Аттестация автоматизированной системы по требованиям безопасности информации

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект отвечает требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.

Михаил ПЫШКИН, директор направления ИБ INLINE Technologies

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2007

Достаточно полно процесс проведения аттестации изложен в соответствующих положениях [1, 2] и в некоторых публикациях, например, А.А. Хорева [3].

Состав нормативной и методической документации для аттестации конкретных автоматизированных систем (АС) определяется органом по аттестации в зависимости от вида и условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемой АС. Перечень исходных данных приведен в заявке на аттестацию (см. положение по аттестации [1, 2]). Аттестат соответствия выдается владельцу АС на период, в течение которого обеспечивается неизменность условий функционирования системы и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое ПО, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

Контролирование

Положением по аттестации предусмотрено три вида контроля:

1. Государственный контроль и надзор, инспекционный контроль за проведением аттестации проводится территориальным управлением ФСТЭК России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных АС - периодически в соответствии с планами работы по контролю и надзору.
2. Органом по аттестации объектов информатизации, проводившим аттестацию АС, ежегодно - в соответствии с программой аттестационных испытаний.
3. Самоконтроль осуществляется службой безопасности учреждения, проводится периодически (не реже одного раза в год).

Контроль заключается в оценке:

• соблюдения нормативных и методических документов ФСТЭК России;
• работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
• знаний и выполнения персоналом своих функциональных обязанностей в части за щиты информации.

В силу исторической направленности работ по аттестации на защиту государственной тайны данные работы явно перегружены утечками по техническим каналам, что вызывает большие затраты и требования к специалистам по защите информации на местах. В частности, для прохождения учебного курса "Аттестация объектов информатизации по требованиям безопасности информации. Защита от утечки по техническим каналам" слушателям необходимо иметь справку о допуске и предписание на выполнение задания "форма 16".

Не хватает также публичности информации об организациях, имеющих аттестат, а также актуальности и статуса действия этого сертификата. Согласно Положению ведение сводных информационных баз аттестованных объектов информатизации осуществляется ФСТЭК России или по ее поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов, но для бизнес-компаний более предпочтительным является вариант с публичным реестром аттестатов (или выписок из них), что позволит предприятиям выбирать себе подходящих партнеров.

В силу указанных причин для некоторых бизнес-компаний более привлекательной может быть сертификация в рамках российской аккредитации ISO. Данный вариант имеет большую международную направленность, а также считается менее зависимым от государственных структур.

Опыт зарубежных стран

Если обратиться к опыту других стран, в частности Германии, то немецкое Федеральное управление по ИТ-безопасности BSI (Bundesamt f?r Sicherheit in der Informati-onstechnik) разработало ряд стандартов (100-1, 100-2, 100-3) в области ИБ, по которым разработана схема сертификации как государственных, так и бизнес-компаний. Стандарты охватывают каталоги базовых требований, угроз, мер защиты, руководства по анализу рисков, инструментарий для самооценки соответствия требованиям. При этом, несмотря на отличие данных стандартов от стандартов ISO, по просьбе бизнес-компаний в добавление к собственной схеме сертификации была также разработана схема параллельного получения международного сертификата ISO/IEC 27001 при выполнении требований немецких стандартов.

Немецкое Федеральное управление по финансовому надзору BaFin (Bundesanstalt fur Finanzdienstleistungsauf-sicht) разработало ряд нормативных документов (Kon-TraG и MaRisk) для финансовых учреждений, на основе которых рекомендовало внедрение стандартов BSI.

В США в 2002 г. была принята Федеральная программа по ИБ FISMA (Federal Information Security Management Act), пришедшая на смену устаревшему Government Information Security Reform Act (GIS-RA). Данная программа распространяется не только на федеральные агентства, но и на любые коммерческие организации, работающие с ними. Каждое агентство должно разработать программу по ИБ, проводить периодически анализ рисков и на основе этого анализа выбирать соизмеримые ущербу средства контроля. Программа должна предусматривать такие меры, как реагирование на инциденты и обеспечение непрерывности выполнения ИТ-операций. Она предусматривает схемы аккредитации и сертификации, при этом была разработана специальная программа "ISO 27001 Harmonization Initiative" по гармонизации с международным стандартом ISO/IEC 27001. В настоящий момент завершена первая фаза программы, в рамках которой уже разработано более 10 стандартов и руководств по ИБ.

Ежегодно каждое агентство обязано отчитываться перед Конгрессом об адекватности и эффективности используемой программы, а также проводить независимый аудит ИБ на предмет ее эффективности. Для поощрения данных инициатив была разработана специальная ежегодная премия eGov Awards.
Таким образом, необходимо отметить назревшие перемены в российской программе аттестации. Основные направления совершенствования, на которые следует обратить внимание, лежат в области гармонизации с международными стандартами, а также в области интересов коммерческих предприятий и компаний.

Используемая литература

1. Положение по аттестации объектов информатизации по требованиям безопасности информации (Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.); www.fstec.ru.
2. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 5 января 1996 г. № 3); www.fstec.ru.
3. Хорев А. А., доктор технических наук, профессор, Аттестация объектов информатизации и выделенных помещений. См. www.securitymanage-ment.ru.
4. BSI, http://www.bsi.bund.de/gshb/ zert/
5. FISMA, http://csrc.nist.gov/sec-cert/.