1.2.7 Л ИБ 512 Аттестация ОИ-1. Филиалы СанктПетербург, Казань, Уфа, Челябинск, Хабаровск

Мероприятия и работы в рамках
аттестационных испытаний: защита от НСД
Проводится:
o
Функциональное тестирование - испытание системы защиты информации путем тестирования ее функций безопасности o
Анализ уязвимостей с использованием средств контроля эффективности защиты информации от НСД
o
Испытания системы защиты информации с помощью попыток осуществления НСД (воздействия) в обход системы защиты информации с использованием средств тестирования
Мероприятия
Оценка соответствия принятых технических мер по защите информации от НСД
(воздействия на информацию) требованиям и их достаточность для защиты от актуальных угроз
По итогам оформляется протокол аттестационных испытаний
Порядок, утв. Приказом ФСТЭК России от 29.04.2021
№ 77, п. 15,16, 19 56

Выбор методики испытаний и
инструментальных средств
Методика испытаний АС на соответствие требованиям защиты информации от НСД уточняется на основании результатов анализа технологического процесса обработки информации в
АС.
Методика испытаний должна включать в себя перечень инструментальных средств, используемых при испытаниях и проверках данной АС.
Методика испытаний может дополняться,
уточняться и
корректироваться в
процессе испытаний руководителем аттестационной комиссии по согласованию с заявителем.
57
Мероприятия и работы в рамках аттестационных испытаний: защита от НСД

Выбор методики испытаний и
инструментальных средств
В качестве тестирующих средств для проведения испытаний могут быть выбраны технические и программные средства, принятые в установленном порядке для такого рода деятельности.
Перечень принятых тестирующих средств с
описанием их возможностей и местонахождения хранится в органе по аттестации объектов информатизации и предоставляется для ознакомления заинтересованным сторонам.
При отсутствии необходимых тестирующих средств они могут быть специально разработаны в период проведения аттестационных испытаний.
Возможность их применения при испытаниях подтверждается председателем аттестационной комиссии и
согласовывается с
заявителем.
После окончания испытаний документация на эти тестирующие средства прилагается к
протоколам испытаний и отсылается в орган по аттестации.
58
Мероприятия и работы в рамках аттестационных испытаний: защита от НСД

Объём проводимых испытаний
•
Анализ и оценка технологического процесса обработки защищаемой информации.
•
Испытания подсистемы управления доступом:
•
проверка механизма идентификации
•
проверка механизма аутентификации
•
проверка реализации механизма контроля доступа
•
Испытания подсистемы регистрации и учета.
•
Испытания подсистемы обеспечения целостности.
•
Испытания криптографической подсистемы.
59
Мероприятия и работы в рамках аттестационных испытаний: защита от НСД

Только для защищаемых помещений:
Оценка эффективности защиты (защищенности) информации от утечек по техническим каналам
Мероприятия и работы в рамах
аттестационных испытаний: защита от утечек
по техническим каналам
Проводится:
o
Оценка показателей эффективности защиты информации с применением контрольно-измерительного и испытательного оборудования
Мероприятия
По итогам оформляется протокол аттестационных испытаний
Порядок, утв. Приказом ФСТЭК России от 29.04.2021
№ 77, п. 15,16, 19 60

УТВЕРЖДАЮ
«
»
СОГЛАСОВАНО
«
»
ПРОГРАММАИМЕТОДИКА
проведения аттестационных испытаний
автоматизированнойсистемы
«
»
№
от
Москва 20
Объектом испытаний является автоматизированная система (АС) «
»
, класса защищенности
, предназначенная для обработки конфиденциальной информации на базе
ПЭВМ
и г.
, ул.
, д.
принтера,
, помещение №
расположенная по адресу:
1. Объектиспытаний.
Таблица 1
Состав автоматизированной системы«
»
№
п/п
Название
Модель, тип
Заводской номер
1
Системный блок
2
Монитор
3
Клавиатура
4
Манипулятор “Мышь”
5
Принтер
Таблица 2
Средства защиты автоматизированной системы«
»
№
п/п
Наименование
Тип, модель,
Заводской номер
Сертификат соответствия
1
Программно- аппаратный комплекс защиты информации от НСД
«
»
№ СЗЗ
№
Сертификат ФСТЭК России
№
от . .
г.
(действителен до . .
г.)
2.3
•
от утечки за счет невыполнения организационно-режимныхмер;
•
от несанкционированного доступа (НСД) к информации,в том числе от компьютерных вирусов, а также иныхразрушающихпрограммных воздействий, нарушающихцелостность информацииили работоспособность технических средств автоматизированной системы (АС)
«
»;
•
от утечки за счет электронных устройств перехвата информации.
Оценка соответствия технических средств и систем, входящих в состав АС требованиям по защите информации от утечки за счет побочных электромагнитных излучений и наводок
(ПЭМИН) технических средств и систем объекта, не проводится.
2. Цели и виды испытаний.
1.Целью аттестационных испытаний является оценка соответствия автоматизированной системы требованиям руководящего документа Гостехкомиссии России Специальные требования и рекомендации по технической защите конфиденциальной информации(СТР-К).
2.При аттестационных испытаниях АС проводится оценка ее соответствия требованиям по защите информации:
61

•
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Гостехкомиссия России, 2002г. с внесенными изменениями согласно «Извещения №1-2006» ФСТЭК России;
•
Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и
автоматизированных систем от несанкционированного доступа к информации;
•
Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;
•
Гостехкомиссия
России.
Руководящий документ.
Защита от несанкционированного доступа к информации. Термины и определения;
•
Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
•
Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации.
3. Состав нормативных документов, на соответствие которым
проводятся испытания.
4. Условия и порядок проведения аттестационных испытаний
автоматизированной системы.
4.1 Аттестационные испытания АС проводятся аттестационной комиссией в составе: руководитель аттестационной комиссии –
,
члены комиссии –
и
, по утвержденной и согласованной программе испытаний.
4.2 Программа испытаний разрабатывается на основе анализа исходных данных об АС на этапе предварительного ознакомления.
Программа испытаний может уточняться и корректироваться в процессе испытаний по согласованию Заявителя и аттестационной комиссии.
4.3. Для проведения испытаний заявитель предоставляет аттестационной комиссии следующие исходные данные и документацию:
•
Перечень сведений конфиденциального характера;
•
Акт классификации АС;
•
Технический паспорт на автоматизированную систему;
•
Список лиц допущенных к обработке конфиденциальной информации на
АС;
•
Список лиц, допущенных в помещение, где ведется обработка конфиденциальной информации с использованием АС;
•
Список лиц, обслуживающих АС;
•
Состав программного обеспечения, используемого при обработке конфиденциальной информации в АС;
•
Описание технологического процесса обработки информации в АС;
•
Схема информационных потоков АС;
•
Инструкции по обеспечению защиты конфиденциальной информации,
обрабатываемой в АС;
•
Акты установки систем защиты информации.
•
Эксплуатационная документация на применяемые средства защиты информации в АС;
•
Схема размещения основных (ОТСС) и вспомогательных (ВТСС)
технических средств и систем в помещении;
•
Схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны;
•
Сведения о проведении специальных проверок ОТСС объекта.
62

5. Программа испытаний.
Таблица 3
Аттестационные испытания проводятся по следующей программе:
№
п/п
Название
Продолжительность
(чел/дней)
5.1
Изучение технологического процесса обработки и хранения конфиденциальной информации, анализ информационных потоков, определение состава использованных для обработки конфиденциальной информации технических средств
5.2
Проверка состояния организации работ и
выполнения организационно- технических требований по защите информации,
оценка правильности классификации автоматизированной системы, оценка уровня разработки организационно- распорядительной,
проектной и эксплуатационной документации,
оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в
автоматизированной системе.
5.3
Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в автоматизированной системе «
».
5.4
Проверка выполнения на объекте требований по защите информации от утечки за счет специальных электронных устройств съема информации.
При проведении испытаний аттестуемой АС используется программа фиксации и контроля исходного состояния программного комплекса «ФИКС» 2.0.1 (зав.
№
, СЗЗ №А
), имеющая сертификат ФСТЭКРоссии №913 от
28.05.2004г. (продлен до 01.06.2010г.).
1.
Методыиспытаний.
1.
При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:
•
экспертно - документальный метод;
•
проверка отдельных функций или комплекса функций защиты информации от НСД с помощью тестирующих средств, а также путем пробного запуска средств защиты информации от НСД и наблюдения за их выполнением.
2.
Экспертно-документальный метод предусматривает проверку соответствия АС требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов, по обеспечению необходимых мер защиты информации в АС, а также соответствия реальных условий эксплуатации требованиям по размещению, монтажу и эксплуатации технических средств АС.
3.
Проверка и испытания функций или комплекса функций зашиты информации от НСД с помощью тестирующих средств, проводятся для отдельных средств АС (технических и программных) по выбору аттестационной комиссии.
2.
Проведение изучения по п. 5.1 программы испытаний.
1.
На основе исходных данных по технологии обработки и передачи информации, разрешительной системы доступа персонала к защищенным ресурсам АС, анализируется обобщенная технологическая схема АС с существующими и возможными информационными потоками, возможностями доступа к обрабатываемой и передаваемой информации, устанавливаются опасные факторы и угрозы, критические места АС, снижающие уровень защиты,
комплектность и характеристики средств защиты.
2.
По результатам изучения уточняется схема технологического процесса с привязкой к конкретным средствам обработки и передачи информации,
и штатному персоналу.
6. Методика испытаний.
63

Проверка проводится в объеме указанном в таблице 4.
Таблица 4
6.3
Проверка объекта по требованиям п. 5.2. программы испытаний.
Наименование проверок и испытаний
Пункт методики
Проверка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации.
6.3.1
Проверка соответствия состава и структуры программно- технических средств объекта представленной документации.
6.3.2
Проверка правильности классификации АС.
6.3.3
Проверка уровня подготовки кадров и распределения ответственности персонала.
6.3.4
Проверка наличия сертификатов соответствия на ОТСС и средства защиты информации, экспертиза протоколов и предписаний по специальным исследованиям ОТСС.
6.3.5
Проверка выполнения требований к помещениям, в которых производится обработка защищаемой информации средствами автоматизированной системы.
6.3.6 6.3.1
Производится проверка достаточности представленных документов и соответствия их содержания требованиям руководящего документа Гостехкомиссии России Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К).
направлениям обеспечения безопасности информации фиксируются в
соответствующих протоколах.
На основании полученных результатов испытаний оформляется заключение,
которое содержит:
- оценку соответствия автоматизированной системы требованиям по безопасности информации;
- вывод о возможности выдачи Аттестата соответствия;
- перечень выявленных недостатков и нарушений, а также рекомендации по их устранению.
В случае соответствия автоматизированной системы требованиям по безопасности информации, изложенным в нормативных документах (см. п. 3
настоящей Программы и методики…), на этот объект выдается «Аттестат соответствия…».
Руководитель аттестационной комиссии
Представитель Заказчика (
должность
)
64
7. Подготовка отчетной документации и оценка результатов
испытаний
Результаты аттестационных испытаний по всем рассмотренным выше

Заключение и протоколы по
результатам аттестации
Заключение по результатам аттестации:
• Оформляется органом по аттестации
• Подписывается экспертами,
проводившими аттестацию
• Утверждается руководителем органа по аттестации
Протоколы по результатам испытаний:
• Только для испытаний,
предусмотренных пп. и) (защита от НСД) и к) (защита от утечек по техническим каналам)
пункта 15
Порядка
• Подписываются экспертами,
проводившими испытание
• Утверждаются руководителем
В течение 5 рабочих дней после утверждения направляются владельцу ОИ
65

Содержание протокола аттестационных
испытаний
✓
Наименование испытания в соответствии с программой и методикой испытаний
✓
Дата утверждения программы и методик аттестационных испытаний ОИ
✓
Дата и место проведения аттестационных испытаний
✓
Критерии выполнения требований по защите информации, в отношении которых проводились испытания
✓
Условия и исходные данные для проведения испытаний
✓
Применяемые при проведении испытаний средства контроля эффективности защиты информации от несанкционированного доступа,
а также контрольно-измерительное и испытательное оборудование
✓
Описание порядка испытаний по оценке критериев выполнения требований по защите информации
✓
Результаты испытаний по каждому оцениваемому критерию выполнения требований по защите информации.
Порядок, утв. Приказом ФСТЭК России от 29.04.2021
№ 77, п. 18 66

Содержание заключения
✓
наименование
ОИ и его назначение, состав программных средств и средств защиты информации программно-технических,
67
✓
класс защищенности информационной (автоматизированной) системы, категория значимости ЗО КИИ
✓
ФИО,
должности экспертов органа по аттестации,
проводивших аттестацию ОИ
✓
дата утверждения программы и методик аттестационных испытаний ОИ
✓
срок проведения аттестационных испытаний
✓
наименования и реквизиты документов ФСТЭК России, устанавливающих требования по защите информации, на соответствие которым проводилась ОИ
✓
результаты испытаний, предусмотренных пунктом 15
Порядка, с описанием состава проведенных работ и испытаний в соответствии с программой и методикой испытаний, указанием сроков выполнения каждого испытания и экспертов органа по аттестации, ответственных за проведение каждого испытания, используемых экспертами при испытаниях средств, а также заключение о
соответствии
(несоответствии)
требованиям по защите информации по каждой проведенной работе и испытанию
✓
рекомендации по устранению несоответствий системы защиты информации ОИ
требованиям по защите информации (далее - недостатки) в случае их выявления при проведении аттестационных испытаний
✓
вывод о возможности или невозможности выдачи аттестата соответствия или о необходимости доработки системы защиты информации ОИ
Порядок, утв. Приказом ФСТЭК России от 29.04.2021
№ 77, п. 18

Гриф
Экз. №
ЗАКЛЮЧЕНИЕ №
по результатам испытаний в рамках аттестации
автоматизированной системы «
»
На основании Договора №
, заключенного с
,
(наименование органа по аттестации)
аттестационная комиссия в составе представителей
(ФИО)
,
(ФИО)
и
(ФИО)
провела испытания в рамках аттестации автоматизированной системы (АС) «
»
,
расположенной по адресу: г.
, ул.
, д.
, помещение №
в составе:
№
п/п
Название
Модель, тип
Заводской номер
1
Системный блок
2
Монитор
3
Клавиатура
4
Манипулятор “Мышь”
5
Принтер по утвержденной и согласованной с заявителем Программе и методике №
от г. проведения аттестационных испытаний автоматизированной системы
«
»
В ходе аттестационных испытаний проведены следующие проверки:
•
проверка достаточности и соблюдения организационно-режимных мер на объекте;
•
испытания объекта на соответствие требованиям по защите информации от несанкционированного доступа к обрабатываемой информации;
•
специальная проверка основных технических средств объекта для выявления возможно внедренных электронных устройств перехвата информации.