Приведите сведения на основании которых разрабатывается программа аттестационных испытаний

Содержание

Аттестация ГИС на соответствие требованиям по защите информации является с одной стороны заключительным мероприятием в части построения системы защиты информации в ГИС, с другой стороны является отправной точкой для начала эксплуатации ГИС, поскольку ввод в действие государственной информационной системы согласно пункту 17.5 нормативного документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года) осуществляется при наличии аттестата соответствия. Аттестация ГИС строго регламентирована рядом нормативных документов:
— Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.);
— ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
— ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

Внутрилабораторный контроль, оценка неопределенности, верификация и валидация методик

Аттестация ГИС может проводиться только организацией-лицензиатом ФСТЭК России на деятельность по технической защите конфиденциальной информации с возможностью оказывать услуги по аттестации объектов информатизации.
Перед началом аттестационных испытаний разрабатывается и согласовывается с оператором ГИС документ «Программа и методики аттестационных испытаний». В этом документе отражаются:
— общие сведения об аттестуемой ГИС;
— возможность распространения аттестационных испытаний на типовые сегменты (при необходимости);
— состав аттестационной комиссии;
— цели и задачи аттестационных испытаний;
— методы проверок и испытаний;
— перечень используемых инструментальных средств контроля защищенности;
— программа аттестационных испытаний.
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.
В соответствии с пунктом 17.3 нормативного документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года) допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации. При этом, необходимо обратить внимание, что возможность распространения аттестата соответствия на типовые сегменты возможно только при корректном составлении аттестационных документов (программы и методик, заключения и аттестата).

Средства и системы защиты информации

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых, посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

В соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. N 79 ««О лицензировании деятельности по технической защите конфиденциальной информации» , работы по аттестации объектов информатизации вправе производить сам оператор, или привлекаемые организации и индивидуальные предприниматели, только при наличии лицензии на осуществление деятельности по технической защите конфиденциальной информации.

К объектам информатизации, подлежащим аттестации, могут относиться:

помещения для обработки конфиденциальной информации
помещения для проведения конфиденциальных мероприятий
автоматизированыые системы (АС), автоматизированные рабочие места (АРМ)
средства и системы связи, предназначенные для передачи конфиденциальной информации

Аттестацию и мероприятия, предшествующие аттестации, регламентируют следующие документы:

Положение по аттестации объектов информатизации по требованиям безопасности информации
СТР-К
ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения.
ГОСТ РО 0043-004-2013 Защита информации. Аттестация объектов информатизации.

Последние 3 документа конфиденциальны, и не могут быть опубликованы.

В соответстви с требованиями перечисленных документов разрабатывается программа и методики аттестационных испытаний, применительно к конкретным объектам заказчика, и составу обрабатываемой конфиденциальной информации.

В ходе проведения аттестационных мероприятий проводятся следующие работы:

анализ исходных данных на аттестуемые объекты (АС, АРМ, помещения), сцелью выявления особенностей расположения, возможных каналов утечки информации;
проверка полноты организационно-распорядительной документации (ОРД) Заказчика, в случае необходимости, доработка ОРД;
оценка квалификации сотрудников, имеющих доступ к обрабатываемой конфиденциальной информации;
если необходимо, оснащение (дооснащение) аттестуемого объекта информатизации техническими средствами защиты информации;
разработка и согласование программ и методик аттестации;
инструментальное обследование объекта информатизации с использованием необходимой контрольно-измерительной аппаратуры и программного обеспечения;
по результатам обследования аттестуемого объекта составляются протоколы аттестационных испытаний;
на основании полученных протоколов оценивается соответствие объекта информатизации требованиям по безопасности информации, вырабатываются рекомендации, и делается заключение о соответствии требованиям;
оформляется Аттестат соответствия требованиям по безопасности информации.

Кому необходима аттестация?

Аттестация объектов информатизации обязательна для учреждений органов исполнительной власти и подведомственных им учреждений и структур.

В обязательном порядке аттестуются объекты информатизации, отвечающие за обработку информации ограниченного распространения, в том числе, персональных данных.

Обязательной аттестации подлежат объекты, на которых ведётся обработка информация из государственных информационных систем (ГИС, ФИС).

В остальных случаях, аттестация носит рекомендательный характер. Но согласитесь, быть уверенным, что не нарушаешь законодательство в области обработки информации, не лишне. А аттестат соответствия требованиям защиты информации как раз даёт такую уверенность.

Лаборатория защиты информации рада предложить полный комплекс услуг по проведению аттестации автоматизированных систем (АРМ) и помещений Заказчика.

Закажите аттестацию в этом месяце и получите скидку: 8 (800) 2222-469

Источник: tzilab.ru

Разбираемся в приказе ФСТЭК России № 77

10 августа 2021 года был зарегистрирован Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

Документ внёс существенные изменения во все процессы, связанные с проведением аттестационных работ на соответствие требованиям по защите информации. Сегодня разбираем главные изменения.

ЧТО НУЖНО ЗНАТЬ О НОВОМ ПРИКАЗЕ

Алексей Велякин: «Итак, согласно Приказу, с 1 сентября этого года в силу вступили следующие изменения:

аттестат соответствия выдаётся бессрочно (ранее документ выдавался на 3 года);
каждые 2 года юридическое лицо обязано подтверждать факт проведённых периодических контролей аттестованных объектов информатизации;
сохраняются требования по проведению ежегодного периодического контроля;
ФСТЭК России ведётся реестр аттестованных объектов информатизации, в котором отражается статус аттестата соответствия;
органы по аттестации обязаны в пятидневный после подписания аттестатов соответствия срок высылать их копии во ФСТЭК России для формирования данного реестра;
все аттестаты, выданные до 01.09.21, действуют согласно прежним нормам и имеют срок действия 3 года.

Средства и системы защиты информации

Кому необходима аттестация?

Разбираемся в приказе ФСТЭК России № 77

Составьте блок схему и программу вычисления значения функции вариант 3

Напиши программу которая в последовательности натуральных чисел определяет количество чисел кратных

Как записать музыку на сд диск в формате сд программа

Какая нужна программа на телефон чтобы скачивать музыку на телефон

Если не хватает места на диске с для установки программы

Задачи по ознакомлению с формой и геометрическими фигурами в программе радуга

Как расширение имени файла связано с форматом файла и программой обработки

Что программа 12111 переводит число 50 в число 20 определите значение b