Аттестация АС и ЗП

Аттестация объекта информатизации – это комплекс организационных и технических мероприятий, целью которых является подтверждение соответствия системы защиты информации объекта информатизации требованиям нормативных документов Российской Федерации в области защиты информации.

Порядок проведения аттестационных испытаний установлен в нормативно-правовых актах:

• Приказ ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну»;
• ГОСТ РО 0043-003-2012 от 17.04.2012 «Защита информации. Аттестация объектов информатизации. Общее положение» (имеет пометку «ДСП», т.е. ограниченного распространения);
• «Положение по аттестации объектов информатизации по требованиям безопасности информации», утвержденное председателем Гостехкомиссии России от 25.11.1994;
• «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденные приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 №282 (имеет пометку «ДСП», т.е. ограниченного распространения).
• Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992.

В качестве объектов информатизации в контексте КТ рассматриваются:

• информационные (автоматизированные) системы и объекты вычислительной техники, обрабатывающие КТ (АС);
• выделенные помещения, в которых проводятся конфиденциальные переговоры (защищаемые помещения, ЗП).

В рамках аттестации АС или ЗП выполняются следующие этапы:

• анализ исходных данных об объекте информатизации;
• предварительное ознакомление с аттестуемым объектом информатизации в условиях его эксплуатации;
• разработка программы и методики аттестационных испытаний;
• проведение аттестационных испытаний в соответствии с установленными требованиями;
• оформление заключения по результатам аттестационных испытаний, а также протоколов аттестационных испытаний объекта информатизации.

Аттестация проводится в части соответствия объектов информатизации требованиям по противодействию несанкционированного доступа к защищаемой информации и для ЗП в части соответствия требованиям по защите информации от утечки по техническим каналам (акустическим, виброакустические каналы утечки, а также побочные электромагнитные излучения и наводки).

В случае успешного прохождения аттестационных испытаний Заказчику выдается аттестат соответствия объекта информатизации требованиям безопасности информации.

В случае наличия недостатков, устранение которых возможно в разумные сроки, аттестационной комиссией выдаются рекомендации по оперативному устранению таких недостатков и процесс аттестации прерывается до устранения замечаний.

Для проведения аттестации системы защиты информации на соответствие требованиям ИБ необходимо привлекать организацию, имеющую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.