Аттестация по требованиям безопасности

Аттестация АС проводиться на основании основных нормативных и руководящих документов ГТК по аттестации объектов информатизации, таких как:

1. Специальные требования и рекомендации по защите информации, составляющей государственную тайну и обрабатываемой техническим средствами, от утечки по техническим каналам (СТР), утвержденные решением ГТК от 23.05.1997г. № 55;

2. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены решением коллегии ГТК от 2 марта 2001 г. № 7.2;

3. «Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем ГТК 25.11.1994г.

4. «Временные методические указания управлениям Гостехкомиссии России по федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации», введены приказом ГТК от 21.06.2002г. № 201.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ГТК. Обязательной аттестации подлежат АС, предназначенные для обработки информации, составляющей государственную тайну, для управления экологически опасными объектами и для ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца АС. Система аттестации АС является составной частью Единой системы сертификации СрЗИ и аттестации объектов информатизации по требованиям БИ, организация функционирования которой осуществляется ГТК. Процедуру аттестации АС можно условно разделить на несколько последовательных этапов:

1) планирование,

2) сбор информации,

3) базовый анализ,

4) детальный анализ,

5) подготовка отчетных документов,

6) аккредитация.

Планирование

Можно выделить четыре стадии планирования:

1) инициирование;

2) анализ;

3) планирование ресурсов;

4) документирование плана проведения аттестации.

Принятая схема проведения аттестации оформляется в виде «Программы аттестации».

Сбор информации

Существует 3 основных метода сбора информации: от обслуживающего персонала и разработчиков АС, изучение документации, проведение опросов.

Для этого должны быть подготовлены следующие документы:

· документы, содержащие требования БИ,

· отчет по результатам анализа рисков,

· диаграммы информационных потоков приложений,

· описание механизмов БИ.

Базовый анализ

Проводится анализ механизмов безопасности АС, позволяющий определить общий уровень ее защищенности и степень соответствия требованиям БИ и заключающийся в проверке наличия в составе системы компонентов, реализующих необходимый набор требований БИ.

Детальный анализ

Во многих случаях для проведения аттестации бывает недостаточно одного базового анализа, что требует проведения детального анализа для поиска конкретных ошибок в реализации АС, при этом:

· оценивают эффективность реализации функций безопасности,

· проверяется правильность функционирования механизмов БИ.

Здесь может использоваться большинство известных методов тестирования, формальная верификация

Подготовка отчетных документов по результатам аттестации

Основными отчетными документами по результатам аттестации являются:

· «Заключение по результатам аттестационных испытаний»,

· «Протокола аттестационных испытаний», прилагаемые к «Заключению…».

На основании Заключения председатель аттестационной комиссии принимает решение о выдаче «Аттестата соответствия».

Аккредитация

В США термином «аккредитация безопасности АС» обозначается основывающаяся на результатах аттестации санкция руководства предприятия, позволяющая использовать АС для обработки жизненно-важной и/или конфиденциальной информации в данной среде функционирования.