ФСТЭК аттестация объектов информатизации

Прежде чем начинать обрабатывать конфиденциальную или секретную информацию, предприятие должно доказать, что может защитить такие сведения от незаконного доступа или утечки. Надежно защищены должны быть все объекты информатизации.

Объект информатизации – комплекс ресурсов информации вместе с помещениями, где они размещены. Таким образом, объектами являются автоматизированные системы (АС), автоматизированные рабочие места (АРМ), помещения. Для законной работы с засекреченными или конфиденциальным сведениями эти объекты должны пройти процедуру аттестации.

Аттестация по требованиям безопасности информации объекта информатизации – комплекс проверочных мероприятий, целью которых является оценка соответствия объекта нормам информационной безопасности.

Как происходит аттестация?

Аттестацию вправе проводить только организация, имеющая лицензию ФСТЭК на техническую защиту конфиденциальной информации. Сама процедура подробно описана в «Положении по аттестации» ФСТЭК от 25.11.1994 г. Согласно положению ФСТЭК, аттестация объектов информатизации происходит в несколько этапов:

Нужно выбрать организацию и отправить туда запрос на проведение аттестации. Заявка оформляется по форме, указанной в положении. При этом необходимо предоставить исходные данные: наименование организации; объект, который требуется аттестовать; вид информации, который планируется обрабатывать; помещения, связанные с объектом; список средств защиты информации (СЗИ), которые не сертифицированы; сведения о службе безопасности; сведения о документации. Аттестующий орган рассматривает заявление в течение 30 дней. Если исходные сведения недостаточны, осуществляется предварительное ознакомление с объектом.
На основании полученных сведений аттестующий орган составляет план аттестационных испытаний. Здесь подробно описываются методы и сроки испытаний, оборудование, тестовые средства, состав комиссии. Если необходимо привлечь лаборатории для сертификации СЗИ, это тоже будет указано в программе. Документ согласовывается с соискателем.
Следующий шаг – подписание договора на аттестацию. Все расходы на проведение проверки ложатся на заявителя.
Затем осуществляются непосредственно аттестационные испытания. Они различны для разных объектов. При аттестации помещений проводится осмотр комнаты, проверяются окна, двери, стены, батареи, вентиляции, розетки. При помощи специального оборудования проводится тестирование защищенности информационных каналов: акустического, виброакустического, акустоэлектрического и т.д. При аттестации АРМ или АС проводятся другие испытания: проверяются межсетевой экран и подсистемы антивирусной защиты, регистрации, выявления вторжений и др. Оценивается правильность категорирования АС и выбора СЗИ. Это приблизительный перечень испытаний. Важно понимать, что требования к объектам могут сильно разниться. Это зависит от типа АС и от вида обрабатываемой информации. Полные сведения по требованиям информационной безопасности нужно узнать из нормативных документов. Часть этих документов ограничена в распространении. Получить их можно, отправив запрос в ФСТЭК.
После проведения испытаний оформляются протоколы испытаний и заключение. Если были обнаружены нарушения, в заключении расписываются указания по устранению недочетов. Документы заверяются членами комиссии.
При положительном решении выдается аттестат соответствия. В нем прописаны объект информатизации и вид информации, разрешенный к обработке. Также указывается срок годности аттестата и условия, при изменении которых необходимо уведомить орган по аттестации. Аттестат годен в течение 3 лет. В это время компания обязана сохранять неизменными условия обработки информации. Если фирме было отказано в получении аттестата, она вправе подать апелляцию в ФСТЭК.

Смотреть весь список

Свернуть

Требования ФСТЭК к аттестации объектов информатизации

Орган по аттестации обязан соблюдать установленный порядок аттестации. Он несет ответственность за сохранность сведений на аттестованном предприятии. Правила проведения процедуры регламентированы рядом нормативных документов.

Требования же к самим объектам информатизации также прописаны в нормативных документах. Они зависят от множества условий. В первую очередь, нормы различны при обработке конфиденциальной информации и при обработке сведений, составляющих государственную тайну. Так, помещение для работы с конфиденциальными сведениями называется защищаемым и должно соответствовать ряду требований, которые предусматривают ограничение распространения информации по различным каналам. А помещение, в котором обрабатывается засекреченная информация, называется режимным. К нему предъявляются более жесткие требования. Например, хранилища для носителей данных и печати на дверях.

Различны требования и для разных типов АС. Например, при обработке персональных данных (ПДн) необходимо правильно определить класс системы, исходя из категории ПДн. От этого зависит выбор подходящих СЗИ и успешность процедуры аттестации. При этом аттестация ПДн требует разработки внутренних документов, число которых может составить 60 штук.

Поэтому пройти аттестацию не так просто, как может показаться на первый взгляд. Зачастую предприятия сталкиваются с непониманием или недостаточностью нормативных документов, описывающих требования. В итоге, оказываются не готовы к аттестации и тратят впустую немалую сумму. Центр безопасности информационных систем предлагает квалифицированную помощь в подготовке к аттестации. Мы приготовим объект информатизации по всем нормам и проведем аттестацию по информационной безопасности.

Аттестация объектов информатизации

Как происходит аттестация?

Требования ФСТЭК к аттестации объектов информатизации