litceysel.ru
добавить свой файл
1


«Порядок работ по подготовке и проведению аттестации объектов информатизации (АС)». Требования и рекомендации к оформлению документов»


Основными руководящими документами по подготовке и проведению аттестации объектов информатизации (ОИ) являются:


  • «Положение по аттестации объектов информатизации по требованиям безопасности информации», 1994 г.;

  • «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (СТР), 1997 г.;

  • «Временные методические указания Управлениям Гостехкомиссии России по Федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации», 2002 г.


I этап

  1. Определяется степень секретности обрабатываемой информации.

  2. Определяется состав ОТСС, общесистемные программные средства, предполагаемые к использованию.

  3. Определяется категория объекта с оформлением акта категорирования ОТСС.

  4. Определяется класс защищенности АС с оформлением акта классификации АС по требованиям защиты от НСД к информации.

  5. Определяется технологический процесс обработки информации с оформлением «Описания технологического процесса…»

  6. Определяется необходимость использования имеющихся на рынке сертифицированных СЗИ.

  7. Определяется контролируемая зона (КЗ) с оформлением соответствующего приказа и справки о том, что в пределах КЗ обеспечиваются требования:

      • «Инструкции по обеспечению режима секретности……»;

      • постановлений Правительства РФ….

Указывается наличие и местоположение сторонних организаций.

Определяется минимальное расстояние от ОТСС до границы КЗ.

  1. Анализируются все линии и коммуникации, проходящие в помещении ОИ (электропитания, заземления, трубы системы отопления и водоснабжения, тлф линии, линии охранной и пожарной сигнализации, радиотрансляции и др.) с указанием оконечных устройств и мест их расположения (Напр.: Контур заземления ОТСС расположен у тыльной стороны здания _______ на удалении 11,0 метров от границы КЗ, пульт охранной сигнализации VISTA расположен в помещении охраны на 1-м этаже здания в комн. № 112).


Отдельно выделяются линии, имеющие выход за пределы КЗ.

Демонтируются незадействованные линии, имеющие выход за пределы КЗ.

  1. Окна помещения необходимо оборудовать шторами, жалюзи.

  2. Составляется монтажная схема системы электропитания и заземления в помещении ОИ, с указанием типа проводки (3-х жильная, 2-х жильная) каждого элемента электрооборудования (розеток компьютерной, бытовой сети, ламп освещения и т.д.) и размещения щитов электропитания.

  3. Составляется монтажная схема системы охранной и пожарной сигнализации с указанием названия и типа используемых датчиков.

  4. Производится замер заземляющего устройства ОТСС с оформлением протокола организацией, имеющей соответствующую лицензию (R заз. 4 Ом).

Оформляется справка о местоположении заземляющего устройства ОТСС относительно границ КЗ и подземных коммуникаций, имеющих выход за пределы КЗ.

  1. Оценивается наличие у трансформаторной подстанции, питающей категорированный объект, посторонних потребителей по низкой стороне, расположенных за пределами КЗ.

Отсутствие таких потребителей должно быть подтверждено соответствующей справкой.

  1. Оформляется технический паспорт объекта информатизации.
  2. Отрабатываются документы регламентирующие организацию пропускного и внутриобъектового режима, нормативная документация по защите информации.


  3. Отрабатываются:

  • «Технологическая инструкция администратора безопасности информации автоматизированной системы объекта информатизации…»;

    • «Технологическая инструкция по работе с секретной информацией для пользователей

объекта информатизации…»;

информатизации…»;

  • «Перечень программных средств, используемых в АС объекта информатизации…»;

  • «Инструкция по эксплуатации средств защиты информации на объекте информатизации…»;

  • «Справка об уровне подготовки кадров, обеспечивающих защиту информации на объекте информатизации…» (по ответственным лицам в соответствии с приказом по организации защиты информации);

  • «Матрица доступа пользователей к информационным и программным ресурсам автоматизированной системы объекта информатизации…»;

  • «Инструкция по организации антивирусной защиты в автоматизированной системе

  • объекта информатизации…»;

  • «Инструкция по организации парольной защиты автоматизированной системы объекта информатизации…»;

  • Приказ «Об определении границ контролируемой зоны …»

  • Приказ «По организации защиты информации на объекте информатизации…».

  1. Накопители на жестких магнитных дисках, входящие в состав ОТСС, ставятся на учет в первом отделе.

  2. Вводится процедура опечатывания входной двери и сдачи объекта под охрану в соответствии с требованиями документов, разработанных на предприятии и «Инструкции…. 3-1» .

  3. Подготавливается комплект документации:
    • «Заключение о проведении специальной проверки ОТСС»;


    • «Протоколы специальных исследований ОТСС»;

    • «Протоколы оценки эффективности системы активной защиты»;

    • «Предписание на эксплуатацию ОТСС»;

    • «Акт технической приемки системы защиты информации от НСД»;

    • Сертификаты Гостехкомиссии России на используемые средства защиты информации.

II этап

  1. Заявитель направляет в заявку на проведение аттестации ОИ с необходимыми исходными данными в соответствии с формой, определенной во «Временных методических указаниях Управлениям Гостехкомиссии России по Федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации».

  2. При получении реестра органов по аттестации ОИ требованиям по безопасности информации, Заявитель сообщает письменно о своем выборе в Управление Гостехкомиссии России по федеральному округу.

  3. С получением уведомления о назначении органа по аттестации:

        • заказчик заключает договор на проведение аттестации объекта информазации;

        • создает условия для предварительного ознакомления сотрудников органа по аттестации с аттестуемым объектом;

        • согласует с исполнителем «Программу-методику аттестационных испытаний объекта информатизации на соответствие требованиям по безопасности информации».

  1. Орган по аттестации проводит работы в соответствии с разд. 11 СТР.

  2. Заявителем выполняются необходимые мероприятия и устраняются замечания органа по аттестации.
  3. Материалы аттестационных испытаний направляются органом по аттестации в Управление ФСТЭК по федеральному округу для согласования.


  4. Орган по аттестации согласованные материалы аттестационных испытаний направляет Заявителю.

  5. Заявителю выдается "Аттестат соответствия объекта информатизации требованиям по безопасности информации".

III этап

  1. С получением "Аттестата соответствия…" Заявитель оформляет акт (приказ) о вводе ОИ в эксплуатацию. Номер акта (приказа) и дата регистрации записывается в техническом паспорте (п.1.4).

  2. В соответствии с «Временными методическими указаниями Управлениям Гостехкомиссии России по Федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации», 2002 г. орган по аттестации ежегодно проводит контроль за эксплуатацией аттестованных объектов информатизации. Порядок, сроки, оплата работ, по ежегодному контролю, регламентируется договором между Заказчиком и Исполнителем.

  3. В случае нарушения правил эксплуатации ОИ, технологии обработки защищаемой информации и требований по безопасности информации, отказа Заказчика от заключения договора на проведение ежегодного контроля, Управлением ФСТЭК по федеральному округу по представлению органа по аттестации действие "Аттестата соответствия…" может быть приостановлено или аннулировано.