Аттестация автоматизированной системы по требованиям безопасности информации

Аттестация автоматизированной системы по требованиям безопасности информации

Михаил ПЫШКИН, директор направления ИБ INLINE Technologies

Аттестация объектов информатизации

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект отвечает требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.

Достаточно полно процесс проведения аттестации изложен в соответствующих положениях [1, 2] и в некоторых публикациях, например, А.А. Хорева [3].

Состав нормативной и методической документации для аттестации конкретных автоматизированных систем (АС) определяется органом по аттестации в зависимости от вида и условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемой АС. Перечень исходных данных приведен в заявке на аттестацию (см. положение по аттестации [1, 2]). Аттестат соответствия выдается владельцу АС на период, в течение которого обеспечивается неизменность условий функционирования системы и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое ПО, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

Контролирование

Положением по аттестации предусмотрено три вида контроля:

1. Государственный контроль и надзор, инспекционный контроль за проведением аттестации проводится территориальным управлением ФСТЭК России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных АС - периодически в соответствии с планами работы по контролю и надзору.
2. Органом по аттестации объектов информатизации, проводившим аттестацию АС, ежегодно - в соответствии с программой аттестационных испытаний.
3. Самоконтроль осуществляется службой безопасности учреждения, проводится периодически (не реже одного раза в год).

Контроль заключается в оценке:

• соблюдения нормативных и методических документов ФСТЭК России;
• работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
• знаний и выполнения персоналом своих функциональных обязанностей в части за щиты информации.

В силу исторической направленности работ по аттестации на защиту государственной тайны данные работы явно перегружены утечками по техническим каналам, что вызывает большие затраты и требования к специалистам по защите информации на местах. В частности, для прохождения учебного курса "Аттестация объектов информатизации по требованиям безопасности информации. Защита от утечки по техническим каналам" слушателям необходимо иметь справку о допуске и предписание на выполнение задания "форма 16".

Не хватает также публичности информации об организациях, имеющих аттестат, а также актуальности и статуса действия этого сертификата. Согласно Положению ведение сводных информационных баз аттестованных объектов информатизации осуществляется ФСТЭК России или по ее поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов, но для бизнес-компаний более предпочтительным является вариант с публичным реестром аттестатов (или выписок из них), что позволит предприятиям выбирать себе подходящих партнеров.

В силу указанных причин для некоторых бизнес-компаний более привлекательной может быть сертификация в рамках российской аккредитации ISO. Данный вариант имеет большую международную направленность, а также считается менее зависимым от государственных структур.

Опыт зарубежных стран

Если обратиться к опыту других стран, в частности Германии, то немецкое Федеральное управление по ИТ-безопасности BSI (Bundesamt f?r Sicherheit in der Informati-onstechnik) разработало ряд стандартов (100-1, 100-2, 100-3) в области ИБ, по которым разработана схема сертификации как государственных, так и бизнес-компаний. Стандарты охватывают каталоги базовых требований, угроз, мер защиты, руководства по анализу рисков, инструментарий для самооценки соответствия требованиям. При этом, несмотря на отличие данных стандартов от стандартов ISO, по просьбе бизнес-компаний в добавление к собственной схеме сертификации была также разработана схема параллельного получения международного сертификата ISO/IEC 27001 при выполнении требований немецких стандартов.

Немецкое Федеральное управление по финансовому надзору BaFin (Bundesanstalt fur Finanzdienstleistungsauf-sicht) разработало ряд нормативных документов (Kon-TraG и MaRisk) для финансовых учреждений, на основе которых рекомендовало внедрение стандартов BSI.

В США в 2002 г. была принята Федеральная программа по ИБ FISMA (Federal Information Security Management Act), пришедшая на смену устаревшему Government Information Security Reform Act (GIS-RA). Данная программа распространяется не только на федеральные агентства, но и на любые коммерческие организации, работающие с ними. Каждое агентство должно разработать программу по ИБ, проводить периодически анализ рисков и на основе этого анализа выбирать соизмеримые ущербу средства контроля. Программа должна предусматривать такие меры, как реагирование на инциденты и обеспечение непрерывности выполнения ИТ-операций. Она предусматривает схемы аккредитации и сертификации, при этом была разработана специальная программа "ISO 27001 Harmonization Initiative" по гармонизации с международным стандартом ISO/IEC 27001. В настоящий момент завершена первая фаза программы, в рамках которой уже разработано более 10 стандартов и руководств по ИБ.

Ежегодно каждое агентство обязано отчитываться перед Конгрессом об адекватности и эффективности используемой программы, а также проводить независимый аудит ИБ на предмет ее эффективности. Для поощрения данных инициатив была разработана специальная ежегодная премия eGov Awards.
Таким образом, необходимо отметить назревшие перемены в российской программе аттестации. Основные направления совершенствования, на которые следует обратить внимание, лежат в области гармонизации с международными стандартами, а также в области интересов коммерческих предприятий и компаний.

Используемая литература

1. Положение по аттестации объектов информатизации по требованиям безопасности информации (Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.); www.fstec.ru.
2. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 5 января 1996 г. № 3); www.fstec.ru.
3. Хорев А. А., доктор технических наук, профессор, Аттестация объектов информатизации и выделенных помещений. См. www.securitymanage-ment.ru.
4. BSI, http://www.bsi.bund.de/gshb/ zert/
5. FISMA, http://csrc.nist.gov/sec-cert/.

Комментариий экспертов

Евгений Пономаренко, эксперт

Важным этапом при проектировании автоматизированной системы в защищенном исполнении является модель нарушителя как одного из аспектов требований к безопасности объекта информатизации. Выбранная модель отчасти определяет класс защищенности системы, жесткость предъявляемых требований как к аппаратно-программным средствам защиты информации, так и к организационно-режимным мерам. Именно выбор средств защиты может ускорить дальнейшую аттестацию системы.

Так, наличие сертификата ФСТЭК России у средства защиты информации исключает необходимость работы по его испытаниям в испытательных центрах в сфере сертификации средств защиты информации по требованиям ИБ при проведении аттестации объекта информатизации.

Анна Соколова, эксперт компании "ЭЛВИС-ПЛЮС"

Спрос на услуги по аттестации информационных систем на соответствие требованиям российского законодательства формируется главным образом за счет государственных организаций, для которых наличие Аттестата соответствия во многих случаях является обязательным требованием. Аттестат соответствия является официальным подтверждением эффективности мер и средств защиты информации, используемых на конкретном объекте информатизации, и выдается по результатам комплексного обследования организационной и информационной структуры объекта, а также проведения соответствующих испытаний. При этом проводить аттестацию объекта может лишь уполномоченный орган по аттестации - организация, аккредитованная в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00.

В какой-то степени здесь можно провести аналогию с завоевывающими сейчас все большую популярность услугами по сертификации на соответствие требованиям международных стандартов, в частности ISO/IEC 27001. Основным этапом в данном случае также является обследование (аудит), однако объектом проверки при этом выступает только система управления информационной безопасностью (СУИБ). Сертификационный аудит проводится органом по сертификации, имеющим соответствующую аккредитацию (UKAS).