Информация, циркулирующая в стенах предприятия, может быть весьма ценной, а ее утечка приведет к негативным последствиям. Для этого информацию нужно защищать. Обязательной защите подлежат конфиденциальные сведения и сведения, составляющие государственную тайну. Перед началом работы с такими сведениями организация должна доказать, что они находятся в безопасности. Для этого проводится аттестация информации ФСТЭК.
Аттестация по защите информации – комплекс проверочных мероприятий, направленных на подтверждение соответствия объекта нормам безопасности информации. Аттестации подлежат автоматизированные рабочие места (АРМ), автоматизированные системы (АС), помещения.
Как происходит аттестация?
Общая информация по аттестации содержится в «Положении по аттестации» ФСТЭК от 25.11.1994 г. Оно регламентирует порядок и правила процедура. Согласно положению аттестация объектов информации происходит в несколько этапов:
- Подача заявления в аттестующий орган. Таким органом может быть только лицензиат ФСТЭК в сфере технической защиты информации. Он рассматривает заявку в течение месяца и при необходимости устраивает предварительное ознакомление с объектом.
- Заключение договора.
- Составление программы аттестационных испытаний. Здесь описываются методы и сроки проверочных мероприятий. Документ согласовывается с заявителем.
- Проведение испытаний. Методы проверок зависят от вида объекта, предъявляемых к нему требований и типа охраняемой информации.
- Составление протоколов испытаний и заключения. В документе указываются обнаруженные нарушения и рекомендации по их устранению
- Выдача аттестата соответствия. При соответствии требованиям информационной безопасности заявитель получает аттестат сроком до 3 лет при условии сохранения неизменными условий обработки данных.
Это общий алгоритм процедуры. Надо понимать, что он может изменяться в зависимости от объекта информатизации и вида обрабатываемой информации.
Аттестация помещений
Для работы с конфиденциальными сведениями или гостайной, для проведения секретных переговоров и совещаний необходимо оборудовать специальное помещение. В случае с конфиденциальной информацией оно называется защищаемым, для гостайны – режимным.
Аттестация помещений направлена на оценку защищенности помещения от утечки информации по различным каналам. Во время процедуры проверяется расположение помещения относительно контролируемой зоны. Важны этаж, количество окон, батарей и вентиляций, материал стен и двери. Затем проводятся проверки всех каналов утечки информации: акустического, виброакустического и т.д.
Для режимного помещения требований больше. Например, опечатывание дверей и хранение носителей в сейфах.
Для полноценной подготовки к аттестации помещений нужно изучить нормативные документы, которые диктуют требования. Однако эти документы ограничены в распространении, и, чтобы получить их, нужно отправить заявку в ФСТЭК.
Аттестация системы защиты информации
Перед аттестацией АС необходимо правильно определить класс системы. Их существует 7 типов:
- информационные системы персональных данных (ИСПДн),
- государственные информационные системы (ГИС),
- АС обработки конфиденциальной информации (АС ОКИ),
- АС управления технологическими процессами (АСУ ТП),
- информационные системы общего пользования (ИСОП),
- критические информационные структуры (КИИ),
- автоматизированные банковские системы (АБС).
Для каждого класса АС существуют свои требования, изложенные в разных нормативных документах. Система и все ее подсистемы должны абсолютно соответствовать этим нормам. Помимо этого, обязательна и разработка внутренней документации. Это сложный и долгий процесс, например, для ИСПДн может потребоваться до 60 документов.
Аттестация АРМ идентична процедуре аттестации АС.
Очевидно, что подготовиться к аттестации и пройти ее с первого раза – задача не из легких. Для того, чтобы не терять время и деньги, можно обратиться к профессионалам. Центр безопасности информационных систем поможет вам подготовиться к процедуре с последующей аттестацией.