Аттестация объектов информатизации по требованиям безопасности информации
20.2. Программы и методики аттестационных испытаний
Программы и методики аттестационных испытаний разрабатывается органом аттестации и согласовывается с заявителем. Общие требования к содержанию и порядку ПМИ устанавливает национальный стандарт РФ ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний", носящий гриф "Для Служебного Пользования".
Структура типовой ПМИ состоит из двух частей:
- Программа испытаний, представляющая собой план действий по проведению аттестации ("дорожная карта", roadmap), полное выполнение которых позволяет сделать вывод о соответствии проверяемого объекта заявленным требованиям.
- Методики испытаний, детально описывающие порядок выполнения каждого пункта Программы испытаний с указанием критериев оценки выполнения требований и итогового результата проверок.
Кроме того, отдельным разделом определяются общие положения об аттестуемом объекте, раскрывающие информацию о наименовании объекта, его расположении, классификации, составе аттестационной комиссии, целях, задачах, сроках проведения аттестации, методах контроля, в том числе сведений о применяемых средствах контроля защищенности информации.
Применительно к аттестации информационных систем программа испытаний может состоять из следующих мероприятий:
- проверка структуры, состава и условий эксплуатации информационной системы;
- проверка состояния организации работ и выполнения требований по защите информации;
- проверка выполнения требований для обеспечения установленного уровня защищенности персональных данных при их обработке в информационной системе (для информационных систем, содержащих персональные данные);
- проверка выполнения требований к составу мер защите информации при ее обработке в информационной системе в соответствии с выбранным классом защищенности и/или уровнем защищенности обрабатываемых персональных данных[152].
В случае если в модели угроз для ИС угрозы, связанные с утечкой информации по техническим каналам, определены как актуальные, также проводится проверка выполнения требований по защите информации от данного класса угроз.
20.3. Заключение по результатам аттестации объекта информатизации
Эксперты из состава аттестационной комиссии, в соответствии с принятыми в ПМИ критериями, принимают решение о соответствии/несоответствии принятых на объекте информатизации мер установленным требованиям. Подготавливаются протоколы аттестационных испытаний. Протоколы должны обеспечивать возможность воспроизведения результатов испытаний контролирующим органом.
Протокол аттестационных испытаний должен включать:
- вид испытаний;
- объект испытаний;
- дату и время проведения испытаний;
- место проведения испытаний;
- перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);
- перечень нормативно-методических документов, в соответствии с которыми проводились испытания;
- методику проведения испытания (краткое описание);
- результаты измерений;
- результаты расчетов;
- выводы по результатам испытаний[153].
Протоколы испытаний подписываются экспертами - членами аттестационной комиссии, проводившими испытания.
После составления протоколов испытаний готовится заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, однозначным выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями.
Заключение подписывается членами аттестационной комиссии и доводится до сведения заявителя.
К заключению прилагаются протоколы испытаний.
Заключение и протоколы испытаний подлежат утверждению органом по аттестации.
20.4. Аттестат соответствия объекта информатизации
Аттестат соответствия должен содержать:
- регистрационный номер;
- дату выдачи;
- срок действия;
- наименование, адрес и местоположение объекта информатизации;
- категорию объекта информатизации;
- класс защищенности автоматизированной системы;
- гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;
- организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
- номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;
- перечень руководящих документов, в соответствии с которыми проводилась аттестация;
- номер и дата утверждения заключения по результатам аттестационных испытаний;
- состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;
- организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;
- перечень действий, которые запрещаются при эксплуатации объекта информатизации;
- список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.
Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.
Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.