Что такое аттестация защищаемого помещения?

Кто-то под аттестацией понимает только подготовку (защиту) защищаемого помещения, кто-то понимает подготовку и оценку защищенности помещения, а кто-то — только оценку защищенности (аттестационные испытания).

Как правильно? Давайте разбираться.

В соответствии с нормативно-методической документацией в области аттестации объектов информатизации (положение по аттестации объектов информатизации и ГОСТ РО 0043-003-2012) под аттестацией понимается:

«… комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России».

Кто-то скажет, что формулировка четко определяет, что под аттестацией понимается оценка соответствия объекта информатизации какому-то определенному нормативному документу ФСТЭК России, а кто-то скажет, что под комплексом «организационно-технических мероприятий» можно понимать и подготовку (защиту) объекта информатизации. Поэтому данную формулировку нельзя считать железным аргументом. Давайте найдем 100% доказательство.

Для этого рассмотрим пункт 1.8. положения по аттестации объектов информатизации, устанавливающий перечень работ при аттестации:

В результате мы видим, что в составе работ по аттестации никакой подготовки объекта информатизации к аттестации нет! А это уже является 100% аргументом в пользу того, что аттестация – это только оценка соответствия (оценка защищенности) объекта информатизации.

Кому нужна аттестация защищаемого помещения?

Аттестация защищаемого помещения в обязательном порядке требуется при получении и осуществлении работ в рамках:

  1. Лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.
  2. Лицензии ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.
  3. Лицензии ФСБ России на деятельность по разработке и производству средств защиты конфиденциальной информации.

Также в рамках выполнения требований закона ФЗ-98 «О коммерческой тайне» и ФЗ-149 «Об информации, информационных технологиях и о защите информации» собственник (владелец) конфиденциальной информации обязан обеспечить защиту таких сведений при осуществлении своей коммерческой деятельности.
Использование защищаемого помещения является лучшим способом защиты конфиденциальной информации при ведении переговоров.

Во всех остальных случаях использование защищаемого помещения является добровольным.

Порядок аттестации защищаемого помещения

Общий порядок аттестации установлен двумя нормативно-методическими документами:

  1. «ПОЛОЖЕНИЕ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» от 25.11.1994.
  2. «ГОСТ РО 0043-003-2012 АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ» от 17.04.2012 (имеет гриф «ДСП», т.е. ограниченного распространения).

При аттестации защищаемого помещения (далее – ЗП) подвергаются оценке следующие обязательные технические каналы утечки информации:

На практике порядок подготовки и аттестации защищаемого помещения выглядит так:

По результатам аттестации оформляются следующие отчетные документы:

  • программа и методики аттестационных испытаний;
  • протокол аттестационных испытаний (оформляется по каждому техническому каналу утечки информации);
  • заключение по результатам аттестационных испытаний (общее для всех технических каналов утечки информации);
  • аттестат соответствия (выдается в случае положительного заключения).

Требования к защищаемому помещению

Требования по защите конфиденциальной информации, обрабатываемой (обсуждаемой) в защищаемых помещениях, установлены следующими нормативно-методическими документами ФСТЭК России:

Указанные документы имеют гриф «ДСП», т.е. ограниченного распространения и соответственно просто так с ними не ознакомиться. Данные документы могут получить только соискатели лицензий или лицензиаты ФСТЭК России путем запроса указанных документов установленным порядком в самом ФСТЭК России.

Порядок получения указанных документов приведен на сайте ФСТЭК России в разделе: Документы / Обеспечение документами
Или по ссылке: https://fstec.ru/normotvorcheskaya/obespechenie-dokumentami/27-poryadok-obespecheniya-dokumentami-fstek-rossii-organizatsij-ne-imeyushchikh-vedomstvennoj-prinadlezhnosti

Стоимость аттестации защищаемого помещения

Стоимость аттестации типового помещения на текущий момент составляет около 150 тыс. руб. вместе с поставкой, установкой и настройкой средств защиты информации.

В цену также входит:

  • обследование помещения и разработка технического паспорта на помещение;
  • инструментальная оценка (измерения контрольно-измерительным оборудованием);
  • закупка, установка и настройка средств защиты;
  • повторная инструментальная оценка;
  • оформление отчетных документов.

Под типовым понимается помещение, соответствующее следующим критериям:

  • Одно окно, одна дверь, одна батарея отопления, одна вытяжка (если батареи отопления и вытяжки нет, то еще лучше).
  • Стены и перекрытия капитальные: бетонные или кирпич.
  • Отсутствие соседей (др. юр. лиц), т.е. потенциальных шпионов. Если есть соседи, то как можно меньшая площадь помещения должна с ними граничить.
  • Входная дверь металлическая с уплотнительной резинкой. Если дверь деревянная, то ее толщина должна быть не менее 40 мм, а щели — как можно меньше.

Если помещение не типовое, то стоимость будет больше.

Скачать коммерческое предложение на аттестацию ЗП
СКАЧАТЬ PDF

Кто аттестует защищаемое помещение?

Проводить работы по аттестации защищаемых помещений имеют право только специализированные организации – лицензиаты ФСТЭК России (лицензия на деятельность по технической защите конфиденциальной информации с соответствующими пунктами в лицензии).

В лицензии в обязательном порядке должны быть указаны следующие виды деятельности:

  • Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
    защищаемых помещениях;
  • Аттестационные испытания и аттестация на соответствие требованиям по защите информации:
    защищаемых помещениях;

Данная организация должна обладать квалифицированным персоналом с высшим образованием в области защиты информации и опытом работы от 3-х лет.

У лицензиата ФСТЭК обязательно должно быть в собственности следующее специальное контрольно-измерительное оборудование:

Специализированные готовые программно-аппаратные измерительные комплексы, включающие в себя большее количество необходимого оборудования и сертифицированные ФСТЭК России, стоят от 900 тысяч рублей.

Требования к оборудованию установлены ФСТЭК России следующим документом:
«Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79».

Работы по аттестации защищаемых помещений достаточно трудоемкие, потому что необходимо провести большое количество измерений специализированным сложным и дорогостоящим измерительным оборудованием на территории заказчика. Часто измерения приходится осуществлять в  труднодоступных местах (подвалы, лестничные пролеты, технические этажи, крыши зданий и др.). Кроме того, данные работы требуют особой компетенции в области защиты информации от утечки по техническим каналам информации.

В случае необходимости подготовки помещения к аттестации, а в частности установки средств вибро-акустической защиты информации у установщика (монтажника) указанных средств должен быть допуск к слаботочным (до 1000 вольт) электромонтажным работам, а в случае проведения работ на высоте (выше 1,5 метра) допуск на проведение высотных работ.

Для расчета стоимость аттестации вашего помещения вы можете связаться с нашим специалистом по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК