Аттестация объектов информатизации
Аттестация объектов информатизации относится к лицензируемому виду деятельности, выполняется только организациями, получившими лицензию ФСТЭК России на оказание услуг, в том числе по аттестации средств и систем.
Как лицензированный орган по аттестации, мы располагаем всеми необходимыми ресурсами: современным оборудованием, необходимой документальной базой, а также штатом опытных специалистов.
Расчёт стоимости
Что такое аттестация объектов информатизации
Аттестация объектов информатизации — ряд действий, направленных на проверку соответствия требованиям по технической защите информации. Требования утверждены ФСТЭК России приказом №025 от 20 октября 2016 г.
Объекты информатизации бывают двух типов: объекты вычислительной техники и выделенные помещения. Они могут быть введены в эксплуатацию и обрабатывать информацию только после получения положительного заключения и оформления Аттестата соответствия, и только с тем уровнем секретности, с учётом которого проводилась аттестация (данная информация указывается в аттестате).
Чтобы оценить соответствие объекта требованиям, аттестационные испытания проводятся в реальных условиях — размещение объекта, адрес, этаж, номер кабинета, порядок доступа сотрудников, принятый в именно этой организации и т. д. Всё должно быть в том состоянии, в котором планируется дальнейшее его использование.
Порядок проведения аттестации включает в себя:
- проведение предварительного обследования объекта, в ходе которого проводится определение исходных данных, включающих конкретные условия эксплуатации, принятые меры, готовность организационно-распорядительных документов, применённые средства защиты;
- разработка документа «Программа и методика проведения испытаний»;
- проведение аттестационных испытаний;
- оформление материалов (протоколы, заключение) с фиксацией результатов испытаний;
- регистрация документа «Аттестата соответствия», выдача заказчику, направление результатов в управление ФСТЭК России по федеральному округу.
Аттестация объектов вычислительной техники
Объект вычислительной техники — это комплекс информационных систем, оборудования, программ, средств, обеспечивающих их функционирование и помещений, в которых они расположены. Чаще всего это обособленные АРМ, сеть устройств, средства изготовления и размножения документов.
Аттестация объектов вычислительной техники проходит по общему порядку проведения аттестации. Проверяется полнота и правильность подготовки комплекта организационно-распорядительной документации, разработанной в организации по вопросам технической защиты информации, эксплуатационная документации на объект. Затем проводится проверка достаточности принятых мер и проводится оценка эффективности примененных средств защиты.
На этапе аттестационных испытаний исследуются технические каналы утечки информации, появляющиеся под воздействием электромагнитного поля, возникающего в процессе использования оборудования для обработки информации.
Аттестация выделенных помещений
Выделенное помещение — помещение для проведения обсуждений, совещаний, переговоров с использованием информации, содержащей сведения, составляющие государственную тайну.
Аттестация выделенных помещений проходит в том же порядке, но с некоторыми отличиями на этапе проведения испытаний. Например, технические каналы утечки информации в помещениях возникают под воздействием акустического сигнала на ограждающие конструкции помещения, на технические средства, находящиеся в нём, предметы. Само присутствие акустических волн и вибраций в помещении создают риски утечки. Проводятся исследования этих каналов утечки инструментальным методом с использованием соответствующих методик, сертифицированных измерительных комплексов и расчётных программ.
Аттестация АРМ
Аттестация ОВТ на базе автономного АРМ требует отдельного упоминания, так как эта услуга заметно востребована среди наших заказчиков.
АРМ — это комплект оборудования и программного обеспечения, функционирующего под задачи конкретного специалиста, с учётом специфики его работы. Комплектация может быть разной, ниже приведены примеры комплектов, которые часто встречаются при аттестации АРМ:
- системный блок, клавиатура, мышь, монитор, ИБП;
- моноблок, клавиатура, мышь, МФУ;
- ноутбук, мышь, принтер.
Аттестация АРМ проводится по общему порядку для объектов вычислительной техники.
Для чего проводится аттестация объектов информатизации
Объекты информатизации, предназначенные для обработки и обсуждения информации, содержащей сведения, составляющие государственную тайну, подлежат обязательной аттестации.
Как правило, это учреждения, деятельность которых связана со следующими направлениями:
- обработка данных, относящихся к государственной тайне;
- обработка данных информационных ресурсов государства;
- проведение секретных переговоров;
- управление и эксплуатация объектов, деятельность которых представляет экологическую опасность;
- обработка служебной тайны (государственные организации и органы власти).
Возможна также добровольная аттестация, если организации требуется официальное подтверждение безопасности информации, но деятельность не предусматривает проведения аттестации в обязательном порядке. Добровольной аттестации может подлежать: автоматизированная системы любого уровня, решение для обработки и передачи информации, помещения, в которых они размещены, помещения для переговоров.
Этапы подготовки к проведению аттестации объектов информатизации
Аттестация объекта информатизации — это последний этап до ввода объекта в эксплуатацию (при положительном прохождении).
До её проведения проводится не менее значимый и трудоёмкий процесс подготовки к аттестации, основными этапами которого являются:
- Категорирование и классификация объекта, которые проводит комиссия (назначается приказом руководителя организации).
- Проведение инструментального анализа измерительным комплексом под управлением оператора, определение уровней опасных сигналов, расчёт нормируемых показателей, их сравнение с нормативами, определение необходимости применения средств активной защиты.
- Проектирование системы защиты информации от несанкционированного доступа, подготовка документов, связанных с системой доступа, подбор средств защиты, прошедших сертификацию, их монтаж и настройка.
- Проведение специальных проверок и специальных исследований технических средств.
- Подготовка Технического паспорта объекта и организационно-распорядительных документов.
Проведение аттестации объектов информатизации
Первым делом мы анализируем исходные данные объекта: его местонахождение, наличие обязательных документов (соответствующих нормативным требованиям) и оборудования, документальное оформление контролируемой зоны и т. д.).
Далее составляем документ «Программа и методика аттестационных испытаний», отправляем его на согласование заказчику.
Процесс аттестационных испытаний на объекте проводится в режиме реального времени. В него входят, в том числе, и технические процедуры (измерение опасных сигналов, работы с приборами и др.). Определённые технические системы и средства (по требованиям стандартов безопасности) забираем в собственную защищённую лабораторию, чтобы проверить их на специализированном оборудовании.
По завершении подготавливаем документы (протоколы аттестационных испытаний, общее заключение о соответствии объекта критериям безопасности и аттестат соответствия) для отправки во ФСТЭК России.
Заключение — это итоговый документ, в котором описаны защитные меры, реализованные на исследуемом объекте информации. В нём перечисляются потенциальные каналы утечки информации, действия, предпринятые для их закрытия, и результат проведения аттестационных испытаний (положительный или отрицательный).
Контролируемая зона — это территория, на которой исключено несанкционированное пребывание посторонних лиц без сопровождения сотрудника организации, а также сторонних транспортных средств без особого пропуска.
Аттестат соответствия — это документ, подтверждающий соответствие объекта информатизации предъявляемым критериям по защите информации. Его наличие позволяет обрабатывать информацию с конкретной степенью секретности на определённый период времени.
Аттестат действует не более 5 лет, по истечении срока его действия, а также в случае изменений условий эксплуатации объекта информатизации, требуется провести повторную аттестацию. Кроме того, каждые два с половиной года должна проводиться промежуточная проверка соответствия обеспеченного уровня безопасности заявленным требованиям.
История
История аттестации объектов информатизации в России тесно связана с развитием информационных технологий и осознанием необходимости защиты информации, особенно в государственных структурах. Её развитие можно условно разделить на несколько этапов.
Ранний период (до 1990-х годов). В советское время существовали системы контроля и защиты информации, но они были преимущественно закрытыми и неформализованными. Защита информации основывалась на физической безопасности и ограниченном доступе к носителям информации. Системная аттестация в современном понимании отсутствовала.
Формирование нормативно-правовой базы (1990-е – начало 2000-х). С началом перестройки и развитием компьютерных технологий появилась необходимость в формализации процесса защиты информации. В этот период начали формироваться первые нормативные документы, описывающие требования к защите информации в автоматизированных системах. Это привело к появлению первых попыток аттестации, которые были достаточно несовершенными и разрозненными. Отсутствовала единая методология и стандартизация.
Развитие законодательства и стандартизации (середина 2000-х – настоящее время). В этот период произошёл значительный скачок в развитии нормативно-правовой базы. Были приняты Федеральные законы «О защите информации в информационно-телекоммуникационных системах», «О персональных данных» и другие нормативные акты, которые заложили основы для обязательной аттестации объектов информатизации, особенно тех, которые обрабатывают государственную тайну или персональные данные. Разрабатывались и утверждались государственные стандарты в области защиты информации, которые стали основой для проведения аттестационных мероприятий. Появились различные методики и процедуры аттестации, ориентированные на разные классы защищённости.
Развитие и усовершенствование системы (2010-е – настоящее время). В последние годы происходило непрерывное совершенствование системы аттестации. В связи с ростом киберугроз и развитием новых технологий, требования к защите информации постоянно ужесточались. Появились новые подходы к аттестации, в том числе с использованием автоматизированных средств. Продолжается работа по унификации и совершенствованию методологии аттестации, учитывая международный опыт и лучшие практики.
Ключевые факторы, повлиявшие на развитие аттестации:
- Угрозы информационной безопасности: рост киберпреступности, расширение возможностей технических разведок и необходимость защиты критически важной инфраструктуры стали ключевыми движущими силами развития системы аттестации.
- Государственная политика: активная роль государства в регулировании сферы информационной безопасности и создание нормативно-правовой базы.
- Развитие технологий: появление новых технологий и систем потребовало адаптации методологии аттестации к новым реалиям.
- Международный опыт: изучение и адаптация международных стандартов и лучших практик в области информационной безопасности.
Система аттестации объектов информатизации в России продолжает развиваться, адаптируясь к постоянно меняющимся угрозам и технологиям. Происходит непрерывная работа по совершенствованию нормативно-правовой базы, методологии аттестации и повышению квалификации специалистов в этой области.
Получить консультацию
Отправьте описание задачи, в решении которой нуждается ваша организация, и мы предложим возможные варианты её решения с учётом ваших возможностей.