Організація документообігу органу з атестації об'єкта інформатизації. Порядок формування документів
Атестація передбачає комплексну перевірку об'єкта, що захищається інформатизації в реальних умовах експлуатації з метою оцінки відповідності застосовуваного комплексу заходів і засобів захисту необхідному рівню безпеки інформації. В ході проведення атестації розробляються документи. За результатами перевірки видається атестат відповідності.
В установі (на підприємстві) повинен бути документально оформлений перелік відомостей конфіденційного характеру, які підлягають захисту відповідно до нормативних правових актів, а також розроблена відповідна дозвільна система доступу персоналу ктакого роду відомостями [2].
Для проведення атестації заявник подає атестаційної комісії наступні вихідні дані і документацію:
1. Технічне завдання на об'єкт інформатизації:
2. Технічний паспорт на об'єкт інформатизації:
3. Приемо-здавальну документацію на об'єкт інформатизації:
4. Акти категорирования виділених приміщень і технічних засобів і систем;
5. Акт класифікації АС за вимогами захисту інформації;
6. Склад технічних і програмних засобів, що входять в АС (або технічних засобів, розташованих у виділеному приміщенні);
7. Плани розміщення основних і допоміжних технічних засобів і систем;
8. Склад і схеми розміщення засобів захисту інформації;
9. План контрольованої зони підприємства (установи);
10. Схеми прокладки ліній передачі даних;
11. Схеми і характеристики систем електроживлення і заземлення об'єкта інформатизації;
12. Перелік виділених в АС ресурсів з документальним підтвердженням ступеня секретності кожного ресурсу (або максимальної ступеня секретності обговорюваних в виділеному приміщенні питань);
13. Організаційно-розпорядча документація дозвільної системи доступу персоналу до ресурсів, що захищаються ас (обговорюваних питань);
14. Опис технологічного процесу обробки інформації в АС;
15. Технологічні інструкції користувачам АС і адміністратору безпеки інформації;
16. Інструкції з експлуатації засобів захисту інформації;
17. Приписи на експлуатацію технічних засобів і систем;
18. Протоколи спеціальних досліджень технічних засобів і систем;
19. Акти або висновку про спеціальну перевірку виділених приміщень і технічних засобів;
20. Сертифікати відповідності вимогам з безпеки інформації на засоби і системи обробки і передачі інформації, що використовуються засоби захисту інформації;
21. Дані за рівнем підготовки кадрів, що забезпечують захист інформації;
22. Дані про технічне забезпечення засобами контролю ефективності захисту інформації та їх метрологічну повірку;
23. Нормативну та методичну документацію щодо захисту інформації та контролю ефективності захисту.
Наведений загальний перелік вихідних даних і документації може уточнюватися заявником в залежності від особливостей наказом Міністерства освіти України об'єкта інформатизації за погодженням з атестаційною комісією.
На етапі атестаційних випробувань об'єкта інформатизації: оформляються протоколи випробувань та висновок за результатами атестації з конкретними рекомендаціями щодо усунення допущених порушень, приведення системи захисту об'єкта інформатизації у відповідність до встановлених вимог і вдосконалення цієї системи, а також рекомендаціями щодо контролю над функціонуванням об'єкта інформатизації [1] .
На стадії введення в дію об'єкта інформатизації та СЗІ оформляються [2]:
- акти впровадження засобів захисту інформації за результатами їх приймально-здавальних випробувань;
- представницькою акт до проведення атестаційних випробувань;
- висновок за результатами атестаційних випробувань.
Висновок за результатами атестації з короткою оцінкою відповідності об'єкта інформатизації вимогам з безпеки інформації, висновком про можливість видачі «Атестату відповідності» та необхідними рекомендаціями підписується членами атестаційної комісії і доводиться до відома заявника.
До висновку додаються протоколи випробувань, що підтверджують отримані при випробуваннях результати і обгрунтовують наведений в ув'язненні висновок.
Протоколи випробувань підписуються експертами - членами атестаційної комісії, які проводили випробування.
Висновок і протоколи випробувань підлягають затвердженню органом по атестації.
При позитивних результатах атестації на об'єкт інформатизації оформляється «Атестат відповідності» вимогам з безпеки інформації.
Окрім вищезгаданої документації на підприємстві оформляються накази, вказівки і рішення [2]:
- про проектування об'єкта інформатизації, створення відповідних підрозділів розробки та призначення відповідальних виконавців;
- про формування групи обстеження і призначення її керівника;
- про укладення відповідних договорів на проведення робіт;
- про призначення осіб, відповідальних за експлуатацію об'єкта інформатизації;
- про початок обробки вас (обговорення в приміщенні, що підлягає) секретної (конфіденційної) інформації.
Для об'єктів інформатизації, що знаходяться в експлуатації до введення в дію цього документа, може бути передбачений за рішенням їх замовника (власника) спрощений варіант їх доопрацювання (модернізації), переоформлення організаційно-розпорядчої, технологічної та експлуатаційної документації [2].
Програма атестаційних випробувань такого роду об'єктів інформатизації визначається атестаційною комісією.
Необхідною умовою є їх відповідність чинним вимогам щодо захисту інформації [4].
Експлуатація об'єкта інформатизації здійснюється в повній відповідності до затвердженої організаційно-розпорядчої та експлуатаційної документації [2].
Порядок формування документів
Всі документи, що розробляються при проведенні атестації об'єкта інформатизації, формуються в строго визначеному порядку, обумовленому етапом проведення атестації. [1] А спроби виключити будь-який документ або поміняти місцями етапи призводять, як правило, до помилок. Тому розглянемо основні етапи атестації й закріплені за ними документи (рис. 1).
Є кілька етапів проведення атестації:
1. Документи, що подаються організацією-заявником.
2. Документи, що розробляються по завершенню спецперевірки технічних засобів іноземного виробництва
3. Документи, які розробляються по завершенню стендових (лабораторних) спецдосліджень об'єктів обчислювальної техніки або ОТСС і ВТСС (ВП).
4. Документи, що розробляються по завершенню об'єктових спецдосліджень об'єкта обчислювальної техніки або ОТСС і ВТСС (ВП).
5. Документи, що розробляються при атестаційних випробуваннях об'єкта інформатизації.
6. Документи, що розробляються на етапі контролю стану і ефективності захисту інформації.
Мал. 1. Порядок проведення атестації
Документи, що подаються організацією-заявником
1. Вибираються приміщення для створюваних об'єктів.
ОВТ: Технічний паспорт об'єкта інформатизації з додатками:
- склад технічних та програмних засобів, які входять в АС;
- план розміщення АС щодо контрольованої зони;
- схема прокладки ліній передачі даних, ланцюгів харчування, заземлення та їх характеристики.
ВП: Технічний паспорт на приміщення категорії:
- план розміщення ОТСС, ВТСС, меблів встановленої в ВП щодо кордонів контрольованої зони;
3. Перелік осіб, які обслуговують автоматизовану систему об'єктів інформатизації.
6. Інструкція адміністратору безпеки.
7. Інструкція з антивірусного контролю.
10. Схема інформаційних потоків автоматизованої системи в складі об'єкта інформатизації «АРМ».
12. Склад програмного забезпечення автоматизованої системи ГІ «АРМ».
14. Нормативна та методична документація щодо захисту інформації.
ВП: Організаційно-розпорядча документація:
1. Список осіб, які мають право самостійного доступу в приміщення;
2. Дані за рівнем підготовки кадрів, що забезпечують захист інформації на об'єктах інформатизації;
3. Пам'ятка щодо забезпечення режиму секретності і експлуатації обладнання в виділеному приміщенні;
4. Керівництво по захисту інформації від технічних розвідок і від її витоку технічними каналами;
5. Нормативна та методична документація щодо захисту інформації.
Документи, які розробляються по завершенню спецперевірки технічних засобів іноземного виробництва :
- Висновок за результатами спеціальної перевірки.
Документи, які розробляються по завершенню стендових (лабораторних) спецдосліджень об'єктів обчислювальної техніки або ОТСС і ВТСС (ВП) :
- Припис на експлуатацію засоби обчислювальної техніки (СВТ).
- Копія ліцензії ФСТЕК Росії № виданої.
Документи, які розробляються по завершенню об'єктових спецдосліджень об'єкта обчислювальної техніки або ОТСС і ВТСС (ВП) [2].
Документи, які розробляються по завершенню об'єктових спецдосліджень об'єкта обчислювальної техніки:
- Протокол перевірки стану технологічного процесу інформації на об'єкті інформатизації.
- Протокол перевірки на відповідність організаційно-технічним вимогам щодо захисту інформації.
- Протокол оцінки ефективності, встановлених на об'єкті засобів захисту інформації.
- Припис на експлуатацію об'єкта інформатизації «АРМ», що розміщується в приміщенні №.
- Акт установки САЗ на об'єкті інформатизації «АРМ».
- Акт установки системи віброакустичного зашумлення в виділеному приміщенні.
- Експлуатаційна документація та сертифікати на використовувані засоби захисту інформації.
- Припис на експлуатацію обчислювальної техніки в цілому.
Документи, що розробляються при атестаційних випробуваннях об'єкта інформатизації [2].
Документи, що розробляються при атестаційних випробуваннях автоматизованої системи:
- Програма і методики атестаційних випробувань.
- Атестат відповідності за вимогами безпеки інформації.
Документи, що розробляються при атестаційних випробуваннях виділеного приміщення:
- Програма і методики проведення атестаційних випробувань виділеного приміщення.
- Копія Атестату акредитації органу з атестації (ФСТЕК) Росії.
- Атестат відповідності за вимогами безпеки інформації.
Документи, які розробляються на етапі контролю стану і ефективності захисту інформації :
4. РД ГТК. Автоматизовані системи. Захист від несанкціонованого доступу до інформації: Класифікація автоматизованих систем і вимоги щодо захисту інформації [Текст] - М .: Військове видавництво, 1992. - 12с.
