Автоматизированная система (АС) – это комплекс программно-аппаратных средств, которые используются для обработки и хранения информации. Эти системы могут обрабатывать конфиденциальную информацию или информацию, составляющую государственную тайну. Поэтому перед началом работы нужно доказать, что АС может защитить такие сведения от незаконного вторжения или утечки. Для этого их необходимо аттестовать и получить аттестат соответствия.
Алгоритм аттестации автоматизированной системы
Многие ошибочно полагают, что аттестация подразумевает не только саму проверку, но и подготовку к ней. На самом деле аттестация автоматизированных систем – это комплекс проверочных мероприятий, целью которых является оценка соответствия объекта нормам информационной безопасности. Получается, объект уже должен быть подготовлен к проверке, а аттестация только зафиксирует его соответствие или несоответствие. Это подтверждает и «Положение по аттестации» ФСТЭК от 25.11.1994 г. Оно подробно описывает процедуру аттестации объектов информатизации. Она состоит из следующих этапов:
- Подача заявки в орган по аттестации. Заниматься аттестацией вправе только компания, которая имеет лицензию ФСТЭК на техническую защиту информации. В заявке нужно указать исходные сведения, достаточные для изучения объекта. Иначе осуществляется предварительное ознакомление с объектом. На рассмотрение заявления отводится 30 дней.
- Составление плана аттестационных испытаний. В документе указываются сроки и методы проверок, оборудование, состав комиссии. План согласовывается с соискателем.
- Подписание договора на проведение аттестации.
- Аттестационные испытания. Методы проверок зависят от типа АС и защищаемой информации.
- Оформление протоколов испытаний и заключения. Если были обнаружены недочеты, в заключении указываются рекомендации по их устранению.
- Выдача аттестата соответствия. Если было вынесено неудовлетворительное решение, заявитель может его обжаловать, подав апелляцию в ФСТЭК.
Такой алгоритм применим ко всем объектам информатизации, к которым относятся АС, автоматизированные рабочие места и помещения. Отличаются только методы испытаний и требования к объектам.
Требования к АС
Чтобы успешно пройти аттестацию, важно полностью соответствовать требованиям ФСТЭК. Для разных видов АС нормы могут отличаться. Для начала приведем список существующих АС:
- информационные системы персональных данных (ИСПДн),
- государственные информационные системы (ГИС),
- АС обработки конфиденциальной информации,
- АС управления технологическими процессами (АСУ ТП),
- информационные системы общего пользования (ИСОП),
- критические информационные структуры (КИИ),
- автоматизированные банковские системы (АБС).
На каждую из указанных АС имеются нормативные документы, диктующие требования информационной безопасности.
Для ИСПДн такой документ – приказ ФСТЭК России №21 от 18.02.2013 г.
Для ГИС – приказ ФСТЭК №17 от 11.02.2013 г.
Для АС обработки конфиденциальной информации – СТР-К и РД АС.
Для АСУ ТП – приказ ФСТЭК №31 от 14.03.2014 г.
Для ИСОП – приказ ФСТЭК №489 от 31.08.2010 г.
Для КИИ – приказ ФСТЭК №235 от 21.12.2017 г. и приказ ФСТЭК №239 от 25.12.2017 г.
Для АБС – Положение Банка России №382-П от 9.06.2012 г.
Минимальный набор требований для каждой из систем выглядит так:
- распознавание лиц, имеющих доступ к сведениям;
- эксплуатация только разрешенного ПО;
- учет и охрана носителей данных;
- учет событий, угрожающих АС;
- антивирусная защита;
- выявление фактов незаконного доступа;
- оценка безопасности информации;
- охрана технических средств;
- охрана систем связи и передачи сведений.
Конечно, для большинства АС требования обширнее и изложены на десятке страниц нормативного документа. К тому же, одна АС может быть отнесена к 2 типам одновременно. Соответственно, к ней будут предъявлены требования для обоих типов АС.
Поэтому подготовка к аттестации АС – сложный и запутанный процесс. Чтобы не потерять зря время и деньги, лучше обратиться к профессионалам. Центр безопасности информационных систем предлагает квалифицированную помощь в подготовке к аттестации с последующей аттестацией АС.
