Аттестация автоматизированных систем, обрабатывающих сведения, составляющие государственную тайну/конфиденциальную информацию
Защита государственной тайны — обязанность не только сотрудников профильных учреждений, но и любого гражданина страны в случае, если он причастен к государственным секретам. Но, наибольшая ответственность ложится на руководителей ведомств, обязанных контролировать доступ к гостайне своих сотрудников и других, уполномоченных лиц.
Государственную тайну могут составлять не только сведения о разведывательной, контрразведывательной и военной деятельности государства, но и его деятельность, например, во внешнеполитической и экономической сферах — если разглашение подобной информации может нанести ущерб Российской Федерации. (РФ это гриф «Особой важности» градация грифов дифференцируется масштабом ущерба — РФ, министерство/ведомство, организация — ОВ, СС, С соответственно).
Список организаций, перечень сведений, отнесенных к государственной тайне и порядок доступа к ним регулируется рядом нормативно-правовых актов, хорошо знакомых компетентным представителям таких организаций, как МВД, ФСБ, ФСО, МЧС, Минюст, Минобороны, Аппарат Президента РФ, Минэкономразвития, Росатом, Роскосмос, Минпромэнерго, ГУСП, ФСТЭК РФ и, даже — Минобрнауки, Минздравсоцразвития и др.
Для учреждений, , имеющих необходимость обработки в электронном виде информации содержащей сведения составляющие государственную тайну, требуется наличие технических средств защиты данных, сертифицированных ФСТЭК и ФСБ России (ФСБ только для каналов передачи данных). Более того, объект информатизации в обязательном порядке должен пройти процедуру аттестации и в случае положительного заключения получить «Аттестат соответствия» требованиям безопасности информации.
ООО «Центр информационной безопасности» обладает полным пакетом — лицензий, дающих право на проведение работ по аттестации и организации эффективной защиты государственной тайны.
Мы проводим:
- разработку организационно-распорядительной документации по защите информации;
- поставку и установку сертифицированных средств защиты информации;
- выявление в технических средствах и помещениях электронных устройств негласного съема информации;
- выявление и оценку опасных технических каналов утечки информации;
- аттестацию объектов информатизации по требованиям безопасности информации.
Объектами информатизации являются автоматизированные системы (АС) . Иными словами, локальные сети с подключенным периферийным оборудованием и автономные рабочие места, оборудованные средствами вычислительной техники обрабатывающими информацию (основные технические средства и системы) и вспомогательными техническими средствами (оргтехника, бытовые приборы и т.д.).
Аттестация данных объектов проводится в следующем порядке:
- предварительный анализ исходных данных и обследование объекта аттестации;
- анализ и корректировка организационно-распорядительной документации на объекте с точки зрения ее соответствия требованиям законодательства;
- проведение специальной проверки технических средств (поиск средств негласного съема информации);
- проведение специальных исследований технических средств в лабораторных условиях на аттестованной измерительной площадке (гостайна);
- проведение специальных исследований в реальных условиях в месте эксплуатации технических средств;
- поставка и настройка сертифицированных средств защиты информации;
- проведение аттестационных испытаний и проверка эффективности предпринятых мер защиты информации объекта информатизации;
- оформление пакета аттестационных документов и выдача «Аттестата соответствия», в случае положительного заключения.
В дальнейшем производятся консультации по техническим вопросам администраторов информационной безопасности, ежегодно должен проводиться технический контроль защищенности объекта информатизации.
Напоминаем: вывоз оборудования для обследования в лабораторных условиях необходим только для оборудования, предназначенного для обработки сведений составляющих гостайну.
Аттестат соответствия на объект информатизации, в случае положительного заключения по аттестационным испытаниям, выдается на 5 лет, согласно нормативно-методическим документам ФСТЭК. В течении всего периода действия аттестата должна быть обеспеченна неизменность условий эксплуатации объекта. В случае нарушения условий эксплуатации (перемещение, изменение состава и т. д.) должны проводиться дополнительные мероприятия по оценки защищенности согласованные с органом по аттестации.