Сведения на основании которых разрабатывается программа аттестационных испытаний

«АСТ» имеет аккредитацию ФСТЭК России в качестве центра аттестации ОИ, а также обладает необходимым набором лицензий ФСТЭК и ФСБ для проведения аттестации соответствующих ИС. Мероприятия предусматривают комплексную проверку защищаемого ОИ в реальных условиях эксплуатации, в ходе которой выполняются все необходимые виды работ.

Аттестация объекта информатизации (ОИ) – это завершающий этап работ по внедрению средств ИБ, призванный подтвердить соответствие объекта требованиям нормативных документов регулирующих органов в сфере защиты информации. Аттестация проводится в виде комплекса организационно-технических мероприятий, по результатам которых выдается «Аттестат соответствия» тем или иным требованиям и нормативам, на соответствие которым она проводится. Аттестация позволяет проверить и подтвердить действительную степень защищенности ИС, успешность выполненного проекта внедрения средств ИБ, а также соответствие защищенности информации нормативам. В 15-20% случаев на этом этапе удается выявить и исправить недоработки, которые могли бы привести к нежелательным и опасным последствиям.

Аттестация/Переаттестация ИСПДн по направлению: «Информационная безопасность»

Аттестация может быть как добровольная, так и обязательная.

• Добровольная – проводится по инициативе владельца ОИ и служит для подтверждения его соответствия определенным нормативам и требованиям по безопасности информации в случаях, когда требуется либо подтверждение функциональных показателей, либо независимая экспертная оценка.
• Обязательная – проводится для ОИ в случаях, установленных федеральным законодательством РФ и правовыми актами уполномоченных контролирующих органов. Так, обязательной аттестации подлежат ОИ, предназначенные для обработки сведений, представляющих государственную тайну, государственные и муниципальные ИС и пр. Также, аттестация является обязательной при подготовке к получению лицензий на определенные виды деятельности.

«АСТ» имеет аккредитацию ФСТЭК России в качестве центра аттестации ОИ, а также обладает необходимым набором лицензий ФСТЭК и ФСБ для проведения аттестации соответствующих ИС. Мероприятия предусматривают комплексную проверку защищаемого ОИ в реальных условиях эксплуатации, в ходе которой выполняются все необходимые виды работ. Аттестация охватывает весь спектр объектов, подлежащих контролю соответствия требованиям:

• Информационные системы
• Рабочие места, оснащенные средствами автоматизации
• Сети передачи данных
• Помещения

«АСТ» проводит аттестацию ОИ на соответствие:

• Требованиям по защите персональных данных (152-ФЗ, приказ 21 ФСТЭК)
• Требованиям по защите государственных информационных систем (приказ 17 ФСТЭК России)
• Требованиям по защите конфиденциальной информации
• Требованиям, предъявляемым к ИС, обрабатывающим информацию, составляющую государственную тайну

Виды выполняемых при проведении аттестации ОИ работ:

1. Определение перечня ОИ, подлежащих аттестации, категорирование и классификация
2. Анализ и оценка исходных данных и документации по защите информации на ОИ, оценка правильности категорирования
3. Проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации ОИ
4. Разработка документации (включая как паспорта ОИ, так и организационно-распорядительную документацию) на ОИ, подготавливаемые к аттестационным испытаниям
5. Проверка технологического процесса хранения и обработки информации, определение возможных каналов утечки информации и разработка перечня мероприятий по их исключению
6. Оценка соответствия помещений, в которых установлены ОИ предъявляемым требованиям, включая, при необходимости, специальную проверку на наличие внедренных устройств перехвата информации
7. Оценка уровня подготовки персонала
8. При необходимости, проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации)
9. Подготовка и утверждение программы и методики проведения аттестационных испытаний
10. Проведение аттестационных испытаний, включая отдельные технические и программные средства, инженерное, ИТ-оборудование и пр.
11. Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от несанкционированного доступа и утечки по техническим каналам
12. Подготовка отчетной документации (протоколов испытаний, заключения по результатам аттестационных испытаний)
13. Выдача, при условии положительного заключения, «Аттестата соответствия»
14. Анализ результатов аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации.

В результате проведения работ заказчику выдается «Аттестат соответствия объекта информатизации требованиям по безопасности информации» сроком на 3 года.

Требования к программам и методикам сертификационных испытаний и порядок их проведения

Источник: acti.ru

ГОСТ Р 58189-2018 Защита информации. Требования к органам по аттестации объектов информатизации

• Федеральное законодательство

• Конституция РФ
• Кодексы
• Федеральные законы
• ФСБУ (ПБУ)
• Правовые акты министерств и ведомств
• Правовые акты Президента РФ
• Правовые акты Правительства
• Разъяснения государственных органов
• ГОСТы
• Cтандарты бухгалтерского учета для бюджетных учреждений

Законодательство субъектов РФ

Акты законодательных (представительных) органов государственной власти субъекта РФ

Акты главы субъекта РФ

Акты исполнительного органа субъекта РФ

Ведомственные акты

Акты местного самоуправления субъекта РФ

Судебная практика

Арбитражная практика

Постановления Конституционного Суда РФ

Определения Конституционного Суда РФ

Решения высших судов

Решения судов общей юрисдикции

Отраслевые документы

Справочник МСФО

Международные нормативно-правовые акты

Изменения в законодательстве

Дата редакции
Оглавление

• Предисловие
• 1. Область применения
• 2. Нормативные ссылки
• 3. Термины и определения
• 4. Обозначения и сокращения
• 5. Общие требования к органам по аттестации объектов информатизации
• 6. Требования к органам по аттестации объектов информатизации
• Приложение А (рекомендуемое). Типовое положение об органе по аттестации объектов информатизации

• Оглавление
• Скачать архив
• Скачать документ
• Распечатать
• Добавить в папку
• Отслеживать документ
• Справка

Предисловие

1. Разработан Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральным автономным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФАУ «ГНИИИ ПТЗИ ФСТЭК России»)

2. Внесен Техническим комитетом по стандартизации ТК 362 «Защита информации»

3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 2 августа 2018 г. № 447-ст

4. Введен впервые

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок – в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

1. Область применения

Настоящий стандарт устанавливает обязательные требования к органам по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, а также к организациям, претендующим на аккредитацию в качестве органа по аттестации.

2. Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ГОСТ Р 50922 Защита информации. Основные термины и определения

Примечание – При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3. Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:

3.1. аккредитация органа по аттестации объектов информатизации: Официальное признание уполномоченным федеральным органом исполнительной власти компетентности юридического лица выполнять работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

3.2. аттестация объектов информатизации: Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.

объект информатизации; ОИ: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
[ГОСТ Р 51275-2006, статья 3.1]

3.4. орган по аттестации объектов информатизации: Юридическое лицо, выполняющее работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

3.5. уполномоченные федеральные органы исполнительной власти: Федеральные органы исполнительной власти, устанавливающие в пределах своих полномочий обязательные требования соответствия безопасности информации, а также порядок сертификации продукции, используемой в целях защиты информации, и аттестации объектов информатизации.

4. Обозначения и сокращения

В настоящем стандарте применены следующие сокращения:

АС – автоматизированная система;

БИ – безопасность информации;

НСД – несанкционированный доступ;

ОИ – объект информатизации;

ФОИВ – федеральный орган исполнительной власти.

5. Общие требования к органам по аттестации объектов информатизации

Орган по аттестации ОИ и организация, претендующая на аккредитацию в качестве органа по аттестации ОИ, должны удовлетворять следующим обязательным требованиям к наличию:

– документов, определяющих порядок и правила выполнения работ по аттестации ОИ;

– помещений, предназначенных для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ;

– средств измерений и испытаний, необходимых для выполнения работ по аттестации ОИ;

– работников, имеющих соответствующую квалификацию, стаж работы, знания и навыки;

– лицензий, необходимых для выполнения работ по аттестации ОИ;

– ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну;

– организационно-распорядительной документации, определяющей задачи, функции, обязанности, права и ответственность органа по аттестации.

6. Требования к органам по аттестации объектов информатизации

6.1. Требования к наличию документов, определяющих порядок и правила выполнения работ по аттестации объектов информатизации

Орган по аттестации ОИ должен иметь в наличии необходимые для выполнения работ по аттестации ОИ нормативные правовые акты, методические документы и национальные стандарты, определяющие порядок и методики проведения аттестационных испытаний в целях подтверждения соответствия ОИ требованиям БИ. Перечень таких документов определяется соответствующим уполномоченным ФОИВ.

Орган по аттестации ОИ должен обеспечить учет, хранение и актуализацию фонда нормативных правовых актов, методических документов и национальных стандартов в установленном законодательством Российской Федерации порядке.

6.2. Требования к наличию помещений

Орган по аттестации ОИ должен иметь помещения, принадлежащие ему на праве собственности или ином законном основании, в которых созданы необходимые условия, установленные требованиями руководящих и нормативных документов, утвержденных соответствующими уполномоченными ФОИВ, для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.

6.3. Требования к наличию средств измерений и испытаний

Орган по аттестации ОИ должен иметь принадлежащие ему на праве собственности средства измерений, испытательное оборудование и программные (программно-аппаратные) средства, необходимые для выполнения работ по аттестации ОИ. Примерный перечень средств измерений, испытательного оборудования и программных (программно-аппаратных) средств определяется соответствующим ФОИВ.

Средства измерений должны иметь характеристики, обеспечивающие в процессе аттестации ОИ требуемые измерения, определенные уполномоченным ФОИВ в соответствии с Перечнем измерений, относящихся к сфере государственного регулирования обеспечения единства измерений.

Средства измерений должны иметь действующие свидетельства о поверке, проведенной в установленном законодательством Российской Федерации порядке.

Программные (программно-аппаратные) средства контроля эффективности технической защиты информации должны иметь действующие сертификаты соответствия требованиям безопасности информации, выданные уполномоченным ФОИВ по результатам проведенной оценки (подтверждения) их соответствия в установленном законодательством Российской Федерации порядке.

6.4. Требования к наличию работников и их квалификации

Орган по аттестации ОИ должен иметь подразделение, на которое возложены работы по аттестации ОИ, укомплектованное работниками, для которых работа в органе по аттестации ОИ является основным местом работы.

Орган по аттестации ОИ должен иметь в штате работников, заключивших с ним трудовой договор, которые обладают необходимыми знаниями, умениями и могут выполнять работы по аттестации ОИ, в том числе:

– руководителя или лица, уполномоченного руководить работами по аттестации ОИ, имеющего:

высшее профессиональное образование по направлению подготовки (специальности) «Информационная безопасность» и не менее 5 лет стажа работы в области аттестации ОИ;

или иное высшее профессиональное* образование и не менее 10 лет стажа работы в области аттестации ОИ;

* По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.

или иное высшее образование и не менее 5 лет стажа работы в области аттестации ОИ, прошедшего обучение по программам профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 аудиторных часов);

– не менее трех инженерно-технических работников для проведения работ по аттестации ОИ, имеющих:

высшее профессиональное образование по направлению подготовки (специальности) «Информационная безопасность»;

или иное высшее профессиональное* образование и прошедших обучение по программе повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 40 аудиторных часов);

* По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.

или иное высшее образование и прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (со сроком обучения не менее 360 аудиторных часов).

Работники должны иметь документы установленного образца, подтверждающие квалификацию, практический опыт и уровень подготовки.

Характеристика квалификации, необходимой работнику органа по аттестации для осуществления профессиональной деятельности, определяется действующим профессиональным стандартом «Специалист по технической защите информации».

6.5. Требования к наличию лицензий

Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на проведение работ, связанных с использованием сведений, составляющих государственную тайну.

Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

6.6. Требования к наличию объектов информатизации

Орган по аттестации ОИ для обработки информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности АС и средства их защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.

Орган по аттестации ОИ для обсуждения информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности или на другом законном основании помещение и средства его защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.

6.7. Требования к наличию организационно-распорядительной документации

Орган по аттестации ОИ в своей деятельности должен руководствоваться Положением об органе по аттестации, в котором должны быть определены задачи, функции, обязанности, права и ответственность органа по аттестации.

Типовое положение об органе по аттестации ОИ приведено в приложении А.

К Положению об органе по аттестации ОИ прилагаются:

– перечень имеющихся у органа по аттестации ОИ документов, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.1);

– перечень имеющихся у органа по аттестации ОИ средств измерений, испытательного оборудования и программных (программно-аппаратных) средств, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.3, 6.6);

– перечень имеющихся у органа по аттестации ОИ работников, привлекаемых для выполнения работ по аттестации ОИ (согласно должностным инструкциям в соответствии с требованиями 6.4).

Указанные перечни оформляются в соответствии с правилами лицензирования на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).

В ходе аккредитации по заявлению юридического лица, претендующего на выполнение работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, уполномоченным ФОИВ производится:

– оценка соответствия заявителя всем обязательным требованиям аккредитации, перечисленным в разделе 5;

– принятие решения по результатам оценки соответствия заявителя требованиям аккредитации.

Приложение А
(рекомендуемое)

Источник: www.audar-info.ru

Аттестация оборудования, применяемого для проведения испытаний

Испытательное оборудование – оборудование, воспроизводящее нормированные внешние воздействующие факторы и (или) нагрузки. Порядок аттестации регламентирован ГОСТ Р 8.568-2017 «ГСИ. Аттестация испытательного оборудования. Основные положения».