Библиографическое описание:

Гавриленко Д. В. Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации // Молодой ученый. — 2013. — №5. — С. 143-148.

Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимают автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения, предназначенные для обработки и передачи информации, подлежащей защите, вместе с помещениями, в которых они установлены, а также помещения, предназначенные для ведения конфиденциальных переговоров. [1]

То есть к объектам информатизации относятся объекты ТСПИ (технических систем передачи информации).

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов иных нормативно — технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции. [1]

Организационную структуру системы аттестации объектов информатизации образуют (рис. 1):

1                    федеральный орган по сертификации средств и аттестации объектов информатизации по требованиям безопасности информации;

2                    органы по аттестации объектов информатизации по требованиям безопасности информации;

3                    испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

4                    заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

Рис. 1. Организационная структура системы аттестации объектов информатизации

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам: обеспечения безопасности информации [4] в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;противодействия иностранным техническим разведкам на территории Российской Федерации; обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации; защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств [5]; осуществления экспортного контроля. [2]

Федеральный орган по сертификации и аттестации осуществляет следующие функции [1]:

-                   организует обязательную аттестацию объектов информатизации;

-                   создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

-                   устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

-                   организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

-                   аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

-                   осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;

-                   организует периодическую публикацию информации по функционированию системы аттестации объектов по требованиям безопасности информации.

Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации.

Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России.

Органы по аттестации:

-                   аттестуют объекты информатизации и выдают «Аттестаты соответствия»;

-                   осуществляют контроль над эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;

-                   отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»;

-                   формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

-                   ведут информационную базу аттестованных этим органом объектов информатизации;

-                   осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.

Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации по заказам заявителей проводят испытания несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации» [1,6].

Заявители:

-                   проводят подготовку объекта информатизации аттестации путем необходимых организационно-технических мероприятий по защите информации;

-                   привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;

-                   представляют органам по аттестации необходимые документы и условия проведения аттестации;

-                   привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;

-                   осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;

-                   извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган аттестации, приводится в «Аттестате соответствия»;

-                   предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию [1].

Порядок проведения аттестации и контроля

Порядок проведения аттестации объектов информатизации требованиям безопасности информации представлен на рис. 2.

Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации.

Орган по аттестации рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.

Рис.2. Порядок проведения аттестации объектов информатизации требованиям безопасности информации

При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.

При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации [7] в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.

При проведении испытаний отдельных несертифицированных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации эти испытания проводятся до аттестационных испытаний объектов информатизации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.

По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программы аттестационных испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств [8] на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации [3].

Программа аттестационных испытаний согласовывается с заявителем.

Этап подготовки завершается заключение договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации [1].

Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.

На этапе аттестационных испытаний объекта информатизации:

-                   осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;

-                   определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;

-                   проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

-                   проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;

-                   проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

-                   оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации [1].

Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки информации и требований по безопасности информации.

В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче «Аттестата соответствия». При этом может быть предложен срок повторной аттестации при условии устранения недостатков [1].

При наличии непринципиального характера «Аттестат соответствия» может быть выдан после проверки устранения этих замечаний.

В случае несогласия заявителя с отказом в выдаче «Аттестата соответствия» он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в государственный орган по аттестации с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.

Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится федеральным органом по сертификации и аттестации как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации — периодически в соответствии с планом работы по контролю и надзору [1].

Федеральный орган по сертификации и аттестации может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органом по аттестации.

Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации по аттестации объектов информатизации.

Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль над эксплуатацией аттестованных объектов информатизации.

В случае грубых нарушений органом по аттестации требований стандартов или иных нормативных и методических документов по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации по ходатайству вышестоящего органа, проводящего контроль и надзор, перед федеральным органом по сертификации и аттестации [1].

По результатам контроля и надзора за эксплуатацией аттестованных объектов в случае нарушения их владельцами условий функционирования объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводившим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», оформив это решение в «Аттестате соответствия» и проинформировав орган, ведущий сводную информационную базу аттестованных объектов информатизации, и федеральный орган по сертификации и аттестации.

Решение о приостановлении или аннулировании действия «Аттестата соответствия» принимается в случае, когда в результате оперативного принятия организационно — технических мер не может быть восстановлен требуемый уровень безопасности информации [4].

В случае грубых нарушений органом по аттестации требований стандартов или нормативных документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции, выявленных при контроле и надзоре и пришедших к повторной аттестации, расходы по осуществлению контроля и надзора могут быть по решению Госарбитража взысканы с органа по аттестации. Кроме того, и повторная аттестация может быть осуществлена за счет этого органа по аттестации.

Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств госбюджета, выделенных ему в этих целях [1].

Требования к нормативным и методическим документам по аттестации объектов информатизации

Объекты информатизации, вне зависимости от используемых отечественных или зарубежных технических и программных средств, аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.

По результатам аттестации выписывается заключение с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи «Аттестата соответствия» и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.

К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.

Протоколы испытаний подписываются экспертами — членами аттестационной комиссии, проводившими испытания.

Заключение и протоколы испытаний подлежат утверждению органом по аттестации.

«Аттестат соответствия» на объект информатизации, отвечающий требованиям по безопасности информации, оформляется и выдается органом по аттестации по установленной форме заявителю после утверждения заключения по результатам аттестации.

Регистрация «Аттестатов соответствия» осуществляется по отраслевому или территориальному признакам органами по аттестации с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору.

Ведение сводных информационных баз аттестованных объектов информатизации осуществляется федеральным органом по сертификации и аттестации или по его поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов.

«Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту.

В нормативную и методическую документацию включаются только те показатели, характеристики и требования, которые могут быть объективно проверены.

В нормативной и методической документации на методы испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты.

Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование, в них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направленной защиты информации.

Литература:

1.    Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утверждено Председателем Гостехкомиссии России 25.11.1994). — М.: Гостехкомиссия РФ, 1994. — 22 с.

2.    Положение о Федеральной службе по техническому и экспортному контролю (Утверждено Указом Президента Российской Федерации от 16 августа 2004 г. N 1085)-М.:СЗ РФ,2004.-34 с.

3.    Методические рекомендации управлениям ФСТЭК России по федеральным округам об организации работ по аттестации объектов информатизации по требованиям безопасности информации (Утверждены ФСТЭК России 30 апреля 2006 г.).

4.    Ярочкин, В. И. Информационная безопасность [Текст]: учеб. для вузов. Изд.3. / В. И. Ярочкин — М.: Академический Проект, 2006. — 544 с.: ил.

5.    Шумский, А. А. Системный анализ в защите информации [Текст]: учеб. пособие для вузов. / А. А. Шумский — М.: Гелиос АРВ, 2005. — 224 с.: ил.

6.    Положение о сертификации средств защиты информации по требованиям безопасности информации. Приказ председателя Государственной технической комиссии при Президенте Российской Федерации № 199 от 27 октября 1995 г. [Электронный ресурс]

7.    Партыка, Т. Л. Вычислительная техника. Терминология [Текст]: справочное пособие. / Т. Л. Партыка, И. И. Попов — М.: Изд-во стандартов, 2006.- 168 с.: ил.

8.    Галатенко, В. А. Основы информационной безопасности [Текст]: Учеб.пособие для вузов. Изд.4. (Основы информационных технологий)/ В. А. Галатенко — М.: Лаборатория Базовых Знаний, 2008. — 205с.: ил.

Обсуждение

Социальные комментарии Cackle