Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК (Гостехкомиссией) России.
Прежде чем приступить к обработке информации, подлежащей защите, необходимо официально подтвердить эффективность комплекса мер и средств защиты информации, применяемых в конкретном объекте компьютеризации.
Сертификация компьютеризированных объектов обязательна, если компьютеризированный объект предназначен для обработки информации, относящейся к служебной тайне или персональных данных, в остальных случаях она носит консультативный характер. Сертификация объектов проводится на соответствие требованиям СТР-К и РД ФСТЭК России. Наличие действующего «Сертификата соответствия» на объекте компьютеризации дает право на обработку конфиденциальной информации в течение периода времени, указанного в этом «Сертификате соответствия».
Объектами аттестации являются охраняемые помещения и объекты компьютеризации, к которым относятся средства и системы, непосредственно обрабатывающие защищаемую информацию. В целом, объект аттестации представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Сертификацию объектов компьютеризации могут проводить организации, уполномоченные оказывать услуги по технической защите конфиденциальной информации, органы по сертификации объектов компьютеризации, аккредитованные ФСТЭК России.
Аттестация объектов информатизации проводится в соответствии со следующими нормативными документами:
- Положение о государственной системе защиты информации в Российс-
кой Федерации от иностранных технических разведок и от утечки по техническим каналам». (Постановление Совета Министров – Правительства Российской Федерации от 15.09.1993 г. № 912-51)
- Специальные требования и рекомендации по технической защите
конфиденциальной информации (СТР-К).
Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282
Информация как стратегический ресурс
... информации как экономического ресурса, определение ее роли и возможностей использования в экономике - одна из наиболее актуальных и сложных проблем, с которыми приходится сталкиваться экономической теории. Постоянный процесс компьютеризации, ... которые могла бы удовлетворить такая информация. Следовательно, определение информации как средства уменьшения неопределенности должно быть интегрировано ...
- Положение по аттестации объектов информатизации по требованиям
безопасности информации. Утверждено председателем Гостехкомиссии России 25.11.1994 г.
- Сборник руководящих документов по защите информации от несанк-
ционированного доступа. Гостехкомиссия России, 1998 г.
- Сборник временных методов оценки защищенности конфиденциальной информации от утечек по техническим каналам. Утвержден первым заместителем Председателя Гостехкомиссии России 8.11.2001 г.
Порядок проведения аттестации объектов информатизации:
- Подача и рассмотрение заявки на аттестацию
- Предварительное ознакомление с аттестуемым объектом (при необходимости)
- Разработка программы и методики аттестационных испытаний
- Заключение договора на проведение аттестации
Оформление, регистрация и выдача «Аттестата соответствия»
При проведении аттестационных испытаний может применяться метод измерения и оценки уровней защищенности для отдельных технических средств и каналов утечки или проверка функций или комплекса функций защиты информации от НСД, а также пробный запуск средств защиты информации от НСД. Так же может применяться экспертно-документальный метод.
При проведении аттестации, исполнитель получает отчетные документы в виде протоколов испытаний (протокол от утечки информации за счет НСД и по техническим каналам), заключение по итогам аттестационных испытаний и, если все необходимые требования соблюдены, аттестат соответствия объекта информатизации по требованиям безопасности информации.
При выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», с оформлением этого решения в «Аттестате соответствия». Владелец сертифицированного объекта компьютеризации несет ответственность за выполнение условий, установленных для функционирования объекта компьютеризации, технологии обработки защищенной информации и требований к информационной безопасности.
Сходство процессов сертификации и аттестации заключается в том, что в обоих случаях используются одни и те же требования и стандарты, и объектом этих процессов часто являются технические средства обработки информации. Однако отличия, и существенные, заключаются в том, что сертификация оценивает совокупно все средства защиты информации, включая принятые организационные, технические и организационные меры, а также конкретные условия эксплуатации объекта в вопрос. В данном случае объектом сертификации является объект информационных технологий, понимаемый в широком смысле как совокупность помещений с расположенными в них конкретными техническими средствами, которые обслуживаются этим персоналом в порядке, предусмотренном нормативно-техническими положениями документация. В узком смысле под объектом информатики может пониматься конкретное, единственное (с конкретными заводскими номерами) техническое средство. Подчеркнем, что данное техническое средство защиты может выступать и как объект сертификации, и как объект аттестации, поскольку именно это в некоторых случаях вызывает недоразумения и приводит к путанице и ошибкам. В первом случае, на этапе сертификации, речь идет о типовом образце продукта или типовых испытаниях. На втором этапе, на этапе сертификации, мы говорим о конкретном образце, предназначенном для работы в определенных условиях с заданным конкретным положением по отношению к другим техническим средствам в заданной среде. Завод технической обработки, имеющий сертификат соответствия определенной категории, находится под защитой.
Сертификация персонала в сфере пассажирских перевозок – барьер ...
... вправе требовать обеспечения качества/комфортности и безопасности предоставляемых ему услуг на автотранспорте. Органы по сертификации персонала являются выразителями мнения и требований общества ... транспорта. Считаем, что аттестация персонала автомобильных компаний должна стать условием допуска вышеуказанных категорий персонала к осуществлению пассажирских перевозок. Персонал, не соответствующий ...
Система аттестации объектов информации по требованиям безопасности информации (далее — система аттестации) является составной частью единой системы обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.
Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее — федеральный орган по сертификации и аттестации), которым в настоящее время является Федеральная служба технического и экспортного контроля Российской Федерации (ФСТЭК России) в пределах ее компетенции, определяемой законодательными актами Российской Федерации.
Объекты компьютеризации, предназначенные для обработки информации, составляющей государственную тайну, для управления структурами, опасными для окружающей среды, и для ведения секретных переговоров, подлежат обязательной сертификации. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации при наличии юридически закрепленного его согласия выполнять требования Положения.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации:
- от несанкционированного доступа, в том числе от компьютерных вирусов;
- от утечки за счет побочных электромагнитных излучений и наводок
при специальных воздействиях на объект (высокочастотное облучение, электромагнитное и радиационное воздействие);
- от утечки или воздействия на нее за счет специальных устройств,
встроенных в объект информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации.
Аттестация проводится органом по аттестации в установленном Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
- анализ исходных данных по аттестуемому объекту информатизации;
- предварительное ознакомление с аттестуемым объектом информа- тизации;
- проведение экспертного обследования объекта информатизации и
анализ разработанной документации по информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
Аттестация ОУ и рабочих мест по безопасности
... рабочих мест; — оценка обеспеченности работников и обучаемых средствами индивидуальной защиты. Результаты аттестации рабочих мест по условиям труда — сертификация образовательных и производственных объектов на соответствие требованиям безопасности и охраны труда; — планирование и проведение мероприятий по охране и улучшению условий труда ...
- проведение испытаний отдельных средств и систем защиты информа-
ции на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
— Органы по аттестации аккредитуются федеральным органом по сертификации и аттестации. Правила аккредитации определяются «Положением об аккредитации испытательных лабораторий и органов по сертификации ИТ-СМИ на соответствие требованиям информационной безопасности», действующим в системе для органов по сертификации.
Федеральный орган по аттестации может передавать на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти.
Стоимость всех работ и услуг по обязательной и добровольной сертификации компьютеризированных объектов несут заявители.
Оплата работ по обязательной сертификации производится по договору по утвержденным ценам в порядке, установленном подведомственным федеральным органом по сертификации и сертификации, по согласованию с Минфином РФ, а при их отсутствии — по согласованная цена.
2.АТТЕСТАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Сертификация на соответствие требованиям информационной безопасности — процедура не из дешевых и в большинстве случаев увеличивает стоимость защиты ISPD в полтора-два раза, поэтому многие операторы персональных данных хотели бы обойти эту процедуру.
В нормативно-правовых и методических документах отсутствует понятие «сертификация ИСПД. Во-первых, ИСПДн в госоргане или госучреждении будут являться государственными информационными ресурсами, что накладывает на операторов обязательства по их защите в соответствии со Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К).
Этот документ имеет ограниченный доступ и может быть получен только в территориальном управлении ФСТЭК России.
Во-вторых, может потребоваться сертификат соответствия требованиям информационной безопасности, чтобы продемонстрировать адекватный уровень безопасности ISPD. В этом случае данную процедуру можно провести в добровольном порядке.
Сама процедура сертификации проводится органом, уполномоченным на осуществление мероприятий по технической защите конфиденциальной информации. При этом в этой организации создается аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая оценивает соблюдение организационных и технических мер, а также тестирует технические средства защиты персональных данных. По результатам оценки соответствия выдается сертификат или рецепт на устранение недостатков системы защиты ISPD, поэтому к процедуре подготовки к сертификации нужно подходить очень внимательно и лучше доверить обучение компетентной организации.
Кроме того, для демонстрации правильного уровня защиты персональных данных может быть достаточно декларации о соответствии, составленной самим оператором с привлечением специалистов в области защиты информации.
Безопасность труда и числе защита рабочих мест
... проблемы охраны труда на предприятиях Социальная значимость охраны труда состоит в том, чтобы способствовать росту эффективности общественного производства за счет постоянного улучшения и улучшения условий труда, повышения его безопасности, снижения несчастных случаев и заболеваемости на ...
Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных, является добровольной и самой затратной частью.
Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн заказчика соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.
Оценка соответствия ИСПДн по требованиям безопасности информации включает в себя
- разработка пакета аттестационных документов. Формируется пакет
организационно- распорядительной и технической документации на аттестуемую ИСПДн, содержащий:
- программу и методику аттестационных испытаний;
- проект документа «Перечень персональных данных, обрабатываемых в ИСПДн»;
- проект документа «Перечень лиц, допущенных к обработке ПДн»;
- проект документа «Перечень лиц, допущенных в помещения, в которых располагаются технические средства ИСПДн»;
- проект документа «Акт классификации ИСПДн»;
- проект документа «Акт внедрения СЗИ»;
- технический паспорт на ИСПДн;
- проекты приказов о назначении ответственных за обеспечение режима безопасности персональных данных;
- инструкция по обеспечению безопасности персональных данных;
- описание технологии обработки информации в ИСПДн.
- проведение аттестационных испытаний. Уровень безопасности
информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии нормативно-методическими документами ФСТЭК России).
При этом выполнятся следующие работы:
- проведение аттестационных испытаний ИСПДн;
- разработка отчетных документов.
Аттестационные испытания ИСПДн предполагают проведение следующих проверок:
