Опубликован: 23.02.2018 | Уровень: для всех | Доступ: платный
Лекция 10:

Основные мероприятия по проведению аттестации объектов информатизации на соответствие требованиям безопасности информации

< Лекция 9 || Лекция 10: 12 || Лекция 11 >

Проведение работ по аттестации является финальной стадией работ по созданию объекта информатизации. До начала проведения работ по аттестации заявителю необходимо провести ряд подготовительных мероприятий:

  1. Установить наличие информации ограниченного доступа, необходимость ее обработки или обсуждения, а также принять решение о необходимости защиты информации, содержащейся в автоматизированной системе. В соответствии с Рекомендациями по стандартизации Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения", автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
  2. Разработать перечень сведений конфиденциального характера заявителя. Перечень сведений конфиденциального характера составляется заявителем и оформляется за подписью руководителя организации. В случае обработки информации нескольких видов (например, персональные данные, коммерческая тайна…) необходимо разработать несколько перечней, поскольку ознакомить с каждым из перечней необходимо только должностных лиц, допущенных к тому или иному виду информации. В перечне указываются конкретные виды (наименования) сведений, а также места обработки этих сведений (документы, машинные носители, базы данных, речевое воспроизведение). После формирования "Перечня конфиденциального характера" издается приказ о его утверждении с указанием перечня должностных лиц, имеющих право ознакомления с перечнем.

Для разработки перечня в первую очередь необходимо определить вид обрабатываемой информации и наличие информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну. Для этого необходимо обратиться к "Перечню сведений конфиденциального характера", утвержденному Указом Президента РФ от 06 марта 1997 г. № 188.

Далее, требуется провести анализ информации, которая будет обрабатываться и соотнести ее с видами информации, определенной "Перечнем…". В соответствии с Указом Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" от 06.03.1997 № 188, к информации конфиденциального характера относятся:

  • сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
  • сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20 апреля 1995 г. N 45-ФЗ "О государственной защите судей…" и от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших…", другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну;
  • служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
  • сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
  • сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
  • сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;
  • сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 02 октября 2007 г. N 229-ФЗ "Об исполнительном производстве".

В том случае, если деятельность заявителя предусматривает обработку одного из вышеуказанных видов информации, можно говорить о необходимости создания объекта информатизации для обработки информации.

  1. Определить технические средства и системы, которые будут использоваться при обработке информации, места их расположения, выбрать помещения, а также общесистемное и прикладное программное обеспечение, планируемое к использованию на объекте. Для этого необходимо начать с анализа целей создания автоматизированной системы и (или) защищаемого помещения, а также решаемых ими задач.
  2. Определить режимы обработки информации (однопользовательский, многопользовательский).
  3. Определить конфигурацию и топологию автоматизированных систем и систем связи, проанализировать их физическое, функциональное и технологическое взаимодействие, а также связь с другими системами различного уровня и назначения.
  4. Определить наличие подключений к сетям общего пользования и (или) сетям международного информационного обмена.
  5. Провести анализ нормативных правовых актов, методических документов и национальных стандартов на предмет формирования требований, которым должна соответствовать автоматизированная система и (или) защищаемое помещение.
  6. Определить степень участия персонала в обработке информации, способы взаимодействия между собой.
  7. Определить условия расположения автоматизированной системы и (или) защищаемого помещения относительно границ контролируемой зоны и издать соответствующий приказ "Об определении границ контролируемой зоны". Напомним, что контролируемая зона – это пространство вокруг объекта информатизации, в котором исключено неконтролируемое пребывание посторонних лиц, а также движение транспортных средств. Определение границы контролируемой зоны осуществляется комиссионно, по результатам анализа пропускного режима, наличия охранной сигнализации, видеонаблюдения, пропускного режима, а также наличием в организации системы контроля и управления доступом.

Выделяют несколько вариантов возможной границы контролируемой зоны:

  • ограждающие конструкции помещения, в котором расположен объект информатизации (как правило, в случае аренды помещений);
  • ограждающие конструкции здания или части здания, принадлежащей собственнику объекта информатизации (как правило, в случае владения зданием или частью здания без прилегающей к нему территории).
  • периметр охраняемой территории вокруг здания организации (как правило, в случае владения зданием с прилегающей к нему охраняемой территорией).

В исключительных случаях на период обработки (обсуждения) информации на объекте информатизации контролируемая зона может временно увеличиться. Для этого на период обработки (обсуждения) необходимо принять дополнительные организационно-режимные и технические меры, исключающие возможность утечки информации в этой зоне.

В случае необходимости аттестации защищаемого помещения для проведения конфиденциальных переговоров, проводятся аналогичные мероприятия, относящиеся к оценке характеристик помещений. Защищаемое помещение – это специально выделенное помещение, в котором планируется в ходе закрытых переговоров, совещаний, встреч обсуждать информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну.

Проведя вышеуказанные мероприятия, на выходе получим объект информатизации (автоматизированное рабочее место, локальную вычислительную сеть, распределенную систему или защищаемое помещение), для которого определен вид обрабатываемой информации, способы и технологии обработки информации, условия расположения, а также степень участия персонала.

Далее, неизменно встает вопрос о необходимости аттестации объекта информатизации. Как рассматривалось выше, требование об обязательной аттестации установлено законодательством Российской Федерации в области защиты информации. В том случае, если объект информатизации попадает под обязательную аттестацию, либо если владелец принял решение о проведении добровольной аттестации рассматривается вопрос о необходимости создания системы защиты объекта информатизации.

Аттестация объекта информатизации проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации. Для проведения аттестации объекта информатизации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России.

После принятия решения о необходимости создания системы защиты информации объекта информатизации, необходимо провести анализ нормативных правовых актов, методических документов и национальных стандартов на предмет формирования требований, которым должна будет соответствовать система защиты объекта информатизации. Целью создания системы защиты информации объекта информатизации является обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа, реализация права на доступ к информации.

Также до начала проведения работ по аттестации в организации оформляются приказы и распоряжения:

  • о начале работ по подготовке к аттестации и аттестации объекта информатизации с указанием подразделений и должностных лиц, ответственных за проведение работ, а также участвующих в таких работах должностных лиц с определением степени участия;
  • о заключении договора с органом по аттестации на проведение работ по аттестации объекта информатизации.

Пакет документов, разрабатываемых заявителем, может дополняться и редактироваться, исходя из особенностей функционирования организации, а также требований законодательства и руководителя организации. В любом случае при заключении договора с органом по аттестации, его квалифицированными сотрудниками проводится анализ подготовленных документов и их корректировка, в случае необходимости (неверное установление класса системы, неверное распределение обязанностей по защите информации в организации, неверное определение мест и способов обработки информации и т.д.).

После завершения подготовительного этапа, заявитель приглашает орган по аттестации для проведения работ по аттестации объекта информатизации. Орган по аттестации осуществляет полный комплекс работ в соответствии со схемой, выбираемой этим органом, как правило, в следующем порядке:

  1. Анализ исходных данных по аттестуемому объекту информатизации, как правило, без выезда специалистов органа по аттестации на объект.
  2. Заключение договора на аттестацию между заявителем и органом по аттестации.
  3. Разработка заявителем необходимой документации по защите информации в организации в целом и на объекте информатизации.
  4. Классификация автоматизированной системы по требованиям защищенности от несанкционированного доступа к информации с оформлением Акта классификации. Для проведения классификации автоматизированной системы организация-заявитель издает приказ "О создании комиссии по классификации".
  5. Разработка программы и методик аттестационных испытаний.
  6. Анализ разработанной заявителем документации по защите информации на объекте с точки зрения ее соответствия установленным требованиям, проверка правильности проведения процедуры классификации.
  7. Доработка или корректировка документации по защите информации, разработка недостающих документов (в случае необходимости).
  8. Определение угроз безопасности информации и возможных каналов утечки информации, а также формирование требований к обеспечению технической защиты конфиденциальной информации.
  9. Разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации.
  10. Организация охраны и физической защиты помещения, в котором расположен объект информатизации, исключающих несанкционированный доступ к техническим средствам объекта информатизации, хищение и нарушение работоспособности технических средств и носителей информации.
  11. Определение заявителем подразделений и лиц, ответственных за эксплуатацию объекта информатизации, их обучение специфике работ по защите информации.
  12. Проведение испытаний отдельных технических средств и систем, входящих в состав аттестуемого объекта информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
  13. Закупка, установка и настройка сертифицированных средств защиты информации (при необходимости).
  14. Оценка эффективности принятых мер, в том числе технических, по защите информации на объекте информатизации.
  15. Разработка эксплуатационной документации на объект информатизации, технического паспорта, инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы.
  16. Проведение опытной эксплуатации средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации (при необходимости).
  17. Приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта (при необходимости).
  18. Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации.
  19. Анализ результатов аттестационных испытаний объекта информатизации, оформление протоколов, подготовка заключения по результатам аттестационных испытаний.
  20. Оформление, регистрация и выдача "Аттестата соответствия" (в случае положительных выводов в заключении по результатам аттестационных испытаний).

Обобщенная схема проведения аттестации объекта информатизации по требованиям безопасности информации представлена на рисунке 4:

Обобщенная схема проведения аттестации объекта информатизации по требованиям безопасности информации

увеличить изображение
Рис. 4. Обобщенная схема проведения аттестации объекта информатизации по требованиям безопасности информации

Аттестационные испытания проводятся на основании:

  • акта классификации автоматизированной системы;
  • технического задания на создание объекта информатизации и (или) технического задания (частного технического задания) на создание системы защиты информации (если разрабатывалось);
  • модели угроз безопасности информации;
  • разрешительной системы доступа пользователей;
  • организационно-распорядительных документов по защите информации,
  • протоколов проведения специальных исследований и специальной проверки (если проводилась);
  • протоколов оценки эффективности принятых мер и средств защиты информации;
  • иных документов, разрабатываемых заявителем или органом по аттестации в рамках проведения работ по аттестации.

При недостаточности исходных данных по объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с объектом, которые проводятся до этапа аттестационных испытаний. Предварительное ознакомление с аттестуемым объектом может быть проведено органом по аттестации несколькими способами:

  1. Удаленно, в процессе общения с заявителем по телефону, обмениваясь факсимильными сообщениями, либо по электронной почте. На данном этапе заявитель предоставляет исходные данные по объекту и выдвигает требования по защите информации на объекте. Особенность данного этапа в том, что он подходит для простых, стандартных объектов, а также, в том, что невозможен обмен информацией ограниченного доступа. По результатам данного этапа орган по аттестации предварительно классифицирует систему, анализирует возможные каналы утечки, подбирает необходимые средства защиты и меры, а также предлагает заявителю несколько вариантов построения системы защиты. Данный этап осуществляется до заключения договора между органом по аттестации и заявителем.
  2. В случае недостаточности исходных данных по объекту, либо несогласия заявителя с предложенной схемой работы, сотрудники органа по аттестации выезжают на объект с целью сбора необходимой информации и выбора оптимальной схемы работы по аттестации. Данный этап характерен для объектов, объединяющих в себе несколько видов автоматизированных систем, видов обрабатываемой информации, а также сложных распределенных объектов. В этом случае, как правило, заключается отдельный договор на проведение предварительного анализа исходных данных с выработкой рекомендаций по подготовке объекта к аттестации. Дальнейшие работы проводятся после согласования схемы проведения работ и заключения нового договора уже на аттестацию объекта.
  3. С целью экономии финансовых затрат (в случае нахождения органа по аттестации и заявителя в разных городах) возможно проведение предварительного ознакомления с объектом непосредственно перед проведением процедуры аттестации. В этом случае схема проведения работ, планируемые меры по защите информации, а также выбор необходимых средств защиты осуществляется до выезда специалистов органа по аттестации на объект.

Перечень работ, проводимых органом по аттестации в рамках предварительного ознакомления с объектом информатизации, подлежащим аттестации, выглядит следующим образом:

  1. Анализ информации, планируемой к обработке на объекте информатизации. Проводится с целью проверки правильности классификации автоматизированной системы.
  2. Анализ информационных потоков, изучение используемых информационных технологий, а также состава технических и программных средств, планируемых к использованию на объекте. Проводится с целью выработки рекомендаций по подготовке объекта информатизации, выбора оптимальной схемы аттестации, а также мер по защите информации.
  3. Анализ размещения объекта информатизации относительно границ контролируемой зоны. Проводится с целью формирования возможных угроз безопасности информации и выявления возможных каналов утечки информации.
  4. Анализ организационно-распорядительной документации, разработанной заявителем в рамках подготовки объекта к аттестации. Проводится с целью выяснения требований по защите, предъявленных заявителем, а также проверки правильности оформления документов. Неверно оформленные организационно-распорядительные документы могут повлечь за собой применение избыточных мер по защите информации, а также недостаток или избыток объектов информатизации, подлежащих аттестации.
  5. Анализ правильности распределения полномочий внутри организации-заявителя по вопросам защиты информации, а также проверка уровня их подготовки по вопросам защиты информации. Проводится с целью разработки разрешительной системы доступа. Неверно оформленные организационно-распорядительные документы могут повлечь за собой неправильное формирование правил разграничения доступа, а также привести к утечке информации по вине неквалифицированных сотрудников заявителя.
  6. Анализ системы электроснабжения, заземления, инженерных коммуникаций, а также размещения и прохождения линий объекта информатизации. Проводится с целью формирования перечня угроз безопасности информации, возможных каналов утечки информации, а также мероприятий, которые необходимо провести с целью обеспечения безопасности информации, обрабатываемой на объекте информатизации.
  7. Анализ охранной, пожарной сигнализации, пропускного режима в здание и в помещения, где расположен объект информатизации заявителя. Проводится с целью уменьшения количества мер по защите информации, в случае правильно организованной системы охраны и пропускного режима.
  8. Выработка рекомендаций по подготовке объекта к аттестации. Использование рекомендаций органа по аттестации поможет существенно снизить стоимость работ по аттестации, а также позволить решить дополнительные задачи заявителя, будь то возможность масштабирования системы в процессе эксплуатации, либо разграничения доступа к информации, циркулирующей в единой системе организации заявителя.
  9. После проведения анализа исходных данных осуществляется выбор организационных и пассивных технических мероприятий, которые необходимо внедрить для защиты объекта информатизации. А также, при необходимости, подбираются средства активной защиты объекта информатизации, а также сертифицированное программное обеспечение.

По результатам проведенных работ заявителю выдается "Акт обследования объекта информатизации", в котором фиксируется текущее положение дел по защите информации, а также даются необходимые рекомендации.

Как правило, на этом этапе орган по аттестации формирует аттестационную комиссию и издает соответствующий приказ.

Итоги: до начала проведения работ по аттестации заявитель проводит подготовительные мероприятия, в частности определяет перечень и состав объектов информатизации, проводит их классификацию, определяет режимы обработки информации на объекте информатизации, условия их расположения, наличие подключения к сетям общего пользования и прочее. После завершения подготовительного этапа, заявитель приглашает орган по аттестации для проведения работ по аттестации объекта информатизации. Орган по аттестации осуществляет полный комплекс работ в соответствии со схемой, выбираемой этим органом. При недостаточности исходных данных по объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с объектом, которые проводятся до этапа аттестационных испытаний. Аттестация объектов информатизации проводится в соответствии с программой и методиками аттестационных испытаний, с учетом требований национальных стандартов, а также методических документов ФСТЭК России.

Ключевые слова: автоматизированная система, заявитель, контролируемая зона, объект информатизации, орган по аттестации

< Лекция 9 || Лекция 10: 12 || Лекция 11 >
Анатолий Зимиров
Анатолий Зимиров

 

 

Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

Алексей Федосеев
Алексей Федосеев
Россия, Белгород, Белгородский государственный национальный исследовательский университет
Зоя Костромина
Зоя Костромина
Россия, г.Шадринск, ШГБОУ ВО Шадринский государственный педагогический университет