П.З. 7.1 Программа и методики проведения аттестационных испытани. Программа и методики проведения аттестационных испытаний объектов информатизации ооо Солнышко
Скачать 86.54 Kb.
|
9.4 Проверка на соответствие организационно-техническим требованиям по защите информации Проверка объекта ВТ на соответствие организационно-техническим требованиям по защите информации проводится в объеме, указанном в таблице 2. Таблица 2
9.4.2. Производится проверка достаточности представленных документов и соответствия их содержания требованиям стандартов и иных руководящих документов по безопасности информации Гостехкомиссии России и других органов государственного управления в пределах компетенции. 9.4.3. Состав и структура программно-технических средств, включенных в реальный технологический процесс обработки информации, сверяется с представленной документацией. 9.4.4. Проверка правильности классификации ВТ производится в соответствии с требованиями РД Гостехкомиссии России «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» и раздела 6 СТР на основании следующих определяющих признаков: уровней конфиденциальности (степени секретности) обрабатываемой информации; уровней полномочий по доступу к конфиденциальной информации различных пользователей; режимов обработки данных на объекте ВТ - многопользовательский или однопользовательский; максимального уровня конфиденциальности обрабатываемой информации. Полученный класс объекта ВТ сравнивается с установленным на объекте аттестации. 9.4.5. Проверка правильности категорирования объектов ВТ производится в соответствии с требованиями раздела 3 СТР на основании следующих исходных данных: максимального уровня конфиденциальности (степени секретности) обрабатываемой на объекте ВТ информации; условий расположения объекта ВТ. Указанные исходные данные должны быть подтверждены документально заключениями об уровне конфиденциальности информации, актами, планами размещения и другими документами. Производится категорирование объектов ВТ. Результаты категорирования сравниваются с категориями, указанными в актах категорирования соответствующих объектов ВТ. 9.4.6 Проверка уровня подготовки кадров и распределения ответственности производится на основе следующих показателей: экспертной оценки знания инструкций по безопасности информации пользователями и эксплуатационным персоналом; наличия разрешительной системы доступа персонала к защищаемым ресурсам, определяющей полномочия по доступу к конфиденциальной информации и процедуры их оформления, системы распределения ответственности персонала за выполнение требований по безопасности информации, оформленной приказами и распоряжениями руководителя предприятия (объекта информатизации); экспертной оценки системы технической учебы и повышения квалификации персонала и пользователей объекта ВТ. Путем опроса персонала проверяется доведение до конкретных исполнителей руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях. 9.4.7. Производится проверка наличия документов, подтверждающих возможность применения технических и программных средств ВТ, средств защиты для обработки конфиденциальной информации (сертификатов соответствия), экспертиза отчетов и протоколов по специальным исследованиям СВТ, предписаний на эксплуатацию СВТ, а также их соответствия требованиям нормативных документов. 9.4.8. При проверке помещений производится оценка их соответствия требованиям действующей инструкции по обеспечению режима секретности в министерствах, ведомствах, на предприятиях. Производится проверка выполнения требований руководящих документов по условиям размещения СВТ в рабочих помещениях, которые исключали бы возможность несанкционированного просмотра информации с экранов мониторов, с распечаток принтеров и с других устройств ввода-вывода информации лицами, не имеющими права доступа к обрабатываемой информации. Если средства ВТ установлены в выделенных помещениях, то проверяются документы, подтверждающие защищенность информации в этих средствах от утечки за счет электроакустических преобразований в соответствии с требованиями раздела 4 СТР. 9.4.9. По результатам проверки комиссия должна сделать выводы о соответствии (или несоответствии) предъявленных документов и исходных данных установленным требованиям по безопасности информации. 9.5 Испытания на соответствие требованиям по защите информации от утечки по каналам ПЭМИН 9.5.1. Проверка выполнения требований по защите информации от утечки за счет ПЭМИ СВТ. 9.5.1.1. Проверка проводится в объеме, указанном в табл. 3. Таблица 3
9.5.1.2. Производится выборочная проверка соответствия размеров контролируемой зоны (КЗ) в представленных документах (планы объекта, планы размещения СВТ, акты обследования и др.) фактическим размерам контролируемой зоны. Определяются минимальные значения расстояний от источников информативных сигналов до границы КЗ. 9.5.1.3. Сравниваются требуемые значения расстояний до границы КЗ, указанные в предписаниях на эксплуатацию СВТ (радиусы зоны 2), с фактическими значениями этих расстояний. Значения R2 должны укладываться в расстояния от СВТ до границ КЗ. В противном случае должны применяться дополнительные меры и средства защиты. 9.5.1.4. Проверка средств защиты информации производится по следующим показателям: соответствие видов и типов установленных средств защиты тем, что указаны в предписаниях на эксплуатацию СВТ (САЗ, экранирующие конструкции, фильтры); наличие сертификатов соответствия на средства защиты; выполнение правил монтажа и эксплуатации средств защиты; наличие актов ввода в эксплуатацию и протоколов контроля средств защиты; работоспособность средств защиты. 9.5.1.5. Производится экспертная оценка результатов контроля эффективности защиты информации в СВТ по следующим признакам: использованные методики контроля; использованные тестовые средства; полнота проведенных измерений по объему и видам измерений (частотный спектр, режимы работы СВТ, измеренные составляющие электромагнитного поля, направления распространения информативных сигналов в пространстве); использованная измерительная аппаратура; схема измерений; достоверность результатов измерений. 9.5.1.6. Аппаратурные испытания защищенности информации от утечки за счет ПЭМИ СВТ производятся выборочно для отдельных СВТ в соответствии с действующими нормами эффективности защиты информации от утечки за счет ПЭМИН, методикой контроля защищенности объектов ВТ, методиками специальных исследований СВТ, утвержденными (согласованными) Гостехкомиссией России. 9.5.2. Проверка выполнения требований по защите информации от утечки за счет наводок на вспомогательные средства и системы. 9.5.2.1. Проверка проводится в объеме, указанном в таблице 4.. Таблица 4
9.5.2.2. Производится проверка выполнения требований по размещению вспомогательных технических средств и систем (ВТСС), имеющих выход за пределы контролируемой зоны объекта, на расстояниях не менее чем г и г' от основных технических средств и систем (ОТСС), обрабатывающих конфиденциальную информацию, где г и г'- требуемые в соответствии с разделом 5 СТР минимальные расстояния, согласно предписаниям на эксплуатацию СВТ. 9.5.2.3. Производятся выборочные аппаратурные испытания защищенности информации от утечки за счет наводок на ВТСС в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России. 9.5.3. Проверка выполнения требований по защите информации от утечки по цепям заземления и электропитания. 9.5.3.1. Проверка проводится в объеме, указанном в табл. 5. Таблица 5
9.5.3.2. Производится проверка выполнения требований разделов 9 и 10 СТР по выполнению схемы энергопитания средств ВТ: по размещению трансформаторной подстанции; по монтажу фидерных линий, их экранированию и фильтрации; по монтажу САЗ и сетевых фильтров. 9.5.3.3. Производится проверка выполнения следующих требований: по размещению очага заземления и величине его сопротивления; наличию протоколов измерения величины сопротивления току растекания очага заземления; отсутствию соединений системы заземления с металлоконструкциями, выходящими за пределы контролируемой зоны. 9.5.3.4. Производятся выборочные аппаратурные испытания защищенности информации от утечки по цепям заземления и электропитания СВТ в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России. 9.5.4.Проверка выполнения требований по защите информации от утечки по кабельным линиям передачи данных СВТ и сетей связи. Производится проверка выполнения требований по размещению вспомогательных технических средств и систем (ВТСС), имеющих выход за пределы контролируемой зоны объекта, на расстояниях не менее чем г и г' от основных технических средств и систем (ОТСС), обрабатывающих конфиденциальную информацию, где г и г'- требуемые в соответствии с разделом 5 СТР минимальные расстояния, согласно предписаниям на эксплуатацию СВТ. Проверка проводится в объеме, указанном в таблице 6. Таблица 6
Производятся выборочные аппаратурные испытания защищенности информации от утечки за счет наводок на ВТСС в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России. 9.5.5. Комплексные испытания объекта ВТ на соответствие требованиям по защите информации от утечки за счет ПЭМИН. Комплексные испытания объекта ВТ проводятся в рабочих эксплутационных режимах технических средств и средств защиты информации. При этом оценивается работоспособность средств защиты информации, а также средств контроля и сигнализации и их электромагнитная совместимость со средствами обработки информации. В процессе испытаний по выбору комиссии могут моделироваться нештатные ситуации, связанные с выходом из строя средств защиты и т.п. |