О компании Вычислительная техника Системная интеграция Защита информации Комплексные системы информации
О компании ЗАО ''ИНФОПРО''
 

Публикации

Основные этапы создания и аттестации объектов информатизации на предприятиях, в организациях, учреждениях
 
 
Как показывает опыт проведения аттестационных испытаний, большинство обращающихся за этой услугой весьма смутно представляют, что же такое аттестация и какие действия следует предпринять  до ее начала.
В данной статье  кратко описан процесс создания объекта информатизации (ОИ), предшествующий его аттестации.
Следует отметить, что процесс этот последовательный, осуществляемый в несколько этапов, по четкому алгоритму, и попытки исключить какое-то звено или поменять этапы местами приводят, как правило, к ошибкам. Их устранение потребует дополнительных (иногда существенных) затрат.
Итак:
  1. Устанавливается предназначение создаваемого объекта информатизации (автоматизированная система – АС, выделенное помещение – ВП).
  2. Определяется максимальная степень секретности обрабатываемой или обсуждаемой информации. Для  АС - также и режимы обработки информации: однопользовательский, коллективный, права доступа пользователей, количество предполагаемых уровней конфиденциальности информации.
  3. На основании информации, полученной в результате выполнения п. 2, устанавливается категория (для ВП и АС) и класс защиты (только для АС) от несанкционированного доступа (НСД). Результаты оформляются соответствующими актами.
  4. Выбираются помещения для создаваемых объектов.
  5. Проводится их обследование. Уточняется организация электропитания, расположение и сопротивление контура заземления.  В ходе проверки определяются вероятные каналы утечки информации. При необходимости может проводиться инструментальный контроль, например, качества звукоизоляции ограждающих конструкций, окон, дверей ВП.
  6. С учетом категории и класса ОИ, а также данных обследования осуществляется выбор и приобретение технических средств, на базе которых будет создаваться ОИ. Безусловно, при этом  предпочтение должно отдаваться средствам, сертифицированным по требованиям безопасности информации или прошедшим специальные исследования и имеющим предписания на эксплуатацию.
  7. В тех случаях, когда условия расположения ОИ не обеспечивают выполнение требований предписаний на эксплуатацию, выбираются дополнительные (организационные, технические, программные) средства и способы защиты информации.
  8. Осуществляются установка и монтаж технических средств ОИ, в том числе средств защиты, и их настройка.
  9. Разрабатывается комплект организационно-распорядительной документации по защите информации в соответствии с СТР.
  10. На основании заявки в региональное управление ФСТЭК России назначается организация, имеющая аккредитацию в качестве органа по аттестации, с которой и заключается соответствующий договор на проведение аттестационных испытаний ОИ. По результатам испытаний оформляется заключение, оно  согласовывается с региональным управлением ФСТЭК России. Затем составляется аттестат соответствия объекта информатизации требованиям по безопасности. Данный документ дает право обработки (обсуждения) на аттестованном объекте информации с указанной в нем степенью секретности. Срок действия аттестата соответствия – не более 3 лет.
Таков краткий алгоритм создания и аттестации объекта информатизации. Следует отметить, что его реализация под силу только компаниям,  у которых имеется хорошо подготовленное штатное подразделение по защите информации. Во всех других случаях целесообразно проводить такие работы силами специализированных организаций, имеющих лицензии ФСТЭК России на оказание услуг в области защиты информации. Перечень таких структур постоянно уточняется и публикуется на сайте ФСТЭК России. Заключив договор с такой организацией, можно получить объект "под ключ", не допустив при этом ошибок, неизбежных, когда защитой информации занимаются не специалисты в этой области.
 
 
С.В. Бубликов, Заместитель генерального директора ЗАО "ИНФОПРО" по защите информации