ХОРЕВ Анатолий Анатольевич,
доктор технических наук, профессор
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ И ВЫДЕЛЕННЫХ ПОМЕЩЕНИЙ
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации [2].
Объекты информатизации вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации [2].
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации [2].
Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия» [2].
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа к информации, обрабатываемой автоматизированными средствами (в том числе от компьютерных вирусов), и от утечки информации по техническим каналам.
При необходимости по решению руководителя предприятия (учреждения, фирмы) организациями, имеющими соответствующие лицензии ФСБ России, могут быть проведены специальные проверки на наличие возможно внедренных в выделенные помещения или технические средства специальных электронных устройств перехвата информации («закладных устройств»).
Основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроль и надзор за аттестацией и эксплуатацией аттестуемых объектов информатизации устанавливает «Положение по аттестации объектов информации по требованиям безопасности информации» (далее - Положение), утвержденное председателем Гостехкомиссии России 25 ноября 1994 г. [2].
Система аттестации объектов информации по требованиям безопасности информации (далее – система аттестации) является составной частью единой обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке [2].
Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее – федеральный орган по сертификации и аттестации), которым является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) в пределах ее компетенции, определяемой законодательными актами Российской Федерации.
Организационную структуру системы аттестации объектов информатизацииобразуют [2]:
- федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации;
- органы по аттестации объектов информатизации по требованиям безопасности информации;
- испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
- заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).
Федеральный орган по сертификации и аттестацииосуществляет следующие функции [2]:
- организует обязательную аттестацию объектов информатизации;
- создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
- устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
- организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
- аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
- осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
- рассматривает апелляции, возникающие в процессе аттестации объектов информатизации и контроля за эксплуатацией аттестованных объектов информатизации;
- организует периодическую публикацию информации по функционированию системы аттестации объектов по требованиям безопасности информации.
Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации.
Такими органами могут быть отраслевые и региональные организации, предприятия и организации по защите информации, специальные центры ФСТЭК РФ.
Правила аккредитации определяются действующим в системе «Положением об аккредитации испытательных лабораторий и органов по сертификации средств информации по требованиям безопасности информации» для органов по сертификации.
Органы по аттестации [2]:
- аттестуют объекты информатизации и выдают «Аттестаты соответствия»;
- осуществляют контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;
- отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»;
- формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;
- ведут информационную базу аттестованных этим органом объектов информатизации;
- осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.
Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.
Испытательные центры (лаборатории)</> сертификации продукции по требованиям безопасности информации в соответствии с заказами заявителей проводят испытания несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации» [2].
Заявители [2]:
- проводят подготовку объекта информатизации к аттестации путем необходимых организационно-технических мероприятий по защите информации;
- привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;
- предоставляют органам по аттестации необходимые документы и условия проведения аттестации;
- при необходимости привлекают для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры по сертификации;
- осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;
- извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в «Аттестате соответствия»);
- предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
Расходы по проведению всех работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.
Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам в порядке, установленном федеральным органом по сертификации и аттестации в пределах его компетенции, по согласованию с Министерством финансов Российской Федерации, а при их отсутствии – по договорной цене.
Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации.
Порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации включает следующие действия [2]:
- подачу заявки на рассмотрение и проведение аттестации;
- анализ исходных данных по аттестуемому объекту информатизации;
- проведение предварительного специального обследования аттестуемого объекта информатизации;
- разработку программы и методики аттестационных испытаний;
- заключение договоров на аттестацию;
- испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
- проведение специальных проверок на наличие возможно внедренных электронных устройств перехвата информации;
- проведение аттестационных испытаний объекта информатизации;
- оформление, регистрацию и выдачу «Аттестата соответствия»;
- осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
- рассмотрение апелляций.
Рассмотрим порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации от утечки по техническим каналам.
Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации, которые включают:
- перечень подлежащих аттестации объектов информатизации и выделенных помещений с указанием для каждого объекта назначения, категории и местоположения;
- перечень установленных технических средств обработки информации ограниченного доступа (ТСОИ) с указанием наличия сертификата соответствия (предписания на эксплуатацию), заключением по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации, категорий и мест (помещений) их установки;
- перечень установленных вспомогательных технических средств и систем (ВТСС) с указанием наличия сертификата соответствия, заключения по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации и мест их установки;
- перечень установленных технических средств защиты информации с указанием наличия сертификата соответствия и мест их установки.
Орган по аттестации в месячный срок рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.
При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному специальному обследованию аттестуемого объекта, проводимые до этапа аттестационных испытаний.
При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
По результатам рассмотрения заявки и анализа исходных данных, а также предварительного специального обследования аттестуемого объекта органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (если не используются типовые методики), определяется состав (количественный и профессиональный) аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров по сертификации средств защиты информации по требованиям безопасности информации [2].
Программа испытаний разрабатывается на основе анализа исходных данных об объекте информатизации и должна включать необходимые виды испытаний, определенные методические рекомендации для соответствующих видов объектов информатизации (выделенные помещения, автоматизированные системы, системы связи и т.д.), а также определять сроки, условия и методики проведения испытаний.
Программа аттестационных испытаний согласовывается с заявителем и может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии.
Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных объектов информатизации.
Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту. В нормативную и методическую документацию включаются только те показатели, характеристики и требования, которые могут быть объективно проверены.
В нормативной и методической документации по методам испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты.
Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование, в них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направлениям защиты информации.
Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации [2].
Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.
Аттестационные испытания предусматривают комплексную проверку защищаемого объекта в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации и проводятся в следующем порядке [1, 2]:
- анализ и оценка исходных данных и документации по защите информации на объекте информатизации, оценка правильности категорирования выделенных помещений и объектов информатизации;
- оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
- специальное обследование объекта информатизации;
- проведение испытаний отдельных средств и систем защиты информации в испытательных центрах по сертификации продукции по требованиям безопасности информации (при необходимости);
- специальные проверки технических средств на наличие возможно внедренных специальных электронных устройств перехвата информации;
- специальные проверки помещений на наличие возможно внедренных специальных электронных устройств перехвата информации;
- проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольно-измерительной аппаратуры;
- анализ результатов специального обследования и аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации;
- подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта информатизации установленным требованиям, которая представляется в орган по аттестации для принятия решения о выдаче «Аттестата соответствия».
Для проведения испытаний заявитель представляет органу по аттестации следующие исходные данные и документацию:
- приемо-сдаточную документацию на объект информатизации;
- акты категорирования выделенных помещений и объектов информатизации;
- инструкции по эксплуатации средств защиты информации;
- технический паспорт на аттестуемый объект;
- документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
- сертификаты соответствия требованиям безопасности информации на ВТСС;
- сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
- акты на проведенные скрытые работы;
- протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
- протоколы измерения величины сопротивления заземления;
- протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
- данные по уровню подготовки кадров, обеспечивающих защиту информации;
- данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
- нормативную и методическую документацию по защите информации и контролю эффективности защиты.
Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.
- пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
- перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
- перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
- перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
- перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
- перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
- хему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
- технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
- планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
- план-схему инженерных коммуникаций всего здания, включая систему вентиляции;
- план-схему системы заземления объекта с указанием места расположения заземлителя;
- план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
- план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
- план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
- схемы систем активной защиты (если они предусмотрены).
Проводится анализ разработанной документации по защите информации с точки зрения полноты и достаточности представленных документов и соответствия их требованиям организационно-распорядительной и нормативно-методической документации.
Проверяется состояние организации работ и выполнения организационно-технических требований по защите информации, оценка правильности категорирования выделенных помещений и объектов информатизации и выбора средств и систем защиты информации.
Проводится оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации.
При проведении специального обследования аттестуемого объекта [1, 2]:
- определяется состав технических средств, используемых для обработки, передачи и хранения защищаемой информации;
- изучается технологический процесс обработки, передачи и хранения защищаемой информации, анализ информационных потоков;
- проверяется соответствие реального состава ТСОИ, ВТСС и средств защиты указанному в техническом паспорте на аттестуемый объект, сертификатах соответствия (предписаниях на эксплуатацию) и представленных исходных данных;
- проверяется соответствие представленных заявителем исходных данных реальным условиям размещения, монтажа ТСОИ, ВТСС и средств защиты;
- проверяется состояние и сохранность печатей на технических средствах, выявляются ТСОИ, ВТСС и средства защиты информации, подвергшиеся несанкционированному вскрытию;
- изучаются условия расположения аттестуемого объекта и определяется граница контролируемой зоны;
- устанавливаются места расположения трансформаторной подстанции, электрощитовой, распределительных щитов. Измеряется длина линий электропитания от защищаемых объектов до возможных мест подключения средств перехвата информации (распределительных щитов, помещений и т.п.), находящихся за пределами контролируемой зоны;
- определяются помещения, смежные с защищаемыми и находящиеся за пределами контролируемой зоны;
- определяются соединительные линии вспомогательных технических средств и систем (линии телефонной связи, оповещения, систем охранной и пожарной сигнализации, часофикации и т.п.), выходящие за пределы контролируемой зоны, места расположения их распределительных коробок. Измеряется длина линий от защищаемых объектов до мест возможного подключения средств перехвата информации за пределами контролируемой зоны;
- определяются инженерные коммуникации и посторонние проводники, выходящие за пределы контролируемой зоны, измеряется их длина от защищаемых объектов до мест возможного подключения средств перехвата информации;
- устанавливается местоположение заземлителя, к которому подключен контур заземления защищаемого объекта.
Все выявленные нарушения и недостатки, отступления от проектных решений включаются в заключение по результатам аттестационных испытаний.
При проведении испытаний отдельных несертифицированных средств и систем защиты информации в испытательных центрах по сертификации эти испытания проводятся до аттестационных испытаний объектов информатизации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения и сертификаты органов по сертификации средств защиты информации по требованиям безопасности информации [2].
Наиболее часто в испытательных центрах проводятся сертификационные испытания помехоподавляющих фильтров, систем активной защиты (генераторов шума) и средств защиты ВТСС.
Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием проверенной контрольно-измерительной аппаратуры.
При аттестации объектов информатизации для каждого ТСОИ:
- измеряются напряженности электромагнитного поля по магнитной Нi (в диапазоне частот 9 кГц – 30 МГц) и электрической Еi (в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемые информативным сигналом ТСОИ;
- измеряются уровни информативных сигналов ТСОИ в диапазоне частот 9 кГц - 300 МГц в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны;
- определяются коэффициенты удельного затухания информативного сигнала в линиях электропитания, в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны, и рассчитывается затухание в них информационного сигнала;
- рассчитывается величина максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зоны R2);
- рассчитываются предельные расстояния от ТСОИ до вспомогательных технических средств и систем и их кабельных коммуникаций, посторонних проводников и инженерных коммуникаций, имеющих выход за границу контролируемой зоны (зоны r1, r1’);
- измеряется сопротивление заземления каждого ТСОИ;
- измеряется минимальное расстояние от каждого ТСОИ до границы контролируемой зоны .
При использовании на объекте информатизации систем активной защиты (САЗ) дополнительно проводятся:
измерения напряженности электромагнитного поля по магнитной Нi (в диапазоне частот 9 кГц – 30 МГц) и электрической Еi (в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемой помеховыми сигналами САЗ;
измерения уровней помеховых сигналов в диапазоне частот 9 кГц - 300 МГц, создаваемых САЗ в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны.
При аттестации выделенного помещения:
- измеряются уровни акустического сигнала и шумов в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц в местах возможной установки микрофонных датчиков средств речевой разведки;
- измеряются уровни вибрационного сигнала и шумов в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц в местах возможной установки датчиков контактного типа средств речевой разведки;
- определяются коэффициенты звукоизоляции ограждающих конструкций (окон, дверей, стен, пола, потолка) выделенного помещения в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;
- определяются коэффициенты виброизоляции ограждающих конструкций выделенного помещения, а также различных элементов инженерно-технических систем, включая их коммуникации, в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;
- при использовании в выделенном помещении систем виброакустической маскировки дополнительно проводятся измерения уровней акустический и вибрационных шумов в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц в местах возможной установки датчиков средств акустической разведки;
- измеряются уровни информационных сигналов на выходе ВТСС, возникающих вследствие акустоэлектрического преобразования акустических сигналов элементами ВТСС, в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;
- измеряются уровни шумов на выходе в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;
- рассчитывается словесная разборчивость речи W для каждого типа аппаратуры речевой разведки.
Специальные проверки на наличие возможно внедренных специальных электронных устройств перехвата информации проводятся по решению руководителя предприятия (учреждения, фирмы). Проверке подлежат:
- выделенные помещения, предназначенные для проведения закрытых мероприятий;
- технические средства, предназначенные для обработки информации ограниченного доступа;
- вспомогательные технические средства, устанавливаемые в выделенных помещениях и на объектах информатизации.
По результатам специальной проверки технических средств по выявлению специальных электронных устройств перехвата информации составляется акт, на основании которого потребителю выдается заключение.
По результатам специальной проверки выделенного помещения оформляется акт с указанием итогов проверки и рекомендаций по защите помещения, который утверждается начальником, организующим проведение специальных проверок. Акт исполняется в двух экземплярах, один из которых отправляется в адрес владельца проверяемого помещения, другой остается в организации, проводившей специальную проверку.
По результатам аттестации оформляются протоколы испытаний и заключение с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
Заключение аттестационной проверки объекта информатизации должно включать:
- состав аттестационной комиссии (группы);
- дату проведения аттестации;
- перечень руководящих документов, в соответствии с которыми проводилась аттестация;
- перечень документов по защите информации на объекте информатизации, представленных аттестационной комиссии;
- характеристику объекта информатизации (наименование объекта, назначение, местоположение, условия размещения и т.д.);
- перечень технических средств обработки информации ограниченного доступа (ТСОИ), установленных на объекте информатизации, с указанием их места установки и категорий;
- перечень вспомогательных технических средств и систем (ВТСС), установленных на объекте информатизации, с указанием их места установки;
- перечень технических средств защиты информации, установленных на объекте информатизации, с указанием их места установки;
- характеристику организационных мероприятий по защите информации. Вывод о выполнении (невыполнении) организационных мероприятий по защите информации при ее обработке;
- виды работ, проводимых в ходе аттестации;
- перечень использованной в ходе инструментальной проверки (аттестационных испытаний) аппаратуры (перечисляется вся используемая аппаратура контроля по оцениваемым каналам и ее заводские номера);
- результаты анализа документации по защите информации на объекте информатизации. Вывод о соответствии (несоответствии) разработанной документации по защите информации требованиям нормативно-методических документов ФСТЭК РФ;
- оценку правильности категорирования объектов информатизации;
- оценку уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
- результаты специального обследования объекта информатизации;
- условия расположения объекта информатизации относительно границы контролируемой зоны, минимальное расстояние до границы контролируемой зоны;
- вывод о соответствии (несоответствии) реального состава ТСОИ, ВТСС и средств защиты информации указанному в техническом паспорте на аттестуемый объект, сертификатах соответствия (предписаниях на эксплуатацию) и представленных исходных данных;
- вывод о состоянии и сохранности печатей и пломб на ТСОИ (в случае выявления перечисляются технические средства, подвергавшиеся несанкционированному вскрытию);
- вывод о соответствии (несоответствии) мест установки ТСОИ, ВТСС и средств защиты информации и прокладки их соединительных линий техническому паспорту на объект информатизации;
- вывод о соответствии (несоответствии) реального разноса ТСОИ и их соединительных линий относительно ВТСС и посторонних проводников требованиям нормативно-методических документов ФСТЭК РФ и сертификатов соответствия (предписаний на эксплуатацию);
- характеристику системы электропитания объекта информатизации и технических средств защиты информации от утечки по цепям электропитания (указываются номера и места расположения трансформаторной подстанции, электрощитовой, распределительных щитов, от которых осуществляется питание ТСОИ. Описывается схема электропитания объекта с указанием типов и марки используемых кабелей электропитания. Перечисляются технические средства защиты цепей электропитания с указанием их мест установки. При наличии сертификатов соответствия на средства защиты цепей электропитания указывается срок их действия. Указывается длина линий электропитания от защищаемых ТСОИ до возможных мест подключения к ним средств перехвата информации (распределительных щитов, помещений и т.п.), находящихся за пределами контролируемой зоны. Вывод о соответствии (или несоответствии) системы электропитания объекта информатизации требованиям нормативно-методических документов ФСТЭК РФ и сертификатов соответствия (предписаний на эксплуатацию) ТСОИ;
- характеристику системы заземления объекта информатизации и технических средств защиты информации от утечки по цепям заземления в случае их использования. Описывается схема заземления ТСОИ. Указывается тип и местоположение заземляющего устройства, расстояние от него до границы контролируемой зоны. Указываются типы заземляющих проводников и способы их подключения к ТСОИ и т.п. Приводятся даты и результаты измерений сопротивления заземления ТСОИ. Вывод о соответствии (несоответствии) системы заземления объекта информатизации требованиям нормативно-методических документов ФСТЭК РФ и сертификатов соответствия (предписаний на эксплуатацию) ТСОИ;
- характеристику вспомогательных технических средств и систем, соединительные линии которых выходят за пределы контролируемой зоны (наименование, тип, назначение и т.п.). Указывается длина соединительных линий от ВТСС до возможных мест подключения к ним средств перехвата информации, находящихся за пределами контролируемой зоны. Перечисляются технические средства защиты ВТСС с указанием их мест установки. При наличии сертификатов соответствия на средства защиты ВТСС, указывается срок их действия;
- перечень посторонних проводников и инженерных коммуникаций, выходящих за пределы контролируемой зоны. Указывается их длина от защищаемых объектов до мест возможного подключения средств перехвата информации, расположенных за пределами контролируемой зоны. Указывается наличие (отсутствие) диэлектрических вставок в инженерных коммуникациях. При использовании систем линейного зашумления указывается их тип и место установки, а при наличии сертификатов соответствия - срок их действия;
- результаты проведения испытаний ТСОИ на побочные электромагнитные излучения;
- величину максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зона R2);
- предельные расстояния от ТСОИ и их соединительных линий до вспомогательных технических средств и систем, установленных на объекте информатизации и имеющих соединительные линии, выходящие за пределы контролируемой зоны (зоны r1);
- предельные расстояния от ТСОИ и их соединительных линий до линий ВТСС, посторонних проводников и инженерных коммуникаций, выходящих за границу контролируемой зоны (зоны r1’);
- вывод о соответствии (несоответствии) эффективности защиты ТСОИ от утечки информации за счет побочных электромагнитных излучений требованиям нормативно-методических документов ФСТЭК РФ;
- результаты проведения испытаний системы активной защиты (САЗ) объекта информатизации (при ее использовании):
- величину максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зона R2), при использовании САЗ;
- предельные расстояния от ТСОИ и их соединительных линий до вспомогательных технических средств и систем, установленных на объекте информатизации и имеющих соединительные линии, выходящие за пределы контролируемой зоны (зоны r1), при использовании САЗ;
- предельные расстояния от ТСОИ и их соединительных линий до линий ВТСС, посторонних проводников и инженерных коммуникаций, выходящих за границу контролируемой зоны (зоны r1’), при использовании САЗ;
- вывод о соответствии (несоответствии) эффективности защиты ТСОИ от утечки информации за счет побочных электромагнитных излучений требованиям нормативно-методических документов ФСТЭК РФ;
- результаты проведения испытаний помехоподавляющих фильтров, используемых для защиты цепей электропитания ТСОИ (испытания проводятся, если срок действия сертификата соответствия на них на момент аттестации истек). Вывод о соответствии (несоответствии) фильтров требованиям нормативно-методических документов ФСТЭК РФ;
- результаты проведения испытаний средств защиты ВТСС (испытания проводятся, если срок действия сертификата соответствия на них на момент аттестации истек). Вывод о соответствии (несоответствии) средств защиты требованиям нормативно-методических документов ФСТЭК РФ;
- недостатки, выявленные в ходе аттестации;
- общий вывод о соответствии (несоответствии) эффективности защиты объекта информатизации требованиям нормативно-методических документов ФСТЭК РФ, о возможности (невозможности) выдачи «Аттестата соответствия» и допуске ТСОИ к обработке информации соответствующего уровня конфиденциальности (секретности).
Заключение аттестационной проверки выделенного помещения должно включать:
- состав аттестационной комиссии (группы);
- дату проведения аттестации;
- перечень руководящих документов, в соответствии с которыми проводилась аттестация;
- перечень документов по защите информации в выделенном помещении, представленных аттестационной комиссии;
- характеристику выделенного помещения (назначение, местоположение, условия размещения и т.д.);
- перечень вспомогательных технических средств и систем (ВТСС), установленных на объекте информатизации;
- перечень технических средств защиты информации, установленных в выделенном помещении;
- характеристику организационных мероприятий по защите информации;
- виды работ, проводимых в ходе аттестации;
- перечень использованной в ходе инструментальной проверки (аттестационных испытаний) аппаратуры (перечисляется вся используемая аппаратура контроля по оцениваемым каналам и ее заводские номера);
- результаты анализа документации по защите информации в выделенном помещении. Вывод о соответствии (несоответствии) разработанной документации по защите информации требованиям нормативно-методических документов ФСТЭК РФ;
- оценку правильности категорирования выделенного помещения;
- оценку уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
- результаты специального обследования выделенного помещения;
- условия расположения выделенного помещения относительно границы контролируемой зоны, характеристику смежных с ним помещений, минимальное расстояние до границы контролируемой зоны;
- характеристику вспомогательных технических средств и систем, соединительные линии которых выходят за пределы контролируемой зоны (наименование, тип, назначение и т.п.). Указывается длина соединительных линий от ВТСС до возможных мест подключения к ним средств перехвата информации, находящихся за пределами контролируемой зоны. Перечисляются технические средства защиты ВТСС с указанием их мест установки. При наличии сертификатов соответствия на средства защиты ВТСС указывается срок их действия. Вывод о соответствии (несоответствии) реального состава ВТСС, средств их защиты указанному в техническом паспорте на выделенное помещение и представленных исходных данных. Вывод о состоянии и сохранности печатей и пломб на ВТСС (в случае выявления перечисляются технические средства, подвергавшиеся несанкционированному вскрытию);
- характеристику системы электропитания выделенного помещения (описывается схема электропитания выделенного помещения, указываются номера и места расположения трансформаторной подстанции, электрощитовой, распределительных щитов, от которых осуществляется розеточной и осветительной сетей электропитания выделенного помещения и их расположение относительно границы контролируемой зоны);
- перечень инженерных коммуникаций, выходящих за пределы контролируемой зоны. Указывается их длина от выделенного помещения до мест возможного подключения средств перехвата информации, расположенных за пределами контролируемой зоны. Указывается наличие (отсутствие) специальных вставок в инженерных коммуникациях;
- результаты акустовибрационных измерений:
- коэффициенты звукоизоляции ограждающих конструкций (окон, дверей, стен, пола, потолка) выделенного помещения в октавных полосах частот и словесная разборчивость речи W в местах возможного подключения средств перехвата информации с датчиками микрофонного типа;
- коэффициенты виброизоляции ограждающих конструкций выделенного помещения, а также различных элементов инженерно-технических систем, включая их коммуникации, в октавных полосах частот и словесная разборчивость речи W в местах в местах возможного подключения средств перехвата информации с датчиками контактного типа;
- вывод о соответствии (несоответствии) эффективности защиты выделенного помещения от утечки информации по прямым акустическим, акустовибрационным и акустооптическим каналам требованиям нормативно-методических документов ФСТЭК РФ;
- результаты проведения испытаний системы виброакустической маскировки (СВАМ) выделенного помещения (при ее использовании):
- словесная разборчивость речи W в местах возможного подключения средств перехвата информации с датчиками микрофонного типа;
- словесная разборчивость речи W в местах в местах возможного подключения средств перехвата информации с датчиками контактного типа;
- вывод о соответствии (несоответствии) эффективности защиты выделенного помещения от утечки информации по прямым акустическим, акустовибрационным и акустооптическим каналам при использовании СВАМ требованиям нормативно-методических документов ФСТЭК РФ;
- измеряются уровни информационных сигналов на выходе ВТСС, возникающих вследствие акустоэлектрического преобразования акустических сигналов элементами ВТСС, в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;
- результаты акустоэлектрических измерений:
- словесная разборчивость речи W в соединительных линиях ВТСС, имеющих в своем составе элементы, обладающие микрофонным эффектом;
- проведения испытаний средств защиты ВТСС;
- вывод о соответствии (несоответствии) эффективности защиты ВТСС от утечки информации по акустоэлектрическим каналам требованиям нормативно-методических документов ФСТЭК РФ;
- недостатки, выявленные в ходе аттестации;
- общий вывод о соответствии (несоответствии) эффективности защиты выделенного помещения требованиям нормативно-методических документов ФСТЭК РФ, о возможности (невозможности) выдачи «Аттестата соответствия» и разрешения ведения переговоров соответствующего уровня конфиденциальности (секретности).
В случае если эффективность защиты объекта информатизации или выделенного помещения не соответствует требованиям нормативно-методических документов ФСТЭК РФ, то формулируются предложения по устранению выявленных в ходе аттестации нарушений, сроки и условия представления для повторной аттестации объекта информатизации или выделенного помещения.
Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю [2].
К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
Протокол аттестационных испытаний должен включать:
- вид испытаний;
- объект испытаний;
- дату и время проведения испытаний;
- место проведения испытаний;
- перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);
- перечень нормативно-методических документов, в соответствии с которыми проводились испытания;
- методику проведения испытания (краткое описание);
- результаты измерений;
- результаты расчетов;
- выводы по результатам испытаний.
Протоколы испытаний подписываются экспертами – членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов.
Заключение и протоколы испытаний подлежат утверждению органом по аттестации.
«Аттестат соответствия» на объект информатизации, отвечающий требованиям по безопасности информации, оформляется и выдается органом по аттестации по установленной форме заявителю после утверждения заключения по результатам аттестации [2].
«Аттестат соответствия» объекта информатизации (выделенного помещения) требованиям по безопасности информации должен содержать:- регистрационный номер;
- дату выдачи;
- срок действия;
- наименование, адрес и местоположение объекта информатизации (выделенного помещения);
- категорию объекта информатизации (выделенного помещения);
- класс защищенности автоматизированной системы;
- разрешенный гриф конфиденциальности (секретности) информации, обрабатываемой на объекте информатизации (обсуждаемой в выделенном помещении);
- организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
- номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;
- перечень руководящих документов, в соответствии с которыми проводилась аттестация;
- номер и дата утверждения заключения по результатам аттестационных испытаний;
- состав комплекса технических средств обработки информации ограниченного доступа (с указанием категории, заводских номеров, модели, изготовителя, номеров сертификатов соответствия и мест установки), перечень вспомогательных технических средств и систем (с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия и мест установки), перечень технических средств защиты информации (с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия и мест установки), а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;
- организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;
- перечень действий, которые запрещаются при эксплуатации объекта информатизации (выделенного помещения);
- список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.
«Аттестат соответствия» подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.
Регистрация «Аттестатов соответствия» осуществляется по отраслевому или территориальному признакам органами по аттестации в целях ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору [2].
Ведение сводных информационных баз аттестованных объектов информатизации осуществляется федеральным органом по сертификации и аттестации или по его поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов.
«Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более, чем на 3 г. [2].
На основании «Аттестата соответствия» на предприятии оформляется приказ (указание, распоряжение) о разрешении обработки (обсуждении) информации ограниченного доступа и назначении лиц, ответственных за эксплуатацию объекта информатизации (выделенного помещения).
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки информации и требований по безопасности информации [2].
С целью своевременного выявления и предотвращения утечки информации по техническим каналам на предприятии проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности предприятия и заключается в оценке:
- соблюдения требований нормативно-методических документов по защите информации;
- работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
- знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.
При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче «Аттестата соответствия». При этом может быть предложен срок повторной аттестации при условии устранения недостатков.
При наличии замечаний непринципиального характера «Аттестат соответствия» может быть выдан после проверки устранения этих замечаний.
В случае несогласия заявителя с отказом в выдаче «Аттестата соответствия» он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в государственный орган по аттестации с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.
Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводятся федеральным органом по сертификации и аттестации как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации - периодически в соответствии с планом работы по контролю и надзору [2].
Федеральный орган по сертификации и аттестации может передавать некоторые из своих функций государственного контроля и надзора аккредитованным органам по аттестации.
Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации по аттестации объектов информатизации.
Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль за эксплуатацией аттестованных объектов информатизации [2].
В случае грубых нарушений органом по аттестации требований стандартов или иных нормативных и методических документов по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации по ходатайству вышестоящего органа, проводящего контроль и надзор, перед федеральным органом по сертификации и аттестации [2].
По результатам контроля и надзора за эксплуатацией аттестованных объектов в случае нарушения их владельцами условий функционирования объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации орган, проводивший контроль и надзор, может приостановить или аннулировать действие «Аттестата соответствия», оформив это решение в «Аттестате соответствия» и проинформировав орган, ведущий сводную информационную базу аттестованных объектов информатизации, и федеральный орган по сертификации и аттестации [2].
Решение о приостановлении или аннулировании действия «Аттестата соответствия» принимается в случае, когда в результате оперативного принятия организационно-технических мер не может быть восстановлен требуемый уровень безопасности информации [2].
В случае грубых нарушений органом по аттестации требований стандартов или нормативных документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции, выявленных при контроле и надзоре и приведших к повторной аттестации, расходы по осуществлению контроля и надзора могут быть по решению Госарбитража взысканы с органа по аттестации. Кроме того, и повторная аттестация может быть осуществлена за счет этого органа по аттестации.
Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств госбюджета, выделенных ему в этих целях.
Литература
1. Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие. – М.: Горячая линия – Телеком, 2005, с. 416.
2. Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утверждено Председателем Гостехкомиссии России 25.11.1994). – М.: Гостехкомиссия РФ, 1994, с. 22.
Статья опубликована на сайте: 23.08.2007