По требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации.
1.2. Положение разработано в соответствии с законами Российской Федерации “О сертификации продукции и услуг” и О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", Положением о государственном лицензировании деятельности в области защиты информации", Положением о сертификации средств защиты информации по требованиям безопасности информации", "Системой сертификации ГОСТ Р".
1.3. Система аттестации объектов информатизации по требованиям безопасности информации (далее - система аттестации) является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России.
1.4. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.
Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".
1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
1.6. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
1.7. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
1.8. Аттестация проводится органом по аттестации в установленном настоящим Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
Анализ исходных данных по аттестуемому объекту информатизации;
Предварительное ознакомление с аттестуемым объектом информатизации;
Проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
Проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
Анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
1.9. Органы по аттестации аккредитуются Гостехкомиссией России. Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
Гостехкомиссия России может передавать права на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти.
1.10. Расходы по проведению всех видов работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.
Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам, а при их отсутствии - по договорной цене в порядке, установленном Гостехкомиссией России по согласованию с Министерством финансов Российской Федерации.
Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта инфоpматизации.
1.11. Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.
2.6. Заявители:
Проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
Привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;
Предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;
Привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;
Осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";
Извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");
Предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
Михаил ПЫШКИН, директор направления ИБ INLINE Technologies
Аттестация объектов информатизации
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект отвечает требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.
Достаточно полно процесс проведения аттестации изложен в соответствующих положениях и в некоторых публикациях, например, А.А. Хорева .
Состав нормативной и методической документации для аттестации конкретных автоматизированных систем (АС) определяется органом по аттестации в зависимости от вида и условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемой АС. Перечень исходных данных приведен в заявке на аттестацию (см. положение по аттестации ). Аттестат соответствия выдается владельцу АС на период, в течение которого обеспечивается неизменность условий функционирования системы и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое ПО, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
Контролирование
Положением по аттестации предусмотрено три вида контроля:
- Государственный контроль и надзор, инспекционный контроль за проведением аттестации проводится территориальным управлением ФСТЭК России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных АС - периодически в соответствии с планами работы по контролю и надзору.
- Органом по аттестации объектов информатизации, проводившим аттестацию АС, ежегодно - в соответствии с программой аттестационных испытаний.
- Самоконтроль осуществляется службой безопасности учреждения, проводится периодически (не реже одного раза в год).
Контроль заключается в оценке:
- соблюдения нормативных и методических документов ФСТЭК России;
- работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
- знаний и выполнения персоналом своих функциональных обязанностей в части за щиты информации.
В силу исторической направленности работ по аттестации на защиту государственной тайны данные работы явно перегружены утечками по техническим каналам, что вызывает большие затраты и требования к специалистам по защите информации на местах. В частности, для прохождения учебного курса "Аттестация объектов информатизации по требованиям безопасности информации. Защита от утечки по техническим каналам" слушателям необходимо иметь справку о допуске и предписание на выполнение задания "форма 16".
Не хватает также публичности информации об организациях, имеющих аттестат, а также актуальности и статуса действия этого сертификата. Согласно Положению ведение сводных информационных баз аттестованных объектов информатизации осуществляется ФСТЭК России или по ее поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов, но для бизнес-компаний более предпочтительным является вариант с публичным реестром аттестатов (или выписок из них), что позволит предприятиям выбирать себе подходящих партнеров.
В силу указанных причин для некоторых бизнес-компаний более привлекательной может быть сертификация в рамках российской аккредитации ISO. Данный вариант имеет большую международную направленность, а также считается менее зависимым от государственных структур.
Опыт зарубежных стран
Если обратиться к опыту других стран, в частности Германии, то немецкое Федеральное управление по ИТ-безопасности BSI (Bundesamt f?r Sicherheit in der Informati-onstechnik) разработало ряд стандартов (100-1, 100-2, 100-3) в области ИБ, по которым разработана схема сертификации как государственных, так и бизнес-компаний. Стандарты охватывают каталоги базовых требований, угроз, мер защиты, руководства по анализу рисков, инструментарий для самооценки соответствия требованиям. При этом, несмотря на отличие данных стандартов от стандартов ISO, по просьбе бизнес-компаний в добавление к собственной схеме сертификации была также разработана схема параллельного получения международного сертификата ISO/IEC 27001 при выполнении требований немецких стандартов.
Немецкое Федеральное управление по финансовому надзору BaFin (Bundesanstalt fur Finanzdienstleistungsauf-sicht) разработало ряд нормативных документов (Kon-TraG и MaRisk) для финансовых учреждений, на основе которых рекомендовало внедрение стандартов BSI.
В США в 2002 г. была принята Федеральная программа по ИБ FISMA (Federal Information Security Management Act), пришедшая на смену устаревшему Government Information Security Reform Act (GIS-RA). Данная программа распространяется не только на федеральные агентства, но и на любые коммерческие организации, работающие с ними. Каждое агентство должно разработать программу по ИБ, проводить периодически анализ рисков и на основе этого анализа выбирать соизмеримые ущербу средства контроля. Программа должна предусматривать такие меры, как реагирование на инциденты и обеспечение непрерывности выполнения ИТ-операций. Она предусматривает схемы аккредитации и сертификации, при этом была разработана специальная программа "ISO 27001 Harmonization Initiative" по гармонизации с международным стандартом ISO/IEC 27001. В настоящий момент завершена первая фаза программы, в рамках которой уже разработано более 10 стандартов и руководств по ИБ.
Ежегодно каждое агентство обязано отчитываться перед Конгрессом об адекватности и эффективности используемой программы, а также проводить независимый аудит ИБ на предмет ее эффективности. Для поощрения данных инициатив была разработана специальная ежегодная премия eGov Awards.
Таким образом, необходимо отметить назревшие перемены в российской программе аттестации. Основные направления совершенствования, на которые следует обратить внимание, лежат в области гармонизации с международными стандартами, а также в области интересов коммерческих предприятий и компаний.
Используемая литература
- Положение по аттестации объектов информатизации по требованиям безопасности информации (Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.); www.fstec.ru .
- Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 5 января 1996 г. № 3); www.fstec.ru .
- Хорев А. А., доктор технических наук, профессор, Аттестация объектов информатизации и выделенных помещений. См.
Ни для кого не секрет, что для обеспечения защиты информации в государственных информационных системах требуется выполнить ряд обязательных мероприятий. Среди них разработка технического задания на создание системы защиты информации, проектирование и внедрение системы защиты информации. Еще одним важным и обязательным мероприятием является аттестация информационной системы по требованиям безопасности .
Федеральный закон № 152-ФЗ «О персональных данных», ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и другие подзаконные нормативные документы регулирующих органов (ФСТЭК России, ФСБ России) устанавливают довольно серьезные требования к защите информации.
Для того чтобы подтвердить, что информационная система или выделенный компьютер соответствует требованиям стандартов и нормативно – методических документов по информационной безопасности проводится аттестация.
Описание услуги
Целью проведения работ является приведение автоматизированного рабочего места в соответствии с требованиями по безопасности конфиденциальной информации ФСТЭК России. Аттестация объекта информатизации может включать в себя следующие этапы:- подготовка объекта информатизации к аттестационным испытаниям;
- проведение аттестационных испытаний;
- подготовка отчетной документации по результатам аттестационных испытаний.
- поставку, установку и настройку необходимых сертифицированных средств защиты информации;
- разработку технической документации на объект информатизации;
- разработку программы и методики проведения аттестационных испытаний АС.
- проверку объекта информатизации на соответствие организационно-техническим требованиям по защите информации;
- испытания АС на соответствие требованиям по защите информации от утечки по техническим каналам;
- испытания АС на соответствие требованиям по защите информации от НСД.
- разработку протоколов оценки защищенности АС;
- разработку заключения по результатам аттестационных испытаний;
- оформление и выдача Аттестата соответствия.
Аттестат соответствия выдается владельцу аттестованного объекта информатизации на 3 года. По завершении данного срока или при существенных изменениях условий и технологии обработки защищаемой информации требуется проведение повторной аттестации.
Срок проведения работ с поставкой средств защиты и установкой не превышает 20 рабочих дней.
Стоимость аттестации АРМ
Цена аттестации одного арм по требованиям безопасности информации составляет не более 90 000 руб . При этом в указанную сумму включены необходимые средства защиты информации:- Подсистема защиты информации от несанкционированного доступа включая установочный комплект.
- Подсистема антивирусной защиты включая установочный комплект.
Документы аттестации объекта информатизации
Перечень документов, на основании и в соответствии с которыми оказываются услуги:
- Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 31.12.2014) «Об информации, информационных технологиях и о защите информации» ;
- «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Гостехкомиссия России, 2001 г.;
- «Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации», Гостехкомиссия России, 2002 г.;
- «Временная методика оценки защищенности конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы их коммуникации», Гостехкомиссия России, 2002;
- «Положение по аттестации объектов информатизации по требованиям безопасности информации», Гостехкомиссия России, 1994 г.;
- РД «Защита от несанкционированного доступа к информации, ч. 1. «Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», Гостехкомиссия России, 1999 г.;
- РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации», Гостехкомиссия России, 1998 г.;
- РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от НСД к информации», Гостехкомиссия России, 1998 г.
