Главная страница
Навигация по странице:

  • 3. Цели и задачи аттестационных испытаний

  • 4. Условия проведения аттестационных испытаний

  • 5. Мероприятия по контролю за состоянием и эффективностью защиты информации на объекте

  • 8. Работы, выполняемые в ходе аттестационных испытаний АС

  • 9. Методика аттестационных испытаний объектов вычислительной техники по требованиям безопасности информации 9.1 Общие положения

  • 9.2 Условия и порядок проведения аттестационных испытаний

  • 9.3 Изучение технологического процесса автоматизированной обработки информации

  • П.З. 7.1 Программа и методики проведения аттестационных испытани. Программа и методики проведения аттестационных испытаний объектов информатизации ооо Солнышко


    Скачать 86.54 Kb.
    НазваниеПрограмма и методики проведения аттестационных испытаний объектов информатизации ооо Солнышко
    Дата19.04.2023
    Размер86.54 Kb.
    Формат файлаdocx
    Имя файлаП.З. 7.1 Программа и методики проведения аттестационных испытани.docx
    ТипПрограмма
    #1075196
    страница1 из 4
      1   2   3   4

    Программа и методики проведения аттестационных испытаний объектов информатизации

    ООО «Солнышко»

    1. Принятые сокращения

    AC - автоматизированные системы

    ВТСС - вспомогательные технические средства и системы

    МЭ - межсетевой экран

    НСД - несанкционированный доступ

    ОТСС - основные технические средства и системы

    ПЭМИН - побочные электромагнитные излучения и наводки

    РД - руководящий документ

    СВТ - средства вычислительной техники

    СЗИ - система защиты информации

    СЗИ НСД - система защиты информации от несанкционированного доступа
    2. Общие положения

    «Программа и методики проведения аттестационных испытаний объектов информатизации» определяет порядок, методы, условия и объем проведения аттестационных испытаний объектов информатизации на соответствие требованиям по безопасности информации.

    Аттестационные испытания проводятся на соответствие требованиям организационно-распорядительных и нормативных документов по защите информации, в реальных условиях эксплуатации объектов информатизации в соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации», утвержденном Председателем Гостехкомиссии России от 25. 11.94г.

    Аттестационные испытания проводятся в соответствии с порядком, определяемым следующим основным перечнем работ для каждого объекта информатизации:

    • анализ и оценка исходных данных и документации по защите информации на объекте информатизации;

    • проверка соответствия представленных заявителем исходных данных реальным условиям размещения, монтажа и эксплуатации технических средств, изучение технологического процесса обработки, передачи и хранения секретной информации, анализ информационных потоков, определение состава использованных для обработки, передачи и хранения секретной информации технических средств;

    • проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности категорирования выделенных помещений и технических средств и систем объектов информатизации, классификации автоматизированных систем (АС), оценка полноты и уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;

    • испытания инженерного оборудования объекта информатизации, отдельных технических и программных средств АС, средств и систем защиты информации на соответствие требованиям защиты информации по утвержденным или согласованным с заявителем методикам испытаний;

    • комплексные испытания объекта информатизации на соответствие требованиям по защите информации;

    • подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта информатизации установленным требованиям, которые представляются в орган по аттестации для принятия решения о выдаче «Аттестата соответствия».

    При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:

    • экспертно-документальный метод,

    • измерение и оценка уровней защищенности для отдельных технических средств и каналов утечки информации;

    • проверка функций или комплекса функций защиты информации от несанкционированного доступа (НСД) с помощью тестирующих средств, а также путем пробного запуска средств защиты информации от НСД и наблюдения за их выполнением.

    Экспертно-документальный метод предусматривает проверку соответствия объекта информатизации установленным требованиям на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер защиты информации, а также соответствия реальных условий эксплуатации требованиям по размещению, монтажу и эксплуатации технических средств.

    Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием поверенной контрольно-измерительной аппаратуры

    Проверка и испытания функций или комплекса функций защиты информации от НСД с помощью тестирующих средств проводятся для отдельных средств АС (технических и программных) или программно-технической среды в целом по выбору аттестационной комиссии.

    В процессе испытаний технических и программных средств используются тестирующие средства, принятые в установленном порядке.

    3. Цели и задачи аттестационных испытаний

    Целью аттестационных испытаний АС является оценка соответствия данных объекта информатизации требованиям руководящих документов по защите информации.

    Задачей аттестационных испытаний является оценка соответствия условий эксплуатации объектов информатизации требованиям по защите информации:

    • от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) - объектов ВТ;

    • от утечки за счет электронных устройств перехвата информации - объектов ВТ;

    • от несанкционированного доступа (НСД) - объектов ВТ;

    • от утечки акустической информации;

    • от утечки видовой информации.



    4. Условия проведения аттестационных испытаний

    Аттестация объектов информатизации проводится аттестационной комиссией в составе :

    • руководитель аттестационной комиссии,

    • члены комиссии

    и по утвержденной и согласованной программе испытаний, аккредитованной Гостехкомиссией России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации №СЗИ RU.0001.01БИ00.Б018 от 18 апреля 2017 г, лицензия Гостехкомиссии России №2322 от 21 апреля 2017 г.).

    При проведении аттестационных испытаний аттестационная комиссия руководствуется:

    • «Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утвержденного постановлением Правительства от 15.09.93 № 912-51,

    • «Положением по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г.);

    • «Специальными требованиями и рекомендациями по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (СТР), Гостехкомиссия России, 1997 г;

    • «Моделью иностранных технических разведок до 2010 года (Модель ИТР-2010)», Гостехкомиссия России;

    • Сборником «Нормативно-методические документы и порядок проведения работ по защите информации при обработке ее на средствах ЭВТ» (согласован с Заместителем Председателя Гостехкомиссии России в 1997 году);

    • Сборником методических материалов по проведению специальных исследований технических средств АСУ и ЭВМ, предназначенных для работы с секретной информацией, Гостехкомиссия, 1978 г.;

    • Сборником норм по защите информации от утечки за счет побочных электромагнитных излучений и наводок, Гостехкомиссия России, 1998 год.

    • Сборником руководящих документов по защите информации от несанкционированного доступа, Гостехкомиссия России, 1998 г.

    5. Мероприятия по контролю за состоянием и эффективностью защиты информации на объекте

    В соответствии с требованиями «Временных методических указаний по проведению контроля состояния системы защиты информации в учреждениях» введенных в действие приказом Председателя Гостехкомиссии России 21 июня 2002 года и Специальными требованиями и рекомендациями, после выдачи аттестата не реже 1 раза в год планируется проводить контроль за состоянием и эффективностью защиты информации на объекте информатизации.
    6. Перечень представленных документов

    Для проведения аттестационных испытаний комиссии были представлены следующие документы:

    • Сертификаты соответствия требованиям по безопасности информации на средства и системы обработки и передачи информации, используемые средства защиты информации;

    • Данные по уровню подготовки кадров, обеспечивающих защиту информации;

    • Данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;

    • Нормативную и методическую документацию по защите информации и контролю эффективности защиты.

    7. Описание ОИ

    Объектами аттестационных испытаний являются автоматизированная система, состоящая из компонентов в таблице 1.

    Таблица 1

    п/п

    Название

    Модель, тип

    Заводской номер

    1

    Системный блок

    Samsung TX-WN

    FGD1453JkfDB

    2

    Накопитель на жёстких магнитных дисках (НЖМД)

    Toshiba

    GDFG142-34

    3

    Монитор

    Samsung S24E391HL

    14622.7544

    4

    Клавиатура

    Genius KB-06XE

    FlfkSFF642ggf

    5

    Мышь

    Genius NetScroll EYE

    65599-3229-49393

    6

    Многофункциональное устройство (МФУ)

    LaserJet Pro M104a

    OPFD1340DS


    8. Работы, выполняемые в ходе аттестационных испытаний АС

    Аттестационные испытания АС включают:

    • анализ организационной структуры объекта информатизации;

    • анализ и оценка исходных данных и документации по защите информации на полноту содержания;

    • изучение технологического процесса обработки и хранения конфиденциальной информации, анализ информационных потоков, определение состава использованных для обработки защищаемой информации средств ВТ;

    • проверка состояния организации работ и выполнения организационно-технических требований по защите информации;

    • оценка правильности классификации объектов информатизации;

    • оценка правильности категорирования объектов информатизации;

    • оценка полноты и уровня разработки организационно-распорядительной и эксплуатационной документации и ее соответствия требованиям нормативной документации по защите информации;

    • оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации;

    • испытания отдельных технических и программных средств, средств и систем защиты информации, на соответствие требованиям безопасности информации по утвержденным или согласованным методикам испытаний;

    • комплексные испытания объектов информатизации на соответствие требованиям безопасности информации в реальных условиях эксплуатации путем проверки фактического выполнения, установленных требований на различных этапах технологического процесса обработки защищаемой информации;

    • подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии объектов информатизации требованиям по безопасности информации.

    9. Методика аттестационных испытаний объектов вычислительной техники по требованиям безопасности информации

    9.1 Общие положения

    Настоящая методика определяет условия и порядок проведения аттестационных испытаний объектов информатизации ООО «Солнышко» на соответствие требованиям по безопасности информации.

    Объектом аттестационных испытаний являются оценкой соответствия продукции в форме испытаний.

    Целью аттестационных испытаний объектов информатизации по требованиям безопасности информации является оценка соответствия данных объектов информатизации требованиям руководящих документов по защите информации.

    9.2 Условия и порядок проведения аттестационных испытаний

    Аттестационные испытания проводятся в эксплуатационных режимах работы объекта ВТ с использованием тестирующих технических и программных средств.

    Для проведения испытаний объектов вычислительной техники заявитель представляет аттестационной комиссии следующие исходные данные и документацию:

    • оформленный технический паспорт на объект ВТ (в соответствии с приложением №5 СТР);

    • акт категорирования объекта ВТ (в соответствии с приложением №9 СТР);

    • акт классификации объекта ВТ по требованиям защиты информации (в соответствии с РД Гостехкомиссии России «Автоматизированные системы Защита от НСД к информации Классификация АС и требования по защите информации»);

    • перечень защищаемых на объекте ВТ ресурсов с документальным подтверждением степени секретности каждого ресурса;

    • организационно-распорядительную документацию разрешительной системы доступа персонала к защищаемым ресурсам объекта ВТ;

    • описание технологического процесса обработки информации на объекте ВТ;

    • технологические инструкции пользователям объекта ВТ;

    • предписания на эксплуатацию технических средств и систем;

    • протоколы специальных исследований технических средств и систем;

    • акты или заключения о специальной проверке технических средств;

    • данные по уровню подготовки кадров, обеспечивающих защиту информации;

    • данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;

    • данные о наличии нормативной и методической документации по защите информации и контролю эффективности защиты.

    Приведенный общий перечень исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.

    Аттестационные испытания объекта ВТ проводятся в следующем порядке:

    • изучение технологического процесса автоматизированной обработки информации;

    • проверка на соответствие организационно-техническим требованиям по защите информации;

    • испытания на соответствие требованиям по защите информации от утечки по каналам ПЭМИН;

    • проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации;

    • испытания на соответствие требованиям по защите информации от несанкционированного доступа;

    • подготовка отчетной документации.

    9.3 Изучение технологического процесса автоматизированной обработки информации

    При изучении технологического процесса автоматизированной обработки и хранения информации обращается внимание на такие компоненты объекта ВТ как объекты и субъекты доступа, средства обработки и передачи информации:

    • к объектам доступа относятся средства обработки и передачи информации, информационные носители на магнитной и бумажной основе, накопители и все виды памяти ЭВМ, в которых может находиться информация, отдельные документы и их архивы, используемые в технологическом процессе автоматизированной обработки информации, файлы, записи и другие единицы информационных ресурсов, доступ к которым необходимо регламентировать;

    • к субъектам доступа относятся персонал и все лица, которые имеют возможность доступа к средствам обработки информации, а также программные средства, посредством которых осуществляется доступ к объектам;

    • к средствам обработки и передачи информации относятся технические и программные средства ВТ, средства и линии связи, предоставляющие возможности как для перемещения (копирования) информации между различными областями памяти и информационными носителями, различными средствами обработки, определенными для объекта ВТ, так и по выводу информации из установленной для нее сферы обращения.

    Используя исходные данные по технологии обработки и передачи информации, разрешительной системы доступа персонала к защищаемым ресурсам, анализируется обобщенная технологическая схема объекта ВТ с существующими и возможными информационными потоками, возможностями доступа к обрабатываемой и передаваемой информации.

    Проверяется соответствие описания технологического процесса обработки, хранения и передачи конфиденциальной информации реальной практике на объекте.

    Проверяются паспортные (исходные) данные объекта ВТ и устанавливаются опасные факторы и угрозы, критические места объекта ВТ, снижающие уровень защиты, комплектность и характеристики средств защиты.

    Проверяются наличие оформленных разрешений на допуск персонала к информации определенного уровня конфиденциальности, метки конфиденциальности (грифа секретности) на информационных носителях, соответствие технологических инструкций пользователей и администратора безопасности информации установленным требованиям.

    По результатам изучения уточняется схема технологического процесса с привязкой к конкретным средствам обработки и передачи информации и штатному персоналу.
      1   2   3   4


    написать администратору сайта