Аттестация по требованиям безопасности
Аттестация АС проводиться на основании основных нормативных и руководящих документов ГТК по аттестации объектов информатизации, таких как:
1. Специальные требования и рекомендации по защите информации, составляющей государственную тайну и обрабатываемой техническим средствами, от утечки по техническим каналам (СТР), утвержденные решением ГТК от 23.05.1997г. № 55;
2. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены решением коллегии ГТК от 2 марта 2001 г. № 7.2;
3. «Положение по аттестации объектов информатизации по требованиям безопасности информации»,утверждено Председателем ГТК 25.11.1994г.
4. «Временные методические указания управлениям Гостехкомиссии России по федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации», введены приказом ГТК от 21.06.2002г. № 201.
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ГТК. Обязательной аттестации подлежат АС, предназначенные для обработки информации, составляющей государственную тайну, для управления экологически опасными объектами и для ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца АС. Система аттестации АС является составной частью Единой системы сертификации СрЗИ и аттестации объектов информатизации по требованиям БИ, организация функционирования которой осуществляется ГТК. Процедуру аттестации АС можно условно разделить на несколько последовательных этапов:
1) планирование,
2) сбор информации,
3) базовый анализ,
4) детальный анализ,
5) подготовка отчетных документов,
6) аккредитация.
Планирование
Можно выделить четыре стадии планирования:
1) инициирование;
2) анализ;
3) планирование ресурсов;
4) документирование плана проведения аттестации.
Принятая схема проведения аттестации оформляется в виде «Программы аттестации».
Сбор информации
Существует 3 основных метода сбора информации: от обслуживающего персонала и разработчиков АС, изучение документации, проведение опросов.
Для этого должны быть подготовлены следующие документы:
· документы, содержащие требования БИ,
· отчет по результатам анализа рисков,
· диаграммы информационных потоков приложений,
· описание механизмов БИ.
Базовый анализ
Проводится анализ механизмов безопасности АС, позволяющий определить общий уровень ее защищенности и степень соответствия требованиям БИ и заключающийся в проверке наличия в составе системы компонентов, реализующих необходимый набор требований БИ.
Детальный анализ
Во многих случаях для проведения аттестации бывает недостаточно одного базового анализа, что требует проведения детального анализа для поиска конкретных ошибок в реализации АС, при этом:
· оценивают эффективность реализации функций безопасности,
· проверяется правильность функционирования механизмов БИ.
Здесь может использоваться большинство известных методов тестирования, формальная верификация
Подготовка отчетных документов по результатам аттестации
Основными отчетными документами по результатам аттестации являются:
· «Заключение по результатам аттестационных испытаний»,
· «Протокола аттестационных испытаний», прилагаемые к «Заключению…».
На основании Заключения председатель аттестационной комиссии принимает решение о выдаче «Аттестата соответствия».
Аккредитация
В США термином «аккредитация безопасности АС» обозначается основывающаяся на результатах аттестации санкция руководства предприятия, позволяющая использовать АС для обработки жизненно-важной и/или конфиденциальной информации в данной среде функционирования.