Изначально процедура обязательной аттестации предполагается для объектов информатизации предназначенных для обработки информации, составляющей государственную тайну, управления экологически опасными объектами и ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер и может осуществляться по инициативе заказчика или владельца объекта информатизации – такая формулировка дана в «Положении по аттестации объектов информатизации по требованиям безопасности информации» (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.).
(С течением времени появились нормативные документы определяющие и другие случаи необходимости наличия аттестованных объектов: http://gmimas.blogspot.com/2010/02/blog-post_16.html)
При этом положение закрепляет право проведения аттестации за органами по аттестации аккредитованными Гостехкомиссией (ФСТЭК) России.
С выходом в 2002 году документа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), требования которого в обязательном порядке распространяются на защиту государственных информационных ресурсов (в том числе по аттестации объектов), круг объектов, подлежащих аттестации, расширился. Однако возник вопрос необходимости наличия аттестата аккредитации для осуществления работ по аттестации. По устным высказываниям представителей ФСТЭК России, для выдачи аттестатов соответствия в соответствии с СТР-К достаточно быть лицензиатом ФСТЭК России в области технической защиты конфиденциальной информации (ТЗКИ) (т.е. аккредитация в данном случае не является необходимостью).
С появлением информационных систем персональных данных (ИСПДн) ситуация с аттестацией усугубилась. Несмотря на тот факт, что аттестация таких систем после отмены «4-х книжия» не является обязательной, новая версия закона о ПДн содержит требование об оценке эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн (ст.19, п.2, пп.4). Многие заказчики также предпочитают аттестат в качестве завершающего документа в области приведения в соответствия 152-ФЗ своих информационных систем.
Некоторые лицензиаты в области ТЗКИ не считают возможным выдавать аттестаты соответствия на ИСПДн, а по результатам работ выдают только заключение. По всей видимости, это связано с отсутствием нормативной базы в этой области и мнением о невозможности руководствоваться при проведении работ СТР-К в чистом виде, т.к. документ ориентирован на автоматизированные системы (АС) соответствующих классов, а не на ИСПДн. Другие считают, что ИСПДн помимо класса, определяемого в соответствии с «Порядком проведения классификации…», в обязательном порядке должны классифицироваться и как АС. Такой подход даёт основание выдавать аттестат соответствия с указанием класса АС и при этом указывать о соответствии применяемых методов и способов защиты информации определенному классу ИСПДн (в соответствии с «Положением о методах и способах защиты информации в ИСПДн»). В обязательном порядке необходимо руководствоваться СТР-К в случае, если ИСПДн представляет собой государственный информационный ресурс (при этом юридический статус данного документа оставим за рамками обсуждения).
По большому счету, следует признать, что общие подходы к проведению работ по аттестации различных систем остаются неизменными, это:
Т.о. беря за основу общую методологию проведения работ по аттестации и учитывая специализированную нормативно-методическую документацию, разработанную для того или иного типа систем, можно проводить аттестацию систем различного назначения. В условиях отсутствия документации, более подробно регламентирующей процедуру оценки эффективности принимаемых мер по обеспечению безопасности (оценки соответствия) современных систем, данный подход имеет право на существование.
В заключение хотелось бы отметить, что работы по аттестации предпочтительнее поручать органам по аттестации, так как для многих подобных организаций это одна из основных сфер деятельности, и они дорожат своей репутацией.
Касательно новой нормативной базы в области аттестации - есть основания ожидать её уже в следующем году.
Поживём – увидим!
(С течением времени появились нормативные документы определяющие и другие случаи необходимости наличия аттестованных объектов: http://gmimas.blogspot.com/2010/02/blog-post_16.html)
При этом положение закрепляет право проведения аттестации за органами по аттестации аккредитованными Гостехкомиссией (ФСТЭК) России.
С выходом в 2002 году документа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), требования которого в обязательном порядке распространяются на защиту государственных информационных ресурсов (в том числе по аттестации объектов), круг объектов, подлежащих аттестации, расширился. Однако возник вопрос необходимости наличия аттестата аккредитации для осуществления работ по аттестации. По устным высказываниям представителей ФСТЭК России, для выдачи аттестатов соответствия в соответствии с СТР-К достаточно быть лицензиатом ФСТЭК России в области технической защиты конфиденциальной информации (ТЗКИ) (т.е. аккредитация в данном случае не является необходимостью).
С появлением информационных систем персональных данных (ИСПДн) ситуация с аттестацией усугубилась. Несмотря на тот факт, что аттестация таких систем после отмены «4-х книжия» не является обязательной, новая версия закона о ПДн содержит требование об оценке эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн (ст.19, п.2, пп.4). Многие заказчики также предпочитают аттестат в качестве завершающего документа в области приведения в соответствия 152-ФЗ своих информационных систем.
Некоторые лицензиаты в области ТЗКИ не считают возможным выдавать аттестаты соответствия на ИСПДн, а по результатам работ выдают только заключение. По всей видимости, это связано с отсутствием нормативной базы в этой области и мнением о невозможности руководствоваться при проведении работ СТР-К в чистом виде, т.к. документ ориентирован на автоматизированные системы (АС) соответствующих классов, а не на ИСПДн. Другие считают, что ИСПДн помимо класса, определяемого в соответствии с «Порядком проведения классификации…», в обязательном порядке должны классифицироваться и как АС. Такой подход даёт основание выдавать аттестат соответствия с указанием класса АС и при этом указывать о соответствии применяемых методов и способов защиты информации определенному классу ИСПДн (в соответствии с «Положением о методах и способах защиты информации в ИСПДн»). В обязательном порядке необходимо руководствоваться СТР-К в случае, если ИСПДн представляет собой государственный информационный ресурс (при этом юридический статус данного документа оставим за рамками обсуждения).
По большому счету, следует признать, что общие подходы к проведению работ по аттестации различных систем остаются неизменными, это:
- предварительное ознакомление с аттестуемым объектом;
- разработка и согласование с заказчиком программы и методики аттестационных испытаний;
- анализ и оценка представленных исходных данных и документации по защите информации;
- проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации аттестуемой системы;
- проверка технологии обработки и хранения защищаемой информации;
- проверка состояния организации работ и выполнения организационно-технических требований по защите информации;
- испытания системы на соответствие требованиям по защите информации от НСД (от утечки по каналам ПЭМИН, речевой акустической информации (при актуальности данных каналов));
- анализ результатов и разработка отчетной документации.
Т.о. беря за основу общую методологию проведения работ по аттестации и учитывая специализированную нормативно-методическую документацию, разработанную для того или иного типа систем, можно проводить аттестацию систем различного назначения. В условиях отсутствия документации, более подробно регламентирующей процедуру оценки эффективности принимаемых мер по обеспечению безопасности (оценки соответствия) современных систем, данный подход имеет право на существование.
В заключение хотелось бы отметить, что работы по аттестации предпочтительнее поручать органам по аттестации, так как для многих подобных организаций это одна из основных сфер деятельности, и они дорожат своей репутацией.
Касательно новой нормативной базы в области аттестации - есть основания ожидать её уже в следующем году.
Поживём – увидим!
Комментариев нет:
Отправить комментарий