Статья:

РАЗРАБОТКА ТИПОВОГО КОМПЛЕКТА ДОКУМЕНТОВ ПО АТТЕСТАЦИИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Журнал: Научный журнал «Студенческий форум» выпуск №22(245)

Рубрика: Технические науки

Выходные данные
Быстров А.А. РАЗРАБОТКА ТИПОВОГО КОМПЛЕКТА ДОКУМЕНТОВ ПО АТТЕСТАЦИИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ // Студенческий форум: электрон. научн. журн. 2023. № 22(245). URL: https://nauchforum.ru/journal/stud/245/128645 (дата обращения: 24.12.2024).
Журнал опубликован
Мне нравится
на печатьскачать .pdfподелиться

РАЗРАБОТКА ТИПОВОГО КОМПЛЕКТА ДОКУМЕНТОВ ПО АТТЕСТАЦИИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Быстров Артем Андреевич
магистрант, Московский институт электронной техники, РФ, г. Москва

 

Комплект документов по аттестации государственной информационной системы основывается на ГОСТ РО 0043-004-2013 Программа и методики аттестационных испытаний и составляется на основании испытаний, приведенных в данном регламентирующем документе [1].

Он определяет основные организационно-методические вопросы проведения и обеспечения аттестационных испытаний на соответствие требованиям по безопасности информации объекта информатизации Заказчика – государственной информационной системы.

В первую очередь, в документе указывается сам объект исследования: какая будет государственная информационная система, ее наименование, какие компоненты у нее и где они находятся. Также указывается перечень объектов аттестационных испытаний, где указывается сам объект, класс информации, вид информации, класс защищенности ИС, требуемый уровень защищенности.

Пример на основе Заказчика «Московская библиотека»:

Объектом аттестационных испытаний является ГИС МБ - распределенная информационная система. Перечень объектов аттестационных испытаний указан в таблице 3. В столбце «Класс защищенности ИС» указан класс на основании Приказа ФСТЭК №17 от 11.02.2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». В столбце «Требуемый уровень ПДн» указан уровень защищенности на основании постановления правительства Российской Федерации №1119 от 01.11.2012 г. Перечень объектов аттестационных испытаний приведен в таблице 1.

Таблица 1 .

Перечень объектов аттестационных испытаний

№ п/п

Объект аттестационных испытаний

Класс информации

Вид информации

Класс защищенности ИС

Требуемый уровень защищённости ПДн

  1.  

ГИС МБ

Персональные данные

обрабатываемая

класс К2

3-й уровень защищённости

 

Состав ОИ СС ГИС МБ:

  • 9 физических серверов;
  • виртуальные серверы приложений (17 шт.), виртуальные инфраструктурные серверы (2 шт.), виртуальные и физические серверы СЗИ (3 шт.);
  • коммутационное оборудование.

После указания всей информации об объекте аттестационных испытаний прописывается сама цель испытаний. В большинстве случаев указывается на соответствие требованиям какого документа проводилась аттестация, в рамках данной ВКР подготавливались документы по аттестации Московской библиотеки на соответствие приказу ФСТЭК №17. Также указываются задачи проведения испытаний.  В общих положениях указывается информация на основании с каким Государственным контрактом и договором проводились испытания. Указывается комиссия аттестации и указание на то, что компания имеет лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации [2].

Для проведения аттестационных испытаний комиссии АО «Аттестация» представляется комплект исходных данных и документация по объектам информатизации, включая:

  • технический паспорт на ОИ;
  • акты определения уровня защищённости персональных данных ОИ;
  • приказ о назначении ответственного за организацию обработки персональных данных на ОИ;
  • положение по организации и проведению работ по обеспечению безопасности информации конфиденциального характера (в том числе ПДн) при её обработке в ГИС МБ;
  • инструкция по организации охраны и допуску в режимные помещения, в которых эксплуатируются СКЗИ, предназначенные для защиты информации, передаваемой по каналам связи в рамках администрирования ГИС МБ;
  • приказ о назначении администратора безопасности ОИ;
  • копии или оригиналы лицензионных соглашений, наклейки и т.п. на программные средства, используемые на ОИ;
  • копии или оригиналы сертификатов соответствия ФСБ России и ФСТЭК России на применяемые средства защиты информации, используемые в ГИС МБ;
  • перечень защищаемой информации, циркулирующей (хранящейся, обрабатываемой) на ОИ;
  • приказ о допуске сотрудников к обработке защищаемой информации;
  • проектная и эксплуатационная документация на СЗИ ГИС МБ;
  • описание технологического процесса обработки информации на ОИ;
  • план контролируемой зоны объекта;
  • схемы размещения технических средств ОИ;
  • организационно-распорядительную документацию разрешительной системы доступа персонала на ОИ;
  • инструкции по эксплуатации СЗИ ГИС МБ.

Объем аттестационных испытаний определяется методикой, согласно которой выполняются проверки на соответствие требованиям технического задания (ТЗ) и нормативной документации функций, реализуемых отдельными компонентами, входящими в состав СЗИ ГИС МБ. В рамках составления данного документа для заказчика «Московская библиотека» будет приведена таблица с программой аттестации. Фрагмент приведен ниже, проверка состава СЗИ, входящих в состав СЗИ ГИС МБ. Программа и методика испытаний тесно связаны друг с другом. Сразу же после программы идет методика испытаний, где указано наименование проверки, методика проверки и сам результат [3].

Объем аттестационных испытаний определяется методикой, согласно которой выполняются проверки на соответствие требованиям технического задания (ТЗ) и нормативной документации функций, реализуемых отдельными компонентами, входящими в состав СЗИ ГИС МБ. В общих положениях указывается информация на основании с каким Государственным контрактом и договором проводились испытания. Фрагмент методики проведения испытаний ГИС МБ представлен в таблице 2.

Таблица 2.

Методики проведения испытаний

Наименование проверки

Методика проверки

Результат проверки

Проверка состава СЗИ, входящих в ГИС МБ

п. 6.3

ОС «РЕД ОС»

Проверка соответствия ОС «РЕД ОС», установленной на серверы, заключается в сравнении установленной версии с версией ОС «РЕД ОС», указанной в эксплуатационной документации на ГИС МБ. Итоговая контрольная сумма дистрибутивных файлов снимается в ОС Windows.

Проверка считается выполненной успешно, если в ходе проверки выявлено соответствие установленной версии ОС «РЕД ОС», версии, указанной в эксплуатационной документации на ГИС МБ.

п. 6.4

ПК «Битрикс»

Проверка соответствия версии ПК «Битрикс», заключается в сравнении установленной версии с версией ПК «Битрикс» указанной в эксплуатационной документации на ГИС МБ.

Проверка считается выполненной успешно, если в ходе проверки выявлено соответствие установленной версии ПК «Битрикс», версии, указанной в эксплуатационной документации на ГИС МБ.

 

Список литературы:

  1. Партыка, Т. Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: Форум, Инфра-М, 2020. - 368 c.
  2. Чипига, А. Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. - М.: Гелиос АРВ, 2018. - 336 c.
  3. Шунейко, А.А. Информационная безопасность человека. Учебное пособие для вузов / А.А. Шунейко. - М.: Владос, 2018. - 119 c.