Контакты
Подписка
МЕНЮ
Контакты
Подписка

По четкому алгоритму

По четкому алгоритму

В рубрику "Аттестация" | К списку рубрик  |  К списку авторов  |  К списку публикаций

По четкому алгоритму

Основные этапы создания и аттестации объектов информатизации на предприятиях, в организациях, учреждениях

Как показывает опыт проведения аттестационных испытаний, большинство обращающихся за этой услугой весьма смутно представляют, что же такое аттестация и какие действия следует предпринять до ее начала.

В данной статье кратко описан процесс создания объекта информатизации (ОИ), предшествующий его аттестации.

Следует отметить, что процесс этот последовательный, осуществляемый в несколько этапов по четкому алгоритму, и попытки исключить какое-то звено или поменять этапы местами приводят, как правило, к ошибкам. Их устранение потребует дополнительных (иногда существенных) затрат.

Итак:

  1. Устанавливается предназначение создаваемого объекта информатизации (автоматизированная система - АС, выделенное помещение — ВП).
  2. Определяется максимальная степень секретности обрабатываемой или обсуждаемой информации. Для АС — также и режимы обработки информации: однопользовательский, коллективный, права доступа пользователей, количество предполагаемых уровней конфиденциальности информации.
  3. На основании информации, полученной в результате выполнения п. 2, устанавливается категория (для ВП и АС) и класс защиты (только для АС) от несанкционированного доступа (НСД). Результаты оформляются соответствующими актами.
  4. Выбираются помещения для создаваемых объектов.
  5. Проводится их обследование. Уточняется организация электропитания, расположение и сопротивление контура заземления. В ходе проверки определяются вероятные каналы утечки информации. При необходимости может проводиться инструментальный контроль, например, качества звукоизоляции ограждающих конструкций, окон, дверей ВП.
  6. С учетом категории и класса ОИ, а также данных обследования осуществляется выбор и приобретение технических средств, на базе которых будет создаваться ОИ. Безусловно, при этом предпочтение должно отдаваться средствам, сертифицированным по требованиям безопасности информации или прошедшим специальные исследования и имеющим предписания на эксплуатацию.
  7. В тех случаях, когда условия расположения ОИ не обеспечивают выполнение требований предписаний на эксплуатацию, выбираются дополнительные (организационные, технические, программные) средства и способы защиты информации.
  8. Осуществляются установка и монтаж технических средств ОИ, в том числе средств защиты, и их настройка.
  9. Разрабатывается комплект организационно-распорядительной документации по защите информации в соответствии с СТР.
  10. На основании заявки в региональное управление ФСТЭК России назначается организация, имеющая аккредитацию в качестве органа по аттестации, с которой и заключается соответствующий договор на проведение аттестационных испытаний ОИ. По результатам испытаний оформляется заключение, оно согласовывается с региональным управлением ФСТЭК России. Затем составляется аттестат соответствия объекта информатизации требованиям по безопасности. Данный документ
    дает право обработки (обсуждения) на аттестованном объекте информации с указанной в нем степенью секретности. Срок действия аттестата соответствия — не более 3 лет.

Таков краткий алгоритм создания и аттестации объекта информатизации. Следует отметить, что его реализация под силу только компаниям, у которых имеется хорошо подготовленное штатное подразделение по защите информации. Во всех других случаях целесообразно проводить такие работы силами специализированных организаций, имеющих лицензии ФСТЭК России на оказание услуг в области защиты информации. Перечень таких структур постоянно уточняется и публикуется на сайте ФСТЭК России. Заключив договор с такой организацией, можно получить объект «под ключ», не допустив при этом ошибок, неизбежных, когда защитой информации занимаются не специалисты в этой области.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2005

Приобрести этот номер или подписаться

Статьи про теме