Что такое технический паспорт объекта информатизации и какие сведения о объекте он включает в себя

Обновлено: 02.07.2024

Цель занятия – закрепление теоретических знаний по вопросам аттестации объектов информатизации по требованиям безопасности информации.

Учебные вопросы

1. Система объектов информатизации по требованиям безопасности информации.

2. Виды аттестации объектов информатизации по требованиям безопасности информации.

3. Функции ФСТЭК и органов по аттестации в области аттестации объектов информатизации по требованиям безопасности информации.

4. Функции испытательных центров (лабораторий) и заявителей по аттестации объектов информатизации по требованиям безопасности информации.

5. Порядок проведения аттестации и контроля.

Методические указания студентам по подготовке и проведению практического занятия

2.1. При подготовке к практическому занятию студентам рекомендуется ответить на контрольные вопросы.

2.2. Порядок проведения занятия

Во время проведения занятия преподаватель осуществляет опрос студентов и определяет их готовность к занятию.

Затем студенты последовательно усваивают учебные вопросы, касающиеся организационной структуры системы аттестации объектов информатизации по требованиям безопасности информации, функций органов аттестации и заявителей, особенностей подготовки, проведения аттестации объектов информатизации по требованиям безопасности информации и контроля, лично отрабатывают контрольные вопросы практического занятия. При необходимости неясные вопросы обсуждаются в группе под руководством преподавателя.

По окончании занятия студенты оформляют отчет и представляют его на подпись преподавателю.

Контрольные вопросы

1. Дайте определение аттестации объектов информатизации по требованиям безопасности информации.

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

2. Организационная структура системы объектов информатизации по требованиям безопасности информации.

Организационную структуру системы аттестации объектов информатизации образуют:

- федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации - Гостехкомиссия России;

- органы по аттестации объектов информатизации по требованиям безопасности информации;

- испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

- заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

3. Виды аттестации объектов информатизации по требованиям безопасности информации.

4. Какие объекты информатизации подлежат обязательной аттестации?

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации.

5. Каковы функции ФСТЭК в области аттестации объектов информатизации по требованиям безопасности информации?

- организует обязательную аттестацию объектов информатизации;

- создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

- устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

- организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

- аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

- осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;

6. Каковы функции органов по аттестации?

Органы по аттестации:

- осуществляют контроль над эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;

-формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

- ведут информационную базу аттестованных этим органом объектов информатизации;

- осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.

7.Каковы функции заявителей в области аттестации объектов информатизации по требованиям безопасности информации?

- проводят подготовку объекта информатизации аттестации путем необходимых организационно-технических мероприятий по защите информации;

- привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;

- представляют органам по аттестации необходимые документы и условия проведения аттестации;

- привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;

- предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию

8.Порядок проведения аттестации объектов информатизации по требованиям безопасности информации.

9.На основе каких сведений разрабатывается программа аттестационных испытаний?

По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программы аттестационных испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации .

10. Порядок проведения аттестационных испытаний.

-осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;

-определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;

- проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

-проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;

-проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

-оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

11.Какая документация представляется органу по аттестации?

Нормативная и методическая.

12. Что такое технический паспорт объекта информатизации и какие сведения о объекте он включает в себя?

ОВТ: Технический паспорт объекта информатизации с приложениями:

- Состав технических и программных средств входящих в АС;

- План размещения АС относительно контралируемые зоны.

ВП: Технический паспорт на помещение категории :

- План размещения ОТСС, ВТСС, мебели установленные в ВП относительно границ контралируемые зоны

- Схема прокладки линии передачи данных, охранной и пожарной сигнализации, цепей питания и заземления ВП.

13. В чем состоит содержание специального исследования аттестуемого объекта информатизации?

Специальные исследования требует аттестации помещения и аттестации оборудования, использование специальной контрольно-измерительной аппартуры.

14. Цель и содержание специальных обследований и проверок.

Целью специальной проверки технических средств является обнаружение специально внедренных устройств негласного съема информации, а также элементов этих технических средств, которые при воздействии на них тех или иных физических полей (например, высокочастотного электромагнитного излучения) могут быть использованы для несанкционированного получения информации (обрабатываемой или речевой).

15. Проведение измерения и оценка уровней защищенности.

Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием проверенной контрольно-измерительной аппаратуры.

При аттестации объектов информатизации для каждого ТСОИ:

o измеряются напряженности электромагнитного поля по магнитной Нi (в диапазоне частот 9 кГц – 30 МГц) и электрической Еi (в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемые информативным сигналом ТСОИ;

o измеряются уровни информативных сигналов ТСОИ в диапазоне частот 9 кГц - 300 МГц в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны;

o определяются коэффициенты удельного затухания информативного сигнала в линиях электропитания, в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны, и рассчитывается затухание в них информационного сигнала;

o рассчитывается величина максимально возможной зоны разведки (перехвата) побочных электромагнитных излучений ТСОИ (зоны R2);

o рассчитываются предельные расстояния от ТСОИ до вспомогательных технических средств и систем и их кабельных коммуникаций, посторонних проводников и инженерных коммуникаций, имеющих выход за границу контролируемой зоны (зоны r1, r1’);

o измеряется сопротивление заземления каждого ТСОИ;

o измеряется минимальное расстояние от каждого ТСОИ до границы контролируемой зоны .

16. Какие измерения дополнительно проводятся прииспользовании на объекте информатизации систем активной защиты?

При использовании на объекте информатизации систем активной защиты (САЗ) дополнительно проводятся:

измерения напряженности электромагнитного поля по магнитной Н_i (в диапазоне частот 9 кГц – 30 МГц) и электрической Е_i (в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемой помеховыми сигналами САЗ;

измерения уровней помеховых сигналов в диапазоне частот 9 кГц - 300 МГц, создаваемых САЗ в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны.

17. Содержание заключения аттестационной проверки объекта информатизации.

Заключение аттестационной проверки объекта информатизации должно включать:

· состав аттестационной комиссии (группы);

· дату проведения аттестации;

· перечень руководящих документов, в соответствии с которыми проводилась аттестация;

· перечень документов по защите информации на объекте информатизации, представленных аттестационной комиссии;

· характеристику объекта информатизации (наименование объекта, назначение, местоположение, условия размещения и т.д.);

· перечень технических средств обработки информации ограниченного доступа (ТСОИ), установленных на объекте информатизации, с указанием их места установки и категорий;

· перечень вспомогательных технических средств и систем (ВТСС), установленных на объекте информатизации, с указанием их места установки;

· перечень технических средств защиты информации, установленных на объекте информатизации, с указанием их места установки;

· характеристику организационных мероприятий по защите информации. Вывод о выполнении (невыполнении) организационных мероприятий по защите информации при ее обработке;

· виды работ, проводимых в ходе аттестации;

· перечень использованной в ходе инструментальной проверки (аттестационных испытаний) аппаратуры (перечисляется вся используемая аппаратура контроля по оцениваемым каналам и ее заводские номера);

· результаты анализа документации по защите информации на объекте информатизации. Вывод о соответствии (несоответствии) разработанной документации по защите информации требованиям нормативно-методических документов ФСТЭК РФ;

· оценку правильности категорирования объектов информатизации;

· оценку уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации; и т.д

18. Содержание протокола аттестационных испытаний объекта информатизации.

o вид испытаний;

o объект испытаний;

o дату и время проведения испытаний;

o место проведения испытаний;

o перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);

o перечень нормативно-методических документов, в соответствии с которыми проводились испытания;

o методику проведения испытания (краткое описание);

o результаты измерений;

o результаты расчетов;

19. Содержание аттестата соответствия на объект информатизации.

- наименование, адрес и местоположение объекта информатизации;

- категорию объекта информатизации;

- класс защищенности автоматизированной системы;

- гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;

- организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;

- номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;

- перечень руководящих документов, в соответствии с которыми проводилась аттестация;

- номер и дата утверждения заключения по результатам аттестационных испытаний;

- состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;

- организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;

- перечень действий, которые запрещаются при эксплуатации объекта информатизации;

- список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.

20. Ответственность за выполнение установленных условий функционирования аттестованного объекта информатизации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющиебезопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

Литература

1. Снытников А.А. Лицензирование и сертификация в области защиты информации. – М.: Гелиос АРВ, 2003.

2. Положение по аттестации объектов информатизации по требованиям безопасности информации: Утв. председателем Государственной технической комиссии Российской Федерации при Президенте Российской Федерации от 25 ноября 1994 г.

3. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации: Утв. председателем Государственной технической комиссии Российской Федерации при Президенте Российской Федерации, 1994.

Изучение особенностей аттестации помещений по требованиям безопасности информации

Бюро технической инвентаризации (а сокращенно БТИ) отвечает за составление и поддержание в актуальном виде всех каталогов и баз зданий жилого фонда. В сферу деятельности БТИ попадают многоэтажные жилые дома, частные постройки в черте городов или за городом и отдельные квартиры.

В каталоги БТИ вносят строящиеся и уже построенные и введенные в эксплуатацию объекты недвижимости, их местоположение и технические характеристики, такие как метраж, расположение важных зон, планировка. Любое принципиальное техническое изменение конструкции зданий должно быть учтено и внесено в каталог, будь то перепланировка или любое другое переустройство. Таким образом поддерживается актуальность данных.

Чем занимается БТИ

У Бюро есть несколько направлений деятельности. Основное — поддержание в актуальном виде каталога и всех данных по капитальным зданиям в городе.

БТИ устанавливает приблизительную стоимость и величину налога на типы объектов. Для этого сотрудники Бюро с периодичностью раз в пять лет или чаще проводят оценку состояния объектов и заносят актуальную информацию в базы. Эта информация требуется в том числе для установления физического износа и необходимости капитального ремонта.

Благодаря тому, что организация обладает наиболее актуальными сведениями обо всех зданиях жилого фонда, именно сюда можно обратиться за выпиской по конкретному объекту или общей статистической информации. БТИ предоставляет как консультационные услуги, так и услуги по составлению и оформлению технической документации по объектам физическим лицам и организациям.

БТИ делает выписки, технические планы, справки и паспорта по объектам недвижимости, которые требуются для оформления собственности, перепланировок или для сделок по купле и продаже жилья.

Важно отметить, что БТИ не обладает правом на установление юридических статусов объектов, оно только фиксирует данные и предоставляет информацию. Таким образом, здесь не производится регистрация права собственности. Этим занимается Росреестр.

Когда нужно обращаться в БТИ

Выписки, справки и техническая документация БТИ требуется при заключении таких сделок с недвижимостью, как покупка, продажа, оформление наследства, дарения или залога.

Вы хотите осуществить перепланировку своей квартиры. Вам необходимо обратиться в БТИ, чтобы согласовать желаемый план помещения. Если он соответствует нормативам, то Бюро выдаст вам разрешение, затем проведет оценку перепланировки и зафиксирует новые данные в техническом паспорте объекта.
Вы хотите приобрести квартиру и вам необходимо убедиться в том, что объект юридически чист. В БТИ вы можете получить сведения о том, не находится ли жилье под арестом или в залоге и кто является собственником.
Вы хотите перевести нежилое помещение в жилое или наоборот. Это необходимо в случае, если вы хотите из квартиры сделать коммерческое жилье, из апартаментов — жилой объект. БТИ выдаст вам справку о соответствии недвижимости тем или иным требованиям.
Вы хотите узнать точную рыночную стоимость жилья. Обычно это требуется для продажи или покупки недвижимости, а также оформления залога. Эту услугу также можно заказать в БТИ. Сотрудники оценят качество строительных работ и материалов, учтут расположение и состояние дома.
Вы хотите уточнить расположение объекта. В Бюро вы можете получить справку, которая подтвердит точный адрес.
Вам требуется узнать план земельных участков на определенной территории. Это пригодится в случае земельных споров, когда в результате активной застройки дачи теряют свои точные границы.

Какие документы выдает БТИ

В БТИ можно обратиться за необходимым документами, часть из которых будут платными.

Экспликация — краткая информация в виде таблицы, которая отражает общую площадь квартиры, площадь ее помещений и высоту потолков.
Поэтажный план включает информацию об адресе, расположении, этажности здания, а также расположении квартир на этаже и их базовых характеристиках. из него включают уже более подробные сведения, в том числе материалы, из которых построено здание, информация о правах на объект. При заказе выписки можно уточнить, что требуются конкретные сведения. Чаще всего это данные о собственности и юридическом статусе помещения.
Технический план хоть по названию и похож на паспорт, но является отдельным документом, в котором указаны данные дома. В нем отражен год постройки, материалы строительства, степень износа, назначение объекта. Такой документ может пригодиться, если вы покупаете квартиру и хотите уточнить характеристики здания, в котором она находится.
Отчет по оценке объекта в зависимости от целей будет содержать подробные данные о квартире, метод, по которому проводилась оценка, и сам результат, в том числе ее стоимость (инвентаризационная, рыночная или кадастровая).
Заключение о возможной перепланировке дает согласие на изменение изначального плана в случае ремонта, например.
Межевой план фиксирует границы земельного участка на основе кадастрового плана.
Архивные справки подтверждают историю объекта, например, что на нем нет обременения.

Как получить документы в БТИ

Чтобы запросить и получить необходимые справки в БТИ, необходимо предоставить пакет документов:

заявление в случае, если с запросом обращается физическое лицо. Образец заявления;
гарантийное письмо, если информацию запрашивает юридическое лицо. Образец письма;
удостоверение личности;
документы, подтверждающие право собственности. Если в базе уже есть эта информация, то их можно не предоставлять;
нотариальная доверенность, если за справкой обращается представитель;
в отдельных случаях могут потребоваться дополнительные бумаги.

Следует учитывать, что почти все справочные и консультационные услуги являются платными. Стоимость зависит от количества страниц в документе и квадратных метров объекта. Но на большую часть услуг стоимость фиксированная: 400–2500 руб.

Пресс-центр

Вопрос-ответ: для чего нужен технический план объекта недвижимости и как его оформить?

Росреестр еженедельно публикует материалы, посвященные разъяснению актуальных вопросов в сфере земли и недвижимости.

Необходимо помнить, что по законодательству любой объект недвижимости (неважно, это хозяйственная постройка, квартира или земельный участок), до введения его в гражданский оборот, должен быть внесен в Единый государственный реестр недвижимости (ЕГРН). Это единственный источник актуальных данных о характеристиках объектов недвижимости и их правообладателях на территории нашей страны.

Технический план – это документ, в котором содержатся все основные характеристики объекта недвижимости. Он составляется в отношении зданий, сооружений, объектов незавершенного строительства, единых недвижимых комплексов, помещений и машино-мест. Для оформления земельных участков необходимо подготовить межевой план.

Оформление технического плана необходимо в том числе в следующих случаях:

Для регистрации права собственности на помещения (квартиры, жилые и нежилые помещения, расположенные в зданиях, сооружениях и т. д.), если такие помещения не являются ранее учтенными объектами недвижимости и не были поставлены на государственный кадастровый учет одновременно с соответствующим зданием, сооружением;
Для регистрации права собственности на дом с целью последующего совершения сделок с ним (например, купли-продажи, дарения и т.д.), если такой дом не является ранее учтенным объектом недвижимости;
Для внесения в сведения ЕГРН изменений об объекте недвижимости, если в отношении него была осуществлена реконструкция, перепланировка (например, если была изменена площадь дома за счет пристройки, была осуществлена перепланировка помещения, в частности, объединение комнат в квартире).
Для внесения в сведения ЕГРН изменений об объекте недвижимости, если сведения о таком объекте были внесены в ЕГРН как о ранее учтенном, т.е., например, в соответствии со сведениями технической инвентаризации, проведенной до 01.01.2013, и в ЕГРН необходимо внести сведения о нем, отсутствующие в сведениях технической инвентаризации (например, описание местоположения контура здания, сооружения на земельном участке);
Если объект не достроен (строительство его не завершено), но нужно оформить на него право собственности.

Технический план и технический паспорт – в чем отличия?

Сам документ – технический план – и требования к его подготовке были введены в 2008 году, но до 2013 года был установлен переходный период применения норм законодательства, регламентирующих осуществление кадастрового учета зданий, сооружений, объектов незавершенного строительства, помещений. До 2013 года в отношении указанных объектов недвижимости могли выдаваться технические паспорта, по результатам технической инвентаризации, проводимой БТИ; при этом в технических паспортах не содержится сведений о координатной привязке зданий, сооружений к местности (земельному участку), тогда как включение этих сведений в технический план является обязательным.

Сегодня технический паспорт, выданный до 2013 г., может являться основанием для подготовки технического плана, необходимого для постановки соответствующего объекта недвижимости на государственный кадастровый учет. Кроме того, на основании указанного технического паспорта сведения об объекте недвижимости, в отношении которого он подготовлен, могу быть внесены в ЕГРН как о ранее учтенном; такому объекту также присваивается кадастровый номер и он считается учтенным в соответствии с законодательством, однако в этом случае сведения о координатах характерных точек его контура в ЕГРН будут отсутствовать.

Важно: Если у объекта недвижимости отсутствуют сведения об описании местоположения контура на местности, он не будет отображаться на Публичной кадастровой карте (ПКК). Если вы столкнулись с подобной ситуацией, в первую очередь стоит выяснить, определены ли у вашего объекта координаты контура или нет?

Как проверить наличие в ЕГРН координат контура?

Если в особых отметках раздела 1 такой выписки указано на то, что сведения, необходимые для заполнения раздела, содержащего графическую информацию об объекте (отражение координат его контура), а также сведения о координатах (например, разделов 5, 5.1, если объектами недвижимости являются здание, сооружение, объект незавершенного строительства) отсутствуют, это означает, что указанные сведения отсутствуют в ЕГРН и необходима подготовка технического плана.

Для этого вам нужно обратиться к кадастровому инженеру . Он проведет измерения объекта недвижимости, определит координаты его контура с привязкой к конкретному земельному участку и подготовит технический план, в котором будет указан кадастровый номер земельного участка, на котором соответствующий объект расположен.

Готовый технический план вместе с заявлением о государственном кадастровом учете изменений необходимо предоставить в орган регистрации прав, обратившись в МФЦ или в отделения Федеральной кадастровой палаты. Подать документы можно не только на бумаге, но и в электронном виде (при этом технический план подается только в электронном виде на соответствующем носителе, если заявление представляется на бумаге). При отсутствии оснований для приостановления все данные будут внесены в ЕГРН, и такой объект недвижимости появится на Публичной кадастровой карте.

До настоящего времени вопросы проведения работ по подтверждению соответствия объектов информатизации, обрабатывающих информацию конфиденциального характера, требованиям безопасности информации в форме аттестации регламентировались следующими документами:

СТР-К является нормативно-методическим документом и устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации (далее – ЗИ) с ограниченным доступом, не содержащей сведений, составляющих государственную тайну на территории Российской Федерации. Некоторые ставят под сомнение юридический статус данного документа, т.к. он не проходил регистрацию в Минюсте России, однако лицензиаты ФСТЭК России руководствуются его требованиями безоговорочно.

Указанные ГОСТы регламентируют составление программы и методик проведения аттестационных испытаний, а также проведение аттестации ОИ и контроля за их эксплуатацией.

Расширение нормативной базы в области защиты информации, содержащейся в государственных информационных системах, информационных системах персональных данных, автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, её открытости для широкой общественности, развитие сферы информационных технологий привело к потере актуальности многих положений указанных выше документов.

29 апреля 2021 г. Приказом ФСТЭК России №77 утвержден Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну (далее – Приказ № 77, Порядок), который вступил в силу с 1 сентября 2021 г.

Приказ № 77 определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.

Порядок распространяется на аттестацию на соответствие требованиям по ЗИ следующих объектов информатизации:

государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных (ГИС и МИС);
информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением (АСУ ТП и АС ЧПУ в рамках ОПК);
помещений, предназначенных для ведения конфиденциальных переговоров (далее – защищаемые помещения) (ЗП) (Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79). Указанная ссылка говорит о том, что действие настоящего Порядка распространяется на защищаемые помещения, планируемые для выполнения требований и условий, необходимых для лицензирования деятельности по технической защите конфиденциальной информации. Этот факт, по-видимому, будет необходимо указывать в отчетных документах, как основание для выдачи аттестата соответствия на весь срок эксплуатации ЗП.

Также действие Приказа № 77 распространяется на ряд объектов информатизации, добровольная аттестация которых проводилась по требованиям ГОСТ РО 0043-003-2012, а именно Порядок применяется также для аттестации следующих ОИ, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по ЗИ в форме аттестации:

значимых объектов критической информационной инфраструктуры РФ (ЗОКИИ);
информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных) (ИСПДн);
автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (АСУ ТП).

Добровольная аттестация может осуществляться для установления соответствия системы защиты информации ОИ требованиям безопасности информации, установленным национальными стандартами и владельцем информации или владельцем ОИ.

Подтверждение соответствия объекта информатизации требованиям безопасности информации (в форме аттестационных испытаний) осуществляется специализированными организациями, имеющими лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России (далее – орган по аттестации).

Далее будет более подробно рассмотрено содержание основных положений Приказа № 77.

1. Чтобы исключить некорректное проведение аттестационных испытаний включено требование о том, что для проведения аттестационных испытаний назначается комиссия, в состав которой не должны входить эксперты, участвовавшие в разработке и (или) внедрении системы защиты информации объекта информатизации (п. 8). Подобное требование можно увидеть в п. 17 Приказа № 17.

2. В п. 9 Порядка введены ограничения на время проведения аттестационных испытаний: срок проведения работ по аттестации ОИ устанавливается владельцем ОИ по согласованию с органом по аттестации, но не может превышать четырех месяцев.

В Приказе определен четкий порядок выполнения различных этапов работ по подготовке и проведению аттестационных испытаний.

3. Для проведения работ по аттестации владелец ОИ представляет в орган по аттестации следующие документы или их копии (п. 11):

а) технический паспорт на ОИ;

б) акт классификации информационной (автоматизированной) системы, акт категорирования значимого объекта критической информационной инфраструктуры;

в) модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации[1]);

г) техническое задание на создание (развитие, модернизацию) ОИ и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации ОИ;

д) проектную документацию на систему защиты информации ОИ (в случае ее разработки в ходе создания ОИ);

е) эксплуатационную документацию на систему защиты информации ОИ и применяемые средства защиты информации;

ж) организационно-распорядительные документы по защите информации владельца ОИ, регламентирующие защиту информации в ходе эксплуатации ОИ, в том числе план мероприятий по защите информации на ОИ, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией ОИ, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее – документы по защите информации владельца ОИ);

з) документы, содержащие результаты анализа уязвимостей ОИ и приемочных испытаний системы защиты информации ОИ (в случае проведения анализа и испытаний в ходе создания ОИ[2]).

Вместо бумажных копий по решению владельца ОИ указанные в настоящем пункте документы (их копии) могут быть представлены в орган по аттестации в виде электронных документов.

4. На основе анализа указанных в п. 11 документов и предварительного ознакомления с ОИ в условиях его эксплуатации орган по аттестации разрабатывает программу и методики аттестационных испытаний (далее – ПиМ) (п. 12).

В ПиМ в том числе должны быть указаны угрозы безопасности информации, актуальные для ОИ, или сведения о модели угроз безопасности информации в случае ее разработки в соответствии с требованиями по защите информации. Ранее этого не требовалось.

Т.е. ПиМ может быть разработана органом по аттестации только после выполнения комплекса работ по созданию и внедрению системы защиты информации ОИ и утверждения Заказчиком комплекта документов, указанных в п.11 Порядка.

ПиМ согласовывается с владельцем ОИ и утверждаются руководителем органа по аттестации до начала аттестационных испытаний.

Несмотря на то, что при моделировании угроз рассматриваются в том числе и технические каналы утечки информации, в соответствии с п. 15 к) оценка эффективности защиты (защищенности) информации от утечки по техническим каналам проводится только для защищаемых помещений. Косвенно можно предположить, что для информационных систем средства активной защиты (генераторы шума) применяться не должны.

Для того чтобы подчеркнуть необходимость соблюдения порядка проведения работ по аттестации и исключить выдачу органами по аттестации комплекта документов в конце проведения работ без необходимого предварительного этапа согласования ПиМ, в заключении по результатам аттестационных испытаний ОИ в том числе должна содержаться дата утверждения ПиМ ОИ.

5. В соответствии с п. 20 заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу ОИ.

Также ФСТЭК России берет на себя функции контроля качества выполняемых лицензиатами работ по аттестации объектов информатизации. Для этого орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов (п. 27):

а) аттестата соответствия ОИ;

б) технического паспорта на ОИ;

в) акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта;

д) заключения и протоколов.

Копии технического паспорта на ОИ, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта передаются в электронном виде владельцем ОИ в орган по аттестации.

6. В связи с важностью указанных в Приказе № 77 объектов информатизации, ФСТЭК России как регулятор будет осуществлять контроль за обеспечением их безопасного функционирования. С этой целью в соответствии с п. 29 Порядка ФСТЭК России (территориальный орган ФСТЭК России) после внесения в реестр аттестованных ОИ проводит экспертно-документальную оценку документов, представленных органом по аттестации.

7. Аттестат соответствия выдается на весь срок эксплуатации ОИ (п. 31). Ранее данная норма применялась для ГИС, а для ЗП срок выдачи ограничивался максимально тремя годами.

8. В Приказе № 77 особо подчеркивается, что именно владелец аттестованного ОИ обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации… и проведения периодического контроля уровня защиты информации на аттестованном ОИ, результаты которого оформляются протоколами и отражаются в техническом паспорте на ОИ.

Именно владелец ОИ должен регулярно отчитываться перед ФСТЭК России о соответствии защиты объекта требованиям безопасности. Протоколы контроля защиты информации на аттестованном ОИ не реже одного раза в два года представляются владельцем ОИ в ФСТЭК России (территориальный орган ФСТЭК России).

Непредставление протоколов контроля защиты информации в ФСТЭК России (территориальный орган ФСТЭК России) является основанием для приостановления действия аттестата соответствия.

исключены программные, программно-технические средства и средства защиты информации;
дополнительно включены аналогичные средства или заменены на аналогичные средства;
повторная аттестация проводится в случае развития (модернизации) ОИ, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) ОИ и (или) к изменению архитектуры системы защиты информации ОИ в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения ОИ и его компонентов.

10. Приказ № 77 определяет порядок выдачи, приостановления, возобновления, прекращения действия аттестата соответствия, а также действий при его утрате. В частности, согласно п. 44 в случае утраты аттестата соответствия владелец ОИ вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия. (Ранее процедура выдачи дубликата в нормативно-методических документах не определялась).

Сведения о выданном дубликате аттестата соответствия направляются органом по аттестации в ФСТЭК России (территориальный орган ФСТЭК России).

11. До ввода в действие Приказа № 77 существовало небольшое количество нормативно-методических документов ФСТЭК России, в которых были приведены формы разрабатываемых нормативно-методических документов. В основном это СТР - К, где приведены формы акта классификации и технических паспортов на ОИ.

В приложении к утвержденному Порядку приведены новые формы технических паспортов, акта классификации и аттестата соответствия.

В заключение хотелось бы отметить, что утвержденный Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну, в настоящее время играет роль основополагающего документа в области подготовки и проведения аттестации указанных ОИ. Он определяет:

необходимый порядок работ;
требования к проводимым испытаниям;
перечень и состав разрабатываемой документации;
процедуру выдачи, приостановления, возобновления, прекращения действия аттестата соответствия, а также действий при его утрате;
действия владельца ОИ.

Несмотря на объемный перечень рассмотренных в Порядке вопросов, на наш взгляд, осталось несколько неосвещенных моментов:

1) Статус документа ГОСТ РО 0043-003-2012 и возможность проводить по нему аттестацию типовых автоматизированных рабочих мест (локальных информационных систем) и распространять результаты аттестации на указанные однотипные объекты.

[1] Не разрабатывается для ЗП.

[2] Необходимость определена для ГИС и ЗОКИИ и АСУ ТП (приказы ФСТЭК России: №17 от 11.02.2013 г., №239 от 25.12.2017 г. и №31 от 14.03.2014 г. соответственно).

Читайте также: