ведь разные объекты требуют разных мер. Несоблюдение соответствующих требований может повлечь за собой административную и уголовную ответственность. В первую очередь нужно иметь в виду, что ГИС предназначены для реализации полномочий госорганов и обеспечения обмена информации между ними.
|
|
|
+
|
|
|
+Чтобы избежать недоразумений в определении системы, необходимо всегда сверяться с требованиями ФСТЭК (регулятором аттестации объектов информатизации) и законодательством РФ.
|
|
|
+
|
|
|
+
|
|
|
+# Вопросы
|
|
|
+1. Что такое Аттестация объектов информатизации по требованиям безопасности информации ?
|
|
|
+2. Что является объектами информатизации
|
|
|
+3. Зачем нужна аттестация объектов информатизации
|
|
|
+# Список использованной литературы
|
|
|
+1.https://is.astral.ru/services/zashchita-informatsii/attestaciya-obektov-informatizacii/#2
|
|
|
+2.https://irsural.ru/nashi-uslugi/zashchita-gosudarstvennoy-tayny/attestaciya-obektov-informatizacii/#:~:text=%D0%90%D1%82%D1%82%D0%B5%D1%81%D1%82%D0%B0%D1%86%D0%B8%D1%8F%20%D0%BE%D0%B1%D1%8A%D0%B5%D0%BA%D1%82%D0%BE%D0%B2%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8%20%E2%80%93%20%D1%8D%D1%82%D0%BE%20%D0%BA%D0%BE%D0%BC%D0%BF%D0%BB%D0%B5%D0%BA%D1%81,%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D1%85%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%B2%20%D0%BF%D0%BE%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8.
|
|
|
+3.https://is.astral.ru/services/zashchita-informatsii/attestaciya-obektov-informatizacii/
|
ypv