АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

SPECIFICS OF ATTESTATION OF INFORMATION OBJECTS ON THE REQUIREMENTS OF  INFORMATION SECURITY

Alexander Kustov

Student, Department of Computer Science, Computer Engineering and Information Security, Altai State Technical University named after I.I. Polzunova, Russia, Barnaul

Alexandra Boriskinа

Senior Lecturer, Department of Computer Science, Computer Engineering and Information Security, Altai State Technical University named after I.I. Polzunova, Russia, Barnaul

Аннотация. Эта статья посвящена проведению аттестации объектов информатизации. Определены объекты информатизации, подлежащие обязательной аттестации, состав объекта информатизации.

Abstract. This article is devoted to the certification of the objects of informatization. It defines the objects of informatization subject to mandatory certification, the composition of the object of informatization. 

Ключевые слова: аттестация, защита информации, объекты информатизации.

Keywords: certification, information security, objects of informatization.

21 век - век информации, стремительно развивающихся информационных технологий, инноваций и технологических новшеств. С появлением всемирной паутины появилось много возможностей для общения, работы  и отдыха. Однако новая виртуальная жизнь стала источником к появлению киберпреступников, которые все время пытаются стараются что – то украсть или получить. Это заставляет нас больше внимания уделять вопросам информационной безопасности.

Грамотно разработанные концепции защиты информации  и информационных систем, надежность техники и правильная организация всех процессов является главным условием обеспечения безопасности и недопущения возможности возникновения угроз, в результате которых будет нанесен ущерб организации.

Основным этапом во внедрении системы защиты информации и информационных систем на различных объектах, является аттестация объектов информатизации. Аттестация представляет комплекс организационно-технических мероприятий, которые проводятся на объекте информатизации, для проверки надежности реализованной системы защиты. И после проведения которых, аттестуемый объект получает «Аттестат соответствия» и подтверждает соответствие определённым требованиям государственного регулятора в сфере технической защиты информации, которым является ФСТЭК России.

В Российской Федерации, аттестация является обязательной на объектах, которые:

• обладают государственной тайной;
• осуществляют ведение конфиденциальных переговоров;
• осуществляют защиту информационных ресурсов государства;
• управляют экологически опасными объектами.

На других объектах, аттестация объектов информатизации необязательна и проводится по просьбе владельца объекта информатизации.

Аттестационный процесс предполагает проведение полноценной проверки объекта или системы в реальных условиях, целью которых будет проверка соответствия используемых средств и ресурсов установленному уровню безопасности. Основными категориями экспертизы чаще всего выступают:

• защита информации и информационных систем от несанкционированного доступа, в том числе компьютерных вирусов;
• предотвращение утечки информации посредством электромагнитных излучений;
• охрана информации от стороннего воздействия с помощью специализированных устройств, находящихся в объекте или системе информатизации.

Процесс аттестации осуществляется ФСТЭК России, ФСБ России, а также органами,  аккредитованными ФСТЭК России и ФСБ России. Аттестация проводится по схеме, которую выбрал орган проводящий аттестацию, и состоит из следующих работ:

• предварительного знакомства с объектом аттестации, сбора информации о нем и анализа, полученных сведений;
• проверки разработанной документации по защите информации на соблюдение требований, установленных в этой документации;
• проверки с помощью специальной контрольной аппаратуры и тестирующих устройств;
• проведения исследования программно-технических элементов в специализированных центрах, занимающихся сертификацией средств защиты информации;
• проведения системных испытаний в реальных условиях;
• комплексного анализа результатов и вынесения заключения по результатам аттестации.

Для проведения аттестации заявитель должен предоставить пакет следующих документов или их копий:

• технический паспорт на аттестуемый объект;
• акт классификации; акт категорирования;
• акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных;
• акт определения класса защищенности государственной информационной системы;
• протокол специальных исследований;
• предписание на эксплуатацию;
• заключение по результатам специальных проверок.

После аттестационных испытаний заявителем издается Приказ о вводе в эксплуатацию.

Аттестация предусматривает комплекс мероприятий для оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Для защиты информации и информационных систем используются сертифицированные средства защиты информации.