Similar presentations:
Аттестация объектов информатизации по требованиям безопасности информации
1.
Аттестация объектовинформатизации по требованиям
безопасности информации
2.
Организационная структура системыаттестации объектов информатизации по
требованиям безопасности информации
Система
аттестации
объектов
информации
по
требованиям
безопасности
информации
является
составной частью единой системы обязательной системы
сертификации средств защиты информации и аттестации
объектов информатизации по требованиям безопасности
информации и подлежит государственной регистрации в
установленном Госстандартом России порядке.
Деятельность
системы
аттестации
организует
федеральный орган по сертификации продукции и аттестации
объектов информатизации по требованиям безопасности
информации (далее - федеральный орган по сертификации и
аттестации), Федеральная служба технического и
экспортного контроля Российской Федерации (ФСТЭК
России) в пределах ее компетенции, определяемой
законодательными актами Российской Федерации.
3.
Аттестации подлежатОбязательная
Обязательная
объекты информатизации, предназначенные для обработки информации,
составляющей государственную тайну
объекты информатизации предназначенные для управления экологически опасными
объектами
объекты предназначенные для ведения секретных переговоров
Обязательная
Добровольная
В остальных случаях аттестация носит добровольный характер и может
осуществляться по желанию заказчика или владельца объекта информатизации при
наличии юридически закрепленного его согласия выполнять требования
Положения.
4.
Приаттестации
объекта
информатизации
подтверждается его соответствие требованиям по
защите информации:
от несанкционированного доступа, в том числе от
компьютерных вирусов;
от утечки за счет побочных электромагнитных излучений и
наводок при специальных воздействиях на объект
(высокочастотное
облучение,
электромагнитное
и
радиационное воздействие);
от утечки или воздействия на нее за счет специальных
устройств, встроенных в объект информатизации.
5.
Аттестация проводится органом по аттестации вустановленном Положением порядке в соответствии со
схемой, выбираемой этим органом на этапе подготовки к
аттестации из следующего основного перечня работ:
анализ исходных данных по аттестуемому объекту информатизации
предварительное ознакомление с аттестуемым объектом информатизации
проведение экспертного обследования объекта информатизации и анализ
разработанной документации по информации на этом объекте с точки зрения ее
соответствия требованиям нормативной и методической документации
проведение испытаний отдельных средств и систем защиты информации на
аттестуемом объекте информатизации с помощью специальной контрольной
аппаратуры и тестовых средств
проведение испытаний отдельных средств и систем информации в испытательных
центрах (лабораториях) по сертификации средств защиты информации по
требованиям безопасности информации
проведение комплексных аттестационных испытаний объекта информатизации
в реальных условиях эксплуатации
анализ результатов экспертного обследования и комплексных аттестационных
испытаний объекта и утверждение заключения по результатам аттестации
6.
Основные руководящие документы ФСТЭКРоссии по аттестации объектов информатизации
ФЗ «Об информации, информационных технологиях и о защите
информации» от 27 июля 2006 г. N 149-ФЗ;
РД Положение по аттестации объектов информатизации по требованиям
безопасности информации, утверждено Председателем Гостехкомиссии
России 25.11.94 г.;
РД Типовое положение об органе по аттестации объектов информатизации
по требованиям безопасности информации, утвержденное приказом
председателя Гостехкомиссии России от 5 января 1996 г. № 3;
РД Положение об аккредитации испытательных лабораторий и органов по
сертификации средств защиты информации по требованиям безопасности
информации, утвержденное Председателем Гостехкомиссии России 25.11.94
года;
Специальные требования и рекомендации по технической защите
конфиденциальной
информации,
утверждены
решением
Коллегии
Гостехкомиссии России от 02.03.01 г. № 7.2;
Автоматизированные системы. Защита от несанкционированного доступа к
информации. Классификация автоматизированных систем и требования по
защите информации РД Гостехкомиссии России, утвержден решением
председателя Гостехкомиссии России от 30 марта 1992 г.
7.
Основные термины и определенияаттестация
объектов
информатизации
комплекс
организационно - технических мероприятий, в результате
которых посредством специального документа - «Аттестата
соответствия» подтверждается, что объект соответствует
требованиям стандартов иных нормативно - технических
документов по безопасности информации, утвержденных
федеральным органом по сертификации и аттестации (ФСТЭК)
в пределах его компетенции.
объекты информатизации аттестуемые по требованиям
безопасности информации - автоматизированные системы
различного уровня и назначения, системы связи, отображения и
размножения, предназначенные для обработки и передачи
информации, подлежащей защите, вместе с помещениями, в
которых
они
установлены,
а
также
помещения,
предназначенные для ведения конфиденциальных переговоров.
8.
Положение «О лицензировании деятельностив области защиты информации»
лицензирование в области защиты информации деятельность, заключающаяся в передаче или получении прав
на проведение работ в области защиты информации
лицензия в области защиты информации - оформленное
соответствующим образом разрешение на право проведения
тех или иных работ в области защиты информации;
защита информации - комплекс мероприятий, проводимых с
целью
предотвращения
утечки,
хищения,
утраты,
несанкционированного
уничтожения,
искажения,
модификации
(подделки),
несанкционированного
копирования, блокирования информации и т.п.;
эффективность защиты информации - степень соответствия
достигнутых результатов действий по защите информации
поставленной цели защиты.
9.
ФЗ “О техническом регулировании”аккредитация - официальное признание органом по аккредитации
компетентности физического или юридического лица выполнять работы в
определенной области оценки соответствия;
заявитель - физическое или юридическое лицо, осуществляющее
обязательное подтверждение соответствия;
знак соответствия - обозначение, служащее для информирования
приобретателей о соответствии объекта сертификации требованиям
системы добровольной сертификации или национальному стандарту;
орган по сертификации - юридическое лицо или индивидуальный
предприниматель, аккредитованные в установленном порядке для
выполнения работ по сертификации;
сертификация - форма осуществляемого органом по сертификации
подтверждения соответствия объектов требованиям технических
регламентов, положениям стандартов или условиям договоров;
сертификат соответствия - документ, удостоверяющий соответствие
объекта требованиям технических регламентов, положениям стандартов
или условиям договоров;
система сертификации - совокупность правил выполнения работ по
сертификации, ее участников и правил функционирования системы
сертификации в целом.
10.
Организационная структура системы аттестации объектовинформатизации по требованиям безопасности информации
Государственная система защиты информации
Система государственного
лицензирования деятельности
предприятий в области защиты
информации
Единая система сертификации
средств защиты информации и
аттестации объектов
информатизации по требованиям
безопасности информации
Система аттестации объектов информатизации
по требованиям безопасности информации
ФСТЭК
федеральный орган по сертификации средств и аттестации объектов
информатизации по требованиям безопасности информации
органы по аттестации объектов информатизации по требованиям
безопасности информации
испытательные центры (лаборатории) по сертификации продукции
по требованиям безопасности информации
заявители
(заказчики, владельцы, разработчики аттестуемых объектов
информатизации)
11.
Федеральный орган по сертификации иаттестации осуществляет следующие функции:
организует обязательную аттестацию объектов информатизации;
создает системы аттестации объектов информатизации и
устанавливает правила для проведения аттестации в этих
системах;
устанавливает правила аккредитации и выдачи лицензий на
проведение работ по обязательной аттестации;
организует, финансирует разработку и утверждает нормативные
и методические документы по аттестации объектов
информатизации;
аккредитует органы по аттестации объектов информатизации и
выдает им лицензии на проведение определенных видов работ;
осуществляет государственный контроль и надзор за
соблюдением правил аттестации и эксплуатацией аттестованных
объектов информатизации;
организует периодическую публикацию информации по
функционированию
системы
аттестации
объектов
по
требованиям безопасности информации.
12.
Органы по аттестации объектов информатизацииаккредитуются федеральным органом по сертификации и
аттестации и получают от него лицензию на проведение
аттестации объектов информатизации
аттестуют объекты информатизации и выдают «Аттестаты
соответствия»;
осуществляют контроль за эксплуатацией аттестованных
объектов информатизации и безопасностью информации,
циркулирующей на них;
отменяют и приостанавливают действие выданных этим
органом «Аттестатов соответствия»;
формируют
фонд
нормативной
и
методической
документации, необходимой для аттестации конкретных
типов объектов информатизации, участвуют в их разработке;
ведут информационную базу аттестованных этим органом
объектов информатизации;
осуществляют взаимодействие с органом по сертификации и
аттестации и ежеквартально информируют его о своей
деятельности в области аттестации.
13.
Права органа по аттестациипривлекать в порядке, определяемом в Положении о
конкретном органе, для работы в аттестационных комиссиях
наиболее компетентных специалистов;
устанавливать сроки, договорные цены на проведение
аттестации, а также устанавливать иные условия
взаимодействия или взаиморасчетов, определяемые в
Положении о конкретном органе;
отказывать заявителю в аттестации объекта информатизации,
указав при этом мотивы отказа и конкретные рекомендации
по проведению аттестации;
участвовать в контроле за состоянием и эксплуатацией
аттестованного этим органом объекта информатизации;
лишать
и
приостанавливать
действие
"Аттестата
соответствия" в случае нарушения его владельцем условий
функционирования объекта информатизации, технологии
обработки защищаемой информации и требований по
безопасности информации.
14.
Обязанности органа по аттестациисоблюдать в полном объеме все правила и порядок сертификации и аттестации;
выдавать или признавать сертификаты соответствия;
при введении новых требований информировать изготовителя в течение месяца о
сроках и порядке ее введения, оказывать содействие в проведении работы по
сертификации в соответствии с новыми нормами;
информировать ФСТЭК России обо всех изменениях, которые могут привести к
необходимости рассмотреть вопрос о проведении аккредитации и
приостановлении действия лицензии;
вести учет всех предъявляемых рекламаций и информировать об этом ФСТЭК
России;
в установленные договором с заявителем сроки организовывать и проводить
аттестацию объекта информатизации;
обеспечивать полноту и объективность проведения аттестации;
обеспечивать сохранность государственной и коммерческой тайны в процессе и по
завершении аттестации;
вести информационную базу аттестованных этим органом объектов;
представлять в государственные органы по сертификации и аттестации
информацию о результатах аттестации, а также "Аттестаты соответствия" для их
регистрации;
допускать представителей контрольных органов для осуществления надзора за
аттестацией.
15.
Ответственность органа по аттестациисоответствие проведенных им аттестационных испытаний
требованиям стандартов и иных НМД по безопасности
информации, а также достоверность результатов;
полноту и качество выполнения функций и обязанностей,
возложенных на него;
формирование
и
квалификацию
аттестационных
комиссий;
соблюдение требований НМД, предъявляемых к порядку
проведения аттестации;
соблюдение установленных сроков и условий проведения
аттестации;
обеспечение сохранности государственной тайны и
коммерческой тайны заявителя;
соблюдение действующего законодательства.
16.
Испытательные лабораторииаккредитуются ФСТЭК России в соответствии с
"Положением об аккредитации испытательных лабораторий и
органов по сертификации средств защиты информации по
требованиям безопасности информации"
По заказам заявителей проводят испытания несертифицированной
продукции,
используемой
на
объекте
информатизации,
подлежащем обязательной аттестации, в соответствии с
«Положением о сертификации средств защиты информации по
требованиям безопасности информации».
17.
Заявителипроводят подготовку объекта информатизации аттестации путем
необходимых организационно-технических мероприятий по защите
информации;
привлекают на договорной основе органы по аттестации для
организации и проведения аттестации объекта информатизации;
представляют органам по аттестации необходимые документы и
условия проведения аттестации;
привлекают, в необходимых случаях для проведения испытаний
несертифицированных средств защиты информации, используемых на
аттестуемом объекте информатизации, испытательные центры
(лаборатории) по сертификации;
осуществляют эксплуатацию объекта информатизации в соответствии с
условиями и требованиями, установленными в «Аттестате
соответствия»;
извещают орган по аттестации, выдавший «Аттестат соответствия», о
всех изменениях в информационных технологиях, составе и
размещении средств и систем информатизации, условиях их
эксплуатации, которые могут повлиять на эффективность мер и средств
информации;
предоставляют необходимые документы и условия для осуществления
контроля и надзора за эксплуатацией объекта информатизации,
прошедшего обязательную аттестацию.
18.
Финансирование работ по аттестацииРасходы по проведению всех видов работ и услуг по
обязательной и добровольной аттестации объектов
информатизации оплачивают заявители за счет финансовых
средств, выделенных на разработку (доработку) и введение в
действие защищаемого объекта информатизации.
Оплата работ по обязательной аттестации производится в
соответствии с договором по утвержденным расценкам, а при
их отсутствии - по договорной цене в порядке,
установленном ФСТЭК России по согласованию с
Министерством финансов Российской Федерации.
Оплата
работы
членов
аттестационной
комиссии
производится органом по аттестации в соответствии с
заключенными трудовыми договорами (контрактами) за счет
финансовых средств от заключаемых договоров на
аттестацию объектов информатизации.
19.
ФЗ «О размещении заказов на поставки товаров,выполнение работ, оказание услуг для государственных и
муниципальных нужд» 1 июля 2005 года N 94-ФЗ
Если цена государственного или муниципального контракта
не превышает двести пятьдесят тысяч рублей
Производится запрос котировок - способ размещения заказа, при
котором информация о потребностях в товарах, работах,
услугах для государственных или муниципальных нужд
сообщается неограниченному кругу лиц путем размещения
на официальном сайте извещения о проведении запроса
котировок и победителем в проведении запроса котировок
признается участник размещения заказа, предложивший
наиболее низкую цену контракта.
Если цена государственного или муниципального контракта
превышает двести пятьдесят тысяч рублей
Открытый тендер
Закрытый тендер
20.
Порядок проведения аттестацииобъектов информатизации
Подготовительный этап
подача и рассмотрение заявки на аттестацию;
предварительное ознакомление с аттестуемым объектом;
испытание несертифицированных средств и систем защиты
информации, используемых на аттестуемом объекте (при
необходимости);
разработка программы и методики аттестационных
испытаний;
заключение договоров на аттестацию;
Этап аттестационных испытаний
проведение аттестационных испытаний объекта
информатизации;
оформление, регистрация и выдача «Аттестата соответствия»;
Этап эксплуатации объекта
осуществление государственного контроля и надзора,
инспекционного контроля за проведением аттестации и
эксплуатацией аттестованных объектов информатизации;
рассмотрение апелляций.
21.
Кому:__________________________________________(наименование органа по аттестации и его адрес)
ЗАЯВКА
на проведение аттестации объекта информатизации
1. (наименование заявителя) просит провести аттестацию (наименование объекта информатизации) на
соответствие требованиям по безопасности информации:____________________________
2. Необходимые исходные данные по аттестуемому объекту информатизации прилагаются.
3. Заявитель готов предоставить необходимые документы и условия для проведения аттестации.
4. Заявитель согласен на договорной основе оплатить расходы по всем видам работ и услуг по
аттестации указанного в данной заявке объекта информатизации.
5. Дополнительные условия или сведения для договора:
5.1. Предварительное ознакомление с аттестуемым объектом предлагаю провести в период ________
5.2. Аттестационные испытания объекта информатики предлагаю провести в период ____________
5.3. Испытания несертифицированных средств и систем информатизации (наименование средств и
систем) предусмотрено провести в испытательных центрах (лабораториях) (наименование испытательных
центров) в период _____ (или предлагается провести непосредственно на аттестуемом объекте в период
_____)
Другие условия (предложения).
печать
Руководитель (органа заявителя)
(подпись, дата) (Фамилия, И.О.)
22.
Исходные данные по аттестуемомуобъекту инфоpматизации
1. Полное и точное наименование объекта информатизации и его назначение.
2. Характер
(научно-техническая,
экономическая,
производственная,
финансовая,
военная,
политическая)
и
уровень
секретности
(конфиденциальности) обрабатываемой информации определен (в
соответствии с какими перечнями (государственным, отраслевым,
ведомственным, предприятия).
3. Организационная структура объекта информатизации.
4. Перечень помещений, состав комплекса технических средств (основных и
вспомогательных), входящих в объект информатизации, в которых (на
которых) обрабатывается указанная информация (расположенных в
помещениях, где она циркулирует).
5. Особенности и схема расположения объекта информатизации с указанием
границ контролируемой зоны.
6. Структура программного обеспечения (общесистемного и прикладного),
используемого
на
аттестуемом
объекте
информатизации
и
предназначенного для обработки защищаемой информации, используемые
протоколы обмена информацией.
23.
7. Общая функциональная схема объекта информатизации, включая схемуинформационных потоков и режимы обработки защищаемой информации.
8. Наличие и характер взаимодействия с другими объектами
информатизации.
9. Состав и структура системы защиты информации на аттестуемом объекте
информатизации.
10. Перечень технических и программных средств в защищенном
исполнении, средств защиты и контроля, используемых на аттестуемом
объекте информатизации и имеющих соответствующий сертификат,
предписание на эксплуатацию.
11. Сведения о разработчиках системы защиты информации, наличие у
сторонних разработчиков (по отношению к предприятию, на котором
расположен аттестуемый объект информатизации) лицензий на
проведение подобных работ.
12. Наличие на объекте информатизации (на предприятии, на котором
расположен объект информатизации) службы безопасности информации,
службы администратора (автоматизированной системы, сети, баз данных).
13. Наличие и основные характеристики физической защиты объекта
информатизации
(помещений,
где
обрабатывается
защищаемая
информация и хранятся информационные носители).
14. Наличие и готовность проектной и эксплуатационной документации на
объект информатизации и другие исходные данные по аттестуемому
объекту информатизации, влияющие на безопасность информации.
24.
Орган по аттестации в месячный срок рассматриваетзаявку и на основании исходных данных выбирает схему
аттестации, согласовывает ее с заявителем и принимает
решение
о
проведении
аттестации
объекта
информатизации.
При
недостаточности
исходных
данных
по
аттестуемому объекту информатизации в схему
аттестации включаются работы по предварительному
ознакомлению с аттестуемым объектом, проводимые до
этапа аттестационных испытаний.
25.
При использовании на аттестуемом объекте информатизациинесертифицированных средств и систем защиты
информации в схему аттестации могут быть включены
работу по их испытаниям в испытательных центрах
(лабораториях)
по
сертификации
средств
защиты
информации по требованиям безопасности информации или
непосредственно на аттестуемом объекте информатизации с
помощью специальной контрольной аппаратуры и тестовых
средств.
При
проведении
испытаний
отдельных
несертифицированных средств и систем защиты информации
в испытательных центрах (лабораториях) по сертификации
эти испытания проводятся до аттестационных испытаний
объектов информатизации. В этом случае заявителем к
началу
аттестационных
испытаний
должны
быть
представлены заключения органов по сертификации
средств
защиты
информации
по
требованиям
безопасности информации и сертификаты.
26.
Перечень СЗИ, подлежащих сертификациипо требованиям безопасности информации
технические СЗИ от утечки по техническим каналам, включая
средства контроля эффективности принятых мер защиты
информации, основные и вспомогательные технические
средства и системы в защищенном исполнении;
СЗИ (технические, программные, программно-технические)
от НСД, блокировки доступа и нарушения целостности;
средства контроля эффективности применения средств
защиты информации;
защищенные программные средства обработки информации;
программные средства общего назначения.
27.
По результатам рассмотрения заявки и анализаисходных данных, а также предварительного
ознакомления с аттестуемым объектом органом по
аттестации разрабатывается
Программа аттестационных испытаний
Перечень работ и их продолжительность
Методики испытаний (или используются типовые методики)
порядок, содержание, условия и методы испытаний для оценки
характеристик и показателей, проверяемых при аттестации;
соответствия характеристик установленным требованиям;
применяемые контрольная аппаратура и тестовые средства.
Количественный и профессиональный состав аттестационной
комиссии, назначаемой органом по аттестации объектов
информатизации
Необходимость использования контрольной аппаратуры и
тестовых средств на аттестуемом объекте информатизации или
привлечения испытательных центров (лабораторий) по
сертификации средств защиты информации по требованиям
безопасности информации
Программа аттестационных испытаний согласовывается с заявителем
28.
Аттестационные комиссииАттестационные комиссии формируются органом по
аттестации из числа как штатных сотрудников органа по
аттестации, так и специалистов в различных направлениях
защиты информации других предприятий и организаций
таким образом, чтобы обеспечить комплексную проверку
конкретного защищаемого объекта.
При необходимости, в случае проведения испытаний
отдельных средств и систем защиты информации на
аттестуемом
объекте
информатизации,
в
состав
аттестационной
комиссии
включаются
специалисты
испытательных центров (лабораторий) по сертификации
конкретных видов продукции.
В
состав
аттестационных
комиссий
включаются
компетентные в соответствующем направлении защиты
информации специалисты, имеющие опыт научнопрактической деятельности и контрольно-проверочной
работы, не участвующие непосредственно в деятельности
заявителей.
29.
Этап подготовки завершается заключениемдоговора между заявителем и органом по аттестации
на проведение аттестации, заключением договоров
(контрактов) органа по аттестации с привлекаемыми
экспертами и оформлением предписания о допуске
аттестационной комиссии к проведению аттестации.
Оплата работы членов аттестационной комиссии
производится органом по аттестации в соответствии
с
заключенными
трудовыми
договорами
(контрактами) за счет финансовых средств от
заключаемых договоров на аттестацию объектов
информатизации.
30.
Проведение аттестационных испытанийанализ организационной структуры объекта информатизации,
информационных потоков, состава и структуры комплекса
технических средств и программного обеспечения, системы
защиты информации на объекте, разработанной документации
и ее соответствия требованиям нормативной документации по
защите информации;
определяется правильность категорирования объектов ЭВТ и
классификации АС (при аттестации автоматизированных
систем), выбора и применения сертифицированных и
несертифицированных средств и систем ЗИ;
проводятся испытания несертифицированных средств и
систем защиты информации на аттестуемом объекте или
анализ результатов их испытаний в испытательных центрах
(лабораториях) по сертификации;
31.
проверяется уровень подготовки кадров и распределениеответственности персонала за обеспечение выполнения
требований по безопасности информации;
проводятся комплексные аттестационные испытания объекта
информатизации в реальных условиях эксплуатации путем
проверки
фактического
выполнения
установленных
требований на различных этапах технологического процесса
обработки защищаемой информации;
оформляются протоколы испытаний и заключение по
результатам аттестации с конкретными рекомендациями по
устранению допущенных нарушений, приведению системы
защиты объекта информатизации в соответствие с
установленными требованиями и совершенствованию этой
системы, а также рекомендациями по контролю за
функционированием объекта информатизации.
32.
Для проведения аттестационных испытанийзаявитель представляет органу по аттестации
следующие исходные данные и документацию:
приемо-сдаточную документацию на объект информатизации;
акты категорирования выделенных помещений и объектов
информатизации;
инструкции по эксплуатации средств защиты информации;
технический паспорт на аттестуемый объект;
документы на эксплуатацию (сертификаты соответствия
требованиям безопасности информации) ТСОИ;
сертификаты
соответствия требованиям безопасности
информации на ВТСС;
сертификаты
соответствия требованиям безопасности
информации на технические средства защиты информации;
33.
акты на проведенные скрытые работы;протоколы
измерения
звукоизоляции
выделенных
помещений и эффективности экранирования сооружений и
кабин (если они проводились);
протоколы измерения величины сопротивления заземления;
протоколы измерения реального затухания информационных
сигналов до мест возможного размещения средств разведки;
данные по уровню подготовки кадров, обеспечивающих
защиту информации;
данные о техническом обеспечении средствами контроля
эффективности защиты информации и их метрологической
проверке;
нормативную и методическую документацию по защите
информации и контролю эффективности защиты.
34.
Технический паспорт на аттестуемый объект долженвключать:
пояснительную
записку,
содержащую
информационную
характеристику и организационную структуру объекта защиты,
сведения об организационных и технических мероприятиях по
защите информации от утечки по техническим каналам;
перечень объектов информатизации, подлежащих защите, с указанием
мест их расположения и установленной категории защиты;
перечень выделенных помещений, подлежащих защите, с указанием
мест их расположения и установленной категории защиты;
перечень устанавливаемых ТСОИ с указанием наличия сертификата
(предписания на эксплуатацию) и мест их установки;
перечень устанавливаемых ВТСС с указанием наличия сертификата и
мест их установки;
перечень устанавливаемых технических средств защиты информации
с указанием наличия сертификата и мест их установки;
схему (в масштабе) с указанием плана здания, в котором расположены
защищаемые
объекты,
границы
контролируемой
зоны,
трансформаторной подстанции, заземляющего устройства, трасс
прокладки инженерных коммуникаций, линий электропитания, связи,
пожарной и охранной сигнализации, мест установки разделительных
устройств и т.п.;
35.
технологические поэтажные планы здания с указанием местрасположения объектов информатизации и выделенных помещений и
характеристиками их стен, перекрытий, материалов отделки, типов
дверей и окон;
планы объектов информатизации с указанием мест установки ТСОИ,
ВТСС и прокладки их соединительных линий, а также трасс
прокладки инженерных коммуникаций и посторонних проводников;
план-схему инженерных коммуникаций всего здания, включая систем
вентиляции;
план-схему системы заземления объекта с указанием места
расположения заземлителя;
план-схему системы электропитания здания с указанием места
расположения разделительного трансформатора (подстанции), всех
щитов и разводных коробок;
план-схему прокладки телефонных линий связи с указанием мест
расположения распределительных коробок и установки телефонных
аппаратов;
план-схему систем охранной и пожарной сигнализации с указанием
мест установки и типов датчиков, а также распределительных
коробок;
схемы систем активной защиты (САЗ), если они предусмотрены.
36.
УТВЕРЖДАЮТЕХНИЧЕСКИЙ ПАСПОРТ
объекта информатизации «АРМ»
СОГЛАСОВАНО
Начальник режимно-секретного органа
37.
1.Общие сведения об объекте.
1.1. Наименование объекта информатизации (ОИ): «АРМ».
1.2. Расположение объекта: г. Москва
1.3. В соответствии с Актом категорирования (мк. ) ОИ «АРМ» присвоена третья категория.
Автоматизированной системе, входящей в состав ОИ «АРМ», Актом классификации
(уч. № дсп.) установлен класс защищенности 2А.
1.4. Сведения о вводе объекта в эксплуатацию:
2.
Состав оборудования объекта.
2.1. Перечень основных технических средств и систем (ОТСС), входящих в объект
информатизации «АРМ »:
№
п/
п
Тип ОТСС
1.
Системный блок Tis Power
200211026
2.
Монитор Mitsubishi Diamond Pro
2070 SB
209201338
3.
Клавиатура Mitsumi KFKEA4XT
50*KFKEA4XT27TK1134*8785
4.
Манипулятор «мышь»
Logitech M-BJ69
LNA30907416
5.
Принтер HP Photosmart 8753
Series Q5745A
MY54C110MH
6.
Плоттер HP DesighJet 500
SG42H6103C
7
Источник бесперебойного
питания ИБП Smart UPS 420
QS0219343464
8
Блок питания к принтеру HP Photosmart
8753 Series
AC Power Adapter
Заводской номер
Размещение
ОТСС на
объекте
Согласно
п. 4 Тех.
паспорта
Примечание
-
-
-
-
C0118G07R303LC6
38.
2.2. Перечень вспомогательных технических средств и систем (ВТСС), входящих в объектинформатизации «АРМ»:
Заводской (инв.) номер
Размещение
ВТСС на
объекте
Системный блок Tis Computers Super
Power
200403047
Монитор AcerView54eL
9178502010
Согласно
п. 4 Тех.
паспорта
№
п/п
Тип ВТСС
1
Клавиатура Mitsumi KFKEA4XT
Прим.
-
50* KFKEA4XT3CXK0053*0062
-
Манипулятор "мышь" Logitech M-BJ69
830667-0000
-
2
Телефонный аппарат Panaconic KXT7730
4GBKA402113
3
Системный блок Tis Computers Super
Power
200402047
Монитор Sony Trinitron Multiskan G520
8703955
-
Клавиатура Mitsumi KFKEA4XT
50* KFKEA4XT27TK1138*8785
-
Манипулятор "мышь" Logitech
M2006-07
-
4
Телефонный аппарат Panaconic KXT7730
-
-
3DCSC028136
2.3. Размещение ОТСС и ВТСС в помещении №33а приведено в п. 4 Технического
паспорта.
2.4. Размещение ОТСС «АРМ ПБ» относительно границ контролируемой зоны приведено
на «Схеме размещения ОИ «АРМ ПБ» относительно границы контролируемой зоны»
(см. п. 5 Технического паспорта).
2.5. Схема разводки линий пожарной, охранной сигнализации и телефонных линий
приведена в п. 6 Технического паспорта.
2.6. Схема электропитания и осветительной сети приведена в п. 7 Технического паспорта.
2.7. Схема размещения трансформаторной подстанции приведена в п. 8 Технического
паспорта.
39.
2.3.Перечень средств защиты информации, установленных на объекте информатизации
«АРМ ПБ»:
№
п/п
1.
Наименование и тип ТС
Генератор шума
«ГШ-2500»
Заводской номер
Сведения о сертификате
№0816
Сертификат ФСТЭК России
№1003 от 04.04.2005г.
(действителен до 04.04.2008г.)
041042
Сертификат ФСТЭК России
149/2 от 9.04.2004г.
(действителен до 09.04.2007г.)
№13991
СЗЗ №А 209100
Сертификат Гостехкомиссии
России №640 от 27.06.2002
(продлен до 28.03.2008г.)
Генератор шума Гном-3
2.
1.
3.1.
Средство защиты информации от
несанкционированного доступа
«Secret Net 2000» версии 4.0.
Акт установки
.
Сведения о соответствии требованиям по безопасности информации.
Сведения о специальных лабораторных проверках ОТСС:
Наименование ОТСС
Заводской номер
Системный блок Tis Power
200211026
Монитор Mitsubishi Diamond Pro 2070 SB
209201338
Клавиатура Mitsumi KFKEA4XT
50*KFKEA4XT27TK1134*8785
Манипулятор «мышь»
Logitech M-BJ69
LNA30907416
Принтер HP Photosmart 8753 Series Q5745A
MY54C110MH
Плоттер HP DesighJet 500
SG42H6103C
Источник бесперебойного питания ИБП
Smart UPS 420
QS0219343464
Блок питания к принтеру HP Photosmart
8753 Series
AC Power Adapter
C0118G07R303LC6
Документ
40.
3.2.Сведения о специальных исследованиях ОТСС:
Наименование ОТСС
Заводской номер
Системный блок Tis Power
200211026
Монитор Mitsubishi Diamond Pro
2070 SB
209201338
Клавиатура Mitsumi KFKEA4XT
50*KFKEA4XT27TK1134*8785
Манипулятор «мышь»
Logitech M-BJ69
LNA30907416
Принтер HP Photosmart 8753 Series
Q5745A
MY54C110MH
Плоттер HP DesighJet 500
SG42H6103C
Источник бесперебойного питания
ИБП Smart UPS 420
QS0219343464
Блок питания к принтеру HP
Photosmart 8753 Series
AC Power Adapter
3.3.
Документ
C0118G07R303LC6
Сведения о специальных объектовых испытаниях:
Специальные исследования проведены при штатно работающей системе активного зашумления
(САЗ) (генератор «ГШ-2500» зав.№ и «ГНОМ-3» зав. № ) и размещении антенны генератора
шума не далее 1 м от объекта ВТ «АРМ ». При этом требования к системе электропитания и
размещению технических средств, приведенные в предписании на эксплуатацию, выданном по
результатам лабораторным СИ не предъявляются.
3.4.
Сведения об аттестации объекта:
Заключение
по
результатам
аттестационных
Аттестат соответствия требованиям безопасности информации
испытаний
41.
4. Схема размещения ОТСС и ВТСС ОИ «АРМ»в помещении №
24
11
4
12
6
8
5
3
9
14
АРМ ПБ
10
13
44
2
1
20
19
43
15
18
17
16
Коридор
33г
2U
2U
2U
Серверная
21, 26-42
42.
5. Схема размещения ОИ «АРМ» относительнограницы контролируемой зоны
Граница
контролируемой зоны
К. №7
8 этаж
7 этаж
R
Граница
контролируемой зоны
43.
6. Схема разводки линий пожарнойсигнализации и телефонных линий
Т
С
Т
С
Т
С
Т
С
Т
С
Т
С
Т
С
Т
С
Т
С
Т
С
Т
С
2U
2U
2U
Серверная
С
Т
С
Т
С
С
Т
Т
С
С
Т
Т
С
Т
С
Т
Т
Т
С
Коридор
Т
С
Т
телефонные линии,
кабель ЛВС
С
Т
линии пожарной
сигнализации
телефонные розетки,
розетки ЛВС
Линии пожарной сигнализации и телефонные линии имеют выход за пределы
контролируемой зоны.
44.
7. Схема электропитания и осветительной сетип
п
п
п
п
п
п
п
п
п
п
п
п
п
п
п
п
п
п
п
п п
п п
п п п п
п п
ЛПО
п п
п п
п п
п п
п п
п п
п п
п
п п п п
п п
п п
п п п п
выкл
п
п
п
п
п
п
Коридор
п п
п п
п п
п п
выкл
Серверная
п
- линии электропитания
- линии осветительной сети
п
- розетки электропитания
Линии электропитания и осветительной сети имеют выход за пределы
контролируемой зоны.
45.
8. Учет проведения регламентных проверок№
п/п
Наименование организации
проводившей проверку
Дата проведения
проверки
Номер протокола
Примечание
9. Лист регистрации изменений.
Порядковый № и дата внесения
изменений
Наименование документа,
фиксирующего изменения
№№ замененных
(исправленных) листов
формуляра
Подпись лица
внесшего
изменения
46.
При проведении специальногообследования аттестуемого объекта
определяется состав технических средств, используемых для
обработки, передачи и хранения защищаемой информации;
изучается технологический процесс обработки, передачи и
хранения
защищаемой
информации,
анализ
информационных потоков;
проверяется соответствие реального состава ТСОИ, ВТСС и
средств защиты указанному в техническом паспорте на
аттестуемый
объект,
сертификатах
соответствия
(предписаниях на эксплуатацию) и представленных
исходных данных;
проверяется соответствие представленных заявителем
исходных данных реальным условиям размещения, монтажа
ТСОИ, ВТСС и средств защиты;
проверяется состояние и сохранность печатей на
технических средствах, выявляются ТСОИ, ВТСС и средства
защиты информации, подвергшиеся несанкционированному
вскрытию;
47.
изучаются условия расположения аттестуемого объекта и определяетсяграница контролируемой зоны;
устанавливаются места расположения трансформаторной подстанции,
электрощитовой, распределительных щитов. Измеряется длина линий
электропитания от защищаемых объектов до возможных мест
подключения средств перехвата информации (распределительных
щитов, помещений и т.п.), находящихся за пределами контролируемой
зоны;
определяются помещения, смежные с защищаемыми и находящиеся за
пределами контролируемой зоны;
определяются соединительные линии вспомогательных технических
средств и систем (линии телефонной связи, оповещения, систем
охранной и пожарной сигнализации, часофикации и т.п.), выходящие за
пределы
контролируемой
зоны,
места
расположения
их
распределительных коробок. Измеряется длина линий от защищаемых
объектов до мест возможного подключения средств перехвата
информации за пределами контролируемой зоны;
определяются инженерные коммуникации и посторонние проводники,
выходящие за пределы контролируемой зоны, измеряется их длина от
защищаемых объектов до мест возможного подключения средств
перехвата информации;
устанавливается местоположение заземлителя, к которому подключен
контур заземления защищаемого объекта
48.
При аттестации объектовинформатизации для каждого ТСОИ:
измеряются напряженности электромагнитного поля по магнитной Нi (в
диапазоне частот 9 кГц - 30 МГц) и электрической Еi (в диапазоне частот 9
кГц - 1800 МГц) составляющим, создаваемые информативным сигналом
ТСОИ;
измеряются уровни информативных сигналов ТСОИ в диапазоне частот 9
кГц - 300 МГц в соединительных линиях ВТСС, инженерных
коммуникациях, посторонних проводниках, имеющих выход за границу
контролируемой зоны;
определяются коэффициенты удельного затухания информативного
сигнала в линиях электропитания, в соединительных линиях ВТСС,
инженерных коммуникациях, посторонних проводниках, имеющих выход
за границу контролируемой зоны, и рассчитывается затухание в них
информационного сигнала;
рассчитывается величина максимально возможной зоны разведки
(перехвата) побочных электромагнитных излучений ТСОИ (зоны R2);
рассчитываются предельные расстояния от ТСОИ до вспомогательных
технических средств и систем и их кабельных коммуникаций,
посторонних проводников и инженерных коммуникаций, имеющих выход
за границу контролируемой зоны (зоны r1, r1')\
измеряется сопротивление заземления каждого ТСОИ;
измеряется минимальное расстояние от каждого ТСОИ до границы
контролируемой зоны Якз.
49.
При использовании на объектеинформатизации систем активной защиты
(САЗ) дополнительно проводятся:
измерения напряженности электромагнитного поля по
магнитной Нi (в диапазоне частот 9 кГц - 30 МГц) и
электрической Еi (в диапазоне частот 9 кГц - 1800 МГц)
составляющим, создаваемой помеховыми сигналами САЗ;
измерения уровней помеховых сигналов в диапазоне частот 9
кГц - 300 МГц, создаваемых САЗ в соединительных линиях
вспомогательных
технических
средств
и
систем,
инженерных коммуникациях, посторонних проводниках,
имеющих выход за границу контролируемой зоны.
50.
При аттестации выделенного помещения:измеряются уровни акустического сигнала и шумов в октавных
полосах частот со среднегеометрическими частотами 250, 500,
1000, 2000, 4000 Гц в местах возможной установки
микрофонных датчиков средств речевой разведки;
измеряются уровни вибрационного сигнала и шумов в октавных
полосах частот со среднегеометрическими частотами 250, 500,
1000, 2000, 4000 Гц в местах возможной установки датчиков
контактного типа средств речевой разведки;
определяются коэффициенты звукоизоляции ограждающих
конструкций (окон, дверей, стен, пола, потолка) выделенного
помещения
в
октавных
полосах
частот
со
среднегеометрическими частотами 250, 500, 1000, 2000, 4000
Гц;
определяются коэффициенты виброизоляции ограждающих
конструкций выделенного помещения, а также различных
элементов инженерно-технических систем, включая их
коммуникации,
в
октавных
полосах
частот
со
среднегеометрическими частотами 250, 500, 1000, 2000, 4000
Гц;
51.
при использовании в выделенном помещении системвиброакустической маскировки дополнительно проводятся
измерения уровней акустических и вибрационных шумов в
октавных полосах частот со среднегеометрическими частотами
250, 500. 1000, 2000, 4000 Гц в местах возможной установки
датчиков средств акустической разведки;
измеряются уровни информационных сигналов на выходе
ВТСС,
возникающих вследствие
акустоэлектрического
преобразования акустических сигналов элементами ВТСС, в
октавных полосах частот со среднегеометрическими частотами
250, 500, 1000, 2000, 4000 Гц;
измеряются уровни шумов на выходе в октавных полосах
частот со среднегеометрическими частотами 250, 500, 1000,
2000, 4000 Гц;
рассчитывается словесная разборчивость речи W для каждого
типа аппаратуры речевой разведки.
Специальные проверки на наличие возможно внедренных
специальных электронных устройств перехвата информации
проводятся
по решению руководителя
предприятия
(учреждения, фирмы).
52.
По результатам специальной проверки технических средствпо выявлению специальных электронных устройств
перехвата информации составляется акт, на основании
которого потребителю выдается заключение.
По результатам специальной проверки выделенного
помещения оформляется акт с указанием итогов проверки и
рекомендаций по защите помещения, который утверждается
начальником, организующим проведение специальных
проверок. Акт исполняется в двух экземплярах, один из
которых отправляется в адрес владельца проверяемого
помещения, другой остается в организации, проводившей
специальную проверку.
По результатам аттестации оформляются протоколы
испытаний и заключение с конкретными рекомендациями по
устранению допущенных нарушений, приведению системы
защиты объекта информатизации в соответствие с
установленными требованиями и совершенствованию этой
системы, а также рекомендациями по контролю за
функционированием объекта информатизации.
53.
Заключение по результатам аттестацииКраткая оценка соответствия объекта
информатизации требованиям по безопасности
информации.
Выводы о возможности выдачи «Аттестата
соответствия».
Необходимые рекомендации.
Подписывается членами аттестационной комиссии и
доводится до сведения заявителя
К заключению прилагаются протоколы
испытаний, подтверждающие полученные при
испытаниях результаты и обосновывающие
приведенный в заключении вывод.
Протоколы испытаний подписываются экспертами членами аттестационной комиссии, проводившими испытания
Заключение и протоколы испытаний подлежат
утверждению органом по аттестации
54.
Заключение аттестационной проверкиобъекта информатизации должно включать:
состав аттестационной комиссии (группы);
дату проведения аттестации;
перечень
руководящих документов, в соответствии с
которыми проводилась аттестация;
перечень документов по защите информации на объекте
информатизации, представленных аттестационной комиссии;
характеристику
объекта информатизации (наименование
объекта, назначение, местоположение, условия размещения и
т.д.);
перечень
технических средств обработки информации
ограниченного доступа (ТСОИ), установленных на объекте
информатизации, с указанием их места установки и
категорий;
перечень вспомогательных технических средств и систем,
установленных на объекте информатизации, с указанием их
места установки;
55.
перечень технических средств защиты информации, установленных наобъекте информатизации, с указанием места их установки;
характеристику организационных мероприятий по защите информации.
Вывод о выполнении (невыполнении) организационных мероприятий по
защите информации при ее обработке;
виды работ, проводимых в ходе аттестации;
перечень использованной в ходе инструментальной проверки
(аттестационных
испытаний)
аппаратуры
(перечисляется
вся
используемая аппаратура контроля по оцениваемым каналам и ее
заводские номера);
результаты анализа документации по защите информации на объекте
информатизации. Вывод о соответствии (несоответствии) разработанной
документации по защите информации требованиям нормативнометодических документов ФСТЭК РФ;
оценку правильности категорирования объектов информатизации;
оценку уровня подготовки кадров и распределения ответственности за
выполнение требований по защите информации;
результаты специального обследования объекта информатизации;
условия расположения объекта информатизации относительно границы
контролируемой зоны, минимальное расстояние до границы
контролируемой зоны;
56.
вывод о соответствии (несоответствии) реального ее става ТСОИ, ВТСС исредств защиты информации указанному в техническом паспорте на аттестуемый
объект, сертификатах соответствия (предписаниях на эксплуатацию) и
представленных исходных данных;
вывод о состоянии и сохранности печатей и пломб на ТСОИ (в случае выявления
перечисляются технические средства, подвергавшиеся несанкционированному
вскрытию);
вывод о соответствии (несоответствии) мест установки ТСОИ, ВТСС и средств
защиты информации и прокладки их соединительных линий техническому
паспорту на объект информатизации;
вывод о соответствии (несоответствии) реального разноса ТСОИ и их
соединительных линий относительно ВТСС и посторонних проводников
требованиям нормативно-методических документов ФСТЭК РФ и сертификатов
соответствия (предписаний на эксплуатацию);
характеристику системы электропитания объекта информатизации и технических
средств защиты информации от утечки по цепям электропитания, находящихся за
пределами контролируемой зоны (указываются номера и места расположения
трансформаторной подстанции, электрощитовой, распределительных щитов, от
которых осуществляется питание ТСОИ. Описывается схема электропитания
объекта с указанием типов и марки используемых кабелей электропитания.
Перечисляются технические средства защиты цепей электропитания с указанием
мест их установки. При наличии сертификатов соответствия на средства защиты
цепей электропитания указывается срок их действия. Указывается длина линий
электропитания от защищаемых ТСОИ до возможных мест подключения к ним
средств перехвата информации (распределительных щитов, помещений и т.п.).
Вывод о соответствии (несоответствии) системы электропитания объекта
информатизации требованиям нормативно-методических документов ФСТЭК РФ
и сертификатов соответствия (предписаний на эксплуатацию) ТСОИ;
57.
характеристику системы заземления объекта информатизации и техническихсредств защиты информации от утечки по цепям заземления в случае их
использования. Описывается схема заземления ТСОИ. Указываются тип и
местоположение заземляющего устройства, расстояние от него до границы
контролируемой зоны. Указываются типы заземляющих проводников и способы
их подключения к ТСОИ и т.п. Приводятся даты и результаты измерений
сопротивления заземления ТСОИ. Вывод о соответствии (несоответствии)
системы заземления объекта информатизации требованиям нормативнометодических документов ФСТЭК РФ и сертификатов соответствия
(предписаний на эксплуатацию) ТСОИ;
характеристику вспомогательных технических средств и систем, соединительные
линии которых выходят за пределы контролируемой зоны (наименование, тип,
назначение и т.п.). Указывается длина соединительных линий от ВТСС до
возможных мест подключения к ним средств перехвата информации,
находящихся за пределами контролируемой зоны. Перечисляются технические
средства защиты ВТСС с указанием мест их установки. При наличии
сертификатов соответствия на средства защиты ВТСС указывается срок их
действия;
перечень посторонних проводников и инженерных коммуникаций, выходящих за
пределы контролируемой зоны. Указывается их длина от защищаемых объектов
до мест возможного подключения средств перехвата информации,
расположенных за пределами контролируемой зоны. Указывается наличие
(отсутствие) диэлектрических вставок в инженерных коммуникациях. При
использовании систем линейного зашумления указывается их тип и места
установки, а при наличии сертификатов соответствия - срок их действия;
58.
результаты проведения испытаний ТСОИ на побочные электромагнитныеизлучения;
величину максимально возможной зоны разведки (перехвата) побочных
электромагнитных излучений ТСОИ (зона R2);
предельные расстояния от ТСОИ и их соединительных линий до
вспомогательных технических средств и систем, установленных на объекте
информатизации и имеющих соединительные линии, выходящие за пределы
контролируемой зоны (зоны r1);
предельные расстояния от ТСОИ и их соединительных линий до линий ВТСС,
посторонних проводников и инженерных коммуникаций, выходящих за границу
контролируемой зоны (зоны r1');
вывод о соответствии (несоответствии) эффективности защиты ТСОИ от утечки
информации за счет побочных электромагнитных излучений требованиям
нормативно-методических документов ФСТЭК РФ;
результаты проведения испытаний системы активной защиты объекта
информатизации (при ее использовании);
величину максимально возможной зоны разведки (перехвата) побочных
электромагнитных излучений ТСОИ (зона R2) при использовании САЗ;
предельные расстояния от ТСОИ и их соединительных линий до
вспомогательных технических средств и систем, установленных на объекте
информатизации и имеющих соединительные линии, выходящие за пределы
контролируемой зоны (зоны r1), при использовании САЗ;
59.
предельные расстояния от ТСОИ и их соединительных линий до линийВТСС, посторонних проводников и инженерных коммуникаций,
выходящих за границу контролируемой зоны (зоны r1'), при
использовании САЗ;
вывод о соответствии (несоответствии) эффективности защиты ТСОИ от
утечки информации за счет побочных электромагнитных излучений
требованиям нормативно-методических документов ФСТЭК РФ;
результаты проведения испытаний системы активной защиты объекта
информатизации (при ее использовании);
величину максимально возможной зоны разведки (перехвата) побочных
электромагнитных излучений ТСОИ (зона R2) при использовании САЗ;
предельные расстояния от ТСОИ и их соединительных линий до
вспомогательных технических средств и систем, установленных на
объекте информатизации и имеющих соединительные линии, выходящие
за пределы контролируемой зоны (зоны r1), при использовании САЗ;
предельные расстояния от ТСОИ и их соединительных линий до линий
ВТСС, посторонних проводников и инженерных коммуникаций,
выходящих за границу контролируемой зоны (зоны r1'), при
использовании САЗ;
• вывод о соответствии (несоответствии) эффективности защиты ТСОИ от
утечки информации за счет побочных электромагнитных излучений
требованиям нормативно-методических документов ФСТЭК РФ;
60.
результаты проведения испытаний помехоподавляющих фильтров,используемых для защиты цепей электропитания ТСОИ
(испытания проводятся, если срок действия сертификата
соответствия на них на момент аттестации истек). Вывод о
соответствии
(несоответствии)
фильтров
требованиям
нормативно-методических документов ФСТЭК РФ;
результаты проведения испытаний средств защиты ВТСС
(испытания проводятся, если срок действия сертификата
соответствия на них на момент аттестации истек). Вывод о
соответствии (несоответствии) средств защиты требованиям
нормативно-методических документов ФСТЭК РФ;
недостатки, выявленные в ходе аттестации;
общий вывод о соответствии (несоответствии) эффективности
защиты объекта информатизации требованиям нормативнометодических документов ФСТЭК РФ о возможности
(невозможности) выдачи «Аттестата соответствия» и допуске
ТСОИ к обработке информации соответствующего уровня
конфиденциальности (секретности).
61.
Оформление, регистрация и выдачааттестатов соответствия
«Аттестат
соответствия»
на
объект
информатизации,
отвечающий
требованиям по безопасности информации,
оформляется и выдается органом по аттестации по установленной
форме заявителю после утверждения заключения по результатам
аттестации.
Регистрация «Аттестатов соответствия» осуществляется
по отраслевому или территориальному признакам органами по
аттестации с целью ведения информационной базы аттестованных
объектов информатизации и планирования мероприятий по
контролю и надзору.
«Аттестат
соответствия»
выдается
владельцу
аттестованного объекта информатизации органом по аттестации на
период, в течение которого обеспечивается неизменность условий
функционирования объекта информатизации и технологии
обработки защищаемой информации, могущих повлиять на
характеристики, определяющие безопасность информации (состав
и структура технических средств, условия размещения,
используемое программное обеспечение, режимы обработки
информации, средства и меры защиты), но не более чем на 3 года.
62.
"УТВЕРЖДАЮ"(должность руководителя органа по аттестации)
м.п.
Ф.И.О.
"____" _________ 200_г.
АТТЕСТАТ СООТВЕТСТВИЯ
(указывается полное наименование объекта информатизации)
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
№ ______
Действителен до "____" _________ 200_г.
1. Настоящим АТТЕСТАТОМ удостоверяется, что: (приводится полное наименование объекта
информатизации) ________ категории ____________ класса соответствует требованиям нормативной и
методической документации по безопасности информации.
Состав комплекса технических средств объекта информатизации (с указанием заводских
номеров, модели, изготовителя, номеров сертификатов), схема размещения в помещениях и
относительно границ контролируемой зоны, перечень используемых программных средств, а также
средств защиты (с указанием изготовителя и номеров сертификатов) прилагаются.
2. Организационная структура, уровень подготовки специалистов, нормативное, методическое
обеспечение и техническая оснащенность службы безопасности информации обеспечивают контроль
эффективности мер и средств защиты и поддержание уровня защищенности объекта информатизации в
процессе эксплуатации в соответствии с установленными требованиями.
3. Аттестация объекта информатизации выполнена в соответствии с программой и методиками
аттестационных испытаний, утвержденными "____"________ 200_г. № ____
4. С учетом результатов аттестационных испытаний на объекте информатизации разрешается
обработка (указывается высшая степень секретности, конфиденциальности) информации.
5. При эксплуатации объекта информатизации запрещается: (указываются ограничения, которые
могут повлиять на эффективность мер и средств защиты информации)
6. Контроль за эффективностью реализованных мер и средств защиты возлагается на службу
безопасности информации.
7. Подробные результаты аттестационных испытаний приведены в заключении аттестационной
комиссии ( № _____ "___"________200_ г.) и протоколах испытаний.
8. "Аттестат соответствия" выдан на _____ года, в течение которых должна быть обеспечена
неизменность условий функционирования объекта информатизации и технологии обработки
защищаемой информации, могущих повлиять на характеристики, указанные в п.9.
9. Перечень характеристик, об изменениях которых требуется обязательно извещать орган по
аттестации
9.1__________________________________________
9.2__________________________________________
Руководитель аттестационной комиссии
(должность с указанием наименования предприятия)
Ф.И.О.
"____" _________ 200_г.
Отметки органа надзора: __________________________________________________
63.
Принесоответствии
аттестуемого
объекта
требованиям
по
безопасности
информации
и
невозможности
оперативно
устранить
отмеченные
аттестационной комиссией недостатки орган по аттестации
принимает решение об отказе в выдаче «Аттестата
соответствия». При этом может быть предложен срок
повторной аттестации при условии устранения недостатков.
При наличии недостатков непринципиального характера
«Аттестат соответствия» может быть выдан после проверки
устранения этих замечаний.
В случае несогласия заявителя с отказом в выдаче
«Аттестата соответствия» он имеет право обратиться в
вышестоящий орган по аттестации или непосредственно в
государственный орган по аттестации с апелляцией для
дополнительного рассмотрения полученных при испытаниях
результатов, где она в месячный срок рассматривается с
привлечением
заинтересованных
сторон.
Податель
апелляции извещается о принятом решении.
64.
Действия в случае изменения условий итехнологии обработки защищаемой
информации
Владелец аттестованного объекта обязан известить об
этом орган по аттестации
Орган по аттестации принимает решение о необходимости
проведения дополнительной проверки эффективности
системы защиты объекта информатизации
65.
Государственный контроль и надзор,инспекционный контроль
Государственный контроль и надзор, инспекционный
контроль
за
проведением
аттестации
объектов
информатизации проводится ФСТЭК как в процессе, так и по
завершении аттестации, а за эксплуатацией аттестованных
объектов информатизации - периодически в соответствии с
планом работы по контролю и надзору.
ФСТЭК может передавать некоторые из своих функций
государственного контроля и надзора по аттестации и за
эксплуатацией аттестованных объектов информатизации
аккредитованным органам по аттестации.
Объем, содержание и порядок государственного контроля и
надзора устанавливаются в нормативной и методической
документации по аттестации объектов информатизации.
66.
Государственный контроль и надзор за соблюдениемправил аттестации включает проверку правильности и
полноты проводимых мероприятий по аттестации объектов
информатизации, оформления и рассмотрения органами по
аттестации отчетных документов и протоколов испытаний,
своевременное внесение изменений в нормативную и
методическую документацию по безопасности информации,
инспекционный контроль за эксплуатацией аттестованных
объектов информатизации.
67.
В случае грубых нарушений органом по аттестациитребований стандартов или иных НМД по безопасности
информации, выявленных при контроле и надзоре, орган
по аттестации может быть лишен лицензии на право
проведения аттестации объектов информатизации по
ходатайству вышестоящего органа, проводящего контроль
и надзор, перед федеральным органом по сертификации и
аттестации.
По результатам контроля и надзора за эксплуатацией
аттестованных объектов в случае нарушения их
владельцами условий функционирования объектов
информатизации, технологии обработки защищаемой
информации и требований по безопасности информации
органом, проводившим контроль и надзор, может быть
приостановлено
или
аннулировано
действие
«Аттестата соответствия», оформив это решение в
«Аттестате соответствия» и проинформировав орган,
ведущий сводную информационную базу аттестованных
объектов информатизации, и ФСТЭК.
68.
Решение о приостановлении или аннулированиидействия «Аттестата соответствия» принимается в
случае, когда в результате оперативного принятия
организационно - технических мер не может быть
восстановлен
требуемый
уровень
безопасности
информации.
В случае грубых нарушений органом по аттестации
требований стандартов или нормативных документов по
безопасности информации, утвержденных ФСТЭК в
пределах его компетенции, выявленных при контроле и
надзоре и пришедших к повторной аттестации, расходы по
осуществлению контроля и надзора могут быть по
решению Госарбитража взысканы с органа по аттестации.
Кроме того, и повторная аттестация может быть
осуществлена за счет этого органа по аттестации.
Расходы по осуществлению надзора за обязательной
аттестацией и эксплуатацией объектов, прошедших
обязательную аттестацию, оплачиваются органом надзора
из средств госбюджета, выделенных ему в этих целях.
69.
Требования к нормативным и методическимдокументам по аттестации объектов информатизации
Состав нормативной и методической документации для
аттестации конкретных объектов информатизации определяется
органом по аттестации в зависимости от условий функционирования
объектов информатизации на основании анализа исходных данных по
аттестуемому объекту.
В нормативную и методическую документацию включаются только те
показатели, характеристики и требования, которые могут быть
объективно проверены.
В нормативной и методической документации на методы
испытаний должны быть ссылки на условия, содержание и порядок
проведения испытаний, используемые при испытаниях контрольную
аппаратуру и тестовые средства, сводящие к минимуму погрешности
результатов испытаний и позволяющие воспроизвести эти результаты.
Тексты нормативных и методических документов, используемых при
аттестации объектов информатизации, должны быть сформулированы
ясно и четко, обеспечивая их точное и единообразное толкование, в
них должно содержаться указание о возможности использования
документа для аттестации определенных типов объектов
информатизации по требованиям безопасности информации или
направленной защиты информации.
70.
Перечень документов на ОВТ№
Наименование
Условия создания
Примечания
Составляется режимносекретным органом
1
Перечень объектов информатизации: помещений, в которых
проводятся секретные мероприятия, технических средств и
систем, используемых для обработки информации, содержащей
гостайну.
2
Распоряжение "О назначении комиссии по категорированию,
классификации и организации аттестации объекта
информатизации"
Рекомендуется
Составляется
заявителем
3
Запрос в ФСБ
Обязательно (либо
альтернатива)
Составляется
заявителем
4
Ответ на запрос в ФСБ о наличии представительств иностранных
государств, обладающих правом экстерриториальности.
Обязательно
Оформляется
региональным
управлением ФСБ.
5
Предписание на ОТСС объекта информатизации и протокол
специальных исследований (СИ).
Обязательно
Составляется
уполномоченной
организацией
6
Предписание на объекта информатизации и протокол СИ (в
случае нескольких отдельных ОТСС в составе одного ОИ)
При необходимости
Составляется
уполномоченной
организацией
7
Заключение по результатам специальной проверки (СП) ТСС ОИ
Обязательно
Составляется
уполномоченной
организацией
8
Карта с границами контролируемой зоны ОИ (и границами зоны
2)
Обязательно
Составляется
заявителем
Обязательно
Составляется
уполномоченной
организацией
9
Протокол измерения параметров заземлителя ТСС ОИ
Рекомендуется
71.
ОбязательноСоставляется
уполномоченной
организацией
Обязательно
Составляется
заявителем
Обязательно
Составляется
заявителем
Обязательно
Составляется
заявителем
Обязательно
Составляется
заявителем
Обязательно
Составляется
заявителем
Обязательно
Составляется
заявителем
10
Протокол измерения параметров заземлителя ТСС ОИ
11
Акт категорирования объекта информатизации
12
Список лиц обслуживающих ОИ
13
Список лиц, имеющих доступ в помещение с ОИ
14
Список лиц, допущенных к самостоятельной работе на ОИ
15
Состав ПО АС в составе ОИ
16
Технологический процесс обработки информации (каким образом
обрабатывается, куда выдается)
17
Перечень защищаемых ресурсов АС в составе ОИ
Возможно в составе
"Технол. процесса…"
Составляется
заявителем
18
Схема информационных потоков АС в составе ОИ
Возможно в составе
"Технол. процесса…"
Составляется
заявителем
19
Акт классификации АС в составе ОИ
Обязательно
Составляется
заявителем
20
Технический паспорт объекта информатизации
Обязательно
Составляется
заявителем
21
Распоряжение о назначении уполномоченного (администратора) по
защите из числа сотрудников, допущенных к обработке
информации
В случае необходимости
(определяется на
основании Кл. АС)
Составляется
заявителем
22
Копии лицензий на право работ по защите информации
Обязательно
Предоставляется
исполнителем
72.
Техническое задание (на выполнение работ по защите идооснащение)
Составляется при
необходимости
Составляется организацией
выполняющей работы и
Заявителем
24
Акт установки систем защиты
По результатам
установки средств
защиты
Предоставляется
организацией,
выполняющей работы
25
Матрица разграничения доступа к информационным
ресурсам АС в составе ОИ
Обязательно
26
Сертификаты (копии) на установленные средства защиты
(программные и технические)
Обязательно
27
Инструкция (памятка ) по обеспечению защиты секретной
информации.
Обязательно
28
Данные по уровню подготовки кадров обеспечивающих
защиту информации на объекте информатизации
Обязательно
29
Заявка на проведение аттестации объектов информатизации
Обязательно
Составляется заявителем
30
Копии лицензий на право работ по защите информации и
копия аттестата аккредитации центра по аттестации
Обязательно
Предоставляется
организацией
выполняющей аттестацию
23
Составляется заявителем
Предоставляет
производитель СЗ
Составляется исполнителем
Составляется заявителем
31
Протокол испытаний эффективности СЗИ НСД
Обязательно
Предоставляется
организацией
выполняющей аттестацию
32
Программа и методика аттестационных испытаний
Обязательно
Составляется организацией
выполняющей аттестацию
33
Заключение по результатам аттестационных испытаний
Обязательно
Составляется организацией
выполняющей аттестацию
Аттестат соответствия
По результатам
аттестационных
испытаний
34
Выдается организацией
выполняющей аттестацию
73.
Перечень документов на ВП№
Наименование
Условия
создания
Примечания
1
Перечень объектов информатизации: помещений, в которых
проводятся секретные мероприятия, технических средств и
систем, используемых для обработки информации, содержащей
гостайну.
2
Распоряжение "О назначении комиссии по категорированию,
классификации и организации аттестации объекта
информатизации"
Рекомендуется
3
Протокол специальных исследований ВТСС ВП
Предписание на эксплуатацию ВТСС ВП
Обязательно
Составляется
уполномоченной
организацией
Рекомендуется
Составляется
режимно- секретным
органом
Составляется
заявителем
4
Заключение по результатам специальной проверки (СП) ТСС ОИ
Обязательно
Составляется
уполномоченной
организацией
5
Акт категорирования объекта информатизации
Обязательно
Составляется
заявителем
6
Перечень лиц, работающих в ВП или ответственных за него.
Обязательно
Составляется
заявителем
7
Распоряжение о проведении СО ВП и организации работ по
защите
Обязательно
Составляется
заявителем
8
Технический паспорт объекта информатизации
Обязательно
Составляется
заявителем
9
Копии лицензий на право работ по защите информации
Обязательно
Предоставляется
исполнителем
74.
Техническое задание (на выполнение работ по защите идооснащение)
Составляется при
необходимости
Составляется
организацией
выполняющей работы и
Заявителем
11
Акт установки систем защиты
По результатам
установки средств
защиты
Предоставляется
организацией,
выполняющей работы
12
Сертификаты (копии) на установленные средства защиты
(программные и технические)
Обязательно
Предоставляет
производитель средств
защиты
13
Инструкция (памятка ) по обеспечению защиты
секретной информации.
Обязательно
Составляется
исполнителем
14
Данные по уровню подготовки кадров обеспечивающих
защиту информации на объекте информатизации
Обязательно
15
Заявка на проведение аттестации объектов
информатизации
Обязательно
16
Копии лицензий на право работ по защите информации и
копия аттестата аккредитации центра по аттестации
Обязательно
Предоставляется
организацией
выполняющей аттестацию
17
Программа и методика аттестационных испытаний
Обязательно
Составляется
организацией
выполняющей аттестацию
Заключение по результатам аттестационных испытаний
Обязательно
Составляется
организацией
выполняющей аттестацию
Аттестат соответствия
По результатам
аттестационных
испытаний
10
18
19
Составляется заявителем
Составляется заявителем
Выдается организацией
выполняющей аттестацию
75.
Вопросы1. Дать определение - Система аттестации объектов информации по требованиям
безопасности информации.
2. Виды аттестации
3. Перечислите этапы аттестации
4. Организационная структура системы аттестации
5. Заявители
6. Технический паспорт на аттестуемый объект должен включать:
7. Заключение аттестационной проверки объекта информатизации должно включать:
8. Оформление, регистрация и выдача аттестатов соответствия
9. Государственный контроль и надзор, инспекционный контроль
10. Исходные данные по аттестуемому объекту инфоpматизации