Порядок атестації інформаційних систем. Атестація арм за вимогами інформаційної безпеки

07.03.2019

Кузов

Затверджено

головою

Державної технічної комісії

ПОЛОЖЕННЯ

З АТЕСТАЦІЇ ОБ'ЄКТІВ ІНФОРМАТИЗАЦІЇ НА ВИМОГИ БЕЗПЕКИ ІНФОРМАЦІЇ

1.1. Це Положення встановлює основні принципи, організаційну структуру системи атестації об'єктів інформатизації за вимогами безпеки інформації, порядок проведення атестації, а також контролю та нагляду за атестацією та експлуатацією атестованих об'єктів інформатизації.

1.2. Положення розроблено відповідно до законів Російської Федерації"Про сертифікацію продукції та послуг" та "Про державну таємницю", "Положення про державної системизахисту інформації в Російській Федерації від іноземних технічних розвідок та від її витоку по технічних каналах", "Положення про державне ліцензування діяльності в галузі захисту інформації", "Положення про сертифікацію засобів захисту інформації за вимогами безпеки інформації", "Системою сертифікації ГОСТ Р".

1.3. Система атестації об'єктів інформатизації з вимог безпеки інформації (далі - система атестації) є складовоюєдиної системи сертифікації засобів захисту інформації та атестації об'єктів інформатизації за вимогами безпеки інформації та підлягає державної реєстраціїу встановленому Держстандартом Росії порядку. Діяльність системи атестації організує федеральний орган із сертифікації продукції та атестації об'єктів інформатизації з вимог безпеки інформації (далі - федеральний орган із сертифікації та атестації), яким є Гостехкомісія Росії.

1.4. Під атестацією об'єктів інформатизації розуміється комплекс організаційно-технічних заходів, у яких за допомогою спеціального документа - "Атестата відповідності" підтверджується, що об'єкт відповідає вимогам стандартів чи інших нормативно-технічних документів з безпеки інформації, затверджених Держтехкомісією Росії.

Наявність на об'єкті інформатизації діючого "Атестату відповідності" надає право обробки інформації з рівнем секретності (конфіденційності) та на період часу, встановленими в "Атестаті відповідності".

1.5. Обов'язковій атестації підлягають об'єкти інформатизації, призначені для обробки інформації, що становить державну таємницю, управління екологічно небезпечними об'єктами, ведення секретних переговорів

В інших випадках атестація має добровільний характер (добровільна атестація) і може здійснюватися з ініціативи замовника або власника об'єкта інформатизації.

Атестація з вимог безпеки інформації передує початку обробки підлягає захисту інформації та викликана необхідністю офіційного підтвердження ефективності комплексу вживаних на конкретному об'єкті інформатизації заходів та засобів захисту інформації.

1.6. При атестації об'єкта інформатизації підтверджується його відповідність вимогам щодо захисту інформації від несанкціонованого доступу, у тому числі від комп'ютерних вірусів, від витоку за рахунок побічних електромагнітних випромінювань та наведень при спеціальних впливах на об'єкт (високочастотне нав'язування та опромінення, електромагнітне та радіаційне). або впливу на неї за рахунок спеціальних пристроїв, вбудовані в об'єкти інформатизації.

1.7. Атестація передбачає комплексну перевірку (атестаційні випробування) об'єкта інформатизації, що захищається, в реальних умовах експлуатації з метою оцінки відповідності застосовуваного комплексу заходів та засобів захисту необхідному рівню безпеки інформації.

1.8. Атестація проводиться органом з атестації у встановленому цим Положенням порядку відповідно до схеми, яку обирає цей орган на етапі підготовки до атестації з наступного основного переліку робіт:

Аналіз вихідних даних з атестованого об'єкта інформатизації;

Попереднє ознайомлення з атестованим об'єктом інформатизації;

Проведення експертного обстеження об'єкта інформатизації та аналіз розробленої документації щодо захисту інформації на цьому об'єкті з точки зору її відповідності вимогам нормативної та методичної документації;

Проведення випробувань окремих засобів та систем захисту інформації на атестованому об'єкті інформатизації за допомогою спеціальної контрольної апаратури та тестових засобів;

Проведення випробувань окремих засобів та систем захисту інформації у випробувальних центрах (лабораторіях) із сертифікації засобів захисту інформації за вимогами безпеки інформації;

Проведення комплексних атестаційних випробувань об'єкта інформатизації у реальних умовах експлуатації;

Аналіз результатів експертного обстеження та комплексних атестаційних випробувань об'єкта інформатизації та затвердження висновку за результатами атестації.

1.9. Органи з атестації акредитуються Держтехкомісією Росії. Правила акредитації визначаються чинним у системі "Положенням про акредитацію випробувальних лабораторій та органів із сертифікації засобів захисту інформації за вимогами безпеки інформації".

Держтехкомісія Росії може передавати права на акредитацію галузевих (відомчих) органів з атестації іншим органам державної влади.

1.10. Витрати на проведення всіх видів робіт та послуг з обов'язкової та добровільної атестації об'єктів інформатизації оплачують заявники.

Оплата робіт з обов'язкової атестаціїпровадиться відповідно до договору за затвердженими розцінками, а за їх відсутності - за договірною ціною у порядку, встановленому Держтехкомісією Росії за погодженням з Міністерством фінансів Російської Федерації.

Витрати з проведення всіх видів робіт і послуг з атестації об'єктів інформатизації оплачують заявники за рахунок фінансових коштів, виділених на розробку (доопрацювання) та введення в дію об'єкта інформатизації, що захищається.

1.11. Органи з атестації об'єктів інформатизації несуть відповідальність за виконання покладених на них функцій, забезпечення збереження державних та комерційних секретів, а також за дотримання авторських прав розробників атестованих об'єктів інформатизації та їх компонентів.

2. Організаційна структура системи атестації об'єктів інформатизації щодо вимог безпеки інформації

2.1. Організаційну структуру системи атестації об'єктів інформатизації утворюють:

Федеральний орган із сертифікації засобів захисту інформації та атестації об'єктів інформатизації за вимогами безпеки інформації - Держтехкомісія Росії;

Органи з атестації об'єктів інформатизації щодо вимог безпеки інформації;

Випробувальні центри (лабораторії) із сертифікації продукції щодо вимог безпеки інформації;

Заявники (замовники, власники, розробники атестованих об'єктів інформатизації).

2.2. Федеральний орган із сертифікації та атестації здійснює такі функції:

Організовує обов'язкову атестацію об'єктів інформатизації;

Створює системи атестації об'єктів інформатизації та встановлює правила щодо атестації у цих системах;

Встановлює правила акредитації та видачі ліцензій на проведення робіт з обов'язкової атестації;

Організовує, фінансує розробку та затверджує нормативні та методичні документи з атестації об'єктів інформатизації;

Акредитує органи з атестації об'єктів інформатизації та видає їм ліцензії на проведення певних видів робіт;

Здійснює державний контроль та нагляд за дотриманням правил атестації та експлуатацією атестованих об'єктів інформатизації;

Розглядає апеляції, що виникають у процесі атестації об'єктів інформатизації та контролю за експлуатацією атестованих об'єктів інформатизації;

Організовує періодичну публікацію інформації щодо функціонування системи атестації об'єктів інформатизації щодо вимог безпеки інформації.

2.3. Органи з атестації об'єктів інформатизації акредитуються Держтехкомісією Росії та одержують від неї ліцензію на право проведення атестації об'єктів інформатизації.

Такими органами можуть бути галузеві та регіональні установи, підприємства та організації захисту інформації, спеціальні центри Держтехкомісії Росії.

2.4. Органи з атестації:

Атестують об'єкти інформатизації та видають "Атестати відповідності";

Здійснюють контроль за безпекою інформації, що циркулює на атестованих об'єктах інформатизації, та за їх експлуатацією;

Скасують та зупиняють дію виданих цим органом "Атестатів відповідності";

Формують фонд нормативної та методичної документації, необхідної для атестації конкретних типів об'єктів інформатизації, беруть участь у їх розробці;

ведуть інформаційну базу атестованих цим органом об'єктів інформатизації;

Здійснюють взаємодію з Держтехкомісією Росії та щокварталу інформують його про свою діяльність у галузі атестації.

2.5. Випробувальні центри (лабораторії) із сертифікації продукції з вимог безпеки інформації на замовлення заявників проводять випробування несертифікованої продукції, що використовується на об'єкті інформатики, що підлягає обов'язковій атестації, відповідно до "Положення про сертифікацію засобів захисту інформації з вимог безпеки інформації".

2.6. Заявники:

Проводять підготовку об'єкта інформатизації для атестації шляхом реалізації необхідних організаційно-технічних заходів щодо захисту інформації;

Залучають органи з атестації для організації та проведення атестації об'єкта інформатизації;

Надають органам з атестації необхідні документита умови для проведення атестації;

Приваблюють, необхідних випадках, для проведення випробувань несертифікованих засобів захисту інформації, що використовуються на об'єкті атестованого інформатизації, випробувальні центри (лабораторії) з сертифікації;

Здійснюють експлуатацію об'єкта інформатизації відповідно до умов та вимог, встановлених в "Атестаті відповідності";

Сповіщають орган з атестації, що видав "Атестат відповідності", про всі зміни інформаційних технологій, складі та розміщення засобів та систем інформатики, умов їх експлуатації, які можуть вплинути на ефективність заходів та засобів захисту інформації (перелік характеристик, що визначають безпеку інформації, про зміни яких потрібно обов'язково сповіщати орган з атестації, наводиться в "Атестаті відповідності");

Надають необхідні документи та умови для здійснення контролю та нагляду за експлуатацією об'єкта інформатизації, що пройшов обов'язкову атестацію.

3. Порядок проведення атестації та контролю

3.1. Порядок проведення атестації об'єктів інформатизації з вимог безпеки інформації включає наступні дії:

Подання та розгляд заявки на атестацію;

Попереднє ознайомлення з атестованим об'єктом;

Випробування несертифікованих засобів і систем захисту інформації, що використовуються на об'єкті, що атестується (при необхідності);

Розробка програми та методики атестаційних випробувань;

Укладання договорів на атестацію;

Проведення атестаційних випробувань об'єкта інформатизації;

Оформлення, реєстрація та видача "Атестату відповідності";

Здійснення державного контролю та нагляду, інспекційного контролю за проведенням атестації та експлуатацією атестованих об'єктів інформатизації;

Розгляд апеляцій.

3.2. Подання та розгляд заявки на атестацію

3.2.1. Заявник для отримання "Атестату відповідності" заздалегідь надсилає до органу з атестації заявку на проведення атестації з вихідними даними по об'єкту інформатизації, що атестується, за формою, наведеною в додатку 1.

3.2.2. Орган з атестації у місячний строк розглядає заявку та на підставі аналізу вихідних даних вибирає схему атестації, погоджує її із заявником та приймає рішення про проведення атестації об'єкта інформатизації.

3.3. Попереднє ознайомлення з атестованим об'єктом

При недостатності вихідних даних по об'єкту, що атестується, інформатизації до схеми атестації включаються роботи з попереднього ознайомлення з атестованим об'єктом, що проводяться до етапу атестаційних випробувань.

3.4. Випробування несертифікованих засобів і систем захисту інформації, що використовуються на об'єкті інформатизації, що атестується.

3.4.1. При використанні на об'єкті, що атестується, інформатизації несертифікованих засобів і систем захисту інформації до схеми атестації можуть бути включені роботи з їх випробувань у випробувальних центрах (лабораторіях) з сертифікації засобів захисту інформації за вимогами безпеки інформації або безпосередньо на об'єкті, що атестується, інформатизації за допомогою спеціальної контрольної апаратури та тестування коштів.

3.4.2. Випробування окремих несертифікованих засобів та систем захисту інформації у випробувальних центрах (лабораторіях) із сертифікації проводяться до атестаційних випробувань об'єктів інформатизації.

У цьому випадку заявником до початку атестаційних випробувань мають бути представлені висновки органів із сертифікації засобів захисту інформації щодо вимог безпеки інформації та сертифікати.

3.5. Розробка програми та методики атестаційних випробувань

3.5.1. За результатами розгляду заявки та аналізу вихідних даних, а також попереднього ознайомлення з атестованим об'єктом органом з атестації розробляються програма атестаційних випробувань, що передбачає перелік робіт та їх тривалість, методики випробувань (або використовуються типові методики), визначаються кількісний та професійний склад атестаційної комісії, з атестації об'єктів інформатизації, необхідність використання контрольної апаратури та тестових засобів на атестованому об'єкті інформатизації або залучення випробувальних центрів (лабораторій) із сертифікації засобів захисту інформації за вимогами безпеки інформації.

3.5.2. Порядок, зміст, умови та методи випробувань для оцінки характеристик та показників, що перевіряються при атестації, відповідності їх встановленим вимогам, а також контрольна апаратура та тестові засоби, що застосовуються з цією метою, визначаються в методиках випробувань. різних видівоб'єктів інформатизації

3.5.3. Програма атестаційних випробувань узгоджується із заявником.

3.6. Укладання договорів на атестацію

3.6.1. Етап підготовки завершується укладенням договору між заявником та органом з атестації на проведення атестації, укладенням договорів (контрактів) органу з атестації із експертами, що залучаються, та оформленням припису про допуск атестаційної комісії до проведення атестації.

3.6.2. Оплата роботи членів атестаційної комісії провадиться органом з атестації відповідно до укладених трудових договорів (контрактів) за рахунок фінансових коштів від укладених договорів на атестацію об'єктів інформатизації.

3.7. Проведення атестаційних випробувань об'єктів інформатизації

3.7.1. На етапі атестаційних випробувань об'єкта інформатизації:

Здійснюється аналіз організаційної структури об'єкта інформатизації, інформаційних потоків, складу та структури комплексу технічних засобів та програмного забезпечення, системи захисту інформації на об'єкті, розробленої документації та її відповідності вимогам нормативної документації щодо захисту інформації;

Визначається правильність категорування об'єктів ЕСТ та класифікації АС (при атестації автоматизованих систем), вибору та застосування сертифікованих та несертифікованих засобів та систем захисту інформації;

Проводяться випробування несертифікованих засобів та систем захисту інформації на об'єкті, що атестується, або аналіз результатів їх випробувань у випробувальних центрах (лабораторіях) з сертифікації;

Перевіряється рівень підготовки кадрів та розподіл відповідальності персоналу за забезпечення виконання вимог щодо безпеки інформації;

Проводяться комплексні атестаційні випробування об'єкта інформатизації у реальних умовах експлуатації шляхом перевірки фактичного виконання встановлених вимог на різних етапах. технологічного процесуобробки інформації, що захищається;

Оформлюються протоколи випробувань та висновок за результатами атестації з конкретними рекомендаціями щодо усунення допущених порушень, приведення системи захисту об'єкта інформатизації у відповідність до встановлених вимог та вдосконалення цієї системи, а також рекомендацій щодо контролю за функціонуванням об'єкта інформатизації.

3.7.2. Висновок за результатами атестації з короткою оцінкоювідповідності об'єкта інформатизації вимогам щодо безпеки інформації, висновком про можливість видачі "Атестату відповідності" та необхідними рекомендаціями підписується членами атестаційної комісії та доводиться до відома заявника.

До висновку додаються протоколи випробувань, що підтверджують отримані під час випробувань результати та обґрунтовують наведений у висновку висновок.

Протоколи випробувань підписуються експертами – членами атестаційної комісії, які проводили випробування.

Висновок та протоколи випробувань підлягають затвердженню органом з атестації.

3.8. Оформлення, реєстрація та видача "Атестату відповідності"

3.8.1. "Атестат відповідності" на об'єкт інформатизації, що відповідає вимогам безпеки інформації, видається органом з атестації за формою, наведеною в додатку 2.

3.8.2. "Атестат відповідності" оформляється та видається заявнику після затвердження висновку за результатами атестації.

3.8.3. Реєстрація "Атестатів відповідності" здійснюється за галузевою або територіальною ознаками органами з атестації з метою ведення інформаційної бази атестованих об'єктів інформатизації та планування заходів щодо контролю та нагляду.

Ведення зведених інформаційних баз атестованих об'єктів інформатизації здійснюється Держтехкомісією Росії або за її дорученням одним із органів нагляду за атестацією та експлуатацією атестованих об'єктів.

3.8.4. "Атестат відповідності" видається власнику атестованого об'єкта інформатизації органом з атестації на період, протягом якого забезпечується незмінність умов функціонування об'єкта інформатизації та технології обробки інформації, що захищається, можуть вплинути на характеристики, що визначають безпеку інформації (склад та структура технічних засобів, умови розміщення, використовуване програмне забезпечення, режими обробки інформації, засоби та заходи захисту), але не більше ніж на 3 роки.

Власник атестованого об'єкта інформатизації несе відповідальність за виконання встановлених умов функціонування об'єкта інформатизації, технології обробки інформації, що захищається, та вимог щодо безпеки інформації.

3.8.5. У разі зміни умов та технології обробки інформації, що захищається, власники атестованих об'єктів зобов'язані сповістити про це орган з атестації, який приймає рішення про необхідність проведення додаткової перевірки ефективності системи захисту об'єкта інформатизації.

3.8.6. При невідповідності атестованого об'єкта вимогам щодо безпеки інформації та неможливості оперативно усунути зазначені атестаційною комісієюНедоліки орган з атестації приймає рішення про відмову у видачі "Атестату відповідності".

При цьому може бути запропонований термін повторної атестації за умови усунення недоліків.

За наявності зауважень непринципового характеру "Атестат відповідності" може бути виданий після перевірки усунення цих зауважень.

3.9. Розгляд апеляцій

У разі незгоди заявника з відмовою у видачі "Атестату відповідності" він має право звернутися до вищого органу з атестації або безпосередньо до Держтехкомісії Росії з апеляцією для додаткового розгляду отриманих під час випробувань результатів, де вона у місячний строк розглядається із залученням зацікавлених сторін. Подавець апеляції повідомляється про ухвалене рішення.

3.10. Державний контроль та нагляд, інспекційний контроль за дотриманням правил атестації та експлуатації атестованих об'єктів інформатизації

3.10.1. Державний контроль та нагляд, інспекційний контроль за проведенням атестації об'єктів інформатизації проводиться Держтехкомісією Росії як у процесі, так і після завершення атестації, а за експлуатацією атестованих об'єктів інформатизації - періодично відповідно до планів роботи з контролю та нагляду.

Держтехкомісія Росії може передавати деякі зі своїх функцій державного контролю та нагляду з атестації та за експлуатацією атестованих об'єктів інформатизації акредитованим органам з атестації.

3.10.2. Обсяг, зміст та порядок державного контролю та нагляду встановлюються у нормативній та методичній документації з атестації об'єктів інформатизації.

3.10.3. Державний контроль та нагляд за дотриманням правил атестації включає перевірку правильності та повноти заходів з атестації об'єктів інформатизації, оформлення та розгляду органами з атестації звітних документів та протоколів випробувань, своєчасне внесення змін до нормативної та методичної документації з безпеки інформації, інспекційний контроль за експлуатацією атестованих інформатизації.

3.10.4. У разі грубих порушень органом з атестації вимог стандартів або інших нормативних та методичних документів щодо безпеки інформації, виявлених під час контролю та нагляду, орган з атестації може бути позбавлений ліцензії на право проведення атестації об'єктів інформатизації.

3.10.5. При виявленні порушення правил експлуатації атестованих об'єктів інформатизації, технології обробки інформації, що захищається, та вимог з безпеки інформації органом, який проводить контроль та нагляд, може бути призупинено або анульовано дію "Атестату відповідності", з оформленням цього рішення в "Атестаті відповідності" та інформуванням органу, провідного зведену інформаційну базу атестованих об'єктів інформатики та Держтехкомісії Росії.

Рішення про анулювання дії "Атестату відповідності" приймається у разі, коли в результаті оперативного вживання організаційно-технічних заходів захисту не може бути відновлено необхідний рівень безпеки інформації.

3.10.6. У разі грубих порушень органом з атестації вимог стандартів або інших нормативних документів з безпеки інформації, затверджених Держтехкомісією Росії, виявлених при контролі та нагляді та які призвели до повторної атестації, витрати на здійснення контролю та нагляду можуть бути за рішенням Держарбітражу стягнуті з органу з атестації. Повторна атестація може бути здійснена за рахунок цього органу з атестації.

3.10.7. Витрати щодо здійснення нагляду за обов'язковою атестацією та експлуатацією об'єктів, що пройшли обов'язкову атестацію, оплачуються органом нагляду за рахунок коштів держбюджету, виділених йому з цією метою.

4. Вимоги до нормативних та методичних документів щодо атестації об'єктів інформатизації

4.1. Об'єкти інформатизації, незалежно від вітчизняних чи зарубіжних технічних і програмних засобів, атестуються на відповідність вимогам державних стандартів або інших нормативних документів з безпеки інформації, затверджених Держтехкомісією Росії.

4.2. Склад нормативної та методичної документації для атестації конкретних об'єктів інформатизації визначається органом з атестації залежно від виду та умов функціонування об'єктів інформатизації на підставі аналізу вихідних даних по об'єкту, що атестується.

4.3. До нормативної документації включаються ті показники, характеристики, вимоги, які можна об'єктивно перевірені.

4.4. У нормативній та методичній документації на методи випробувань мають бути посилання на умови, зміст та порядок проведення випробувань, що використовуються при випробуваннях контрольну апаратуру та тестові засоби, що зводять до мінімуму похибки результатів випробувань та дозволяють відтворити ці результати.

4.5. Тексти нормативних та методичних документів, які використовуються при атестації об'єктів інформатизації, мають бути сформульовані чітко та чітко, забезпечуючи їх точне та одноманітне тлумачення. Вони повинні містити вказівку про можливість використання документа для атестації певних типів об'єктів інформатизації щодо вимог безпеки інформації або напрямів захисту інформації.

4.6. Офіційною мовою системи атестації є російська мова, якою оформляються всі документи, що використовуються та видаються в рамках системи атестації.

Начальник управління

державної технічної комісії

за Президента Російської Федерації

В.ВИРКОВСЬКИЙ

Додаток 1

Кому: ____________________________________

(найменування органу з атестації

та його адресу)

на проведення атестації об'єкту інформатизації

1. (найменування заявника) просить провести атестацію (найменування

об'єкта інформатизації) на відповідність вимогам безпеки

інформації: _______________________________________________________________

2. Необхідні вихідні дані щодо атестованого об'єкта інформатизації

додаються.

3. Заявник готовий надати необхідні документи та умови для

проведення атестації.

4. Заявник погоджується на договірній основі сплатити витрати на всі

видам робіт та послуг з атестації зазначеного у цій заявці об'єкта

інформатизації.

5. Додаткові умови або відомості для договору:

5.1. Попереднє ознайомлення з атестованим об'єктом пропоную

провести у період _________________________________________________________

5.2. Атестаційні випробування об'єкта інформатики пропоную провести у

період ____________________________________________________________________

5.3. Випробування несертифікованих засобів та систем інформатизації

(найменування коштів та систем) передбачено провести у випробувальних

центрах (лабораторіях) (найменування випробувальних центрів) у період

_________________ (або пропонується провести безпосередньо на атестованому

об'єкт у період _____).

Інші умови (пропозиції).

Керівник (органу заявника)

(Підпис, дата) (Прізвище, І.О.)

додаток

до форми "Заявки..."

Вихідні дані щодо атестованого об'єкта інформатизації готуються на основі наступного переліку питань:

1. Повне та точне найменування об'єкта інформатизації та його призначення.

2. Характер (науково-технічна, економічна, виробнича, фінансова, військова, політична) та рівень секретності (конфіденційності) оброблюваної інформації визначено (відповідно до яких переліків (державного, галузевого, відомчого, підприємства)).

3. Організаційна структура об'єкта інформатизації.

4. Перелік приміщень, склад комплексу технічних засобів (основних та допоміжних), що входять до об'єкту інформатизації, в яких (на яких) обробляється вказана інформація(Розташованих у приміщеннях, де вона циркулює).

5. Особливості та схема розташування об'єкта інформатизації із зазначенням меж контрольованої зони.

6. Структура програмного забезпечення (загальносистемного і прикладного), що використовується на об'єкті інформатизації, що атестується, і призначеного для обробки інформації, що захищається, використовувані протоколи обміну інформацією.

7. Загальна функціональна схема об'єкта інформатизації, включаючи схему інформаційних потоків і режими обробки інформації, що захищається.

8. Наявність та характер взаємодії з іншими об'єктами інформатизації.

9. Склад і структура системи захисту інформації на об'єкті інформатизації, що атестується.

10. Перелік технічних та програмних засобів у захищеному виконанні, засобів захисту та контролю, що використовуються на атестованому об'єкті інформатизації та мають відповідний сертифікат, припис на експлуатацію.

11. Відомості про розробників системи захисту інформації, наявність у сторонніх розробників (щодо підприємства, на якому розташований об'єкт інформатизації, що атестується) ліцензій на проведення подібних робіт.

12. Наявність на об'єкті інформатизації (на підприємстві, де розташований об'єкт інформатизації) служби безпеки інформації, служби адміністратора (автоматизованої системи, мережі, баз даних).

13. Наявність та основні характеристики фізичного захисту об'єкта інформатизації (приміщень, де обробляється інформація, що захищається, та зберігаються інформаційні носії).

14. Наявність та готовність проектної та експлуатаційної документації на об'єкт інформатизації та інші вихідні дані щодо атестованого об'єкта інформатизації, що впливають на безпеку інформації.

Додаток 2

"ЗАТВЕРДЖУЮ"

(Посада керівника органу з атестації)

м.п. П.І.Б.

"__" _________ 19__ р.

АТТЕСТАТ ВІДПОВІДНОСТІ

(Вказується повне найменування об'єкта інформатизації)

ВИМОГИ БЕЗПЕКИ ІНФОРМАЦІЇ

Діючий до "__" _____ 19__ р.

1. Цим АТТЕСТАТОМ засвідчується, що: (наводиться повне

найменування об'єкта інформатизації) ________ категорії ____________ класу

відповідає вимогам нормативної та методичної документації щодо

безпеки інформації.

Склад комплексу технічних засобів об'єкту інформатизації (з

вказівкою заводських номерів, моделі, виробника, номерів сертифікатів),

схема розміщення у приміщеннях та щодо меж контрольованої зони,

перелік використовуваних програмних засобів, а також засобів захисту (з

зазначенням виробника та номерів сертифікатів) додаються.

2. Організаційна структура, рівень підготовки фахівців,

нормативне, методичне забезпечення та технічна оснащеність служби

безпеки інформації забезпечують контроль ефективності заходів та засобів

захисту та підтримання рівня захищеності об'єкта інформатизації у процесі

експлуатації відповідно до встановлених вимог.

3. Атестацію об'єкта інформатизації виконано відповідно до

програмою та методиками атестаційних випробувань, затвердженими

"__" _______ 19__ р. N ______.

4. З урахуванням результатів атестаційних випробувань на об'єкті

інформатизації дозволяється обробка (зазначається найвищий ступінь

секретності, конфіденційності) інформації.

5. Під час експлуатації об'єкта інформатизації забороняється: (зазначаються

обмеження, які можуть вплинути на ефективність заходів та засобів захисту

інформації).

6. Контроль за ефективністю реалізованих заходів та засобів захисту

покладається на службу безпеки інформації.

7. Детальні результати атестаційних випробувань наведено у висновку

атестаційної комісії (N _______ "__" ________ 19__ р.) та протоколах

випробувань.

8. "Атестат відповідності" видано на _____ роки, протягом яких

має бути забезпечена незмінність умов функціонування об'єкта

інформатизації та технології обробки інформації, що захищається,

вплинути на характеристики, зазначені у п. 9.

9. Перелік характеристик, про зміни яких потрібно обов'язково

сповіщати орган з атестації.

9.1. __________________________________________

9.2. __________________________________________

Керівник атестаційної комісії

(Посада із зазначенням найменування підприємства)

"__" _______ 19__ р.

Відмітки органу нагляду: ___________________________________________________

Примітка. Під об'єктами інформатизації, що атестуються за вимогами безпеки інформації, розуміються автоматизовані системи різного рівня та призначення, системи зв'язку, відображення та розмноження разом із приміщеннями, в яких вони встановлені, призначені для обробки та передачі інформації, що підлягає захисту, а також самі приміщення, призначені для ведення конфіденційних переговорів.

За вимогами безпеки інформації, порядок проведення атестації, а також контролю та нагляду за атестацією та експлуатацією атестованих об'єктів інформатизації.

1.2. Положення розроблено відповідно до законів Російської Федерації “Про сертифікацію продукції та послуг” та Про державну таємницю", "Положення про державну систему захисту інформації в Російській Федерації від іноземних технічних розвідок та від її витоку по технічних каналах", Положення про державне ліцензування діяльності галузі захисту інформації", Положення про сертифікацію засобів захисту інформації за вимогами безпеки інформації", "Системою сертифікації ГОСТ Р".

1.3. Система атестації об'єктів інформатизації за вимогами безпеки інформації (далі - система атестації) є складовою єдиної системи сертифікації засобів захисту інформації та атестації об'єктів інформатизації за вимогами безпеки інформації та підлягає державній реєстрації в установленому Держстандартом Росії порядку. Діяльність системи атестації організує федеральний орган із сертифікації продукції та атестації об'єктів інформатизації з вимог безпеки інформації (далі - федеральний орган із сертифікації та атестації), яким є Гостехкомісія Росії.

1.5. Обов'язкової атестації підлягають об'єкти інформатизації, призначені для опрацювання інформації, що становить державну таємницю, управління екологічно небезпечними об'єктами, ведення секретних переговорів.

1.6. При атестації об'єкта інформатизації підтверджується його відповідність вимогам щодо захисту інформації від несанкціонованого доступу, у тому числі від комп'ютерних вірусів, від витоку за рахунок побічних електромагнітних випромінювань та наведень при спеціальних впливах на об'єкт (високочастотне нав'язування та опромінення, електромагнітне та радіаційне). або на неї за рахунок спеціальних пристроїв, вбудованих в об'єкти інформатизації.

Аналіз вихідних даних з атестованого об'єкта інформатизації;

Попереднє ознайомлення з атестованим об'єктом інформатизації;

Проведення комплексних атестаційних випробувань об'єкта інформатизації у реальних умовах експлуатації;

Оплата робіт з обов'язкової атестації провадиться відповідно до договору за затвердженими розцінками, а за їх відсутності - за договірною ціною у порядку, встановленому Держтехкомісією Росії за погодженням з Міністерством фінансів Російської Федерації.

Витрати з проведення всіх видів робіт і послуг з атестації об'єктів інформатизації оплачують заявники за рахунок фінансових коштів, виділених на розробку (доопрацювання) і введення в дію об'єкта інформації, що захищається.

2.6. Заявники:

Залучають органи з атестації для організації та проведення атестації об'єкта інформатизації;

Надають органам з атестації необхідні документи та умови для проведення атестації;

Залучають, у необхідних випадках, для проведення випробувань несертифікованих засобів захисту інформації, що використовуються на об'єкті інформатизації, що атестується, випробувальні центри (лабораторії) з сертифікації;

Сповіщають орган з атестації, що видав "Атестат відповідності", про всі зміни в інформаційних технологіях, склад і розміщення засобів та систем інформатики, умови їх експлуатації, які можуть вплинути на ефективність заходів та засобів захисту інформації (перелік характеристик, що визначають безпеку інформації, про зміни) яких потрібно обов'язково сповіщати орган з атестації, наводиться в "Атестаті відповідності");

Ні для кого не секрет, що для забезпечення захисту інформації у державних інформаційних системах потрібно виконати низку обов'язкових заходів. Серед них - розробка технічного завдання на створення системи захисту інформації, проектування та впровадження системи захисту інформації. Ще одним важливим та обов'язковим заходом є атестація інформаційної системи з вимог безпеки.

Федеральний закон № 152-ФЗ «Про персональні дані», ГОСТ Р 51583 «Захист інформації. Порядок створення автоматизованих систем у захищеному виконанні. Загальні засади», ГОСТ Р 51624 «Захист інформації. Автоматизовані системи у захищеному виконанні. Загальні вимоги» та інші підзаконні нормативні документирегулюючих органів (ФСТЕК Росії, ФСБ Росії) встановлюють досить серйозні вимоги захисту інформації.

Для того щоб підтвердити, що інформаційна система або виділений комп'ютер відповідає вимогам стандартів та нормативно-методичних документів щодо інформаційної безпекипроводиться атестація.

Опис послуги

Метою проведення робіт є приведення автоматизованого робочого місця відповідно до вимог безпеки конфіденційної інформації ФСТЕК Росії. Атестація об'єкта інформатизації може включати наступні етапи:

підготовка об'єкта інформатизації до атестаційних випробувань;
проведення атестаційних випробувань;
підготовка звітної документації щодо результатів атестаційних випробувань.

Підготовка об'єкта інформатизації до атестаційних випробувань включає:

постачання, встановлення та налаштування необхідних сертифікованих засобів захисту інформації;
розроблення технічної документації на об'єкт інформатизації;
розробку програми та методики проведення атестаційних випробувань АС.

Проведення атестаційних випробувань включає:

перевірку об'єкта інформатизації на відповідність організаційно-технічним вимогам щодо захисту інформації;
випробування АС на відповідність вимогам щодо захисту інформації від витоку технічних каналів;
випробування АС на відповідність вимогам щодо захисту інформації від НСД.

Підготовка звітної документації за результатами атестаційних випробувань включає:

розроблення протоколів оцінки захищеності АС;
розроблення висновку за результатами атестаційних випробувань;
оформлення та видача Атестату відповідності.

Повторна атестація

Атестат відповідності видається власнику атестованого об'єкта інформатизації на 3 роки. Після завершення цього терміну або за істотних змін умов та технології обробки інформації, що захищається, потрібне проведення повторної атестації.

Термін проведення робіт із постачанням засобів захисту та встановленням не перевищує 20 робочих днів.

Вартість атестації АРМ

Ціна атестації одного арму за вимогами безпеки інформації складає не більше 90 000 руб. При цьому у зазначену суму включено необхідні коштизахисту інформації:

Підсистема захисту інформації від несанкціонованого доступу, включаючи настановний комплект.
Підсистема антивірусного захисту, включаючи настановний комплект.

Документи атестації об'єкту інформатизації

Перелік документів, на підставі та відповідно до яких надаються послуги:

Федеральний закон від 27.07.2006 N 149-ФЗ (ред. від 31.12.2014) «Про інформацію, інформаційні технології та про захист інформації»;
« Спеціальні вимогита рекомендації щодо технічний захистконфіденційної інформації (СТР-К)», Держтехкомісія Росії, 2001;
«Тимчасова методика оцінки захищеності основних технічних засобів та систем, призначених для обробки, зберігання та (або) передачі по лініях зв'язку конфіденційної інформації», Гостехкомісія Росії, 2002;
«Тимчасова методика оцінки захищеності конфіденційної інформації, що обробляється основними технічними засобами та системами, від витоку за рахунок наведень на допоміжні технічні засобита системи їх комунікації», Держтехкомісія Росії, 2002;
«Положення з атестації об'єктів інформатизації щодо вимог безпеки інформації», Держтехкомісія Росії, 1994;
РД "Захист від несанкціонованого доступу до інформації, ч. 1. " Програмне забезпеченнязасобів захисту. Класифікація за рівнем контролю відсутності недекларованих можливостей», Держтехкомісія Росії, 1999;
РД «Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація АС та вимоги щодо захисту інформації», Гостехкомісія Росії, 1998 р.;
РД «Кошти обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від НСД до інформації», Гостехкомісія Росії, 1998