Аттестация объектов информатизации по требованиям безопасности информации

О.Е. Сапронова






Аттестация объектов информатизации по требованиям безопасности информации








^ИНТУИТ
  / НАЦИОНАЛЬНЫЙ ОТКРЫТЫЙ УНИВЕРСИТЕТ

С.ИНТУ ИТ

    У НАЦИОНАЛЬНЫЙ ОТКРЫТЫЙ УНИВЕРСИТЕТ


Аттестация объектов информатизации по требованиям безопасности информации 2-е издание, исправленное
Сапронова О.Е.



Национальный Открытый Университет “ИНТУИТ” 2016


2

Аттестация объектов информатизации по требованиям безопасности информации/ О.Е. Сапронова -М.: Национальный Открытый Университет “ИНТУИТ”, 2016
Курс знакомит с принципами и порядком проведения аттестации объектов информатизации по требованиям безопасности информации, позволяет научиться самостоятельно разрабатывать документы заявителя и аттестационные материалы.
Курс охватывает все аспекты проведения аттестации объектов информатизации по требованиям безопасности информации, включая основные понятия аттестации, нормативно-правовую базу, организационную структуру системы аттестации, функции, права и обязанности всех участников аттестации, а также подробно рассматривает подготовку к аттестации и ее проведение. В рамках курса подробно разбирается структура и содержание документов, разрабатываемых на каждом этапе: от подготовки к аттестации до ввода объекта информатизации в эксплуатацию.
(c) ООО “ИНТУИТ.РУ”, 2018-2016
(c) Сапронова О.Е., 2018-2016

3

                Нормативная правовая и методическая база системы аттестации объектов информатизации по требованиям безопасности информации




Введение понятия аттестации, нормативно-правовые и методические документы, регламентирующие вопросы защиты информации в Российской Федерации.

Нормативная правовая и методическая база системы аттестации объектов информатизации по требованиям безопасности информации

Цель: изучение правовых основ аттестации, определение источников возникновения потребности в проведении аттестации объектов информатизации.

Начнем с определения понятия “информация”. Существует множество значений понятия “информация”. В соответствии с Федеральным законом Российской Федерации “Об информации, информационных технологиях и о защите информации” от 27.07.2006 № 149-ФЗ, “информация - сведения (сообщения, данные) независимо от формы их представления”. Классифицировать информацию можно по различным параметрам: по форме представления, по способу восприятия, значению и назначению. Для целей нашего курса мы будем классифицировать информацию по категориям доступа. Итак, информация, представленная в любом виде, подразделяется на две категории:


4

Рис. 1. Виды информации

В соответствии с Федеральным законом Российской Федерации “Об информации, информационных технологиях и о защите информации” от 27.07.2006 № 149-ФЗ, “информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)”.Информацией ограниченного доступа является информация, доступ к которой ограничивается на законном основании, и которая представляет ценность для ее обладателя, будь то юридическое лицо, индивидуальный предприниматель или орган власти.

Общедоступная информация подразделяется на 2 категории:


 1. Информация, ставшая общедоступной по решению ее владельца.
 2. Информация, которая в соответствии с Федеральными законами не может быть отнесена к информации ограниченного доступа. В соответствии со ст. 8 Федерального закона “Об информации, информационных технологиях и о защите информации” от 27.07.2006 № 149-ФЗ к такой информации относятся:
 3.
     1. Нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, а также устанавливающие правовое положение организаций и полномочия государственных органов, органов местного самоуправления.
     2. Информация о состоянии окружающей среды.
     3. Информация о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну).


5

      4. Информация, накапливаемая в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией.
      5. Иная информация, недопустимость ограничения доступа к которой установлена федеральными законами.

Решение об общедоступности информации принимает ее обладатель (владелец), размещая ее в сети интернет (например, фото в социальных сетях), распространяя через средства массовой информации, сообщая публично, передавая по открытым каналам связи, а также любым другим способом, открывая к ней свободный доступ.

Федеральным законом Российской Федерации “Об информации, информационных технологиях и о защите информации” от 27.07.2006 № 149-ФЗ определено, что обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателем информации может выступать физическое или юридическое лицо, индивидуальный предприниматель, муниципальное образование, субъект Российской Федерации, орган власти, подведомственные им учреждения и Российская Федерация. Способ распространения информации, а также ее форма и вид в данном случае значения не имеют. Общедоступная информация может быть получена любым человеком в любое время и в любой форме.

Виды информации, доступ к которой должен быть ограничен, определяются Федеральными законами Российской Федерации и включают в себя следующие:

  1. Информация, составляющая государственную тайну.
  2. Служебная тайна.
  3. Персональные данные
  4. Коммерческая тайна.
  5. Банковская тайна.
  6. Прочие профессиональные тайны (врачебная, судопроизводства, следствия и т.д.).

Виды информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, определены “Перечнем сведений конфиденциального характера”, утвержденным Указом Президента РФ от 6 марта 1997 г. N 188 и включают в себя следующие сведения:

  1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
  2. Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к


6

    сведениям, составляющим государственную тайну.
  3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и Федеральными законами (служебная тайна).
  4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
  5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и Федеральными законами(коммерческая тайна).
  6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
  7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ “Об исполнительном производстве”.

Исходя из положений Федерального закона Российской Федерации “Об информации, информационных технологиях и о защите информации” от 27.07.2006 № 149-ФЗ, защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о защите государственной тайны. В данном курсе аттестация объектов информатизации по требованиям безопасности информации, содержащей сведения, составляющие государственную тайну, рассматриваться не будет.

Защита информации ограниченного доступа, обрабатываемой с использованием технических средств, является частью работ по созданию и эксплуатации объектов информатизации.

Под объектом информатизации понимается совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров, что определено “Рекомендациями по стандартизации Р 50.1.056-2005.Техническая защита информации. Основные термины и определения”.

С целью установления соответствия комплекса мероприятий по защите информации, проведенного на объекте информатизации, требованиям по безопасности информации, установленным законодательством Российской Федерации, проводится аттестация объектов информатизации по требованиям безопасности информации.

В соответствии с “Положением по аттестации объектов информатизации по требованиям безопасности информации”, утвержденным председателем государственной технической комиссии при Президенте Российской Федерации


7

(Гостехкомиссия России) 25 ноября 1994 г., под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они расположены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации, что определено в “Положении по аттестации объектов информатизации по требованиям безопасности информации”, утвержденном председателем Гостехкомиссии России 25 ноября 1994 г.

Правовую основу аттестации объектов информатизации по требованиям безопасности информации устанавливают Конституция Российской Федерации, Федеральные законы Российской Федерации, подзаконные акты, в том числе нормативно-методические документы органов исполнительной власти, уполномоченных в области обеспечения безопасности информации в пределах своих полномочий.

Федеральными органами исполнительной власти, уполномоченными в области безопасности информации, являются Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная служба безопасности (ФСБ России).

Итоги: Информация по категориям доступа делится на информацию ограниченного доступа, доступ к которой ограничен на законном основании и общедоступную информацию. Объекты информатизации, обрабатывающие информацию ограниченного доступа, подлежат аттестации в соответствии с требованиями, устанавливаемыми Конституцией Российской Федерации, Федеральными законами Российской Федерации, подзаконными актами, в том числе нормативнометодическими документами ФСТЭК России и ФСБ России.

Ключевые слова: информация, коммерческая тайна, обладатель информации, объект информатизации, объекты информатизации, аттестуемые по требованиям безопасности информации, персональные данные, служебная тайна.


8

                Основные понятия и термины по вопросам аттестации




Вводятся понятия аттестации, сертификации и лицензирования, описывается их сущность и характеристики, раскрываются понятия защиты информации в контексте аттестации объектов информатизации

Основные понятия и термины по вопросам аттестации

Цель: закрепить отличие понятий аттестации, сертификации и лицензирования, получить общую картину аттестации объектов информатизации.

С целью защиты государства от внутренних и внешних угроз в информационной сфере в Российской Федерации создана государственная система защиты информации, являющаяся частью системы обеспечения национальной безопасности Российской Федерации. Государственная система защиты информации включает в себя подсистему сертификации средств защиты информации и подсистему лицензирования в области защиты информации. В соответствии с п. 1.3. “Положения о сертификации средств защиты информации по требованиям безопасности информации”, утвержденного Приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27.10.1995 № 199, установлено, что система сертификации средств защиты информации по требованиям безопасности информации включает в себя аттестацию объектов информатизации по требованиям безопасности информации.

Следует отметить, что в 2004 году Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) была преобразована во ФСТЭК России. В Указе Президента Российской Федерации “Вопросы Федеральной службы по техническому и экспортному контролю” от 16.08.2004 № 1085 определено, что Федеральная служба по техническому и экспортному контролю Российской Федерации, ее территориальные органы и подведомственные ей организации являются правопреемниками Государственной технической комиссии при Президенте Российской Федерации, ее территориальных органов и подведомственных ей организаций.

В общем смысле, в соответствии с Федеральным законом “О техническом регулировании” от 27.12.2002 № 184-ФЗ,система сертификации - это совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом.

В “Положении о сертификации средств защиты информации по требованиям безопасности информации”, утвержденном Приказом председателя Гостехкомиссии России от 27.10.1995 № 199, определено, что сертификация средств защиты информации по требованиям безопасности информации - это деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России.

В процессе сертификации в результате проведения комплекса испытаний


9

подтверждается соответствие “изделия” или “средства” установленным требованиям по безопасности к тому или иному виду изделий (средств). В случае соответствия изделия установленным требованиям выдается сертификат соответствия.

В соответствии с Федеральным законом “О техническом регулировании” от 27.12.2002 № 184-ФЗ, сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, документам по стандартизации или условиям договоров.

Особенностью сертификации является участие в данном процессе третьей стороны -испытательной лаборатории (центра), которая независима, как от производителя средства, так и от его конечного потребителя.

Под лицензированием в области защиты информации понимается деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ в соответствии с “Рекомендациями по стандартизации Р 50.1.056-2005. Техническая защита информации. Основные термины и определения”.

В процессе лицензирования комплекс мероприятий проводится в отношении “субъекта”, в качестве которого выступает юридическое лицо или индивидуальный предприниматель. Органы власти и органы местного самоуправления осуществляют работы с информацией ограниченного доступа в соответствии с возложенными на них функциями и лицензированию в области защиты информации не подлежат. В процессе процедуры лицензирования осуществляется оценка готовности “субъекта” к осуществлению определенного вида деятельности. В случае успешного прохождения процедуры лицензирования выдается лицензия, дающая право лицензиату заниматься указанными в лицензии видами деятельности.

В соответствии с Федеральным законом Российской Федерации “О лицензировании отдельных видов деятельности” от 04.05.2011 № 99-ФЗ, лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом.

Особенностью лицензирования является активное участие в данном процессе обеих сторон лицензирования: организации, подающей заявку на получение лицензии, и органа, осуществляющего процедуру лицензирования. Получить лицензию может только та организация, которая полностью соответствует требованиям, предъявляемым к соискателям лицензии на занятие определенным видом деятельности.

В соответствии с “Положением по аттестации объектов информатизации по требованиям безопасности информации”, утвержденным председателем государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г., под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством


10