КС необходимо защищать, чтобы избежать утечки информации на предприятии.

---

3 Порядок аттестации объекта информатизации

Аттестация объекта информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.

Нормативно правовая база для проведения аттестации объекта информатизации на соответствие требованиям по защите информации:

• 
  приказ ФСТЭК России от 11 февраля 2013 г. N 17- Настоящие Требования разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328), а также с учетом национальных стандартов Российской Федерации в области защиты информации и в области создания автоматизированных систем (далее - национальные стандарты);
  
• 
  приказом ФСТЭК России от 23 марта 2017 г. N 31 - В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее - автоматизированные системы управления), от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.
  

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации [14].

---

Газпром Нефть подлежит обязательной аттестации, так как в организации ведутся важные переговоры, имеются секретные документы, а так же есть коммерческая тайна.

Аттестат соответствия – это документ, которым орган по сертификации удостоверяет соответствие выпускаемой в обращение продукции требованиям одного или нескольких технических регламентов Евразийского экономического союза.

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

• 
  подачу и рассмотрение заявки на аттестацию;
  
• 
  предварительное ознакомление с аттестуемым объектом;
  
• 
  испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости).
  

Аттестация производится в порядке, установленном «Положением по аттестации объектов информатизации по требованиям безопасности информации» от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.

Аттестация является обязательной в следующих случаях:

• 
  государственная тайна;
  
• 
  при защите государственного информационного ресурса;
  
• 
  управление экологически опасными объектами;
  
• 
  ведение секретных переговоров.
  

Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

• 
  защита от НСД, в том числе компьютерных вирусов;
  
• 
  защита от утечки через ПЭМИН;
  
• 
  защита от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации.
  

Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ:

• 
  анализ исходных данных по аттестуемому объекту информатизации;
  
• 
  предварительное ознакомление с аттестуемым объектом информатизации;
  
• 
  проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
  
• 
  проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
  
• 
  проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
  
• 
  проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
  
• 
  анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
  

---

Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с «Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации».

Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации.

Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика [15].

В структуру системы аттестации входят:

• 
  федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации
  

ФСТЭК России;

• 
  органы по аттестации объектов информатизации по требованиям безопасности информации;
  
• 
  испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
  
• 
  заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).
  

В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации.

Аттестат соответствия информационной системы выдается на неограниченный срок. Причем действие аттестата прекращается досрочно при изменении условий функционирования информационной системы и технологии обработки защищаемой информации.

Документация, предоставляемая органу по аттестации:

• 
  заявление об обработке персональных данных отдельных категорий лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или выполняющих такую работу, проведению аттестации сил обеспечения транспортной безопасности которых предшествует обработка персональных данных;
  
• 
  заявление о проведении аттестации сил обеспечения транспортной безопасности;
  
• 
  анкета;
  
• 
  четыре цветные фотографии аттестуемого лица размером 3x4 сантиметра, в том числе в электронном виде;
  
• 
  копия документа, удостоверяющего личность аттестуемого лица, заверенная субъектом транспортной инфраструктуры, специализированной организацией в области обеспечения транспортной безопасности, организацией, претендующей на аккредитацию для проведения оценки уязвимости объектов транспортной инфраструктуры и транспортных средств, подразделением транспортной безопасности, организацией, претендующей на аккредитацию в качестве подразделения транспортной безопасности;
  
• 
  копия трудовой книжки аттестуемого лица, заверенная надлежащим образом субъектом транспортной инфраструктуры, подразделением транспортной безопасности, организацией, претендующей на аккредитацию в качестве подразделения транспортной безопасности, и (или) сведения о трудовой деятельности, за исключением случаев, когда трудовая (служебная) деятельность ранее не осуществлялась;
  
• 
  копия документа (документов) об образовании аттестуемого лица, заверенная субъектом транспортной инфраструктуры, специализированной организацией в области обеспечения транспортной безопасности, организацией, претендующей на аккредитацию для проведения оценки уязвимости объектов транспортной инфраструктуры и транспортных средств, подразделением транспортной безопасности, организацией, претендующей на аккредитацию в качестве подразделения транспортной безопасности;
  
• 
  справка о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования в отношении аттестуемого лица, выданная не ранее 60 дней до дня представления этой справки;
  
• 
  справка, выданная соответствующей медицинской организацией не ранее 60 дней до дня представления этой справки, подтверждающая отсутствие психических заболеваний, алкоголизма, наркомании, токсикомании и отсутствие диспансерного наблюдения в отношении указанных заболеваний в связи с выздоровлением или стойкой ремиссией, являющихся ограничением при выполнении работ, непосредственно связанных с обеспечением транспортной безопасности;
  
• 
  справка о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ, выданная не ранее 60 дней до дня представления этой справки;
  
• 
  копия свидетельства об аттестации сил обеспечения транспортной безопасности, заверенная субъектом транспортной инфраструктуры, специализированной организацией в области обеспечения транспортной безопасности, организацией, претендующей на аккредитацию для проведения оценки уязвимости объектов транспортной инфраструктуры и транспортных средств, подразделением транспортной безопасности, организацией, претендующей на аккредитацию в качестве подразделения транспортной безопасности (в случае его наличия);
  

---

Документация, предоставляемая органу по аттестации:

• 
  состав аттестационной комиссии (группы);
  
• 
  дата проведения аттестации;
  
• 
  перечень руководящих документов, в соответствии с которыми проводилась аттестация;
  
• 
  перечень документов по защите информации в выделенном помещении, представленных аттестационной комиссии;
  
• 
  характеристику выделенного помещения (назначение, местоположение, условия размещения и т.д.);
  
• 
  перечень вспомогательных технических средств и систем (ВТСС), установленных на объекте информатизации;
  
• 
  перечень технических средств защиты информации, установленных в выделенном помещении;
  
• 
  характеристику организационных мероприятий по защите информации;
  
• 
  виды работ, проводимых в ходе аттестации;
  

Содержание протокола аттестационных испытаний помещения:

• 
  вид испытаний;
  
• 
  объект испытаний;
  
• 
  дату и время проведения испытаний;
  
• 
  место проведения испытаний;
  
• 
  перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);
  
• 
  перечень нормативно-методических документов, в соответствии с которыми проводились испытания;
  
• 
  методику проведения испытания (краткое описание);
  
• 
  результаты измерений;
  
• 
  результаты расчетов.
  

Содержание аттестата соответствия на объект информатизации:

• 
  регистрационный номер;
  
• 
  дату выдачи;
  
• 
  срок действия;
  
• 
  наименование, адрес и местоположение объекта информатизации;
  
• 
  категорию объекта информатизации;
  
• 
  класс защищенности автоматизированной системы;
  
• 
  гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации.
  

Владелец аттестованного объекта информатизации несетответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.

В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом Управление и орган по аттестации, проводивший аттестацию объекта информатизации.

4 Анализ защищенности объекта информатизации
4.1 Построение модели нарушителя

Нарушитель – это лицо, совершившее или пытающееся совершить несанкционированное действие, а также лицо, оказывающее ему содействие в этом.

---

Смотрите также файлы

• Контрольные вопросы для самостоятельной подготовки к семинарскому занятию 1 Вопросы Классическая теория эволюционизма и общественного прогресса Г. Спенсера. Сам термин социология.docx

• Тема 16. Производство в суде апелляционной инстанции.pdf

• Кризисы в социальноэкономическом развитии.doc

• Практических заданий по дисциплине организация и планирование производства.doc

• Черниговский сельскохозяйственный колледж.doc