Прежде чем начинать обрабатывать конфиденциальную или секретную информацию, предприятие должно доказать, что может защитить такие сведения от незаконного доступа или утечки. Надежно защищены должны быть все объекты информатизации.
Объект информатизации – комплекс ресурсов информации вместе с помещениями, где они размещены. Таким образом, объектами являются автоматизированные системы (АС), автоматизированные рабочие места (АРМ), помещения. Для законной работы с засекреченными или конфиденциальным сведениями эти объекты должны пройти процедуру аттестации.
Аттестация по требованиям безопасности информации объекта информатизации – комплекс проверочных мероприятий, целью которых является оценка соответствия объекта нормам информационной безопасности.
Как происходит аттестация?
Аттестацию вправе проводить только организация, имеющая лицензию ФСТЭК на техническую защиту конфиденциальной информации. Сама процедура подробно описана в «Положении по аттестации» ФСТЭК от 25.11.1994 г. Согласно положению ФСТЭК, аттестация объектов информатизации происходит в несколько этапов:
Требования ФСТЭК к аттестации объектов информатизации
Орган по аттестации обязан соблюдать установленный порядок аттестации. Он несет ответственность за сохранность сведений на аттестованном предприятии. Правила проведения процедуры регламентированы рядом нормативных документов.
Требования же к самим объектам информатизации также прописаны в нормативных документах. Они зависят от множества условий. В первую очередь, нормы различны при обработке конфиденциальной информации и при обработке сведений, составляющих государственную тайну. Так, помещение для работы с конфиденциальными сведениями называется защищаемым и должно соответствовать ряду требований, которые предусматривают ограничение распространения информации по различным каналам. А помещение, в котором обрабатывается засекреченная информация, называется режимным. К нему предъявляются более жесткие требования. Например, хранилища для носителей данных и печати на дверях.
Различны требования и для разных типов АС. Например, при обработке персональных данных (ПДн) необходимо правильно определить класс системы, исходя из категории ПДн. От этого зависит выбор подходящих СЗИ и успешность процедуры аттестации. При этом аттестация ПДн требует разработки внутренних документов, число которых может составить 60 штук.
Поэтому пройти аттестацию не так просто, как может показаться на первый взгляд. Зачастую предприятия сталкиваются с непониманием или недостаточностью нормативных документов, описывающих требования. В итоге, оказываются не готовы к аттестации и тратят впустую немалую сумму. Центр безопасности информационных систем предлагает квалифицированную помощь в подготовке к аттестации. Мы приготовим объект информатизации по всем нормам и проведем аттестацию по информационной безопасности.