НА ГОЛОВНУ

Аграрне право Росії || Адвокатура || Адміністративне право Росії || Адміністративне право Україна || Цивільне право Росії || Цивільне право України || Закордонне право || Інформаційне право || Історія політичних і правових вчень || Конституційне право зарубіжних країн || Конституційне право Росії || Конституційне право України || Криміналістика || Кримінологія || Міжнародне право. Європейське право || Муніципальне право || Навчання юристів || Правоохоронна діяльність || Сімейне право Росії || Судова психіатрія || Теорія та історія держави і права || Трудове право Росії || Кримінальне право Росії || Кримінальне право України || Кримінальний процес Росії || Фінансове право Росії || Господарське право || Екологічне право Росії
ГоловнаІнформаційне правоЗахист інформації → 
« Попередня Наступна »
Сьомкін С.Н., Сьомкін А.Н.. Основи правового забезпечення захисту інформації. Навчальний посібник для вузів. М - 238 с.: Ил., 2008 - перейти до змісту підручника

10.3. Атестація об'єктів обробки конфіденційної інформації

Під атестацією об'єктів інформатизації розуміється комплекс організаційно-технічних заходів з перевірки (атестаційним випробувань) захищається інформатизації в реальних умовах експлуатації.
Мета атестації - оцінка відповідності застосовуваного комплексу заходів і засобів захисту необхідному рівню безпеки інформації. По завершенні випробувань видається спеціальний документ - Атестат відповідності, який підтверджує, що об'єкт відповідає вимогам стандартів або інших нормативно-технічних документів з безпеки інформації, затверджених ФСТЕК Росії.

До об'єктів інформатизації, атестуються за вимогами безпеки інформації належать: автоматизовані системи різного рівня та призначення; системи зв'язку, відображення і розмноження, призначені для обробки і передачі інформації, що підлягає захисту, разом з приміщеннями, в яких вони встановлені; самі приміщення, призначені для ведення конфіденційних переговорів.

Основні принципи і організаційна структура системи атестації, порядок проведення атестації, а також контролю та нагляду за атестацією та експлуатацією атестованих об'єктів інформатизації визначають відповідні нормативні правові акти: 1)

Закони РФ «Про сертифікації продукції та послуг» та «Про державну таємницю», 2)

Положення про державну систему захисту інформації в Російській Федерації від іноземних технічних розвідок і від се витоку по технічних каналах; 3)

Положення про державний ліцензування діяльності в галузі захисту інформації; 4)

Положення про сертифікацію засобів захисту інформації за вимогами безпеки інформації; 5)

Положення Системи сертифікації ГОСТ-Р; 6)

Положення з атестації об'єктів інформатизації за вимогами безпеки інформації.

Система атестації об'єктів інформатизації за вимогами безпеки інформації (система атестації) є складовою частиною єдиної системи сертифікації засобів захисту інформації та атестації об'єктів інформатизації за вимогами безпеки інформації, яка підлягає державній реєстрації у встановленому Держстандартом порядку.

Атестацію організовує федеральний орган, а проводить відповідний орган по сертифікації продукції та атестації об'єктів інформатизації за вимогами безпеки інформації (федеральний орган по сертифікації та атестації), яким є ФСТЕК Росії.

Обов'язковій атестації підлягають об'єкти інформатизації, призначені для обробки інформації, що становить ГТ, управління екологічно небезпечними об'єктами, ведення секретних переговорів. В інших випадках атестація носить добровільний характер (добровільна атестація) і може здійснюватися з ініціативи замовника або власника об'єкта інформатизації.

Наявність на об'єкті інформатизації чинного Атестату відповідності дає право обробки інформації з тим рівнем секретності (конфіденційності) і на той період часу, які встановлені в атестат відповідності.

Атестація за вимогами безпеки інформації передує початку обробки інформації, що підлягає захисту, і викликана необхідністю офіційного підтвердження ефективності комплексу заходів і засобів захисту інформації, що використовуються на конкретному об'єкті інформатизації.

При атестації об'єкта інформатизації підтверджується його відповідність вимогам щодо захисту інформації від несанкціонованого доступу, в тому числі від комп'ютерних вірусів; витоку за рахунок побічних електромагнітних випромінювань і наведень; витоку при спеціальних впливах на об'єкт (високочастотне нав'язування і опромінення, електромагнітне і радіаційний вплив); витоку або впливу на неї за допомогою спеціальних пристроїв, вбудованих в об'єкти інформатизації. Схема атестації вибирається органом атестації на етапі підготовки до атестації з наступного основного переліку робіт: -

аналіз вихідних даних по аттестуемому об'єкту інформатизації; -

попереднє ознайомлення з атестуються об'єктом інформатизації ; -

проведення експертного обстеження об'єкта та аналіз розробленої документації по захисту інформації на цьому об'єкті з точки зору її відповідності вимогам нормативної та методичної документації; -

проведення випробувань окремих засобів і систем захисту інформації на атестуються об'єкті за допомогою спеціальної контрольної апаратури і тестових засобів; -

проведення випробувань окремих засобів і систем захисту інформації в випробувальних центрах (лабораторіях) з сертифікації засобів захисту інформації відповідно до вимог безпеки інформації; -

проведення комплексних атестаційних випробувань об'єкта інформатизації в реальних умовах експлуатації; -

аналіз результатів експертного обстеження та комплексних атестаційних випробувань об'єкта інформатизації та затвердження висновку за результатами атестації.

Органи з атестації акредитуються ФСТЕК Росії відповідно до правил акредитації, обумовленими чинним в системі «Положенням про акредитацію випробувальних лабораторій і органів з сертифікації засобів захисту інформації за вимогами безпеки інформації». При необхідності ФСТЕК Росії може передавати права па акредитацію галузевих (відомчих) органів з атестації іншим органам державної влади.

Витрати з проведення всіх видів робіт і послуг з обов'язкової та добровільної атестації об'єктів інформатизації оплачують заявники відповідно до договору за затвердженими розцінками, а за їх відсутності - за договірною ціною в порядку, встановленому ФСТЕК Росії за узгодженням з Міністерством фінансів РФ. Ці витрати заявники оплачують за рахунок фінансових коштів, виділених на розробку (доопрацювання) і введення в дію об'єкта, що захищається інформатизації.

Органи з атестації об'єктів інформатизації несуть відповідальність за виконання покладених на них функцій, забезпечення збереження державних і комерційних секретів, а також за дотримання авторських прав розробників атестуються об'єктів інформатизації та їх компонентів.

Організаційна структура системи атестації об'єктів інформатизації за вимогами безпеки інформації. Організаційна структура цієї системи включає (рис. 10.3):

ФЕДЕРАЛЬНИЙ ОРГАН ПО Сертифікація та атестація

Органи з атестації

Заявники

Рис. 10.3. Організаційна структура системи атестації -

федеральний орган по сертифікації засобів захисту інформації та атестації об'єктів інформатизації за вимогами безпеки

інформації - ФСТЕК Росії; -

органи з атестації об'єктів інформатизації за вимогами безпеки інформації; -

випробувальні центри (лабораторії) з сертифікації продукції за вимогами безпеки інформації; -

заявників (замовники, власники , розробники атестуються об'єктів інформатизації).

В даний час прийнята наступна структура органів з атестації об'єктів інформатизації, які акредитуються ФСТЕК Росії і отримують від неї ліцензію на право проведення атестації об'єктів інформатизації: -

галузеві органи по атестації об'єктів інформатизації; -

регіональні установи; -

підприємства та організації по захисту інформації; -

спеціальні центри ФСТЕК Росії.

Випробувальні центри (лабораторії) з сертифікації продукції за вимогами безпеки інформації за замовленнями заявників проводять випробування несертифікованої продукції, використовуваної на об'єкті інформатизації, підметі обов'язкової атестації, відповідно до «Положення про сертифікацію засобів захисту інформації за вимогами безпеки інформації ». Порядок проведення атестації та контролю. Його інформації можна уявити кількома етапами (рис. 10.4).

Рис. 10.4. Порядок проведення атестації об'єктів інформатизації

Етап 1. Подача заявки на атгестацію. Заявник повинен завчасно направити до органу з атестації заявку на проведення атестації з вихідними даними по аттестуемому об'єкту інформатизації за відповідною формою.

Етап 2. Розгляд заявки на атгестацію. Орган з атестації на підставі аналізу вихідних даних вибирає схему атестації, погоджує її з заявником та приймає рішення про проведення атестації об'єкта інформатизації. На розгляд заявки відводиться 1 місяць.

Етап 3. Попереднє ознайомлення з атестуються об'єктом. Цей етап проводиться при недостатності вихідних даних по аттестуемому об'єкту інформатизації. При цьому в схему атестації включаються роботи з попереднього ознайомленню з атестуються об'єктом, що проводяться до етапу атестаційних випробувань. Етап 4. Випробування не сертифікованих засобів і систем захисту об'єкта. Такі випробування проводяться у разі використання на атестуються об'єкті інформатизації несертифікованих засобів і систем захисту інформації. Для цього в схему атестації можуть бути включені роботи з випробувань таких засобів і систем у випробувальних центрах (лабораторіях) з сертифікації або безпосередньо на атестуються об'єкті інформатизації за допомогою спеціальної контрольної апаратури і тестових засобів. Випробування несертифікованих засобів і систем проводяться до атестаційних випробувань об'єкта. Тому заявник повинен представити висновки органів з сертифікації засобів захисту інформації за вимогами безпеки інформації та сертифікати до

початку атестаційних випробуванні.

Етап 5. Розробка програми і методики атестаційних випробувань. На підставі даних попередніх етапів (розгляду заявки, аналізу вихідних даних і попереднього ознайомлення з атестуються об'єктом) органом з атестації розробляється програма атестаційних випробувань, яка включає: -

перелік робіт та їх тривалість; -

методики випробувань (якщо не використовуються типові методики); -

кількісний і професійний склад атестаційної комісії, що призначається органом з атестації об'єктів інформатизації; -

обгрунтування необхідності використання контрольної апаратури і тестових засобів на атестуються об'єкті інформатизації або залучення випробувальних центрів (лабораторій) з сертифікації засобів захисту інформації за вимогами безпеки інформації; -

позначки про узгодження методики атестаційних випробувань із заявником.

Методики випробувань різних видів об'єктів інформатизації включають порядок, зміст, умови, методи випробувань для оцінки характеристик і показників, що перевіряються при атестації, відповідність їх встановленим вимогам, а також застосовувані для цих цілей контрольну апаратуру і тестові засоби , які визначаються при укладанні договорів на атестацію.

Етап 6. Укладання договорів на атестацію. Етап підготовки завершується укладенням договору між заявником та органом з атестації на проведення атестації, укладенням договорів (контрактів) органу з атестації з залучаються експертами та оформленням приписи про допуск атестаційної комісії до проведення атестації. Оплата рабо-Глава 10

ти членів атестаційної комісії проводиться органом з атестації відповідно до укладеними трудовими договорами (контрактами) за рахунок фінансових коштів від укладених договорів на атестацію об'єктів інформатизації.

Етап 7. Проведення атестаційних випробувань об'єкта інформатизації. Розглянутий етап включає:

в аналіз організаційної структури об'єкта інформатизації, інформаційних потоків, складу і структури комплексу технічних засобів і програмного забезпечення, системи захисту інформації на об'єкті, розробленої документації та її відповідності вимогам нормативної документації по захисту інформації ;

визначення правильності категорирования об'єктів СВТ та класифікації АС (при атестації автоматизованих систем), вибір і застосування сертифікованих і ^ сертифікованих засобів і систем захисту інформації; -

проведення випробування ^ сертифікованих засобів і систем захисту інформації на атестуються об'єкті або аналізу результатів їх випробувань у випробувальних центрах (лабораторіях) з сертифікації; -

перевірку рівня підготовки кадрів та розподілу відповідальності персоналу за забезпечення виконання вимог з безпеки інформації; -

проведення комплексних атестаційних випробувань об'єкта інформатизації в реальних умовах експлуатації шляхом перевірки фактичного виконання встановлених вимог на різних етапах технологічного процесу обробки інформації, що захищається; -

оформлення протоколів випробувань та укладення за результатами атестації з конкретними рекомендаціями щодо усунення допущених порушень, приведення системи захисту об'єкта інформатизації у відповідність до встановлених вимог і вдосконалення цієї системи, а також рекомендаціями з контролю функціонування об'єкта інформатизації.

 За результатами атестації складається висновок. Воно містить коротку оцінку відповідності об'єкта інформатизації вимогам з безпеки інформації, висновок про можливість видачі Атестата відповідності та необхідні рекомендації. Висновок підписується членами атестаційної комісії і доводиться до відома заявника. До висновку додаються протоколи випробувань, які підтверджують отримані при випробуваннях результати і обгрунтовують наведений у висновку висновок. Протоколи підписуються експертами - членами атестаційної комісії, які проводили випробування, після чого висновок і протоколи 

 випробуванні підлягають затвердженню органом з атестації. 200 

 Етап 8. Оформлення, реєстрація та видача атестата відповідності на об'єкт інформатизації, який відповідає вимогам з безпеки інформації. Орган з атестації після затвердження висновку за результатами атестації оформляє, реєструє і видає заявнику Атестат відповідності. 

 Реєстрація здійснюється за галузевою або територіальною ознакою з метою ведення інформаційної бази атестованих об'єктів інформатизації та планування заходів з контролю і нагляду. Ведення зведених інформаційних баз атестованих об'єктів інформатизації здійснюється ФСТЕК Росії чи за її дорученням одним з органів нагляду за атестацією та експлуатацією атестованих об'єктів. 

 Атестат відповідності видається власнику атестованого об'єкта інформатизації органом з атестації на період, протягом якого забезпечується незмінність функціонування об'єкта інформатизації та технології обробки інформації, що захищається, але не більше ніж на три роки. Факторами, потенційно впливають на характеристики, що визначають безпеку інформації і, отже, термін дії Атестату, є: склад і структура технічних засобів, умови розміщення, використовуване програмне забезпечення, режими обробки інформації, засоби і заходи захисту. Власник атестованого об'єкта інформатизації песет відповідальність за виконання встановлених умов функціонування об'єкта інформатизації, технології обробки інформації, що захищається і вимог щодо безпеки інформації. 

 При зміни умов і технології обробки інформації, що захищається власники атестованих об'єктів зобов'язані сповістити про це орган з атестації, який приймає рішення про необхідність проведення додаткової перевірки ефективності системи захисту об'єкта інформатизації. 

 У разі якщо атестується об'єкт не відповідає вимогам з безпеки інформації і немає можливості оперативно усунути відмічені атестаційною комісією недоліки, орган з атестації приймає рішення про відмову у видачі Атестата відповідності. При цьому може бути запропонований термін повторної атестації за умови усунення недоліків. При наявності зауважень непринципового характеру Атестат відповідності може бути виданий після перевірки усунення цих зауважень. 

 Етап 9. Здійснення державного контролю та нагляду, інспекційного контролю за проведенням атестації та експлуатацією атестованих об'єктів інформатизації. Розглянуті види контролю проводяться ФСТЕК Росії як в процесі, так і по завершенні аггеста- ції, а за експлуатацією атестованих об'єктів інформатизації - періодично відповідно до планів роботи з контролю і нагляду При цьому ФСТЕК може передавати деякі свої функцій державного контролю та нагляду акредитованим органам з атестації. 

 Обсяг, зміст, порядок державного контролю та нагляду 

 встановлюються у нормативній і методичної документації з атестації об'єктів інформатизації і включають: 

 V / 

 перевірку правильності та повноти проведених заході з атестації об'єктів інформатизації, оформлення та розгляду органами з атестації звітних документів і протоколів випробувань; -

 своєчасне внесення зміні в нормативну і методичну документацію з безпеки інформації; -

 інспекційний контроль експлуатації атестованих об'єктів інформатизації. 

 У випадку грубих порушень органом з атестації вимог стандартів або інших нормативних та методичних документів з безпеки інформації, виявлених при контролі і нагляді, орган з атестації може бути позбавлений ліцензії на право проведення атестації об'єктів інформатизації, а витрати по здійсненню контролю і нагляду можуть бути за рішенням Держарбітражу стягнуті з органу з атестації. Повторна атестація може бути також здійснена за рахунок цього органу з атестації. 

 При виявленні контролюючим органом порушення правил експлуатації атестованих об'єктів інформатизації, технології обробки інформації, що захищається і вимог щодо безпеки інформації може бути призупинено або анульовано дію Атестату відповідності, з оформленням цього рішення в атестат відповідності та інформуванням органу, провідного зведену інформаційну базу атестованих об'єктів інформатизації, і ФСТЕК Росії. Рішення про анулювання дії атестата відповідності приймається у разі, коли в результаті оперативних організаційно-технічних заходів захисту не може бути відновлений необхідний рівень безпеки інформації. 

 Витрати по здійсненню нагляду за обов'язкової атестацією та експлуатацією об'єктів, що пройшли обов'язкову атестацію, оплачуються органом нагляду з коштів держбюджету, виділених йому в цих цілях. 

 Етап 10. Розгляд апеляцій. У разі незгоди заявника з відмовою у видачі атестата відповідності він має право звернутися до вищестоящого органу з атестації або безпосередньо в ФСТЕК з апеляцією для додаткового розгляду результатів отриманих при випробуваннях. Апеляція розглядається в місячний строк із залученням зацікавлених сторін. Подавець апеляції сповіщається про прийняте рішення. 

 Контрольні питання 1.

 Перерахуйте нормативні правові акти, що регламентують процес ліцензування діяльності організацій з надання послуг у галузі інформаційної безпеки. 2.

 Назвіть органи державного ліцензування та їх повноваження. 3.

 Дайте загальну характеристику системи ліцензування щодо забезпечення захисту відомостей, що становлять державну таємницю. 4.

 Назвіть функції органів, уповноважених на ведення ліцензійної діяльності. 5.

 Наведіть перелік видів діяльності підприємств, що підлягають ліцензуванню ФСБ. 6.

 Що розуміється під сертифікацією продукції за вимогами захисту інформації? 7.

 У якому порядку проводяться сертифікація та контроль. 8.

 У якому порядку проводиться атестація об'єктів інформатизації. 

 « Попередня  Наступна »
 = Перейти до змісту підручника =
 Інформація, релевантна "10.3. Атестація об'єктів обробки конфіденційної інформації"
  1.  Невідповідність працівника займаній посаді або виконуваній роботі внаслідок недостатньої кваліфікації, підтвердженої результатами атестації
      атестацію та отримати в результаті її негативний висновок про кваліфікацію працівника. Проведення атестації - це законне право роботодавця. Атестація проводиться в порядку, встановленому законодавством або закріпленому в локальному нормативному акті організації (наприклад, положенні про атестацію). Для проведення атестації створюється спеціальна атестаційна комісія, до складу
  2.  Департамент ліцензування, акредитації та атестації
      атестації та акредитації освітніх установ. Таким чином, Департамент ліцензування, акредитації та атестації основним напрямком своєї діяльності визначає - контроль за якістю освітніх установ не залежно від їх організаційно - правових форм та відомчої належності. У 2001 році колегія Міністерства освіти РФ прийняла рішення «Про стан та розвиток
  3.  /. /. Основні аспекти інформаційної безпеки.
      об'єктивність, доступність і, в необхідних випадках, конфіденційність. Таким чином, забезпечення належного функціонування зазначених коштів стає проблемою соціальної, а отже вимагає відповідного правового регулювання. Два позначених вище аспекту інформаційної безпеки можна виявити у всіх проблемах забезпечення інформаційної безпеки. Виділення
  4.  3.5. Договірні та корпоративні норми
      обробки та використання відомостей, що становлять комерційну або службову таємницю. Підписання зобов'язання свідчить про те, що співробітник ознайомлений з вимогами внутрішніх документів і йому відомий перелік відомостей, які складають комерційну або службову таємницю організації. Співробітник зобов'язується вживати заходів охорони комерційної (службової) таємниці в процесі роботи з
  5.  § 5. Переговори з контрагентами клієнта
      об'єктах інтелектуальної власності, зокрема інформація про об'єкти промислової власності (винаходи, корисні моделі, промислові зразки), інформація про секрети виробництва, нові рішення і технічні знаннях (ноу-хау) та інша інформація про осіб, предмети, факти, події, явища і процесах, що стала відомою стороні вході проведення переговорів. Висновок
  6.  Стаття 182. Порушення недоторканності приватного життя
      конфіденційної інформації про особу без її згоди, або розповсюдження цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації, караються штрафом до п'ятдесяти неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк
  7.  Тема 12. Інформаційна безпека. Інформація обмеженого доступу 1.
      об'єкт правового регулювання / / Держава і право. 1998. № 7. 6. Власов А., Т. Кесареева Т. Честь, гідність і ділова репутація у віртуальному світі / / Відомості Верховної Ради. 2001. № 7. 7. Волокітін А.В., Копилов В.А. Інформаційна безпека та інформаційне законодавство / / Сб. НТІ. Сер. 1. 1996. № 7. 8. Воронцова Л. Режим конфіденційності за ліцензійними договорами / /
  8.  11.9. Атестація державних службовців та переміщення по службі
      атестації безпосередній керівник громадянського службовця являє мотивовану відгук про виконання цивільним службовцем своїх посадових обов'язків за атестаційний період. До вмотивованим відкликанню додаються відомості про виконані цивільним службовцям за атестаційний період дорученнях і підготовлених ним проектах документів, що містяться у звітах за рік про професійну
  9.  Стаття 771. Конфіденційність відомостей, що становлять предмет договору
      об'єкта цивільних прав - інформації, під якою розуміються відомості про осіб, факти, події, явища і процеси незалежно від форми їх подання. Під конфіденційною інформацією слід мати на увазі документовану, тобто зафіксовану на матеріальному носії, з реквізитами, що дозволяють її ідентифікувати, інформацію, доступ до якої обмежується відповідно до законів і іншими
  10.  Проблема збору та використання даних про користувача при його роботі в мережі Інтернет
      обробці змісту лог-файлів, які завжди ведуться при роботі серверів в мережі Інтернет та докладно описують інформаційний обмін з ними, а також при обробці змісту лог-файлів провайдера, які призначені для протоколювання роботи користувачів; при використанні електронної пошти (за заголовками електронних листів) ; просто при з'єднанні з модемним пулом провайдера (коли може
  11.  Конфіденційна інформація
      конфіденційного характеру затверджений Указом Президента РФ від 6 березня 1997 (№ 188). До них відносяться такі відомості: - про факти, події і обставини приватного життя громадянина, що дозволяють ідентифікувати його особу (персональні дані), за винятком даних, що підлягають поширенню в засобах масової інформації у встановлених федеральними законами випадках;
  12.  Стаття 330. Передача або збирання відомостей, що становлять конфіденційну інформацію, що є власністю держави
      об'єктом цього злочину є відносини у сфері охорони відомостей, що становлять конфіденційну інформацію, яка є власністю держави. Предметом злочинного посягання можуть бути відомості, що становлять конфіденційну інформацію. Такими відомостями визнаються: - відомості економічного характеру (про дислокацію підприємств та їх виробничої діяльності, про запаси
  13.  Право на приватне життя
      обробка та передача таких даних повинні здійснюватися відповідно до правил, що відносяться до дотримання професійної таємниці і збору персональних даних. Стаття 6 Європейської хартії прав пацієнтів: Кожен має право на КОНФІДЕНЦІЙНІСТЬ-ність особистої інформації, включаючи інформацію про свій стан здоров'я і передбачалося-екпортувати діагностичних або терапевтичних процедурах, а також на
  14.  Право на приватне життя
      об'єктом свавільного або незаконного втручання в здійснення її права на особисте життя, сімейне життя, недоторканність житла, таємницю кореспонденції, або незаконного посягання на її честь і репутацію. стаття 12 (1) МПсЕКП: беруть участь у цьому Пакті, визнають право кожної людини на найвищий досяжний рівень фізичного і психічного здоров'я.
  15.  СПИСОК 1.
      об'єктів обробки інформації: Науково-практичний посібник. - Орел: Праця, 2000. - 300 с. 4. Герасименко В. А., Малюк А. А. Основи захисту інформації. - М.: МІФІ, 3997.-537 с. 5. Сьомкін С. Н., Сьомкін А. / /. Основи правового забезпечення інформаційної безпеки. - М.: Праця, 2003. - 280 с. 6. Шіверскій А. А. Захист інформації: проблеми теорії та практики. - М.:
енциклопедія  овочева  вершковий  риба  пунш