Аттестация объектов информатизации (ОИ)

Процедура аттестации включает совокупность мероприятий, направленных на удостоверение соответствия объектов информатизации (ОИ) критериям безопасности информации. Это позволяет предотвратить утечки конфиденциальной информации и другие риски, связанные с неправомерным доступом к данным. Итогом ее проведения является выдача аттестата соответствия требованиям по защите информации.

Компания УЦ ПРОФИ предлагает полный комплекс работ по аттестации объектов информатизации: создание модели угроз, установку и настройку СЗИ, проведение опытной эксплуатации и разработку необходимой документации. Работаем с информацией ограниченного доступа, не составляющей государственную тайну по приказу ФСТЭК № 77 от 29.04.2021 г.

Что такое аттестация объектов информатизации

Порядок проведения данной процедуры определяет «Положение по аттестации объектов информатизации по требованиям безопасности информации», утвержденное председателем Гостехкомиссии России 25 ноября 1994 г. (Положение Гостехкомиссии).

В рамках аттестационных работ осуществляется комплекс мероприятий, таких как аудит безопасности, исследование уязвимостей, оценивание рисков. Они позволяют выявить уязвимости в объектах информатизации, определить результативность принимаемых способов защиты информации, установить связь между предпринятыми мерами безопасности и актуальными угрозами.

Объект информатизации

ГОСТ Р 51275-2006 определяет его как совокупность ресурсов, технологий и инфраструктуры для обработки данных, которые используются в соответствии с определенной информационной стратегией, средств их обеспечения, местонахождения и помещений, где они размещены, или специальных комнат для проведения конфиденциальных переговоров. Исходя из этого определения объекты информатизации можно разделить на 2 вида:

• защищаемые помещения;
• компьютерные системы, к которым относятся информационные системы (ИС), сети, другое технологическое оборудование, которое обрабатывает, хранит и передает информацию.

Регулятор

Согласно законодательства Российской Федерации - это Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК). Его полномочия определены законодательными актами и содержат широкий спектр задач по сертификации средств защиты информации (СЗИ) и аттестации объектов информатизации

Объекты информатизации, подлежащие аттестации

Различают два вида определения степени соответствия стандартам безопасности информации:

• обязательная - проводится для объектов информатизации, которые требуют контроля и регулирования по защите информации со стороны государства;
• добровольная – обычно применяется для коммерческих проектов, где сами владельцы или операторы ИС заинтересованы в подтверждении факта защиты информации. Она используется для повышения доверия со стороны клиентов и партнеров.

Согласно Положению Гостехкомиссии аттестация в обязательном порядке проводится для объектов информатизации, использующихся для:

• работы с гостайной;
• управления экологически опасными объектами;
• проведения мероприятий с ограниченным доступом.

С момента выхода Положения Гостехкомиссии прошло много времени, и набор объектов информатизации, требующих обязательного свидетельства степени защиты, значительно расширился. Теперь в него добавлены:

• государственные (ГИС) и муниципальные информационные системы (МИС), в т. ч. включающие персональные данные (ПДн);
• ИС госучреждений, обрабатывающие служебную информацию.

Порядок аттестации

Различные виды объектов информатизации требуют индивидуального подхода к защите.  Правила выполнения работ по аттестации ОИ определяют:

• Приказ ФСТЭК России от 28 сентября 2020 г. № 110 – устанавливает последовательность осуществления работ для объектов информатизации, содержащих гостайну.
• Приказ ФСТЭК от 29 апреля 2021 г. № 77 направлен на:
  • ГИС и МИС (в т.ч. ПДн);
  • ИС оборонно-промышленного комплекса (ОПК);
  • защиту помещений;
  • значимые объекты критической информационной инфраструктуры (ЗОКИИ).

Подготовка к аттестации

Чтобы обеспечить надежную защиту информации и успешно пройти аттестацию, объект информатизации необходимо подготовить. Процесс подготовки состоит из следующих этапов:

Подготовка документации

Процесс начинается с разработки приказов, стратегий обеспечения безопасности информации, классификации ИС в соответствии с установленными стандартами. Далее следует создание модели угроз и потенциального нарушителя для более глубокого анализа уязвимостей.

Техническое задание

Оно должно содержать детальное описание критериев безопасности и определять все требования и нормы выполнения работ по защите информации. В нём детализируются компоненты проверки, критерии оценки безопасности информационных систем, перечень технических документов и ожидаемых результатов.

Выбор СЗИ

При выборе сертифицированных технических средств необходимо учитывать класс информационной системы. При их закупке нужно проверить, что они входят в реестр сертифицированных СЗИ. Это обеспечит соответствие ОИ критериям безопасности и установленному уровню защиты данных.

Установка и настройка СЗИ

Этап содержит тестирование и разработку разнообразной документации, включая технические проекты и акты проверки средств защиты информации.

Опытная эксплуатация

После завершения всех процедур предыдущих этапов, необходимо провести самостоятельную проверку работоспособности системы и ее защиты. Это позволит выявить возможные недочеты в безопасности и проблемы в работе системы или убедиться, что все функции СЗИ работают корректно и эффективно.

Когда ОИ успешно прошел испытания и доказал свою надежность в процессе эксплуатации, можно приступать к аттестации. Этот этап засвидетельствует соответствие системы требованиям безопасности и ее готовность к реальной работе.

Орган по аттестации

Для проведения аттестационных процедур требуется привлечение специализированной компании, которая должна иметь лицензию на проведение работ по технической защите информации. Лицензия выдается ФСТЭК и позволяет проводить проверку соответствия критериям безопасности и аттестацию ОИ.

Компания УЦ ПРОФИ обладает всей необходимой разрешительной документацией, профессионально и в сжатые сроки осуществляет аттестацию объектов информатизации различных видов с выдачей аттестатов соответствия установленного образца.

Этапы аттестации

Аттестации ОИ проходит в определенном порядке:

1. Орган по аттестации формирует комиссию из числа своих сотрудников.
2. Владелец ОИ предоставляет в комиссию разработанную документацию для изучения.
3. Орган по аттестации подготавливает программу и методику аттестационных испытаний и утверждает ее у заказчика. Программа включает оценку соответствия техническим требованиям, проверку защищённости информации от неправомерного доступа и анализ устойчивости работы системы защиты в различных условиях.
4. Следующим шагом идут непосредственно аттестационные испытания, в ходе которых безопасность ОИ подвергается проверке по различным критериям. Специалисты анализируют алгоритмы работы программ, проверяют отказоустойчивость систем и оценивают эффективность механизмов шифрования. Важной частью является тестирование возможных уязвимостей и разработка рекомендаций по их устранению.
5. После тестирования и оценивания, выводы экспертов фиксируются в протоколе испытаний и заключении, которое становится основанием для принятия решения о соответствии ОИ требованиям безопасности.

Заключение по результатам аттестации

После завершения этапов комиссия, опираясь на заключение, отображающего степень соответствия ОИ критериям безопасности, подводит итоги. Если работы завершены успешно - выдается аттестат соответствия, подтверждающий, что ОИ отвечает всем нормативам и стандартам по защите информации. Полученный аттестат дает право вводить объект информатизации в промышленную эксплуатацию.

Преимущества обращения в УЦ ПРОФИ

Являясь партнерами ведущих отечественных вендоров, поможем в выборе и поставке СЗИ, которые обеспечат оптимальную защиту информации. УЦ ПРОФИ обладает лицензиями ФСБ и ФСТЭК России и гарантирует, что решение, которое вы получите, будет соответствовать всем стандартам защиты информации и классу ОИ вашей компании.