Особенности проведения АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ по требованиям безопасности информации
Заявка на аттестацию АС Документы, предоставляемые заявителем Подготовка АС к аттестации Особенности аттестации АС Сервисное обслуживание АС Специфика аттестации АС Аттестационные работы
1. Заявка на аттестацию АС Организация-заявитель Орган по аттестации Оформление заявки Подготовка ответного письма Предоставление исходных данных Определение перечня и стоимости работ Утверждение проекта сметы Разработка проекта договора, согласование Утверждение договора Оплата услуг Проведение работ по аттестации АС
2. Заявка на аттестацию АС Организация-заявитель Орган по аттестации Оформление Подготовка - Заявитель направляет в адрес органа аттестации письмо с просьбой заявки ответного письма аттестовать АС по требованиям безопасности. - Письмо должно содержать реквизиты предприятия, в частности Определение перечня Предоставление обратный адрес, номер факса. исходных данных и стоимости работ Утверждение проекта сметы Разработка проекта договора, согласование - Письмо отправляется факсом на номер. . Утверждение договора Оплата услуг Проведение работ по аттестации АС
2. Заявка на аттестацию АС Организация-заявитель Оформление заявки Орган по аттестации Список вопросов Подготовка ответного письма Предоставление исходных данных Определение перечня и стоимости работ Утверждение проекта сметы Разработка проекта договора, согласование Утверждение договора Оплата услуг Проведение работ по аттестации АС
2. Заявка на аттестацию АС Организация-заявитель Оформление заявки Орган по аттестации Подготовка ответного письма Определение перечня Предоставление Заявитель, отвечая на вопросы, предоставляет органу аттестации Исходные и стоимости работ исходных данных исходные данные об объекте информатизации. данные Утверждение проекта сметы Утверждение договора Оплата услуг Разработка проекта договора, согласование Проведение работ по аттестации АС
2. Заявка на аттестацию АС Организация-заявитель Оформление заявки Орган по аттестации Подготовка ответного письма В зависимости от полученной информации об объекте информатизации Определение перечня Предоставление Проект орган аттестации определяет перечень и стоимость работ по и стоимости работ исходных данных сметы аттестации АС. Высылает заявителю проект сметы для согласования. Утверждение проекта сметы Утверждение договора Оплата услуг Утверждение сметы Разработка проекта договора, согласование Проведение работ по аттестации АС
2. Заявка на аттестацию АС Организация-заявитель Орган по аттестации Оформление заявки Подготовка ответного письма Предоставление исходных данных Определение перечня и стоимости работ После утверждения Заявителем сметы орган аттестации Утверждение Разработка проекта сметы разрабатывает проект договора и отправляет его Заявителю для проекта договора, согласование согласования. Договор Утверждение договора Оплата услуг Проведение работ по аттестации АС
2. Заявка на аттестацию АС Организация-заявитель Орган по аттестации Оформление заявки Подготовка ответного письма Предоставление исходных данных Определение перечня и стоимости работ Утверждение проекта сметы Разработка проекта договора, согласование После подписания договора с обеих сторон и оплаты заказчиком Утверждение договора орган аттестации проводит работы согласно календарному плану. Проведение договора Оплата услуг работ по аттестации АС
2. Документы, предоставляемые заявителем к моменту аттестации АС Технический паспорт на АС АС, должен содержать: Технический паспорт на n Описание технологического процесса обработки q Состав технических и программных средств, входящих в информации на АС; n Перечень защищаемых в АС ресурсов с документальным q Состав и схемы размещения средств защиты информации; подтверждением степени конфиденциальности каждого q Планы размещения ОТСС и ВТСС; ресурса; План контролируемой зоны объекта; nq Организационно-распорядительная документация разрешительной системы доступа к q Схемы прокладки линий передачи данных; персонала защищаемым ресурсам АС; q Схемы и характеристики систем электропитания и n заземления объекта Акт классификации АС по требованиям безопасности информации; n Акты категорирования объектов ВТ; n Технологические инструкции пользователям АС и администратору безопасности информации; n Инструкции по эксплуатации средств защиты информации; n
2. Документы, предоставляемые заявителем к моменту аттестации АС n n n n n Предписания на эксплуатацию СВТ; Протоколы стендовых специальных исследований СВТ; Данные по уровню подготовки кадров, обеспечивающих защиту информации; Заключения о специальной проверке СВТ; Нормативная и методическая документация по защите информации и контролю её эффективности; Сертификаты соответствия требованиям безопасности на программные и технические СВТ, используемые средства защиты; Данные о техническом обеспечении средствами контроля эффективности защиты информации; Инструкция по антивирусной защите; Инструкция по организации парольной защиты;
2. Документы, предоставляемые заявителем к моменту аттестации АС n n Список лиц постоянно работающих в комнате с АС, а также лиц постоянно не работающих, но привлекаемых для различных работ; Инструкция по обеспечению режима секретности работ, проводимых на ПЭВМ.
3. Дополнительные работы, выполняемые органом по аттестации, по подготовке АС к аттестации n Организация проведения спецпроверки ПЭВМ АС Организация, имеющая лицензию на спецпроверку
3. Дополнительные работы, выполняемые органом по аттестации, по подготовке АС к аттестации n n n Организация проведения спецпроверки ПЭВМ Проведение лабораторных специсследований ПЭВМ Поставка, установка и настройка аппаратно-программного средства защиты информации от НСД. Поставка и установка генератора шума (При необходимости, по результатам лабораторных специсследований ПЭВМ). Разработка проекта пакета предварительных документов, указанных п. 2. (При наличии затруднения при их оформлении у заявителя).
4. Аттестационные работы, выполняемые органом по аттестации n n n Предварительное обследование АС Разработка программы и методики аттестационных испытаний АС и согласование ее с Заказчиком. Объектовые специсследования АС, в том числе: - оценка эффективности защищенности информации от утечки по каналу побочных электромагнитных излучений (эфир); -оценка эффективности защищенности информации от утечки по каналам побочных электромагнитных наводок. Оценка эффективности защищенности информации от утечки по каналу НСД Разработка и предъявление Заказчику комплекта аттестационных документов по аттестации АС.
5. Специфика аттестации АС n n n n Специальная проверка ОТСС делается один раз на весь срок службы. Необходимое условие - ежегодный контроль защищенности информации. Техническое обслуживание (ремонт, сервисное обслуживание) ОТСС может осуществляться только организациями лицензиатами. Использование не лицензионных программных продуктов запрещено законом. Если нарушается целостность наклеек организаций, проводивших спецпроверку и аттестацию, то действие аттестата соответствия прекращается. Желательно, чтобы ПЭВМ, на базе которых создают аттестованную АС, имела гарантию на срок действия аттестата соответствия, т. е три года. Использование материально и морально устаревшей ПЭВМ может обернутся большими затратами для Заявителя, т. к. такая техника зачастую имеет большой уровень ПЭМИ, что требует покупку дополнительного СЗИ, кроме того изношенная техника может потребовать ремонта в течение срока действия аттестата соответствия.
5. Специфика аттестации АС n Если покупка ПЭВМ, спецпроверка ОТСС и аттестация АС проводится в разных организациях и городах, то это тоже может увеличить расходы Заявителя на эксплуатацию аттестованной АС.
Сервисное обслуживание АС
Сервисное обслуживание АС Годовой контроль АС Устранение неисправности ОТСС Устранение неисправности программного обеспечения СЗИ от НСД Устранение неисправности аппаратной части СЗИ Изменение состава ВТСС и коммуникаций на объекте ВТ Изменение матрицы доступа (добавление, удаление пользователей) Изменение состава программного обеспечения Работы, связанные с потерей пароля администратора безопасности Изменение состава ОТСС
Сервисное обслуживание АС Годовой контроль АС Предварительное обследование АС Объектовые специсследования АС Оценка эффективности защиты по каналу ПЭМИ (эфир) Оценка эффективности защиты по каналам побочных электромагнитных наводок Оценка эффективности защиты по каналу НСД Разработка и сдача Заказчику комплекта документов по годовому контролю
Сервисное обслуживание АС Устранение неисправности ОТСС (изменение состава ОТСС) n ии ац из н га ку ор ер от ов е пр ти ц ы пе я кр с ел вс ей ит а ш ав н ив ст ие од ед и ен в пр ци ш ро и та ре п ви ес аз ст тт Р ут а ис по пр а в ган ор р ск е ти ы n В n Предварительное обследование АС, диагностика неисправности с последующим предъявлением счета Заказчику на приобретение компонентов ПЭВМ взамен неисправных Разработка программы и методики аттестационных испытаний АС и согласование ее с Заказчиком Объектовые специсследования АС: - оценка эффективности защиты по каналу ПЭМИ (эфир) - оценка эффективности защиты по каналам побочных электромагнитных наводок Оценка эффективности защиты по каналу НСД Разработка и сдача Заказчику комплекта аттестационных документов по аттестации АС Организация проведения спецпроверки замененного узла ПЭВМ Проведение лабораторных специсследований ПЭВМ Исправление внутренних документов Заказчика на объект информатизации n n n
Сервисное обслуживание АС Устранение неисправности программного обеспечения СЗИ от НСД n Предварительное обследование АС, диагностика неисправности СЗИ от НСД n Установка и настройка аппаратно-программного СЗИ от НСД
Сервисное обслуживание АС Устранение неисправности аппаратной части СЗИ Ш Предварительное обследование АС, диагностика неисправности СЗИ Ш Поставка СЗИ Ш Установка и настройка СЗИ Ш Проверка эффективности СЗИ Ш Внесение изменений в комплект аттестационных документов по аттестации АС Ш Исправление внутренних документов Заказчика на объект информатизации Для вскрытия системного блока АС, необходимо получить разрешение от организации проводившей спецпроверку Вскрытие в присутствии представителя органа по аттестации
Сервисное обслуживание АС Изменение состава ВТСС и коммуникаций на объекте ВТ Ш Оценка эффективности защищенности информации от утечки по каналам побочных электромагнитных наводок Ш Внесение изменений в комплект аттестационных документов по аттестации АС Ш Исправление внутренних документов Заказчика на объект информатизации
Сервисное обслуживание АС Изменение матрицы доступа их н а н н и ре ка и ут чи ац вн аз тиз к ие За ма ен в ор вл то ф ра ен ин сп м т И ку ек до бъ о Ш Предварительное обследование АС Ш Настройка СЗИ от НСД Изменение состава программного обеспечения Ш Сопровождение СЗИ от НСД в момент обновления программного обеспечения АС, в том числе настройка СЗИ от НСД Внесение изменений в комплект аттестационных документов ор от е й ти е ы вш кр ди вс во у а о к н пр ер ие ии ов ен ц пр ш за ец ре ни сп аз га Р Работы, связанные с потерей пароля администратора безопасности Ш Ш Ш Отключение СЗИ от НСД Сохранение информации и переустановка программного обеспечения Установка и настройка СЗИ от НСД
Особенности аттестации ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ по требованиям безопасности информации
Заявка на аттестацию ВП Документы, предоставляемые заявителем Подготовка ВП к аттестации Особенности аттестации ВП Сервисное обслуживание ВП Специфика аттестации ВП Аттестационные работы
1. Заявка на аттестацию ВП Организация-заявитель Орган по аттестации Оформление заявки Подготовка ответного письма Предоставление исходных данных Определение перечня и стоимости работ Утверждение проекта сметы Разработка проекта договора, согласование Утверждение договора Оплата услуг Проведение работ по аттестации ВП
1. Заявка на аттестацию ВП Организация-заявитель Орган по аттестации - Заявитель направляет в адрес органа аттестации письмо с просьбой Оформление Подготовка аттестовать ВП по требованиям безопасности. заявки ответного письма - Письмо должно содержать реквизиты предприятия, в частности обратный адрес, номер факса. Определение перечня Предоставление исходных данных - Письмо отправляется факсом на номер Утверждение проекта сметы Утверждение договора Оплата услуг и стоимости работ (843) 295 -33 -55. Разработка проекта договора, согласование Проведение работ по аттестации ВП
1. Заявка на аттестацию ВП Организация-заявитель Орган по аттестации Оформление В ответ на письмо орган аттестации отсылает список вопросов Подготовка заявки ответного работ необходимых для составления проекта сметы на проведениеписьма по Список вопросов аттестации ВП. Предоставление исходных данных Определение перечня и стоимости работ Утверждение проекта сметы Разработка проекта договора, согласование Утверждение договора Оплата услуг Проведение работ по аттестации ВП
1. Заявка на аттестацию ВП Организация-заявитель Оформление заявки Орган по аттестации Подготовка ответного письма Определение перечня Предоставление Заявитель, отвечая на вопросы, предоставляет органу аттестации Исходные и стоимости работ исходных данных исходные данные об объекте информатизации. данные Утверждение проекта сметы Утверждение договора Оплата услуг Разработка проекта договора, согласование Проведение работ по аттестации ВП
1. Заявка на аттестацию ВП Организация-заявитель Оформление заявки Орган по аттестации Подготовка ответного письма В зависимости от полученной информации об объекте информатизации Определение перечня Предоставление Проект орган аттестации определяет перечень и стоимость работ по и стоимости работ исходных данных сметы аттестации ВП. Высылает заявителю проект сметы для согласования. Утверждение проекта сметы Утверждение договора Оплата услуг Утверждение сметы Разработка проекта договора, согласование Проведение работ по аттестации ВП
1. Заявка на аттестацию ВП Организация-заявитель Орган по аттестации Оформление заявки Подготовка ответного письма Предоставление исходных данных Определение перечня и стоимости работ После утверждения Заявителем сметы орган аттестации Утверждение Разработка проекта сметы разрабатывает проект договора и отправляет его Заявителю для проекта договора, согласование согласования. Договор Утверждение договора Оплата услуг Проведение работ по аттестации ВП
1. Заявка на аттестацию ВП Организация-заявитель Орган по аттестации Оформление заявки Подготовка ответного письма Предоставление исходных данных Определение перечня и стоимости работ Утверждение проекта сметы Разработка проекта договора, согласование После подписания договора с обеих сторон и оплаты заказчиком Утверждение договора орган аттестации проводит работы согласно календарному плану. Проведение договора Оплата услуг работ по аттестации ВП
2. Документы, предоставляемые заявителем к моменту аттестации ВП Технический паспорт на ВП; Технический паспорт на ВП, должен содержать: n Акт категорирования ВП; n Перечень режима секретности и Ш Памятка по обеспечениюустановленного в выделенном оборудования эксплуатации ВТСС, мебель, сувениры и т. д. с обязательным помещении: ОТСС, оборудования, установленного в ВП; n Инструкции по эксплуатации средств указанием заводских или инвентарных номеров. защиты информации; Ш Применяемые технические средства защиты (средства защиты n Сертификаты соответствия требованиям телефонных линий, средства вибро-акустической защиты и т. д. ). безопасности на используемые средства защиты; Ш Список лиц постоянно работающих в комнате с ВП, а Применяемые организационные меры защиты. n Ш также лиц размещения ОТССдля различных временных План-схема привлекаемых и ВТСС. Ш работ; План-схема размещения средств защиты информации (при их n Данные по уровню подготовки кадров, наличии). обеспечивающих защиту информации; Ш План контролируемой зоны предприятия с указанием n Нормативная и методическая документация по местоположения выделенного помещения. защите информации и контролю её эффективности; Ш Данные о техническом обеспечении средствами Схемы прокладки линий передачи данных. n Ш контроля эффективности защиты информации. Схемы прокладки линий электропитания и заземления. n
3. Дополнительные работы, выполняемые органом по аттестации, по подготовке ВП к аттестации n Организация проведения спецпроверки ВТСС иностранного производства. ВП Организация, имеющая лицензию на спецпроверку
3. Дополнительные работы, выполняемые органом по аттестации, по подготовке ВП к аттестации n n Организация проведения спецпроверки ВТСС иностранного производства. Поставка, монтаж и настройка СВАЗ. Поставка, установка защиты телефонных линий. Разработка проекта пакета предварительных документов, указанных п. 2. (При наличии затруднения при их оформлении у заявителя).
4. Аттестационные работы, выполняемые органом по аттестации n n n Предварительное обследование ВП Разработка программы и методики аттестационных испытаний ВП и согласование ее с Заказчиком. Специальные исследования ВТСС Инструментальная проверка звукоизолирующих свойств ограждающих конструкций ВП, их систем СВЧ-печи Фототехника Средства ВТ Датчики вентиляции и кондиционирования Инструментальная проверка виброизолирующих свойств ограждающих конструкций ВП, инженернотехнических коммуникации, проходящих через ВП Разработка и предъявление Заказчику комплекта и документов по аттестации ВП аттестационныхдругие технические средства
5. Специфика аттестации ВП n n n Специальная проверка ВТСС делается один раз на весь срок службы. Специальная проверка ВП делается по указанию руководителя организации-заявителя. Необходимое условие действия аттестата ежегодный контроль защищенности информации. Техническое обслуживание (ремонт, сервисное обслуживание) СЗИ может осуществляться только организациями лицензиатами. Если нарушается целостность наклеек организаций, проводивших спецпроверку, то действие аттестата соответствия прекращается.
6. Сервисное обслуживание ВП Работы по годовому контролю ВП: Годовой контроль Ш Предварительное обследование ВП; Ш Разработка программы и методики аттестационных испытаний ВП и согласование ее с Заказчиком; Ш Специальные исследования ВТСС; Сервисное Ш Инструментальная проверка звукоизолирующих свойств обслуживание ограждающих конструкций ВП; ВП Ш Инструментальная проверка виброизолирующих свойств ограждающих конструкций ВП; Работы Устранение при изменении неисправности Ш Разработка и сдача Заказчику комплекта документов по состава ВТСС СЗИ годовому контролю ВП.
6. Сервисное обслуживание ВП Работы по устранению неисправности СЗИ, Годовой установленной на ВП: контроль Ш Предварительное обследование ВП, диагностика неисправности. Ш Поставка СВАЗ "Соната-АВ"; Ш Демонтаж неисправного, монтаж и настройка нового СВАЗ "Соната-АВ" модель 1 Б; Сервисное Ш Инструментальная проверка звукоизолирующих свойств обслуживание ограждающих конструкций ВП; ВП Ш Инструментальная проверка виброизолирующих свойств ограждающих конструкций ВП; Работы Устранение при изменении неисправности Ш Внесение изменений в комплект аттестационных документов по состава ВТСС СЗИ аттестации ВП; Ш Исправление внутренних документов Заказчика на объект информатизации.
6. Сервисное обслуживание ВП Годовой контроль проводимые при изменении Работы, состава и расположения ВТСС, установленного в ВП: Ш Организация проведения спецпроверки ВТСС иностранного производства на отсутствие электронных средств перехвата Сервисное информации; обслуживание Ш Специальные исследования ВТСС; ВП Ш Внесение изменений в комплект аттестационных документов по аттестации ВП; Работы Устранение Ш Исправление внутренних документов Заказчика на объект при изменении неисправности состава ВТСС СЗИ информатизации.
Скачать презентацию Особенности проведения АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ по требованиям безопасности
Особенности проведения АТТЕСТАЦИИ (2).ppt