Система аттестации объектов информации по требованиям безопасности информации является составной частью единой системы обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации ), Федеральная служба технического и экспортного контроля Российской Федерации (ФСТЭК России) в пределах ее компетенции, определяемой законодательными актами Российской Федерации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации: от несанкционированного доступа, в том числе от компьютерных вирусов; от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное облучение, электромагнитное и радиационное воздействие); от утечки или воздействия на нее за счет специальных устройств, встроенных в объект информатизации.
ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ; РД Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено Председателем Гостехкомиссии России 25.11.94 г.; РД Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное приказом председателя Гостехкомиссии России от 5 января 1996 г. № 3; РД Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации, утвержденное Председателем Гостехкомиссии России 25.11.94 года; Специальные требования и рекомендации по технической защите конфиденциальной информации, утверждены решением Коллегии Гостехкомиссии России от 02.03.01 г. № 7.2; Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации РД Гостехкомиссии России, утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г.
аттестация объектов информатизации - комплекс организационно - технических мероприятий, в результате которых посредством специального документа - « Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов иных нормативно - технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации (ФСТЭК) в пределах его компетенции. объекты информатизации аттестуемые по требованиям безопасности информации - автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения, предназначенные для обработки и передачи информации, подлежащей защите, вместе с помещениями, в которых они установлены, а также помещения, предназначенные для ведения конфиденциальных переговоров.
лицензирование в области защиты информации - деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации лицензия в области защиты информации - оформленное соответствующим образом разрешение на право проведения тех или иных работ в области защиты информации; защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.; эффективность защиты информации - степень соответствия достигнутых результатов действий по защите информации поставленной цели защиты.
аккредитация - официальное признание органом по аккредитации компетентности физического или юридического лица выполнять работы в определенной области оценки соответствия; заявитель - физическое или юридическое лицо, осуществляющее обязательное подтверждение соответствия; знак соответствия - обозначение, служащее для информирования приобретателей о соответствии объекта сертификации требованиям системы добровольной сертификации или национальному стандарту; орган по сертификации - юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации; сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров; сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов или условиям договоров; система сертификации - совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом.
организует обязательную аттестацию объектов информатизации; создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах; устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации; организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации; аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ; осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации; организует периодическую публикацию информации по функционированию системы аттестации объектов по требованиям безопасности информации.
аттестуют объекты информатизации и выдают «Аттестаты соответствия»; осуществляют контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них; отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»; формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке; ведут информационную базу аттестованных этим органом объектов информатизации; осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.
привлекать в порядке, определяемом в Положении о конкретном органе, для работы в аттестационных комиссиях наиболее компетентных специалистов; устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые в Положении о конкретном органе; отказывать заявителю в аттестации объекта информатизации, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации; участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатизации; лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
соблюдать в полном объеме все правила и порядок сертификации и аттестации; выдавать или признавать сертификаты соответствия; при введении новых требований информировать изготовителя в течение месяца о сроках и порядке ее введения, оказывать содействие в проведении работы по сертификации в соответствии с новыми нормами; информировать ФСТЭК России обо всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии; вести учет всех предъявляемых рекламаций и информировать об этом ФСТЭК России; в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатизации; обеспечивать полноту и объективность проведения аттестации; обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации; вести информационную базу аттестованных этим органом объектов; представлять в государственные органы по сертификации и аттестации информацию о результатах аттестации, а также "Аттестаты соответствия" для их регистрации; допускать представителей контрольных органов для осуществления надзора за аттестацией.
соответствие проведенных им аттестационных испытаний требованиям стандартов и иных НМД по безопасности информации, а также достоверность результатов; полноту и качество выполнения функций и обязанностей, возложенных на него; формирование и квалификацию аттестационных комиссий; соблюдение требований НМД, предъявляемых к порядку проведения аттестации; соблюдение установленных сроков и условий проведения аттестации; обеспечение сохранности государственной тайны и коммерческой тайны заявителя; соблюдение действующего законодательства.
По заказам заявителей проводят испытания несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации».
проводят подготовку объекта информатизации аттестации путем необходимых организационно-технических мероприятий по защите информации; привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации; представляют органам по аттестации необходимые документы и условия проведения аттестации; привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации; осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»; извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств информации; предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
Расходы по проведению всех видов работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации. Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам, а при их отсутствии - по договорной цене в порядке, установленном ФСТЭК России по согласованию с Министерством финансов Российской Федерации. Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.
Если цена государственного или муниципального контракта не превышает двести пятьдесят тысяч рублей Производится запрос котировок - способ размещения заказа, при котором информация о потребностях в товарах, работах, услугах для государственных или муниципальных нужд сообщается неограниченному кругу лиц путем размещения на официальном сайте извещения о проведении запроса котировок и победителем в проведении запроса котировок признается участник размещения заказа, предложивший наиболее низкую цену контракта. Если цена государственного или муниципального контракта превышает двести пятьдесят тысяч рублей Открытый тендер Закрытый тендер
Полное и точное наименование объекта информатизации и его назначение. Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень секретности (конфиденциальности) обрабатываемой информации определен (в соответствии с какими перечнями (государственным, отраслевым, ведомственным, предприятия). Организационная структура объекта информатизации. Перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует). Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны. Структура программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.
Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации. Наличие и характер взаимодействия с другими объектами информатизации. Состав и структура системы защиты информации на аттестуемом объекте информатизации. Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию. Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ. Наличие на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных). Наличие и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители). Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.
Орган по аттестации в месячный срок рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации. При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.
При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работу по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств. При проведении испытаний отдельных несертифицированных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации эти испытания проводятся до аттестационных испытаний объектов информатизации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.
технические СЗИ от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении; СЗИ (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности; средства контроля эффективности применения средств защиты информации; защищенные программные средства обработки информации; программные средства общего назначения.
Аттестационные комиссии формируются органом по аттестации из числа как штатных сотрудников органа по аттестации, так и специалистов в различных направлениях защиты информации других предприятий и организаций таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции. В состав аттестационных комиссий включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей.
Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации. Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.
анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации; определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем ЗИ; проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации; проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации; оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
приемо-сдаточную документацию на объект информатизации; акты категорирования выделенных помещений и объектов информатизации; инструкции по эксплуатации средств защиты информации; технический паспорт на аттестуемый объект; документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ; сертификаты соответствия требованиям безопасности информации на ВТСС; сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
акты на проведенные скрытые работы; протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились); протоколы измерения величины сопротивления заземления; протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки; данные по уровню подготовки кадров, обеспечивающих защиту информации; данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической проверке; нормативную и методическую документацию по защите информации и контролю эффективности защиты.
пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам; перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты; перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты; перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки; перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки; перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки; схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон; планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников; план-схему инженерных коммуникаций всего здания, включая систем вентиляции; план-схему системы заземления объекта с указанием места расположения заземлителя; план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок; план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов; план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок; схемы систем активной защиты (САЗ), если они предусмотрены.
Линии пожарной сигнализации и телефонные линии имеют выход за пределы контролируемой зоны.
Линии электропитания и осветительной сети имеют выход за пределы контролируемой зоны.
№ п/п Наименование организации проводившей проверку Дата проведения проверки Номер протокола Примечание 9. Лист регистрации изменений. Порядковый № и дата внесения изменений Наименование документа, фиксирующего изменения №№ замененных (исправленных) листов формуляра Подпись лица внесшего изменения
определяется состав технических средств, используемых для обработки, передачи и хранения защищаемой информации; изучается технологический процесс обработки, передачи и хранения защищаемой информации, анализ информационных потоков; проверяется соответствие реального состава ТСОИ, ВТСС и средств защиты указанному в техническом паспорте на аттестуемый объект, сертификатах соответствия (предписаниях на эксплуатацию) и представленных исходных данных; проверяется соответствие представленных заявителем исходных данных реальным условиям размещения, монтажа ТСОИ, ВТСС и средств защиты; проверяется состояние и сохранность печатей на технических средствах, выявляются ТСОИ, ВТСС и средства защиты информации, подвергшиеся несанкционированному вскрытию;
изучаются условия расположения аттестуемого объекта и определяется граница контролируемой зоны; устанавливаются места расположения трансформаторной подстанции, электрощитовой, распределительных щитов. Измеряется длина линий электропитания от защищаемых объектов до возможных мест подключения средств перехвата информации (распределительных щитов, помещений и т.п.), находящихся за пределами контролируемой зоны; определяются помещения, смежные с защищаемыми и находящиеся за пределами контролируемой зоны; определяются соединительные линии вспомогательных технических средств и систем (линии телефонной связи, оповещения, систем охранной и пожарной сигнализации, часофикации и т.п.), выходящие за пределы контролируемой зоны, места расположения их распределительных коробок. Измеряется длина линий от защищаемых объектов до мест возможного подключения средств перехвата информации за пределами контролируемой зоны; определяются инженерные коммуникации и посторонние проводники, выходящие за пределы контролируемой зоны, измеряется их длина от защищаемых объектов до мест возможного подключения средств перехвата информации; устанавливается местоположение заземлителя, к которому подключен контур заземления защищаемого объекта
измеряются напряженности электромагнитного поля по магнитной Н i (в диапазоне частот 9 кГц - 30 МГц) и электрической Е i (в диапазоне частот 9 кГц - 1800 МГц) составляющим, создаваемые информативным сигналом ТСОИ; измеряются уровни информативных сигналов ТСОИ в диапазоне частот 9 кГц - 300 МГц в соединительных линиях ВТСС, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны; определяются коэффициенты удельного затухания информативного сигнала в линиях электропитания, в соединительных линиях ВТСС, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны, и рассчитывается затухание в них информационного сигнала; рассчитывается величина максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зоны R 2); рассчитываются предельные расстояния от ТСОИ до вспомогательных технических средств и систем и их кабельных коммуникаций, посторонних проводников и инженерных коммуникаций, имеющих выход за границу контролируемой зоны (зоны r 1, r 1')\ измеряется сопротивление заземления каждого ТСОИ; измеряется минимальное расстояние от каждого ТСОИ до границы контролируемой зоны Якз.
измерения напряженности электромагнитного поля по магнитной Н i (в диапазоне частот 9 кГц - 30 МГц) и электрической Е i (в диапазоне частот 9 кГц - 1800 МГц) составляющим, создаваемой помеховыми сигналами САЗ; измерения уровней помеховых сигналов в диапазоне частот 9 кГц - 300 МГц, создаваемых САЗ в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны.
измеряются уровни акустического сигнала и шумов в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц в местах возможной установки микрофонных датчиков средств речевой разведки; измеряются уровни вибрационного сигнала и шумов в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц в местах возможной установки датчиков контактного типа средств речевой разведки; определяются коэффициенты звукоизоляции ограждающих конструкций (окон, дверей, стен, пола, потолка) выделенного помещения в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц; определяются коэффициенты виброизоляции ограждающих конструкций выделенного помещения, а также различных элементов инженерно-технических систем, включая их коммуникации, в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;
при использовании в выделенном помещении систем виброакустической маскировки дополнительно проводятся измерения уровней акустических и вибрационных шумов в октавных полосах частот со среднегеометрическими частотами 250, 500. 1000, 2000, 4000 Гц в местах возможной установки датчиков средств акустической разведки; измеряются уровни информационных сигналов на выходе ВТСС, возникающих вследствие акустоэлектрического преобразования акустических сигналов элементами ВТСС, в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц; измеряются уровни шумов на выходе в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц; рассчитывается словесная разборчивость речи W для каждого типа аппаратуры речевой разведки. Специальные проверки на наличие возможно внедренных специальных электронных устройств перехвата информации проводятся по решению руководителя предприятия (учреждения, фирмы).
По результатам специальной проверки технических средств по выявлению специальных электронных устройств перехвата информации составляется акт, на основании которого потребителю выдается заключение. По результатам специальной проверки выделенного помещения оформляется акт с указанием итогов проверки и рекомендаций по защите помещения, который утверждается начальником, организующим проведение специальных проверок. Акт исполняется в двух экземплярах, один из которых отправляется в адрес владельца проверяемого помещения, другой остается в организации, проводившей специальную проверку. По результатам аттестации оформляются протоколы испытаний и заключение с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
состав аттестационной комиссии (группы); дату проведения аттестации; перечень руководящих документов, в соответствии с которыми проводилась аттестация; перечень документов по защите информации на объекте информатизации, представленных аттестационной комиссии; характеристику объекта информатизации (наименование объекта, назначение, местоположение, условия размещения и т.д.); перечень технических средств обработки информации ограниченного доступа (ТСОИ), установленных на объекте информатизации, с указанием их места установки и категорий; перечень вспомогательных технических средств и систем, установленных на объекте информатизации, с указанием их места установки;
перечень технических средств защиты информации, установленных на объекте информатизации, с указанием места их установки; характеристику организационных мероприятий по защите информации. Вывод о выполнении (невыполнении) организационных мероприятий по защите информации при ее обработке; виды работ, проводимых в ходе аттестации; перечень использованной в ходе инструментальной проверки (аттестационных испытаний) аппаратуры (перечисляется вся используемая аппаратура контроля по оцениваемым каналам и ее заводские номера); результаты анализа документации по защите информации на объекте информатизации. Вывод о соответствии (несоответствии) разработанной документации по защите информации требованиям нормативно-методических документов ФСТЭК РФ; оценку правильности категорирования объектов информатизации; оценку уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации; результаты специального обследования объекта информатизации; условия расположения объекта информатизации относительно границы контролируемой зоны, минимальное расстояние до границы контролируемой зоны;
вывод о соответствии (несоответствии) реального ее става ТСОИ, ВТСС и средств защиты информации указанному в техническом паспорте на аттестуемый объект, сертификатах соответствия (предписаниях на эксплуатацию) и представленных исходных данных; вывод о состоянии и сохранности печатей и пломб на ТСОИ (в случае выявления перечисляются технические средства, подвергавшиеся несанкционированному вскрытию); вывод о соответствии (несоответствии) мест установки ТСОИ, ВТСС и средств защиты информации и прокладки их соединительных линий техническому паспорту на объект информатизации; вывод о соответствии (несоответствии) реального разноса ТСОИ и их соединительных линий относительно ВТСС и посторонних проводников требованиям нормативно-методических документов ФСТЭК РФ и сертификатов соответствия (предписаний на эксплуатацию); характеристику системы электропитания объекта информатизации и технических средств защиты информации от утечки по цепям электропитания, находящихся за пределами контролируемой зоны (указываются номера и места расположения трансформаторной подстанции, электрощитовой, распределительных щитов, от которых осуществляется питание ТСОИ. Описывается схема электропитания объекта с указанием типов и марки используемых кабелей электропитания. Перечисляются технические средства защиты цепей электропитания с указанием мест их установки. При наличии сертификатов соответствия на средства защиты цепей электропитания указывается срок их действия. Указывается длина линий электропитания от защищаемых ТСОИ до возможных мест подключения к ним средств перехвата информации (распределительных щитов, помещений и т.п.). Вывод о соответствии (несоответствии) системы электропитания объекта информатизации требованиям нормативно-методических документов ФСТЭК РФ и сертификатов соответствия (предписаний на эксплуатацию) ТСОИ;
характеристику системы заземления объекта информатизации и технических средств защиты информации от утечки по цепям заземления в случае их использования. Описывается схема заземления ТСОИ. Указываются тип и местоположение заземляющего устройства, расстояние от него до границы контролируемой зоны. Указываются типы заземляющих проводников и способы их подключения к ТСОИ и т.п. Приводятся даты и результаты измерений сопротивления заземления ТСОИ. Вывод о соответствии (несоответствии) системы заземления объекта информатизации требованиям нормативно-методических документов ФСТЭК РФ и сертификатов соответствия (предписаний на эксплуатацию) ТСОИ; характеристику вспомогательных технических средств и систем, соединительные линии которых выходят за пределы контролируемой зоны (наименование, тип, назначение и т.п.). Указывается длина соединительных линий от ВТСС до возможных мест подключения к ним средств перехвата информации, находящихся за пределами контролируемой зоны. Перечисляются технические средства защиты ВТСС с указанием мест их установки. При наличии сертификатов соответствия на средства защиты ВТСС указывается срок их действия; перечень посторонних проводников и инженерных коммуникаций, выходящих за пределы контролируемой зоны. Указывается их длина от защищаемых объектов до мест возможного подключения средств перехвата информации, расположенных за пределами контролируемой зоны. Указывается наличие (отсутствие) диэлектрических вставок в инженерных коммуникациях. При использовании систем линейного зашумления указывается их тип и места установки, а при наличии сертификатов соответствия - срок их действия;
результаты проведения испытаний ТСОИ на побочные электромагнитные излучения; величину максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зона R 2 ) ; предельные расстояния от ТСОИ и их соединительных линий до вспомогательных технических средств и систем, установленных на объекте информатизации и имеющих соединительные линии, выходящие за пределы контролируемой зоны (зоны r 1); предельные расстояния от ТСОИ и их соединительных линий до линий ВТСС, посторонних проводников и инженерных коммуникаций, выходящих за границу контролируемой зоны (зоны r 1'); вывод о соответствии (несоответствии) эффективности защиты ТСОИ от утечки информации за счет побочных электромагнитных излучений требованиям нормативно-методических документов ФСТЭК РФ; результаты проведения испытаний системы активной защиты объекта информатизации (при ее использовании); величину максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зона R 2) при использовании САЗ; предельные расстояния от ТСОИ и их соединительных линий до вспомогательных технических средств и систем, установленных на объекте информатизации и имеющих соединительные линии, выходящие за пределы контролируемой зоны (зоны r 1), при использовании САЗ;
предельные расстояния от ТСОИ и их соединительных линий до линий ВТСС, посторонних проводников и инженерных коммуникаций, выходящих за границу контролируемой зоны (зоны r 1'), при использовании САЗ; вывод о соответствии (несоответствии) эффективности защиты ТСОИ от утечки информации за счет побочных электромагнитных излучений требованиям нормативно-методических документов ФСТЭК РФ; результаты проведения испытаний системы активной защиты объекта информатизации (при ее использовании); величину максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зона R 2 ) при использовании САЗ; предельные расстояния от ТСОИ и их соединительных линий до вспомогательных технических средств и систем, установленных на объекте информатизации и имеющих соединительные линии, выходящие за пределы контролируемой зоны (зоны r 1), при использовании САЗ; предельные расстояния от ТСОИ и их соединительных линий до линий ВТСС, посторонних проводников и инженерных коммуникаций, выходящих за границу контролируемой зоны (зоны r 1' ), при использовании САЗ; • вывод о соответствии (несоответствии) эффективности защиты ТСОИ от утечки информации за счет побочных электромагнитных излучений требованиям нормативно-методических документов ФСТЭК РФ;
результаты проведения испытаний помехоподавляющих фильтров, используемых для защиты цепей электропитания ТСОИ (испытания проводятся, если срок действия сертификата соответствия на них на момент аттестации истек). Вывод о соответствии (несоответствии) фильтров требованиям нормативно-методических документов ФСТЭК РФ; результаты проведения испытаний средств защиты ВТСС (испытания проводятся, если срок действия сертификата соответствия на них на момент аттестации истек). Вывод о соответствии (несоответствии) средств защиты требованиям нормативно-методических документов ФСТЭК РФ; недостатки, выявленные в ходе аттестации; общий вывод о соответствии (несоответствии) эффективности защиты объекта информатизации требованиям нормативно-методических документов ФСТЭК РФ о возможности (невозможности) выдачи «Аттестата соответствия» и допуске ТСОИ к обработке информации соответствующего уровня конфиденциальности (секретности).
«Аттестат соответствия» на объект информатизации, отвечающий требованиям по безопасности информации, оформляется и выдается органом по аттестации по установленной форме заявителю после утверждения заключения по результатам аттестации. Регистрация «Аттестатов соответствия» осуществляется по отраслевому или территориальному признакам органами по аттестации с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору. «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче «Аттестата соответствия». При этом может быть предложен срок повторной аттестации при условии устранения недостатков. При наличии недостатков непринципиального характера «Аттестат соответствия» может быть выдан после проверки устранения этих замечаний. В случае несогласия заявителя с отказом в выдаче «Аттестата соответствия» он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в государственный орган по аттестации с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.
Владелец аттестованного объекта обязан известить об этом орган по аттестации Орган по аттестации принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации
Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится ФСТЭК как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации - периодически в соответствии с планом работы по контролю и надзору. ФСТЭК может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органам по аттестации. Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации по аттестации объектов информатизации.
Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль за эксплуатацией аттестованных объектов информатизации.
В случае грубых нарушений органом по аттестации требований стандартов или иных НМД по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации по ходатайству вышестоящего органа, проводящего контроль и надзор, перед федеральным органом по сертификации и аттестации. По результатам контроля и надзора за эксплуатацией аттестованных объектов в случае нарушения их владельцами условий функционирования объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводившим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», оформив это решение в «Аттестате соответствия» и проинформировав орган, ведущий сводную информационную базу аттестованных объектов информатизации, и ФСТЭК.
Решение о приостановлении или аннулировании действия «Аттестата соответствия» принимается в случае, когда в результате оперативного принятия организационно - технических мер не может быть восстановлен требуемый уровень безопасности информации. В случае грубых нарушений органом по аттестации требований стандартов или нормативных документов по безопасности информации, утвержденных ФСТЭК в пределах его компетенции, выявленных при контроле и надзоре и пришедших к повторной аттестации, расходы по осуществлению контроля и надзора могут быть по решению Госарбитража взысканы с органа по аттестации. Кроме того, и повторная аттестация может быть осуществлена за счет этого органа по аттестации. Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств госбюджета, выделенных ему в этих целях.
Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту. В нормативную и методическую документацию включаются только те показатели, характеристики и требования, которые могут быть объективно проверены. В нормативной и методической документации на методы испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты. Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование, в них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направленной защиты информации.
№ Наименование Условия создания Примечания 1 Перечень объектов информатизации: помещений, в которых проводятся секретные мероприятия, технических средств и систем, используемых для обработки информации, содержащей гостайну. Рекомендуется Составляется режимно- секретным органом 2 Распоряжение "О назначении комиссии по категорированию, классификации и организации аттестации объекта информатизации" Рекомендуется Составляется заявителем 3 Запрос в ФСБ Обязательно (либо альтернатива) Составляется заявителем 4 Ответ на запрос в ФСБ о наличии представительств иностранных государств, обладающих правом экстерриториальности. Обязательно Оформляется региональным управлением ФСБ. 5 Предписание на ОТСС объекта информатизации и протокол специальных исследований (СИ). Обязательно Составляется уполномоченной организацией 6 Предписание на объекта информатизации и протокол СИ (в случае нескольких отдельных ОТСС в составе одного ОИ) При необходимости Составляется уполномоченной организацией 7 Заключение по результатам специальной проверки (СП) ТСС ОИ Обязательно Составляется уполномоченной организацией 8 Карта с границами контролируемой зоны ОИ (и границами зоны 2) Обязательно Составляется заявителем 9 Протокол измерения параметров заземлителя ТСС ОИ Обязательно Составляется уполномоченной организацией
10 Протокол измерения параметров заземлителя ТСС ОИ Обязательно Составляется уполномоченной организацией 11 Акт категорирования объекта информатизации Обязательно Составляется заявителем 12 Список лиц обслуживающих ОИ Обязательно Составляется заявителем 13 Список лиц, имеющих доступ в помещение с ОИ Обязательно Составляется заявителем 14 Список лиц, допущенных к самостоятельной работе на ОИ Обязательно Составляется заявителем 15 Состав ПО АС в составе ОИ Обязательно Составляется заявителем 16 Технологический процесс обработки информации (каким образом обрабатывается, куда выдается) Обязательно Составляется заявителем 17 Перечень защищаемых ресурсов АС в составе ОИ Возможно в составе "Технол. процесса…" Составляется заявителем 18 Схема информационных потоков АС в составе ОИ Возможно в составе "Технол. процесса…" Составляется заявителем 19 Акт классификации АС в составе ОИ Обязательно Составляется заявителем 20 Технический паспорт объекта информатизации Обязательно Составляется заявителем 21 Распоряжение о назначении уполномоченного (администратора) по защите из числа сотрудников, допущенных к обработке информации В случае необходимости (определяется на основании Кл. АС) Составляется заявителем 22 Копии лицензий на право работ по защите информации Обязательно Предоставляется исполнителем
23 Техническое задание (на выполнение работ по защите и дооснащение) Составляется при необходимости Составляется организацией выполняющей работы и Заявителем 24 Акт установки систем защиты По результатам установки средств защиты Предоставляется организацией, выполняющей работы 25 Матрица разграничения доступа к информационным ресурсам АС в составе ОИ Обязательно Составляется заявителем 26 Сертификаты (копии) на установленные средства защиты (программные и технические) Обязательно Предоставляет производитель СЗ 27 Инструкция (памятка ) по обеспечению защиты секретной информации. Обязательно Составляется исполнителем 28 Данные по уровню подготовки кадров обеспечивающих защиту информации на объекте информатизации Обязательно Составляется заявителем 29 Заявка на проведение аттестации объектов информатизации Обязательно Составляется заявителем 30 Копии лицензий на право работ по защите информации и копия аттестата аккредитации центра по аттестации Обязательно Предоставляется организацией выполняющей аттестацию 31 Протокол испытаний эффективности СЗИ НСД Обязательно Предоставляется организацией выполняющей аттестацию 32 Программа и методика аттестационных испытаний Обязательно Составляется организацией выполняющей аттестацию 33 Заключение по результатам аттестационных испытаний Обязательно Составляется организацией выполняющей аттестацию 34 Аттестат соответствия По результатам аттестационных испытаний Выдается организацией выполняющей аттестацию
№ Наименование Условия создания Примечания 1 Перечень объектов информатизации: помещений, в которых проводятся секретные мероприятия, технических средств и систем, используемых для обработки информации, содержащей гостайну. Рекомендуется Составляется режимно- секретным органом 2 Распоряжение "О назначении комиссии по категорированию, классификации и организации аттестации объекта информатизации" Рекомендуется Составляется заявителем 3 Протокол специальных исследований ВТСС ВП Предписание на эксплуатацию ВТСС ВП Обязательно Составляется уполномоченной организацией 4 Заключение по результатам специальной проверки (СП) ТСС ОИ Обязательно Составляется уполномоченной организацией 5 Акт категорирования объекта информатизации Обязательно Составляется заявителем 6 Перечень лиц, работающих в ВП или ответственных за него. Обязательно Составляется заявителем 7 Распоряжение о проведении СО ВП и организации работ по защите Обязательно Составляется заявителем 8 Технический паспорт объекта информатизации Обязательно Составляется заявителем 9 Копии лицензий на право работ по защите информации Обязательно Предоставляется исполнителем
10 Техническое задание (на выполнение работ по защите и дооснащение) Составляется при необходимости Составляется организацией выполняющей работы и Заявителем 11 Акт установки систем защиты По результатам установки средств защиты Предоставляется организацией, выполняющей работы 12 Сертификаты (копии) на установленные средства защиты (программные и технические) Обязательно Предоставляет производитель средств защиты 13 Инструкция (памятка ) по обеспечению защиты секретной информации. Обязательно Составляется исполнителем 14 Данные по уровню подготовки кадров обеспечивающих защиту информации на объекте информатизации Обязательно Составляется заявителем 15 Заявка на проведение аттестации объектов информатизации Обязательно Составляется заявителем 16 Копии лицензий на право работ по защите информации и копия аттестата аккредитации центра по аттестации Обязательно Предоставляется организацией выполняющей аттестацию 17 Программа и методика аттестационных испытаний Обязательно Составляется организацией выполняющей аттестацию 18 Заключение по результатам аттестационных испытаний Обязательно Составляется организацией выполняющей аттестацию 19 Аттестат соответствия По результатам аттестационных испытаний Выдается организацией выполняющей аттестацию
