5.2.600_Eliseenko_doklad.md 11 KB
# Проведение аттестации объектов информатизации
Проведение аттестации объектов информатизации – это не просто обязательная процедура, а фундамент, на котором строится надежная система информационной безопасности организации. Это комплексный процесс, требующий профессионального подхода, глубоких знаний нормативной базы и технических аспектов. Инвестируя в аттестацию, организации инвестируют в защиту своего бизнеса, репутации и доверия клиентов.
- Что такое объект информатизации и зачем проводить аттестацию?
• Объект информатизации (ОИ) – это любая система, комплекс систем, техническое средство, программное обеспечение, а также информационные ресурсы, предназначенные для обработки, хранения, передачи и использования информации. Это может быть как сервер, так и целая сеть, рабочее место пользователя, или даже мобильное приложение. • Цели аттестации: • Подтверждение соответствия требованиям: Убедиться, что ОИ соответствует требованиям законодательства РФ (например, Федеральные законы "О персональных данных", "Об информации, информационных технологиях и о защите информации"), а также нормативным документам регуляторов (ФСТЭК России, ФСБ России). • Оценка уровня защищенности: Идентификация и анализ потенциальных угроз и уязвимостей, а также оценка эффективности применяемых мер защиты. • Определение соответствия заявленному уровню: Проверка, действительно ли ОИ обеспечивает заявленный уровень защищенности информации. • Основание для эксплуатации: Получение аттестата соответствия является обязательным условием для ввода ОИ в эксплуатацию, если на нем обрабатывается информация ограниченного доступа.
- Нормативно-правовая база аттестации
Проведение аттестации объектов информатизации регламентируется рядом документов:
• Федеральный закон № 149-ФЗ "Об информации, информационных технологиях и о защите информации". • Федеральный закон № 152-ФЗ "О персональных данных". • Приказы ФСТЭК России: • Приказ № 31 от 18 февраля 2013 г. "Об утверждении требований к обеспечению защиты информации в автоматизированных системах" (особенно актуален для автоматизированных систем). • Приказ № 21 от 11 февраля 2013 г. "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (для систем персональных данных). • Нормативные документы ФСБ России: В случае обработки сведений, составляющих государственную тайну. • Иные документы: Руководящие документы ФСТЭК России, методические рекомендации, стандарты.
- Этапы проведения аттестации
Процесс аттестации является комплексным и включает в себя несколько ключевых этапов:
• Этап 1: Предварительная подготовка и планирование. • Определение объекта аттестации: Четкое описание границ ОИ, его состава (аппаратное, программное обеспечение, сети, пользователи, помещения). • Определение целей аттестации: Какие виды информации обрабатываются (персональные данные, конфиденциальная информация, государственная тайна), какой уровень защищенности требуется. • Выбор аттестационного центра: Определение организации, имеющей лицензию ФСТЭК России на проведение аттестационных испытаний. • Разработка программы аттестационных испытаний: Составление детального плана работ, включая перечень проверяемых требований, методы и средства контроля.
• Этап 2: Обследование объекта информатизации. • Анализ документации: Изучение технической документации на ОИ, эксплуатационной документации, организационно-распорядительных документов по защите информации. • Осмотр объекта: Проверка физической безопасности помещения, технических средств. • Анализ конфигураций: Проверка настроек сетевого оборудования, серверов, рабочих станций, программного обеспечения.
• Этап 3: Проведение аттестационных испытаний.
• Тестирование: Применение различных методов и средств для проверки выполнения требований безопасности. Сюда входят:
* Тестирование на проникновение (пентест): Имитация атак для выявления уязвимостей.
* Анализ уязвимостей: Использование специализированного ПО для поиска известных слабых мест.
* Проверка настроек: Верификация правильности конфигурации систем и средств защиты.
* Оценка эффективности средств защиты: Тестирование межсетевых экранов, систем обнаружения и предотвращения вторжений, антивирусного ПО.
* Проверка физической безопасности: Оценка мер по предотвращению несанкционированного доступа к оборудованию.
• Оценка соответствия требованиям: Анализ результатов проведенных испытаний на соответствие нормативным документам.
• Этап 4: Оформление результатов аттестации. • Составление протоколов испытаний: Документирование всех проведенных проверок и полученных результатов. • Составление аттестата соответствия: Если ОИ соответствует всем требованиям, выдается аттестат соответствия, подтверждающий его защищенность. • Разработка рекомендаций: В случае выявления несоответствий, аттестующий орган выдает рекомендации по устранению выявленных недостатков.
- Ответственность сторон
• Заказчик (владелец ОИ): Несет ответственность за предоставление достоверной информации, обеспечение доступа к объекту и сотрудничество с аттестующим органом. • Аттестующий орган (организация с лицензией ФСТЭК): Несет ответственность за проведение испытаний в соответствии с программой, объективную оценку результатов и выдачу аттестата соответствия. • Оператор ОИ: Отвечает за поддержание уровня защищенности объекта в процессе его эксплуатации.
- Актуальность и периодичность аттестации
Аттестат соответствия выдается на определенный срок. После его истечения или при существенных изменениях в объекте информатизации (изменение конфигурации, обновление ПО, появление новых угроз) требуется повторное проведение аттестации. Регулярная аттестация – это залог постоянного поддержания высокого уровня информационной безопасности.