|
|
@@ -0,0 +1,77 @@
|
|
|
+# Проведение аттестации объектов информатизации.
|
|
|
+
|
|
|
+
|
|
|
+Одна из первоочередных задач современных организаций - обеспечение защиты обрабатываемых данных. В условиях тотальной информатизации объёмы информации постоянно растут, а вместе с ними возрастают риски её утечки и неправомерного доступа. Эффективность принятых мер защиты подтверждается проходящей аттестацией объектов информатизации, по результатам которой выдаётся аттестат соответствия требованиям безопасности информации. Предоставлять такую услугу вправе только специализированные организации, имеющие соответствующие разрешительные документы и подтверждённый практический опыт.
|
|
|
+
|
|
|
+### Понятие аттестации и назначение аттестата соответствия
|
|
|
+Аттестация объектов информатизации - это комплекс организационно-технических мероприятий, направленных на проверку соответствия объекта нормативным требованиям по защите информации. Результатом аттестации является аттестат соответствия, подтверждающий, что автоматизированная информационная система (АИС) отвечает требованиям стандартов и иных нормативно-технических документов по безопасности информации, утверждённых ФСТЭК России. Аттестат также даёт право в течение установленного срока обрабатывать информацию с ограниченным доступом, в том числе конфиденциальную.
|
|
|
+
|
|
|
+### Области проверки при аттестации
|
|
|
+
|
|
|
+При аттестации подтверждается соответствие объекта требованиям по защите информации от различных угроз, включая:
|
|
|
+*несанкционированный доступ (в том числе сетевой и локальный);
|
|
|
+*вредоносное ПО и компьютерные вирусы;
|
|
|
+*утечка через побочные электромагнитные излучения и наведённые помехи при целенаправленных воздействиях (высокочастотное навязывание, электромагнитное и радиационное воздействие);
|
|
|
+*утечка через скрытые или специализированные устройства, встроенные в компоненты инфраструктуры.
|
|
|
+*Аттестация предполагает проведение комплексной проверки (аттестационных испытаний) объекта в реальных условиях эксплуатации для оценки соответствия комплекса организационно-технических мер требуемому уровню защиты информации.
|
|
|
+
|
|
|
+### Аттестация и получение аттестата необходимы в следующих ситуациях:
|
|
|
+
|
|
|
+*Если этого требуют федеральные или муниципальные нормативно-правовые акты (например, при лицензировании отдельных видов деятельности);
|
|
|
+*для организаций, участвующих в сборе, обработке и хранении данных в государственных информационных системах (ГИС);
|
|
|
+*по инициативе владельца объекта информатизации - при желании получить независимую экспертизу, подтвердить функциональные параметры или при модернизации систем защиты информации.
|
|
|
+
|
|
|
+Обязательной аттестации подлежат:
|
|
|
+*объекты информатизации, предназначенные для обработки сведений, составляющих государственную тайну;
|
|
|
+*объекты, обрабатывающие конфиденциальную информацию, являющуюся государственным информационным ресурсом;
|
|
|
+*государственные информационные системы.
|
|
|
+*Органы и организации, проводящие аттестацию
|
|
|
+
|
|
|
+### Аттестация проводится:
|
|
|
+
|
|
|
+*Органом по аттестации при обработке сведений, составляющих государственную тайну;
|
|
|
+*организациями, имеющими право на деятельность в области технической защиты конфиденциальной информации, при аттестации объектов, обрабатывающих конфиденциальные сведения, и при аттестации государственных информационных систем.
|
|
|
+
|
|
|
+### Подготовка объекта информатизации к аттестации
|
|
|
+
|
|
|
+До начала работ заказчик должен проверить соответствие принятых организационных и технических мер защиты требованиям нормативно-правовых актов РФ и убедиться в достаточности организационных мер, отражённых в организационно-распорядительной документации (ОРД).
|
|
|
+
|
|
|
+Основные этапы подготовки:
|
|
|
+*Разработка комплекта организационно-распорядительной документации, регламентирующей защиту конфиденциальной информации, и технического проекта системы защиты информации (СЗИ).
|
|
|
+*Утверждение ОРД и технической документации.
|
|
|
+*Внедрение и ввод в эксплуатацию СЗИ.
|
|
|
+*Подача заявки на аттестацию в уполномоченный орган или организацию.
|
|
|
+*Подготовка включает два базовых блока работ:
|
|
|
+
|
|
|
+Экспресс-обследование информационной системы:
|
|
|
+*анализ полноты и содержания ОРД, эксплуатационной и технической документации на СЗИ;
|
|
|
+*экспертная оценка полноты и достаточности реализованных технических и организационных мер по защите информации для нейтрализации актуальных угроз.
|
|
|
+*Разработка рекомендаций и их реализация:
|
|
|
+*рекомендации по внедрению организационных мер защиты;
|
|
|
+*азработка или доработка технических решений по защите информации;
|
|
|
+*внесение необходимых изменений и доработка ОРД, эксплуатационной и технической документации.
|
|
|
+Перечень конкретных работ может быть расширен в зависимости от результатов обследования и специфики объекта информатизации.
|
|
|
+
|
|
|
+### Порядок проведения аттестации
|
|
|
+*Подача заявки на рассмотрение и проведение аттестации.
|
|
|
+*Анализ исходных данных по аттестуемому объекту информатизации.
|
|
|
+*Проведение предварительного специального обследования объекта.
|
|
|
+*Разработка программы и методики аттестационных испытаний.
|
|
|
+*Заключение договоров на проведение аттестации и сопутствующих работ.
|
|
|
+*Испытание несертифицированных средств и систем защиты информации, используемых на объекте.
|
|
|
+*Специальные проверки на наличие возможных внедрённых электронных средств перехвата информации.
|
|
|
+*Проведение аттестационных испытаний объекта информатизации в условиях эксплуатации.
|
|
|
+*Оформление, регистрация и выдача аттестата соответствия требованиям безопасности информации.
|
|
|
+*Осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов.
|
|
|
+*Рассмотрение апелляций по результатам аттестации.
|
|
|
+*Преимущества наличия аттестата соответствия
|
|
|
+
|
|
|
+Получение аттестата соответствия даёт заказчику следующие преимущества:
|
|
|
+*подтверждение эффективности принятых мер по защите конфиденциальной информации;
|
|
|
+*правовая и процедурная основа для работы с информацией ограниченного доступа в течение установленного срока;
|
|
|
+*снижение рисков при проверках со стороны контролирующих органов и упрощение взаимодействия с государственными структурами;
|
|
|
+*овышение доверия партнёров и клиентов к информационной инфраструктуре организации.
|
|
|
+
|
|
|
+### Заключение
|
|
|
+Аттестация объектов информатизации - обязательный и рекомендованный инструмент обеспечения информационной безопасности организаций, обрабатывающих конфиденциальные или критичные данные. Своевременная подготовка, комплексный подход к внедрению организационных и технических мер, а также взаимодействие с уполномоченными организациями по аттестации позволяют обеспечить соответствие требованиям законодательства и минимизировать риски утечки и компрометации информации.
|
|
|
+
|
ypv
