Изучение особенностей аттестации помещений по требованиям безопасности информации

Практическое занятие 9

Изучение положения по аттестации объектов информатизации по требованиям безопасности информации

Цель занятия – закрепление теоретических знаний по вопросам аттестации объектов информатизации по требованиям безопасности информации.

Учебные вопросы

1. Система объектов информатизации по требованиям безопасности информации.

2. Виды аттестации объектов информатизации по требованиям безопасности информации.

3. Функции ФСТЭК и органов по аттестации в области аттестации объектов информатизации по требованиям безопасности информации.

4. Функции испытательных центров (лабораторий) и заявителей по аттестации объектов информатизации по требованиям безопасности информации.

5. Порядок проведения аттестации и контроля.

Методические указания студентам по подготовке и проведению практического занятия

2.1. При подготовке к практическому занятию студентам рекомендуется ответить на контрольные вопросы.

2.2. Порядок проведения занятия

Во время проведения занятия преподаватель осуществляет опрос студентов и определяет их готовность к занятию.

Затем студенты последовательно усваивают учебные вопросы, касающиеся организационной структуры системы аттестации объектов информатизации по требованиям безопасности информации, функций органов аттестации и заявителей, особенностей подготовки, проведения аттестации объектов информатизации по требованиям безопасности информации и контроля, лично отрабатывают контрольные вопросы практического занятия. При необходимости неясные вопросы обсуждаются в группе под руководством преподавателя.

По окончании занятия студенты оформляют отчет и представляют его на подпись преподавателю.

Контрольные вопросы

1. Дайте определение аттестации объектов информатизации по требованиям безопасности информации.

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

2. Организационная структура системы объектов информатизации по требованиям безопасности информации.

Организационную структуру системы аттестации объектов информатизации образуют:

- федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации - Гостехкомиссия России;

- органы по аттестации объектов информатизации по требованиям безопасности информации;

- испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

- заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

3. Виды аттестации объектов информатизации по требованиям безопасности информации.

4. Какие объекты информатизации подлежат обязательной аттестации?

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации.

5. Каковы функции ФСТЭК в области аттестации объектов информатизации по требованиям безопасности информации?

- организует обязательную аттестацию объектов информатизации;

- создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

- устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

- организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

- аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

- осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;

6. Каковы функции органов по аттестации?

Органы по аттестации:

- аттестуют объекты информатизации и выдают «Аттестаты соответствия»;

- осуществляют контроль над эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;

- отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»;

-формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

- ведут информационную базу аттестованных этим органом объектов информатизации;

- осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.

7.Каковы функции заявителей в области аттестации объектов информатизации по требованиям безопасности информации?

Заявители:

- проводят подготовку объекта информатизации аттестации путем необходимых организационно-технических мероприятий по защите информации;

- привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;

- представляют органам по аттестации необходимые документы и условия проведения аттестации;

- привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;

- осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;

- извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган аттестации, приводится в «Аттестате соответствия»;

- предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию

8.Порядок проведения аттестации объектов информатизации по требованиям безопасности информации.

9.На основе каких сведений разрабатывается программа аттестационных испытаний?

По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программы аттестационных испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.

10. Порядок проведения аттестационных испытаний.

-осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;

-определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;

- проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

-проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;

-проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

-оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

11.Какая документация представляется органу по аттестации?

Нормативная и методическая.

12. Что такое технический паспорт объекта информатизации и какие сведения о объекте он включает в себя?

ОВТ: Технический паспорт объекта информатизации с приложениями:

- Состав технических и программных средств входящих в АС;

- План размещения АС относительно контралируемые зоны.

ВП: Технический паспорт на помещение категории:

- План размещения ОТСС, ВТСС, мебели установленные в ВП относительно границ контралируемые зоны

- Схема прокладки линии передачи данных, охранной и пожарной сигнализации, цепей питания и заземления ВП.

13. В чем состоит содержание специального исследования аттестуемого объекта информатизации?

Специальные исследования требует аттестации помещения и аттестации оборудования, использование специальной контрольно-измерительной аппартуры.

14. Цель и содержание специальных обследований и проверок.

Целью специальной проверки технических средств является обнаружение специально внедренных устройств негласного съема информации, а также элементов этих технических средств, которые при воздействии на них тех или иных физических полей (например, высокочастотного электромагнитного излучения) могут быть использованы для несанкционированного получения информации (обрабатываемой или речевой).

15. Проведение измерения и оценка уровней защищенности.

Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием проверенной контрольно-измерительной аппаратуры.

При аттестации объектов информатизации для каждого ТСОИ:

o измеряются напряженности электромагнитного поля по магнитной Нi (в диапазоне частот 9 кГц – 30 МГц) и электрической Еi (в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемые информативным сигналом ТСОИ;

o измеряются уровни информативных сигналов ТСОИ в диапазоне частот 9 кГц - 300 МГц в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны;

o определяются коэффициенты удельного затухания информативного сигнала в линиях электропитания, в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны, и рассчитывается затухание в них информационного сигнала;

o рассчитывается величина максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зоны R2);

o рассчитываются предельные расстояния от ТСОИ до вспомогательных технических средств и систем и их кабельных коммуникаций, посторонних проводников и инженерных коммуникаций, имеющих выход за границу контролируемой зоны (зоны r1, r1’);

o измеряется сопротивление заземления каждого ТСОИ;

o измеряется минимальное расстояние от каждого ТСОИ до границы контролируемой зоны.

16. Какие измерения дополнительно проводятся прииспользовании на объекте информатизации систем активной защиты?

При использовании на объекте информатизации систем активной защиты (САЗ) дополнительно проводятся:

измерения напряженности электромагнитного поля по магнитной Н_i (в диапазоне частот 9 кГц – 30 МГц) и электрической Е_i (в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемой помеховыми сигналами САЗ;

измерения уровней помеховых сигналов в диапазоне частот 9 кГц - 300 МГц, создаваемых САЗ в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны.

17. Содержание заключения аттестационной проверки объекта информатизации.

Заключение аттестационной проверки объекта информатизации должно включать:

· состав аттестационной комиссии (группы);

· дату проведения аттестации;

· перечень руководящих документов, в соответствии с которыми проводилась аттестация;

· перечень документов по защите информации на объекте информатизации, представленных аттестационной комиссии;

· характеристику объекта информатизации (наименование объекта, назначение, местоположение, условия размещения и т.д.);

· перечень технических средств обработки информации ограниченного доступа (ТСОИ), установленных на объекте информатизации, с указанием их места установки и категорий;

· перечень вспомогательных технических средств и систем (ВТСС), установленных на объекте информатизации, с указанием их места установки;

· перечень технических средств защиты информации, установленных на объекте информатизации, с указанием их места установки;

· характеристику организационных мероприятий по защите информации. Вывод о выполнении (невыполнении) организационных мероприятий по защите информации при ее обработке;

· виды работ, проводимых в ходе аттестации;

· перечень использованной в ходе инструментальной проверки (аттестационных испытаний) аппаратуры (перечисляется вся используемая аппаратура контроля по оцениваемым каналам и ее заводские номера);

· результаты анализа документации по защите информации на объекте информатизации. Вывод о соответствии (несоответствии) разработанной документации по защите информации требованиям нормативно-методических документов ФСТЭК РФ;

· оценку правильности категорирования объектов информатизации;

· оценку уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации; и т.д

18. Содержание протокола аттестационных испытаний объекта информатизации.

o вид испытаний;

o объект испытаний;

o дату и время проведения испытаний;

o место проведения испытаний;

o перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);

o перечень нормативно-методических документов, в соответствии с которыми проводились испытания;

o методику проведения испытания (краткое описание);

o результаты измерений;

o результаты расчетов;

19. Содержание аттестата соответствия на объект информатизации.

- регистрационный номер;

- дату выдачи;

- срок действия;

- наименование, адрес и местоположение объекта информатизации;

- категорию объекта информатизации;

- класс защищенности автоматизированной системы;

- гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;

- организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;

- номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;

- перечень руководящих документов, в соответствии с которыми проводилась аттестация;

- номер и дата утверждения заключения по результатам аттестационных испытаний;

- состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;

- организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;

- перечень действий, которые запрещаются при эксплуатации объекта информатизации;

- список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.

20. Ответственность за выполнение установленных условий функционирования аттестованного объекта информатизации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

Литература

1. Снытников А.А. Лицензирование и сертификация в области защиты информации. – М.: Гелиос АРВ, 2003.

2. Положение по аттестации объектов информатизации по требованиям безопасности информации: Утв. председателем Государственной технической комиссии Российской Федерации при Президенте Российской Федерации от 25 ноября 1994 г.

3. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации: Утв. председателем Государственной технической комиссии Российской Федерации при Президенте Российской Федерации, 1994.

Изучение особенностей аттестации помещений по требованиям безопасности информации