Аттестация и сертификация информационных систем и объектов информатизации
Под аттестацией (сертификацией) объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – Аттестата (сертификата) соответствия
– подтверждается, что объект соответствует требованиям регламентов, национальных и международных стандартов и иных нормативно-технических документов по защите информации.
Обязательной аттестации(сертификации) подлежат объекты информатизации и средства, в том числе иностранного производства, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация(сертификация) носит добровольный характер (добровольная аттестация/сертификация) и может осуществляться по желанию заказчика.
Перечень объектов информатизации и средств, подлежащих обязательной аттестации (сертификации), разрабатывается ФСТЭК России и согласовывается с Межведомственной комиссией по защите государственной тайны.
Говоря о категориях информации, можно выделить:
Государственные информационные ресурсы.
Персональные данные граждан.
Специальные категории персональных данных граждан (относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
Информационные ресурсы негосударственных организаций.
Цели проведения аттестации и сертификации
Соответствие требованиям нормативно-правовой базы в области защиты информации.
Обеспечение необходимого уровня безопасности.
Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.
Этапы проведения аттестации и сертификации
В рамках оказания услуг по аттестации Компания ЗИКС выполняет полный комплекс работ по аттестации (сертификации). Пример последовательности выполнения работ приведен для процедуры аттестации:
1. Планирование и подготовка к проведению аттестационных испытаний
Определение перечня объектов информатизации, подлежащих аттестации.
Категорирование и классификация объектов информатизации.
Составление технических паспортов на объекты информатизации.
Определение возможных каналов утечки информации.
Определение перечня мероприятий по исключению возможных каналов утечки информации.
Проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации).
Анализ разработанной документации по защите информации на объекте с точки зрения ее соответствия требованиям нормативной и методической документации.
Разработка комплекта организационно-распорядительной документации на объект информатизации (приказы,
распоряжения, инструкции, руководства).
Разработка программы и методики аттестационных испытаний.
2. Проведение аттестационных испытаний
Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от утечки по техническим каналам.
Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от несанкционированного доступа.
Оформление протокола по результатам аттестационных испытаний.
3. Оформление результатов аттестационных испытаний:
Результаты работ по аттестации и сертификации
Аттестат (сертификат) соответствия выдается владельцу аттестованного объекта информатизации на 3 года (системы, средства) органом, проводящим аттестацию. При этом в течение этого периода должны обеспечиваться неизменность
условий функционирования объекта информатизации и технологии обработки защищаемой информации.