ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12441
Скачиваний: 24
326
соответствие с установленными требованиями и совершенствованию этой
системы, а также рекомендациями по контролю за функционированием
объекта информатизации.
Заключение по результатам аттестации с краткой оценкой соответствия
объекта информатизации требованиям по безопасности информации,
выводом о возможности выдачи "Аттестата соответствия" и необходимыми
рекомендациями подписывается членами аттестационной комиссии и
доводится до сведения заявителя [62].
К заключению прилагаются протоколы испытаний, подтверждающие
полученные при испытаниях результаты и обосновывающие приведенный в
заключении вывод [62].
Протоколы испытаний подписываются экспертами - членами аттестационной
комиссии, проводившими испытания [62].
Заключение и протоколы испытаний подлежат утверждению органом по
аттестации [62].
"Аттестат соответствия" на объект информатизации, отвечающий
требованиям по безопасности информации, оформляется и выдается органом
по аттестации по установленной форме заявителю после утверждения
заключения по результатам аттестации [62].
Регистрация "Аттестатов соответствия" осуществляется по отраслевому или
территориальному признакам органами по аттестации с целью ведения
информационной базы аттестованных объектов информатизации и
планирования мероприятий по контролю и надзору [62].
Ведение
сводных
информационных
баз
аттестованных
объектов
информатизации осуществляется федеральным органом по сертификации и
аттестации или по его поручению одним из органов надзора за аттестацией и
эксплуатацией аттестованных объектов [62].
"Аттестат соответствия" выдается владельцу аттестованного объекта
информатизации органом по аттестации на период, в течение которого
обеспечивается
неизменность
условий
функционирования
объекта
информатизации и технологии обработки защищаемой информации,
могущих повлиять на характеристики, определяющие безопасность
информации (состав и структура технических средств, условия размещения,
используемое программное обеспечение, режимы обработки информации,
средства и меры защиты), но не более чем на 3 года [62].
Владелец аттестованного объекта информатизации несет ответственность за
выполнение
установленных
условий
функционирования
объекта
информатизации, технологии обработки информации и требований по
безопасности информации [62].
327
В случае изменения условий и технологии обработки защищаемой
информации владельцы аттестованных объектов обязаны известить об этом
орган по аттестации, который принимает решение о необходимости
проведения дополнительной проверки эффективности системы защиты
объекта информатизации [62].
При несоответствии аттестуемого объекта требованиям по безопасности
информации и невозможности оперативно устранить отмеченные
аттестационной комиссией недостатки орган по аттестации принимает
решение об отказе в выдаче "Аттестата соответствия" [62]. При этом может
быть предложен срок повторной аттестации при условии устранения
недостатков.
При наличии непринципиального характера "Аттестат соответствия" может
быть выдан после проверки устранения этих замечаний [62].
В случае несогласия заявителя с отказом в выдаче "Аттестата соответствия"
он имеет право обратиться в вышестоящий орган по аттестации или
непосредственно в государственный орган по аттестации с апелляцией для
дополнительного рассмотрения полученных при испытаниях результатов, где
она в месячный срок рассматривается с привлечением заинтересованных
сторон [62]. Податель апелляции извещается о принятом решении.
Государственный контроль и надзор, инспекционный контроль за
проведением аттестации объектов информатизации проводится федеральным
органом по сертификации и аттестации как в процессе, так и по завершении
аттестации, а за эксплуатацией аттестованных объектов информатизации -
периодически в соответствии с планом работы по контролю и надзору [62].
Федеральный орган по сертификации и аттестации может передавать
некоторые из своих функций государственного контроля и надзора по
аттестации и за эксплуатацией аттестованных объектов информатизации
аккредитованным органам по аттестации [62].
Объем, содержание и порядок государственного контроля и надзора
устанавливаются в нормативной и методической документации по
аттестации объектов информатизации [62].
Государственный контроль и надзор за соблюдением правил аттестации
включает проверку правильности и полноты проводимых мероприятий по
аттестации объектов информатизации, оформления и рассмотрения органами
по аттестации отчетных документов и протоколов испытаний, своевременное
внесение изменений в нормативную и методическую документацию по
безопасности информации, инспекционный контроль за эксплуатацией
аттестованных объектов информатизации [62].
В случае грубых нарушений органом по аттестации требований стандартов
или иных нормативных и методических документов по безопасности
328
информации, выявленных при контроле и надзоре, орган по аттестации
может быть лишен лицензии на право проведения аттестации объектов
информатизации по ходатайству вышестоящего органа, проводящего
контроль и надзор, перед федеральным органом по сертификации и
аттестации [62].
По результатам контроля и надзора за эксплуатацией аттестованных
объектов в случае нарушения их владельцами условий функционирования
объектов информатизации, технологии обработки защищаемой информации
и требований по безопасности информации органом, проводившим контроль
и надзор, может быть приостановлено или аннулировано действие
"Аттестата соответствия", оформив это решение в "Аттестате соответствия"
и проинформировав орган, ведущий сводную информационную базу
аттестованных объектов информатизации, и федеральный орган по
сертификации и аттестации [62].
Решение о приостановлении или аннулировании действия "Аттестата
соответствия" принимается в случае, когда в результате оперативного
принятия организационно-технических мер не может быть восстановлен
требуемый уровень безопасности информации [62].
В случае грубых нарушений органом по аттестации требований стандартов
или нормативных документов по безопасности информации, утвержденных
федеральным органом по сертификации и аттестации в пределах его
компетенции, выявленных при контроле и надзоре и приведших к повторной
аттестации, расходы по осуществлению контроля и надзора могут быть по
решению Госарбитража взысканы с органа по аттестации [62]. Кроме того, и
повторная аттестация может быть осуществлена за счет этого органа по
аттестации.
Расходы по осуществлению надзора за обязательной аттестацией и
эксплуатацией
объектов,
прошедших
обязательную
аттестацию,
оплачиваются органом надзора из средств госбюджета, выделенных ему в
этих целях [62].
Объекты информатизации, вне зависимости от используемых отечественных
или зарубежных технических и программных средств, аттестуются на
соответствие требованиям государственных стандартов России или
нормативных и методических документов по безопасности информации,
утвержденных федеральным органом по сертификации и аттестации в
пределах его компетенции [62].
Состав нормативной и методической документации для аттестации
конкретных объектов информатизации определяется органом по аттестации в
зависимости от условий функционирования объектов информатизации на
основании анализа исходных данных по аттестуемому объекту [62].
329
В нормативную и методическую документацию включаются только те
показатели, характеристики и требования, которые могут быть объективно
проверены [62].
В нормативной и методической документации на методы испытаний должны
быть ссылки на условия, содержание и порядок проведения испытаний,
используемые при испытаниях контрольную аппаратуру и тестовые средства,
сводящие к минимуму погрешности результатов испытаний и позволяющие
воспроизвести эти результаты [62].
Тексты нормативных и методических документов, используемых при
аттестации объектов информатизации, должны быть сформулированы ясно и
четко, обеспечивая их точное и единообразное толкование, в них должно
содержаться указание о возможности использования документа для
аттестации определенных типов объектов информатизации по требованиям
безопасности информации или направлений защиты информации [62].
5.3. Рекомендации по организации работ по защите информации
от утечки по техническим каналам на объектах ТСПИ
При организации работ по защите утечки по техническим каналам
информации на объекте ТСПИ можно выделить три этапа.
Первый этап - подготовка к реконструкции (капитальному ремонту,
строительству) объекта (здания).
Второй этап - период проведения работ по реконструкции объекта.
Третий этап - период эксплуатации объекта.
На
первом этапе
с привлечением соответствующих специалистов
проводится оценка обстановки на объекте и вблизи него, изучается
необходимая документация [3, 14, 19, 20, 54, 122, 123, 151].
При этом устанавливается:
•когда построен объект. Какие организации привлекались для строительства.
Какие учреждения в нем располагались;
•условия расположения объекта и всех помещений. Какие организации (лица)
занимают смежные помещения, режим их посещения.
Далее проводится оценка информации, представляющей интерес для
противника. Определяются помещения, а также технические системы и
средства, подлежащие защите.
Для анализа возможных технических каналов утечки на объекте изучаются
[3, 54, 62, 122, 123]:
•план прилегающей к объекту местности в радиусе до 1000 м с указанием (по
возможности) принадлежности зданий, особенно находящихся в прямой
330
видимости из окон помещений, подлежащих защите (желательно с их
фотографиями), мест стоянок автомашин, а также места расположения
трансформаторной подстанции;
•поэтажные планы здания с указанием всех помещений (смежных с
защищаемыми), характеристик стен, перекрытий и материалов отделки;
•план-схема инженерных коммуникаций всего объекта, включая систему
вентиляции;
•план-схема системы заземления объекта, с указанием места расположения
заземлителя;
•план-схема системы электропитания здания с указанием места
расположения разделительного трансформатора (подстанции), всех щитов и
разводных коробок;
•план-схема прокладки телефонных линий связи с указанием мест
расположения распределительных коробок и установки телефонных
аппаратов;
•план-схема систем охранной и пожарной сигнализации с указанием мест
установки и типов датчиков, а также распределительных коробок.
В данный период целесообразно провести технический контроль по оценке
реальных экранирующих свойств конструкций здания и звукоизоляции
помещений с целью учета их результатов при выработке мер защиты ТСПИ и
выделенных помещений.
По результатам анализа делается вывод о том, какие потенциальные
технические каналы утечки информации существуют на объекте, и
разрабатываются
требования и рекомендации по защите информации
,
которые должны быть включены в техническое задание на разработку
технического проекта
.
Мероприятия по защите информации отражаются в отдельном
разделе
технического проекта
. Для его разработки должны привлекаться
организации, имеющие лицензию Гостехкомиссии РФ.
При разработке технического проекта необходимо учитывать следующие
рекомендации [1, 3, 8, 9, 14, 19, 22, 39, 41, 49, 54, 62, 64, 114, 122, 128]:
•в выделенных помещениях необходимо устанавливать сертифицированные
технические средства обработки информации и вспомогательные
технические средства;
•для размещения ТСПИ целесообразно выбирать подвальные и
полуподвальные помещения (они обладают экранирующими свойствами);
•кабинеты руководителей учреждения, а также особо важные помещения
рекомендуется располагать на верхних этажах со стороны здания, менее
опасной с точки зрения ведения разведки;