Аттестация объектов информатизации.

Органы по аттестации АО СА ОМЕГА осуществляет следующие мероприятия:

• - аттестует объекты информатизации и выдает «Аттестаты соответствия»
• - осуществляет контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них
• - отменяет и приостанавливают действие выданных ранее «Аттестатов соответствия
• - формирует фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке
• - ведет информационную базу аттестованных объектов информатизации

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых, посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.

Объекты информатизации, вне зависимости от используемых отечественных или зарубежных технических и программных средств, аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации.

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации.

Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия».

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа к информации, обрабатываемой автоматизированными средствами (в том числе от компьютерных вирусов), и от утечки информации по техническим каналам.

При необходимости по решению руководителя предприятия (учреждения, фирмы) организациями, имеющими соответствующие лицензии ФСБ России, могут быть проведены специальные проверки на наличие возможно внедренных в выделенные помещения или технические средства специальных электронных устройств перехвата информации («закладных устройств»).

Основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроль и надзор за аттестацией и эксплуатацией аттестуемых объектов информатизации устанавливает «Положение по аттестации объектов информации по требованиям безопасности информации» (далее - Положение), утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.

Система аттестации объектов информации по требованиям безопасности информации (далее – система аттестации) является составной частью единой обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке.

Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее – федеральный орган по сертификации и аттестации), которым является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) в пределах ее компетенции, определяемой законодательными актами Российской Федерации.

Организационную структуру системы аттестации объектов информатизации образуют:

·         федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации;

·         органы по аттестации объектов информатизации по требованиям безопасности информации;

·         испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

·         заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

Федеральный орган по сертификации и аттестации осуществляет следующие функции:

·         организует обязательную аттестацию объектов информатизации;

·         создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

·         устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации; организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

·         аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

·         осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;

·         рассматривает апелляции, возникающие в процессе аттестации объектов информатизации и контроля за эксплуатацией аттестованных объектов информатизации;

·         организует периодическую публикацию информации по функционированию системы аттестации объектов по требованиям безопасности информации.

Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации.

Такими органами могут быть отраслевые и региональные организации, предприятия и организации по защите информации, специальные центры ФСТЭК РФ.

Правила аккредитации определяются действующим в системе «Положением об аккредитации испытательных лабораторий и органов по сертификации средств информации по требованиям безопасности информации» для органов по сертификации.

Органы по аттестации:

·         аттестуют объекты информатизации и выдают «Аттестаты соответствия»;

·         осуществляют контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;

·         отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»;

·         формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

·         ведут информационную базу аттестованных этим органом объектов информатизации;

·         осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.

Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.

Испытательные центры (лаборатории) сертификации продукции по требованиям безопасности информации в соответствии с заказами заявителей проводят испытания несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации».

Заявители:

·         проводят подготовку объекта информатизации к аттестации путем необходимых организационно-технических мероприятий по защите информации;

·         привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;

·         предоставляют органам по аттестации необходимые документы и условия проведения аттестации;

·         при необходимости привлекают для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры по сертификации;

·         осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;

·         извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в «Аттестате соответствия»);

·         предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

Расходы по проведению всех работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.

Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам в порядке, установленном федеральным органом по сертификации и аттестации в пределах его компетенции, по согласованию с Министерством финансов Российской Федерации, а при их отсутствии – по договорной цене.

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации.