Аттестация объектов информатизации

Аттестация объектов информатизации относится к лицензируемому виду деятельности, выполняется только организациями, получившими лицензию ФСТЭК России на оказание услуг, в том числе по аттестации средств и систем.

Как лицензированный орган по аттестации, мы располагаем всеми необходимыми ресурсами: современным оборудованием, необходимой документальной базой, а также штатом опытных специалистов.


Расчёт стоимости

Что такое аттестация объектов информатизации

Аттестация объектов информатизации — ряд действий, направленных на проверку соответствия требованиям по технической защите информации. Требования утверждены ФСТЭК России приказом №025 от 20 октября 2016 г.

Объекты информатизации бывают двух типов: объекты вычислительной техники и выделенные помещения. Они могут быть введены в эксплуатацию и обрабатывать информацию только после получения положительного заключения и оформления Аттестата соответствия, и только с тем уровнем секретности, с учётом которого проводилась аттестация (данная информация указывается в аттестате).

Чтобы оценить соответствие объекта требованиям, аттестационные испытания проводятся в реальных условиях — размещение объекта, адрес, этаж, номер кабинета, порядок доступа сотрудников, принятый в именно этой организации и т. д. Всё должно быть в том состоянии, в котором планируется дальнейшее его использование.

Порядок проведения аттестации включает в себя:

  • проведение предварительного обследования объекта, в ходе которого проводится определение исходных данных, включающих конкретные условия эксплуатации, принятые меры, готовность организационно-распорядительных документов, применённые средства защиты;
  • разработка документа «Программа и методика проведения испытаний»;
  • проведение аттестационных испытаний;
  • оформление материалов (протоколы, заключение) с фиксацией результатов испытаний;
  • регистрация документа «Аттестата соответствия», выдача заказчику, направление результатов в управление ФСТЭК России по федеральному округу.

Аттестация объектов вычислительной техники

Объект вычислительной техники — это комплекс информационных систем, оборудования, программ, средств, обеспечивающих их функционирование и помещений, в которых они расположены. Чаще всего это обособленные АРМ, сеть устройств, средства изготовления и размножения документов.

Аттестация объектов вычислительной техники проходит по общему порядку проведения аттестации. Проверяется полнота и правильность подготовки комплекта организационно-распорядительной документации, разработанной в организации по вопросам технической защиты информации, эксплуатационная документации на объект. Затем проводится проверка достаточности принятых мер и проводится оценка эффективности примененных средств защиты.

На этапе аттестационных испытаний исследуются технические каналы утечки информации, появляющиеся под воздействием электромагнитного поля, возникающего в процессе использования оборудования для обработки информации.

Аттестация выделенных помещений

Выделенное помещение — помещение для проведения обсуждений, совещаний, переговоров с использованием информации, содержащей сведения, составляющие государственную тайну.

Аттестация выделенных помещений проходит в том же порядке, но с некоторыми отличиями на этапе проведения испытаний. Например, технические каналы утечки информации в помещениях возникают под воздействием акустического сигнала на ограждающие конструкции помещения, на технические средства, находящиеся в нём, предметы. Само присутствие акустических волн и вибраций в помещении создают риски утечки. Проводятся исследования этих каналов утечки инструментальным методом с использованием соответствующих методик, сертифицированных измерительных комплексов и расчётных программ.

Аттестация АРМ

Аттестация ОВТ на базе автономного АРМ требует отдельного упоминания, так как эта услуга заметно востребована среди наших заказчиков.

АРМ — это комплект оборудования и программного обеспечения, функционирующего под задачи конкретного специалиста, с учётом специфики его работы. Комплектация может быть разной, ниже приведены примеры комплектов, которые часто встречаются при аттестации АРМ:

  • системный блок, клавиатура, мышь, монитор, ИБП;
  • моноблок, клавиатура, мышь, МФУ;
  • ноутбук, мышь, принтер.

Аттестация АРМ проводится по общему порядку для объектов вычислительной техники.

Для чего проводится аттестация объектов информатизации

Объекты информатизации, предназначенные для обработки и обсуждения информации, содержащей сведения, составляющие государственную тайну, подлежат обязательной аттестации.

Как правило, это учреждения, деятельность которых связана со следующими направлениями:

  • обработка данных, относящихся к государственной тайне;
  • обработка данных информационных ресурсов государства;
  • проведение секретных переговоров;
  • управление и эксплуатация объектов, деятельность которых представляет экологическую опасность;
  • обработка служебной тайны (государственные организации и органы власти).

Возможна также добровольная аттестация, если организации требуется официальное подтверждение безопасности информации, но деятельность не предусматривает проведения аттестации в обязательном порядке. Добровольной аттестации может подлежать: автоматизированная системы любого уровня, решение для обработки и передачи информации, помещения, в которых они размещены, помещения для переговоров.

Этапы подготовки к проведению аттестации объектов информатизации

Аттестация объекта информатизации — это последний этап до ввода объекта в эксплуатацию (при положительном прохождении).

До её проведения проводится не менее значимый и трудоёмкий процесс подготовки к аттестации, основными этапами которого являются:

  1. Категорирование и классификация объекта, которые проводит комиссия (назначается приказом руководителя организации).
  2. Проведение инструментального анализа измерительным комплексом под управлением оператора, определение уровней опасных сигналов, расчёт нормируемых показателей, их сравнение с нормативами, определение необходимости применения средств активной защиты.
  3. Проектирование системы защиты информации от несанкционированного доступа, подготовка документов, связанных с системой доступа, подбор средств защиты, прошедших сертификацию, их монтаж и настройка.
  4. Проведение специальных проверок и специальных исследований технических средств.
  5. Подготовка Технического паспорта объекта и организационно-распорядительных документов.

Проведение аттестации объектов информатизации

Первым делом мы анализируем исходные данные объекта: его местонахождение, наличие обязательных документов (соответствующих нормативным требованиям) и оборудования, документальное оформление контролируемой зоны и т. д.).

Далее составляем документ «Программа и методика аттестационных испытаний», отправляем его на согласование заказчику.

Процесс аттестационных испытаний на объекте проводится в режиме реального времени. В него входят, в том числе, и технические процедуры (измерение опасных сигналов, работы с приборами и др.). Определённые технические системы и средства (по требованиям стандартов безопасности) забираем в собственную защищённую лабораторию, чтобы проверить их на специализированном оборудовании.

По завершении подготавливаем документы (протоколы аттестационных испытаний, общее заключение о соответствии объекта критериям безопасности и аттестат соответствия) для отправки во ФСТЭК России.

Заключение — это итоговый документ, в котором описаны защитные меры, реализованные на исследуемом объекте информации. В нём перечисляются потенциальные каналы утечки информации, действия, предпринятые для их закрытия, и результат проведения аттестационных испытаний (положительный или отрицательный).

Контролируемая зона — это территория, на которой исключено несанкционированное пребывание посторонних лиц без сопровождения сотрудника организации, а также сторонних транспортных средств без особого пропуска.

Аттестат соответствия — это документ, подтверждающий соответствие объекта информатизации предъявляемым критериям по защите информации. Его наличие позволяет обрабатывать информацию с конкретной степенью секретности на определённый период времени.

Аттестат действует не более 5 лет, по истечении срока его действия, а также в случае изменений условий эксплуатации объекта информатизации, требуется провести повторную аттестацию. Кроме того, каждые два с половиной года должна проводиться промежуточная проверка соответствия обеспеченного уровня безопасности заявленным требованиям.

Пример шаблона Аттестата соответствия: Пример шаблона Аттестата соответствия

История

История аттестации объектов информатизации в России тесно связана с развитием информационных технологий и осознанием необходимости защиты информации, особенно в государственных структурах. Её развитие можно условно разделить на несколько этапов.

Ранний период (до 1990-х годов). В советское время существовали системы контроля и защиты информации, но они были преимущественно закрытыми и неформализованными. Защита информации основывалась на физической безопасности и ограниченном доступе к носителям информации. Системная аттестация в современном понимании отсутствовала.

Формирование нормативно-правовой базы (1990-е – начало 2000-х). С началом перестройки и развитием компьютерных технологий появилась необходимость в формализации процесса защиты информации. В этот период начали формироваться первые нормативные документы, описывающие требования к защите информации в автоматизированных системах. Это привело к появлению первых попыток аттестации, которые были достаточно несовершенными и разрозненными. Отсутствовала единая методология и стандартизация.

Развитие законодательства и стандартизации (середина 2000-х – настоящее время). В этот период произошёл значительный скачок в развитии нормативно-правовой базы. Были приняты Федеральные законы «О защите информации в информационно-телекоммуникационных системах», «О персональных данных» и другие нормативные акты, которые заложили основы для обязательной аттестации объектов информатизации, особенно тех, которые обрабатывают государственную тайну или персональные данные. Разрабатывались и утверждались государственные стандарты в области защиты информации, которые стали основой для проведения аттестационных мероприятий. Появились различные методики и процедуры аттестации, ориентированные на разные классы защищённости.

Развитие и усовершенствование системы (2010-е – настоящее время). В последние годы происходило непрерывное совершенствование системы аттестации. В связи с ростом киберугроз и развитием новых технологий, требования к защите информации постоянно ужесточались. Появились новые подходы к аттестации, в том числе с использованием автоматизированных средств. Продолжается работа по унификации и совершенствованию методологии аттестации, учитывая международный опыт и лучшие практики.

Ключевые факторы, повлиявшие на развитие аттестации:

  • Угрозы информационной безопасности: рост киберпреступности, расширение возможностей технических разведок и необходимость защиты критически важной инфраструктуры стали ключевыми движущими силами развития системы аттестации.
  • Государственная политика: активная роль государства в регулировании сферы информационной безопасности и создание нормативно-правовой базы.
  • Развитие технологий: появление новых технологий и систем потребовало адаптации методологии аттестации к новым реалиям.
  • Международный опыт: изучение и адаптация международных стандартов и лучших практик в области информационной безопасности.

Система аттестации объектов информатизации в России продолжает развиваться, адаптируясь к постоянно меняющимся угрозам и технологиям. Происходит непрерывная работа по совершенствованию нормативно-правовой базы, методологии аттестации и повышению квалификации специалистов в этой области.

Получить консультацию

Отправьте описание задачи, в решении которой нуждается ваша организация, и мы предложим возможные варианты её решения с учётом ваших возможностей.