1.2.7 Л ИБ 512 Аттестация ОИ-1. Филиалы СанктПетербург, Казань, Уфа, Челябинск, Хабаровск

от г.,
;
• Заключение по результатам специальной проверки, №
• Копия лицензии ФСБ России №
от
., выданной
;
• Протокол №
комплексных испытаний автоматизированной системы «
»
на соответствие требованиям по защите от несанкционированного доступа к обрабатываемой информации, уч. №
от
. 2007 г.,
;
• Копия лицензии ФСТЭК №
от г., выданной
;
• Копия Аттестата аккредитации органа по аттестации ФСТЭК России №
от г., выданного
;
информации;
• Эксплуатационная документация и сертификаты на применяемые средства защиты
• Нормативная и методическая документация по защите информации.
1. Результаты изучения технологического процесса обработки и хранения
конфиденциальной информации, анализ информационных потоков, определение
состава использованных для обработки конфиденциальной информации
технических средств
(п. 5.1. Программы и методики проведения аттестационных испытаний автоматизированной системы..., №
от г.)
1.
В соответствии с п. 2.4 руководящего документа Гостехкомиссии России
«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) Заявителем было принято решение о нецелесообразности выполнения:
• испытаний на соответствие требованиям по защите информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) основных технических средств объекта;
• испытаний на соответствие требованиям по защите информации от утечки по цепям систем электропитания и заземления технических средств объекта, согласно п. 2.3
Программы и методики
№
от г.
проведения аттестационных испытаний автоматизированной системы «
»
2.
По результатам изучения описания технологического процесса обработки информации (№ от .
г.), анализа схемы информационных потоков
(Приложение к Описанию технологического процесса…, № от .
г.) и определения состава используемых для обработки технических средств, а также в соответствии с изложенным в п.1.1. настоящего Заключения, выявлены следующие возможные угрозы для защищаемой информации в автоматизированной системе
«
»
:
• утечка информации вследствие несоблюдения организационно-режимных мер;
• несанкционированный доступ к защищаемой информации в АС, включая воздействие на АС вредоносных программ (вирусов).
Представленное описание технологического процесса
(№
от г.)
соответствует реальному процессу и не требует уточнений.
2. Результаты аттестационной проверки
организационно-режимных мер по защите информации.
(п. 5.2 Программы и методики проведения аттестационных испытаний...,
№
от г.)
1. Представленные документы достаточны и их содержание соответствует требованиям СТР-К.
2. Состав и структура программно-аппаратных средств автоматизированной системы,
включенных в
реальный технологический процесс обработки защищаемой информации, а также их размещение в помещении №
соответствуют представленной документации. Существующая на объекте практика обработки и хранения конфиденциальной информации соответствует представленному описанию технологического процесса (№ от г.). Носители конфиденциальной информации, используемые в процессе ее обработки, учтены установленным порядком.
3. Инструкция по обеспечению защиты конфиденциальной информации, обрабатываемой в
автоматизированной системе
«
»
(№ от г.) соответствует по своим полноте и составу требованиям СТР-К.
4. По установленным классификационным признакам АС «
» относится к классу
3Б,
что соответствует представленному
Акту классификации автоматизированной системы
«
»
…
(№
от г.) и удовлетворяет требованиям РД Гостехкомиссии России
«Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» и п. 5.2.3 СТР-К.
5. Сотрудники
, осуществляющие эксплуатацию АС, имеют определённый опыт и стаж работы с конфиденциальной информацией и её защитой (Данные по уровню подготовки кадров…, №
от г.). Выборочный опрос вышеуказанных сотрудников показал, что содержание руководящих документов,
инструкций по обеспечению защиты конфиденциальной информации доведено до конкретных исполнителей.
6. В
имеются документы о разрешительной системе доступа персонала к АС:
− Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы «
», №
от
. 2007 г.;
− Перечень лиц,
обслуживающих автоматизированную систему
«
»
, №
от
. 2007 г.;
− Перечень лиц, имеющих право самостоятельного доступа в помещение №
с автоматизированной системой «
»
, №
от
. 2007 г.
Распределение ответственности персонала за выполнение требований по безопасности информации отражено в Инструкции по обеспечению защиты конфиденциальной информации, обрабатываемой в автоматизированной системе «
»
(№
от г.).
2.7 Автоматизированная система «
» оснащена лицензионными копиями программного обеспечения,
согласно
Состава программного обеспечения автоматизированной системы
«
»
(№ от г.).
69

2.8. Автоматизированная система
«
»
оснащена сертифицированным средством защиты информации - программно-аппаратным комплексом защиты информации от несанкционированного доступа «
» (Сертификат ФСТЭК
России №
от г., действителен до г.).
2.9. Помещение №
, в котором находится АС «
», расположено на _- ом этаже административного здания и отвечает требованиям режима, обеспечивающего обработку данных конфиденциального характера:
- по окончании работы помещение №
запирается и опечатывается;
- выдача ключа от входной двери производится только сотрудникам, имеющим право самостоятельного доступа в помещение № , согласно Перечня лиц, имеющих право самостоятельного доступа в помещение № … (№
от г.);
- уборка помещения производится в присутствии лиц, имеющих право самостоятельного доступа в помещение, согласно Перечня лиц, имеющих право самостоятельного доступа в помещение № … (№
от г.);
- в случае ухода из помещения в рабочее время, помещение закрывается на ключ;
- исключена возможность несанкционированного просмотра информации с монитора, с распечаток принтера лицами, не имеющими права доступа к обрабатываемой информации;
- в случае обнаружения факта несанкционированного проникновения в помещение проводится расследование, организуемое
(должность),
с обязательным составлением Акта.
3. Результаты аттестационных испытаний на соответствие
требованиям по защите информации от НСД.
(п. 5.3 Программы и методики проведения аттестационных испытаний автоматизированной системы..., №
от г.)
3.1. Для обеспечения уровня защищенности по классу 3Б в АС «
»
установлена и настроена система защиты информации (СЗИ) от несанкционированного доступа (НСД) «
»,
имеющая действующий сертификат ФСТЭК России № от г. (действителен до г.) (Акт установки…, № от . . г.).
3.2. В соответствии с Протоколом № комплексных испытаний автоматизированной системы «
»
на соответствие требованиям по защите от несанкционированного доступа к обрабатываемой информации (уч. № от г.,
) АС «
» соответствует требованиям к автоматизированным системам класса защищенности 3Б, предъявляемым:
- руководящим документом Гостехкомиссии России «Автоматизированные системы.
Защита от несанкционированного доступа к
информации.
Классификация автоматизированных систем и требования по защите информации»;
- руководящим документом Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации».
4. Проверка технических средств объекта, для выявления возможно внедренных
электронных устройств перехвата информации
(п. 5.4. Программы и методики проведения аттестационных испытаний объекта информатизации..., №
от г.)
1.
Все основные технические средства и системы, входящие в состав объекта информатизации «
»
, прошли специальную проверку на наличие возможно внедренных электронных устройств перехвата информации.
Результаты проверки оформлены в Заключениях по результатам специальной проверки:
-
№
от г.,
;
-
№
от г.,
2.
Защищенность информации, обрабатываемой в автоматизированной системе, от утечки за счет специальных электронных устройств съема информации соответствует требованиям нормативных документов, предъявляемым к автоматизированным системам, используемым для обработки конфиденциальной информации.
1.
Комплексная система защиты автоматизированной системы
«
»
соответствует нормативным требованиям по безопасности информации, предъявляемым к автоматизированной системе класса защищенности 3Б.
2.
Рекомендовать выдачу Аттестата соответствия автоматизированной системы
«
»
сроком на 3 года при условии обеспечения заявителем неизменности условий функционирования и технологии обработки информации,
установленных в процессе аттестационных испытаний.
3. Обеспечить проведение ежегодного инструментального контроля эффективности системы защиты автоматизированной системы «
».
Члены аттестационной комиссии
5. Выводы и рекомендации
70

Аттестат соответствия
71
• Новая форма аттестата соответствия
• Аттестат выдается на весь срок
эксплуатации ОИ
• Подписывается руководителем органа по аттестации и заверяется печатью органа аттестации (при наличии)
• Передача аттестата соответствия владельцу ОИ:
•
Вручение
•
Направление заказным письмом с уведомлением о вручении
•
Орган по аттестации направляет во ФСТЭК аттестат и сопроводительные документы в электронном виде в течение 5 рабочих дней с момента подписания
Порядок, утв. Приказом ФСТЭК России от 29.04.2021
№ 77, п. 22, 27, 31

Новая форма аттестата соответствия:
содержание
1) Сведения об аттестуемом ОИ:
•
Наименование ОИ
•
Класс защищенности
•
Категория значимого объекта
•
Владелец ОИ
•
Требования по защите информации, на соответствие которым проводилась аттестация
2) Отсылка к техническому паспорту ОИ – в котором состав программных, программно-технических средств и средств защиты информации
3) Вывод о соответствии организационных и технических условий требованиям
4) Основания выдачи аттестата:
•
Аттестационные испытания
•
Программа и методики
•
Разрешение на обработку информации конфиденциального характера в ОИ
5) Реквизиты заключения
6) Запреты и ограничения при эксплуатации ОИ
7) Лицо, ответственное за контроль уровня защиты информации
72

Новая форма аттестата соответствия: номер
73
Номер аттестата соответствия в формате XXXX.XXXXX.XXXX
Первая группа знаков содержит число от
0001
до
9999,
указывающие на номер лицензии
ФСТЭК России на деятельность по технической защите информации,
выданной органу по аттестации.
Вторая группа знаков содержит число от
00001
до
99999,
указывающее на номер аттестованного ОИ в системе учета органа по аттестации.
Третья группа знаков содержит число, указывающее на год выдачи аттестата соответствия

Новая форма аттестата соответствия
74

Эксплуатация аттестованного объекта
информатизации
При эксплуатации аттестованного объекта информатизации не допускается:
• вносить несанкционированные изменения в конфигурацию программных,
программно-технических средств,
средств защиты информации;
• осуществлять несанкционированную замену программных,
программно-технических средств, средств защиты информации на аналогичные средства;
• вносить изменения в
архитектуру системы защиты защиты информации, изменять состав, структуру системы информации;
• проводить обработку информации в случае приостановки действия аттестата соответствия в соответствиис решением
ФСТЭК России;
• проводить обработку информации в неисправностей в системе защиты случае обнаружения информации объекта информатизации;
• проводить обработку информации в случае обнаружения инцидента безопасности.
75

Обжалование отказа органа по аттестации в
выдаче аттестата
Основание отказа в выдаче аттестата – в случае выявления недостатков,
которые нельзя устранить в ходе аттестации
Кто
Что делает
Сроки
Владелец
ОИ
Направляет письменное обращение с обоснованием своего несогласия с выявленными органом аттестации недостатками и документами в тер. орган ФСТЭК по месту нахождения ОИ ( для федеральных органов и гос.
корпораций – центральный аппарат ФСТЭК)
5 рабочих дней с момента получения заключения и протоколов
ФСТЭК
Оценка обращения и приложенных документов.
10 календарных дней с момента поступления обращения
ФСТЭК
По согласованию с владельцем ОИ может проводить контрольные испытания на ОИ
? 10 календарных дней
ФСТЭК
Направляет решение по результатам проверки:
- Если выявлено несоответствие аттестационных испытаний и выводов органа аттестации – уведомление о необходимости устранения выявленных недостатков в орган аттестации и выдаче аттестата (срок указан в уведомлении), копия владельцу ОИ
- Несоответствие не выявлено, аттестат не выдается,
результаты направляются владельцу ОИ для устранения недостатков
?
76

К обращению прилагаются в электронном виде копии следующих документов:
Что необходимо приложить к обращению
а) технического паспорта на ОИ
б)
акта классификации информационной
(автоматизированной) системы (акта категорирования значимого объекта);
в)
программы и
методик аттестационных испытаний ОИ
Приложения
Порядок, утв. Приказом ФСТЭК России от
29.04.2021 № 77, п. 24 77

Внесение сведений об аттестованном ОИ
Кто
Что делает
Сроки
Орган аттестации
Передает во ФСТЭК копии а) аттестата соответствия ОИ;
б) технического паспорта на ОИ
в) акта классификации информационной
(автоматизированной) системы, акта категорирования значимого объекта;
г) программы и методик аттестационных испытаний ОИ д) заключения и протоколов.
5 рабочих дней после подписания аттестата соответствия
ФСТЭК
/тер. орган
Вносит сведения об ОИ в реестр аттестованных ОИ
3 рабочих дня со дня получения документов
ФСТЭК \
тер. орган
Проводит экспертно-документальную оценку документов
После внесения сведений в реестр аттестованных ОИ
ФСТЭК
Направляет решение по результатам экспертно- документальной оценки:
- Если выявил недостатки, приводящие к угрозе безопасности информации – заключение, содержание описание выявленных недостатков, рекомендации по устранению и сроки. Направляет владельцу ОИ и органу аттестации
- Если выявил недостатки, не приводящие к угрозе безопасности информации – только письмо в орган аттестации с целью учета рекомендаций
?
78

Поддержка безопасности аттестованного ОИ
Обязанности владельца ОИ:
• обеспечивать поддержку безопасности ОИ в соответствии с аттестатом соответствия путем реализации требований по защите информации в ходе эксплуатации аттестованного
ОИ
• Проводить периодический контроль уровня защиты информации на аттестованном
ОИ
79
Периодический контроль:
• Отражается в техническом паспорте на ОИ
• Оформляется протоколами контроля защиты информации, которые не реже 1 раза в 2 года направляются во ФСТЭК (тер.
орган)
Непредставление протоколов –
основание для приостановления аттестата.
Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77, п. 31,32

Изменение аттестованного ОИ
Аттестационные испытания без прекращения действия аттестата соответствия:
•
изменена конфигурация (параметры настройки) программных, программно- технических средств и средств защиты информации
•
исключены программные, программно- технические средства и средства защиты информации
•
дополнительно включены аналогичных средств или заменены на аналогичные средства
Сведения об изменениях аттестованного ОИ и проведенных при этом аттестационных испытаниях включаются владельцем ОИ в технический паспорт.
Повторная аттестация:
•
повышение класса защищенности (уровня защищенности, категории значимости) объекта информатизации
•
изменение архитектуры системы защиты информации
ОИ в части:
•
изменения видов и типов программных, программно- технических средств и средств защиты информации,
•
изменения структуры системы защиты информации,
•
изменения состава и мест расположения объекта информации и его компонентов
Порядок, утв. Приказом ФСТЭК России от 29.04.2021 № 77, п. 33 80 80