П.З. 7.1 Программа и методики проведения аттестационных испытани. Программа и методики проведения аттестационных испытаний объектов информатизации ооо Солнышко
Скачать 86.54 Kb.
|
11.3 Проверка на соответствие организационно-техническим требованиям по защите информации 11.3.1. Проверка ВП на соответствие организационно-техническим требованиям по защите информации проводится в объеме, указанном в таблице 8. Таблица 8
11.3.2. Производится проверка достаточности представленных документов и соответствия их содержания требованиям стандартов и иных руководящих документов по безопасности информации Гостехкомиссии России и других органов государственного управления в пределах компетенции. 11.3.3. Состав и структура технических средств, включенных в реальный технологический процесс обработки информации, сверяется с представленной документацией. 11.3.4. Проверка правильности категорирования ВП производится в соответствии с требованиями раздела 3 СТР на основании следующих исходных данных: максимального уровня конфиденциальности (степени секретности) обрабатываемой в ВП; условий расположения ВП. Указанные исходные данные должны быть подтверждены документально заключениями об уровне конфиденциальности информации, актами, планами размещения и другими документами. Производится категорирование ВП. Результаты категорирования сравниваются с категориями, указанными в актах категорирования. 11.3.5. Проверка уровня подготовки кадров и распределения ответственности производится на основе следующих показателей: экспертной оценки знания инструкций по безопасности информации пользователями; экспертной оценки системы технической учебы и повышения квалификации персонала. Путем опроса персонала проверяется доведение до конкретных исполнителей руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях. 11.3.6. Производится проверка наличия документов, подтверждающих возможность применения технических средств обработки информации, средств защиты для обработки конфиденциальной информации (сертификатов соответствия), экспертиза отчетов и протоколов по специальным исследованиям, предписаний на эксплуатацию, а также их соответствия требованиям нормативных документов. 11.3.7. При проверке помещений производится оценка их соответствия требованиям раздела 4.1.2. СТР, а также требований действующей инструкции по обеспечению режима секретности в министерствах, ведомствах, на предприятиях. 11.3.8. По результатам проверки комиссия должна сделать выводы о соответствии (или несоответствии) предъявленных документов и исходных данных установленным требованиям по безопасности информации. 11.4 Испытания на соответствие требованиям по защите информации от утечки каналам ПЭМИН 11.4.1. Проверка выполнения требований по защите информации от утечки за счет ПЭМИ ОТСС. 11.4.1.1. Проверка проводится в объеме, указанном в таблице 9. Таблица 9
11.4.1.2. Производится выборочная проверка соответствия размеров контролируемой зоны (КЗ) в представленных документах (планы объекта, планы размещения ОТСС и ВТСС, акты обследования и др.) фактическим размерам контролируемой зоны. Определяются минимальные значения расстояний от источников информативных сигналов до границы КЗ. 11.4.1.3. Сравниваются требуемые значения расстояний до границы КЗ, указанные в предписаниях на эксплуатацию ОТСС (радиусы зоны 2), с фактическими значениями этих расстояний. Значения R2 должны укладываться в расстояния от ОТСС до границ КЗ. В противном случае должны применяться дополнительные меры и средства защиты. 11.4.1.4. Проверка средств защиты информации производится по следующим показателям: соответствие видов и типов установленных средств защиты тем, что указаны в предписаниях на эксплуатацию ОТСС (САЗ, экранирующие конструкции, фильтры); наличие сертификатов соответствия на средства защиты; выполнение правил монтажа и эксплуатации средств защиты; наличие актов ввода в эксплуатацию и протоколов контроля средств защиты; работоспособность средств защиты. 11.4.1.5. Производится экспертная оценка результатов контроля эффективности защиты информации в ОТСС по следующим признакам: использованные методики контроля; использованные тестовые средства; полнота проведенных измерений по объему и видам измерений (частотный спектр, режимы работы ОТСС, измеренные составляющие электромагнитного поля, направления распространения информативных сигналов в пространстве); использованная измерительная аппаратура; схема измерений; достоверность результатов измерений. 11.4.1.6. Аппаратурные испытания защищенности информации от утечки за счет ПЭМИ ОТСС производятся выборочно для отдельных средств в соответствии с действующими нормами эффективности защиты информации от утечки за счет ПЭМИН, методиками специальных исследований, утвержденными (согласованными) Гостехкомиссией России. 11.4.2. Проверка выполнения требований по защите информации от утечки за счет наводок на вспомогательные средства и системы. 11.4.2.1. Проверка проводится в объеме, указанном в табл. 10. Таблица 10
11.4.2.2. Производится проверка выполнения требований по размещению вспомогательных технических средств и систем (ВТСС), имеющих выход за пределы контролируемой зоны объекта, на расстояниях не менее чем г и г' от основных технических средств и систем (ОТСС), обрабатывающих конфиденциальную информацию, где г и г'- требуемые в соответствии с разделом 5 СТР минимальные расстояния, согласно предписаниям на эксплуатацию ОТСС. 11.4.2.3. Производятся выборочные аппаратурные испытания защищенности информации от утечки за счет наводок на ВТСС в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России. 11.4.3. Проверка выполнения требований по защите информации от утечки по цепям заземления и электропитания. 11.4.3.1. Проверка проводится в объеме, указанном в таблице 11. Таблица 11
11.4.3.2 Производится проверка выполнения требований разделов 9 и 10 СТР по выполнению схемы энергопитания ОТСС: по размещению трансформаторной подстанции; по монтажу фидерных линий, их экранированию и фильтрации; по монтажу САЗ и сетевых фильтров. 11.4.3.3. Производится проверка выполнения следующих требований: по размещению очага заземления и величине его сопротивления; наличию протоколов измерения величины сопротивления току растекания очага заземления; отсутствию соединений системы заземления с металлоконструкциями, выходящими за пределы контролируемой зоны. 11.4.3.4. Производятся выборочные аппаратурные испытания защищенности информации от утечки по цепям заземления и электропитания ОТСС в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России. 11.4.5. Комплексные испытания ВП на соответствие требованиям по защите информации от утечки за счет ПЭМИН. Комплексные испытания ВП проводятся в рабочих эксплутационных режимах технических средств и средств защиты информации. При этом оценивается работоспособность средств защиты информации, а также средств контроля и сигнализации и их электромагнитная совместимость со средствами обработки информации. В процессе испытаний по выбору комиссии могут моделироваться нештатные ситуации, связанные с выходом из строя средств защиты и т.п. 11.4.6. Рекомендации по результатам испытаний. По результатам испытаний должны быть сделаны выводы о соответствии (или несоответствии) ВП требуемому уровню защиты информации от утечки за счет ПЭМИН. Комиссия может рекомендовать следующие меры по устранению недостатков: применение дополнительных организационных и технических мер по защите информации; применение дополнительных сертифицированных средств защиты информации; исключение отдельных технических средств, обрабатывающих конфиденциальную информацию, из состава ВП. 11.5 Испытания на соответствие требованиям по защите информации от утечки по акустическому и виброакустическому каналам 11.5.1. Проверка проводится в объеме, указанном в таблице 12. Таблица 12
11.5.3. Производится проверка соответствия фактического расположения и конструкции ВП требованиям по виброакустической защите. Определяются разведопасные направления. 11.5.4. Проверка средств защиты информации производится по следующим показателям: соответствие видов и типов установленных средств защиты тем, что указаны в паспорте на выделенное помещение; наличие сертификатов соответствия на средства защиты; выполнение правил монтажа и эксплуатации средств защиты; наличие актов ввода в эксплуатацию и протоколов контроля средств защиты; работоспособность средств защиты. 11.5.5. Аппаратурные испытания защищенности информации от утечки по акустическому каналам производятся в местах возможного перехвата информации, в соответствии с требованиями п. 4.1.4. СТР, по методикам утвержденным (согласованным) Гостехкомиссией России. 11.5.6. Аппаратурные испытания защищенности информации от утечки по виброакустическому каналам производятся в местах возможного перехвата информации, в соответствии с требованиями п. 4.1.5. СТР, по методикам утвержденным (согласованным) Гостехкомиссией России. 11.6 Проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации Проверяется наличие актов или заключений о специальной проверке импортных ОТСС и ВТСС, установленных в ВП. 11.7 Подготовка отчетной документации Результаты аттестационных испытаний ВП по всем рассмотренным выше направлениям обеспечения безопасности информации оформляются протоколом испытаний. На основании полученных результатов испытаний составляется заключение, которое должно включать: оценку соответствия ВП требованиям по безопасности информации; вывод о возможности выдачи «Аттестата соответствия»; перечень выявленных недостатков и нарушений. 11.8 Подготовка отчетной документации по аттестации выделенных помещений и средств вычислительной техники, оценка результатов испытаний 11.8.1. Результаты аттестационных испытаний оформляются протоколом испытаний, в общем случае содержащим: состав комиссии, дату испытаний, наименование объекта аттестационных испытаний; цель испытаний; перечень нормативных документов и методик испытаний; результаты испытаний на момент окончания. 11.8.2. На основании полученных результатов испытаний принимается заключение, которое должно включать: оценку соответствия объекта информатизации требованиям по безопасности информации; перечень выявленных недостатков и нарушений; рекомендации по устранению выявленных недостатков и нарушений; вывод о возможности выдачи «Аттестата соответствия». 11.8.3. Оценка соответствия объекта информатизации требованиям по безопасности информации производится на основании анализа общих результатов испытаний и выявленных в процессе испытаний конкретных недостатков и нарушений. 11.8.4. В случае несоответствия объекта информатизации установленным требованиям по защите информации комиссия может рассмотреть предложения заявителя по оперативному устранению выявленных недостатков и нарушений. При этом могут рекомендоваться следующие меры: доработка организационно-распорядительной документации; снижение класса объекта ВТ; исключение отдельных средств из состава объекта ВТ; применение дополнительных организационно-технических мер защиты; применение дополнительных сертифицированных средств защиты информации. 11.8.5. Если в процессе аттестационных испытаний выявлены недостатки, не приводящие к нарушениям установленных требований и норм защищенности информации, то комиссия может рекомендовать следующие меры: оперативное устранение выявленных недостатков в процессе аттестационных испытаний; устранение установленных недостатков и нарушений в согласованные с комиссией сроки с представлением необходимых документов в Орган по аттестации; проведение дополнительных частичных испытаний в согласованные сроки и по дополнительному соглашению. Руководитель аттестационной комиссии Л.М. Марков Члены аттестационной комиссии В.И. Афанасьева А.А. Дынин Е.Р. Волгин |