Порядок проведения аттестации объектов информатизации по требованиям безопасности информации.
ФЗ № 24 -ФЗ, 1995 «ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ» СТ. 21 подлежит любая ЗАЩИТЕ документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Виды объектов информатизации Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения переговоров, содержащих информацию ограниченного доступа.
Виды объектов информатизации Автоматизированные системы Выделенные помещения Системы связи, отображения и размножения документов
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с требованиями нормативных и методических документов ФСТЭК России. Ответственность за обеспечение требований по технической защите информации возлагается на руководителей организаций, эксплуатирующих объекты информатизации.
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Акустическое излучение речевого сигнала;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Акустоэлектрические сигналы (микрофонный эффект): Средства защиты МП-1 А-Ц МП-2 МП-4; 5 МП-3 ГРАНЬ-300 Корунд
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Виброакустический канал утечки: - ограждающие, строительные конструкции (стены, полы, потолки, перекрытия); - окна; - системы водо-, теплоснабжения;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Акустическое и виброаккустический канал; Средства защиты Средства разведки Лазер Шорох -2 Направленный микрофон разведчика НМ-СН головной. Система защиты помещений по виброакустическому каналу SEL SP-51/A VNG-006 D
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Несанкционированный доступ к информации, обрабатываемой в автоматизированной системе и несанкционированные действия с ней; Средства защиты информации
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Хищение технических средств с хранящейся в них информацией или носителей информации;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ ОПАСНО ВИРУС Воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ линия связи Побочные электромагнитные излучения информативных сигналов от технических средств и линий передачи информации; Электромагнитное излучение
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы контролируемой зоны;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ ПЭМИН Средства защиты ГШ(К)- 1000 М линия связи Средства контроля ST 031 Р "Пиранья" Анализаторы спектра ГШ- 1000 М Фильтры питания
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Паразитная генерация в узлах (элементах) технических средств (телевизоры, радиоприемники, факсы);
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Специально внедренные электронные устройства перехвата информации;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Линия связи Радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Специально внедренные электронные устройства перехвата информации; Средства разведки МИКРОПЕРЕДАТЧИКИ НА ТЕЛЕФОННУЮ ЛИНИЮ РАДИОМИКРОФОН НА ОБЫЧНЫЙ FM ПРИЕМНИК Радиопередатчики Микрорадиомикрофоны Размер с фильтр сигареты РАДИОМИКРОФОН - ТАБЛЕТКА С АРУ
Специально внедренные электронные устройства перехвата информации
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Специально внедренные электронные устройства перехвата информации; Средства поиска Средства защиты ST 031 Р и 032 "Пиранья" АККОРД-200 Нелинейный локатор Подавитель сотовых телефонов Мозаика ЦИКАДА-М Подавитель диктофонов БАРСЕТКА
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Прослушивание телефонных и радиопереговоров; Линия связи
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ Съем информации с её носителей с помощью средств визуальнооптической и оптикоэлектронной разведки;
ОСНОВНЫЕ НАПРАВЛЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ Обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД и специальных воздействий Обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России. «Положение по аттестации ОИ по требованиям безопасности информации» , 1994 г.
НОРМАТИВНЫЕ ДОКУМЕНТЫ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим каналам» . Постановление Правительства Российской Федерации от 15. 09. 1993 г. № 912 -51. (Положение 93) «Положение о сертификации средств защиты информации» . Постановление Правительства Российской Федерации от 26. 06. 1995 г. № 608. «Положение об аттестации объектов информатизации по требованиям безопасности информации» . Утверждено приказом Председателя Гостехкомиссии России 25. 10. 1994 г. «Специальные требования и рекомендации по защите государственной тайны от утечки по техническим каналам» . Решение Гостехкомиссии России от 23. 05. 1997 г. № 55. (СТР-97)
НОРМАТИВНЫЕ ДОКУМЕНТЫ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ «Специальные требования и рекомендации по защите конфиденциальной информации» . Приказ Гостехкомиссии России от 30. 08. 2002 г. № 282. (СТР-К) «Временные методические указания управлениям Гостехкомиссии России по федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации» . Утверждены Председателем Гостехкомиссии России 21. 07. 2002 г. Требования государственных стандартов Российской Федерации (ГОСТ Р 51583 -2000)
НОРМАТИВНЫЕ ДОКУМЕНТЫ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ Типовое положение об органе по аттестации объектов информа тизации по требованиям безопасности информатизации. Решение Председателя Гостехкомиссии России от 25. 11. 94 Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации. Решение Председателя Гостехкомиссии России от 25. 11. 94 «Инструкция по обеспечению режима секретности в Российской Федерации» Утверждена постановлением Правительства РФ 05. 01. 04 № 3 -1
Руководителю управления ФСТЭК России по ______ федеральному округу _________________ (адрес) ПОРЯДОК АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ З А Я В К А на проведение аттестации объекта информатизации 1. _____________________________________ Управление ФСТЭК России по Приволжскому ФО (наименование заявителя с указанием его адреса, контактных телефонов и ответственных лиц) просит провести аттестацию _________________________________ (наименование объекта информатизации) на соответствие требованиям по безопасности информации. 2. Необходимые исходные данные по аттестуемому объекту информатизации прилагаются. 3. Заявитель готов предоставить необходимые документы и условия для проведения аттестации. 4. Заявитель согласен на договорной основе оплатить расходы по всем видам работ и услуг по аттестации указанного в данной заявке объекта информатизации. 5. Дополнительные условия или сведения для договора: 5. 1. Предварительное ознакомление с аттестуемым объектом прошу провести в период ___________________________ 5. 2. Аттестационные испытания объекта информатики прошу провести в период ________________________________ 5. 3. Испытания несертифицированных средств (систем) защиты информации_____________________________ (наименование средств и систем) планируется провести в испытательных центрах (лабораториях) ___________________________________ (наименование испытательных центров (или предлагается провести непосредственно на аттестуемом объекте) в период ___________________________________ Должность руководителя (Фамилия и инициалы) организации-заявителя (подпись) М. П. _____(дата) Заявка на проведение аттестации ОИ Организация-заявитель Орган по аттестации
Приложение к заявке Исходные данные по аттестуемому объекту информатизации (готовятся на основе следующего перечня вопросов) n n n n 1. Полное и точное наименование объекта информатизации и его назначение. 2. Характер информации (научно-техническая, производственная, финансовая, экономическая и т. п. ) и уровень секретности обрабатываемой информации определен ________________________ (указываются регламентирующие документы - государственные, отраслевые, ведомственные, предприятия). 3. Организационная структура объекта информатизации. 4. Перечень помещений, состав комплекса основных и вспомогательных технических средств объекта информатизации. 5. Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны. 6. Структура общесистемного и прикладного программного обеспечения, используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией. 7. Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации. 8. Наличие и характер взаимодействия с другими объектами информатизации. 9. Состав и структура системы защиты информации на аттестуемом объекте информатизации. 10. Перечень технических и программных средств, выполненных в защищенном исполнении, средств защиты информации и контроля ее защищенности, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат. 11. Сведения о разработчиках системы защиты информации, наличие у разработчиков соответствующих лицензий. 12. Наличие на объекте информатизации (в организации, которой принадлежит объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных). 13. Наличие и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся ее носители). 14. Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.
ПОРЯДОК АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Управление ФСТЭК России по Приволжскому ФО Уведомление Перечень органов по о проведении аттестации ОИ Организация-заявитель Предписание на проведение аттестации ОИ Орган по аттестации
УВЕДОМЛЕНИЕ О ПРОВЕДЕНИИ АТТЕСТАЦИИ ПРЕДПИСАНИЕ НА ПРОВЕДЕНИЕ АТТЕСТАЦИИ
ПОРЯДОК АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Управление ФСТЭК России по Приволжскому ФО q Предварительное ознакомление с аттестуемым объектом информатизации; Организация-заявитель Орган по аттестации
ДОКУМЕНТЫ ПРЕДСТАВЛЯЕМЫЕ ОРГАНИЗАЦИЕЙ-ЗАЯВИТЕЛЕМ ДЛЯ ПРОВЕДЕНИЯ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ. 1. 2. 3. 4. 5. 6. Техническое задание (ТЗ) на объект информатизации (ОИ). Технический паспорт на ОИ. Приемо-сдаточная документация на ОИ. Акты категорирования выделенных помещений (ВП) и технических средств и систем (ТСС). Акт классификации автоматизированных систем (АС) по требованиям защиты информации (ЗИ). Состав технических и программных средств, входящих в АС (или технических средств (ТС), расположенных в ВП). 7. Планы размещения основных технических средств и систем (ОТСС) и вспомогательных технических средств и систем (ВТСС). 8. Состав и схемы размещения средств защиты информации (СЗИ). 9. План контролируемой зоны (КЗ) предприятия. 10. Схемы прокладки линий передачи данных. 11. Схемы и характеристики систем электропитания и заземления ОИ. 12. Перечень защищаемых в АС ресурсов с документальным подтверждением степени секретности каждого ресурса (или максимальной степени секретности обсуждаемых в ВП вопросов). 13. Организационно распорядительная документация разрешительной степени доступа персонала к защищаемым ресурсам АС (обсуждаемым вопросам). 14. Описание технологического процесса обработки информации в АС. 15. Технологические инструкции пользователям АС и администратору безопасности информации. 16. Инструкции по эксплуатации СЗИ. 17. Предписание на эксплуатацию ТСС. 18. Протоколы спец. исследований ТСС. 19. Акты или заключения о спец. проверке ВП и ТС. 20. Сертификаты соответствия требованиям по безопасности информации на средства и системы обработки и передачи информации, используемые СЗИ. 21. Данные по уровню подготовки кадров, обеспечивающих ЗИ. 22. Данные о техническом обеспечении средствами контроля эффективности ЗИ и их метрологической поверке. 23. Нормативную и методическую документацию по ЗИ и контролю эффективности защиты. 20 Пакет включающий более документов
• Программа аттестационных испытаний, включающая перечень работ и их ПОРЯДОК продолжительность, перечень используемых утвержденных методик, АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ перечень используемой контрольной аппаратуры и средств тестирования на ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ аттестуемом объекте информатизации; Управление • Методики испытаний, необходимые для испытаний технических и программных средств на объекте информатизации (при необходимости); ФСТЭК России по Приволжскому ФО • Мероприятия по контролю состояния защищенности информации и условий эксплуатации объекта информатизации в процессе его эксплуатации (эти мероприятия могут включаться в программу аттестационных испытаний). Разработка необходимых для проведения аттестации документов; Организация-заявитель Орган по аттестации
ТИПОВОЕ СОДЕРЖАНИЕ ПРОГРАММЫ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ Порядок проведения инспекторского надзора эксплуатации ОИ Привлекаемые сторонние организации – испытательные центры (лаборатории) Порядок подготовки и оформления отчетной документации Объекты испытаний Программа и методики аттестационных испытаний Цели и задачи испытаний Условия, порядок и продолжительность проведения аттестации Методы проверок и испытаний Методики испытаний Используемая контрольно -измерительная аппаратура и тестовые средства Перечень выполняемых проверок и испытаний
ПОРЯДОК АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Управление ФСТЭК России по Приволжскому ФО АТТЕСТАЦИЯ Заключение договора ОИ Организация-заявитель Орган по аттестации
ПОРЯДОК АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Управление ФСТЭК России по Приволжскому ФО Материалы должны включать: Согласование 1. Протоколы аттестационных материалов испытаний (ПЭМИН, акустика, Материалы по результатам НСД); аттестации ОИ 2. Заключение по результатам аттестационных испытаний; Организация-заявитель 3. Аттестат соответствия. Орган по аттестации
срок действия – 3 года
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
ПОРЯДОК ПРОВЕДЕНИЯ ИНСПЕКТОРСКОГО КОНТРОЛЯ ЗА ЭКСПЛУАТАЦИЕЙ ОБЪЕКТА ИНФОРМАТИЗАЦИИ Орган по аттестации Управление ФСТЭК России по Приволжскому ФО В соответствии с программой и методикой атт. испытаний, договора на аттестацию объекта работ по контролю, п. 5. 2. 3; 1. 17; 3. 23; п. 3. 9 пр. 6 СТР Заключение по результатам контроля эффективности ЗИ с приложением Протоколов контроля эффективности ЗИ В соответствии с планом основных работ по контролю Объект информатизации Акт проверки деятельности лицензиата
РАССМОТРЕНИЕ АПЕЛЛЯЦИИ n Решение по апелляции принимается не позднее 30 дней с момента регистрации обращения. Решение принимается на основании экспертизы материалов аттестационных испытаний.
Скачать презентацию Порядок проведения аттестации объектов информатизации по требованиям
Презентация по аттестации ОИ. Казань.ppt