Аттестация объектов информатизации по ГОСТ

Объект информатизации (ОИ): что это и зачем его аттестовать

Для начала уточним, что же такое объект информатизации (далее – ОИ).

ОИ – это некая общность (информационных ресурсов, систем обработки данных, поддерживающей инфраструктуры,) которая используется в рамках какой-либо технологии. Определение довольно широкое, оно включает почти любую систему, которая так или иначе обрабатывает информацию.

Объект информатизации определение ФСТЭК

Согласно ГОСТ Р 51275-2006 “Защита информации. Объект информатизации. Факторы, воздействующие на информацию” ФСТЭК дает следующее определение термину объект информатизации: “совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров”.

Все ли такие объекты необходимо аттестовать по ГОСТ, который мы рассмотрим далее? Нет, существуют конкретные критерии. Только если объект информатизации подходит по этим критериям, его необходимо аттестовать.

Существующими законами необходимость такой процедуры устанавливается для:

• Органов государственной власти;
• Предприятий, информационные системы (далее-ИС) которых обрабатывают информацию, составляющую государственную тайну;
• Организаций, которые выполняют аттестацию ОИ.

Во всех остальных случаях аттестация полностью добровольна.

Правовые аспекты аттестации объектов информатизации (ГОСТ)

Существуют два документа, на которые необходимо обратить особое внимание в изучении данного вопроса. Это информационное сообщение ФСТЭК «Об утверждении порядка аттестации объектов информатизации…» от 29 апреля 2029 и ГОСТ РО 0043-003-2012 «Аттестация объектов информатизации…» от 17 апреля 2012.

Информационное сообщение устанавливает критерии для информационных систем к прохождению аттестации. Стандарт ГОСТ формулирует общие положения в рамках аттестации объектов информатизации. Несоблюдение требований данных документов влечёт за собой уголовную ответственность.

Аттестация объектов информатизации – это? Этапы аттестации

Сам процесс аттестации предваряется длительным периодом подготовки. На самом первом этапе понадобится разработать приказ о необходимости защиты информации и акт её классификации, произвести моделирование угроз, на основе которого будут разработаны модель угроз и модель нарушителя. Наконец, создать техническое задание на систему защиты информации.

Далее следуют практические работы по разработке, установке, настройке и тестированию средств защиты информации (далее- СЗИ). Все эти действия сопровождаются производством большого количества документации: техпроекта, эксплуатационной документации для СЗИ, организационной и распорядительной документации, актов проверки и приёмки.

Завершающий этап составляют процессы заключительного тестирования СЗИ. Составляются протоколы испытаний, заключения и выдаётся сертификат соответствия. По факту аттестации системе присваивается один из трёх классов защищённости, где первый —самый высокий. Класс защищённости определяется в соответствии с первым приложением к 17 приказу директора ФСТЭК. Также, стоит отметить, что требование к классу ИС должно быть заложено ещё в техническом задании, на стадии создания информационной системы.

Итак, пред аттестацией необходимо в полной мере подготовить ИС в техническом и документационном планах. На стадиях создания и проектирования определяется требуемый класс информационной системы, после чего, на стадии реализации, закупаются, устанавливаются и настраиваются технические средства, а также разрабатывается организационно распорядительная документация к ним.

Важно отметить, что все закупаемые технические средства должны быть сертифицированы, это легко проверить в реестре сертифицированных средств защиты информации. В соответствии с приказом 17 ФСТЭК и требуемым КЗ (далее -класс защиты), легко определить требуемый класс СЗИ и средств вычислительной техники (далее- СВТ):

• 1 КЗ – 4 класс СЗИ, 5 класс СВТ (*)
• 2 КЗ – 5 класс СЗИ, 5 класс СВТ (*)
• 3 КЗ – 6 класс СЗИ, 5 класс СВТ (*)

* Во всех трёх случаях, класс СЗИ и СВТ должен быть не ниже заданного значения.

После самостоятельной проверки и опытной эксплуатации СЗИ, можно переходить к аттестации.