|
Категорирование объектов ТСПИКатегорирование объекта проводится с целью дифференцированного подхода к защите основных и вспомогательных технических средств и систем от утечки информации и определения технически и экономически обоснованных мер защиты. Категорированию подлежат все объекты ЭВТ в системе МВД РФ. Возможно установление объекту одной из четырех категорий секретности. Объекты 1, 2 и 3 категории подлежат защите от утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также несанкционированного доступа к информации, в соответствии с действующими нормативно-техническими документами по защите информации; объекты 4 категории, обрабатывающей оперативно-служебную информацию, подлежат защите от несанкционированного доступа к ней; на объектах 4 категории, обрабатывающих несекретную информацию, не относящуюся к оперативно-служебной, защитные мероприятия не проводятся. Для установления категории объекта используются следующие критерии: · гриф секретности обрабатываемой информации; · условия расположения объекта ЭВТ. Категория объекта определяется высшим грифом секретности обрабатываемой информации. Условия расположения объекта считаются особыми, если объект ЭВТ размещен в одном здании со сторонними организациями либо занимает часть жилого дома и имеет контролируемую или проверяемую зону менее 15 м. В остальных случаях условия расположения объекта считают обычными. К объектам ЭВТ 1 категории относятся: · объекты, обрабатывающие информацию с грифом "особой важности", независимо от условий расположения; · объекты ЭВТ, обрабатывающие информацию с грифом "совершенно секретно", расположенные в особых условиях. К объектам 2 категории относятся: · объекты ЭВТ, обрабатывающие информацию с грифом "совершенно секретно", расположенные в обычных условиях; · объекты ЭВТ, обрабатывающих информацию с грифом "секретно", расположенные в особых условиях. К объектам 3 категории относятся объекты ЭВТ, обрабатывающие информацию с грифом "секретно", расположенные в обычных условиях. К объектам 4 категории относятся: · объекты ЭВТ, обрабатывающие оперативно-служебную информацию, не имеющую грифа секретности, независимо от условий расположения, требующие защиты от несанкционированного доступа; · объекты ЭВТ, обрабатывающие несекретную информацию, не относящуюся к оперативно-служебной информации ОВД. Работы по категорированию проводятся в следующем порядке: · выясняется высший гриф секретности обрабатываемой информации; · выясняются условия расположения объекта; · устанавливается категория объекта; · оформляется в одном экземпляре акт о категорировании объекта ЭВТ. Оформленный акт о категорировании направляется на согласование в Техническое управление МВД РФ и после согласования возвращается адресату. При создании объектов ЭВТ в окружных управлениях материально-технического и военного снабжения, учебных заведениях, горрайлинорганах внутренних дел согласование акта о категорировании проводится с техническими управлениями (отделами) МВД республик, ГУВД, УВД краев и областей, УВДТ (ОВДТ), при этом специалисты по защите информации этих подразделений ведут учет категорированных объектов и организуют работы по защите в необходимых случаях. Категорирование объектов ЭВТ проводится не реже 1 раза в 3 года. Внеочередной пересмотр категории объекта проводится в обязательном порядке, если изменились: · условия расположения объекта; · гриф секретности обрабатываемой информации.
Аттестация объектов ТСПИ. Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров [6.1]. Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате. Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации. Аттестация является обязательной в следующих случаях: · государственная тайна; · при защите государственного информационного ресурса; · управление экологически опасными объектами; · ведение секретных переговоров. Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации. Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится: · защита от НСД, в том числе компьютерных вирусов; · защита от утечки через ПЭМИН; · защита от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации. Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ: · анализ исходных данных по аттестуемому объекту информатизации; · предварительное ознакомление с аттестуемым объектом информатизации; · проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации; · проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств; · проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации; · проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации; · анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации. Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации". Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации. Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика. В структуру системы аттестации входят: · федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации – ФСТЭК России; · органы по аттестации объектов информатизации по требованиям безопасности информации; · испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации; · заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации). В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации. В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию. Органы по аттестации: · аттестуют объекты информатизации и выдают "Аттестаты соответствия"; · осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией; · отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия"; · формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке; · ведут информационную базу аттестованных этим органом объектов информатизации; · осуществляют взаимодействие с ФСТЭК России и ежеквартально информируют его о своей деятельности в области аттестации. ФСТЭК осуществляет следующие функции в рамках системы аттестации: · организует обязательную аттестацию объектов информатизации; · создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах; · устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации; · организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации; · аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ; · осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации; · рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации; · организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации. Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации. Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России в разделе "Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации". Что вызывает тренды на фондовых и товарных рынках Объяснение теории грузового поезда Первые 17 лет моих рыночных исследований сводились к попыткам вычислить, когда этот... Конфликты в семейной жизни. Как это изменить? Редкий брак и взаимоотношения существуют без конфликтов и напряженности. Через это проходят все... Живите по правилу: МАЛО ЛИ ЧТО НА СВЕТЕ СУЩЕСТВУЕТ? Я неслучайно подчеркиваю, что место в голове ограничено, а информации вокруг много, и что ваше право... ЧТО ТАКОЕ УВЕРЕННОЕ ПОВЕДЕНИЕ В МЕЖЛИЧНОСТНЫХ ОТНОШЕНИЯХ? Исторически существует три основных модели различий, существующих между... Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:
|