Кому необходима аттестация объектов информатизации?

Аттестация является обязательной в следующих случаях:

• на объекте обрабатывается информация (в том числе и речевая), содержащая сведения, составляющие государственную тайну;
• объектом защиты является государственная информационная система;
• системы управления экологически опасными объектами.

Деятельность по аттестации является лицензируемой и подтверждается соответствующими лицензиями регуляторов - Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) и Федеральной службы безопасности Российской Федерации (ФСБ России).

Одним из обязательных требований к организациям – соискателям лицензий также является наличие аттестованных по требованиям безопасности объектов информатизации.

• обследование объекта информатизации, анализ уже примененных организационных и технических мер защиты информации;
• разработку и согласование программы и методик проведения аттестационных испытаний;
• классификацию и категорирование объектов с подготовкой проектов соответствующих актов, либо проверка и уточнение соответствующего класса (категории);
• проведение специальных проверок технических средств объекта информатизации; проведение лабораторных (стендовых) специальных исследований технических средств объекта информатизации;
• проведение (в случае необходимости) доработки технических средств в части побочных электромагнитных излучений и внедрение пассивных средств защиты информации;
• определение параметров настройки, используемых программных и программно-технических средств, а также средств защиты информации (средств защиты информации от несанкционированного доступа, антивирусных средств, средств межсетевого экранирования и средств криптографической защиты информации);
• подбор, внедрение/монтаж и настройку сертифицированных ФСТЭК средств защиты информации;
• проведение объектового контроля защищенности и оценки эффективности принятых мер по защите информации;
• разработку эксплуатационных и проектов организационно-распорядительных документов по защите информации;
• проведение аттестационных мероприятий объекта информатизации;
• сопровождение и поддержку объекта информатизации в течении всего времени действия «Аттестата соответствия».

На сегодняшний день наиболее распространенными объектами информатизации, обрабатывающих сведения ограниченного доступа являются:

• информационные системы органов государственной власти (государственные информационные системы - ГИС);
• информационные системы органов местного самоуправления (муниципальные информационные системы - МИС);
• иные информационные системы, включающие в себя информационные системы персональных данных (ИСПДн).

В соответствии со ст. 16 ФЗ-149 от 27.07.2006г. «Об информации, информационных технологиях и о защите информации» защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2. соблюдение конфиденциальности информации ограниченного доступа;
3. реализацию права на доступ к информации.

Для обеспечения выполнения требований вышеупомянутого Федерального закона оператору информационной системы необходимо строго выполнять требования по защите информации, приведенные в Приказах ФСТЭК России:

• № 17 от 11.02.2013г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• № 21 от 18.02.2013г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Стоит отметить, что нормативно-правовое поле в области обеспечения защищенности информации в информационных системах развивается очень динамично и подвергается постоянному совершенствованию в части реализации организационных и технических мер, направленных на обеспечение:

• конфиденциальности информации;
• целостности информации;
• доступности информации.

Филиал АО «БИТК» в г. Воронеже полностью укомплектован достаточным количеством средств измерений и контроля ведущих мировых и отечественных производителей: Anritsu, Agilent, STT Group и т.д., что позволяет проводить следующие мероприятия по выявлению каналов утечки информации:

• лабораторные специальные исследования технических средств (ТС);
• объектовые специальные исследования ТС и распределенных систем;
• оценку защищенности выделенных помещений по акустическому и виброакустическому каналам;
• контроль эффективности установленных технических средств защиты информации.

• разработку концепции и политики информационной безопасности организации;
• выявление недостатков в автоматизированных системах;
• поиск и идентификацию уязвимостей программного обеспечения;
• обнаружение некорректных настроек параметров безопасности;
• выявление проблем организационного характера.

1. Формирование требований к защите информации, содержащейся в информационной системе

На данном этапе Заказчик (или оператор) информационной системы должен провести комплексный аудит информационной безопасности, по результатам которого он должен определить:

• цели создания информационной системы (ИС) и решаемые ей задачи;
• структурно-функциональные характеристики ИС, включающие структуру и состав физические, логические, функциональные и технологические взаимосвязи между элементами ИС, с иными ИС и информационно-телекоммуникационными сетями, режимы обработки информации в ИС и в ее отдельных элементах, а также иные характеристики информационных систем, применяемые информационные технологии и особенности их функционирования;
• принадлежность информации, обрабатываемой в ИС, к информации ограниченного доступа в интересах определения нормативных правовых актов, методических документов и национальных стандартов, которым должны соответствовать ИС;
• требуемый класс защищенности ИС;
• модель нарушителя безопасности информации;
• актуальные угрозы безопасности информации, определяемые по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности обрабатываемой информации;
• номенклатуру требований к системе защиты информации ИС, которая должна определяться в зависимости от уровня защищенности ИСПДн и угроз безопасности информации, включенных в модель угроз безопасности информации.

Данный этап очень важен для построения в дальнейшем системы защиты информации, так как допущенная ошибка на начальном этапе может привести к негативным последствиям на этапах внедрения и аттестации информационной системы. Поэтому оператор для выполнения данного этапа вправе привлекать сторонних специалистов, являющихся экспертами в данной области.

2. Разработка системы защиты информации информационной системы (СЗИ)

На данном этапе требуется:

• определить типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа, являющиеся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
• определить методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
• выбрать меры защиты информации, подлежащие реализации в системе защиты информации ИС;
• определить виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
• определить структуру СЗИ, включая состав (количество) и места размещения ее элементов;
• осуществить выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
• определить параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
• определить меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.

Как правило, результаты разработки СЗИ ИС оформляются исполнителем в виде проектной и эксплуатационной документации.

3. Внедрение системы защиты информации информационной системы

Выполнение этапа включает в себя:

• установку и настройку средств защиты информации в ИС Заказчика. Установка и настройка средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на СЗИ ИС и документацией на средства защиты информации;
• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации (организационно-распорядительные документы по защите информации);
• внедрение организационных мер защиты информации;
• предварительные испытания СЗИ ИС;
• опытную эксплуатацию СЗИ ИС;
• анализ уязвимостей ИС и принятие мер защиты информации по их устранению;
• приемочные испытания СЗИ ИС

4. Аттестация информационной системы по требованиям защиты информации и ввод ее в действие

По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестаты соответствия в случае положительных результатов аттестационных испытаний.

5. Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы

Аттестовать информационную систему – это полдела. Необходимо обеспечить строгое выполнение требований организационно-распорядительной документации, так как система защиты должна функционировать и соответствовать предъявляемым требованиям на всех этапах жизненного цикла информационной системы. Данный этап предполагает соблюдение всех организационных мер по защите информации, а также своевременное обслуживание внедренных программных и программно-аппаратных средств защиты информации.

6. Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации

Данный этап является обязательным при выводе из эксплуатации информационной системы и заключается в организации мероприятий по выводу из эксплуатации средств защиты информации и системы защиты в целом.