Аттестация объектов информатизации

Что такое аттестация объектов информатизации

Аттестация объектов информатизации — ряд действий, направленных на проверку соответствия требованиям по технической защите информации. Требования утверждены ФСТЭК России приказом №025 от 20 октября 2016 г.

Аттестация объектов информатизации относится к лицензируемому виду деятельности, выполняется только организациями, получившими лицензию ФСТЭК России на оказание услуг, в том числе по аттестации средств и систем.

Объекты информатизации (ОИ) бывают двух типов: объекты вычислительной техники и выделенные помещения. Они могут быть введены в эксплуатацию и обрабатывать информацию только после получения положительного заключения и оформления Аттестата соответствия, и только с тем уровнем секретности, с учётом которого проводилась аттестация (данная информация указывается в аттестате).

Чтобы оценить соответствие объекта требованиям, аттестационные испытания проводятся в реальных условиях — размещение объекта, адрес, этаж, номер кабинета, порядок доступа сотрудников, принятый в именно этой организации и т. д. Всё должно быть в том состоянии, в котором планируется дальнейшее его использование.

Порядок проведения аттестации включает в себя:

• проведение предварительного обследования объекта, в ходе которого проводится определение исходных данных, включающих конкретные условия эксплуатации, принятые меры, готовность организационно-распорядительных документов, применённые средства защиты;
• разработка документа «Программа и методика проведения испытаний»;
• проведение аттестационных испытаний;
• оформление материалов (протоколы, заключение) с фиксацией результатов испытаний;
• регистрация документа «Аттестата соответствия», выдача заказчику, направление результатов в управление ФСТЭК России по федеральному округу.

Аттестация объектов вычислительной техники

Объект вычислительной техники (ОВТ) — это комплекс информационных систем, оборудования, программ, средств, обеспечивающих их функционирование и помещений, в которых они расположены. Чаще всего это обособленные АРМ, сеть устройств, средства изготовления и размножения документов.

Аттестация объектов вычислительной техники проходит по общему порядку проведения аттестации. Проверяется полнота и правильность подготовки комплекта организационно-распорядительной документации, разработанной в организации по вопросам технической защиты информации, эксплуатационная документации на объект. Затем проводится проверка достаточности принятых мер и проводится оценка эффективности примененных средств защиты.

На этапе аттестационных испытаний исследуются технические каналы утечки информации, появляющиеся под воздействием электромагнитного поля, возникающего в процессе использования оборудования для обработки информации.

Аттестация выделенных помещений

Выделенное помещение (ВП) — помещение для проведения обсуждений, совещаний, переговоров с использованием информации, содержащей сведения, составляющие государственную тайну.

Аттестация выделенных помещений проходит в том же порядке, но с некоторыми отличиями на этапе проведения испытаний. Например, технические каналы утечки информации в помещениях возникают под воздействием акустического сигнала на ограждающие конструкции помещения, на технические средства, находящиеся в нём, предметы. Само присутствие акустических волн и вибраций в помещении создают риски утечки. Проводятся исследования этих каналов утечки инструментальным методом с использованием соответствующих методик, сертифицированных измерительных комплексов и расчётных программ.

Аттестация защищённых помещений

Защищаемое помещение (ЗП) — это помещение, предназначенное для проведения закрытых совещаний, переговоров и работ с информацией конфиденциального характера, не составляющей государственную тайну. К такой информации относится коммерческая тайна, служебная тайна, персональные данные (далее — ПДн), конфиденциальные сведения о деятельности организации. Подробнее про аттестацию защищённых помещений.

Аттестация автоматизированных рабочих мест (АРМ)

Аттестация ОВТ на базе автономного АРМ требует отдельного упоминания, так как эта услуга заметно востребована среди наших заказчиков.

Автоматизированное рабочее место (АРМ) — это комплект оборудования и программного обеспечения, функционирующего под задачи конкретного специалиста, с учётом специфики его работы. Комплектация может быть разной, ниже приведены примеры комплектов, которые часто встречаются при аттестации АРМ:

• системный блок, клавиатура, мышь, монитор, ИБП;
• моноблок, клавиатура, мышь, МФУ;
• ноутбук, мышь, принтер.

Аттестация АРМ проводится по общему порядку для объектов вычислительной техники.

Для чего проводится аттестация объектов информатизации

Объекты информатизации, предназначенные для обработки и обсуждения информации, содержащей сведения, составляющие государственную тайну, подлежат обязательной аттестации. Как правило, это учреждения, деятельность которых связана со следующими направлениями:

• обработка данных, относящихся к государственной тайне;
• обработка данных информационных ресурсов государства;
• проведение секретных переговоров;
• управление и эксплуатация объектов, деятельность которых представляет экологическую опасность;
• обработка служебной тайны (государственные организации и органы власти).

Возможна также добровольная аттестация, если организации требуется официальное подтверждение безопасности информации, но деятельность не предусматривает проведения аттестации в обязательном порядке. Добровольной аттестации может подлежать: автоматизированная системы любого уровня, решение для обработки и передачи информации, помещения, в которых они размещены, помещения для переговоров.

Этапы подготовки к проведению аттестации объектов информатизации

Аттестация объекта информатизации — это последний этап до ввода объекта в эксплуатацию (при положительном прохождении).

До её проведения проводится не менее значимый и трудоёмкий процесс подготовки к аттестации, основными этапами которого являются:

1. Категорирование и классификация объекта, которые проводит комиссия (назначается приказом руководителя организации).
2. Проведение инструментального анализа измерительным комплексом под управлением оператора, определение уровней опасных сигналов, расчёт нормируемых показателей, их сравнение с нормативами, определение необходимости применения средств активной защиты.
3. Проектирование системы защиты информации от несанкционированного доступа, подготовка документов, связанных с системой доступа, подбор средств защиты, прошедших сертификацию, их монтаж и настройка.
4. Проведение специальных проверок и специальных исследований технических средств.
5. Подготовка Технического паспорта объекта и организационно-распорядительных документов.

Проведение аттестации объектов информатизации

Первым делом мы анализируем исходные данные объекта: его местонахождение, наличие обязательных документов (соответствующих нормативным требованиям) и оборудования, документальное оформление контролируемой зоны и т. д.

Далее составляем документ «Программа и методика аттестационных испытаний», отправляем его на согласование заказчику.

Процесс аттестационных испытаний на объекте проводится в режиме реального времени. В него входят, в том числе, и технические процедуры (измерение опасных сигналов, работы с приборами и др.). Определённые технические системы и средства (по требованиям стандартов безопасности) забираем в собственную защищённую лабораторию, чтобы проверить их на специализированном оборудовании.

По завершении подготавливаем документы (протоколы аттестационных испытаний, общее заключение о соответствии объекта критериям безопасности и аттестат соответствия) для отправки во ФСТЭК России.

Заключение — это итоговый документ, в котором описаны защитные меры, реализованные на исследуемом объекте информации. В нём перечисляются потенциальные каналы утечки информации, действия, предпринятые для их закрытия, и результат проведения аттестационных испытаний (положительный или отрицательный).

Контролируемая зона — это территория, на которой исключено несанкционированное пребывание посторонних лиц без сопровождения сотрудника организации, а также сторонних транспортных средств без особого пропуска.

Аттестат соответствия — это документ, подтверждающий соответствие объекта информатизации предъявляемым критериям по защите информации. Его наличие позволяет обрабатывать информацию с конкретной степенью секретности на определённый период времени.

Аттестат действует не более 5 лет, по истечении срока его действия, а также в случае изменений условий эксплуатации объекта информатизации, требуется провести повторную аттестацию. Кроме того, каждые два с половиной года должна проводиться промежуточная проверка соответствия обеспеченного уровня безопасности заявленным требованиям.

Пример шаблона Аттестата соответствия:

История

История аттестации объектов информатизации в России тесно связана с развитием информационных технологий и осознанием необходимости защиты информации, особенно в государственных структурах. Её развитие можно условно разделить на несколько этапов.

Ранний период (до 1990-х годов). В советское время существовали системы контроля и защиты информации, но они были преимущественно закрытыми и неформализованными. Защита информации основывалась на физической безопасности и ограниченном доступе к носителям информации. Системная аттестация в современном понимании отсутствовала.

Формирование нормативно-правовой базы (1990-е – начало 2000-х). С началом перестройки и развитием компьютерных технологий появилась необходимость в формализации процесса защиты информации. В этот период начали формироваться первые нормативные документы, описывающие требования к защите информации в автоматизированных системах. Это привело к появлению первых попыток аттестации, которые были достаточно несовершенными и разрозненными. Отсутствовала единая методология и стандартизация.

Развитие законодательства и стандартизации (середина 2000-х – настоящее время). В этот период произошёл значительный скачок в развитии нормативно-правовой базы. Были приняты Федеральные законы «О защите информации в информационно-телекоммуникационных системах», «О персональных данных» и другие нормативные акты, которые заложили основы для обязательной аттестации объектов информатизации, особенно тех, которые обрабатывают государственную тайну или персональные данные. Разрабатывались и утверждались государственные стандарты в области защиты информации, которые стали основой для проведения аттестационных мероприятий. Появились различные методики и процедуры аттестации, ориентированные на разные классы защищённости.

Развитие и усовершенствование системы (2010-е – настоящее время). В последние годы происходило непрерывное совершенствование системы аттестации. В связи с ростом киберугроз и развитием новых технологий, требования к защите информации постоянно ужесточались. Появились новые подходы к аттестации, в том числе с использованием автоматизированных средств. Продолжается работа по унификации и совершенствованию методологии аттестации, учитывая международный опыт и лучшие практики.

Ключевые факторы, повлиявшие на развитие аттестации:

• Угрозы информационной безопасности: рост киберпреступности, расширение возможностей технических разведок и необходимость защиты критически важной инфраструктуры стали ключевыми движущими силами развития системы аттестации.
• Государственная политика: активная роль государства в регулировании сферы информационной безопасности и создание нормативно-правовой базы.
• Развитие технологий: появление новых технологий и систем потребовало адаптации методологии аттестации к новым реалиям.
• Международный опыт: изучение и адаптация международных стандартов и лучших практик в области информационной безопасности.

Система аттестации объектов информатизации в России продолжает развиваться, адаптируясь к постоянно меняющимся угрозам и технологиям. Происходит непрерывная работа по совершенствованию нормативно-правовой базы, методологии аттестации и повышению квалификации специалистов в этой области.