Автоматизированное рабочее место (АРМ) – рабочее место, включающее в себя один компьютер. Автоматизированная система (АС) – это одно или несколько АРМ.
Аттестация автоматизированных рабочих мест – комплекс мероприятий, целью которых является оценка соответствия АРМ нормам информационной безопасности.
Кому нужна аттестация рабочего места?
Информация по аттестации автоматизированных рабочих мест весьма запутана. Встает вопрос: аттестация АРМ и аттестация АС – это одно и то же или нет? Технически эти процедуры идентичны. На это указывает Положение по аттестации ФСТЭК. При этом аттестация АРМ может именоваться аттестацией компьютера, аттестацией ПК, аттестацией рабочей станции.
Теперь стоит разобраться, для чего нужна аттестация автоматизированных рабочих мест. Персональные данные (ПДн), обрабатываемые организацией, необходимо защищать. Их утечка может навредить субъектам этих ПДн. Поэтому организация обязана пройти аттестацию АРМ, аттестацию помещений и АС. Аттестация непреложна для государственных информационных систем и для АС, обрабатывающих конфиденциальные сведения, к которым относятся и ПДн. При других условиях аттестация необязательна.
Как происходит аттестация АРМ?
Аттестацию компьютера вправе проводить только компания, имеющая лицензию ФСТЭК на техническую защиту конфиденциальной информации.
Аттестация автоматизированных рабочих мест по защите информации начинается с выбора надежной организации-лицензиата. Нужно составить и отправить заявку на аттестацию. Аттестующий орган обрабатывает заявку в течение 30 дней. Если сведения в заявлении оказались неполными, совершается предварительное ознакомление с предметом аттестации. После составляется план проверочных мероприятий и заключается договор. План содержит программу и методы испытаний, сроки, состав комиссии, контрольную аппаратуру. Документ обговаривается с заявителем.
Затем проводятся аттестационные испытания, которые состоят из:
- анализа технологии работы с ПД,
- анализа технологии выявления и устранения угроз,
- анализа документации,
- проверки антивирусной системы,
- проверки межсетевого экрана.
Этот список не является полным и однозначным, испытания могут разниться в зависимости от предъявляемых требований. А требования для разных типов АС отличаются. К тому же, процедура аттестации регламентирована не только Положением по аттестации ФСТЭК, но и ГОСТом, который ограничен в распространении. Некоторые из документов, содержащих требования к АРМ, также не являются общедоступными. Чтобы получить документы ограниченного доступа, нужно направить заявку в ФСТЭК России. В заявке необходимо указать:
- организационно-правовую форму предприятия,
- юридический адрес,
- фактический адрес,
- банковские реквизиты,
- количество и названия необходимых документов.
Если указать неполные сведения, заявка не будет рассмотрена. Когда ФСТЭК принял обращение, он отправляет заявителю счет и договор.
После того, как аттестационные испытания закончены, по итогам проверки разрабатываются следующие документы:
- протокол испытаний,
- заключение по результатам испытаний,
- аттестат соответствия.
Аттестат соответствия выдается сроком до 3 лет. В течение этого времени компания обязана сохранять неизменными условия функционирования АРМ.
Если АРМ не соответствует требованиям, в выдаче аттестата будет отказано. Однако можно пройти повторную процедуру при условии исправления недочетов. Также в случае отказа заявитель имеет право подать апелляцию в вышестоящий орган по аттестации.
Центр безопасности информационных систем предлагает помощь профессионалов в подготовке АРМ и его аттестации.
