1. Место информационной безопасности в системе национальной безопасности
Скачать 453.88 Kb.
|
Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Для поиска новых вирусов используются алгоритмы эвристического сканирования, т. е. анализа последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то антивирусная программа выдает сообщение о возможном заражении объекта. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf. Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: - попытки коррекции файлов с расширениями COM, EXE; - изменение атрибутов файла; - прямая запись на диск по абсолютному адресу; - запись в загрузочные сектора диска; - загрузка резидентной программы. При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS. Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер). Антивирусный монитор запускается автоматически при старте операционной системы и работает в качестве фонового системного процесса, проверяя на вредоносность совершаемые другими программами действия. Основная задача антивирусного монитора состоит в обеспечении максимальной защиты от вредоносных программ при минимальном замедлении работы компьютера. Антивирусный сканер запускается по заранее выбранному расписанию или в произвольный момент пользователем. Антивирусный сканер производит поиск вредоносных программ в оперативной памяти, а также на жестких и сетевых дисках компьютера. К недостаткам современных антивирусных программ можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов (в настоящее время десятках тысяч), что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов. Межсетевой экран. Межсетевой экран (брандмауэр) — это программное или аппаратное обеспечение, которое проверяет информацию, входящую в компьютер из локальной сети или Интернета, а затем либо отклоняет ее, либо пропускает в компьютер, в зависимости от параметров брандмауэра. Межсетевой экран обеспечивает проверку всех Web-страниц, поступающих на компьютер пользователя. Каждая Web-страница перехватывается и анализируется межсетевым экраном на присутствие вредоносного кода. Распознавание вредоносных программ происходит на основании баз, используемых в работе межсетевого экрана, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах. Если Web-страница, к которой обращается пользователь, содержит вредоносный код, доступ к нему блокируется. При этом на экран выводится уведомление о том, что запрашиваемая страница заражена. Если Web-страница не содержат вредоносного кода, она сразу же становится доступной для пользователя. Если на компьютере используются такие программы, как программа передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, межсетевой экран запрашивает пользователя о блокировании или разрешении подключения. Если пользователь разрешает подключение, брандмауэр Windows создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы. Межсетевой экран позволяет: 1. блокировать хакерские DoS-атаки, не пропуская на защищаемый компьютер сетевые пакеты с определенных серверов (определенных IP-адресов или доменных имен); 2. не допускать проникновение на защищаемый компьютер сетевых червей; 3. препятствовать троянским программам отправлять конфиденциальную информацию о пользователе и компьютере. Троянские программы часто изменяют записи системного реестра операционной системы, который содержит все сведения о компьютере и установленном программном обеспечении. Для их удаления необходимо восстановление системного реестра, поэтому компонент, восстанавливающий системный реестр, входит в современные операционные системы. Проверка скриптов в браузере. Проверка всех скриптов, обрабатываемых в браузере, производится следующим образом: • каждый запускаемый на Web-странице скрипт перехватывается модулем проверки скриптов и анализируется на присутствие вредоносного кода; • если скрипт содержит вредоносный код, модуль проверки скриптов блокирует его, уведомляя пользователя специальным всплывающим сообщением; • если в скрипте не обнаружено вредоносного кода, он выполняется. Основными типами вредоносных программ являются: 1. компьютерные вирусы; 2. сетевые черви; 3. троянские программы; 4. программы показа рекламы и программы-шпионы, занимающиеся сбором персональной информации о компьютере и пользователе; 5. хакерские утилиты. Принцип антивирусных программ основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых вирусов. Для поиска известных вирусов используются сигнатуры, т.е. некоторые постоянные последовательности двоичного кода, специфичные для этого конкретного вируса. Если антивирусная программа обнаружит такую последовательность в каком-либо файле, то файл считается заражённым вирусом и подлежит лечению. Для поиска новых вирусов используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то антивирусная программа выдаёт сообщение о возможном заражении объекта. Большинство антивирусных программ сочетает в себе функции постоянной защиты и функции защиты по требованию пользователя. Антивирусный монитор запускается автоматически при старте операционной системы и работает в качестве фонового системного процесса, проверяя на вредоносность совершаемые другими программами действия. Основная задача антивирусного монитора состоит в обеспечении максимальной защиты от вредоносных программ при минимальном замедлении работы компьютера. Антивирусный сканер запускается по заранее выбранному расписанию или в произвольный момент пользователем. Антивирусный сканер производит поиск вредоносных программ в оперативной памяти, а также на жёстких и сетевых дисках компьютера. К недостаткам антивирусных программ можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов. Признаки заражения компьютера 17.Методы программно-аппаратной защиты информации. Программно-аппаратные средства защиты информации — это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование. Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает. Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением. Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы: - внешние события, вызванные действиями других сервисов; - внутренние события, вызванные действиями самого сервиса; - клиентские события, вызванные действиями пользователей и администраторов. Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически. Экран - это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (бранд- мауары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду. Метод криптографии — одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации. Основной элемент криптографии - шифрование (или преобразование данных в нечитабельную форму ключей шифрования - расшифровки). В состав криптографической системы входят: один или нескольких алгоритмов шифрования, ключи, используемые этими алгоритмами шифрования, подсистемы управления ключами, незашифрованный и зашифрованный тексты. При использовании метода криптографии на первом этапе к тексту, который необходимо шифровать, применяются алгоритм шифрования и ключ для получения из него зашифрованного текста. На втором этапе зашифрованный текст передается к месту назначения, где тот же самый алгоритм используется для его расшифровки. Ключом называется число, используемое криптографическим алгоритмом для шифрования текста. В криптографии используется два метода шифрования - симметричное и асимметричное. При симметричном шифровании для шифрования и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договариваются заранее. Основной недостаток симметричного шифрования состоит в том, что ключ должен быть известен как отправителю, так и получателю, откуда возникает новая проблема безопасной рассылки ключей. Существует также вариант симметричного шифрования, основанный на использовании составных ключей, когда секретный ключ делится на две части, хранящиеся отдельно. Таким образом, каждая часть сама по себе не позволяет выполнить расшифровку. Асимметричное шифрование характеризуется тем, что при шифровании используются два ключа: первый ключ делается общедоступным (публичным) и используется для шифровки, а второй является закрытым (секретным) и используется для расшифровки Дополнительным методом защиты шифруемых данных и проверки их целостности является цифровая подпись. 18.Аттестация объектов информатизации. Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации. Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров [6.1]. Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате. Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации. Аттестация является обязательной в следующих случаях: государственная тайна; при защите государственного информационного ресурса; управление экологически опасными объектами; ведение секретных переговоров. Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации. Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится: защита от НСД, в том числе компьютерных вирусов; защита от утечки через ПЭМИН; защита от утечки или воздействия информацию за счет специальных устройств, встроенных в объект информатизации. Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ: анализ исходных данных по аттестуемому объекту информатизации; предварительное ознакомление с аттестуемым объектом информатизации; проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации; проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств; проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации; проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации; анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации. Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации". Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации. Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика. В структуру системы аттестации входят: федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации – ФСТЭК России; органы по аттестации объектов информатизации по требованиям безопасности информации; испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации; заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации). В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации. В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию. Органы по аттестации: аттестуют объекты информатизации и выдают "Аттестаты соответствия"; осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией; отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия"; формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке; ведут информационную базу аттестованных этим органом объектов информатизации; осуществляют взаимодействие с ФСТЭК России и ежеквартально информируют его о своей деятельности в области аттестации. ФСТЭК осуществляет следующие функции в рамках системы аттестации: организует обязательную аттестацию объектов информатизации; создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах; устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации; организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации; аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ; осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации; рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации; организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации. Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации. Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России в разделе "Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации". Заявители: проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации; привлекают органы по аттестации для организации и проведения аттестации объекта информатизации; предоставляют органам по аттестации необходимые документы и условия для проведения аттестации; привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации; осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия"; извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия"); предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию. Для проведения испытаний заявитель предоставляет органу по аттестации следующие документы и данные: приемо-сдаточную документацию на объект информатизации; акты категорирования выделенных помещений и объектов информатизации; инструкции по эксплуатации средств защиты информации; технический паспорт на аттестуемый объект; документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ; сертификаты соответствия требованиям безопасности информации на ВТСС; сертификаты соответствия требованиям безопасности информации на технические средства защиты информации; акты на проведенные скрытые работы; протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились); протоколы измерения величины сопротивления заземления; протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки; данные по уровню подготовки кадров, обеспечивающих защиту информации; данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке; нормативную и методическую документацию по защите информации и контролю эффективности защиты. Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией. пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам; перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты; перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты; перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки; перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки; перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки; cхему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.; технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон; планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников; план-схему инженерных коммуникаций всего здания, включая систему вентиляции; план-схему системы заземления объекта с указанием места расположения заземлителя; план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок; план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов; план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок; схемы систем активной защиты (если они предусмотрены)[6.3]. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия: подача и рассмотрение заявки на аттестацию. Заявка имеет установленную форму, с которой можно ознакомиться в "Положении об аттестации объектов информатизации по требованиям безопасности". Заявитель направляет заявку в орган по аттестации, который в месячный срок рассматривает заявку, выбирает схему аттестации и согласовывает ее с заявителем. предварительное ознакомление с аттестуемым объектом – производится в случае недостаточности предоставленных заявителем данных до начала аттестационных испытаний; испытание в испытательных лабораториях несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте. разработка программы и методики аттестационных испытаний. Этот шаг является результатом рассмотрения исходных данных и предварительного ознакомления с аттестуемым объектом. Орган по аттестации определяет перечень работ и их продолжительность, методику испытаний, состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств или участия испытательных лабораторий. Программа аттестационных испытаний согласовывается с заявителем. заключение договоров на аттестацию. Результатом предыдущих четырех этапов становится заключение договора между заявителем и органом по аттестации, заключением договоров между органом по аттестации и привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации. проведение аттестационных испытаний объекта информатизации. В ходе аттестационных испытаний выполняется следующее: анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации; определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации; проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации; проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации; проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации; оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации[6.2] К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод. Протокол аттестационных испытаний должен влючать: вид испытаний; объект испытаний; дату и время проведения испытаний; место проведения испытаний; перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия); перечень нормативно-методических документов, в соответствии с которыми проводились испытания; методику проведения испытания (краткое описание); результаты измерений; результаты расчетов; выводы по результатам испытаний [6.4] Протоколы испытаний подписываются экспертами – членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов. Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю [2]. Заключение и протоколы испытаний подлежат утверждению органом по аттестации. оформление, регистрация и выдача "Аттестата соответствия" (если заключение по результатам аттестации утверждено). осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации; рассмотрение апелляций. В случае, если заявитель не согласен с отказом в выдаче "Аттестата соответствия", он может подать апелляцию в вышестоящий орган по аттестации или в ФСТЭК. Апелляция рассматривается в срок, не превышающий один месяц с привлечением заинтересованных сторон. Аттестат соответствия должен содержать: регистрационный номер; дату выдачи; срок действия; наименование, адрес и местоположение объекта информатизации; категорию объекта информатизации; класс защищенности автоматизированной системы; гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации; организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации; номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания; перечень руководящих документов, в соответствии с которыми проводилась аттестация; номер и дата утверждения заключения по результатам аттестационных испытаний; состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств; организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа; перечень действий, которые запрещаются при эксплуатации объекта информатизации; список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации. Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации. Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. |