Аттестация объектов информатизации (далее аттестация) является одним из видов "формального" аудита информационной безопасности. Хочу напомнить, что такой вид аудита является обязательным для государственных учреждений, обрабатывающих конфиденциальную информацию (СТР-К) и добровольным для всех остальных. Стоит ли добровольно проходить такую процедуру и что это за зверь "аттестация"?
Аттестация может проводиться для двух типов объекта информатизации (ОИ) - автоматизированная система и защищаемое помещение.
Как и любой другой вид аудита ИБ аттестацию можно представить в виде следующих этапов:
1. Анализ организационно распорядительных документов ОИ.
2. Проведение предварительных исследований.
2.1. Исследования на предмет утечки по техническим каналам.
2.2. Исследование на предмет утечки с помощью несанкционированного доступа (НСД).
3. Проведение контрольных испытаний (аналогично п. 2.)
4. Формирование отчетной документации.
5. Заветный "Аттестат соответствия" на три года.
6. Каждый год ожидать интегратора для плановой проверки.
Что должен сделать заказчик для успешной аттестации своих ОИ? В первую очередь заказчику необходимо подготовить организационно распорядительные документы (перечень и комментарии к документам приведу в следующем посте). Далее необходимо приобрести и установить технические средства защиты, в том числе и средства защиты от НСД. Дважды допустить на ОИ интегратора и ждать заветный "Аттестат соответствия".
А действительно ли "Аттестат соответствия" такой заветный? Все положительные эмоции пропадают, когда бросается в глаза абзац типа: "Аттестат соответствия выдан ........., в течении которых должна быть обеспечена неизменность условий функционирования АС и технологии обработки защищаемой информации, которые могут повлиять на характеристики". Естественно, сразу начинаешь искать глазами "характеристики" и находишь: изменение состава объекта информатизации, изменение условий эксплуатации АС и средств защиты.
Если по сути то, заменяя монитор, клавиатуру, мышь, оперативную память, блок питания..... - нужно уведомлять интегратора, который приходит с доп. проверкой. Перенести ПК, даже в пределах одного кабинета, запрещается. Установили телефон, радиоточку и т.д. - сообщите интегратору. Установили новое программное обеспечение - сообщите интегратору. Все эти изменения вносятся и в организационно-распорядительные документы. Как Вы понимаете это финансовые и временные затраты.
Имея опыт работы с аттестованными АС могу сказать, что решать бизнес-задачи на таких АС крайне тяжело. Нужна вам такая "добровольная аттестация"? Решайте сами.
Комментариев нет:
Отправить комментарий