Статьи

Організація документообігу органу з атестації об'єкта інформатизації. Порядок формування документів

Атестація передбачає комплексну перевірку об'єкта, що захищається інформатизації в реальних умовах експлуатації з метою оцінки відповідності застосовуваного комплексу заходів і засобів захисту необхідному рівню безпеки інформації. В ході проведення атестації розробляються документи. За результатами перевірки видається атестат відповідності.

В установі (на підприємстві) повинен бути документально оформлений перелік відомостей конфіденційного характеру, які підлягають захисту відповідно до нормативних правових актів, а також розроблена відповідна дозвільна система доступу персоналу ктакого роду відомостями [2].

Для проведення атестації заявник подає атестаційної комісії наступні вихідні дані і документацію:

1. Технічне завдання на об'єкт інформатизації:

2. Технічний паспорт на об'єкт інформатизації:

3. Приемо-здавальну документацію на об'єкт інформатизації:

4. Акти категорирования виділених приміщень і технічних засобів і систем;

5. Акт класифікації АС за вимогами захисту інформації;

6. Склад технічних і програмних засобів, що входять в АС (або технічних засобів, розташованих у виділеному приміщенні);

7. Плани розміщення основних і допоміжних технічних засобів і систем;

8. Склад і схеми розміщення засобів захисту інформації;

9. План контрольованої зони підприємства (установи);

10. Схеми прокладки ліній передачі даних;

11. Схеми і характеристики систем електроживлення і заземлення об'єкта інформатизації;

12. Перелік виділених в АС ресурсів з документальним підтвердженням ступеня секретності кожного ресурсу (або максимальної ступеня секретності обговорюваних в виділеному приміщенні питань);

13. Організаційно-розпорядча документація дозвільної системи доступу персоналу до ресурсів, що захищаються ас (обговорюваних питань);

14. Опис технологічного процесу обробки інформації в АС;

15. Технологічні інструкції користувачам АС і адміністратору безпеки інформації;

16. Інструкції з експлуатації засобів захисту інформації;

17. Приписи на експлуатацію технічних засобів і систем;

18. Протоколи спеціальних досліджень технічних засобів і систем;

19. Акти або висновку про спеціальну перевірку виділених приміщень і технічних засобів;

20. Сертифікати відповідності вимогам з безпеки інформації на засоби і системи обробки і передачі інформації, що використовуються засоби захисту інформації;

21. Дані за рівнем підготовки кадрів, що забезпечують захист інформації;

22. Дані про технічне забезпечення засобами контролю ефективності захисту інформації та їх метрологічну повірку;

23. Нормативну та методичну документацію щодо захисту інформації та контролю ефективності захисту.

Наведений загальний перелік вихідних даних і документації може уточнюватися заявником в залежності від особливостей наказом Міністерства освіти України об'єкта інформатизації за погодженням з атестаційною комісією.

На етапі атестаційних випробувань об'єкта інформатизації: оформляються протоколи випробувань та висновок за результатами атестації з конкретними рекомендаціями щодо усунення допущених порушень, приведення системи захисту об'єкта інформатизації у відповідність до встановлених вимог і вдосконалення цієї системи, а також рекомендаціями щодо контролю над функціонуванням об'єкта інформатизації [1] .

На стадії введення в дію об'єкта інформатизації та СЗІ оформляються [2]:

- акти впровадження засобів захисту інформації за результатами їх приймально-здавальних випробувань;

- представницькою акт до проведення атестаційних випробувань;

- висновок за результатами атестаційних випробувань.

Висновок за результатами атестації з короткою оцінкою відповідності об'єкта інформатизації вимогам з безпеки інформації, висновком про можливість видачі «Атестату відповідності» та необхідними рекомендаціями підписується членами атестаційної комісії і доводиться до відома заявника.

До висновку додаються протоколи випробувань, що підтверджують отримані при випробуваннях результати і обгрунтовують наведений в ув'язненні висновок.

Протоколи випробувань підписуються експертами - членами атестаційної комісії, які проводили випробування.

Висновок і протоколи випробувань підлягають затвердженню органом по атестації.

При позитивних результатах атестації на об'єкт інформатизації оформляється «Атестат відповідності» вимогам з безпеки інформації.

Окрім вищезгаданої документації на підприємстві оформляються накази, вказівки і рішення [2]:

- про проектування об'єкта інформатизації, створення відповідних підрозділів розробки та призначення відповідальних виконавців;

- про формування групи обстеження і призначення її керівника;

- про укладення відповідних договорів на проведення робіт;

- про призначення осіб, відповідальних за експлуатацію об'єкта інформатизації;

- про початок обробки вас (обговорення в приміщенні, що підлягає) секретної (конфіденційної) інформації.

Для об'єктів інформатизації, що знаходяться в експлуатації до введення в дію цього документа, може бути передбачений за рішенням їх замовника (власника) спрощений варіант їх доопрацювання (модернізації), переоформлення організаційно-розпорядчої, технологічної та експлуатаційної документації [2].

Програма атестаційних випробувань такого роду об'єктів інформатизації визначається атестаційною комісією.

Необхідною умовою є їх відповідність чинним вимогам щодо захисту інформації [4].

Експлуатація об'єкта інформатизації здійснюється в повній відповідності до затвердженої організаційно-розпорядчої та експлуатаційної документації [2].

Порядок формування документів

Всі документи, що розробляються при проведенні атестації об'єкта інформатизації, формуються в строго визначеному порядку, обумовленому етапом проведення атестації. [1] А спроби виключити будь-який документ або поміняти місцями етапи призводять, як правило, до помилок. Тому розглянемо основні етапи атестації й закріплені за ними документи (рис. 1).

Є кілька етапів проведення атестації:

1. Документи, що подаються організацією-заявником.

2. Документи, що розробляються по завершенню спецперевірки технічних засобів іноземного виробництва

3. Документи, які розробляються по завершенню стендових (лабораторних) спецдосліджень об'єктів обчислювальної техніки або ОТСС і ВТСС (ВП).

4. Документи, що розробляються по завершенню об'єктових спецдосліджень об'єкта обчислювальної техніки або ОТСС і ВТСС (ВП).

5. Документи, що розробляються при атестаційних випробуваннях об'єкта інформатизації.

6. Документи, що розробляються на етапі контролю стану і ефективності захисту інформації.

Мал. 1. Порядок проведення атестації

Документи, що подаються організацією-заявником

При створенні об'єкта інформатизації виконується ряд наступних дій, із зазначенням створюваних документів [3]:

1. Встановлюється призначення створюваного об'єкта інформатизації (автоматизована система - АС, виділене приміщення - ВП).

2. Визначається максимальний ступінь секретності оброблюваної або обговорюваної інформації. ДляАС - також і режими обробки інформації: однокористувальницький, колективний, права доступу користувачів, кількість передбачуваних рівнів конфіденційності інформації.

3. На підставі інформації, отриманої в результаті виконання п. 2, встановлюється категорія (для ВП і АС) і клас захисту (тільки для АС) від несанкціонованого доступу (НСД). Результати оформляються відповідними актами.

ОВТ: Наказ «Про призначення комісії з категорування, класифікації та супроводу атестації об'єктів інформатизації»; Акт категорирования об'єкта інформатизації «АРМ»; Акт класифікації автоматизованої системи (АС) об'єкта інформатизації «АРМ».

ВП: Наказ «Про призначення комісії з категорування і організації атестації виділеного приміщення»; Наказ «Про призначення відповідальних за режим секретності в виділених приміщеннях»; Акт категорирования виділеного приміщення.

1. Вибираються приміщення для створюваних об'єктів.

ОВТ: Перелік приміщень, в яких проводяться секретні заходи, і об'єктів інформатизації, використовуваних для обробки інформації, що становить державну таємницю.

ВП: Перелік приміщень, в яких проводяться секретні заходи і об'єктів інформатизації, використовуваних для обробки інформації, що містить державну таємницю.

2. Проводиться їх обстеження. Уточнюється організація електроживлення, розташування і опір контуру заземлення. В ході перевірки визначаються ймовірні канали витоку інформації. При необхідності може проводитися інструментальний контроль, наприклад, якості звукоізоляції огороджувальних конструкцій, вікон, дверей ВП.

ОВТ: Технічний паспорт об'єкта інформатизації з додатками:

- склад технічних та програмних засобів, які входять в АС;

- план розміщення АС щодо контрольованої зони;

- план розміщення ОТСС, ВТСС;

- схема прокладки ліній передачі даних, ланцюгів харчування, заземлення та їх характеристики.

ВП: Технічний паспорт на приміщення категорії:

- план розміщення ОТСС, ВТСС, меблів встановленої в ВП щодо кордонів контрольованої зони;

- схема прокладки ліній передачі даних, охоронної та пожежної сигналізації, ланцюгів живлення і заземлення ВП.

3. З урахуванням категорії і класу ОІ, а також даних обстеження здійснюється вибір і придбання технічних засобів, на базі яких буде створюватися ОІ. Безумовно, при цьому перевага повинна віддаватися засобам, сертифікованим за вимогами безпеки інформації або які пройшли спеціальні дослідження і мають приписи на експлуатацію.

4. У тих випадках, коли умови розташування ОІ не забезпечують виконання вимог приписів на експлуатацію, вибираються додаткові (організаційні, технічні, програмні) засоби і способи захисту інформації.

5. Здійснюються установка і монтаж технічних засобів ОІ, в тому числі засобів захисту, і їх налаштування.

Наказ «Про введення в експлуатацію ОВТ», з призначенням відповідального за виконання заходів спеціального захисту інформації, адміністратора безпеки інформації та відповідального за експлуатацію ОВТ (після видачі атестата відповідності на АС).

6. Розробляється комплект організаційно-розпорядчої документації щодо захисту інформації відповідно до СТР.

ОВТ: Організаційно-розпорядча документація дозвільної системи доступу персоналу до ресурсів, що захищаються ОІ:

1. Перелік осіб, які мають право самостійного доступу в приміщення № з об'єктом інформатизації «АРМ».

2. Перелік осіб, які мають право самостійного доступу до штатних засобів автоматизованої системи ГІ «АРМ» і рівень їх повноважень.

3. Перелік осіб, які обслуговують автоматизовану систему об'єктів інформатизації.

4. Дані за рівнем підготовки кадрів, що забезпечують захист інформації на об'єктах інформатизації «АРМ».

5. Інструкція щодо забезпечення захисту секретної інформації, що обробляється на об'єкті інформатизації «АРМ».

6. Інструкція адміністратору безпеки.

7. Інструкція з антивірусного контролю.

8. Інструкція користувачеві.

9. Опис технологічного процесу обробки інформації в автоматизованій системі об'єкта інформатизації «АРМ».

10. Схема інформаційних потоків автоматизованої системи в складі об'єкта інформатизації «АРМ».

11. Матриця доступу суб'єктів автоматизованої системи ГІ «АРМ» до її захищається інформаційних ресурсів.

12. Склад програмного забезпечення автоматизованої системи ГІ «АРМ».

13. Перелік захищаються ресурсів автоматизованої системи об'єкта інформації ГІ «АРМ» і рівень їх конфіденційності.

14. Нормативна та методична документація щодо захисту інформації.

ВП: Організаційно-розпорядча документація:

1. Список осіб, які мають право самостійного доступу в приміщення;

2. Дані за рівнем підготовки кадрів, що забезпечують захист інформації на об'єктах інформатизації;

3. Пам'ятка щодо забезпечення режиму секретності і експлуатації обладнання в виділеному приміщенні;

4. Керівництво по захисту інформації від технічних розвідок і від її витоку технічними каналами;

5. Нормативна та методична документація щодо захисту інформації.

Документи, які розробляються по завершенню спецперевірки технічних засобів іноземного виробництва :

- Висновок за результатами спеціальної перевірки.

- Копія ліцензії ФСБ.

Документи, які розробляються по завершенню стендових (лабораторних) спецдосліджень об'єктів обчислювальної техніки або ОТСС і ВТСС (ВП) :

- Протокол лабораторних спеціальних досліджень засобів обчислювальної техніки (СВТ) від витоку інформації по каналах побічних електромагнітних випромінювань і наведень (ПЕМВН).

- Припис на експлуатацію засоби обчислювальної техніки (СВТ).

- Копія ліцензії ФСТЕК Росії № виданої.

Документи, які розробляються по завершенню об'єктових спецдосліджень об'єкта обчислювальної техніки або ОТСС і ВТСС (ВП) [2].

Документи, які розробляються по завершенню об'єктових спецдосліджень об'єкта обчислювальної техніки:

- Протокол перевірки стану технологічного процесу інформації на об'єкті інформатизації.

- Протокол перевірки на відповідність організаційно-технічним вимогам щодо захисту інформації.

- Протокол атестаційних випробувань об'єкта інформатизації на відповідність вимогам щодо захисту інформації від витоку за рахунок ПЕМВН.

- Протокол оцінки ефективності, встановлених на об'єкті засобів захисту інформації.

- Припис на експлуатацію об'єкта інформатизації «АРМ», що розміщується в приміщенні №.

- Акт установки САЗ на об'єкті інформатизації «АРМ».

- Опис налаштувань системи розмежування доступу системи захисту від несанкціонованого доступу, встановленої в АС ГІ «АРМ».

Документи, які розробляються по завершенню об'єктових спецдосліджень (ОТСС) ВТСС, датчиків охоронної та пожежної сигналізації, ліній зв'язку, які мають вихід за межі контрольованої зони:

- Протокол контролю захищеності ВП від витоку інформації по акустичному, виброакустическому, оптико-електронного каналах.

- Протокол спеціальних досліджень (ОТСС) ВТСС, датчиків охоронної та пожежної сигналізації, ліній зв'язку, які мають вихід за межі контрольованої зони.

- Припис щодо розміщення, монтажу і експлуатації допоміжних технічних засобів, встановлених у виділеному приміщенні.

- Акт установки системи віброакустичного зашумлення в виділеному приміщенні.

- Експлуатаційна документація та сертифікати на використовувані засоби захисту інформації.

- Припис на експлуатацію обчислювальної техніки в цілому.

Документи, що розробляються при атестаційних випробуваннях об'єкта інформатизації [2].

Документи, що розробляються при атестаційних випробуваннях автоматизованої системи:

- Програма і методики атестаційних випробувань.

- Протокол випробувань на відповідність вимогам щодо захисту інформації від несанкціонованого доступу.

- Висновок за результатами атестаційних випробуванні об'єкта інформатизації на відповідність вимогам безпеки інформації.

- Копія Атестату акредитації органу з атестації (ФСТЕК) Росії Експлуатаційна документація та сертифікати на використовувані засоби захисту інформації.

- Атестат відповідності за вимогами безпеки інформації.

Документи, що розробляються при атестаційних випробуваннях виділеного приміщення:

- Програма і методики проведення атестаційних випробувань виділеного приміщення.

- Висновок за результатами проведення атестаційних випробувань виділеного приміщення, з додатком протоколів контролю ефективності захисту від витоку мовної інформації.

- Копія Атестату акредитації органу з атестації (ФСТЕК) Росії.

- Атестат відповідності за вимогами безпеки інформації.

Документи, які розробляються на етапі контролю стану і ефективності захисту інформації :

- Висновок за результатами контролю стану і ефективності захисту інформації на об'єкті, з додатком протоколів контролю.

Розробка комплексу організаційно-розпорядчої документації та проведення організаційно-технічних заходів дозволяє підтвердити, що об'єкт відповідає вимогам стандартів нормативно-технічних документів з безпеки інформації, затверджених Федеральною службою з технічного та експортного контролю, і отримати «Атестат відповідності», який дає право обробки інформації на об'єкті з рівнем конфіденційності та на період часу, встановленими в «атестат відповідності».

література:

1. Положення з атестації об'єктів інформатизації за вимогами безпеки інформації, затверджено головою Гостехкомиссии Росії від 25 листопада 1994 р

2. Спеціальні вимоги і рекомендації з технічного захисту конфіденційної інформації (Рішення Колегії Гостехкомиссии Росії № 7.2 / 02.03.2001 р)

3. Царегородцев А. В. Мухін І. Н. Захист інформаційних ресурсів підприємства: Монографія. - М .: ВГНА Мінфіну Росії, 2008. - 160с.

4. РД ГТК. Автоматизовані системи. Захист від несанкціонованого доступу до інформації: Класифікація автоматизованих систем і вимоги щодо захисту інформації [Текст] - М .: Військове видавництво, 1992. - 12с.