|
|
@@ -0,0 +1,227 @@
|
|
|
+# Аттестация объектов информатизации
|
|
|
+
|
|
|
+
|
|
|
+---
|
|
|
+
|
|
|
+Постоянное совершенствование методов несанкционированного доступа к информации, а также значительный ущерб от такого рода действий привели к целенаправленному и систематическому совершенствованию технологий обеспечения информационной безопасности и механизмов реагирования. Для некоторых объектов информатизации оценка защищенности и соответствия их установленным законом требованиям происходит путем аттестации.
|
|
|
+
|
|
|
+
|
|
|
+Зачастую термин «аттестация» истолковывается неверно: под этим определением многие подразумевают подготовку/защиту информационной системы, либо аттестационные испытания. Аттестация характеризуется рядом мероприятий, после прохождения которых выдаётся документ – «Аттестат соответствия». Он является документарным доказательством, подтверждающим, что ваша система имеет полное соответствие действующим правилам и стандартам в сфере безопасности информации. Кроме того, аттестация может быть добровольной, при выполнении которой можно руководствоваться требованиями заявителя.
|
|
|
+
|
|
|
+
|
|
|
+Чтобы понимать принципы и порядок проведения аттестации, в первую очередь, следует рассмотреть документы, направленные на сам процесс аттестации (положения, стандарты), а также внимательно изучить требования ФСТЭК для соответствующего типа объекта информатизации.
|
|
|
+
|
|
|
+
|
|
|
+В области проведения аттестации, касающейся объектов информатизации, действует ряд актов нормативного характера. К таким нормативным актам относится «Положение по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. и «ГОСТ РО 0043-003-2012 Аттестация объектов информатизации. Общие положения» от 17.04.2012 г.
|
|
|
+
|
|
|
+
|
|
|
+При проведении проверки оформляется ряд документов по аттестационным испытаниям, а именно программа и методики.
|
|
|
+
|
|
|
+
|
|
|
+Оценка соответствия подразумевает определение соответствия всех применяемых средств защиты объекта. Среди прочего, учитываются и его эксплуатационные условия.
|
|
|
+
|
|
|
+**Кому может понадобиться?**
|
|
|
+
|
|
|
+ Действующими на территории РФ нормативными актами определено, что аттестация может быть как добровольный, так и обязательной. Последняя необходима в следующих случаях:
|
|
|
+
|
|
|
+• При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).
|
|
|
+
|
|
|
+• При обработке информация, которая относится к информации ограниченного доступа (для коммерческой тайны – обязательных аттестационных испытаний нет).
|
|
|
+• Если системы используются для управления объектами, представляющими экологическую опасность.
|
|
|
+
|
|
|
+• Для лицензирующей деятельности, которая касается предоставления лицензий.
|
|
|
+
|
|
|
+
|
|
|
+Остальные случаи не требуют обязательной аттестации: её можно провести добровольно. Для этого следует обратиться в организацию, производящий такую аттестацию, и заключить с ним соответствующий договор. Обычно основной целью добровольной аттестации выступает получение официального документа, подтверждающего полное соответствие уровня систем и средств защиты информации существующим стандартам.
|
|
|
+
|
|
|
+
|
|
|
+Важно помнить, что ИС разных типов и классов должны соответствовать разным требованиям. Несоблюдение соответственных требований может повлечь за собой ответственность. Действующее законодательство подразумевает разный спектр санкций в этом вопросе. В некоторых случаях это штрафы, в других возможна и уголовная ответственность.
|
|
|
+
|
|
|
+
|
|
|
+Порой случаются недоразумения, когда информационную систему по ошибке причисляют к ГИСам. Это приводит к применению излишних мер зашиты системы. Чтобы избежать такой ошибки, стоит проводить следующие действия:
|
|
|
+
|
|
|
+• Выяснить, существует ли нормативный акт, требующий создания ИС.
|
|
|
+
|
|
|
+• Проверить, создается ли она с целью обмена информацией или для реализации полномочий госоргана. Цель создания может быть также определена ФЗ.
|
|
|
+
|
|
|
+• Определить, является ли информационное наполнение документированной информация, предоставляемой физлицами, организациями, госорганам или органами местного самоуправления.
|
|
|
+
|
|
|
+**Аттестация ГИС: подготовка, порядок действий, нововведения**
|
|
|
+
|
|
|
+Начать рассмотрение вопроса аттестации государственных информационных систем (ГИС) нужно с Постановления Правительства РФ № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
|
|
|
+
|
|
|
+
|
|
|
+Сначала оформляется приказ о необходимости защиты информации в ГИС и акт ее классификации. Также разрабатываются модель угроз и модель нарушителя, а еще техзадание на систему защиты информации (далее - СЗИ).
|
|
|
+
|
|
|
+
|
|
|
+Следующие действия предполагают создание технического проекта и эксплуатационной документации на СЗИ, при надобности проводится макетирование и тестирование такой системы. Техпроект должен состоять из документов, определенных соответствующими ГОСТами, либо документов, определенных Заказчиком в ТЗ.
|
|
|
+
|
|
|
+
|
|
|
+В ходе практической части работ закупаются (с последующей установкой и настройкой) средства защиты информации и проводится ряд сопутствующих мероприятий. Так, должна быть разработана документация организационно-распорядительного характера, реализованы меры защиты информации, определены уязвимости ГИС. Завершается этот этап предварительными испытаниями, опытной эксплуатацией, приемочными испытаниями СЗИ.
|
|
|
+
|
|
|
+
|
|
|
+На завершающем этапе оценивается организационно-распорядительная, эксплуатационная документация и условия работы ГИС, анализируются ее уязвимости и испытывается СЗИ. Процесс и результаты отображаются в соответствующих документах: программе, методике и протоколе испытаний, заключении и аттестате соответствия.
|
|
|
+
|
|
|
+**Определение класса ГИС**
|
|
|
+ГИС присваивается один из трех классов защищенности, основанных на масштабе ГИС и важности информации, которая в ней обрабатывается.
|
|
|
+
|
|
|
+
|
|
|
+Порядок определения класса можно прочитать в приложении 1 приказа ФСТЭК №17. Оператор выясняет размер ущерба, который может быть нанесен владельцу информации, чтобы определиться с уровнем значимости информации. Также выясняется масштаб ГИС (может быть федеральным, региональным, объектовым). результирующим документом является акт классификации ГИС.
|
|
|
+
|
|
|
+**Готовимся к аттестации**
|
|
|
+Остановимся подробнее на важных моментах подготовки к аттестации ГИС, придерживаясь описанной выше схемы.
|
|
|
+
|
|
|
+
|
|
|
+Итак. Начать рассмотрение вопроса нужно с обследования ГИС, по итогу которого составляется акт. Далее определяются требования к защите информации с утверждением техзадания.
|
|
|
+
|
|
|
+
|
|
|
+На стадии проектирования разрабатывается частный техпроект и эксплуатационная документация (как использовать средства защиты информации в зависимости от роли пользователя) на СЗИ в составе ГИС, макетируется и тестируется СЗИ (предполагается использование тестового стенда, средств защиты и моделирования реальных условий эксплуатации ГИС).
|
|
|
+
|
|
|
+
|
|
|
+Продолжаем мероприятия согласно порядку. Закупаются (плюс установка и настройка) сертифицированные СЗИ, формируется пакет документации организационно-распорядительного характера (по защите информации и режимным мерам), осуществляются организационные мероприятия по защите информации. Также надо проанализировать уязвимости ГИС, на базе этого составляется программа, методика, протокол и заключение испытаний. Ну а дальше черед предварительных испытаний, опытной эксплуатации и приемочных испытаний СЗИ в составе ГИС.
|
|
|
+
|
|
|
+
|
|
|
+Обращаем ваше внимание на некоторые новшества приказа ФСТЭК №17:
|
|
|
+
|
|
|
+• Обязательная «сертифицированность» средств защиты, в т.ч. маршрутизаторы.
|
|
|
+
|
|
|
+• Должностные лица, проектировавшие и внедрявшие СЗИ, не имеют права проводить аттестацию.
|
|
|
+
|
|
|
+• Перечень классов защищенности СЗИ ограничиваются только тремя.
|
|
|
+
|
|
|
+• Любой класс СЗИ требует принятия мер защиты информации.
|
|
|
+
|
|
|
+• Необходимо использовать банк данных угроз (bdu.fstec.ru). Соответственно, отсутствие уязвимостей из названного банка необходимо подтверждать во время аттестационных испытаний ГИС.
|
|
|
+
|
|
|
+**Выбор техсредств защиты ГИС**
|
|
|
+Зная класс защищенности ГИС, можно выбрать класс СЗИ для применения. Например, если имеется 3 класс защищенности, тогда требуются средства защиты информации 6 класса, а средства вычислительной техники – не ниже 5 класса (п. 26 приказа ФСТЭК №17).
|
|
|
+
|
|
|
+
|
|
|
+Искать средства защиты следует в реестре сертифицированных средств защиты информации. Условия поиска: схема сертификации «Серия», сертификат действующий. Выбор должен диктоваться ИТ-архитектурой ГИС и выводами из технического проекта на создание СЗИ ГИС.
|
|
|
+
|
|
|
+
|
|
|
+Для того, чтобы найти средства защиты, сертифицированные по новым требованиям, можно ввести в строку поиска определенные сокращения:
|
|
|
+
|
|
|
+• ИТ.МЭ. для межсетевых экранов.
|
|
|
+• ИТ.СДЗ. для средств доверенной загрузки.
|
|
|
+• ИТ.САВЗ. для антивирусных средств защиты.
|
|
|
+• ИТ.ОС. для операционных систем.
|
|
|
+• ИТ.СОВ. для систем обнаружения вторжений.
|
|
|
+• ИТ.СКН. для средств контроля носителей информации.
|
|
|
+
|
|
|
+**Аттестация КИИ: порядок, тонкости и лайфхаки**
|
|
|
+Перво-наперво субъекту КИИ требуется классифицировать объекты КИИ, разработать систему безопасности и следить за ее работой. Среди прочего, нужно обеспечить работу спецсредств по обнаружению/предупреждению/ликвидации результатов компьютерных атак. И если такие случаи будут иметь место, то сразу сообщать о них в уполномоченный орган исполнительной власти. К слову, его представителям надо будет обеспечивать свободный доступ, оказывать помощь в ликвидации «взломов» и выявлении их причин.
|
|
|
+
|
|
|
+Дорожну карту по выполнению ФЗ-187 можете найти здесь!
|
|
|
+
|
|
|
+**Что требует Закон**
|
|
|
+Закон о безопасности КИИ (187-ФЗ) не установил четкие требования относительно аттестации объектов критической информационной инфраструктуры согласно требованиям [ФСТЭК] безопасности информации. Так, в ст. 12 и 13 говорится о проведении проверок выполнения требований нормативных актов, об оценке информации с объектов КИИ, анализе компьютерных атак, прогнозе влияния на остальные объекты КИИ.
|
|
|
+
|
|
|
+
|
|
|
+Необходимость проведения оценки защищенности объекта КИИ в формате аттестации согласно требованиям безопасности информации отображена лишь в тексте приказа ФСТЭК № 239 от 25.12.2017. Там сказано: когда объект КИИ – ГИС, то оценка его защищенности проводится в виде аттестации по нормам приказа ФСТЭК № 17 от 11.02.2013. Остальные ситуации предполагают, что аттестацию можно проводить по желанию субъекта КИИ.
|
|
|
+
|
|
|
+
|
|
|
+**Каким образом соответствовать требованиям?**
|
|
|
+Постараемся дать краткий, но полный ответ на этот вопрос.
|
|
|
+Для начала нужно категорировать объект КИИ согласно ст.7 187-ФЗ, а также постановлению Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ» от 08.02.2018.
|
|
|
+
|
|
|
+
|
|
|
+Субъект КИИ должен отправить в ФСТЭК перечень объектов КИИ, в уполномоченный федеральный орган – форму категорирования объекта КИИ (приказ ФСТЭК № 236 от 22.12.2017). Названный орган проверит полученные сведения и внесет объект КИИ в реестр (срок 30 дней).
|
|
|
+
|
|
|
+
|
|
|
+Когда объект КИИ эксплуатируется, владельцу нужно обеспечить безопасность информации: анализировать угрозы, планировать мероприятия защиты и противодействия, реагировать на атаки, обучать персонал.
|
|
|
+
|
|
|
+**На что обратить внимание?**
|
|
|
+Направляя в ФСТЭК список объектов КИИ, желательно воспользоваться ее рекомендациями (Информационное сообщение № 240/25/3752 ФСТЭК от 24.08.2018) для быстрого принятия решения и включения в реестр.
|
|
|
+
|
|
|
+
|
|
|
+При категорировании важно обращать внимание на положения Закона о безопасности КИИ и правила категорирования (Постановление Правительства № 127). При этом не стоит забегать вперед: только получив от уполномоченного органа подтверждение правильного категорирования и внесения объекта в реестр объектов КИИ, осуществлять меры по защите объектов КИИ.
|
|
|
+
|
|
|
+
|
|
|
+Стоит упомянуть о возможности использования результатов предшествующей аттестации согласно приказу ФСТЭК № 17, что значительно снизит сложность подготовительных работ, а также стоимость приобретения средств защиты.
|
|
|
+
|
|
|
+
|
|
|
+В ситуации с критической информационной инфраструктурой, моделируя угрозы, следует использовать базовую модель угроз и методику определения актуальных угроз безопасности информации в ключевых системах информинфраструктуры, утвержденные ФСТЭК 18.05.2007. С другой стороны, необходимо соблюдать приказы ФСТЭК №№ 235, 239 при условии, когда объект критической информационной инфраструктуры – автоматизированная система управления технологическими процессами.
|
|
|
+
|
|
|
+
|
|
|
+Ну и еще один немаловажный момент – это «сертифицированность» средств защиты информации на объекте КИИ. Наивысший шанс одобрения имеют средства, имеющие сертификаты по системам ФСТЭК России и ФСБ России.
|
|
|
+
|
|
|
+**Сложности подготовки**
|
|
|
+Если объект категорирован неверно, уполномоченный федеральный орган может отказаться регистрировать его в реестре КИИ. А без подтверждения о правильности категорирования и внесения в реестр КИИ официально начинать работы по защите (подготовке) объекта КИИ нельзя. Отказ может последовать и в том случае, если будут предоставлены неполные или неточные сведения об объекте.
|
|
|
+
|
|
|
+
|
|
|
+Кроме того, необходимо внедрить множество программных и программно-аппаратных систем защиты информации, что требует наличие соответствующей компетенции обслуживающего персонала при внедрении и дальнейшем сопровождении этих систем.
|
|
|
+
|
|
|
+
|
|
|
+Очередности осуществления мероприятий относительно подготовки к аттестации КИИ выглядит следующим образом:
|
|
|
+
|
|
|
+Когда техзадание на создание подсистемы безопасности уже разработано, нужна подготовка модели угроз безопасности информации, проекта подсистемы безопасности, рабочая (эксплуатационная) документация на нее.
|
|
|
+
|
|
|
+
|
|
|
+Далее следуют практические шаги: реализация организационных и технических мер по обеспечению безопасности объекта и введению его в эксплуатацию. Субъекту КИИ предстоит закупка и установка средств защиты информации, разработка соответствующей документации, проведение испытаний подсистемы безопасности с анализом уязвимостей.
|
|
|
+
|
|
|
+
|
|
|
+А когда подготовка объекта КИИ будет полностью завершена, к проведению аттестации привлекается лицензиат ФСТЭК.
|
|
|
+
|
|
|
+**Аттестации АСУ ТП: на что обратить внимание**
|
|
|
+В нормативно-правовых актах «аттестация» определяется как тестирование (проверка/контроль/испытания) объекта информатизации на соответствие установленным требованиям. А значит, аттестовывать АСУ ТП не обязательно, поскольку в составе этапов работ защиты информации в АСУ ТП, прописанном в п.12 приказа ФСТЭК № 31, аттестации нет. Однако она может проводиться в добровольном порядке, в этом случае для её проведения применяются национальные стандарты и методические рекомендации ФСТЭК России.
|
|
|
+
|
|
|
+
|
|
|
+В целом порядок аттестации состоит из таких этапов:
|
|
|
+
|
|
|
+• изучение объекта в предварительном порядке;
|
|
|
+
|
|
|
+• создание методик и программы испытаний для него;
|
|
|
+
|
|
|
+• непосредственно испытание объекта;
|
|
|
+
|
|
|
+• проведения оформления, регистрации и последующая выдача документа о прохождении аттестации.
|
|
|
+
|
|
|
+
|
|
|
+Во время испытаний проводится разработка следующих аттестационных документов:
|
|
|
+
|
|
|
+• программы, а также методики проведения испытаний;
|
|
|
+
|
|
|
+• создание протокола аттестации;
|
|
|
+
|
|
|
+• заключения, которое создаётся по результатам прохождения аттестации;
|
|
|
+• сам аттестат соответствия.
|
|
|
+
|
|
|
+
|
|
|
+На сегодняшний день требования для АСУ ТП закреплены в приказе № 31 ФСТЭК РФ.
|
|
|
+
|
|
|
+Насколько обоснованы устоявшиеся мнения по вопросу аттестации по принципу типовых сегментов?
|
|
|
+Как обычно и бывает, процесс аттестации по принципу типовых сегментов воспринимается большинством людей однобоко, и общее впечатление о нем основано на устоявшихся мнениях, растиражированных во многих публикациях в интернете.
|
|
|
+
|
|
|
+
|
|
|
+Но насколько верны умозаключения их авторов? И есть ли реальное обоснование этим мнениям? Об этом читайте дальше.
|
|
|
+
|
|
|
+
|
|
|
+Мнение «Для аттестации всех информсистем можно по принципу типовых сегментов воспользоваться единственным аттестатом»
|
|
|
+
|
|
|
+
|
|
|
+Это звучит реально и выполнимо, но несколько странно. Все становится на свои места после ознакомления с пунктом 17.3 Приказа Федеральной службы по техническому и экспортному контролю РФ № 17 от 11.02.2013 и ГОСТ РО 0043-003-2012
|
|
|
+
|
|
|
+
|
|
|
+Согласно приказу, в сегментах информсистемы, на которые распространяется аттестат соответствия, (…) обеспечивается соблюдение эксплуатационной документации на систему защиты информации информсистемы и организационно-распорядительных документов по защите информации.
|
|
|
+
|
|
|
+
|
|
|
+Таким образом, «документации» надо охватить все (то есть любые) ОИ, а это нереально. Кто и как сможет разработать документацию, охватывающую различные требования государственных регуляторов, всевозможные процессы обработки информации, да и разные типы информации, которую требуется защитить? Никто и никак.
|
|
|
+
|
|
|
+---
|
|
|
+
|
|
|
+## Вопросы
|
|
|
+1. Для чего нужна аттестация?
|
|
|
+ - **При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).**
|
|
|
+ - Программа и методики.
|
|
|
+ - «Аттестат соответствия»
|
|
|
+
|
|
|
+2. Как называется документ подтверждающий, что ваша система имеет полное соответствие действующим правилам и стандартам в сфере безопасности информации.
|
|
|
+ - **«Аттестат соответствия»**
|
|
|
+ - Программа и методики.
|
|
|
+ - При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).
|
|
|
+
|
|
|
+3. Какие документы оформляются при проведении аттестационных спытаниях?
|
|
|
+ - **Программа и методики.**
|
|
|
+ - При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).
|
|
|
+ - «Аттестат соответствия»
|
