Аттестация информационной сети

Аттестация информационной сети

Положение по аттестации объектов информатизации по требованиям безопасности информации

1. Общие положения

1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы аттестации объектов инфоpматизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации.

1.2. Положение разработано в соответствии с законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Положением о государственном лицензировании деятельности в области защиты информации", "Положением о сертификации средств защиты информации по требованиям безопасности информации", "Системой сертификации ГОСТ Р".

1.3. Система аттестации объектов информатизации по требованиям безопасности информации (далее — система аттестации) является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее — федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России.

1.4. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".

1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

1.6. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

1.7. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

1.8. Аттестация проводится органом по аттестации в установленном настоящим Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:

— анализ исходных данных по аттестуемому объекту информатизации;

— предварительное ознакомление с аттестуемым объектом информатизации;

— проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

— проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

— проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

— проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

— анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

1.9. Органы по аттестации аккредитуются Гостехкомиссией России. Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".

Гостехкомиссия России может передавать права на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти.

1.10. Расходы по проведению всех видов работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.

Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам, а при их отсутствии — по договорной цене в порядке, установленном Гостехкомиссией России по согласованию с Министерством финансов Российской Федерации.

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта инфоpматизации.

1.11. Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.

2. Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации

2.1. Организационную структуру системы аттестации объектов информатизации образуют:

— федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации — Гостехкомиссия России;

— органы по аттестации объектов информатизации по требованиям безопасности информации;

— испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

— заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

2.2. Федеральный орган по сертификации и аттестации осуществляет следующие функции:

— организует обязательную аттестацию объектов информатизации;

— создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

— устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

— организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

— аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

— осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;

— рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;

— организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.

2.3. Органы по аттестации объектов информатизации аккредитуются Гостехкомиссией России и получают от нее лицензию на право проведения аттестации объектов информатизации.

Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры Гостехкомиссии России.

2.4. Органы по аттестации:

— аттестуют объекты информатизации и выдают "Аттестаты соответствия";

— осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией;

— отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";

— формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

— ведут информационную базу аттестованных этим органом объектов информатизации;

— осуществляют взаимодействие с Гостехкомиссией России и ежеквартально информируют его о своей деятельности в области аттестации.

2.5. Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации по заказам заявителей проводят испытания несеpтифициpованной продукции, используемой на объекте информатики, подлежащем обязательной аттестации, в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации".

— проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;

— привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;

— предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;

— привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;

— осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";

— извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");

— предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

3. Порядок проведения аттестации и контроля

3.1. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

— подачу и рассмотрение заявки на аттестацию;

— предварительное ознакомление с аттестуемым объектом;

— испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);

— разработка программы и методики аттестационных испытаний;

— заключение договоров на аттестацию;

— проведение аттестационных испытаний объекта информатизации;

— оформление, регистрация и выдача "Аттестата соответствия";

— осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;

3.2. Подача и рассмотрение заявки на аттестацию.

3.2.1. Заявитель для получения "Аттестата соответствия" заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации по форме, приведенной в приложении 1.

3.2.2. орган по аттестации в месячный срок рассматривает заявку и на основании анализа исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.

3.3. Предварительное ознакомление с аттестуемым объектом.

При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.

3.4. Испытания несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте информатизации.

3.4.1. При использовании на аттестуемом объекте информатизации несеpтифициpованных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.

3.4.2. Испытания отдельных несеpтифициpованных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации проводятся до аттестационных испытаний объектов информатизации.

В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.

3.5. Разработка программы и методики аттестационных испытаний.

Читайте также:  Аттестация испытательного оборудования аккредитованные организации

3.5.1. По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.

Источник



Жизнь после аттестации информационной системы

Аттестат соответствия информационной системы выдается не более чем на 3 года. Причем действие аттестата прекращается досрочно при изменении условий функционирования информационной системы и технологии обработки защищаемой информации. Как избежать приостановки или отмены действия аттестата соответствия?

Аттестация информационных систем — это комплекс организационно-технических мероприятий, в результате которых подтверждается соответствие информационной системы требованиям стандартов или иных нормативно-технических документов по безопасности информации. Подтверждением такого соответствия является специальный документ –аттестат соответствия.

Обязательной аттестации подлежат следующие информационные системы:

  • информационные системы, в которых обрабатывается информация, составляющая государственную тайну, или информация об управлении экологически опасными объектами («Положение по аттестации объектов информатизации по требованиям безопасности информации», утв. председателем Гостехкомиссии 25.11.1994 г.);
  • информационные системы, отнесенные к муниципальным или государственным (приказ ФСТЭК РФ от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»).

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе владельца информационной системы.

Иными словами, если в вашей организации есть информационная система, в которой ведется обработка персональных данных, то аттестация такой информационной системы является добровольной, но если эта информационная система является государственной, то аттестация обязательна.

Аттестацию на соответствие требованиям по защите информации могут проводить организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации, выданную ФСТЭК России.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации

Аттестат соответствия выдается на период, в течение которого должна быть обеспечена неизменность условий функционирования информационной системы и технологии обработки защищаемой информации, но не более чем на 3 года.

Владелец аттестованной информационной системы несет ответственность за неизменность установленных условий функционирования информационной системы, технологии обработки защищаемой информации и требований по безопасности информации.

Эксплуатация аттестованной информационной системы

Эксплуатация аттестованной информационной системы должна осуществляться в соответствии с эксплуатационной документацией и организационно-распорядительными документами. Владелец обязан:

  • поддерживать правила разграничения доступа в информационную систему;
  • поддерживать работоспособность средств защиты информации в информационной системе в соответствии с эксплуатационной документацией;
  • информировать пользователей информационной системы о правилах эксплуатации средств защиты информации, а при необходимости обучать их работе со средствами защиты информации;
  • выявлять, регистрировать и реагировать на события в информационной системе, связанные с защитой информации;
  • поддерживать конфигурацию информационной системы и ее систему защиты информации (структуру системы защиты информации информационной системы, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты информации;
  • ежегодно проводить контроль соблюдения неизменности условий и технологии обработки защищаемой информации в информационной системе.

В случае изменения условий и технологии обработки защищаемой информации владелец аттестованной информационной системы обязан известить об этом организацию, проводившую работы по аттестации информационной системы, которая в свою очередь принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

Перечень характеристик, об изменениях которых требуется обязательно извещать организацию, проводившую работы по аттестации информационной системы:

  1. Состав и условия размещения технических средств и систем.

Например, сотрудник работал на рабочей станции из состава аттестованной информационной системы в кабинете А, но через полгода ему потребовалось переехать вместе с рабочей станцией в кабинет Б. Требуется известить организацию, проводившую работы по аттестации информационной системы, которая проанализирует планируемые изменения и примет решение о внесении изменений и необходимости проведения дополнительных аттестационных испытаний в рамках действующего аттестата или о проведении повторной аттестации информационной системы.

  1. Состав программного обеспечения обработки защищаемой информации и условия ее обработки.

Например, для обработки защищаемой информации использовалось программное обеспечение 1С: Предприятие 8.2 с «толстыми» клиентами, установленными на рабочих местах пользователей, но организация решила сменить платформу на версию 1С: Предприятие 8.3 и отказаться от «толстых» клиентов в пользу «тонких». В данном случае также необходимо известить организацию, проводившую работы по аттестации информационной системы, так как со сменой платформы 1С: Предприятие и переходом на «тонкий» клиент изменилась технология обработки защищаемой информации (при «толстом» клиенте большая часть информации обрабатывалась на рабочей станции пользователя, а при «тонком» вся обработка выполняется на сервере).

  1. Состав продукции, используемой в целях защиты информации, параметры установки и настройки.

Например, использовался сертифицированный антивирус Kaspersky, но лицензия на него закончилась, и было решено заменить его на Avira. В этом примере замена антивируса приведет к использованию несертифицированного антивируса, а следовательно, к появлению новых актуальных угроз безопасности информации.

Выводы:

При должной эксплуатации аттестованной информационной системы можно оградить себя от ситуации приостановки или отмены действия «Аттестата соответствия». Кроме того, соблюдая правила эксплуатации, можно существенно сократить расходы на переаттестацию по окончании действия аттестата, так как информационная система будет соответствовать требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Источник

Аттестация объектов информатизации

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – "Аттестата соответствия" подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Положение по аттестации объектов информатизации по требованиям безопасности информации).

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Обязательной аттестации подлежат:

  1. Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну
  2. Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом
  3. Государственные информационные системы

Аттестация проводится в соответствии со схемой, выбираемой на этапе подготовки к аттестации из следующего основного перечня работ:

  • анализ исходных данных по аттестуемому объекту информатизации;
  • предварительное ознакомление с аттестуемым объектом информатизации;
  • проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
  • проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
  • проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
  • проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
  • анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Аттестация проводится органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну) или организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера и аттестации государственных информационных систем)

Источник

Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность

Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию.

Мифов надо сказать относительно этого циркулирует немало и часто они противоречат друг другу. Например, есть мнение, что по принципу типовых сегментов можно аттестовать все ИСПДн страны (хотя для ИСПДн аттестация не обязательна), а с другой стороны — есть мнение, что аттестовывать информационные системы нужно только по старинке, а все эти ваши «типовые сегменты» от лукавого.

Введение

Аттестация объекта информатизации, пожалуй, один из самых зарегулированных и консервативных этапов построения системы защиты информации.

Консервативность заключается в том, что аттестации подвергается конкретная система с конкретным перечнем технических средств, которые аккуратным образом переписаны в техническом паспорте на объект информатизации и в самом аттестате соответствия. Замена, например, сгоревшего компьютера из состава аттестованной информационной системы может повлечь за собой как минимум длительную переписку с организацией, проводившей аттестацию, а как максимум – дополнительные аттестационные испытания (то есть — затраты).

Это не было большой проблемой, пока аттестации по требованиям безопасности информации подвергались либо отдельно стоящие компьютеры, обрабатывающие защищаемую информацию, либо небольшие выделенные локальные сети.

Но прогресс не стоит на месте. Сейчас для государственных информационных систем 17-м приказом ФСТЭК определена обязательная их аттестация до ввода в эксплуатацию. А государственные информационные системы сегодня это не статичный компьютер или маленькая локалка, а большие динамически изменяемые системы, зачастую регионального или даже федерального масштаба.

Так как же быть в этом случае? Аттестация обязательна, а аттестовывать статичную систему нельзя, так как там чуть ли не каждый день добавляются новые элементы, а старые убираются. На помощь приходят «типовые сегменты».

Это понятие было введено 17-м приказом ФСТЭК и стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» в 2013 году. К сожалению, ГОСТ носит пометку «дсп», в отличие от приказа ФСТЭК, поэтому стандарт здесь цитировать не получится. Но от этого особо ничего и не потеряется, т. к. в приказе ФСТЭК правила распространения аттестата соответствия на типовые сегменты расписаны гораздо подробнее (раздел 17.3), а в стандарте этому посвящена пара коротких абзацев.

Читайте также:  Аттестация лаборатории от цсм перечень документов

Мифы вокруг аттестации по принципу типовых сегментов

Вокруг типовых сегментов существует множество мифов. Здесь мы разберем те, с которыми сталкивались сами. Если у вас есть примеры похожих мифов или вопросы (вы не уверены – миф это или нет), добро пожаловать в комментарии.

Миф №1. Одним аттестатом по принципу типовых сегментов можно аттестовать все информационные системы в РФ

Теоретически напрямую нормативными документами это не запрещено, но на практике сделать это будет невозможно. Один из пунктов 17 приказа ФСТЭК по типовым сегментам гласит, что в типовых сегментах должно обеспечиваться выполнение организационно-распорядительной документации по защите информации. Так вот, большая проблема как раз в разработке такой документации, которая будет учитывать разные техпроцессы обработки информации, разную защищаемую информацию, разные требования регуляторов и т. д. В итоге, документация, разработанная для одной системы, будет неактуальна для другой.

Миф №2. «Типовые сегменты» предусмотрены только для государственных информационных систем

Это не так. Во-первых, сам 17 приказ ФСТЭК позволяет применять его положения при разработке систем защиты информации в любых других информационных системах. Во-вторых, в ГОСТ РО 0043-003-2012 применяется более широкое понятие «объекты информатизации» вместо «государственные информационные системы».

Миф №3. Если нам выдадут аттестат, который можно распространять на типовые сегменты, то мы его можем распространять на что угодно

Это не так, под спойлером полный текст пункта 17.3 приказа ФСТЭК №17 по типовым сегментам, далее мы рассмотрим случаи, когда выданный аттестат распространять нельзя. Здесь нам придется остановиться подробнее.

Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.

Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.

Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы.

В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.

Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.

Далее мы будем брать конкретные примеры ошибок, и приводить только подходящие цитаты из этого нормативного акта в качестве обоснования, почему так делать нельзя.

Пример №1

Аттестована только серверная часть, но хочется распространить аттестат на автоматизированные рабочие места (АРМ). Можно ли так делать?

Нет! Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

Передача информации по каналам связи это тоже технология обработки. Плюс в данном примере не аттестован ни один АРМ, поэтому распространить аттестат на другой типовой АРМ мы не можем.

Пример №2

Здесь мы учли предыдущую ошибку и включили в аттестат каналы передачи данных и типовое АРМ. Вдруг у нас возникла необходимость организовать большому начальнику ноутбук с подключением в аттестованную систему (по защищенным каналам, конечно же). Можем ли мы распространить аттестат соответствия на этот ноутбук?

Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации…

Здесь для мобильных технических средств появляются новые угрозы безопасности информации, которые не актуальны для стационарных АРМ и скорее всего не учтены в модели угроз на аттестованную систему.

Пример №3

Хорошо, мы учли этот косяк и добавили в модель угроз «на вырост», угрозы для мобильных устройств. Теперь можно распространить аттестат на ноутбук большого босса?

Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания

Несмотря на то, что мобильное средство было описано в проектной документации на систему защиты информации и в модели угроз были учтены угрозы, связанные с мобильными техническими средствами, в отношении такого средства не были проведены аттестационные испытания.

Пример №4

Как все сложно-то! А вот такая ситуация: есть лечебное учреждение, там есть две информационные системы – с сотрудниками и медицинская информационная система (МИС) с пациентами. Можем ли мы сэкономить, аттестовать информационную систему с сотрудниками и распространить этот аттестат на МИС?

Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности… одинаковые проектные решения по информационной системе.

Хоть и кажется, что тут все сложно, на самом деле нужно просто заранее при подготовке к построению системы защиты продумать возможные варианты типовых сегментов. Но на самом деле, если все учесть (а требований не так уже и много), то и с распространением аттестата проблем не будет.

Миф №4. Типовые сегменты необходимо описывать в проектной документации на систему защиты, начиная с модели угроз

Такого требования нет. Хотя это напрямую и не запрещено, такой подход в будущем может повлечь некоторые проблемы. Что нам говорит об этом 17-й приказ ФСТЭК:

Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.

То есть мы вправе упоминать типовые сегменты только на этапе аттестации. В этом случае ваши сегменты будут типовыми по умолчанию, если выполнены условия раздела 17.3 приказа ФСТЭК №17. Но мы встречали случаи, когда типовые сегменты пытались описать уже на этапе моделирования угроз, чуть ли не указывая серийные номера оборудования таких сегментов. Проблема такого подхода в том, что если произойдет замена оборудования или что-то поменяется в технологиях обработки (например, появится среда виртуализации), то сегменты, на которые аттестат уже распространен могут стать, скажем так, нелегитимно типовыми. И в таком случае может понадобиться проводить не «дополнительные аттестационные испытания», а полностью весь комплекс испытаний проводить по новой.

В общем, наш совет – не упоминать типовые сегменты в проектной документации совсем. Ведь по действующему законодательству типовым будет любой сегмент, удовлетворяющий установленным условиям.

ВАЖНО! Если вы оператор информационной системы и планируете аттестацию информационной системы с возможностью распространять аттестат на типовые сегменты, обязательно обговорите с вашим аттестующим органом, чтобы такая возможность была отражена в аттестационных документах, как этого требует 17 приказ ФСТЭК!

Миф №5. ФСТЭК не понимает «типовые сегменты» и если мы так аттестуемся, нас накажут

Такой миф звучит очень странно, учитывая, что типовые сегменты подробнее всего описаны в нормативной документации именно от ФСТЭК. Эту мысль чаще всего можно услышать от безопасников так называемой «старой школы».

В общем, кроме как «это не правда» нам здесь сказать нечего. Даже наоборот – регулятор всячески продвигает такой порядок аттестации информационных систем и совсем недавно мы даже столкнулись с претензией от ФСТЭК, что огромная информационная система регионального масштаба аттестовывалась НЕ по принципу типовых сегментов. Там пришлось объяснять, что в том конкретном случае это было не оптимально.

Миф №6. Типовые сегменты работают только когда аттестованная часть и сегменты являются собственностью одной организации

Это неправда. Прямо об этом в законодательстве не говорится, а все что не запрещено, то разрешено. Но, конечно же, определенные отличия, когда аттестованная часть и типовые сегменты собственность одной организации, и когда типовые сегменты принадлежат сторонним юридическим лицам, есть.

В случаях, когда все принадлежит одной организации, эта организация может самостоятельно провести мероприятия по защите информации на типовом сегменте, назначить комиссию и распространить аттестат на типовой сегмент.

В случаях, когда есть центральный оператор государственной информационной системы (например, региональный Информационно-технологический центр) и сегменты у других юридических лиц (как пример – региональная система документооборота государственных учреждений), то тут все немного сложнее. Сложность заключается в том, что по закону за защиту информации в государственных информационных системах отвечает оператор этих ГИС. Поэтому для того, чтобы очередная проверка не нагрела оператора за то, что где-то в школе за 400 км от регионального центра не выполняются мероприятия по защите информации, ему необходимо хотя бы на этапе подключения типового сегмента максимально задокументировать этот процесс. В первую очередь создается регламент подключения к информационной системе, где оператор четко и ясно описывает требования по защите информации, которые нужно выполнить на подключаемом сегменте. Сюда входит обычно назначение ответственных, утверждение внутренних документов по защите информации (особо замороченные операторы могут даже разработать и предоставлять типовой комплект), закупка, установка и настройка необходимых средств защиты информации, анализ уязвимостей и т. д. Далее, организация, желающая подключиться, выполняет все требования и оговоренным в регламенте образом подтверждает это.

С другой стороны все описанные сложности это примерный план действий, который уже мы изобретали совместно с одним из таких операторов. Если оператор распределенной ГИС не боится нести ответственность за то, что не докажет факт исполнения требований по защите информации на удаленном сегменте хотя бы на этапе подключения, то он может пойти и по упрощенному пути (насколько «упрощенному» так же решать этому оператору).

К сожалению, некоторые операторы так и делают, потому что искренне верят в следующий миф.

Миф №7. За распространение аттестата на сегменты, не соответствующие требованиям несет ответственность аттестующий орган

Нам, как аттестующему органу, очень важно понимать границы нашей ответственности. Поскольку четко на вопрос «кто несет ответственность за распространение аттестата на несоответствующие требованиям сегменты» закон не отвечает, мы написали письмо во ФСТЭК.

Читайте также:  Аттестация для работников метрополитена

ФСТЭК ответил, что аттестующий орган несет ответственность только за качество непосредственно аттестационных испытаний. За корректность распространения аттестата на типовые сегменты несет ответственность организация-оператор информационной системы.

Миф №8. Типовые сегменты нам ничего не дадут. Все равно придется привлекать лицензиата и платить ему деньги

Это не так. Как минимум в случаях, когда в штате оператора информационной системы есть специалисты, способные провести все, описанные выше, мероприятия.

С другой стороны, мы часто сталкиваемся с тем, что нас просят помочь и с подключением типовых сегментов. Все равно в таких сегментах как минимум нужно проработать внутреннюю документацию, установить и правильно настроить средства защиты информации. Плюс, многие операторы информационных систем больше доверяют заключениям о соответствии типового сегмента, написанного сторонней организацией, чем отчету самого заявителя на подключение к системе.

Но даже в этом случае типовые сегменты позволяют оператору сэкономить деньги, так как на присоединяемые элементы как минимум не нужно разрабатывать отдельную модель угроз и проектную документацию на систему защиты информации. Также нет необходимости проводить полноценные аттестационные испытания.

Миф №9. В типовых сегментах должны использоваться только одинаковые технические средства (например, компьютеры с одинаковой материнской платой, одинаковым процессором, одинаковой оперативной памятью, вплоть до типа, производителя и модели)

Этот вопрос тоже явно не прописан в законодательстве. На интуитивном уровне понятно, что полное соответствия железа аттестованного и подключаемого сегмента не требуется, иначе всей этой затее грош цена. А когда нам нужно уточнить подобный вопрос, что мы делаем? Правильно – пишем письмо регулятору. ФСТЭК ожидаемо ответил, что в типовых сегментах не должны использоваться одинаковые (один производитель, одна модель и т. д.) технические решения.

Для того чтобы сегмент считался соответствующим аттестованному, нужно, чтобы для него был установлен такой же класс защищенности, определены такие же угрозы безопасности информации и реализованы одинаковые проектные решения по самой системе и по системе защиты информации. Как собственно и написано в 17 приказе.

Миф №10. Для каждого присоединяемого типового сегмента нужно делать свою модель угроз

Нет. В типовом сегменте должны быть актуальны такие же угрозы, как и в аттестованной части информационной системы. Соответственно – модель угроз одна на всю систему. Если в аттестованной информационной системе происходят какие-либо значительные технологические изменения, которые могут повлечь появление новых угроз безопасности информации, необходимо пересматривать общую модель угроз и, при необходимости, проводить дополнительные аттестационные испытания системы в целом.

Миф №11. Данные присоединяемых типовых сегментов не нужно отражать в техническом паспорте на информационную систему

По этому вопросу мы также спросили ФСТЭК. Ответ такой — данные новых сегментов нужно вносить в технический паспорт. Но вносить ли новые данные в общий техпаспорт на систему или сделать отдельный документ для сегмента – решать оператору. На наш взгляд на типовой сегмент удобнее делать отдельный технический паспорт.

На этом все. Если у вас остались вопросы по теме – добро пожаловать в комментарии. Надеемся, что наша публикация будет полезна и облегчит жизнь операторам аттестованных информационных систем.

Источник

Аттестация информационных систем персональных данных

Обработка и хранение персональных данных физических лиц в рамках коммерческой или некоммерческой деятельности требует соблюдения определенных требований безопасности. Необходимость обеспечивать защиту персональных
данных
и проходить аттестацию ИСПДн прописана в Федеральном законе №152-ФЗ от 7 июля 2006 года, причем под его действие попадают не только государственные, муниципальные структуры, но также
физлица, ИП и юридические лица. В зависимости от типа и класса защищенности системы проверка и получение аттестата могут носить обязательный либо добровольный характер.

Аттестация по требованиям безопасности информации — процедура не дешевая и в большинстве случаев удорожает обеспечение безопасности ИСПДн раза в полтора-два, поэтому многие операторы персональных данных хотели бы
обойти данную процедуру.

Сразу отметим, что понятие «аттестация ИСПДн» относится только к государственным информационным системам персональных данных, что накладывает на операторов обязательства по обеспечению их безопасности в соответствии
с Требованиями по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными Приказом ФСТЭК России №17 от 11.02.2013 г.

Аттестация информационных систем персональных данных обязательна только для ГИС.
Приказ ФСТЭК России №17 от 11 февраля 2013г.

Для информационных систем, не являющихся государственными, аттестат соответствия требованиям по безопасности информации не обязателен. Однако, он может понадобиться для подтверждения должного уровня
защиты ИСПДн. В этом случае данную процедуру можно провести в добровольном порядке. Проводится аттестация ИСПДн в соответствии с тем же вышеупомянутым Приказом ФСТЭК
России № 17.

Сама процедура аттестации проводится организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом в данной организации создается аттестационная
комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая проводит оценку соответствия организационных и технических мер, а также испытания технических и программных средств защиты
персональных данных. В результате оценки соответствия выдается Аттестат либо предписание на устранение недостатков системы защиты ИСПДн, поэтому необходимо очень тщательно подойти к процедуре
подготовки к аттестации, а лучше поручить подготовку компетентной организации.

Также в целях подтверждения должного уровня защиты персональных данных возможно проведение и аудита соответствия, который проводится компетентными организациями, имеющими лицензию на техническую
защиту конфиденциальной информации.

Об аудите соответствия обработки персональных данных

Правовые обоснования проведения аттестации информационных систем персональных данных

Как указано в статьях 18.1 и 19 действующего Федерального закона «О персональных данных», от оператора требуется подготовить и интегрировать программно-аппаратные средства защиты информации, а также пройти аттестационные
испытания. Проверка выполняется согласно нормативам ГОСТов, методологической документации ФСТЭК и ФСБ с помощью особого контрольного оборудования, сертифицированных средств измерения и отслеживания эффективности СЗПДн.
Экспертам надлежит оценить различные подсистемы, включая антивирусное ПО, криптографическую безопасность, разграничение доступа и т.д. Количество инспектируемых компонентов ИСПДн определяется установленным для данного
предприятия уровнем защищенности информации.

Аттестация систем персональных данных регламентируется целым рядом подзаконных актов, с которыми имеет смысл ознакомиться каждому, кому предстоит подобная процедура:

  1. Приказы ФСТЭК РФ № 21 и 17.
  2. Приказ Федеральной службы безопасности № 378.
  3. Постановление Правительства России № 1119.

В соответствии с ними оператору нужно разработать и внедрить целый пакет организационно-распорядительных документов, которые будут четко прописывать, каким образом будет обеспечиваться работа каждой
из подсистем ИСПДн.

Когда и кому необходимо получить аттестат соответствия ИСПДн?

В обязательном порядке документ, свидетельствующий о том, что информационная система ПДн отвечает действующим требованиям ФЗ-152, предстоит получить государственным органам и тем организациям, которые
выполняют их функции. Такие ИС нуждаются не только в обеспечении конфиденциальности сведений, но также в предупреждении несанкционированных действий в отношении собранной и хранимой информации, в частности, она должна быть
защищена от изменения, удаления, копирования и распространения без согласия субъектов ПДн.

Добровольная аттестация системы защиты персональных данных инициируется, чтобы:

  • избежать конфликтов с проверяющими органами;
  • поддерживать хорошую деловую репутацию и минимизировать вероятность судебных исков за разглашение конфиденциальной информации;
  • подтвердить в глазах партнеров и клиентов статус лидера в выбранной рыночной нише — особенно это актуально для компаний, которые оказывают аутсорсинговые услуги в сфере бухучета, аудита,
    программного обеспечения и т.д.

Услуга проведения аттестационных испытаний с выдачей протоколов, заключений и аттестата, актуальная также для организаций любой формы собственности и специализации в таких случаях:

  • после окончания срока действия прошлого сертификата (документ выдается на 3 года);
  • при необходимости улучшения информационной защищенности;
  • при подозрении на систематическую утечку сведений и безрезультативность внутренних проверок;
  • после внесения существенных изменений в работе, например, закупки нового компьютерного оборудования, обновлении технологических процессов или значительном расширении базы данных.

Основные этапы проверки

Процедура анализа текущего уровня защиты ПДн достаточно трудоемкая, сложная и требует от исполнителей определенной квалификации и опыта. Её проводят на последнем этапе обеспечения безопасности информационных
систем компании. Наш Центр выполняет полный спектр работ, действуя согласно методологии ФСТЭК Российской Федерации, которая предусматривает:

  1. Изучение ИС персональных данных с составлением акта об обследовании, с разработкой модели потенциальных угроз. На данном этапе происходит определение того, насколько эффективны используемые средств защиты ПДн,
    а затем создается техническое задание на разработку и интеграцию СЗ.
  2. Создание и внедрение проекта системы защиты с обязательной подготовкой ОРД.
  3. Аттестация безопасности ПДн с составлением технического паспорта на исследуемую систему, протокола оценки и заключения по результатам анализа. Если все требования ФЗ-152 соблюдены, то компания получает аттестат, который
    будет действительным в течение 3 лет.

Финансовая сторона вопроса

Стоимость аттестации ИСПДн определяется после обсуждения с клиентом всех аспектов сотрудничества и с учетом трудоемкости процесса, которая обусловлена потребностью документировать на каждом этапе выполненные
действия и полученные результаты. Основными факторами, влияющими на итоговую сумму, являются:

  • число компьютеров, ноутбуков и прочей вычислительной техники, формирующей систему персональных данных предприятия;
  • специфика используемых технологий обработки информации;
  • класс защищенности и тип ИСПДн;
  • количество необходимых средств обеспечения безопасности конфиденциальных сведений.

При обращении в наш Центр вы можете быть уверенными в том, что цена аттестации информационных систем персональных данных будет обоснованной, а все условия сотрудничества
будут четко прописаны в договоре на обслуживание. Точно определить количество и вид необходимых средств помогает предварительное обследование, на основе которого создается технический проект под
конкретную компанию.

Естественно, чем масштабней организация, тем большими будут финансовые затраты, но при выборе сервиса под ключ, который мы предлагаем, переплачивать не придется. К тому же, инвестируя
денежные активы в безопасность ПДн сейчас, в будущем вы можете избежать штрафов ФСТЭК за несоблюдение нормативов ФЗ-152 и других подзаконных актов, а также создать себе репутацию
действительно надежного партнера, который способен защитить информацию от неправомерных действий.

Источник