1.2.7 Л ИБ 512 Аттестация ОИ-1. Филиалы СанктПетербург, Казань, Уфа, Челябинск, Хабаровск
 Скачать 2.87 Mb.
|
|
Ежегодные награды Microsoft, Huawei, Cisco и другие Входит в ГК Аплана Основана в 1995 г. Филиалы: Санкт-Петербург, Казань, Уфа, Челябинск, Хабаровск, Красноярск, Тюмень, Нижний Новгород, Краснодар, Волгоград, Ростов-на-Дону Головной офис в Москве Разработка программного обеспечения и информационных систем Крупные заказчики 100+ cотрудников Ресурсы более 400 высококлассных экспертов и преподавателей Сеть региональных учебных центров по всей России Направления обучения: Информационные технологии Информационная безопасность ИТ-менеджмент и управление проектами Разработка и тестирование ПО Гос. и муниципальное управление Программы по импортозамещению E-learning и очное обучение academyit.ru Модуль 1 Основы информационной безопасности Тема 1.2. Правовое, нормативное и методическое регулирование деятельности в области защиты информации Лекция 1.2.7. Аттестация объектов информатизации по требованиям безопасности информации Список сокращений • ИСПДн – информационные системы персональных данных • НСД – несанкционированный доступ • ОИ – объект информатизации • ОТСС - основные технические средства и системы • ОУД – оценочный уровень доверия • ПО – программное обеспечение • ПДн – персональные данные • СЗИ – средства защиты информации • СЗИ – ГТ - средства защиты информации по требованиям безопасности для сведений, составляющих государственную тайну • СИРД – средство изготовления и размножения документов / информации • АС – автоматизированные системы • ВТСС – вспомогательные технические средства и системы • ГИС – государственная информационная система • ЗО КИИ – значимые объекты критической • информационной инфраструктуры (системы отображения и размножения, предназначенные для обработки и передачи информации, подлежащей защите, вместе с помещениями, в которых они установлены) СКЗИ – средства криптографической защиты информации • СТР-К - Специальные требования и рекомендации по технической защите конфиденциальной информации • ТЗИ – техническая защита информации • ТЗКИ – техническая защита конфиденциальной информации • ТКУИ – технические каналы утечки информации • ФЗ – Федеральный закон • ЦОД – Центр обработки данных 5 Методические документы ФСТЭК • «Положение по аттестации объектов информатизации по требованиям безопасности информации» (утв. Гостехкомиссией РФ 25.11.1994) • Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» • Приказ ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (начало действия – 01.09.2021). • Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 5 января 1996 г. N 3 • Методические рекомендации управлениям ФСТЭК России по федеральным округам Об организации работ по аттестации объектов информатизации по требованиям безопасности информации. Приказ ФСТЭК России № 126 от 21 апреля 2006 г. • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Решение ГТК при Президенте РФ 30 августа 2002 №282 г. 6 ГОСТы в области аттестации объектов информатизации • ГОСТ РО 0043-003-2012 «Аттестация объектов информатизации. Общие положения» • ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний» • ГОСТ Р 58189-2018 . «Национальный стандарт Российской Федерации. Защита информации. Требования к органам по аттестации объектов информатизации» • ГОСТ Р 50922-2006 . Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения Информационное сообщение ФСТЭК «Об утверждении порядка аттестации объектов информатизации и особенностях его реализации» от 29.04.2021 N 240/24/2087 7 Аттестация объектов информатизации – гос. тайна с 01.06.2021 ФСТЭК России информирует об утверждении и вступлении в силу с 1 июня 2021 г. Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну. • Перечень организаций, которые могут проводить работы по аттестации объектов информатизации с гос. тайной будет размещен на сайте ФСТЭК • Органы по аттестации обязуются представлять материалы с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России. • Будет создан единый реестр аттестованных объектов информатизации Порядок обеспечения данным документом: Государственным и муниципальным органам, а также организациям с лицензией на осуществление мероприятий и оказание услуг по защите гос. тайны ФСТЭК направит документ. Обеспечение документом иных предприятий, учреждений и организаций осуществляется в соответствии с Порядком обеспечения органов государственной власти РФ, органов государственной власти субъектов РФ, органов местного самоуправления и организаций документами ФСТЭК России, размещенном на официальном сайте ФСТЭК России www.fstec.ru в подразделе "Обеспечение документами" раздела "Документы". Информационное сообщение ФСТЭК «Об утверждении порядка аттестации объектов информатизации и особенностях его реализации» от 29.04.2021 N 240/24/2087 8 Аттестация объектов информатизации – гос. тайна с 01.06.2021 – что не применяем В связи отрабатывающих ГТ, не применяются: • Положение по аттестации объектов с принятием Порядка более при аттестации ОИ, информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.; • Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 5 января 1996 г. № 3; • ГОСТ Р 58189-2018 Защита информации. Требования к органам по аттестации объектов информатизации; • ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения. Информационное сообщение ФСТЭК «Об утверждении порядка аттестации объектов информатизации и особенностях его реализации» от 29.04.2021 N 240/24/2087 9 Нормативно-методические документы, регламентирующие порядок проведения аттестации объектов информатизации 5 Аттестация объектов информатизации • Аттестация объектов информатизации (далее аттестация) – это комплекс организационно - технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов иных нормативно - технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации (ФСТЭК) в пределах его компетенции. 11 Объекты информатизации: понятие Объект информатизации (ОИ) - с овокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров ( ГОСТ Р 50922-2006 , ст. 3.1) 12 Аттестация объектов информатизации: понятие и функции Аттестация объектов информатизации – проводится на этапе создания или развития (модернизации) объекта информатизации и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации. Аттестация ОИ может проводиться на этапе эксплуатации ОИ, если владельцем ОИ принято решение об обработке защищаемой информации после ввода в эксплуатацию ОИ. Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77 (п. 4) 13 Объекты информатизации аттестуемые по требованиям безопасности информации (с 01.09.2021) • государственные информационные системы • Информационные системы управления производством, используемых предприятиями оборонно- промышленного комплекса • Объекты информатизации КИИ • Автоматизированные системы управления производственными процессами на критически важных объектах, и на объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды • ИС ПДн • Оборудование с числовым программным управлением при обработке информации ограниченного доступа Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77 14 Обязательность аттестации Добровольная осуществляется по инициативе заявителя (владельца информации или владельца объекта информатизации) на условиях договора между заявителем и органом по аттестации может осуществляться для установления соответствия системы защиты информации объекта информатизации требованиям информации , безопасности установленным национальными стандартами и владельцем информации или владельцем объекта информатизации Обязательная проводится только в случаях, установленных ▪ федеральными законами ▪ актами Президента РФ ▪ Правительства РФ ▪ нормативными правовыми актами уполномоченных федеральных органов исполнительной власти и исключительно на соответствие СЗИ объекта информатизации требованиям безопасности информации, установленным федеральными законами, нормативными правовыми актами Президента РФ, Правительства РФ, уполномоченных федеральных органов исполнительной власти 15 Обязательность аттестации Обязательная аттестация ОИ: • Государственные и муниципальные информационные системы • Государственные и муниципальные информационные системы персональных данных • Информационные системы управления производством, используемые организациями оборонно- промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением (ЧПУ) • Помещения, предназначенные для ведения конфиденциальных переговоров (защищаемые помещения) По решению владельца ОИ: • Значимые объекты критической информационной инфраструктуры РФ (ЗО КИИ) • Информационные системы персональных данных (кроме ГИС ПДн) • Автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77 (п. 5) 16 17 Основные организационно-технические мероприятиям по защите информации лицензирование деятельности предприятий в области защиты информации аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам Положение «О государственной системе защиты информации в РФ от иностранных технических разведок и от ее утечки по техническим каналам» Постановление Правительства РФ № 912-51 от 15 сентября 1993 Требования документов устанавливающих обязательность аттестации 18 Требования документов устанавливающих обязательность аттестации СТР-К носит обязательный характер для объектов информатизации, осуществляющих обработку государственных информационных ресурсов Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями настоящего документа. Специальные требования и рекомендации по технической защите конфиденциальной информации. Решение Коллегии Гостехкомиссии России № 7.2/02.03.2001 г. Применение Приказа ФСТЭК № 17 Требования Приказа № 17 являются обязательными при обработке информации в государственных информационных системах , функционирующих на территории РФ, а также в муниципальных информационных системах , если иное не установлено законодательством РФ о местном самоуправлении. П. 13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: ... аттестация информационной системы по требованиям защиты информации ... Приказ ФСТЭК от 11.02.2013 № 17 19 Требования документов устанавливающих обязательность аттестации Организационная структура системы аттестации ОИ по требованиям безопасности информации Заявители (заказчики, владельцы, разработчики аттестуемых ОИ) Органы по аттестации ОИ Организации, имеющие лицензию по защите ГТ Организации с лицензией на право оказания услуг по ТЗКИ Подразделения гос. и мун. органов (для ГИС) Система сертификации СЗИ по требованиям безопасности информации Подсистема аттестации объектов информатизации Подсистема подготовки и аттестации экспертов Федеральные органы исполнительной власти ФСБ РФ ФСТЭК РФ МО РФ 20 Перечень органов по аттестации и органов государственной власти, имеющих право на проведение аттестации 21 Организации с лицензией на право оказания услуг по ТЗКИ Только те, кто лицензию на лицензируемые получили следующие виды деятельности: г - работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации (г1...г3): г1 - средств и систем информатизации; г2 - помещений со средствами (системами) информатизации, подлежащими защите; г3 - защищаемых помещений; 22 Функции ФСТЭК России 23 • Лицензирование деятельности по аттестации • Ведет учет структурных подразделений органов государственной власти и местного самоуправления, наделенных правом «внутренней» аттестации • Устанавливает требования по защите информации, на соответствие которым проводится аттестация • Проводит рассмотрение обращений в случае несогласия заявителя с протоколами и заключениями по результатам аттестации • Ведет реестр аттестованных объектов информатизации • Проводит экспертно-документальную оценку документов, представленных органом по аттестации (после внесения ОИ в реестр) • Составляет и направляет заключение о выявленных недостатках по итогам экспертно-документальной оценки • Получает протоколы контроля защиты информации от владельца аттестованного ОИ • Приостанавливает, возобновляет и прекращает действие аттестата соответствия ОИ Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77 Функции органа по аттестации 24 • Разрабатывает программу и методику аттестационных испытаний • Проводит аттестационные испытания • Оформляет заключение по результатам аттестационных испытаний (и протоколы аттестационных испытаний при необходимости) • Оформляет и выдает владельцу ОИ аттестат соответствия • Направляет копии документов по аттестации в электронном виде ФСТЭК • Оформляет дубликат аттестата соответствия владельцу ОИ и направляет сведения о выдаче дубликата ФСТЭК • Предоставление в территориальный орган ФСТЭК по месту нахождения органа аттестации до 1 февраля года, следующего за отчетным сведения об аттестованных ОИ: • наименование ОИ, • адрес места размещения ОИ, • наименование владельца ОИ, • реквизиты аттестата Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77 Права органа по аттестации 21 • привлекать для работы в аттестационных комиссиях наиболее компетентных специалистов • устанавливать сроки, договорные цены на проведение аттестации • отказывать заявителю в аттестации объекта информатизации, указав при этом мотивы отказа • участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатизации • лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования ОИ, технологии обработки защищаемой информации и требований по безопасности информации Положение по аттестации ОИ по требованиям безопасности информации Обязанности органа по аттестации 22 • соблюдать в полном объеме все правила и порядок аттестации • информировать ФСТЭК России обо всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии • вести учет всех предъявляемых рекламаций и информировать об этом ФСТЭК России • в установленные с заявителем сроки организовывать и проводить аттестацию объекта информатизации • обеспечивать полноту и объективность проведения аттестации • обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации • вести информационную базу аттестованных этим органом объектов • представлять в государственные органы по сертификации и аттестации информацию о результатах аттестации, а также "Аттестаты соответствия" для их регистрации • допускать представителей контрольных органов для осуществления надзора за аттестацией Положение по аттестации ОИ по требованиям безопасности информации |