Опубликован: 23.02.2018 | Доступ: свободный | Студентов: 2030 / 655 | Длительность: 13:24:00
Лекция 5:

Виды аттестации объектов информатизации по требованиям безопасности информации

< Лекция 4 || Лекция 5: 12 || Лекция 6 >

Следует отметить, что, обязательная аттестация проводится в случаях, когда на объекте информатизации обрабатывается информация, утечка которой может нанести серьезный урон ее владельцу, будь то государство, юридическое лицо или индивидуальный предпринимать. Т.е. основную роль играет то, насколько критична потеря или разглашение информации ограниченного доступа, отсюда и исходит требование об обязательной аттестации обрабатывающих ее объектов информатизации. В случае добровольной аттестации владелец оценивает важность информации и определяет необходимый уровень надежности ее защиты. Если для владельца информация не представляет большую ценность, но по закону аттестация обрабатывающих ее объектов информатизации обязательна, то необходимо провести мероприятия, предписанные законом. Если закон не требует обязательной аттестации, но владелец заинтересован в надежности защиты информации (например, информация о ценовой политике, разрабатываемых ноу-хау и т.д.), то рекомендуется провести предлагаемые мероприятия по защите информации, а также пройти процедуру аттестации с целью подтверждения достаточности принятых мер по защите информации и надежности ее защиты.

К объектам информатизации, подлежащим аттестации по требованиям безопасности информации относятся:

  • автоматизированные системы различного уровня и назначения;
  • системы связи, отображения и размножения, предназначенные для обработки и передачи информации, вместе с помещениями, в которых они установлены;
  • помещения, предназначенные для ведения конфиденциальных переговоров.

Для определения типа объекта информатизации необходимо провести классификацию по двум параметрам:

  • по виду информации, которая будет обрабатываться на объекте информатизации (государственная тайна, персональные данные и т.д.);
  • по виду технических средств (помещений), которые будут использоваться при обработке информации.

Для начала, опираясь на "Перечень сведений конфиденциального характера", утвержденный Указом Президента РФ от 06 марта 1997 г. № 188, необходимо провести анализ имеющейся в организации информации и определить к какому виду она относится. Далее провести анализ имеющихся в организации технических средств и помещений и определить те, которые будут задействованы при обработке информации.

В результате формируется перечень объектов информатизации, обрабатывающих информацию ограниченного доступа, подлежащих защите. Полученный перечень объектов информатизации анализируется на предмет необходимости проведения обязательной или добровольной аттестации по требованиям безопасности информации.

Следует отметить, что объекты информатизации, подлежащие аттестации по требованиям безопасности информации, должны быть аттестованы вне зависимости от того используются в их составе отечественные или иностранные технические и программные средства.

Итоги: Согласно "Положению по аттестации объектов информатизации по требованиям безопасности информации", утвержденному председателем Гостехкомиссии России 25 ноября 1994 г., аттестация объектов информатизации может быть обязательной и добровольной. Для определения перечня объектов информатизации, подлежащих аттестации, для начала заявитель осуществляет анализ обрабатываемой в организации информации, на предмет наличия информации ограниченного доступа, а затем определяет технические средства и помещения, которые будут задействованы при обработке информации ограниченного доступа, из числа имеющихся в организации.

Ключевые слова: государственная информационная система, обязательная аттестация, добровольная аттестация

< Лекция 4 || Лекция 5: 12 || Лекция 6 >
Анатолий Зимиров
Анатолий Зимиров

 

 

Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?