Требования предъявляемые при аттестации ИСПДн

Стоит начать с объяснения самого термина Аттестация. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обpаботки инфоpмации с уpовнем секpетности (конфиденциальности) и на пеpиод вpемени, установленными в "Аттестате соответствия" (Положение по аттестации объектов информатизации по требованиям безопасности информации от 25 ноября 1994 г.).

Следующий вопрос - это аттестуемый объект. Существуют автоматизированные системы (АС) и защищаемые помещения (ЗП).

Проводить аттестацию в праве органы по аттестации объектов информатизации, которые аккредитуются ФСТЭК России (Гостехкомиссией России) и получают от нее лицензию на пpаво пpоведения аттестации объектов информатизации.
Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России.

Аттестация объектов информатизации (ОИ) проводится в соответствии со следующими нормативными документами:

• Федераотный закон №152 «О персональных данных» от 27 июля 2006г.
• Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим каналам». (Постановление Совета Министров – Правительства Российской Федерации от 15.09.1993 г. № 912-51)
• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282
• Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено председателем Гостехкомиссии России 25.11.1994 г.
• Сборник руководящих документов по защите информации от несанкционированного доступа. Гостехкомиссия России, 1998 г.
• Сборник временных методик оценки защищённости конфиденциальной информации от утечки по техническим каналам. Утвержден первым заместителем Председателя Гостехкомиссии России 8.11.2001 г.
• Приказ ФСТЭК, ФСБ и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК 14.02.2008г.
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК 15.02.2008г.
• Приказ Федеральной службы по техническому и экспортному контролюот 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" .

Основным документом, в котором изложены требования является СТР-К.

Основными направлениями защиты информации являются:

• обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий;
• обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

От СТР-К переходим к следующим двум документам:

• "Руководящий документ. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации"
• "Руководящий документ. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" - документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

• управления доступом;
• регистрации и учета;
• криптографической;
• обеспечения целостности.

Далее требования регламентируются сборником временных методик. Данный сборник включает в себя методики оценки защищенности конфиденциальной информации от утечки по техническим каналам: акустическому, виброакустическому, электроакустических преобразований во вспомогательных технических средствах и системах (ВТСС), побочных электромагнитных излучений и наводок от основных технических средств и систем (ОТСС), а так же наводок на ВТСС и их коммуникации.

Так же существовало, так называемое "Четверокнижие" от ФСТЭК. Но было утверждено решение первым заместителемдиректора ФСТЭК России5 марта 2010 г. о следующем: "В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 <Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных> (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: <Российская газета>, 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г."

После решения ФСТЭК об отмене действия двух методик из «четверокнижия», классификация ИСПДн проводится в соответствии с Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".

Исходя из вышенаписанного, к классам ИСПДн предъявляются требования описанные ниже.

Для ИСПДн 4 класса перечень мероприятий определяется оператором в зависимости от возможного ущерба.

Для ИСПДн 3 класса, при много – или однопользовательском режиме обработки с равными или разными правами доступа, необходимо обеспечить следующее:

• управление доступом;
• регистрация и учет;
• обеспечение целостности;
• физическая охрана информационной;
• периодическое тестирование функций системы защиты;
• наличие средств восстановления системы защиты персональных данных.

Для ИСПДн 3 класса при межсетевом взаимодействии:

• фильтрацию на сетевом уровне;
• управление доступом;
• регистрация и учет;
• обеспечение целостности;
• фильтрацию пакетов служебных протоколов;
• периодическое тестирование функций системы защиты;
• наличие средств восстановления.

Для ИСПДн 2 класса при много – или однопользовательском режиме обработки м равными или разными правами доступа, предъявляются те же требования что и для ИСПДн 3 класса.

Для ИСПДн 2 класса при межсетевом взаимодействии:

• фильтрацию на сетевом уровне;
• фильтрацию пакетов служебных протоколов;
• фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;
• фильтрацию с учетом любых значимых полей сетевых пакетов;
• регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);
• управление доступом;
• регистрация и учет;
• регистрацию запуска программ и процессов (заданий, задач);
• обеспечение целостности;
• периодическое тестирование функций системы защиты;
• наличие средств восстановления.

Для ИСПДн 1 класса при много – или однопользовательском режиме обработки м равными или разными правами доступа:

• управление доступом;
• регистрация и учет;
• обеспечение целостности;
• физическая охрана информационной;
• периодическое тестирование функций системы защиты;
• наличие средств восстановления системы защиты персональных данных.

В целом, картина представляется следующим образом:

• Требования СТР-К;
• Требования РД (на которые есть ссылки в СТР-К);
• Требования НМД ФСТЭК.

Аттестация ЗП по своей сути, ничем не отличается от аттестации АС, в плане этапов проведения аттестации. Единственная разница в методиках и требованиях к аттестуемым ЗП. Все требования, методики и нормы указаны во "Временной методике защиты конфиденциальной информации от утечки по техническим каналам".

• Однопользовательские ИСПДн
• Многопользовательские ИСПДн с равными правами доступа пользователей
• Многопользовательские ИСПДн с разными правами доступа пользователей
• Требования предъявляемые к ИСПДн при межсетевом экранировании