• Приложения
  • ВВЕДЕНИЕ
  • 1.4. Оптические средства добывания конфиденциальной информации
  • 1.4.2. Приборы ночного видения  
  • 1.4.3. Средства для проведения скрытой фотосъемки
  • 1.4.4. Технические средства получения видеоинформации
  • 1.5. Перехват информации в линиях связи
  • 1.5.2. Методы и средства несанкционированного получения информации в каналах сотовой связи
  • 1.6. Получение информации, обрабатываемой в компьютерных сетях
  • 1.6.2. Преодоление программных средств защиты
  • 1.6.3. Преодоление парольной защиты
  • 1.6.4. Некоторые способы внедрения программных закладок и компьютерных вирусов
  • 1.7. Угрозы реальные и мнимые
  • 2.1. Нормативно-правовая база защиты информации
  • 2.1.2. Общегосударственные документы по обеспечению информационной безопасности «О БЕЗОПАСНОСТИ» Закон РФ от 5 марта 1992 г. № 2446-1 (с изменениями от 25 декабря 1992 г.)
  • 2.2. Организация защиты информации
  • Карта сайта
  • 2.2.3. Добровольная аттестация объектов информатизации по требованиям безопасности информации

    В настоящее время единственным способом юридически обосновать достаточность организационных и технических мероприятий по защите информации, а также компетентность собственной службы безопасности является добровольная аттестация (при защите сведений, составляющих государственную тайну аттестация объектов обязательна). При этом под аттестацией объектов информатизации будем понимать комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с соответствующим уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия» (АС).

    Однако до начала процедуры аттестации необходимо подготовить объект информатизации. Эта работа проводится в несколько этапов.

    1. Определяется перечень помещений, предназначенных для обсуждения конфиденциальных вопросов, а так же автоматизированных систем, предназначенных для обработки, хранения, передачи важнейшей информации.

    2.Определяется класс АС (см. п.2.1.3).

    3.Заключается договор на проектирование объекта в защищенном исполнении с организацией на это уполномоченной (п. 5 Лицензии Гостехкомиссии России, Приложение № 3).

    4.0существляется закупка сертифицированных средств защиты информации (Перечень в приложении № 8)

    5. Осуществляется монтаж технических средств защиты информации, организацией на это уполномоченной (п.3 Лицензии Гостехкомиссии России, Приложение № 3).

    6. Проводится подготовка (переподготовка) службы безопасности в учебных центрах (п.6 Лицензии Гостехкомиссии России, Приложение № 3).

    По окончанию этой работы возможно начинать аттестацию объектов. Основным руководящим документом является «Положение по аттестации объектов информатизации по требованиям безопасности информации», которое утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации Ю. Яшиным 25 ноября 1994 г. Оно устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации.

    При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от всех возможных угроз безопасности информации, приведенных в ГОСТ «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» (Приложение № 9).

    Органы по аттестации аккредитуются Гостехкомиссией России в соответствии с «Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации». Перечень органов по аттестации приведен в Приложении № 5.

    Аттестация проводится в соответствии со схемой, выбираемой органом по аттестации на этапе подготовки к аттестации из следующего основного перечня работ:

    >• анализ исходных данных по аттестуемому объекту информатизации;

    >• предварительное ознакомление с аттестуемым объектом информатизации;

    >• проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

    >• проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

    >• проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

    >• проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

    >• анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

    Установлено, что органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.

    Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту на основе следующего перечня вопросов:

    1. Полного и точного наименования объекта информатизации и его назначение.

    2. Характера (научно-техническая, экономическая, производственная, финансовая, политическая) и уровня конфиденциальности обрабатываемой информации.

    3. Организационной структуры объекта информатизации.

    4. Перечня помещений, состава комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует).

    5. Особенности и схемы расположения объекта информатизации с указанием границ контролируемой зоны.

    6. Структуры программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемых протоколов обмена информацией.

    7. Общей функциональной схемы объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.

    8. Наличия и характера взаимодействия с другими объектами информатизации.

    9. Состава и структуры системы защиты информации на аттестуемом объекте информатизации.

    10. Перечня технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию (перечень сертифицированных средств защиты информации приведен в Приложении № 8).

    11. Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ (перечень лицензиантов приведен в Приложении № 3).

    12. Наличия на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных).

    13. Наличия и основных характеристик физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители).

    14. Наличия и готовности проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.

    Орган по аттестации рассматривает заявку и на основании анализа исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.

    При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.

    При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств. Перечень органов по сертификации приведен в Приложении № 6.

    По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональней состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.

    Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации. При этом должны быть выполнены следующие условия.

    1. Объекты информатизации, вне зависимости от используемых отечественных или зарубежных технических и программных средств, аттестуются на соответствие требованиям государственных стандартов или иных нормативных документов по безопасности информации, утвержденных Гостехкомиссией России.

    2. Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от вида и условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту.

    3. В нормативную документацию включаются только те показатели, характеристики, требования, которые могут быть объективно проверены.

    4. В нормативной и методической документации на методы испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты.

    5. Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование. В них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направлений защиты информации.

    Программа аттестационных испытаний согласовывается с заявителем.

    Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.

    На этапе аттестационных испытаний объекта информатизации:

    >• осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;

    >• определяется правильность классификации автоматизированных систем (при аттестации АС), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;

    >• проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

    >• проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;

    >• проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

    >• оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

    Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи «Аттестата соответствия» и необходимыми

    Рис. 2.2.6. Форма «Аттестата соответствия требованиям безопасности»

    рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя. К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод. Протоколы испытаний подписываются экспертами — членами аттестационной комиссии, проводившими испытания. Заключение и протоколы испытаний подлежат утверждению органом по аттестации.

    «Аттестат соответствия» оформляется и выдается заявителю после утверждения заключения по результатам аттестации по форме представленной на рис 2.2.6.

    «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более, чем на 3 года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.

    В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

    При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче «Аттестата соответствия». При этом может быть предложен срок повторной аттестации при условии устранения недостатков. При наличии замечаний непринципиального характера «Аттестат соответствия» может быть выдан после проверки устранения этих замечаний.

    В случае несогласия заявителя с отказом в выдаче «Аттестата соответствия» он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в Гостехкомиссию России с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.

     

     

    Промышленный шпионаж   Информация   Средства перехвата аудиоинформации   Направленный микрофон   Системы безопасности   Безопасность сотовой связи   Средства безопасности   Сигнал   Угрозы и средства защиты   Сигнал тревоги   Технические характеристики   Информационные сигналы   Действия защиты   Приборы ночного видения   Контроль линий связи   Парольная защита   Безопасность предприятия   Защита информации   Микрофон