Положення з атестації об'єктів інформатизації за вимогами безпеки інформації

Сьогодні ми будемо препарувати черговий закритий ГОСТ, розкриває саму сакральну процедуру в світі вітчизняної інформаційної безпеки - атестацію.

Давайте спочатку розберемося, що взагалі в нашій країні можна атестувати за вимогами ІБ:

атестують у нас виділені приміщення (ВП), в яких обговорюється державна таємниця;
атестують захищаються приміщення - приміщення, в яких обробляється мовна конфіденційна інформація;
атестують автоматизовані системи. Атестувати такі системи можуть за старою класифікацією (1В, 1Г, 2А ...), можуть за вимогами до захисту персональних даних (УЗ1- УЗ4), можуть за вимогами до захисту ГІС (К1-К4). Атестація є обов'язковою для державних організацій і бажана для комерційних;
ще атестують копіри і системи аудіо (відео) трансляції, але це рідкість.

Все це разом називають об'єктами інформатизації (ОІ) і ГОСТ розповідає про процедуру атестації стосовно кожного з них.

Проводити атестацію можуть тільки ті організації, які мають ліцензію ФСТЕК по ТЗКІ і / або акредитованій в якості органу з атестації (для держтаємниці). Тому стандарт розрахований більшою мірою на ліцензіатів

Починається стандарт з того, що дає просте і зрозуміле пояснення того, чому ж все-таки відрізняються автоматизовані системи від інформаційних:

Введення жорстких вимог до складу та змісту атестаційних випробувань допоможе виявити тих халявщиків, які люблять влаштовувати з атестації профанацію. Головне тільки вчасно зупинитися і не перегнути палицю ...

У документі присутній так само чудовий кросворд!

Завдяки щасливому випадку більшу частину полів можна заповнити продукцією однієї фірми , Яка за неймовірним збігом є одним з авторів стандарту.

Зупинимося тепер докладніше на методикою атестації автоматизованих систем.

Не можна не похвалити розробників за детальний опис всієї процедури атестації, яке раніше передавалося з уст в уста від викладача до інженера, від інженера до техніку, а тепер же висічено в камені.

Однак у мене викликали цілу бурю емоцій наступні абзаци в документі:

Стандарт з інформаційної безпеки 2013 роки навчає перевіряти механізми захисту операційної системи за допомогою .... завантажувального дискетки MS DOS !!!

Окремі перевірки не можуть не порадувати простотою і доступністю, гідної персонажів з анекдотів про ПТУ.

Перевірки зовсім не враховують уразливості програмного забезпечення: немає вимог до патчам і оновлень, немає вимог до використання свіжих версій ПЗ. Перевіряється тільки наявність антивіруса і актуальність вірусних баз. Сама перевірка на віруси не передбачена.

Вообщем в новий документ перекочували всі ті норми, які сьогодні заслужено вважаються атавізмами ІБ - ПЕМВН, мандатний доступ, паперові журнали обліку, заборона оновлень ПО і так далі. Почитавши новий ГОСТ, молоде покоління фахівців з ІБ може досить чітко уявити собі як захищали інформацію в 90х роках минулого тисячоліття.

На жаль, закритий характер стандарту не дозволить більшій частині організацій проконтролювати роботи ліцензіата по атестації, що багато в чому позбавляє стандарт сенсу. Відсутність прозорості в процедурі атестації позбавляє її ринкової привабливості і робить долею держзакупівель. ФСТЕК самоусувається від захисту інформації в комерційному секторі економіки країни і нав'язує всім гравцям методи захисту інформації, які працюють в своєму ізольованому від реальних потреб бізнесу світі.

Ціла індустрія розробників клепає СЗІ, про яких крім того, що вони сертифіковані, більше сказати то й нема чого. Ціле покоління інтеграторів сміливо видає атестат про відповідність вимогам по "інформаційної безпеки" на кишить вірусами інформаційну систему. Це потрібно міняти. Документи щодо захисту інформації повинні бути максимально відкритими і доступними, а вимоги і методики повинні обговорюватися з професійним співтовариством, щоб все "дискети з MS DOS" вичищали з них ще на етапі зародка.

1. Загальні положення

1.1. Це Положення встановлює основні принципи, організаційну структуру системи атестації за вимогами безпеки інформації, порядок проведення атестації, а також контролю і нагляду за атестацією та експлуатацією атестованих об'єктів інформатизації.
1.2. Положення розроблено відповідно до законів Російської Федерації "Про сертифікації продукції та послуг" і, "Положенням про державну систему захисту інформації в Російській Федерації від іноземних технічних розвідок і від її витоку технічними каналами", "Системою сертифікації ГОСТ Р".
1.3. Система атестації об'єктів інформатизації за вимогами безпеки інформації (далі - система атестації) є складовою частиною єдиної системи сертифікації засобів захисту інформації та атестації об'єктів інформатизації за вимогами безпеки інформації та підлягає державній реєстрації в установленому Держстандартом Росії порядку. Діяльність системи атестації організовує федеральний орган по сертифікації продукції та атестації об'єктів інформатизації за вимогами безпеки інформації (далі - федеральний орган по сертифікації і атестації), яким є Гостехкомиссией Росії.
1.4. Під атестацією об'єктів інформатизації розуміється комплекс організаційно-технічних заходів, в результаті яких за допомогою спеціального документа - "Атестату відповідності" підтверджується, що об'єкт відповідає вимогам стандартів або інших нормативно-технічних документів з безпеки інформації, затверджених Гостехкомиссией Росії.
Наявність на об'єкті інформатизації чинного "Атестату відповідності" дає право обробки інформації з рівнем секретності (конфіденційності) і на період часу, встановленими в "атестат відповідності".
1.5. Обов'язковою атестації підлягають об'єкти інформатизації, призначені для обробки інформації, що становить державну таємницю, управління екологічно небезпечними об'єктами, ведення секретних переговорів.
В інших випадках атестація носить добровільний характер (добровільна атестація) і може здійснюватися з ініціативи замовника або власника об'єкта інформатизації.
Атестація за вимогами безпеки інформації передує початку обробки підлягає захисту інформації і викликана необхідністю офіційного підтвердження ефективності комплексу використовуваних на конкретному об'єкті інформатизації заходів і засобів захисту інформації.
1.6. При атестації об'єкта інформатизації підтверджується його відповідність вимогам щодо захисту інформації від несанкціонованого доступу, в тому числі від комп'ютерних вірусів, від витоку за рахунок побічних електромагнітних випромінювань і наведень при спеціальних впливах на об'єкт (високочастотне нав'язування і опромінення, електромагнітне і радіаційний вплив), від витоку або впливу на неї за рахунок спеціальних пристроїв, вбудованих в об'єкти інформатизації.
1.7. Атестація передбачає комплексну перевірку (атестаційні іспити), що захищається інформатизації в реальних умовах експлуатації з метою оцінки відповідності застосовуваного комплексу заходів і засобів захисту необхідному рівню безпеки інформації.
1.8. Атестація проводиться органом по атестації в установленому цим Положенням порядку відповідно до схеми, що обирається цим органом на етапі підготовки до атестації з наступного основного переліку робіт:
аналіз вихідних даних по аттестуемому об'єкту інформатизації;
попереднє ознайомлення з атестуються об'єктом інформатизації;
проведення експертного обстеження об'єкта інформатизації та аналіз розробленої документації щодо захисту інформації на цьому об'єкті з точки зору її відповідності вимогам нормативної та методичної документації;
проведення випробувань окремих засобів і систем захисту інформації на наказом Міністерства освіти України об'єкті інформатизації за допомогою спеціальної контрольної апаратури і тестових засобів;
проведення випробувань окремих засобів і систем захисту інформації в випробувальних центрах (лабораторіях) по сертифікації засобів захисту інформації за вимогами безпеки інформації;
проведення комплексних атестаційних випробувань об'єкта інформатизації в реальних умовах експлуатації;
аналіз результатів експертного обстеження та комплексних атестаційних випробувань об'єкта інформатизації та затвердження висновку за результатами атестації.
1.9. Органи по атестації акредитуються Гостехкомиссией Росії. Правила акредитації визначаються чинним в системі "Положенням про акредитацію випробувальних лабораторій і органів з сертифікації засобів захисту інформації за вимогами безпеки інформації".
Гостехкомиссией Росії може передавати права на акредитацію галузевих (відомчих) органів з атестації іншим органам державної влади.
1.10. Витрати по проведенню всіх видів робіт і послуг за обов'язкової і добровільної атестації об'єктів інформатизації оплачують заявники.
Оплата робіт з обов'язкової атестації проводиться відповідно до договору за затвердженими розцінками, а при їх відсутності - за договірною ціною в порядку, встановленому Гостехкомиссией Росії за узгодженням з Міністерством фінансів Російської Федерації.
Витрати по проведенню всіх видів робіт і послуг з атестації об'єктів інформатизації оплачують заявники за рахунок фінансових коштів, виділених на розробку (доопрацювання) і введення в дію об'єкта, що захищається інфоpматізаціі.
1.11. Органи по атестації об'єктів інформатизації несуть відповідальність за виконання покладених на них функцій, забезпечення схоронності державних і комерційних секретів, а також за дотримання авторських прав розробників атестуються об'єктів інформатизації та їх компонент.

2. Організаційна структура системи атестації об'єктів інформатизації за вимогами безпеки інформації

2.1. Організаційну структуру системи атестації об'єктів інформатизації утворюють:
федеральний орган із сертифікації засобів захисту інформації та атестації об'єктів інформатизації за вимогами безпеки інформації - Гостехкомиссией Росії;
органи з атестації об'єктів інформатизації за вимогами безпеки інформації;
випробувальні центри (лабораторії) з сертифікації продукції за вимогами безпеки інформації;
заявники (замовники, власники, розробники атестуються об'єктів інформатизації).
2.2. Федеральний орган по сертифікації і атестації здійснює такі функції:
організовує обов'язкову атестацію об'єктів інформатизації;
створює системи атестації об'єктів інформатизації та встановлює правила для проведення атестації в цих системах;
встановлює правила акредитації та видачі ліцензій на проведення робіт з обов'язкової атестації;
організовує, фінансує розробку і затверджує нормативні і методичні документи з атестації об'єктів інформатизації;
акредитує органи з атестації об'єктів інформатизації та видає їм ліцензії на провадження певних видів робіт;
здійснює державний контроль і нагляд за дотриманням правил атестації та експлуатацією атестованих об'єктів інформатизації;
розглядає апеляції, що виникають в процесі атестації об'єктів інформатизації, і контролю за експлуатацією атестованих об'єктів інформатизації;
організовує періодичну публікацію інформації щодо функціонування системи атестації об'єктів інформатизації за вимогами безпеки інформації.
2.3. Органи по атестації об'єктів інформатизації акредитуються Гостехкомиссией Росії і отримують від неї ліцензію на право проведення атестації об'єктів інформатизації.
Такими органами можуть бути галузеві та регіональні установи, підприємства та організації із захисту інформації, спеціальні центри Гостехкомиссии Росії.
2.4. Органи по атестації:
атестують об'єкти інформатизації і видають "Атестати відповідності";
здійснюють контроль за безпекою інформації, що циркулює на атестованих об'єктах інформатизації, і за їх експлуатацією;
скасовують і припиняють дію виданих цим органом "Атестатів відповідності";
формують фонд нормативної та методичної документації, необхідної для атестації конкретних типів об'єктів інформатизації, беруть участь в їх розробці;
ведуть інформаційну базу атестованих цим органом об'єктів інформатизації;
здійснюють взаємодію з Гостехкомиссией Росії і щоквартально інформують його про свою діяльність в галузі атестації.
2.5. Випробувальні центри (лабораторії) з сертифікації продукції за вимогами безпеки інформації на замовлення заявників проводять випробування несеpтіфіціpованной продукції, використовуваної на об'єкті інформатики, що підлягає обов'язковій атестації, відповідно до.
2.6. заявники:
проводять підготовку об'єкта інформатизації для атестації шляхом реалізації необхідних організаційно-технічних заходів щодо захисту інформації;
привертають органи з атестації для організації та проведення атестації об'єкта інформатизації;
надають органам по атестації необхідні документи і умови для проведення атестації;
привертають, в необхідних випадках, для проведення випробувань несеpтіфіціpованних засобів захисту інформації, що використовуються на наказом Міністерства освіти України об'єкті інформатизації, випробувальні центри (лабораторії) з сертифікації;
здійснюють експлуатацію об'єкта інформатизації відповідно до умов і вимог, встановлених в "атестат відповідності";
сповіщають орган з атестації, що видав "Атестат відповідності", про всі зміни в інформаційних технологіях, склад і розміщення коштів і систем інформатики, умови їх експлуатації, які можуть вплинути на ефективність заходів і засобів захисту інформації (перелік характеристик, що визначають безпеку інформації, про зміни яких потрібно обов'язково повідомляти орган з атестації, наводиться в "атестат відповідності");
надають необхідні документи і умови для здійснення контролю і нагляду за експлуатацією об'єкта інформатизації, минулого обов'язкову атестацію.

3. Порядок проведення атестації та контролю

3.1. Порядок проведення атестації об'єктів інформатизації за вимогами безпеки інформації включає наступні дії:
подачу та розгляд заявки на атестацію;
попереднє ознайомлення з атестуються об'єктом;
випробування несертифікованих засобів і систем захисту інформації, які використовуються на наказом Міністерства освіти України об'єкті (при необхідності);
розробка програми і методики атестаційних випробувань;
укладання договорів на атестацію;
проведення атестаційних випробувань об'єкта інформатизації;
оформлення, реєстрація та видача "Атестату відповідності";
здійснення державного контролю та нагляду, інспекційного контролю за проведенням атестації і експлуатацією атестованих об'єктів інформатизації;
розгляд апеляцій.
3.2. Подача і розгляд заявки на атестацію.
3.2.1. Заявник для отримання "Атестату відповідності" завчасно направляє до органу з атестації заявку на проведення атестації з вихідними даними по аттестуемому об'єкту інформатизації за формою, наведеною в додатку 1.
3.2.2. орган з атестації в місячний термін розглядає заявку і на підставі аналізу вихідних даних вибирає схему атестації, погоджує її з заявником і приймає рішення про проведення атестації об'єкта інформатизації.
3.3. Попереднє ознайомлення з атестуються об'єктом.
При недостатності вихідних даних по аттестуемому об'єкту інформатизації в схему атестації включаються роботи з попереднього ознайомлення з атестуються об'єктом, що проводяться до етапу атестаційних випробувань.
3.4. Випробування несертифікованих засобів і систем захисту інформації, які використовуються на наказом Міністерства освіти України об'єкті інформатизації.
3.4.1. При використанні на наказом Міністерства освіти України об'єкті інформатизації несеpтіфіціpованних засобів і систем захисту інформації в схему атестації можуть бути включені роботи по їх випробувань у випробувальних центрах (лабораторіях) по сертифікації засобів захисту інформації за вимогами безпеки інформації або безпосередньо на наказом Міністерства освіти України об'єкті інформатизації за допомогою спеціальної контрольної апаратури і тестових коштів.
3.4.2. Випробування окремих несеpтіфіціpованних засобів і систем захисту інформації в випробувальних центрах (лабораторіях) по сертифікації проводяться до атестаційних випробувань об'єктів інформатизації.
В цьому випадку заявником до початку атестаційних випробувань повинні бути представлені висновки органів із сертифікації засобів захисту інформації за вимогами безпеки інформації та сертифікати.
3.5. Розробка програми і методики атестаційних випробувань.
3.5.1. За результатами розгляду заявки та аналізу вихідних даних, а також попереднього ознайомлення з атестуються об'єктом органом по атестації розробляються програма атестаційних випробувань, що передбачає перелік робіт і їх тривалість, методики випробувань (або використовуються типові методики), визначаються кількісний і професійний склад атестаційної комісії, Яка призначається органом по атестації об'єктів інформатизації, необхідність використання контрольної апаратури і тестових засобів на наказом Міністерства освіти України об'єкті інформатизації або залучення випробувальних центрів (лабораторій) з сертифікації засобів захисту інформації за вимогами безпеки інформації.
3.5.2. Порядок, зміст, умови та методи випробувань для оцінки характеристик і показників, що перевіряються при атестації, відповідності їх встановленим вимогам, а також застосовуються в цих цілях контрольна апаратура і тестові кошти визначаються в методиках випробувань різних видів об'єктів інформатизації.
3.5.3. Програма атестаційних випробувань узгоджується з заявником.
3.6. Укладання договорів на атестацію.
3.6.1. Етап підготовки завершується укладенням договору між заявником і органом по атестації на проведення атестації, укладенням договорів (контрактів) органу з атестації з залучаються експертами і оформленням приписи про допуск атестаційної комісії до проведення атестації.
3.6.2. Оплата роботи членів атестаційної комісії проводиться органом по атестації відповідно до укладених трудовими договорами (Контрактами) за рахунок фінансових коштів від укладених договорів на атестацію об'єктів інформатизації.
3.7. Проведення атестаційних випробувань об'єктів інформатизації.
3.7.1. На етапі атестаційних випробувань об'єкта інформатизації:
здійснюється аналіз організаційної структури об'єкта інформатизації, інформаційних потоків, складу і структури комплексу технічних засобів і програмного забезпечення, системи захисту інформації на об'єкті, розробленої документації та її відповідності вимогам нормативної документації щодо захисту інформації;
визначається правильність категорирования об'єктів ЕОТ і класифікації АС (при атестації автоматизованих систем), вибору і застосування сертифікованих і несеpтіфіціpованних засобів і систем захисту інформації;
проводяться випробування несертифікованих засобів і систем захисту інформації на наказом Міністерства освіти України об'єкті або аналіз результатів їх випробувань у випробувальних центрах (лабораторіях) по сертифікації;
перевіряється рівень підготовки кадрів і розподіл відповідальності персоналу за забезпечення виконання вимог з безпеки інформації;
проводяться комплексні атестаційні іспити об'єкта інформатизації в реальних умовах експлуатації шляхом перевірки фактичного виконання встановлених вимог на різних етапах технологічного процесу обробки інформації, що захищається;
оформляються протоколи випробувань та висновок за результатами атестації з конкретними рекомендаціями щодо усунення допущених порушень, приведення системи захисту об'єкта інформатизації у відповідність до встановлених вимог і вдосконалення цієї системи, а також рекомендаціями щодо контролю за функціонуванням об'єкта інформатизації.
3.7.2. Висновок за результатами атестації з короткою оцінкою відповідності об'єкта інформатизації вимогам з безпеки інформації, висновком про можливість видачі "Атестату відповідності" і необхідними рекомендаціями підписується членами атестаційної комісії і доводиться до відома заявника.
До висновку додаються протоколи випробувань, що підтверджують отримані при випробуваннях результати і обгрунтовують наведений в ув'язненні висновок.
Протоколи випробувань підписуються експертами - членами атестаційної комісії, які проводили випробування.
Висновок і протоколи випробувань підлягають затвердженню органом по атестації.
3.8. Оформлення, реєстрація та видача "Атестату відповідності".
3.8.1. "Атестат відповідності" на об'єкт інформатизації, що відповідає вимогам з безпеки інформації, видається органом по атестації за формою, наведеною в додатку 2.
3.8.2. "Атестат відповідності" оформляється і видається заявнику після затвердження висновку за результатами атестації.
3.8.3. Реєстрація "Атестатів відповідності" здійснюється за галузевою або територіальною ознаками органами з атестації з метою ведення інформаційної бази атестованих об'єктів інформатизації та планування заходів по контролю і нагляду.
Ведення зведених інформаційних баз атестованих об'єктів інформатизації здійснюється Гостехкомиссией Росії або за її дорученням одним з органів нагляду за атестацією та експлуатацією атестованих об'єктів.
3.8.4. "Атестат відповідності" видається власнику атестованого об'єкта інформатизації органом по атестації на період, протягом якого забезпечується незмінність умов функціонування об'єкта інформатизації і технології обробки інформації, що захищається, можуть вплинути на показники, що визначають безпеку інформації (склад і структура технічних засобів, умови розміщення, що використовується програмне забезпечення, режими обробки інформації, засоби і заходи захисту), але не більше ніж на 3 роки.
Власник атестованого об'єкта інформатизації несе відповідальність за виконання встановлених умов функціонування об'єкта інформатизації, технології обробки інформації, що захищається і вимог з безпеки інформації.
3.8.5. У разі зміни умов і технології обробки інформації, що захищається власники атестованих об'єктів зобов'язані сповістити про це орган з атестації, який приймає рішення про необхідність проведення додаткової перевірки ефективності системи захисту об'єкта інформатизації.
3.8.6. У разі невідповідності наказом Міністерства освіти України об'єкта вимогам з безпеки інформації та неможливості оперативно усунути відмічені атестаційною комісією недоліки, орган з атестації приймає рішення про відмову у видачі "Атестату відповідності".
При цьому може бути запропонований термін повторної атестації за умови усунення недоліків.
При наявності зауважень непринципового характеру "Атестат відповідності" може бути виданий після перевірки усунення цих зауважень.
3.9. Розгляд апеляцій.
У разі незгоди заявника з відмовою у видачі "Атестату відповідності" він має право звернутися до вищестоящого органу з атестації або безпосередньо в Гостехкомиссии Росії з апеляцією для додаткового розгляду отриманих при випробуваннях результатів, де вона в місячний термін розглядається із залученням зацікавлених сторін. Подавець апеляції сповіщається про прийняте рішення.
3.10. Державний контроль і нагляд, інспекційний контроль за дотриманням правил атестації та експлуатації атестованих об'єктів інформатизації.
3.10.1. Державний контроль і нагляд, інспекційний контроль за проведенням атестації об'єктів інформатизації проводиться Гостехкомиссией Росії як в процесі, так і після закінчення атестації, а за експлуатацією атестованих об'єктів інформатизації - періодично відповідно до планів роботи з контролю і нагляду.
Гостехкомиссией Росії може передавати деякі зі своїх функцій державного контролю і нагляду за атестації і за експлуатацією атестованих об'єктів інформатизації акредитованим органам по атестації.
3.10.2. Обсяг, зміст і порядок державного контролю та нагляду встановлюються в нормативній та методичної документації по атестації об'єктів інформатизації.
3.10.3. Державний контроль і нагляд за дотриманням правил атестації включає перевірку правильності і повноти проведених заходів щодо атестації об'єктів інформатизації, оформлення і розгляду органами з атестації звітних документів і протоколів випробувань, своєчасне внесення змін у нормативну і методичну документацію з безпеки інформації, інспекційний контроль за експлуатацією атестованих об'єктів інформатизації.
3.10.4. У разі грубих порушень органом по атестації вимог стандартів або інших нормативних і методичних документів з безпеки інформації, виявлених під час контролю і нагляду, орган з атестації може бути позбавлений ліцензії на право проведення атестації об'єктів інформатизації.
3.10.5. При виявленні порушення правил експлуатації атестованих об'єктів інформатизації, технології обробки інформації, що захищається і вимог з безпеки інформації органом, що проводить контроль і нагляд, може бути призупинено або анульовано дію "Атестату відповідності", з оформленням цього рішення в "атестат відповідності" і інформуванням органу, провідного зведену інформаційну базу атестованих об'єктів інформатики, і Гостехкомиссии Росії.
Рішення про аннуліpованіі дії "Атестату відповідності" приймається в разі, коли в результаті оперативного прийняття організаційно-технічних заходів захисту не може бути відновлений необхідний рівень безпеки інформації.
3.10.6. У разі грубих порушень органом по атестації вимог стандартів або інших нормативних документів з безпеки інформації, затверджених Гостехкомиссией Росії, виявлених під час контролю і нагляду і призвели до повторної атестації, витрати по здійсненню контролю і нагляду можуть бути за рішенням Держарбітражу стягнуті з органу з атестації. Повторна атестація може бути також здійснена за рахунок цього органу з атестації.
3.10.7. Витрати по здійсненню нагляду за обов'язкової атестацією та експлуатацією об'єктів, що пройшли обов'язкову атестацію, оплачуються органом нагляду з коштів держбюджету, виділених йому в цих цілях.

4. Вимоги до нормативних і методичних документів з атестації об'єктів інформатизації

4.1. Об'єкти інформатизації, незалежно від використовуваних вітчизняних або зарубіжних технічних і програмних засобів, атестуються на відповідність вимогам державних стандартів або інших нормативних документів з безпеки інформації, затверджених Гостехкомиссией Росії.
4.2. Склад нормативної та методичної документації для атестації конкретних об'єктів інформатизації визначається органом по атестації в залежності від виду та умов функціонування об'єктів інформатизації на підставі аналізу вихідних даних по аттестуемому об'єкту.
4.3. В нормативну документацію включаються тільки ті показники, характеристики, вимоги, які можуть бути об'єктивно перевірені.
4.4. У нормативної та методичної документації на методи випробувань повинні бути посилання на умови, зміст і порядок проведення випробувань, що використовуються при випробуваннях контрольну апаратуру і тестові засоби, що зводять до мінімуму похибки результатів випробувань і дозволяють відтворити ці результати.
4.5. Тексти нормативних і методичних документів, що використовуються при атестації об'єктів інформатизації, повинні бути сформульовані ясно і чітко, забезпечуючи їх точне і однакове тлумачення. У них має бути вказівка про можливість використання документа для атестації певних типів об'єктів інформатизації за вимогами безпеки інформації або напрямків захисту інформації.
4.6. Офіційною мовою системи атестації є російська мова, на якому оформляються всі документи, які використовуються і видаються в рамках системи атестації.

НАЧАЛЬНИК УПРАВЛІННЯ ДЕРЖАВНОЇ ТЕХНІЧНОЇ КОМІСІЇ
ПРИ ПРЕЗИДЕНТОВІ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ В. Вирковський
"24" листопада 1994 р

Додаток 1

Кому: ________________________________________________
(Найменування органу з атестації та його адреса)

З А Я В К А
на проведення атестації об'єкта інформатизації

1. (Найменування заявника) просить провести атестацію (Найменування об'єкта інформатизації) на відповідність вимогам з безпеки інформації: ____________________________
2. Необхідні вихідні дані по аттестуемому об'єкту інформатизації додаються.
3. Заявник готовий надати необхідні документи та умови для проведення атестації.
4. Заявник згоден на договірній основі оплатити витрати за всіма видами робіт і послуг з атестації зазначеного в даній заявці об'єкта інформатизації.
5. Додаткові умови або відомості для договору:
5.1. Попереднє ознайомлення з атестуються об'єктом пропоную провести в період ________
5.2. Атестаційні іспити об'єкта інформатики пропоную провести в період ____________
5.3. Випробування несертифікованих засобів і систем інформатизації (Найменування сpедств і систем) передбачено провести в випробувальних центрах (лабораторіях) (Найменування випробувальних центрів) в період ____________ (або пропонується провести безпосередньо на наказом Міністерства освіти України об'єкті в період _____)
Інші умови (пропозиції).

друк Керівник (органу заявника)
(Підпис, дата) (Прізвище, І.О.)

Додаток до форми "Заявки ..."

Вихідні дані по аттестуемому об'єкту інфоpматізаціі готуються на основі наступного переліку питань
1. Повне і точне найменування об'єкта інформатизації та його призначення.
2. Характер (науково-технічна, економічна, виробнича, фінансова, військова, політична) і рівень секретності (конфіденційності) оброблюваної інформації визначено (відповідно до якими переліками (державним, галузевим, відомчим, підприємства).
3. Організаційна структура об'єкта інформатизації.
4. Перелік приміщень, склад комплексу технічних засобів (основних і допоміжних), що входять в об'єкт інформатизації, в яких (на яких) обробляється зазначена інформація (розташованих в приміщеннях, де вона циркулює).
5. Особливості та схема розташування об'єкта інформатизації із зазначенням меж контрольованої зони.
6. Структура програмного забезпечення (загальносистемного і прикладного), що використовується на наказом Міністерства освіти України об'єкті інформатизації і призначеного для обробки інформації, що захищається, використовувані протоколи обміну інформацією.
7. Загальна функціональна схема об'єкта інформатизації, включаючи схему інформаційних потоків і режими обробки інформації, що захищається.
8. Наявність і характер взаємодії з іншими об'єктами інформатизації.
9. Склад і структура системи захисту інформації на наказом Міністерства освіти України об'єкті інформатизації.
10. Перелік технічних та програмних засобів в захищеному виконанні, засобів захисту і контролю, які використовуються на наказом Міністерства освіти України об'єкті інформатизації і мають відповідний сертифікат, припис на експлуатацію.
11. Відомості про розробників системи захисту інформації, наявність у сторонніх розробників (по відношенню до підприємства, на якому розташований атестується об'єкт інформатизації) ліцензій на проведення подібних робіт.
12. Наявність на об'єкті інформатизації (на підприємстві, на якій розташований об'єкт інформатизації) служби безпеки інформації, служби адміністратора (автоматизованої системи, мережі, баз даних).
13. Наявність і основні характеристики фізичного захисту об'єкта інформатизації (приміщень, де обробляється інформація, що захищається і зберігаються інформаційні носії).
14. Наявність і готовність проектної та експлуатаційної документації на об'єкт інформатизації та інші вихідні дані по аттестуемому об'єкту інформатизації, що впливають на безпеку інформації.

Додаток 2

"ЗАТВЕРДЖУЮ "
(Посада керівника органу з атестації)
м.п. П.І.Б.
"____" _________ 19 ___ г.

А Т Т Е С Т А Т С О О Т У Е Т С Т В І Я
(Вказується повне найменування об'єкта інфоpматізаціі)
ВИМОГАМ БЕЗПЕКИ ІНФОРМАЦІЇ
№ _________
Дійсний до "____" _________ 19 ___ г.

1. Цим атестат засвідчується, що: (Наводиться повне найменування об'єкта інформатизації)________ категорії ____________ класу відповідає вимогам нормативної та методичної документації з безпеки інформації.
Склад комплексу технічних засобів об'єкта інформатизації (із зазначенням заводських номерів, моделі, виробника, номерів сертифікатів), схема розміщення в приміщеннях і щодо меж контрольованої зони, перелік використовуваних програмних засобів, а також засобів захисту (із зазначенням виробника і номерів сертифікатів) додаються.
2. Організаційна структура, рівень підготовки фахівців, нормативне, методичне забезпечення і технічна оснащеність служби безпеки інформації забезпечують контроль ефективності заходів і засобів захисту та підтримання рівня захищеності об'єкта інформатизації в процесі експлуатації відповідно до встановлених вимог.
3. Атестація об'єкта інформатизації виконана відповідно до програми і методиками атестаційних випробувань, затвердженими "____" __________ 19__г. № ______
4. З урахуванням результатів атестаційних випробувань на об'єкті інформатизації дозволяється обробка (Вказується вищий ступінь секретності, конфіденційності) інформації.
5. При експлуатації об'єкта інформатизації забороняється: (Вказуються обмеження, які можуть вплинути на ефективність заходів і засобів захисту інформації)
6. Контроль за ефективністю реалізованих заходів і засобів захисту покладається на службу безпеки інформації.
7. Докладні результати атестаційних випробувань наведені в ув'язненні атестаційної комісії (№ _____ "___" ________ 19___ р) і протоколах випробувань.
8. "Атестат відповідності" виданий на _____ року, протягом яких повинна бути забезпечена незмінність умов функціонування об'єкта інформатизації і технології обробки інформації, що захищається, можуть вплинути на характеристики, зазначені в п.9.
9. Перелік характеристик, про зміни яких потрібно обов'язково повідомляти орган з атестації
9.1__________________________________________
9.2__________________________________________

Керівник атестаційної комісії
(Посада із зазначенням найменування підприємства)
П.І.Б.
"____" __________ 19 ___ г.

Відмітки органу нагляду: _________________________________________________________

Примітка. Під об'єктами інформатизації, наказом Міністерства освіти України за вимогами безпеки інформації, розуміються автоматизовані системи різного рівня і призначення, системи зв'язку, відображення і розмноження разом з приміщеннями, в яких вони встановлені, призначені для обробки і передачі інформації, що підлягає захисту, а також самі приміщення, призначені для ведення конфіденційних переговорів.

Давайте спочатку розберемося, що взагалі в нашій країні можна атестувати за вимогами ІБ:

атестують у нас виділені приміщення (ВП), в яких обговорюється державна таємниця;
атестують захищаються приміщення - приміщення, в яких обробляється мовна конфіденційна інформація;
атестують автоматизовані системи. Атестувати такі системи можуть за старою класифікацією (1В, 1Г, 2А ...), можуть за вимогами до захисту персональних даних (УЗ1- УЗ4), можуть за вимогами до захисту ГІС (К1-К4). Атестація є обов'язковою для державних організацій і бажана для комерційних;
ще атестують копіри і системи аудіо (відео) трансляції, але це рідкість.

У документі присутній так само чудовий кросворд!

Зупинимося тепер докладніше на методикою атестації автоматизованих систем.

Однак у мене викликали цілу бурю емоцій наступні абзаци в документі:

Окремі перевірки не можуть не порадувати простотою і доступністю, гідної персонажів з анекдотів про ПТУ.

Головна » інструкції » Положення з атестації об'єктів інформатизації за вимогами безпеки інформації