Автоматизированные системы

Аттестационные испытания по требованиям безопасности информации автоматизированных систем включают в себя:

  • Анализ полноты и достаточности представленных Заказчиком исходных данных, проверка состава технических средств, контролируемой зоны, проверка обоснованности классификации, экспертный анализ выполнения требований к ОТСС, в соответствии с “СТР-К“.
  • Анализ организационной структуры объекта, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации.
  • Контрольные испытания объекта вычислительной техники в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах процесса обработки защищаемой информации, исследования ОТСС на соответствие требованиям по защите информации от утечки по каналу ПЭМИ.
  • Контрольные испытания автоматизированной системы на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД.
  • Проверка эффективности применяемых на объектах средств и систем защиты информации.
  • Определение необходимости применения дополнительных технических средств защиты информации.
  • Выдача рекомендаций по устранению выявленных недостатков и применению необходимых технических средств защиты (при необходимости).
  • Оформление протоколов оценки эффективности (проверки защищенности) и заключения по результатам объектов вычислительной техники.

 

Пакет документов для аттестации АС:

  • Приказ о назначении специалиста по защите информации (п. 2.15 СТР-К).
  • Положение о порядке организации и проведения работ по защите конфиденциальной информации (п. 3.5 СТР-К).
  • Перечень сведений конфиденциального характера (п. 3.6, 5.1.3 СТР-К).
  • Перечень угроз безопасности информации (в соответствии с ГОСТ Р 51275-99) и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта (п. 3.8 СТР-К).
  • Приказы (п. 3.21 СТР-К): на проведение работ по защите конфиденциальной информации;
 о назначении лиц, ответственных за эксплуатацию объекта информатизации;
 на обработку в АС конфиденциальной информации.
  • Перечень АС и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации (п. 4.2.1 СТР-К).
  • Схема размещения объекта относительно границ контролируемой зоны(должно быть в составе ТП) (п. 3.8 СТР-К).
    Описание технологического процесса обработки информации на АС (п. 3.18 СТР-К).
  • Схема информационных потоков (при необходимости в больших распределенных ЛВС).
    Акт классификации АС (п. 5.1.4 СТР-К).
  • Перечни сведений конфиденциального характера, подлежащих защите (п. 5.2.2 СТР-К).
  • Технический паспорт на АС (п. 3.18 СТР-К).
  • Разрешительная система допуска пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации (п. 5.1.3 СТР-К)
  • Инструкции: (п. 3.18 СТР-К)
- администратору защиты информации;
- пользователям АС.