Выделенные помещения – это помещения, в которых предполагается проведение переговоров, содержащих сведения, составляющие государственную тайну. Очевидно, что такие помещения должны быть хорошо защищены как от прослушивания посторонним человеком, так и от съема акустических сигналов с помощью спецсредств (направленных микрофонов, лазеров, акселерометров и т. д.). Аттестация объектов информатизации, в которых обрабатывается информация, составляющая государственную тайну, (в том числе – выделенных помещений) по требованиям безопасности информации могут осуществлять только те организации, которые имеют аттестат аккредитации органа по аттестации.
Основным показателем защищенности выделенных помещений от утечки речевой информации является коэффициент разборчивости речи. Чем ниже этот коэффициент, тем меньше слов сможет разобрать злоумышленник из перехваченного разговора. Идеальным, но редко применяемым на практике, способом обезопасить помещение от утечки речевой информации является учет необходимых характеристик ограждающих конструкций и инженерных коммуникаций при строительстве. К сожалению, такой способ дорогостоящий и растянут во времени, поэтому в подавляющем большинстве случаев, приходится использовать дополнительные средства защиты (маскирования) речевой информации для обеспечения допустимого значения коэффициента разборчивости речи. Только опытные специалисты с применением современной поверенной аппаратуры могут корректно измерить текущее состояние защищенности выделенного помещения от утечки речевой информации и предложить комплекс организационно-технических мер по устранению выявленных проблем. Помимо акустических каналов утечки информации при аттестации выделенного помещения оцениваются также виброакустический и акустоэлектрический каналы утечки речевой информации.
Виды защищаемых объектов
Объекты критической информационной инфраструктуры (Объекты КИИ)
Что такое «критическая информационная инфраструктура»?
Выделенные помещения (ВП)
Руководителей компаний разных уровней постоянно беспокоят вопросы защиты конфиденциальной информации. Одним из вопросов является обеспечение конфиденциальности переговоров, о содержании которых посторонним лицам знать не обязательно. Перед тем как приступить ко всевозможным мерам защиты, было бы неплохо для себя обрисовать, как выглядит ваш злоумышленник. Потенциально это должен быть человек, который хорошо подготовлен. Он должен знать все пути, с помощью которых может произойти утечка информации во время переговоров. Злоумышленник при этом должен на профессиональном уровне уметь добывать сведения, обладая необходимыми знаниями и оборудованием. Исходя из всего вышесказанного, важно правильно разработать целый комплекс мероприятий, который позволит вам защитить свои переговоры. Самое главное:
При работе с документами ограниченного доступа очень важно организовать соответствующий режим хранения этих документов, доступа к ним и их использования. Помещения, в которых ведутся работы с такими документами и где они хранятся в нерабочее время (в том числе и помещения архива), являются режимными. Наиболее целесообразно эти помещения располагать компактно в основном административном здании организации в зоне размещения кабинетов аппарата руководства. Архивохранилища, если таковые имеются, с учетом перспективы их возрастающей загрузки целесообразно располагать на первых этажах административных зданий. Они в обязательном порядке должны быть обеспечены вентиляцией (принудительной или, по крайней мере, естественной). Режимные помещения должны оборудоваться замками повышенной надежности (с секретом). Для контроля за входом, могут устанавливаться шифрованные и электронные замки, автоматические турникеты, камеры видеонаблюдения. Доступ в помещения, где хранятся документы ограниченного доступа, должен быть строго ограничен.
— руководитель организации, его заместитель (помощник) по режиму;
— начальник режимного отдела (службы безопасности) и его заместитель;
Дайте определение понятию «контролируемая зона». Что может быть признано за границу КЗ? Чем отличается защищаемое помещение от выделенного помещения?
Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных, технических и иных материальных средств.
Границей КЗ могут являться:
— периметр охраняемой территории учреждения (предприятия);
— ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.
Таким образом, КЗ может ограничиваться периметром охраняемой территории частично, охраняемой территорией, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия, частью зданий, комнатой, кабинетом, в которых проводятся закрытые мероприятия.
В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры исключающие или существенно затрудняющие возможность ведения перехвата в этой зоне.
Постоянная контролируемая зона — это зона, границы которой устанавливаются на длительный срок.
Временная контролируемая зона — это зона, устанавливаемая для проведения закрытых мероприятий разового характера.
Выделенные помещения – помещения (служебные кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для обработки речевой информации (обсуждения, совещания, и т.д.), содержащей сведения, составляющие государственную тайну.
4. Сколько и какие классы защищенности установлены для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, отчего они зависят. Каким документом регламентированы требования к обеспечению ЗИ в данных АИС.
Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс – третий, самый высокий – первый.
Порядок определения класса защищенности АСУ
1. Класс защищенности автоматизированной системы управления (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ).
2. Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления.
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)],
где степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом и может быть:
а) высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
б) средней, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации регионального или межмуниципального характера* или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
в) низкой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности.
В случае, если для информации, обрабатываемой в автоматизированной системе управления, не требуется обеспечение одного из свойств безопасности информации (в частности конфиденциальности) уровень значимости (критичности) определятся для двух других свойств безопасности информации (целостности, доступности). В этом случае:
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, не применяется)].
Информация, обрабатываемая в автоматизированной системе управления, имеет высокий уровень значимости (критичности) (УЗ 1), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена высокая степень ущерба.
Информация, обрабатываемая в автоматизированной системе управления, имеет средний уровень значимости (критичности) (УЗ 2), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
Информация, обрабатываемая в автоматизированной системе управления, имеет низкий уровень значимости (критичности) (УЗ 3), если для всех свойств безопасности информации (целостности, доступности, конфиденциальности) определены низкие степени ущерба.
При обработке в автоматизированной системе управления двух и более видов информации (измерительная информация, информация о состоянии процесса) уровень значимости (критичности) информации (УЗ) определяется отдельно для каждого вида информации.
Итоговый уровень значимости (критичности) устанавливается по наивысшим значениям степени возможного ущерба, определенным для целостности, доступности, конфиденциальности каждого вида информации. в соответствии с постановлением Правительства РФ от 21 мая 2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства РФ, 2007, № 22, ст. 2640; 2011, № 21, ст. 2971).
3. Класс защищенности автоматизированной системы управления определяется в соответствии с таблицей:
Уровень значимости (критичности)
информации Класс защищенности автоматизированной системы управления
Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии. Результаты классификации автоматизированной системы управления оформляются актом классификации. Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.
Класс защищенности автоматизированной системы управления (сегмента) подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости (критичности) информации, обрабатываемой в автоматизированной системе управления (сегменте).
Требования к обеспечению ЗИ в данных автоматизированных системах управления регламентируются приказом ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению ЗИ в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций.
Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.
Разделы сайта
ХОРЕВ Анатолий Анатольевич, доктор технических наук, профессор
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации [2].
Объекты информатизации вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации [2].
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации [2].
Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия» [2].
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа к информации, обрабатываемой автоматизированными средствами (в том числе от компьютерных вирусов), и от утечки информации по техническим каналам.
Система аттестации объектов информации по требованиям безопасности информации (далее – система аттестации) является составной частью единой обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке [2].
Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее – федеральный орган по сертификации и аттестации), которым является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) в пределах ее компетенции, определяемой законодательными актами Российской Федерации.
Организационную структуру системы аттестации объектов информатизацииобразуют [2]:
Федеральный орган по сертификации и аттестацииосуществляет следующие функции [2]:
Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации.
Такими органами могут быть отраслевые и региональные организации, предприятия и организации по защите информации, специальные центры ФСТЭК РФ.
Правила аккредитации определяются действующим в системе «Положением об аккредитации испытательных лабораторий и органов по сертификации средств информации по требованиям безопасности информации» для органов по сертификации.
Органы по аттестации [2]:
Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.
Испытательные центры (лаборатории) сертификации продукции по требованиям безопасности информации в соответствии с заказами заявителей проводят испытания несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации» [2].
Расходы по проведению всех работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.
Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам в порядке, установленном федеральным органом по сертификации и аттестации в пределах его компетенции, по согласованию с Министерством финансов Российской Федерации, а при их отсутствии – по договорной цене.
Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации.
Порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации включает следующие действия [2]:
Рассмотрим порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации от утечки по техническим каналам.
Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации, которые включают:
Орган по аттестации в месячный срок рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.
При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному специальному обследованию аттестуемого объекта, проводимые до этапа аттестационных испытаний.
При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
По результатам рассмотрения заявки и анализа исходных данных, а также предварительного специального обследования аттестуемого объекта органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (если не используются типовые методики), определяется состав (количественный и профессиональный) аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров по сертификации средств защиты информации по требованиям безопасности информации [2].
Программа испытаний разрабатывается на основе анализа исходных данных об объекте информатизации и должна включать необходимые виды испытаний, определенные методические рекомендации для соответствующих видов объектов информатизации (выделенные помещения, автоматизированные системы, системы связи и т.д.), а также определять сроки, условия и методики проведения испытаний.
Программа аттестационных испытаний согласовывается с заявителем и может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии.
Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных объектов информатизации.
Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту. В нормативную и методическую документацию включаются только те показатели, характеристики и требования, которые могут быть объективно проверены.
В нормативной и методической документации по методам испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты.
Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование, в них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направлениям защиты информации.
Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации [2].
Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.
Аттестационные испытания предусматривают комплексную проверку защищаемого объекта в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации и проводятся в следующем порядке [1, 2]:
Для проведения испытаний заявитель представляет органу по аттестации следующие исходные данные и документацию:
Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.
Проводится анализ разработанной документации по защите информации с точки зрения полноты и достаточности представленных документов и соответствия их требованиям организационно-распорядительной и нормативно-методической документации.
Проверяется состояние организации работ и выполнения организационно-технических требований по защите информации, оценка правильности категорирования выделенных помещений и объектов информатизации и выбора средств и систем защиты информации.
Проводится оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации.
При проведении специального обследования аттестуемого объекта [1, 2]:
Все выявленные нарушения и недостатки, отступления от проектных решений включаются в заключение по результатам аттестационных испытаний.
При проведении испытаний отдельных несертифицированных средств и систем защиты информации в испытательных центрах по сертификации эти испытания проводятся до аттестационных испытаний объектов информатизации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения и сертификаты органов по сертификации средств защиты информации по требованиям безопасности информации [2].
Наиболее часто в испытательных центрах проводятся сертификационные испытания помехоподавляющих фильтров, систем активной защиты (генераторов шума) и средств защиты ВТСС.
Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием проверенной контрольно-измерительной аппаратуры.
При аттестации объектов информатизации для каждого ТСОИ:
При использовании на объекте информатизации систем активной защиты (САЗ) дополнительно проводятся:
измерения напряженности электромагнитного поля по магнитной Нi(в диапазоне частот 9 кГц – 30 МГц) и электрической Еi(в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемой помеховыми сигналами САЗ;
При аттестации выделенного помещения:
Специальные проверки на наличие возможно внедренных специальных электронных устройств перехвата информации проводятся по решению руководителя предприятия (учреждения, фирмы). Проверке подлежат:
По результатам специальной проверки технических средств по выявлению специальных электронных устройств перехвата информации составляется акт, на основании которого потребителю выдается заключение.
По результатам специальной проверки выделенного помещения оформляется акт с указанием итогов проверки и рекомендаций по защите помещения, который утверждается начальником, организующим проведение специальных проверок. Акт исполняется в двух экземплярах, один из которых отправляется в адрес владельца проверяемого помещения, другой остается в организации, проводившей специальную проверку.
По результатам аттестации оформляются протоколы испытаний и заключение с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
Заключение аттестационной проверки объекта информатизации должно включать:
Заключение аттестационной проверки выделенного помещения должно включать:
В случае если эффективность защиты объекта информатизации или выделенного помещения не соответствует требованиям нормативно-методических документов ФСТЭК РФ, то формулируются предложения по устранению выявленных в ходе аттестации нарушений, сроки и условия представления для повторной аттестации объекта информатизации или выделенного помещения.
Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю [2].
К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
Протокол аттестационных испытаний должен включать:
Протоколы испытаний подписываются экспертами – членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов.
Заключение и протоколы испытаний подлежат утверждению органом по аттестации.
«Аттестат соответствия» на объект информатизации, отвечающий требованиям по безопасности информации, оформляется и выдается органом по аттестации по установленной форме заявителю после утверждения заключения по результатам аттестации [2].
«Аттестат соответствия» подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.
Регистрация «Аттестатов соответствия» осуществляется по отраслевому или территориальному признакам органами по аттестации в целях ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору [2].
Ведение сводных информационных баз аттестованных объектов информатизации осуществляется федеральным органом по сертификации и аттестации или по его поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов.
«Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более, чем на 3 г. [2].
На основании «Аттестата соответствия» на предприятии оформляется приказ (указание, распоряжение) о разрешении обработки (обсуждении) информации ограниченного доступа и назначении лиц, ответственных за эксплуатацию объекта информатизации (выделенного помещения).
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки информации и требований по безопасности информации [2].
С целью своевременного выявления и предотвращения утечки информации по техническим каналам на предприятии проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности предприятия и заключается в оценке:
В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.
При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче «Аттестата соответствия». При этом может быть предложен срок повторной аттестации при условии устранения недостатков.
При наличии замечаний непринципиального характера «Аттестат соответствия» может быть выдан после проверки устранения этих замечаний.
В случае несогласия заявителя с отказом в выдаче «Аттестата соответствия» он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в государственный орган по аттестации с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.
Федеральный орган по сертификации и аттестации может передавать некоторые из своих функций государственного контроля и надзора аккредитованным органам по аттестации.
Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации по аттестации объектов информатизации.
Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль за эксплуатацией аттестованных объектов информатизации [2].
В случае грубых нарушений органом по аттестации требований стандартов или иных нормативных и методических документов по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации по ходатайству вышестоящего органа, проводящего контроль и надзор, перед федеральным органом по сертификации и аттестации [2].
По результатам контроля и надзора за эксплуатацией аттестованных объектов в случае нарушения их владельцами условий функционирования объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации орган, проводивший контроль и надзор, может приостановить или аннулировать действие «Аттестата соответствия», оформив это решение в «Аттестате соответствия» и проинформировав орган, ведущий сводную информационную базу аттестованных объектов информатизации, и федеральный орган по сертификации и аттестации [2].
Решение о приостановлении или аннулировании действия «Аттестата соответствия» принимается в случае, когда в результате оперативного принятия организационно-технических мер не может быть восстановлен требуемый уровень безопасности информации [2].
В случае грубых нарушений органом по аттестации требований стандартов или нормативных документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции, выявленных при контроле и надзоре и приведших к повторной аттестации, расходы по осуществлению контроля и надзора могут быть по решению Госарбитража взысканы с органа по аттестации. Кроме того, и повторная аттестация может быть осуществлена за счет этого органа по аттестации.
Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств госбюджета, выделенных ему в этих целях.
1. Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие. – М.: Горячая линия – Телеком, 2005, с. 416.
2. Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утверждено Председателем Гостехкомиссии России 25.11.1994). – М.: Гостехкомиссия РФ, 1994, с. 22.
