РАЗРАБОТКА ТИПОВОГО КОМПЛЕКТА ДОКУМЕНТОВ ПО АТТЕСТАЦИИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Журнал: Научный журнал «Студенческий форум» выпуск №22(245)
Рубрика: Технические науки
Научный журнал «Студенческий форум» выпуск №22(245)
РАЗРАБОТКА ТИПОВОГО КОМПЛЕКТА ДОКУМЕНТОВ ПО АТТЕСТАЦИИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Комплект документов по аттестации государственной информационной системы основывается на ГОСТ РО 0043-004-2013 Программа и методики аттестационных испытаний и составляется на основании испытаний, приведенных в данном регламентирующем документе [1].
Он определяет основные организационно-методические вопросы проведения и обеспечения аттестационных испытаний на соответствие требованиям по безопасности информации объекта информатизации Заказчика – государственной информационной системы.
В первую очередь, в документе указывается сам объект исследования: какая будет государственная информационная система, ее наименование, какие компоненты у нее и где они находятся. Также указывается перечень объектов аттестационных испытаний, где указывается сам объект, класс информации, вид информации, класс защищенности ИС, требуемый уровень защищенности.
Пример на основе Заказчика «Московская библиотека»:
Объектом аттестационных испытаний является ГИС МБ - распределенная информационная система. Перечень объектов аттестационных испытаний указан в таблице 3. В столбце «Класс защищенности ИС» указан класс на основании Приказа ФСТЭК №17 от 11.02.2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». В столбце «Требуемый уровень ПДн» указан уровень защищенности на основании постановления правительства Российской Федерации №1119 от 01.11.2012 г. Перечень объектов аттестационных испытаний приведен в таблице 1.
Таблица 1 .
Перечень объектов аттестационных испытаний
№ п/п |
Объект аттестационных испытаний |
Класс информации |
Вид информации |
Класс защищенности ИС |
Требуемый уровень защищённости ПДн |
---|---|---|---|---|---|
|
ГИС МБ |
Персональные данные |
обрабатываемая |
класс К2 |
3-й уровень защищённости |
Состав ОИ СС ГИС МБ:
- 9 физических серверов;
- виртуальные серверы приложений (17 шт.), виртуальные инфраструктурные серверы (2 шт.), виртуальные и физические серверы СЗИ (3 шт.);
- коммутационное оборудование.
После указания всей информации об объекте аттестационных испытаний прописывается сама цель испытаний. В большинстве случаев указывается на соответствие требованиям какого документа проводилась аттестация, в рамках данной ВКР подготавливались документы по аттестации Московской библиотеки на соответствие приказу ФСТЭК №17. Также указываются задачи проведения испытаний. В общих положениях указывается информация на основании с каким Государственным контрактом и договором проводились испытания. Указывается комиссия аттестации и указание на то, что компания имеет лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации [2].
Для проведения аттестационных испытаний комиссии АО «Аттестация» представляется комплект исходных данных и документация по объектам информатизации, включая:
- технический паспорт на ОИ;
- акты определения уровня защищённости персональных данных ОИ;
- приказ о назначении ответственного за организацию обработки персональных данных на ОИ;
- положение по организации и проведению работ по обеспечению безопасности информации конфиденциального характера (в том числе ПДн) при её обработке в ГИС МБ;
- инструкция по организации охраны и допуску в режимные помещения, в которых эксплуатируются СКЗИ, предназначенные для защиты информации, передаваемой по каналам связи в рамках администрирования ГИС МБ;
- приказ о назначении администратора безопасности ОИ;
- копии или оригиналы лицензионных соглашений, наклейки и т.п. на программные средства, используемые на ОИ;
- копии или оригиналы сертификатов соответствия ФСБ России и ФСТЭК России на применяемые средства защиты информации, используемые в ГИС МБ;
- перечень защищаемой информации, циркулирующей (хранящейся, обрабатываемой) на ОИ;
- приказ о допуске сотрудников к обработке защищаемой информации;
- проектная и эксплуатационная документация на СЗИ ГИС МБ;
- описание технологического процесса обработки информации на ОИ;
- план контролируемой зоны объекта;
- схемы размещения технических средств ОИ;
- организационно-распорядительную документацию разрешительной системы доступа персонала на ОИ;
- инструкции по эксплуатации СЗИ ГИС МБ.
Объем аттестационных испытаний определяется методикой, согласно которой выполняются проверки на соответствие требованиям технического задания (ТЗ) и нормативной документации функций, реализуемых отдельными компонентами, входящими в состав СЗИ ГИС МБ. В рамках составления данного документа для заказчика «Московская библиотека» будет приведена таблица с программой аттестации. Фрагмент приведен ниже, проверка состава СЗИ, входящих в состав СЗИ ГИС МБ. Программа и методика испытаний тесно связаны друг с другом. Сразу же после программы идет методика испытаний, где указано наименование проверки, методика проверки и сам результат [3].
Объем аттестационных испытаний определяется методикой, согласно которой выполняются проверки на соответствие требованиям технического задания (ТЗ) и нормативной документации функций, реализуемых отдельными компонентами, входящими в состав СЗИ ГИС МБ. В общих положениях указывается информация на основании с каким Государственным контрактом и договором проводились испытания. Фрагмент методики проведения испытаний ГИС МБ представлен в таблице 2.
Таблица 2.
Методики проведения испытаний
№ |
Наименование проверки |
Методика проверки |
Результат проверки |
---|---|---|---|
Проверка состава СЗИ, входящих в ГИС МБ |
|||
п. 6.3 |
ОС «РЕД ОС» |
Проверка соответствия ОС «РЕД ОС», установленной на серверы, заключается в сравнении установленной версии с версией ОС «РЕД ОС», указанной в эксплуатационной документации на ГИС МБ. Итоговая контрольная сумма дистрибутивных файлов снимается в ОС Windows. |
Проверка считается выполненной успешно, если в ходе проверки выявлено соответствие установленной версии ОС «РЕД ОС», версии, указанной в эксплуатационной документации на ГИС МБ. |
п. 6.4 |
ПК «Битрикс» |
Проверка соответствия версии ПК «Битрикс», заключается в сравнении установленной версии с версией ПК «Битрикс» указанной в эксплуатационной документации на ГИС МБ. |
Проверка считается выполненной успешно, если в ходе проверки выявлено соответствие установленной версии ПК «Битрикс», версии, указанной в эксплуатационной документации на ГИС МБ. |
Список литературы:
- Партыка, Т. Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: Форум, Инфра-М, 2020. - 368 c.
- Чипига, А. Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. - М.: Гелиос АРВ, 2018. - 336 c.
- Шунейко, А.А. Информационная безопасность человека. Учебное пособие для вузов / А.А. Шунейко. - М.: Владос, 2018. - 119 c.