Partner Group Engineering

Главная / Направления деятельности / Техническая защита информации / Аттестационные испытания объекта информатизации

Аттестационные испытания объекта информатизации

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации. В процессе аттестации:

  • осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
  • определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;
  • проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
  • проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
  • проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
  • оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

В рамках выполнения аттестационных испытаний специалисты компании ООО «Партнер Групп Инжиниринг» в целях обеспечения полного цикла работ от создания и внедрения системы защиты информации на объекте информатизации Заказчика, до подтверждения его соответствия требованиям по безопасности информации проведут следующие работы: Справочные материалы. Необходимая организационно-распорядительная документация по защите конфиденциальной информации:

  • Приемо-сдаточная документация на объект информатизации;
  • Акты категорирования выделенных помещений и объектов информатизации;
  • Инструкции по эксплуатации средств защиты информации;
  • Технический паспорт на аттестуемый объект;
  • Документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
  • Сертификаты соответствия требованиям безопасности информации на ВТСС;
  • Сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
  • Акты на проведенные скрытые работы;
  • Протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
  • Протоколы измерения величины сопротивления заземления;
  • Протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
  • Данные по уровню подготовки кадров, обеспечивающих защиту информации;
  • Данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
  • Нормативную и методическую документацию по защите информации и контролю эффективности защиты;
  • Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией;
  • Пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
  • Перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
  • Перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
  • Перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
  • Перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
  • Перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
  • Схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
  • Технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
  • Планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
  • План-схему инженерных коммуникаций всего здания, включая систему вентиляции;
  • План-схему системы заземления объекта с указанием места расположения заземлителя;
  • План-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
  • План-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
  • План-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
  • Схемы систем активной защиты (если они предусмотрены).

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. Аттестация объектов информатизации по требованиям безопасности информации осуществляется в соответствии с нормативно – правовыми и методическими документами ФСТЭК России. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации. Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров (ГОСТ Р 51275-99). Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия». «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации. Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится ФСТЭК России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации — периодически в соответствии с планами работы по контролю и надзору.