Кому необходима аттестация объектов информатизации?

Аттестация является обязательной в случаях, когда объектом защиты являются:

• объекты вычислительной техники или выделенные помещения, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну;
• государственные и муниципальные информационные системы, в том числе государственные, муниципальные информационные системы персональных данных;
• информационные системы управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением;
• помещения, предназначенные для ведения конфиденциальных переговоров (защищаемые помещения).

Деятельность по аттестации является лицензируемой и подтверждается соответствующими лицензиями Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) и Федеральной службы безопасности Российской Федерации (ФСБ России).

Одним из обязательных требований к организациям – соискателям лицензий также является наличие аттестованных по требованиям безопасности объектов информатизации.

• обследование объекта информатизации, анализ уже примененных организационных и технических мер защиты информации;
• разработку и согласование программы и методик проведения аттестационных испытаний;
• классификацию и категорирование объектов с подготовкой проектов соответствующих актов, либо проверка и уточнение соответствующего класса (категории);
• проведение специальных проверок технических средств объекта информатизации; проведение лабораторных (стендовых) специальных исследований технических средств объекта информатизации;
• проведение (в случае необходимости) доработки технических средств в части побочных электромагнитных излучений и внедрение пассивных средств защиты информации;
• определение параметров настройки, используемых программных и программно-технических средств, а также средств защиты информации (средств защиты информации от несанкционированного доступа, антивирусных средств, средств межсетевого экранирования и средств криптографической защиты информации);
• подбор, внедрение/монтаж и настройку сертифицированных ФСТЭК средств защиты информации;
• проведение объектового контроля защищенности и оценки эффективности принятых мер по защите информации;
• разработку эксплуатационных и проектов организационно-распорядительных документов по защите информации;
• проведение аттестационных мероприятий объекта информатизации;
• сопровождение и поддержку объекта информатизации в течении всего времени действия «Аттестата соответствия».

Аттестация объектов информатизации, обрабатывающих информацию ограниченного доступа, не составляющую государственную тайну проводится в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденным приказом ФСТЭК России от 29.04.2021 № 77.

Аттестация на соответствие требованиям по защите информации обязательна для следующих объектов информатизации:

• государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;
• информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
• помещений, предназначенных для ведения конфиденциальных переговоров (защищаемые помещения).

Настоящий Порядок применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:

• значимых объектов критической информационной инфраструктуры Российской Федерации;
• информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);
• автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Филиал АО «БИТК» в г. Воронеже полностью укомплектован достаточным количеством средств измерений и контроля ведущих мировых и отечественных производителей: Rohde & Schwarz, Anritsu, Agilent, STT Group и т.д., что позволяет проводить следующие мероприятия по выявлению каналов утечки информации:

• лабораторные специальные исследования технических средств;
• объектовые специальные исследования технических средств и распределенных систем;
• оценку защищенности выделенных помещений по акустическому и виброакустическому каналам;
• контроль эффективности установленных технических средств защиты информации.

В рамках внедрения режима коммерческой тайны будут выполнены работы:

1. Обследование структурных подразделений и информационных систем, где может обрабатываться информация, составляющая коммерческую тайну.
2. Формирование перечня информации, составляющей коммерческую тайну.
3. Установление порядка обращения с информацией, составляющей коммерческую тайну, и контроля за соблюдением такого порядка.
4. Создание порядка учета лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
5. Подготовка проектов трудовых договоров с работниками и гражданско-правовых договоров с контрагентами.
6. Составление положения о коммерческой тайне с порядком использования материальных носителей, содержащих информацию, составляющую коммерческую тайну.
7. По желанию заказчика может быть проведено обучение или повышение осведомленности работников, допущенных к коммерческой тайне.

• разработку концепции и политики информационной безопасности организации;
• выявление недостатков в автоматизированных системах;
• поиск и идентификацию уязвимостей программного обеспечения;
• обнаружение некорректных настроек параметров безопасности;
• выявление проблем организационного характера.

Осуществляем полный цикл работ по созданию информационной инфраструктуры организации:

• аудит;
• проектирование инфраструктуры;
• подбор оборудования и программного обеспечения;
• поставка, монтаж и настройка сетевого, серверного оборудования, персональных компьютеров;
• установка и настройка программного обеспечения, средств виртуализации ведущих производителей;
• техническая поддержка.

В рамках реализации технических мер защиты информации осуществляем поставку, установку, настройку и сопровождение следующих средств защиты информации, включая:

• средства защиты от несанкционированного доступа к информации;
• средства антивирусной защиты информации;
• средства криптографической защиты информации;
• межсетевые экраны;
• системы обнаружения вторжений;
• SIEM-системы;
• DLP-системы;
• средства анализа защищенности;
• средства гарантированного уничтожения информации;
• средства контроля целостности;
• средства резервного копирования.

В рамках контроля могут быть выполнены следующие работы:

1. Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе (для ИС 1 класса защищенности не реже 1 раза в год; для ИС 2 и 3 классов защищенности не реже 1 раза в 2 года) – п.18.7 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11.02.2013 № 17.
2. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных (не реже 1 раза в 3 года) – п. 6 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
3. Контроль защиты информации на аттестованном объекте информатизации (не реже 1 раза в 2 года) – п. 32 Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденного приказом ФСТЭК России от 29.04.2021 № 77.

Внедрение в организации систем менеджмента производится в несколько этапов:

1. Проведение аудита процессов организации.
2. Анализ документов организации, определение их соответствия реальному состоянию дел и требованиям стандартов системы менеджмента качества и (или) системы менеджмента информационной безопасности.
3. Разработка и (или) корректировка документов организации, выдача предложений по совершенствованию процессов, назначению.

Создание в организации процессов по ГОСТ 56939-2024, связанных с созданием безопасного программного обеспечения и устранением выявленных недостатков, в том числе уязвимостей, программного обеспечения. В процессе выполнения работ в организации будут выполнены работы:

• планирование процессов разработки безопасного программного обеспечения;
• организация обучения сотрудников;
• организация процедур формирования и предъявления требований безопасности к программному обеспечению;
• организация управления конфигурацией программного обеспечения;
• организация управления недостатками и запросами на изменение программного обеспечения;
• организация разработки, уточнения и анализа архитектуры программного обеспечения;
• организация моделирование угроз и разработка описания поверхности атаки;
• формирование и поддержание в актуальном состоянии правил кодирования (разработка регламента);
• организация экспертизы исходного кода (разработка регламента);
• организация статического анализа исходного код (определение инструментов статического анализа, разработка регламента);
• организация динамического анализа кода программы (определение инструментов динамического анализа, разработка регламента);
• организация использования безопасной системы сборки программного обеспечения (разработка регламента);
• организация обеспечения безопасности сборочной среды программного обеспечения (разработка регламента);
• управление доступом и контроль целостности кода при разработке программного обеспечения (разработка регламента);
• обеспечение безопасности используемых секретов (разработка регламента);
• организация проверки кода на предмет внедрения вредоносного программного обеспечения через цепочки поставок (разработка регламента);
• организация функционального тестирования (план тестирования);
• организация нефункционального тестирования (разработка регламента);
• организация обеспечения безопасности при выпуске готовой к эксплуатации версии программного обеспечения (разработка регламента);
• организация безопасной поставки программного обеспечения пользователям (разработка регламента);
• организация обеспечения поддержки программного обеспечения при эксплуатации пользователями (разработка регламента);
• организация реагирования на информацию об уязвимостях (разработка регламента);
• организация поиска уязвимостей в программном обеспечении при эксплуатации (разработка регламента);
• организация обеспечения безопасности при выводе программного обеспечения из эксплуатации (разработка регламента).

Услуги по организации конфиденциального делопроизводства включает в себя следующие мероприятия:

• аудит организации;
• определение статуса, структуры, состава структурного подразделения конфиденциального делопроизводства;
• определение параметров помещения, физических средств защиты;
• разработка внутренних документов организации (положения о подразделении, должностных обязанностей работников, положения о конфиденциальном делопроизводстве, порядок допуска работников к конфиденциальной информации и т.д.);
• организация изготовления, учета, хранения, обработки и использование конфиденциальных документов;
• создание постоянно действующей экспертной комиссии;
• организация обучения работников правилам обработки конфиденциальной информации и работы с документами.

Проведение консультаций и (или) разработка программных и эксплуатационных документов на компоненты и комплексы, включая:
1) Проектная документация:

• эскизный проект;
• технический проект.

2) Программные документы:

• спецификация;
• ведомость держателей подлинников;
• текст программы;
• описание программы;
• программа и методика испытаний;
• техническое задание;
• пояснительная записка.

3) Эксплуатационные документы:

• ведомость эксплуатационных документов;
• формуляр;
• описание применения;
• руководство администратора;
• руководство пользователя;
• руководство по техническому обслуживанию.

1. Формирование требований к защите информации, содержащейся в информационной системе

На данном этапе Заказчик (или оператор) информационной системы должен провести комплексный аудит информационной безопасности, по результатам которого он должен определить:

• цели создания информационной системы (ИС) и решаемые ей задачи;
• структурно-функциональные характеристики ИС, включающие структуру и состав физические, логические, функциональные и технологические взаимосвязи между элементами ИС, с иными ИС и информационно-телекоммуникационными сетями, режимы обработки информации в ИС и в ее отдельных элементах, а также иные характеристики информационных систем, применяемые информационные технологии и особенности их функционирования;
• принадлежность информации, обрабатываемой в ИС, к информации ограниченного доступа в интересах определения нормативных правовых актов, методических документов и национальных стандартов, которым должны соответствовать ИС;
• требуемый класс защищенности ИС;
• модель нарушителя безопасности информации;
• актуальные угрозы безопасности информации, определяемые по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности обрабатываемой информации;
• номенклатуру требований к системе защиты информации ИС, которая должна определяться в зависимости от уровня защищенности ИСПДн и угроз безопасности информации, включенных в модель угроз безопасности информации.

Данный этап очень важен для построения в дальнейшем системы защиты информации, так как допущенная ошибка на начальном этапе может привести к негативным последствиям на этапах внедрения и аттестации информационной системы. Поэтому оператор для выполнения данного этапа вправе привлекать сторонних специалистов, являющихся экспертами в данной области.

2. Разработка системы защиты информации информационной системы (СЗИ)

На данном этапе требуется:

• определить типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа, являющиеся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
• определить методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
• выбрать меры защиты информации, подлежащие реализации в системе защиты информации ИС;
• определить виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
• определить структуру СЗИ, включая состав (количество) и места размещения ее элементов;
• осуществить выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
• определить параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
• определить меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.

Как правило, результаты разработки СЗИ ИС оформляются исполнителем в виде проектной и эксплуатационной документации.

3. Внедрение системы защиты информации информационной системы

Выполнение этапа включает в себя:

• установку и настройку средств защиты информации в ИС Заказчика. Установка и настройка средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на СЗИ ИС и документацией на средства защиты информации;
• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации (организационно-распорядительные документы по защите информации);
• внедрение организационных мер защиты информации;
• предварительные испытания СЗИ ИС;
• опытную эксплуатацию СЗИ ИС;
• анализ уязвимостей ИС и принятие мер защиты информации по их устранению;
• приемочные испытания СЗИ ИС

4. Аттестация информационной системы по требованиям защиты информации и ввод ее в действие

По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестаты соответствия в случае положительных результатов аттестационных испытаний.

5. Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы

Аттестовать информационную систему – это полдела. Необходимо обеспечить строгое выполнение требований организационно-распорядительной документации, так как система защиты должна функционировать и соответствовать предъявляемым требованиям на всех этапах жизненного цикла информационной системы. Данный этап предполагает соблюдение всех организационных мер по защите информации, а также своевременное обслуживание внедренных программных и программно-аппаратных средств защиты информации.

6. Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации

Данный этап является обязательным при выводе из эксплуатации информационной системы и заключается в организации мероприятий по выводу из эксплуатации средств защиты информации и системы защиты в целом.