3.1. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
— подачу и рассмотрение заявки на аттестацию;
— предварительное ознакомление с аттестуемым объектом;
— испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
— разработка программы и методики аттестационных испытаний;
— заключение договоров на аттестацию;
— проведение аттестационных испытаний объекта информатизации;
— оформление, регистрация и выдача «Аттестата соответствия»;
— осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
3.2. Подача и рассмотрение заявки на аттестацию.
3.2.1. Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации по форме, приведенной в приложении 1.
Своя колонка итогов в СКД
3.2.2. орган по аттестации в месячный срок рассматривает заявку и на основании анализа исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.
3.3. Предварительное ознакомление с аттестуемым объектом.
При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.
3.4. Испытания несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте информатизации.
3.4.1. При использовании на аттестуемом объекте информатизации несеpтифициpованных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
3.4.2. Испытания отдельных несеpтифициpованных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации проводятся до аттестационных испытаний объектов информатизации.
В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.
3.5. Разработка программы и методики аттестационных испытаний.
3.5.1. По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.
Согласование графика производства работ в программе АС «Строитель»
3.5.3. Программа аттестационных испытаний согласовывается с заявителем.
3.6. Заключение договоров на аттестацию.
3.6.1. Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
3.6.2. Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.
3.7. Проведение аттестационных испытаний объектов информатизации.
3.7.1. На этапе аттестационных испытаний объекта информатизации:
— осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
— определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
— проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
— проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
— проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
— оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
3.7.2. Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи «Аттестата соответствия» и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.
К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
Протоколы испытаний подписываются экспертами — членами аттестационной комиссии, проводившими испытания.
Заключение и протоколы испытаний подлежат утверждению органом по аттестации.
3.8. Оформление, регистрация и выдача «Аттестата соответствия».
3.8.1. «Аттестат соответствия» на объект информатизации, отвечающий требованиям по безопасности информации, выдается органом по аттестации по форме, приведенной в приложении 2.
3.8.2. «Аттестат соответствия» оформляется и выдается заявителю после утверждения заключения по результатам аттестации.
3.8.3. Регистрация «Аттестатов соответствия» осуществляется по отраслевому или территориальному признакам органами по аттестации с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору.
Ведение сводных информационных баз аттестованных объектов информатизации осуществляется Гостехкомиссией России или по ее поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов.
3.8.4. «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
3.8.5. В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.
3.8.6. При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки, орган по аттестации принимает решение об отказе в выдаче «Аттестата соответствия».
При этом может быть предложен срок повторной аттестации при условии устранения недостатков.
При наличии замечаний непринципиального характера «Аттестат соответствия» может быть выдан после проверки устранения этих замечаний.
3.9. Рассмотрение апелляций.
В случае несогласия заявителя с отказом в выдаче «Аттестата соответствия» он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в Гостехкомиссию России с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.
3.10. Государственный контроль и надзор, инспекционный контроль за соблюдением правил аттестации и эксплуатации аттестованных объектов информатизации.
3.10.1. Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится Гостехкомиссией России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации — периодически в соответствии с планами работы по контролю и надзору.
Гостехкомиссия России может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органам по аттестации.
3.10.3. Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль за эксплуатацией аттестованных объектов информатизации.
3.10.4. В случае грубых нарушений органом по аттестации требований стандартов или иных нормативных и методических документов по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации.
3.10.5. При выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», с оформлением этого решения в «Аттестате соответствия» и информированием органа, ведущего сводную информационную базу аттестованных объектов информатики, и Гостехкомиссии России.
Решение об аннулиpовании действия «Аттестата соответствия» принимается в случае, когда в результате оперативного принятия организационно-технических мер защиты не может быть восстановлен требуемый уровень безопасности информации.
3.10.6. В случае грубых нарушений органом по аттестации требований стандартов или иных нормативных документов по безопасности информации, утвержденных Гостехкомиссией России, выявленных при контроле и надзоре и приведших к повторной аттестации, расходы по осуществлению контроля и надзора могут быть по решению Госарбитража взысканы с органа по аттестации. Повторная аттестация может быть также осуществлена за счет этого органа по аттестации.
3.10.7. Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств госбюджета, выделенных ему в этих целях.
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru
Аттестация объектов информатизации
Аттестация объектов информатизации — это комплекс организационно-технических мероприятий, в результате которых, с помощью специального документа – «Аттестата соответствия» подтверждается, что объект информатизации соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации ФСТЭК России.
АО «РАМЭК-ВС» ОСУЩЕСТВЛЯЕТ ПОЛНЫЙ КОМПЛЕКС И ОТДЕЛЬНЫЕ ВИДЫ РАБОТ ПО ПОДГОТОВКЕ И ПРОВЕДЕНИЮ АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ — «ПОД КЛЮЧ»!
- АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ОБРАБОТКИ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ.
- АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ОБРАБОТКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.
- ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.
- ВЫДЕЛЕННЫЕ И ЗАЩИЩАЕМЫЕ ПОМЕЩЕНИЯ, ПРЕДНАЗНАЧЕННЫЕ ДЛЯ ПРОВЕДЕНИЯ СЕКРЕТНЫХ И КОНФИДЕНЦИАЛЬНЫХ МЕРОПРИЯТИЙ (СОВЕЩАНИЙ, ОБСУЖДЕНИЙ, КОНФЕРЕНЦИЙ, ПЕРЕГОВОРОВ И Т.Д.).
НАШИ УСЛУГИ
Обследование объекта и разработка аналитического отчета
Классификация и/или категорирование объекта с подготовкой проектов актов
Разработка проектов моделей угроз и требований по обеспечению безопасности информации
Разработка технического задания/проекта на систему защиты информации
Проведение специальных проверок и специальных исследований технических средств объекта
Объектовый контроль защищенности и оценка эффективности принятых мер
Поставка, установка и конфигурирование сертифицированных средств защиты информации
Разработка комплекта проектов организационно-распорядительных документов, техпаспорта, должностных инструкций
Разработка и согласование программы и методик проведения аттестационных испытаний
Проведение аттестационных испытаний и оформление протоколов
Подготовка заключения по результатам аттестационных испытаний
Выдача аттестата соответствия в случае положительного заключения
НАШИ ПРЕИМУЩЕСТВА
Полный комплекс работ
проектирование, создание, защита и аттестация объектов информатизации государственных органов и коммерческих структур («под ключ»)
Комплексное обследование объектов информатизации
в рамках подготовки к аттестации, выбор и обоснование рекомендаций по обеспечению требуемого уровня защиты информации
Поставка, монтаж и ввод в эксплуатацию
современных сертифицированных средств и систем защиты информации
Методическая помощь заказчику
в подготовке организационно-распорядительных документов на объект информатизации
Аттестация на соответствие требованиям
по защите конфиденциальной информации и информации, содержащей сведения, составляющие государственную тайну
Сопровождение аттестованных объектов информатизации
в течение всего срока эксплуатации
Собственная производственно-техническая база
использование современной контрольно-измерительной аппаратуры
Собственная аттестованная измерительная площадка
для проведения спецпроверок и специсследований технических средств
Опыт проведения работ
на объектах различной степени сложности, на всей территории РФ
НАШИ ЛИЦЕНЗИИ
На осуществление выявления устройств, предназначенных для негласного получения информации
На деятельность по технической защите конфиденциальной информации
Лицензия на осуществление мероприятий или оказания услуг в области защиты гостайны
Лицензия на осуществление мероприятий или оказания услуг в области защиты гостайны
Лицензия на осуществление работ, с использованием сведений, составляющих гостайну
Аттестат аккредитации органа по аттестации (ФСТЭК)для проведения аттестации объектов информатизации
ЭТАПЫ РАБОТ
1
ПЕРВЫЙ ЭТАП
Осмотр и исследования, при помощи которых происходит обработка закрытой информации или контроль инструментов звуковой безопасности ограждения выделенного помещения.
2
ВТОРОЙ ЭТАП
Проведение специальных исследований объектов, всех технических средств, проводных коммуникаций, средств программных информационных систем и в том числе спецпроверки технических средств зарубежного производителя.
3
ТРЕТИЙ ЭТАП
Комплексные работы по испытанию оборудования и систем, проверяемого объекта, проверка на соответствие требованиям по защите информации, оформление отчетной документации и выпуск аттестата соответствия.
Источник: www.ramec.ru
Аттестация АС и ИС. Обзор нормативно-методических документов.
Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Аттестация АС и ИС. Обзор нормативно-методических документов.
- обработки информации, составляющей государственную тайну;
В остальных случаях аттестация носит добровольный характер и представляет собой способ официального подтверждения соответствия вашего объекта информатизации требованиям по безопасности информации (иного способа нормативная база не предусматривает).
Нормативно-методические документы, регламентирующие порядок проведения аттестации объектов информатизации и содержащие требования к объектам информатизации:
-
Положение по аттестации объектов информатизации по требованиям безопасности информации, утв. председателем Гостехкомиссии при Президенте РФ, 25 ноября 1994 г.;
Стороны, участвующие в аттестации:
Уполномоченный федеральный орган. В соответствии с законодательством РФ федеральным органом, который организует деятельность системы аттестации, является ФСТЭК России. В рамках своих полномочий он осуществляет лицензирование организаций и аккредитацию органов по аттестации, разработку и утверждение нормативных правовых актов, устанавливающих требования безопасности информации и порядок аттестации, рассмотрение апелляций в спорных случаях, осуществление государственного контроля (надзора) за соблюдением порядка аттестации и ведение сводного реестра аттестованных объектов.
Органы по аттестации объектов информатизации по требованиям безопасности информации– это отраслевые и региональные предприятия, учреждения и организации, специальные центры ФСТЭК России, аккредитованные ФСТЭК России и получившие от него лицензию на проведение аттестации объектов информатизации. Аккредитация органов по аттестации осуществляется согласно положению Гостехкомиссии России «Об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации» и служит официальным подтверждением их технической компетентности.
Испытательные центры (лаборатории)привлекаются заявителем для испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации.
Перечень органов по аттестации и испытательных лабораторий, прошедших аккредитацию, представлен на официальном сайте ФСТЭК России.
Заявители(владельцы аттестуемых объектов информатизации) проводят подготовку системы защиты информации объекта информатизации и самого объекта для аттестации. Для проведения аттестации заявитель должен предоставить органам по аттестации все необходимые материалы. После получения аттестата соответствия он должен осуществлять эксплуатацию объекта информатизации в соответствии с установленными требованиями, а в случае изменений объекта информатизации обязан извещать орган по аттестации, выдавший аттестат соответствия.
Основным документами, определяющими цели и задачи, порядок и условия проведения аттестации объектов информатизации, являются руководящий документ Гостехкомиссии РФ «Положение об аттестации объектов информатизации по требованиям безопасности информации» и ГОСТ РО 0043-003-2012. Предложенный ими порядок аттестации объектов информатизации по требованиям безопасности информации представлен на схеме ниже.
Сначала заявитель осуществляет выбор органа по аттестации и направляет в него заявку на проведение аттестации с исходными данными об аттестуемом объекте информатизации. Орган по аттестации рассматривает ее, производит анализ исходных данных и в случае, если их недостаточно, проводит работы по ознакомлению с аттестуемым объектом. Если на аттестуемом объекте используются несертифицированные средства и системы защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.
Следующим важным шагом в проведении аттестации является разработка программы и методики аттестационных испытаний, определяющей перечень работ и их продолжительность, методы испытаний (при обязательной аттестации используют ГОСТ РО 0043-004-2013), а также количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации, используемые технические, программные средства и измерительную аппаратуру. Разработанную программу согласовывают с заказчиком.
ГОСТ РО 0043-004-2013 устанавливает требования к составу и содержанию аттестационных испытаний и содержит наборы программ и методик для разных объектов информатизации.
Проведение аттестационных испытаний объектаинформатизации включает:
-
анализ структуры объекта информатизации, информационных потоков, комплекса технических средств и программного обеспечения, системы защиты информации и разработанной документации;
При проведении аттестационных испытаний применяют:
После утверждения положительного заключения по результатам аттестационных испытаний объекта информатизации орган по аттестации оформляет и регистрирует аттестат соответствия. В течении срока действия аттестата (не более 3 лет) владелец должен обеспечивать неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, которые могут повлиять на характеристики, определяющие безопасность информации (состава и структуры технических средств, условий размещения, используемого программного обеспечения, режимов обработки информации, средств и мер защиты).
В случае несогласия с отказом в выдаче аттестата соответствия заявитель имеет право обратиться в уполномоченный федеральный орган исполнительной власти с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов.
Положение об аттестации объектов информатизации по требованиям безопасности информации и ГОСТ РО 0043-003-2012 также определяют порядок ввода в действие и эксплуатации аттестованных объектов информатизации и контроля за эксплуатацией уже аттестованных объектов информатизации.
Другие материалы
Каждый из нас понимает очевидную вещь: перспективное планирование обеспечивает широкому кругу (специалистов) участие в формировании первоочередных требований..
Источник: safe-surf.ru