1.2.7 Л ИБ 512 Аттестация ОИ-1. Филиалы СанктПетербург, Казань, Уфа, Челябинск, Хабаровск

Требования к органу по аттестации
28
«Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям на соответствие требованиям по защите информации), выданную ФСТЭК России в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства Российской Федерации от 3 февраля
2012 г. № 79 (далее – орган по аттестации)».
Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77

Лицензионные требования к соискателю
лицензии и лицензиату по ТЗКИ
К документации
К квалификации работников
К помещению
К оборудованию
К автоматизированным системам и средствам защиты
П. 5 и 6 Постановления Правительства РФ от 03.02.2012 N 79 29

Требования к органу по аттестации
2. помещения,
предназначенные для размещения контроля работников, эффективности измерительных приборов,
средств технической защиты информации и ОИ;
3. средства измерений и испытаний, необходимые для выполнения работ по аттестации ОИ;
4. работники, имеющие соответствующую квалификацию, стаж работы, знания и навыки;
5. лицензии, необходимые для выполнения работ по аттестации ОИ;
6. ОИ, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну;
7. организационно-распорядительная документация,
определяющая задачи, функции, обязанности, права и ответственность органа по аттестации.
30
Юридическое лицо, у которого есть:
1. документы, определяющие порядок и правила выполнения работ по аттестации ОИ;

Требования к работникам органа аттестации
Требования к руководителю
• высшее профессиональное образование по направлению подготовки (специальности)
«Информационная безопасность» + 5 лет стажа в области аттестации ОИ
• Иное высшее профессиональное образование (в области математических и естественных наук, инженерного дела,
технологий и технических наук) +
10 лет стажа в области аттестации
ОИ
• иное высшее образование + не менее 5 лет стажа работы в области аттестации ОИ, + профессиональная переподготовка по направлению "Информационная безопасность"
(со сроком обучения не менее
360 аудиторных часов)
Требования к инженерно- техническим работникам
•
высшее профессиональное образование по направлению подготовки (специальности)
"Информационная безопасность«
•
Иное высшее профессиональное образование (в области математических и естественных наук, инженерного дела, технологий и технических наук) + повышение квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 40 аудиторных часов)
•
Иное высшее образование +
профессиональная переподготовка по одной из специальностей в области информационной безопасности (со сроком обучения не менее 360 аудиторных часов)
Не менее 3 работников
Орган аттестации – основное место работы
ГОСТ Р 58189-2018 31

Владелец объекта
информатизации
• Субъекты, которым на праве собственности или ином законном основании принадлежит ОИ:
•
федеральные органы государственной власти;
•
органы государственной власти субъектов РФ;
•
органы местного самоуправления;
•
организации
• Лица, заключившие контракт на создание ОИ
• Лица, осуществляющими эксплуатацию ОИ
Порядок, утв. Приказом ФСТЭК России от
29.04.2021 № 77 п. 2 33

Функции владельца ОИ
34
•
Предоставить необходимые документы
•
Согласовать программу и методику аттестационных испытаний и вносимые в них изменения
•
Вносить изменения в ОИ в ходе проведения аттестации в целях приведения ОИ в соответствие с требованиями защиты информации
•
Обеспечивает устранение недостатков ОИ, выявленных в ходе аттестации
•
Направляет письменное обращение во ФСТЭК в случае несогласия с выявленными недостатками и выводами, содержащимися в заключении органа аттестации
•
Устраняет выявленные недостатки по итогам заключения ФСТЭК и информирует ФСТЭК об устранении недостатков
•
Обеспечивает поддержку безопасности ОИ в соответствии с выданным аттестатом соответствия
•
Проводит периодический контроль уровня защиты информации на
ОИ – результаты оформляются протоколом, который направляется во ФСТЭК не режа 1 раза в 2 года
Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77

Финансирование работ
по аттестации
•
оплачивают заявители за счет финансовых средств, выделенных на разработку и введение в действие ОИ
•
оплата работ производится в соответствии с договором по утвержденным расценкам, а при их отсутствии - по договорной цене в порядке, установленном ФСТЭК России по согласованию с
Министерством финансов Российской Федерации
•
оплата работы членов аттестационной комиссии производится органом по аттестации
Положение по аттестации ОИ
по требованиям безопасности информации
35

Аттестован = соответствует
требованиям по защите информации
от несанкционированного доступа от утечки за счет реализации технических каналов утечки информации (ТКУИ)
от утечки или воздействия на нее за счет специальных устройств, встроенных в объект информатизации
36

Перечень работ по аттестации
А н а л и з и р у ю т с я
О р г а н и з а ц и о н н а я с т рукт у р а о бъ е к т а
С о с т а в т е х н и ч е с к и х с р е д с т в и П О
С и с т е м а з а щ и т ы и н ф о р м а ц и и
Д о к ум е н т а ц и я
Ат т е с т а ц и о н н ы е и с п ы т а н и я
П р о в о д я т с я
и с п ы т а н и я
Ко м п л е кс н ы е и с п ы т а н и я о бъ е к т а в р е а л ь н ы х ус л о в и я х
Н е с е р т и ф и ц и р о в а н н ы х с р е д с т в з а щ и т ы и н ф о р м а ц и и
П р о в о д я т с я
и с п ы т а н и я
П р а в и л ь н о с т ь в ы б о р а с р е д с т в З И
П р а в и л ь н о с т ь кат е го р и р о ва н и я о бъ е к т а
Ур о в е н ь п од го т о в к и ка д р о в
З а к л юч е н и е
П р о т о ко л ы
37

Перечень работ по аттестации ГИС
•
анализ исходных данных по аттестуемому ОИ
•
предварительное ознакомление с аттестуемым ОИ
•
проведение экспертного обследования ОИ и анализ разработанной документации по ЗИ на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
•
проведение испытаний отдельных средств и систем ЗИ на аттестуемом ОИ с помощью специальной контрольной аппаратуры и тестовых средств;
•
проведение испытаний отдельных средств и систем ЗИ в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
•
проведение комплексных аттестационных испытаний ОИ в реальных условиях эксплуатации;
•
анализ результатов экспертного обследования и комплексных аттестационных испытаний ОИ
п. 1.8
Приказа ФСТЭК от 11.02.2013 № 17
38

Основные этапы проведения аттестации объектов
информатизации
1 этап:
Подготовка:
• Предоставление владельцем ОИ в орган аттестации документов и их копий
• Анализ документов аттестационным органом
• Предварительное ознакомление с ОИ в условиях эксплуатации
• Разработка программы и методики аттестационных испытаний
• Согласование и утверждение программы и методики аттестационных испытаний
2 этап:
Проведение аттестационных испытаний объекта информатизации;
• Проведение мероприятий и работ в рамках аттестационных испытаний
• Внесение владельцем изменений в ОИ, в том числе в архитектуру его защиты
• Составление заключений и протоколов
• Устранение владельцем ОИ недостатков, выявленных в процессе аттестации и оценка качества устранения органом аттестации
3 этап
: Оформление, регистрация и выдача «Аттестата соответствия»
4этап:
Подача и рассмотрение обращения во ФСТЭК в случае несогласия с итогами аттестации
5 этап:
Предоставление органом аттестации документов во ФСТЭК и внесение в реестр сведений
6этап:
Осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации
Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77 39

Органы по
аттестации
Порядок проведения аттестации
объектов информатизации
ФСТЭК России
Управление
ФСТЭК по
ЦФО
Управление
ФСТЭК по
СЗФО
Управление
ФСТЭК по
ПрФО
Управление ФСТЭК по
ЮФО и СКФО
Управление
ФСТЭК по
УрФО
Управление
ФСТЭК по
СибФО
Управление
ФСТЭК по
ДВФО
Организации
лицензиаты
ФСТЭК
Заявка и ИД
Перечень органов по аттестации
Договор
Программа и методика АИ
Аттестационная комиссия
Заявители
Заключение
Аттестат соответствия
27

Аттестационная комиссия
41
• Назначается органом аттестации из числа своих работников
• Минимальный состав –
руководитель и не менее двух экспертов
• Эксперты проводят анализ документов, представленных владельцем ОИ, и аттестационные испытания
ОИ
• Выводы экспертов не должны противоречить требованиям по технической защите информации
Порядок, утв. Приказом ФСТЭК России от 29.04.2021
№ 77, п. 8

Требования к экспертам органа
аттестация
•
Наличие знаний и навыков в области ТЗКИ и аттестации ОИ
•
Независимость экспертов от владельца ОИ
•
Не участвовали в разработке и внедрении системы защиты информации аттестуемого
ОИ
Порядок, утв. Приказом ФСТЭК России от 29.04.2021
№ 77, п. 8 42

Документы, предоставляемые
аттестационной комиссии
Пакет документов:
•
Технический паспорт на объект информатизации по утвержденной
форме
•
Акт классификации автоматизированной
(информационной) системы по
утвержденной форме
•
Акт категорирования объектов КИИ
•
Модель угроз безопасности информации - если требуется согласно требованиям
•
Эксплуатационная документация на систему защиты информации ОИ и применяемые средства защиты информации
•
Документы по защите информации владельца ОИ (при проведении анализа и испытаний в ходе создания ОИ)
В случае разработки документов при создании ОИ:
•
ТЗ на создание (развитие, модернизацию)
ОИ и (или) частное ТЗ на создание (развитие, модернизацию) системы защиты информации ОИ (для ОИ, входящего в объект капитального строительства –
задание на проектирование объекта капитального строительства)
•
Проектная документация на систему защиты информации ОИ
•
Документы, содержание результаты анализа уязвимостей ОИ и приемочных испытаний системы защиты информации ОИ
Предоставляются оригиналы, копии или электронные документы
Порядок, утв. Приказом ФСТЭК России от
29.04.2021 № 77, п. 8 43

Документы по защите информации
владельца ОИ
Организационно-распорядительные документы по защите информации:
•
План мероприятий по защите информации
•
Документы по порядку оценки угроз безопасности информации
•
Документы по управлению (администрированию) системой защиты информацией
•
Документы по управлению конфигурацией ОИ
•
Документы по реагированию на инциденты безопасности
•
Документы по обучению и информированию персонала
•
Документы по контролю за обеспечением уровня защищенности информации
Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77
, п. 8 44

Технический паспорт информационной
(автоматизированной) системы
• Технический паспорт должен соответствовать установленной форме
• Утверждается руководителем или уполномоченным лицом владельца ОИ
• Содержит разделы:
1.
Общие сведения об информационной (автоматизированной) системе
2. Условия эксплуатации информационной (автоматизированной) системы
3. Состав информационной (автоматизированной) системы
4. Сведения о соответствии информационной (автоматизированной) системы требованиям по защите информации ( с указанием протоколы, заключения и аттестат соответствия)
5. Сведения о проведении контроля за обеспечением уровня защиты информации,
содержащейся в информационной (автоматизированной) системе в формате таблицы.
6. Сведения об изменении информационной (автоматизированной) системы в формате таблицы
•
Должность, подпись и ФИО ответственного за обеспечение защиты информации при эксплуатации ОИ
• Дата
Порядок, утв. Приказом ФСТЭК России от
29.04.2021 № 77, Приложение 1 45

Технический паспорт защищаемого
помещения
• Технический паспорт должен соответствовать установленной форме
• Утверждается руководителем или уполномоченным лицом владельца ОИ
• Содержит разделы:
1. Общие сведения о защищаемом помещении
2. Условия расположения и эксплуатации защищаемого помещения
3. Состав защищаемого помещения (основных технических средств и систем,
вспомогательных технических средств и систем, средств защиты информации, установленных в защищаемых помещениях) – в формате таблиц
4. Сведения о периодическом контроле защищаемого помещения – в формате таблицы
5. Сведения об изменении состава, условий размещения и эксплуатации защищаемого помещения
•
Должность, подпись и ФИО ответственного за обеспечение защиты информации при эксплуатации ОИ
• Дата
Порядок, утв. Приказом ФСТЭК России от
29.04.2021 № 77, Приложение 2 46

Акт классификации информационной
(автоматизированной) системы
В акте в соответствии с утвержденной формой указываются:
• Наименование информационной (автоматизированной) системы
• Ссылка на приказ, которым была сформирована комиссия для классификации информационной (автоматизированной) системы
• Установленные комиссией:
•
Масштаб информационной (автоматизированной) системы
•
Уровень значимости информации, содержащейся в информационной
(автоматизированной) системе
•
Класс защищенности информации
Акт подписывается всеми членами комиссии и утверждается руководителем (уполномоченным лицом) владельца ОИ
Порядок, утв. Приказом ФСТЭК России от
29.04.2021 № 77, Приложение 3 47

Содержание программы и методики
аттестационных испытаний: разделы
Общие положения
Программа аттестационных испытаний ОИ
Методики аттестационных испытаний ОИ
Порядок, утв. Приказом ФСТЭК России от
29.04.2021 № 77, п. 13 48

Распространять нельзя, цитировать нельзя,
ссылаться тоже нельзя.
49

Программа и методики: общие положения
Наименование и краткое описание архитектуры ОИ, класс защищенности
ИС (АС), категория ЗО КИИ
Наименование и реквизиты документов ФСТЭК, соответствие которым проверяется
ФИО и должность экспертов,
назначенных для проведения аттестации ОИ
Угрозы безопасности, актуальные для ОИ или модель угроз безопасности (если необходима)
Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77
, п.13.1 50

Содержание программы аттестационных
испытаний
Перечень работ по аттестации ОИ
• Работы по обследованию ОИ в условиях его эксплуатации
• Проведение аттестационных испытаний в соответствии с разрабатываемыми методиками
• Оформление результатов аттестационных испытаний
Сроки
• Общий срок проведения аттестационных испытаний
• Сроки выполнения каждой работы по аттестации ОИ
Эксперты
• ФИО эксперта, ответственного за проведение каждой работы
Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77
, п. 13.2 51

Содержание методик аттестационных
испытаний
Данные по каждому аттестационному испытанию
• Порядок испытания
• Условия испытания
• Исходные данные испытания
• Методы испытания
Данные по оборудованию для каждого испытания
•
применяемые средства контроля эффективности защиты информации от НСД
• Контрольно-измерительное испытательное оборудование
Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77
, п. 13.2 52

Утверждение программы
аттестационных испытаний
Анализ документов, предоставленных владельцем
ОИ и предварительное ознакомление с ОИ
Разработка программы и методик аттестации органом по аттестации
Согласование разработанной программы и методик с владельцем ОИ
Утверждение программы и методик аттестации руководителем органа по аттестации до начала аттестационных испытаний
Внесение органом аттестации изменений в программу и методики в ходе аттестационных испытаний по согласованию с владельцем ОИ
53

Мероприятия и работы в рамках
аттестационных испытаний: оценка
документов
Порядок, утв. Приказом ФСТЭК России от
29.04.2021 № 77, п. 15, 16
•
Оценка соответствия пакета документов требованиям по защите информации и настоящему порядку
•
Технический паспорт ОИ
•
Акт классификации информационной (автоматизированной) системы
•
Акт категорирования ЗО КИИ
•
Состав и содержание эксплуатационной документации на систему защиты информации ОИ
•
Состав и содержание документов по защите информации владельца ОИ
•
Проверка наличия и согласования с ФСТЭК модели угроз безопасности информации и технического задания на создание ОИ (для ГИС)
•
Обследование ОИ для оценки соответствия ОИ и условий его эксплуатации требованиям по защите информации и документам, представленным владельцем ОИ
•
Проверка наличия документов с результатами анализа уязвимостей (на этапах предварительных или приемных испытаний системы защиты информации ОИ)
•
Проверка наличия сведений о средствах защиты информации на ОИ – в реестре сертифицированных СЗИ ФСТЭК – при наличии обязательных требований (или документов, подтверждающих проведение оценки соответствия СЗИ требованиям по безопасности информации)
•
Оценка соответствия организационных мер требованиям по защите информации и их достаточности для защиты от актуальных угроз безопасности
54