Выберите объект испытаний при проведении процедуры аттестации

Проведение работ по

аттестации является финальной стадией работ по созданию объекта информатизации. До начала проведения работ по аттестации заявителю необходимо провести ряд подготовительных мероприятий:

Для разработки перечня в первую очередь необходимо определить вид обрабатываемой информации и наличие информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну. Для этого необходимо обратиться к «Перечню сведений конфиденциального характера», утвержденному Указом Президента РФ от 06 марта 1997 г. № 188.

  • сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
  • сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20 апреля 1995 г. N 45-ФЗ «О государственной защите судей…» и от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших…», другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну;
  • служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
  • сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
  • сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
  • сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;
  • сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 02 октября 2007 г. N 229-ФЗ «Об исполнительном производстве».
  1. Определить технические средства и системы, которые будут использоваться при обработке информации, места их расположения, выбрать помещения, а также общесистемное и прикладное программное обеспечение, планируемое к использованию на объекте. Для этого необходимо начать с анализа целей создания автоматизированной системы и (или) защищаемого помещения, а также решаемых ими задач.
  2. Определить режимы обработки информации (однопользовательский, многопользовательский).
  3. Определить конфигурацию и топологию автоматизированных систем и систем связи, проанализировать их физическое, функциональное и технологическое взаимодействие, а также связь с другими системами различного уровня и назначения.
  4. Определить наличие подключений к сетям общего пользования и (или) сетям международного информационного обмена.
  5. Провести анализ нормативных правовых актов, методических документов и национальных стандартов на предмет формирования требований, которым должна соответствовать автоматизированная система и (или) защищаемое помещение.
  6. Определить степень участия персонала в обработке информации, способы взаимодействия между собой.
  7. Определить условия расположения автоматизированной системы и (или) защищаемого помещения относительно границ контролируемой зоны и издать соответствующий приказ «Об определении границ контролируемой зоны». Напомним, что контролируемая зона — это пространство вокруг объекта информатизации, в котором исключено неконтролируемое пребывание посторонних лиц, а также движение транспортных средств. Определение границы контролируемой зоны осуществляется комиссионно, по результатам анализа пропускного режима, наличия охранной сигнализации, видеонаблюдения, пропускного режима, а также наличием в организации системы контроля и управления доступом.
  • ограждающие конструкции помещения, в котором расположен объект информатизации (как правило, в случае аренды помещений);
  • ограждающие конструкции здания или части здания, принадлежащей собственнику объекта информатизации (как правило, в случае владения зданием или частью здания без прилегающей к нему территории).
  • периметр охраняемой территории вокруг здания организации (как правило, в случае владения зданием с прилегающей к нему охраняемой территорией).

В случае необходимости аттестации защищаемого помещения для проведения конфиденциальных переговоров, проводятся аналогичные мероприятия, относящиеся к оценке характеристик помещений. Защищаемое помещение — это специально выделенное помещение, в котором планируется в ходе закрытых переговоров, совещаний, встреч обсуждать информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну.

Далее, неизменно встает вопрос о необходимости аттестации объекта информатизации. Как рассматривалось выше, требование об обязательной аттестации установлено законодательством Российской Федерации в области защиты информации. В том случае, если объект информатизации попадает под обязательную аттестацию, либо если владелец принял решение о проведении добровольной аттестации рассматривается вопрос о необходимости создания системы защиты объекта информатизации.

После принятия решения о необходимости создания системы защиты информации объекта информатизации, необходимо провести анализ нормативных правовых актов, методических документов и национальных стандартов на предмет формирования требований, которым должна будет соответствовать система защиты объекта информатизации. Целью создания системы защиты информации объекта информатизации является обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа, реализация права на доступ к информации.

  • о начале работ по подготовке к аттестации и аттестации объекта информатизации с указанием подразделений и должностных лиц, ответственных за проведение работ, а также участвующих в таких работах должностных лиц с определением степени участия;
  • о заключении договора с органом по аттестации на проведение работ по аттестации объекта информатизации.

После завершения подготовительного этапа, заявитель приглашает орган по аттестации для проведения работ по аттестации объекта информатизации. Орган по аттестации осуществляет полный комплекс работ в соответствии со схемой, выбираемой этим органом, как правило, в следующем порядке:

Обобщенная схема проведения аттестации объекта информатизации по требованиям безопасности информации представлена на рисунке 4:

Аттестационные испытания проводятся на основании:

При недостаточности исходных данных по объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с объектом, которые проводятся до этапа аттестационных испытаний. Предварительное ознакомление с аттестуемым объектом может быть проведено органом по аттестации несколькими способами:

Перечень работ, проводимых органом по аттестации в рамках предварительного ознакомления с объектом информатизации, подлежащим аттестации, выглядит следующим образом:

По результатам проведенных работ заявителю выдается «Акт обследования объекта информатизации», в котором фиксируется текущее положение дел по защите информации, а также даются необходимые рекомендации.

Итоги: до начала проведения работ по аттестации заявитель проводит подготовительные мероприятия, в частности определяет перечень и состав объектов информатизации, проводит их классификацию, определяет режимы обработки информации на объекте информатизации, условия их расположения, наличие подключения к сетям общего пользования и прочее. После завершения подготовительного этапа, заявитель приглашает орган по аттестации для проведения работ по аттестации объекта информатизации. Орган по аттестации осуществляет полный комплекс работ в соответствии со схемой, выбираемой этим органом. При недостаточности исходных данных по объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с объектом, которые проводятся до этапа аттестационных испытаний. Аттестация объектов информатизации проводится в соответствии с программой и методиками аттестационных испытаний, с учетом требований национальных стандартов, а также методических документов ФСТЭК России.

Источник

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

×
Вам будет интересно