Что такое специальная проверка объекта информатизации
Специальные проверки и специальные исследования
Оборудование, используемое в работе со сведениями, составляющими государственную тайну или устанавливаемое в помещениях, где циркулирует информация, содержащая государственную тайну, должно проходить специальную проверку и специальные исследования, с целью обнаружения возможно внедренных электронных устройств негласного получения информации и выявления технических каналов утечки информации, составляющей государственную тайну.
Специальные проверки и специальные исследования технических средств являются необходимым этапом подготовки к аттестации объектов информатизации на соответствие требованиям информационной безопасности.
Спецпроверки
Специальная проверка – это комплекс мероприятий, проводимых для исключения вероятности перехвата, искажения или уничтожения информации, составляющей гостайну, с помощью внедренных в технические средства электронных закладочных устройств:
Специальной проверке подлежат основные технические средства и системы (ОТСС) и вспомогательные технические средства и системы (ВТСС).
К ОТСС относятся технические средства и системы, непосредственно используемые для обработки информации, составляющей государственную тайну:
ВТСС составляют технические средства и системы, прямо не предназначенные для обработки информации, составляющей гостайну, но устанавливаемые совместно с ОТСС или в защищаемых помещениях:
Спецпроверки, специсследования, аттестация объектов информатизации
Растущие в электронной форме информационные потоки и повсеместное использование мобильных компьютеров, миниатюрных накопительных устройств и незащищённых стандартных форматов электронных документов создают обстановку беспечности и пренебрежения сохранностью информации со стороны ответственных лиц. Между тем, во всём мире ущерб от злонамеренной кражи информации или беспечности ответственных лиц ежегодно достигает сотен миллионов долларов. Осознавая важность защиты конфиденциальной информации, защиты государственной тайны, а также принимая во внимание миниатюризацию специальных технических средств, которые дают возможность негласного снятия информации с компьютера, многие ищут возможность обезопасить себя и изучают возможности поиска закладных устройств. Очевидно, что достаточно много людей, обладающих соответствующей квалификацией, способны за вознаграждение или в личных интересах осуществлять перехват конфиденциальной информации в условиях, когда техника поставляется из негарантированных источников и её контролю уделяется недопустимо мало внимания.
ЗАО НИИ ЦПС является единственной в тверском регионе организацией, которая может выполнить проверку оборудования на соответствующем уровне и аттестовать объекты информатизации в соответствии с требованиями специальных органов (в т.ч. спецпроверку ФСБ). Лаборатория безопасности обеспечена серьезной материально-технической базой ЗАО НИИ ЦПС, включая производственную основу и разработчиков. Для лаборатории специально построено и оборудовано соответствующее помещение, отвечающее всем нормативным требованиям. Правомочность данного вида деятельности подтверждается лицензиями и сертификатами.
Кроме того, в разделе нашего сайта разработка и производство аппаратно-программных средств защиты информации от несанкционированного доступа можно ознакомиться с предлагаемыми контроллерами и АПКЗИ производства ЗАО НИИ ЦПС.
Для того, чтобы задать вопрос или заказать исследование, можно воспользоваться формой обратной связи. В течение рабочего дня наши специалисты свяжутся с вами.
Как обнаружить утечку информации
Именно поэтому специальные проверки и спецобследования должны проводить специалисты организаций, имеющих лицензии уполномоченных органов. ЗАО НИИ ЦПС имеет соответствующие лицензии на основные виды деятельности по защите информации. Профессионализм проявляется также в высоком уровне качества работ и квалификации сотрудников, подтвержденном соответствующими сертификатами.
Объекты информатизации вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.
Обязательна аттестация объектов информатизации, предназначенных для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации.
Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия».
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа к информации, обрабатываемой автоматизированными средствами (в том числе от компьютерных вирусов), и от утечки информации по техническим каналам.
ВИДЫ И СОДЕРЖАНИЕ РАБОТ
Наши специалисты осуществляют специальные проверки и специальные исследования с использованием современной контрольно-измерительной аппаратуры, включая сертифицированные ФСТЭК России автоматизированные комплексы контроля защищённости.
Оборудование, которое используется для данного направления деятельности, включает приборы и программно-аппаратные комплексы для измерения ЭМП и ЭМИ, акустических и виброакустических измерений, измерительные генераторы сигналов, стационарный рентгенотелевизионный комплекс с рабочим полем преобразователя 390х490 мм., портативный селективный металлодетектор, измеритель спектра вторичных полей «NR-µ» и другие приборы.
Специальная проверка состоит из следующих этапов:
При специальных исследованиях проводятся следующие виды работ:
КТО МОЖЕТ К НАМ ОБРАТИТЬСЯ
Работы по защите информации актуальны и рекомендованы для любой государственной, негосударственной или коммерческой структуры, в информационном обмене которой циркулируют сведения, содержащие конфиденциальную информацию. Если же такая информация содержит персональные данные, служебную тайну, а также государственную тайну, то мероприятия по защите государственной тайны на таких объектах обязательно.
Организация может оставить заявку и заключить договор с ЗАО НИИ ЦПС на проведение специальных проверок, проектирование и аттестацию спецобъектов. Мы реализуем комплексный подход в проектировании, создании и аттестации объектов информатизации. Надёжность решений обеспечивается поставкой на объекты современных сертифицированных систем, осуществлением силами наших сотрудников всех работ, включая монтаж, ввод в эксплуатацию защищённых объектов и сопровождение в течение всего срока эксплуатации.
Основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроль и надзор за аттестацией и эксплуатацией аттестуемых объектов информатизации устанавливает «Положение по аттестации объектов информации по требованиям безопасности информации», утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.
Система аттестации объектов информации по требованиям безопасности информации является составной частью единой обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.
Правомочность данного вида деятельности ЗАО НИИ ЦПС подтверждается сертификатами ФСТЭК. Для того, чтобы задать вопрос или получить консультацию, заказать исследование, можно воспользоваться формой обратной связи. В течение рабочего дня наши специалисты свяжутся с вами.
Защита информации
АО «ЦентрИнформ» специализируется на комплексных решениях по обеспечению информационной безопасности объектов органов государственной власти и коммерческих организаций. Нашими специалистами накоплен ценный практический опыт в области предоставления услуг по защите информации: от постановки задачи до внедрения решения.
Среди наших заказчиков: ФНС России, НПО «Аврора», ОАО «Мегафон», ОАО «Северо-Западный Телеком».
Защита персональных данных
Cогласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» все юридические и физические лица, использующие в своей деятельности персональные данные, должны осуществить мероприятия по их защите.
Аттестация объектов информатизации, специальные проверки и специальные исследования
Утечка информации, содержащей сведения ограниченного распространения, может нанести существенный ущерб как государственным, так и коммерческим предприятиям и организациям.
С целью обеспечения безопасности информационных ресурсов, составляющих государственную и коммерческую тайну, создания системы защиты информации от утечки по техническим каналам и выполнения требований по безопасности информации на объекте, предприятие оказывает следующие услуги:
Подготовка объектов информатизации (выделенных помещений и объектов вычислительной техники) к аттестационным испытаниям проводится с целью приведения их в соответствие с требованиями по безопасности информации, регламентированными требованиями действующего законодательства, нормативно – методическими документами ФСТЭК России.
При подготовке объектов информатизации к аттестационным испытаниям специалистами АО «ЦентрИнформ» проводятся следующие работы:
Аттестация объектов информатизации — это целый комплекс организационно-технических мероприятий, в ходе которых проводится многоплановая проверка объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия требуемому уровню защищенности информации от утечки по техническим каналам.
В соответствии с требованиями действующих в РФ нормативных документов, обработка сведений составляющих государственную тайну, разрешается только при наличии на объекте информатизации действующего Аттестата соответствия, который дает право обрабатывать информацию с соответствующим уровнем секретности.
Объектами информатизации, подлежащими аттестации по требованиям безопасности информации в соответствии с требованиями действующих в Российской Федерации нормативных документов являются автоматизированные системы, предназначенные для обработки информации, составляющей государственную тайну, служебной информации ограниченного распространения, а также помещения для ведения переговоров по вопросам, содержащим сведения, составляющие государственную тайну или служебную информацию ограниченного распространения.
При аттестации объектов информатизации специалисты АО «ЦентрИнформ» выполняют полный комплекс работ, связанный с аттестацией объектов информатизации, включая обследование объектов информатизации, специальные исследования и специальные проверки технических средств, установку и настройку программно-аппаратных средств защиты информации от несанкционированного доступа (СЗИ от НСД), разработку организационно-распорядительных документов на объект информатизации.
Реализуется комплексный подход в проектировании, создании, защите и аттестации объектов информатизации в интересах государственных органов и коммерческих структур. Надёжность решений обеспечивается поставкой на объекты современных средств защиты информации, сертифицированных в системе Сертификации ФСТЭК, осуществлением силами наших сотрудников всех работ, включая монтаж, ввод в эксплуатацию защищённых объектов и сопровождение аттестованных объектов информатизации в течение всего срока эксплуатации.
Специалисты АО «ЦентрИнформ» выполняют работы по проведению специальных проверок (СП) технических средств и специальных обследований помещений (СО) на всей территории Российской Федерации в интересах органов государственной власти, предприятий, организаций и учреждений различных форм собственности.
Проведение СП и СО является сложным организационно-техническим мероприятием, требующим не только применения дорогостоящей поисковой аппаратуры, но и значительного опыта персонала, выполняющего проверку. Наличие современного поискового оборудования и высококвалифицированных специалистов позволяет АО «ЦентрИнформ» оперативно и качественно выполнять работы по проведению СП и СО.
Ограждающие конструкции и инженерно-технические коммуникации помещений являются техническими каналами утечки акустической речевой информации, которые необходимо выявить и устранить при проведении объектовых СИ выделенных помещений.
Полученная с помощью специальной аппаратуры информация конфиденциального характера, в комплексе с данными других разведывательных мероприятий, может принести ощутимый вред деятельности Вашей организации.
Разработка политики информационной безопасности
Комплексный подход к проблеме обеспечения безопасности основан на разработке политики безопасности. Политика безопасности представляет собой набор норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в автоматизированной системе обработки информации. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.
Специалисты АО «ЦентрИнформ» готовы разработать под конкретного заказчика политику безопасности, которая будет носить индивидуальный характер в зависимости от конкретной технологии обработки информации и используемых программных и технических средств.
Создание системы защиты информации Заказчика: от постановки задачи до внедрения
Опыт взаимодействия с разработчиками сертифицированных средств защиты информации и высокая квалификация наших специалистов позволяют:
Консультационные услуги по лицензированию в области защиты информации
Организации, использующие шифровальные средства в различных системах электронного документооборота, осуществляют деятельность, подлежащую лицензированию.
АО «ЦентрИнформ» оказывает консультационные услуги по получению лицензий на следующие виды деятельности:
Специалисты выполняют весь комплекс работ, необходимых соискателю для получения лицензий на деятельность в области защиты информации:
Что такое специальная проверка объекта информатизации
Быстрая информация
Сфера деятельности Группы компаний «СпецПроект», основанной в 2008 году, — защита информации. Мы оказываем услуги в создании или совершенствовании системы защиты информации ограниченного распространения, в том числе сведений, составляющих государственную тайну.
Контакты
Информационная безопасность
Возник вопрос по услуге?
Специальные проверки и специальные исследования технических средств. Специальные обследования помещений
Мы проводим специальные обследования помещений, специальные проверки и специальные исследования (СП и СИ) технических средств, оборудования, электронно-компонентной базы иностранного и совместного производства в интересах российских компаний. СП и СИ технических средств являются необходимым этапом подготовки к аттестации объектов информатизации на соответствие требованиям безопасности.
ООО «ЦЗИ «Флагман» также осуществляет подбор и поставку технических средств с проведёнными СП и СИ.
СПЕЦПРОВЕРКА
Специальная проверка технических средств проводится с целью выявления и изъятия закладных устройств для негласного получения секретной информации. Эта процедура обязательна для устройств, предназначенных для использования на объектах, работающих со сведениями, составляющими государственную тайну.
Как мы решаем Вашу задачу:
Проводим комплекс инженерно-технических мероприятий с использованием современного контрольно-измерительного оборудования для выявления закладных устройств с целью исключения перехвата информации.
Что вы получаете в результате:
СПЕЦИССЛЕДОВАНИЕ
Специальное исследование (СИ) объекта защиты информации проводится с целью выявления возможных технических каналов утечки информации.
Как мы решаем Вашу задачу:
Проводим инструментальную оценку возможности утечки защищаемой информации по каналам:
Что вы получаете в результате:
СПЕЦОБСЛЕДОВАНИЕ
Специальное обследование помещений проводится с целью поиска и выявления электронных закладных устройств перехвата информации в ограждающих конструкциях, мебели и предметах интерьера помещения.
Как мы решаем Вашу задачу:
Что вы получаете в результате:
Заключение о результатах проведения специального обследования.
Аттестация объектов информатизации
Аттестация объектов информатизации: методики проведения, нюансы и лайфхаки
Постоянное совершенствование методов несанкционированного доступа к информации, а также значительный ущерб от такого рода действий привели к целенаправленному и систематическому совершенствованию технологий обеспечения информационной безопасности и механизмов реагирования. Для некоторых объектов информатизации оценка защищенности и соответствия их установленным законом требованиям происходит путем аттестации.
Зачастую термин «аттестация» истолковывается неверно: под этим определением многие подразумевают подготовку/защиту информационной системы, либо аттестационные испытания. Аттестация характеризуется рядом мероприятий, после прохождения которых выдаётся документ – «Аттестат соответствия». Он является документарным доказательством, подтверждающим, что ваша система имеет полное соответствие действующим правилам и стандартам в сфере безопасности информации. Кроме того, аттестация может быть добровольной, при выполнении которой можно руководствоваться требованиями заявителя.
Чтобы понимать принципы и порядок проведения аттестации, в первую очередь, следует рассмотреть документы, направленные на сам процесс аттестации (положения, стандарты), а также внимательно изучить требования ФСТЭК для соответствующего типа объекта информатизации.
В области проведения аттестации, касающейся объектов информатизации, действует ряд актов нормативного характера. К таким нормативным актам относится «Положение по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. и «ГОСТ РО 0043-003-2012 Аттестация объектов информатизации. Общие положения» от 17.04.2012 г.
При проведении проверки оформляется ряд документов по аттестационным испытаниям, а именно программа и методики.
Оценка соответствия подразумевает определение соответствия всех применяемых средств защиты объекта. Среди прочего, учитываются и его эксплуатационные условия.
Кому может понадобиться?
Действующими на территории РФ нормативными актами определено, что аттестация может быть как добровольный, так и обязательной. Последняя необходима в следующих случаях:
• При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).
• При обработке информация, которая относится к информации ограниченного доступа (для коммерческой тайны – обязательных аттестационных испытаний нет).
• Если системы используются для управления объектами, представляющими экологическую опасность.
• Для лицензирующей деятельности, которая касается предоставления лицензий.
Остальные случаи не требуют обязательной аттестации: её можно провести добровольно. Для этого следует обратиться в организацию, производящий такую аттестацию, и заключить с ним соответствующий договор. Обычно основной целью добровольной аттестации выступает получение официального документа, подтверждающего полное соответствие уровня систем и средств защиты информации существующим стандартам.
Важно помнить, что ИС разных типов и классов должны соответствовать разным требованиям. Несоблюдение соответственных требований может повлечь за собой ответственность. Действующее законодательство подразумевает разный спектр санкций в этом вопросе. В некоторых случаях это штрафы, в других возможна и уголовная ответственность.
Порой случаются недоразумения, когда информационную систему по ошибке причисляют к ГИСам. Это приводит к применению излишних мер зашиты системы. Чтобы избежать такой ошибки, стоит проводить следующие действия:
• Выяснить, существует ли нормативный акт, требующий создания ИС.
• Проверить, создается ли она с целью обмена информацией или для реализации полномочий госоргана. Цель создания может быть также определена ФЗ.
• Определить, является ли информационное наполнение документированной информация, предоставляемой физлицами, организациями, госорганам или органами местного самоуправления.
Аттестация ГИС: подготовка, порядок действий, нововведения
Начать рассмотрение вопроса аттестации государственных информационных систем (ГИС) нужно с Постановления Правительства РФ № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
Следующие действия предполагают создание технического проекта и эксплуатационной документации на СЗИ, при надобности проводится макетирование и тестирование такой системы. Техпроект должен состоять из документов, определенных соответствующими ГОСТами, либо документов, определенных Заказчиком в ТЗ.
В ходе практической части работ закупаются (с последующей установкой и настройкой) средства защиты информации и проводится ряд сопутствующих мероприятий. Так, должна быть разработана документация организационно-распорядительного характера, реализованы меры защиты информации, определены уязвимости ГИС. Завершается этот этап предварительными испытаниями, опытной эксплуатацией, приемочными испытаниями СЗИ.
На завершающем этапе оценивается организационно-распорядительная, эксплуатационная документация и условия работы ГИС, анализируются ее уязвимости и испытывается СЗИ. Процесс и результаты отображаются в соответствующих документах: программе, методике и протоколе испытаний, заключении и аттестате соответствия.
Определение класса ГИС
ГИС присваивается один из трех классов защищенности, основанных на масштабе ГИС и важности информации, которая в ней обрабатывается.
Готовимся к аттестации
Остановимся подробнее на важных моментах подготовки к аттестации ГИС, придерживаясь описанной выше схемы.
Итак. Начать рассмотрение вопроса нужно с обследования ГИС, по итогу которого составляется акт. Далее определяются требования к защите информации с утверждением техзадания.
На стадии проектирования разрабатывается частный техпроект и эксплуатационная документация (как использовать средства защиты информации в зависимости от роли пользователя) на СЗИ в составе ГИС, макетируется и тестируется СЗИ (предполагается использование тестового стенда, средств защиты и моделирования реальных условий эксплуатации ГИС).
Продолжаем мероприятия согласно порядку. Закупаются (плюс установка и настройка) сертифицированные СЗИ, формируется пакет документации организационно-распорядительного характера (по защите информации и режимным мерам), осуществляются организационные мероприятия по защите информации. Также надо проанализировать уязвимости ГИС, на базе этого составляется программа, методика, протокол и заключение испытаний. Ну а дальше черед предварительных испытаний, опытной эксплуатации и приемочных испытаний СЗИ в составе ГИС.
Обращаем ваше внимание на некоторые новшества приказа ФСТЭК №17 :
• Обязательная «сертифицированность» средств защиты, в т.ч. маршрутизаторы.
• Должностные лица, проектировавшие и внедрявшие СЗИ, не имеют права проводить аттестацию.
• Перечень классов защищенности СЗИ ограничиваются только тремя.
• Любой класс СЗИ требует принятия мер защиты информации.
• Необходимо использовать банк данных угроз (bdu.fstec.ru). Соответственно, отсутствие уязвимостей из названного банка необходимо подтверждать во время аттестационных испытаний ГИС.
Выбор техсредств защиты ГИС
Зная класс защищенности ГИС, можно выбрать класс СЗИ для применения. Например, если имеется 3 класс защищенности, тогда требуются средства защиты информации 6 класса, а средства вычислительной техники – не ниже 5 класса (п. 26 приказа ФСТЭК №17).
Искать средства защиты следует в реестре сертифицированных средств защиты информации. Условия поиска: схема сертификации «Серия», сертификат действующий. Выбор должен диктоваться ИТ-архитектурой ГИС и выводами из технического проекта на создание СЗИ ГИС.
Для того, чтобы найти средства защиты, сертифицированные по новым требованиям, можно ввести в строку поиска определенные сокращения:
• ИТ.МЭ. для межсетевых экранов.
• ИТ.СДЗ. для средств доверенной загрузки.
• ИТ.САВЗ. для антивирусных средств защиты.
• ИТ.ОС. для операционных систем.
• ИТ.СОВ. для систем обнаружения вторжений.
• ИТ.СКН. для средств контроля носителей информации.
Аттестация КИИ: порядок, тонкости и лайфхаки
Перво-наперво субъекту КИИ требуется классифицировать объекты КИИ, разработать систему безопасности и следить за ее работой. Среди прочего, нужно обеспечить работу спецсредств по обнаружению/предупреждению/ликвидации результатов компьютерных атак. И если такие случаи будут иметь место, то сразу сообщать о них в уполномоченный орган исполнительной власти. К слову, его представителям надо будет обеспечивать свободный доступ, оказывать помощь в ликвидации «взломов» и выявлении их причин.
Дорожну карту по выполнению ФЗ-187 можете найти здесь!
Что требует Закон
Закон о безопасности КИИ (187-ФЗ ) не установил четкие требования относительно аттестации объектов критической информационной инфраструктуры согласно требованиям [ФСТЭК] безопасности информации. Так, в ст. 12 и 13 говорится о проведении проверок выполнения требований нормативных актов, об оценке информации с объектов КИИ, анализе компьютерных атак, прогнозе влияния на остальные объекты КИИ.
Необходимость проведения оценки защищенности объекта КИИ в формате аттестации согласно требованиям безопасности информации отображена лишь в тексте приказа ФСТЭК № 239 от 25.12.2017. Там сказано: когда объект КИИ – ГИС, то оценка его защищенности проводится в виде аттестации по нормам приказа ФСТЭК № 17 от 11.02.2013. Остальные ситуации предполагают, что аттестацию можно проводить по желанию субъекта КИИ.
Каким образом соответствовать требованиям?
Субъект КИИ должен отправить в ФСТЭК перечень объектов КИИ, в уполномоченный федеральный орган – форму категорирования объекта КИИ ( приказ ФСТЭК № 236 от 22.12.2017). Названный орган проверит полученные сведения и внесет объект КИИ в реестр (срок 30 дней).
Когда объект КИИ эксплуатируется, владельцу нужно обеспечить безопасность информации: анализировать угрозы, планировать мероприятия защиты и противодействия, реагировать на атаки, обучать персонал.
На что обратить внимание?
Направляя в ФСТЭК список объектов КИИ, желательно воспользоваться ее рекомендациями (Информационное сообщение № 240/25/3752 ФСТЭК от 24.08.2018) для быстрого принятия решения и включения в реестр.
Стоит упомянуть о возможности использования результатов предшествующей аттестации согласно приказу ФСТЭК № 17, что значительно снизит сложность подготовительных работ, а также стоимость приобретения средств защиты.
В ситуации с критической информационной инфраструктурой, моделируя угрозы, следует использовать базовую модель угроз и методику определения актуальных угроз безопасности информации в ключевых системах информинфраструктуры, утвержденные ФСТЭК 18.05.2007. С другой стороны, необходимо соблюдать приказы ФСТЭК №№ 235, 239 при условии, когда объект критической информационной инфраструктуры – автоматизированная система управления технологическими процессами.
Сложности подготовки
Если объект категорирован неверно, уполномоченный федеральный орган может отказаться регистрировать его в реестре КИИ. А без подтверждения о правильности категорирования и внесения в реестр КИИ официально начинать работы по защите (подготовке) объекта КИИ нельзя. Отказ может последовать и в том случае, если будут предоставлены неполные или неточные сведения об объекте.
Кроме того, необходимо внедрить множество программных и программно-аппаратных систем защиты информации, что требует наличие соответствующей компетенции обслуживающего персонала при внедрении и дальнейшем сопровождении этих систем.
Очередности осуществления мероприятий относительно подготовки к аттестации КИИ выглядит следующим образом:
Когда техзадание на создание подсистемы безопасности уже разработано, нужна подготовка модели угроз безопасности информации, проекта подсистемы безопасности, рабочая (эксплуатационная) документация на нее.
Далее следуют практические шаги: реализация организационных и технических мер по обеспечению безопасности объекта и введению его в эксплуатацию. Субъекту КИИ предстоит закупка и установка средств защиты информации, разработка соответствующей документации, проведение испытаний подсистемы безопасности с анализом уязвимостей.
А когда подготовка объекта КИИ будет полностью завершена, к проведению аттестации привлекается лицензиат ФСТЭК.
Аттестации АСУ ТП: на что обратить внимание
В целом порядок аттестации состоит из таких этапов:
• изучение объекта в предварительном порядке;
• создание методик и программы испытаний для него;
• непосредственно испытание объекта;
• проведения оформления, регистрации и последующая выдача документа о прохождении аттестации.
Во время испытаний проводится разработка следующих аттестационных документов:
• программы, а также методики проведения испытаний;
• создание протокола аттестации;
• заключения, которое создаётся по результатам прохождения аттестации;
• сам аттестат соответствия.
Насколько обоснованы устоявшиеся мнения по вопросу аттестации по принципу типовых сегментов?
Как обычно и бывает, процесс аттестации по принципу типовых сегментов воспринимается большинством людей однобоко, и общее впечатление о нем основано на устоявшихся мнениях, растиражированных во многих публикациях в интернете.
Но насколько верны умозаключения их авторов? И есть ли реальное обоснование этим мнениям? Об этом читайте дальше.
Мнение «Для аттестации всех информсистем можно по принципу типовых сегментов воспользоваться единственным аттестатом»
Это звучит реально и выполнимо, но несколько странно. Все становится на свои места после ознакомления с пунктом 17.3 Приказа Федеральной службы по техническому и экспортному контролю РФ № 17 от 11.02.2013 и ГОСТ РО 0043-003-2012
Согласно приказу, в сегментах информсистемы, на которые распространяется аттестат соответствия, (…) обеспечивается соблюдение эксплуатационной документации на систему защиты информации информсистемы и организационно-распорядительных документов по защите информации.
Таким образом, «документации» надо охватить все (то есть любые) ОИ, а это нереально. Кто и как сможет разработать документацию, охватывающую различные требования государственных регуляторов, всевозможные процессы обработки информации, да и разные типы информации, которую требуется защитить? Никто и никак.
Вопрос риторический, а озвученное мнение не выдерживает никакой критики.
Мнение «Применяться типовые сегменты могут лишь для государственных информсистем»
Хотя в названии приказа ФСТЭК России слово «государственный» использовано два раза, мнение неверно.
Чтобы в этом убедиться, достаточно ознакомиться с пунктом 7 Приказа, согласно которому требования могут применяться для защиты информации, содержащейся в негосударственных информсистемах. Кроме того, ГОСТ РО 0043-003-2012 уже в своем названии говорит про аттестацию объектов информатизации, не ограничиваясь только государственными.
Мнение «Единожды полученный аттестат, согласно принципу типовых сегментов, может быть распространен на всё»
Если бы это мнение соответствовало действительности, то жизнь была бы проще. Рассмотрим несколько теоретических ситуаций для большей наглядности.
Когда аттестат получен на серверную часть, а после возникла необходимость аттестовать автоматизированное рабочее место (РМ) или несколько, то имеющийся аттестат для этого не подходит.
Вспоминаем пункт 17.3, согласно которому «допускается аттестация информсистемы на основе результатов аттестационных испытаний выделенного набора сегментов информсистемы, реализующих полную технологию обработки информации». В описанной ситуации отсутствуют аттестованные автоматизированные РМ, зато присутствует новая технология обработки.
Следующая ситуация. Даже когда аттестат касается серверной части, каналов связи, автоматизированного РМ, нельзя распространить его, к примеру, на ноутбук. Последний, хоть и аналог аттестованного ранее компьютера, является переносным устройством с более широким ресурсом подключений, отсутствующим в автоматизированном РМ, а значит не соответствует сегменту информсистемы, по отношению к которому проводились испытания, к тому же для них не определены одинаковые классы защищенности, угрозы безопасности информации, не осуществлены одинаковые проектные решения по информсистеме.
Следующий случай. В компании создано несколько информсистем: первая посвящена работникам, вторая – клиентам, третья – еще чему-то. Так вот, имея одну аттестованную информсистему, расширить сертификат на остальные не выйдет. Причина раскрывается в Приказе: различные проектные решения по информсистеме и ее системе защиты исключают соответствие одного сегмента иному сегменту, по отношению к которому проводились аттестационные испытания.
Значит, перед аттестацией нужно сделать масштабную подготовку, чтобы заранее предусмотреть разумный максимум вариаций типовых сегментов, потом же соответствующим образом подготовить документацию.
Мнение «В проектной документации на систему защиты требуется описание типовых сегментов»
Такой подход имеет право на жизнь и реально в ней встречается. Однако. Описание типовых сегментов в проектной документации невозможно будет изменить после проведения аттестации, а потому при частичной замене (модернизации) оборудования сегменты не будут типовыми, а это влечет проведение повторного аттестационного испытания. Отсюда простой вывод – не стоит описывать типовые сегменты в проектной документации. Но вот предварительно решить в органе аттестации вопрос наличия в аттестационной документации пункта о допустимости распространения аттестата на типовые сегменты совсем не лишне.
Мнение «Аттестация по типовым сегментам не одобряется Федеральной службой»
Есть несколько вариаций этого заблуждения, но их все объединяет отсутствие примеров из практики. И обратное доказывается очень легко: ФСТЭК постоянно популяризирует аттестацию по принципу типовых сегментов, именно ее нормативные акты используются в этой процедуре.
Мнение «Аттестующий орган отвечает за распространение аттестата на типовые сегменты, полностью или частично не соответствующие требованиям»
За распространение аттестата на типовые сегменты, не отвечающие требованиям, ответственность несет. оператор информсистемы. Уровень качества самих аттестационных испытаний – сфера ответственности аттестующего органа.
Мнение «Привлечение лицензиата обязательно, поэтому типовые сегменты бесполезны»
Ну что тут сказать? Это устойчивое заблуждение, которое опровергается только множеством примеров обратного.
Если оператор информсистемы может сделать всю необходимую подготовительную работу, то лицензиат однозначно не нужен. Именно при использовании типовых сегментов оператор может сократить расходы, ведь тогда отсутствует нужда в осуществлении полномасштабного аттестационного испытания, написании проектной документации про систему защиты информации, а также не требуется разработка дополнительной модели угроз.
Мнение «Лишь одни и те же технические элементы могут использоваться в типовых сегментах»
Сторонники этого мнения утверждают, что для аттестации по принципу типовых сегментов критично полное соответствие технических средств (вплоть до совпадения серийников оборудования). Это явное заблуждение можно было бы оставить без комментариев, но все же разъясним.
Технические средства не вечны, более того, их срок службы обычно сильно ограничен, поэтому ситуация с заменой вышедшего из строя оборудования не редкость.
Нормативная база не требует от техники, используемой в типовых сегментах, полной идентичности, а лишь: одного класса защищенности, одних угроз безопасности, проектных решений по информсистеме.
Мнение «Модель угроз следует прописывать для каждого подключаемого типового сегмента»
Сегменты, согласно пункту 17.3 Приказа, оттого и являются типовыми, что имеют одни угрозы безопасности информации. Это автоматически опровергает вышеуказанное утверждение.
Мнение «Не обязательно указывать в техпаспорте на информсистему информацию о подключаемых типовых сегментах»
Правильно сформулировать эту позицию таким образом: «Информация о подключаемых типовых сегментах находит свое отображение или в техпаспорте информсистемы, или в техпаспорте типового сегмента».