Гавриленко.md 11 KB
# Аттестация объектов информатизации по требованиям безопасности информации
Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" - подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в "Аттестате соответствия".
Объектами информатизации могут являться:
-технические устройства для приема, передачи и обработки защищаемой информации (устройства звуко- и видеозаписи, телефония, переговорные и телевизионные устройства и т.д.); -различные автоматизированные системы (АС) и АРМ; -локальные и распределенные вычислительные сети, в т. ч. с подключением к открытым сетям информационного обмена; -средства создания и копирования документов; -выделенные помещения для организации переговоров.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Органы по аттестации аккредитуются ФСТЭК России. Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.
В рамках аттестации специалистами АО «РНТ» осуществляются следующие работы:
-анализ исходных данных по аттестуемому объекту информатизации; -предварительное ознакомление с аттестуемым объектом информатизации; -проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки -зрения ее соответствия требованиям нормативной и методической документации; -проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств; -проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации; -анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации, подготовка отчетной документации -(протоколов, заключений) и выдача Аттестата соответствия (при положительном заключении); -периодический контроль и дополнительная проверка эффективности системы защиты объекта информатизации.
Зачем нужна аттестация объектов информатизации
Как было указано выше, цель аттестации — оценить и подтвердить соответствие системы защиты информации требованиям безопасности данных. Эти меры позволяют выявлять слабые места, защищать информацию от утечки и несанкционированного доступа и дает право обрабатывать конфиденциальную информацию. Согласно нормативным актам аттестация может быть добровольный. Для этого необходимо обратиться в организацию для проведения аттестации объектов информатизации, и заключить с ней соответствующий договор. Однако в некоторых случаях обязательная аттестация может быть необходима:
При обработке информации муниципальных и государственных информационных систем (ГИС). При обработке информации, подпадающей под государственную тайну При обработке конфиденциальной информации (кроме коммерческой тайны – для неё аттестация необязательна). Для получения лицензий на определенный вид деятельности. Основные нюансы
Очень важно отличать государственные информационные системы от всех остальных, ведь разные объекты требуют разных мер. Несоблюдение соответствующих требований может повлечь за собой административную и уголовную ответственность. В первую очередь нужно иметь в виду, что ГИС предназначены для реализации полномочий госорганов и обеспечения обмена информации между ними.
Чтобы избежать недоразумений в определении системы, необходимо всегда сверяться с требованиями ФСТЭК (регулятором аттестации объектов информатизации) и законодательством РФ.
Вопросы
- Что такое Аттестация объектов информатизации по требованиям безопасности информации ?
- Что является объектами информатизации
Зачем нужна аттестация объектов информатизации
Список использованной литературы
1.https://is.astral.ru/services/zashchita-informatsii/attestaciya-obektov-informatizacii/#2 2.https://irsural.ru/nashi-uslugi/zashchita-gosudarstvennoy-tayny/attestaciya-obektov-informatizacii/#:~:text=%D0%90%D1%82%D1%82%D0%B5%D1%81%D1%82%D0%B0%D1%86%D0%B8%D1%8F%20%D0%BE%D0%B1%D1%8A%D0%B5%D0%BA%D1%82%D0%BE%D0%B2%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8%20%E2%80%93%20%D1%8D%D1%82%D0%BE%20%D0%BA%D0%BE%D0%BC%D0%BF%D0%BB%D0%B5%D0%BA%D1%81,%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D1%85%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%B2%20%D0%BF%D0%BE%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8. 3.https://is.astral.ru/services/zashchita-informatsii/attestaciya-obektov-informatizacii/