На основе каких сведений разрабатывается программа аттестационных испытаний

Аттестация ГИС проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в ГИС.

Для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 г. N 1085.

Проводится с целью дальнейшего ввода в эксплуатацию государственной информационной системы и ее подсистемы защиты информации.

Аттестация государственных информационных систем

Стоимость работ зависит от количества систем для которых осуществляются испытания и количества ПК.

Аттестация государственной информационной системы инициируется Заказчиком системы или непосредственно оператором персональных данных.

При проведении аттестационных испытаний проводится анализ уязвимостей средств защиты информации, технических средств и программного обеспечения. В случае обнаружения уязвимостей необходимо выполнить их устранение или снизить возможность их применения за счет настройки имеющихся средств защиты. Отчет по анализу уязвимостей будет оформлен в виде приложения к заключению по результатам аттестационных испытаний.

Аттестация/Переаттестация ИСПДн по направлению: «Информационная безопасность»

После проведения аттестационных испытаний разрабатывается Протокол проведения аттестационных испытаний и Заключение по результатам аттестационных испытаний.

При успешном прохождении аттестационных испытаний выдается Аттестат соответствия государственной информационной системы .

Аттестация ГИС

Включает

Обследование
Средства защиты
Выдача аттестата на 1 ПК
Бестселлер

Аттестация ГИС

Включает

Обследование
Средства защиты
Выдача аттестата на 1ПК

Аттестация ГИС

Включает

Обследование
Средства защиты
Выдача аттестата на 1 ПК

Аттестация ГИС
по требованиям безопасности информации

Назначением системы зашиты информации государственной информационной системы является обеспечение безопасности информации, обрабатываемой в ГИС.

Целью создания является реализация мероприятий по обеспечению выполнения требований руководящих документов ФСТЭК России по защите информации, обрабатываемой в государственных информационных системах.

Формирование требований
к защите информации

Сбор и анализ первичных сведений;
Анализ документации на соответствие требованиям законодательства РФ;
Построение модели угроз и нарушителя безопасности;
Разработка технического задания на создание системы защиты информации.

Разработка системы защиты

Разработка организационно-распорядительной документации;
Разработка технического проекта

Внедрение

Разработка рабочей документации;
Разработка эксплуатационной документации;
Внедрение документации;
Установка и настройка средств защиты;
Проведение пусконаладочных работ системы защиты информации.

Аттестация государственных
информационных систем

Разработка документа Программа и методики аттестационных испытаний;
Анализ уязвимостей;
Аттестационные испытания;
Выдача аттестата или отрицательного заключения.

Защита в ходе эксплуатации

Планирование мероприятий; Анализ угроз безопасности; Администрирование системой; Управление конфигурацией; Реагирование на инциденты; Информирование и обучение персонала; Контроль за обеспечением уровня защищенности.

Аттестация может выполняться в соответствии со следующими требованиями:

• при проведении аттестационных испытаний может быть применен подход аттестации типовых сегментов;
• оформляемая документация может учитывать возможность распространение аттестата соответствия на другие сегменты при условии их соответствия сегментам, прошедшим аттестационные испытания и реализующих полную технологию обработки информации;
• особенности аттестации на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты Системы будут определены в программе и методиках аттестационных испытаний, заключении по результатам аттестационных испытаний и аттестате соответствия.

Преимущества

месяцев гарантии
дней на реализацию
план работы

Связаться с нами

Написать вопрос

Защита ГИС

В Российской Федерации на данный момент создано и функционируют несколько сотен государственных информационных систем. Все они делятся на федеральные и региональные. Данное разделение вызвано сегментом использования информационной инфраструктуры. К этим системам подключается множество государственных и коммерческих организаций и весь объем пользователей обязаны выполнять требования к защите данных, которые в ней обрабатываются.

Классификация, в отличии информационных систем персональных данных имеет не последнюю роль, потому что в зависимости от результатов классификации к государственной информационной системе предъявляется базовый набор требований.

Таким образом базовый набор мер по обеспечению безопасности информации определяется на основании требований к классу защищенности.

Адаптация базового набора мер по обеспечению безопасности информации осуществляется исходя из особенностей построения инфраструктуры и особенностей реализации технологий обработки информации, структурно-функциональных характеристик, а также с учетом результатов моделирования совокупности предположений о возможностях потенциальных нарушителей, угроз безопасности информации и последствий их реализации.

Уточнение адаптированного набора мер выполняется в зависимости от состава и свойств актуальных угроз безопасности информации при ее обработке и обусловлено необходимостью выполнения нормативных требований по обеспечению безопасности информации, в том числе необходимостью нейтрализации определенных по результатам моделирования актуальных угроз безопасности информации.

Защита ГИС имеет несколько отличий от сформировавшего подхода при защите ПДн. Среди основных мы выделяем следующие:

• обязательная аттестация государственных информационных систем перед вводом в эксплуатацию;
• обязательное использование сертифицированных средств защиты информации;
• повышенные требования к подсистеме информационной безопасности по сравнению с СЗПДн.

Источник: check-ib.ru

Изучение особенностей аттестации помещений по требованиям безопасности информации

Цель занятия – закрепление теоретических знаний по вопросам аттестации объектов информатизации по требованиям безопасности информации.

Учебные вопросы

1. Система объектов информатизации по требованиям безопасности информации.

2. Виды аттестации объектов информатизации по требованиям безопасности информации.

3. Функции ФСТЭК и органов по аттестации в области аттестации объектов информатизации по требованиям безопасности информации.

4. Функции испытательных центров (лабораторий) и заявителей по аттестации объектов информатизации по требованиям безопасности информации.

5. Порядок проведения аттестации и контроля.

Методические указания студентам по подготовке и проведению практического занятия

2.1. При подготовке к практическому занятию студентам рекомендуется ответить на контрольные вопросы.

2.2. Порядок проведения занятия

Во время проведения занятия преподаватель осуществляет опрос студентов и определяет их готовность к занятию.

Затем студенты последовательно усваивают учебные вопросы, касающиеся организационной структуры системы аттестации объектов информатизации по требованиям безопасности информации, функций органов аттестации и заявителей, особенностей подготовки, проведения аттестации объектов информатизации по требованиям безопасности информации и контроля, лично отрабатывают контрольные вопросы практического занятия. При необходимости неясные вопросы обсуждаются в группе под руководством преподавателя.

По окончании занятия студенты оформляют отчет и представляют его на подпись преподавателю.

Контрольные вопросы

1. Дайте определение аттестации объектов информатизации по требованиям безопасности информации.

Аттестация объектов информатизации (далее аттестация) — комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

2. Организационная структура системы объектов информатизации по требованиям безопасности информации.

Организационную структуру системы аттестации объектов информатизации образуют:

— федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации — Гостехкомиссия России;

— органы по аттестации объектов информатизации по требованиям безопасности информации;

— испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

— заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

3. Виды аттестации объектов информатизации по требованиям безопасности информации.

4. Какие объекты информатизации подлежат обязательной аттестации?

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации.

5. Каковы функции ФСТЭК в области аттестации объектов информатизации по требованиям безопасности информации?

— организует обязательную аттестацию объектов информатизации;

— создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

— устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

— организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

— аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

— осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;

6. Каковы функции органов по аттестации?

Органы по аттестации:

— аттестуют объекты информатизации и выдают «Аттестаты соответствия»;

— осуществляют контроль над эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;

— отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»;

-формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

— ведут информационную базу аттестованных этим органом объектов информатизации;

— осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.

7.Каковы функции заявителей в области аттестации объектов информатизации по требованиям безопасности информации?

— проводят подготовку объекта информатизации аттестации путем необходимых организационно-технических мероприятий по защите информации;

— привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;

— представляют органам по аттестации необходимые документы и условия проведения аттестации;

— привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;

— осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;

— извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган аттестации, приводится в «Аттестате соответствия»;

— предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию

8.Порядок проведения аттестации объектов информатизации по требованиям безопасности информации.

9.На основе каких сведений разрабатывается программа аттестационных испытаний?

По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программы аттестационных испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.

10. Порядок проведения аттестационных испытаний.

-осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;

-определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;

— проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

-проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;

-проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

-оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

11.Какая документация представляется органу по аттестации?

Нормативная и методическая.

12. Что такое технический паспорт объекта информатизации и какие сведения о объекте он включает в себя?

ОВТ: Технический паспорт объекта информатизации с приложениями:

— Состав технических и программных средств входящих в АС;

— План размещения АС относительно контралируемые зоны.

ВП: Технический паспорт на помещение категории:

— План размещения ОТСС, ВТСС, мебели установленные в ВП относительно границ контралируемые зоны

— Схема прокладки линии передачи данных, охранной и пожарной сигнализации, цепей питания и заземления ВП.

Специальные исследования требует аттестации помещения и аттестации оборудования, использование специальной контрольно-измерительной аппартуры.

Целью специальной проверки технических средств является обнаружение специально внедренных устройств негласного съема информации, а также элементов этих технических средств, которые при воздействии на них тех или иных физических полей (например, высокочастотного электромагнитного излучения) могут быть использованы для несанкционированного получения информации (обрабатываемой или речевой).

15. Проведение измерения и оценка уровней защищенности.

Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием проверенной контрольно-измерительной аппаратуры.

При аттестации объектов информатизации для каждого ТСОИ:

o измеряются напряженности электромагнитного поля по магнитной Нi (в диапазоне частот 9 кГц – 30 МГц) и электрической Еi (в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемые информативным сигналом ТСОИ;

o измеряются уровни информативных сигналов ТСОИ в диапазоне частот 9 кГц — 300 МГц в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны;

o определяются коэффициенты удельного затухания информативного сигнала в линиях электропитания, в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны, и рассчитывается затухание в них информационного сигнала;

o рассчитывается величина максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зоны R2);

o рассчитываются предельные расстояния от ТСОИ до вспомогательных технических средств и систем и их кабельных коммуникаций, посторонних проводников и инженерных коммуникаций, имеющих выход за границу контролируемой зоны (зоны r1, r1’);

o измеряется сопротивление заземления каждого ТСОИ;

o измеряется минимальное расстояние от каждого ТСОИ до границы контролируемой зоны.

16. Какие измерения дополнительно проводятся прииспользовании на объекте информатизации систем активной защиты?

При использовании на объекте информатизации систем активной защиты (САЗ) дополнительно проводятся:

измерения напряженности электромагнитного поля по магнитной Нi (в диапазоне частот 9 кГц – 30 МГц) и электрической Еi (в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемой помеховыми сигналами САЗ;

измерения уровней помеховых сигналов в диапазоне частот 9 кГц — 300 МГц, создаваемых САЗ в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны.

17. Содержание заключения аттестационной проверки объекта информатизации.

Заключение аттестационной проверки объекта информатизации должно включать:

· состав аттестационной комиссии (группы);

· дату проведения аттестации;

· перечень руководящих документов, в соответствии с которыми проводилась аттестация;

· перечень документов по защите информации на объекте информатизации, представленных аттестационной комиссии;

· характеристику объекта информатизации (наименование объекта, назначение, местоположение, условия размещения и т.д.);

· перечень технических средств обработки информации ограниченного доступа (ТСОИ), установленных на объекте информатизации, с указанием их места установки и категорий;

· перечень вспомогательных технических средств и систем (ВТСС), установленных на объекте информатизации, с указанием их места установки;

· перечень технических средств защиты информации, установленных на объекте информатизации, с указанием их места установки;

· характеристику организационных мероприятий по защите информации. Вывод о выполнении (невыполнении) организационных мероприятий по защите информации при ее обработке;

· виды работ, проводимых в ходе аттестации;

· перечень использованной в ходе инструментальной проверки (аттестационных испытаний) аппаратуры (перечисляется вся используемая аппаратура контроля по оцениваемым каналам и ее заводские номера);

· результаты анализа документации по защите информации на объекте информатизации. Вывод о соответствии (несоответствии) разработанной документации по защите информации требованиям нормативно-методических документов ФСТЭК РФ;

· оценку правильности категорирования объектов информатизации;

· оценку уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации; и т.д

18. Содержание протокола аттестационных испытаний объекта информатизации.

o вид испытаний;

o объект испытаний;

o дату и время проведения испытаний;

o место проведения испытаний;

o перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);

o перечень нормативно-методических документов, в соответствии с которыми проводились испытания;

o методику проведения испытания (краткое описание);

o результаты измерений;

o результаты расчетов;

19. Содержание аттестата соответствия на объект информатизации.

— наименование, адрес и местоположение объекта информатизации;

— категорию объекта информатизации;

— класс защищенности автоматизированной системы;

— гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;

— организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;

— номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;

— перечень руководящих документов, в соответствии с которыми проводилась аттестация;

— номер и дата утверждения заключения по результатам аттестационных испытаний;

— состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;

— организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;

— перечень действий, которые запрещаются при эксплуатации объекта информатизации;

— список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.

20. Ответственность за выполнение установленных условий функционирования аттестованного объекта информатизации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

Литература

1. Снытников А.А. Лицензирование и сертификация в области защиты информации. – М.: Гелиос АРВ, 2003.

2. Положение по аттестации объектов информатизации по требованиям безопасности информации: Утв. председателем Государственной технической комиссии Российской Федерации при Президенте Российской Федерации от 25 ноября 1994 г.

3. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации: Утв. председателем Государственной технической комиссии Российской Федерации при Президенте Российской Федерации, 1994.

Изучение особенностей аттестации помещений по требованиям безопасности информации

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:

Источник: studopedia.ru

Аттестация автоматизированных систем: мифы и реальность

Вам интересно что же такое аттестация автоматизированных систем?

Кто-то, говоря об аттестации, имеет в виду аттестационные испытания, а кто-то подразумевает комплексную подготовку АС и ее оценку соответствия, т.е. комплекс работ: защита и аттестация.
Кто прав? Давайте разбираться.

Первое
По «Положению по аттестации объектов информатизации» (пункт 1.4) под аттестацией понимается оценка соответствия АС требованиям безопасности информации, т.е. под аттестацией понимается проверка ее защищенности.

Второе
Для того чтобы аттестовать АС, ее нужно защитить. С этим не поспоришь.
Следовательно, перед этапом аттестации (аттестационных испытаний) необходимо выполнить подготовку АС, т.е. напичкать ее средствами защиты информации.
Для этого в соответствии с нормативно-методическими документами ФСТЭК России (СТР-К и(или) 17 приказ ФСТЭК России) методология (порядок) подготовки АС следующая:

1. Обследование АС и формирование требований.
   На выходе отчетные документы:
2. акт (отчет) об обследовании;
3. акт классификации (установления уровня защищенности);
4. модель угроз и нарушителя (по методике ФСТЭК России, а при необходимости -применения криптосредств отдельно по методике ФСБ России);
5. техническое задание на создание системы защиты информации.
6. Разработка (проектирование) системы защиты информации.
   На выходе отчетные документы:
7. технический проект на систему защиты информации по ГОСТ 34 серии (комплекс стандартов на автоматизированную систему);
8. эксплуатационная документация на систему защиты.
9. Внедрение системы защиты информации.
   На выходе отчетные документы:
10. организационно-распорядительная документация на систему защиты информации;
11. акты установки средств защиты информации;
12. товарные накладные и сертификаты соответствия требованиям безопасности информации на средства защиты информации.
13. Аттестация (оценка защищенности / оценка соответствия / оценка эффективности реализованных мер защиты информации).
    На выходе отчетные документы:
14. программа и методики аттестационных испытаний;
15. протокол аттестационных испытаний;
16. заключение по результатам аттестационных испытаний;
17. аттестат соответствия (в случае положительного результата испытаний).

Многие путают понятия, подразумевая под аттестацией подготовку и аттестацию АС.

Что же такое аттестация? Давайте разбираться

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается:

«… комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России»

Т.е. тут явно говорится о том, что под аттестацией понимается оценка соответствия автоматизированной системы требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Пунктом 1.8. положения по аттестации установлен порядок аттестации, при изучении которого однозначно становится ясно, что аттестация это не «подготовка» (защита) автоматизированной системы, а исключительно тестирование (контроль/испытания) ее защищенности!

Этот же тезис подтверждает пункт № 13 приказа ФСТЭК № 17, который устанавливает порядок аттестации государственных информационных систем, и аттестация в нем стоит на четвертом месте:

• «формирование требований к защите информации, содержащейся в информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие».

Итого: аттестация это исключительно процедура оценки соответствия (оценки защищенности), но ни в коем случае не подготовки к аттестации. Следовательно, договорные работы по подготовке автоматизированной системы и ее аттестации нужно четко разделять.

Как проводится аттестация автоматизированных систем?

На практике понятие «аттестация» понимается совершенно по-разному:

1. Кто-то считает, что это анализ уязвимостей информационной системы, подразумевая, что тот, кто проводит аттестацию, должен оценить информационную систему на наличие «дыр», «черных ходов», «ненадежность», «несовершенство» системы защиты автоматизированной системы.
2. Вторые под аттестацией понимают подготовку автоматизированной системы по требованиям безопасности с целью ее защиты от угроз безопасности.
3. Третьи понимают под аттестацией сканирование защищенности информационной системы сканерами безопасности (сканерами уязвимостей) и тестирование возможности проникновения в автоматизированную систему в обход существующих систем защиты информации.
4. Четвертые понимают под аттестацией мониторинг защищенности автоматизированной системы, т.е. выявление попыток несанкционированного доступа, анализ логов (журналов) событий безопасности и корреляция событий безопасности.

Как правильно? Давайте разбираться

В первую очередь давайте зададим себе вопрос: а кто придумал процедуру аттестации, т.е. какой уполномоченный федеральный орган установил правила аттестации? Правильно – ФСТЭК России. Соответственно, для установления правды давайте обратимся к нормативной документации ФСТЭК России, а именно:

1. В соответствии с пунктом 1.4. «ПОЛОЖЕНИЯ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» от 25.11.1994 под аттестацией понимается: «… комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России» (далее Положение по аттестации).
2. В соответствии с пунктом 3.6 «ГОСТ РО 0043-003-2012 АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ» от 17.04.2012:
   определение в целом идентично пункту 1.4. положения по аттестации (см. выше).

Т.е. по факту аттестация — это оценка соответствия требованиям безопасности информации. А сами требования к автоматизированным системам устанавливает ФСТЭК России. Соответственно, чтобы понять, как конкретно аттестуется та или иная информационная система, нужно смотреть требования ФСТЭК к заданному типу автоматизированной системы.

В соответствии с положением по аттестации процедура аттестации осуществляется в следующем порядке:
«3.1. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

• подачу и рассмотрение заявки на аттестацию;
• предварительное ознакомление с аттестуемым объектом;
• испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
• разработка программы и методики аттестационных испытаний;
• заключение договоров на аттестацию;
• проведение аттестационных испытаний объекта информатизации;
• оформление, регистрация и выдача «Аттестата соответствия»;
• осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
• рассмотрение апелляций».

Как конкретно проводится аттестация?

По факту осуществляется проверка реализации мер защиты информации (требований к функциям защиты информации), т.е. проверяется, выполняются ли требования к подсистемам защиты информации (имеются ил они и реализованы ли они в полном объеме).
На выходе оформляются определенные отчетные документы:

• программа и методики аттестационных испытаний,
• протокол аттестационных испытаний,
• заключение аттестационных испытаний,
• аттестат соответствия (выдается в случае положительного заключения).

Итого: при аттестации проверяется соответствие системы защиты информации в составе автоматизированной системы требованиям конкретного нормативного документа ФСТЭК. Ни больше ни меньше.

По каким требованиям проводится аттестация автоматизированных систем?

Требования в первую очередь определяются типом автоматизированной системы. Но также нужно понимать, что одна и та же автоматизированная система может быть аттестована по нескольким требованиям одновременно.

На текущий момент существуют следующие типы автоматизированных систем и, соответственно, требований к ним:

1. Автоматизированные системы обработки конфиденциальной информации (требования устанавливаются: СТР-К и РД АС).
2. Государственные информационные системы (требования устанавливаются: 17 приказом ФСТЭК).
3. Информационные системы персональных данных (требования устанавливаются: 21 приказом ФСТЭК).
4. Автоматизированные системы управления технологическими процессами (требования устанавливаются: 31 приказом ФСТЭК).
5. Информационные системы общего пользования (требования устанавливаются: 489 приказом ФСТЭК).
6. Критическая информационная инфраструктура (требования устанавливаются: 235 и 239 приказами ФСТЭК России).
7. Автоматизированные банковские системы (требования устанавливаются: 382-П и СТО БР ИББС).

Также существуют общие положения (общие требования) по аттестации объектов информатизации, установленные следующими нормативными документами:

1. «ПОЛОЖЕНИЕ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» от 25.11.1994.
2. «ГОСТ РО 0043-003-2012 АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ» от 17.04.2012 (имеет гриф «ДСП», т.е. ограниченного распространения).

Кто регулятор в области аттестации автоматизированных систем?

Регулятором в области аттестации автоматизированных систем является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75

Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»).

Кто имеет право проводить аттестацию автоматизированных систем?

Аттестацию автоматизированных систем имеют право проводить только лицензиаты ФСТЭК России с пунктами «а», «б» и «г» в лицензии. Указанные пункты позволяют проводить аттестационные испытания автоматизированных систем. У лицензиатов с указанными пунктами должно иметься соответствующее контрольно-измерительное оборудование и средства контроля защищенности информации в соответствии с перечнем, установленным ФСТЭК России.

Формулировки в лицензии должны выглядеть так:

• Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:

• средствах и системах информатизации.

• средств и систем информатизации.

Требования к лицензиатам ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

При аттестации автоматизированных систем, предназначенных для обработки конфиденциальной информации (классы 1Г, 2Б по РД АС, а также по требованиям защиты персональных данных: 1УЗ, 2УЗ, 3УЗ, 4УЗ и по требованиям защиты государственных информационных систем: 1КЗ, 2КЗ, 3КЗ), органу по аттестации достаточно иметь только лицензию ФСТЭК России на техническую защиту конфиденциальной информации (ТЗКИ).

А вот при аттестации автоматизированных систем, предназначенных для обработки сведений, составляющих государственную тайну, органу по аттестации в дополнение к лицензии ФСТЭК на ТЗКИ также необходимо иметь аттестат аккредитации органа по аттестации.

Итого: аттестация автоматизированных систем проводится только лицензиатом ФСТЭК России.

Сколько стоит аттестация автоматизированных систем?

Стоимость аттестации в первую очередь зависит от ее масштаба. Например, аттестовать автоматизированную систему, состоящую из 1 автономного автоматизированного места (без подключения к интернету), и проводить аттестацию автоматизированной системы федерального масштаба, состоящей из 3000 рабочих мест и 10 серверов со средой виртуализации, – это разные вещи.

Следующие критерии также влияют на определение стоимости аттестации:

1. Требованиям, по которым необходимо аттестовать (см. выше, по каким требованиям аттестуются автоматизированные системы).
2. Географическая (территориальная) распределенность.
3. Проводились ли ранее работы по аттестации.
4. Требуется только аттестация (тестирование защищенности) или в том числе подготовка (защита) автоматизированной системы.

Только поняв указанные параметры автоматизированной системы, можно сформировать точную смету проведения работ.

Если крупными мазками, то стоимость аттестации автоматизированной системы, состоящей из 1 (одного) компьютера, на рынке составляет 85 т.р., а стоимость аттестации 1000 рабочих станций – 10 т.р. за рабочую станцию.

Скачать коммерческое предложение на аттестацию АС

Лайфхак

Провести подготовку автоматизированной системы собственник (владелец/оператор) автоматизированной системы может самостоятельно – без привлечения лицензиата ФСТЭК России на договорной основе. Однако, так как оценку соответствия (аттестацию) автоматизированной системы будет проводить какой-то определенный лицензиат ФСТЭК России, то, конечно же, проще и выгоднее поручить подготовку ему: это обеспечит скорейший положительный результат.

1. Пункт 17 приказа ФСТЭК № 17 гласит: «проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается».
2. Собственник (владелец/оператор) автоматизированной системы должен проводить подготовку именно своей автоматизированной системы, создаваемой за свои средства, а также обрабатываемая защищаемая информация должна относиться строго к собственнику автоматизированной системы. Например, если оператором автоматизированной системы является управляющая компания какой-то группы компаний, то для проведения подготовки автоматизированной системы собственными силами необходимо иметь лицензию ФСТЭК на техническую защиту конфиденциальной информации.

Как выглядит аттестат автоматизированных систем?

Форма аттестата соответствия на автоматизированную систему обработки конфиденциальной информации установлена нормативным документом СТР-К.

Готовит, утверждает и выдает аттестат на автоматизированную систему обработки конфиденциальной информации — лицензиат ФСТЭК России, проводивший работы по аттестации.

Вот пример аттестата ООО «ЦБИС» — лицензиата ФСБ и ФСТЭК России:

Пример аттестата автоматизированной системы

Источник: xn--90ao1ar.xn--p1ai