Domů Procházet Nápověda
Přihlásit se
u21-25sivolobova
/
TZI
rozštěpen z ypv/TZI
1
0
Rozštěpit 0
Soubory
Strom: d245b827ba
Větve Značky
TZI
/
Лекции
/
ПМ3.1
/
5.2.600_Проведение_аттестации_объектов_информатизации
/
REAMDE.md

REAMDE.md 31 KB
Historie Surový

Аттестация объектов информатизации

Постоянное совершенствование методов несанкционированного доступа к информации, а также значительный ущерб от такого рода действий привели к целенаправленному и систематическому совершенствованию технологий обеспечения информационной безопасности и механизмов реагирования. Для некоторых объектов информатизации оценка защищенности и соответствия их установленным законом требованиям происходит путем аттестации.

Зачастую термин «аттестация» истолковывается неверно: под этим определением многие подразумевают подготовку/защиту информационной системы, либо аттестационные испытания. Аттестация характеризуется рядом мероприятий, после прохождения которых выдаётся документ – «Аттестат соответствия». Он является документарным доказательством, подтверждающим, что ваша система имеет полное соответствие действующим правилам и стандартам в сфере безопасности информации. Кроме того, аттестация может быть добровольной, при выполнении которой можно руководствоваться требованиями заявителя.

Чтобы понимать принципы и порядок проведения аттестации, в первую очередь, следует рассмотреть документы, направленные на сам процесс аттестации (положения, стандарты), а также внимательно изучить требования ФСТЭК для соответствующего типа объекта информатизации.

В области проведения аттестации, касающейся объектов информатизации, действует ряд актов нормативного характера. К таким нормативным актам относится «Положение по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. и «ГОСТ РО 0043-003-2012 Аттестация объектов информатизации. Общие положения» от 17.04.2012 г.

При проведении проверки оформляется ряд документов по аттестационным испытаниям, а именно программа и методики.

Оценка соответствия подразумевает определение соответствия всех применяемых средств защиты объекта. Среди прочего, учитываются и его эксплуатационные условия.

Кому может понадобиться?

Действующими на территории РФ нормативными актами определено, что аттестация может быть как добровольный, так и обязательной. Последняя необходима в следующих случаях:

• При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).

• При обработке информация, которая относится к информации ограниченного доступа (для коммерческой тайны – обязательных аттестационных испытаний нет). • Если системы используются для управления объектами, представляющими экологическую опасность.

• Для лицензирующей деятельности, которая касается предоставления лицензий.

Остальные случаи не требуют обязательной аттестации: её можно провести добровольно. Для этого следует обратиться в организацию, производящий такую аттестацию, и заключить с ним соответствующий договор. Обычно основной целью добровольной аттестации выступает получение официального документа, подтверждающего полное соответствие уровня систем и средств защиты информации существующим стандартам.

Важно помнить, что ИС разных типов и классов должны соответствовать разным требованиям. Несоблюдение соответственных требований может повлечь за собой ответственность. Действующее законодательство подразумевает разный спектр санкций в этом вопросе. В некоторых случаях это штрафы, в других возможна и уголовная ответственность.

Порой случаются недоразумения, когда информационную систему по ошибке причисляют к ГИСам. Это приводит к применению излишних мер зашиты системы. Чтобы избежать такой ошибки, стоит проводить следующие действия:

• Выяснить, существует ли нормативный акт, требующий создания ИС.

• Проверить, создается ли она с целью обмена информацией или для реализации полномочий госоргана. Цель создания может быть также определена ФЗ.

• Определить, является ли информационное наполнение документированной информация, предоставляемой физлицами, организациями, госорганам или органами местного самоуправления.

Аттестация ГИС: подготовка, порядок действий, нововведения

Начать рассмотрение вопроса аттестации государственных информационных систем (ГИС) нужно с Постановления Правительства РФ № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».

Сначала оформляется приказ о необходимости защиты информации в ГИС и акт ее классификации. Также разрабатываются модель угроз и модель нарушителя, а еще техзадание на систему защиты информации (далее - СЗИ).

Следующие действия предполагают создание технического проекта и эксплуатационной документации на СЗИ, при надобности проводится макетирование и тестирование такой системы. Техпроект должен состоять из документов, определенных соответствующими ГОСТами, либо документов, определенных Заказчиком в ТЗ.

В ходе практической части работ закупаются (с последующей установкой и настройкой) средства защиты информации и проводится ряд сопутствующих мероприятий. Так, должна быть разработана документация организационно-распорядительного характера, реализованы меры защиты информации, определены уязвимости ГИС. Завершается этот этап предварительными испытаниями, опытной эксплуатацией, приемочными испытаниями СЗИ.

На завершающем этапе оценивается организационно-распорядительная, эксплуатационная документация и условия работы ГИС, анализируются ее уязвимости и испытывается СЗИ. Процесс и результаты отображаются в соответствующих документах: программе, методике и протоколе испытаний, заключении и аттестате соответствия.

Определение класса ГИС ГИС присваивается один из трех классов защищенности, основанных на масштабе ГИС и важности информации, которая в ней обрабатывается.

Порядок определения класса можно прочитать в приложении 1 приказа ФСТЭК №17. Оператор выясняет размер ущерба, который может быть нанесен владельцу информации, чтобы определиться с уровнем значимости информации. Также выясняется масштаб ГИС (может быть федеральным, региональным, объектовым). результирующим документом является акт классификации ГИС.

Готовимся к аттестации Остановимся подробнее на важных моментах подготовки к аттестации ГИС, придерживаясь описанной выше схемы.

Итак. Начать рассмотрение вопроса нужно с обследования ГИС, по итогу которого составляется акт. Далее определяются требования к защите информации с утверждением техзадания.

На стадии проектирования разрабатывается частный техпроект и эксплуатационная документация (как использовать средства защиты информации в зависимости от роли пользователя) на СЗИ в составе ГИС, макетируется и тестируется СЗИ (предполагается использование тестового стенда, средств защиты и моделирования реальных условий эксплуатации ГИС).

Продолжаем мероприятия согласно порядку. Закупаются (плюс установка и настройка) сертифицированные СЗИ, формируется пакет документации организационно-распорядительного характера (по защите информации и режимным мерам), осуществляются организационные мероприятия по защите информации. Также надо проанализировать уязвимости ГИС, на базе этого составляется программа, методика, протокол и заключение испытаний. Ну а дальше черед предварительных испытаний, опытной эксплуатации и приемочных испытаний СЗИ в составе ГИС.

Обращаем ваше внимание на некоторые новшества приказа ФСТЭК №17:

• Обязательная «сертифицированность» средств защиты, в т.ч. маршрутизаторы.

• Должностные лица, проектировавшие и внедрявшие СЗИ, не имеют права проводить аттестацию.

• Перечень классов защищенности СЗИ ограничиваются только тремя.

• Любой класс СЗИ требует принятия мер защиты информации.

• Необходимо использовать банк данных угроз (bdu.fstec.ru). Соответственно, отсутствие уязвимостей из названного банка необходимо подтверждать во время аттестационных испытаний ГИС.

Выбор техсредств защиты ГИС Зная класс защищенности ГИС, можно выбрать класс СЗИ для применения. Например, если имеется 3 класс защищенности, тогда требуются средства защиты информации 6 класса, а средства вычислительной техники – не ниже 5 класса (п. 26 приказа ФСТЭК №17).

Искать средства защиты следует в реестре сертифицированных средств защиты информации. Условия поиска: схема сертификации «Серия», сертификат действующий. Выбор должен диктоваться ИТ-архитектурой ГИС и выводами из технического проекта на создание СЗИ ГИС.

Для того, чтобы найти средства защиты, сертифицированные по новым требованиям, можно ввести в строку поиска определенные сокращения:

• ИТ.МЭ. для межсетевых экранов. • ИТ.СДЗ. для средств доверенной загрузки. • ИТ.САВЗ. для антивирусных средств защиты. • ИТ.ОС. для операционных систем. • ИТ.СОВ. для систем обнаружения вторжений. • ИТ.СКН. для средств контроля носителей информации.

Аттестация КИИ: порядок, тонкости и лайфхаки Перво-наперво субъекту КИИ требуется классифицировать объекты КИИ, разработать систему безопасности и следить за ее работой. Среди прочего, нужно обеспечить работу спецсредств по обнаружению/предупреждению/ликвидации результатов компьютерных атак. И если такие случаи будут иметь место, то сразу сообщать о них в уполномоченный орган исполнительной власти. К слову, его представителям надо будет обеспечивать свободный доступ, оказывать помощь в ликвидации «взломов» и выявлении их причин.

Дорожну карту по выполнению ФЗ-187 можете найти здесь!

Что требует Закон Закон о безопасности КИИ (187-ФЗ) не установил четкие требования относительно аттестации объектов критической информационной инфраструктуры согласно требованиям [ФСТЭК] безопасности информации. Так, в ст. 12 и 13 говорится о проведении проверок выполнения требований нормативных актов, об оценке информации с объектов КИИ, анализе компьютерных атак, прогнозе влияния на остальные объекты КИИ.

Необходимость проведения оценки защищенности объекта КИИ в формате аттестации согласно требованиям безопасности информации отображена лишь в тексте приказа ФСТЭК № 239 от 25.12.2017. Там сказано: когда объект КИИ – ГИС, то оценка его защищенности проводится в виде аттестации по нормам приказа ФСТЭК № 17 от 11.02.2013. Остальные ситуации предполагают, что аттестацию можно проводить по желанию субъекта КИИ.

Каким образом соответствовать требованиям? Постараемся дать краткий, но полный ответ на этот вопрос. Для начала нужно категорировать объект КИИ согласно ст.7 187-ФЗ, а также постановлению Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ» от 08.02.2018.

Субъект КИИ должен отправить в ФСТЭК перечень объектов КИИ, в уполномоченный федеральный орган – форму категорирования объекта КИИ (приказ ФСТЭК № 236 от 22.12.2017). Названный орган проверит полученные сведения и внесет объект КИИ в реестр (срок 30 дней).

Когда объект КИИ эксплуатируется, владельцу нужно обеспечить безопасность информации: анализировать угрозы, планировать мероприятия защиты и противодействия, реагировать на атаки, обучать персонал.

На что обратить внимание? Направляя в ФСТЭК список объектов КИИ, желательно воспользоваться ее рекомендациями (Информационное сообщение № 240/25/3752 ФСТЭК от 24.08.2018) для быстрого принятия решения и включения в реестр.

При категорировании важно обращать внимание на положения Закона о безопасности КИИ и правила категорирования (Постановление Правительства № 127). При этом не стоит забегать вперед: только получив от уполномоченного органа подтверждение правильного категорирования и внесения объекта в реестр объектов КИИ, осуществлять меры по защите объектов КИИ.

Стоит упомянуть о возможности использования результатов предшествующей аттестации согласно приказу ФСТЭК № 17, что значительно снизит сложность подготовительных работ, а также стоимость приобретения средств защиты.

В ситуации с критической информационной инфраструктурой, моделируя угрозы, следует использовать базовую модель угроз и методику определения актуальных угроз безопасности информации в ключевых системах информинфраструктуры, утвержденные ФСТЭК 18.05.2007. С другой стороны, необходимо соблюдать приказы ФСТЭК №№ 235, 239 при условии, когда объект критической информационной инфраструктуры – автоматизированная система управления технологическими процессами.

Ну и еще один немаловажный момент – это «сертифицированность» средств защиты информации на объекте КИИ. Наивысший шанс одобрения имеют средства, имеющие сертификаты по системам ФСТЭК России и ФСБ России.

Сложности подготовки Если объект категорирован неверно, уполномоченный федеральный орган может отказаться регистрировать его в реестре КИИ. А без подтверждения о правильности категорирования и внесения в реестр КИИ официально начинать работы по защите (подготовке) объекта КИИ нельзя. Отказ может последовать и в том случае, если будут предоставлены неполные или неточные сведения об объекте.

Кроме того, необходимо внедрить множество программных и программно-аппаратных систем защиты информации, что требует наличие соответствующей компетенции обслуживающего персонала при внедрении и дальнейшем сопровождении этих систем.

Очередности осуществления мероприятий относительно подготовки к аттестации КИИ выглядит следующим образом:

Когда техзадание на создание подсистемы безопасности уже разработано, нужна подготовка модели угроз безопасности информации, проекта подсистемы безопасности, рабочая (эксплуатационная) документация на нее.

Далее следуют практические шаги: реализация организационных и технических мер по обеспечению безопасности объекта и введению его в эксплуатацию. Субъекту КИИ предстоит закупка и установка средств защиты информации, разработка соответствующей документации, проведение испытаний подсистемы безопасности с анализом уязвимостей.

А когда подготовка объекта КИИ будет полностью завершена, к проведению аттестации привлекается лицензиат ФСТЭК.

Аттестации АСУ ТП: на что обратить внимание В нормативно-правовых актах «аттестация» определяется как тестирование (проверка/контроль/испытания) объекта информатизации на соответствие установленным требованиям. А значит, аттестовывать АСУ ТП не обязательно, поскольку в составе этапов работ защиты информации в АСУ ТП, прописанном в п.12 приказа ФСТЭК № 31, аттестации нет. Однако она может проводиться в добровольном порядке, в этом случае для её проведения применяются национальные стандарты и методические рекомендации ФСТЭК России.

В целом порядок аттестации состоит из таких этапов:

• изучение объекта в предварительном порядке;

• создание методик и программы испытаний для него;

• непосредственно испытание объекта;

• проведения оформления, регистрации и последующая выдача документа о прохождении аттестации.

Во время испытаний проводится разработка следующих аттестационных документов:

• программы, а также методики проведения испытаний;

• создание протокола аттестации;

• заключения, которое создаётся по результатам прохождения аттестации; • сам аттестат соответствия.

На сегодняшний день требования для АСУ ТП закреплены в приказе № 31 ФСТЭК РФ.

Насколько обоснованы устоявшиеся мнения по вопросу аттестации по принципу типовых сегментов? Как обычно и бывает, процесс аттестации по принципу типовых сегментов воспринимается большинством людей однобоко, и общее впечатление о нем основано на устоявшихся мнениях, растиражированных во многих публикациях в интернете.

Но насколько верны умозаключения их авторов? И есть ли реальное обоснование этим мнениям? Об этом читайте дальше.

Мнение «Для аттестации всех информсистем можно по принципу типовых сегментов воспользоваться единственным аттестатом»

Это звучит реально и выполнимо, но несколько странно. Все становится на свои места после ознакомления с пунктом 17.3 Приказа Федеральной службы по техническому и экспортному контролю РФ № 17 от 11.02.2013 и ГОСТ РО 0043-003-2012

Согласно приказу, в сегментах информсистемы, на которые распространяется аттестат соответствия, (…) обеспечивается соблюдение эксплуатационной документации на систему защиты информации информсистемы и организационно-распорядительных документов по защите информации.

Таким образом, «документации» надо охватить все (то есть любые) ОИ, а это нереально. Кто и как сможет разработать документацию, охватывающую различные требования государственных регуляторов, всевозможные процессы обработки информации, да и разные типы информации, которую требуется защитить? Никто и никак.

Вопросы

  1. Для чего нужна аттестация?

    • При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).
    • Программа и методики.
    • «Аттестат соответствия»

  2. Как называется документ подтверждающий, что ваша система имеет полное соответствие действующим правилам и стандартам в сфере безопасности информации.

    • «Аттестат соответствия»
    • Программа и методики.
    • При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).

  3. Какие документы оформляются при проведении аттестационных спытаниях?

    • Программа и методики.
    • При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).
    • «Аттестат соответствия»