sivolobova.md 11 KB
# Проведение аттестации объектов информатизации
Одна из первоочередных задач организаций в современном мире — защищать используемые данные, объемы которых в условиях тотальной информатизации постоянно увеличиваются. Подтвердить эффективность защиты объектов информатизаци позволяет аттестация, по результатам которой выдается аттестат соответствия требованиям безопасности информации. Подобную услугу имеют право предоставлять только специальные предприятия с разрешительными документами и большим опытом.
Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством аттестата соответствия подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.
Аттестат соответствия – это документ, который подтверждает, что автоматизированная информационная система соответствует требованиям безопасности информации, а также дает право определенное время обрабатывать конфиденциальную информацию.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Необходимость в прохождении проверки и получении аттестата возникает в таких случаях:
Если это предусмотрено законодательством (федеральными или муниципальными нормативно-правовыми актами). Аттестат соответствия требованиям безопасности информации необходим при лицензировании отдельных видов деятельности, а также без него не обойтись организациям, которые имеют дело со сбором, обработкой и хранением данных государственных ИС.
По инициативе владельца объекта информатизации, заинтересованного в независимой экспертизе или при планировании модернизации систем информационной защиты. Также аттестацию проводят для подтверждения тех или иных функциональных параметров работы элементов инфраструктуры.
Обязательной аттестации подлежат:
Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну;
Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом;
Государственные информационные системы.
Аттестация проводится органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну) или организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера и аттестации государственных информационных систем).
Подготовка к проведению аттестации
До начала проведения работ по аттестации заказчиком проверяется соответствие принятых организационных и технических мер защиты информации нормативно-правовым актам Российской Федерации, а также достаточность принимаемых организационных мер, отражаемых в организационно-распорядительной документации.
В рамках работ по подготовке объекта информатизации к аттестации необходимо:
Разработать комплект организационно-распорядительной документации, регламентирующей защиту конфиденциальной информации, и технический проект;
Утвердить ОРД;
Внедрить систему защиты информации;
Подать заявку на аттестацию.
Подготовка включает:
1) Экспресс-обследования информационной системы:
- Анализ полноты и содержания организационно-распорядительной, эксплуатационной и технической документации на систему защиты информации информационной системы;
- Экспертную оценку полноты и достаточности реализованных технических и организационных мер по защите информации для нейтрализации актуальных угроз безопасности информации.
2) Разработки рекомендаций по соответствию требованиям по защите информации и их выполнения:
- Разработка рекомендаций по внедрению организационных мер по защите информации;
- Разработка (доработка) технических решений по защите информации;
- Внесение необходимых изменений и доработка организационно-распорядительной, эксплуатационной и технической документации на систему защиты информации.
Перечень проводимых работ может быть расширен в соответствии с работами по обследованию информационной системы.
Порядок проведения аттестации объектов информатизации:
1) Подача заявки на рассмотрение и проведение аттестации.
2) Анализ исходных данных по аттестуемому объекту информатизации.
3) Проведение предварительного специального обследования аттестуемого объекта информатизации.
4) Разработка программы и методики аттестационных испытаний.
5) Заключение договоров на аттестацию.
6) Испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.
7) Проведение специальных проверок на наличие возможно внедренных электронных устройств перехвата информации.
8) Проведение аттестационных испытаний объекта информатизации.
9) Оформление, регистрацию и выдачу «Аттестата соответствия».
10) Осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации.
11) Рассмотрение апелляций.
Получив аттестат соответствия требованиям безопасности, заказчики могут быть уверенными в том, что предпринятые ими меры сохранения конфиденциальности данных являются эффективными. Кроме того, наличие аттестата позволяет не опасаться проверки объектов информационной инфраструктуры контролирующими органами.