|
Главная /
Направления деятельности /
Техническая защита информации /
Аттестационные испытания объекта информатизации Аттестационные испытания объекта информатизацииАттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации. В процессе аттестации:
- осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
- определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;
- проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
- проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
- проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
- оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
В рамках выполнения аттестационных испытаний специалисты компании ООО «Партнер Групп Инжиниринг» в целях обеспечения полного цикла работ от создания и внедрения системы защиты информации на объекте информатизации Заказчика, до подтверждения его соответствия требованиям по безопасности информации проведут следующие работы: Справочные материалы. Необходимая организационно-распорядительная документация по защите конфиденциальной информации:
- Приемо-сдаточная документация на объект информатизации;
- Акты категорирования выделенных помещений и объектов информатизации;
- Инструкции по эксплуатации средств защиты информации;
- Технический паспорт на аттестуемый объект;
- Документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
- Сертификаты соответствия требованиям безопасности информации на ВТСС;
- Сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
- Акты на проведенные скрытые работы;
- Протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
- Протоколы измерения величины сопротивления заземления;
- Протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
- Данные по уровню подготовки кадров, обеспечивающих защиту информации;
- Данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
- Нормативную и методическую документацию по защите информации и контролю эффективности защиты;
- Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией;
- Пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
- Перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
- Перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
- Перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
- Перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
- Перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
- Схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
- Технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
- Планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
- План-схему инженерных коммуникаций всего здания, включая систему вентиляции;
- План-схему системы заземления объекта с указанием места расположения заземлителя;
- План-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
- План-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
- План-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
- Схемы систем активной защиты (если они предусмотрены).
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. Аттестация объектов информатизации по требованиям безопасности информации осуществляется в соответствии с нормативно – правовыми и методическими документами ФСТЭК России. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации. Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров (ГОСТ Р 51275-99). Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия». «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации. Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится ФСТЭК России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации — периодически в соответствии с планами работы по контролю и надзору.
| |
|