Аттестация АСРК

АТТЕСТАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ФСТЭК РОССИИ

Что такое автоматизированная система радиационного контроля (АСРК)?

АСРК – это автоматизированная система, которая представляет собой интегрированную по всему объему радиационного контроля на АЭС.

Что такое аттестация?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается: «комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…»

Кому нужна аттестация АСРК?

Аттестация АСРК в обязательном порядке требуется при вводе АСРК в эксплуатацию.

Что включает в себя аттестация АСРК?

Аттестация АСРК включает в себя
комплексные аттестационные испытания АСРК в реальных условиях ее эксплуатации, по результатам которых оформляются отчетные документы:

  • программа и методики аттестационных испытаний АСРК;
  • заключение по результатам аттестационных испытаний АСРК;
  • протокол аттестационных испытаний АСРК;
  • аттестат соответствия АСРК.

Примечание: аттестация АСРК — это только процедура оценки соответствия (защищенности), которая не включает в себя подготовку к аттестации АСРК.

Что нужно сделать перед началом аттестации АСРК?

Перед началом аттестации АСРК необходимо подготовить к аттестации, то есть в АСРК необходимо обеспечить защиту информации ограниченного доступа (конфиденциальная информация) от несанкционированного доступа и утечки по техническим каналам.

По каким требованиям проводится подготовка к аттестации и аттестация АСРК?

Подготовка к аттестации и аттестация АСРК проводится в соответствии с действующими нормативными документами:

  • «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К, утвержден Государственной технической комиссией при Президенте Российской Федерации, № 7.2/02.03.2001 г. от 2001 г.);
  • «Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (РД АСРК, утвержден Государственной технической комиссией при Президенте Российской Федерации, от 1992 г.);
  • «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77);
  • «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», (утвержден Государственной технической комиссией при Президенте Российской Федерации, от 2002 г.)».

В каком объеме проводится подготовка к аттестации АСРК?

В зависимости от готовности АСРК подготовка осуществляется ориентировочно в следующем объеме:

  • определяется класс защищенности АСРК в соответствии с РД АС, утверждается документ «Акт классификации АСРК»;
  • определяются сведения, отнесенные к конфиденциальной информации, обрабатываемые в АСРК, утверждается документ «Перечень сведений конфиденциального характера»;
  • определяются угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования, утверждается документ «Модель угроз и вероятного нарушителя безопасности информации»;
  • определяются условия расположения объекта информатизации относительно границ контролируемой зоны (КЗ), утверждается документ «Приказ об определении границы КЗ»;
  • определяются конфигурация и топология АСРК и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения, утверждается документ «Технический паспорт АСРК»;
  • определяются технические средства и системы, предполагаемые к использованию в АСРК и системах связи, условия их расположения, общесистемные и прикладные программные средства, утверждается документ «Технический паспорт АСРК»;
  • определяются режимы обработки информации в АСРК в целом и в отдельных компонентах, утверждается документ «Описание технологического процесса обработки информации»;
  • определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
  • проверяется наличие и образование работников, ответственных за защиту информации в АСРК, и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации, утверждается документ «Приказ о назначении администратора безопасности АСРК»;
  • разрабатывается техническое задание и технический проект на создание системы защиты информации (СЗИ) АСРК, включая перечня организационно-распорядительных документов и спецификации на закупку сертифицированных средств защиты информации (СрЗИ) и средств криптографической защиты информации (СКЗИ), утверждаются документы «Техническое задание на создание СЗИ АСРК», «Технический проект на создание СЗИ АСРК»;
  • закупаются, устанавливаются и настраиваются СрЗИ и СКЗИ в АСРК в соответствии с разработанными параметрами настройки, утверждается документ «Акт установки и настройки СрЗИ и СКЗИ»;
  • проводятся предварительные испытания подсистемы безопасности, утверждается документ «Акт предварительных испытаний подсистемы безопасности»;
  • проводится анализ уязвимостей и принимаются меры по их устранению, утверждается документ «Акт наличия уязвимостей и принятые меры по их устранения»;
  • на стадии ввода в действие СЗИ АСРК осуществляются:
    • опытная эксплуатация СрЗИ и СКЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации, утверждается документ «Акт опытной эксплуатации подсистемы безопасности»;
    • приемо-сдаточные испытания СрЗИ и СКЗИ по результатам опытной эксплуатации, утверждается документ «Акт приемочных испытаний подсистемы безопасности».

Сколько стоит аттестация АСРК?

Стоимость аттестации АСРК зависит от множества критериев:

  • количество компьютеров и серверов, сетевого и коммуникационного оборудования;
  • состав используемого общесистемного и прикладного программного обеспечения, средств защиты информации, типы аппаратных платформ и др.;
  • применяемые технологии и режимы обработки конфиденциальной информации;
  • территориальное (географическое) расположение АСРК;
  • ранее проводилась ли подготовка к аттестации АСРК.

Кто может проводить аттестацию АСРК?

Аттестацию АСРК может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
    • г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Кто может проводить подготовку к аттестации АСРК?

Подготовку к аттестации АСРК (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • д) работы и услуги по проектированию в защищенном исполнении:
    • д1 — средств и систем информатизации;
    • д2 — помещений со средствами (системами) информатизации, подлежащими защите;
    • д3 — защищаемых помещений;
  • е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
    • е1 — технических средств защиты информации;
    • е2 — защищенных технических средств обработки информации;
    • е3 — технических средств контроля эффективности мер защиты информации;
    • е4 — программных (программно-технических) средств защиты информации;
    • е5 — защищенных программных (программно-технических) средств обработки информации;
    • е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Кто выдает и как выглядит аттестат соответствия АСРК?

Оформляет, утверждает, выдает аттестат соответствия АСРК лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия АСРК в ФСТЭК России для внесения сведений об аттестате соответствия АСРК в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на АСРК установлена нормативными документами СТР-К и Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия АСРК, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия АСРК?

Собственник АСРК должен поддерживать уровень защищённости конфиденциальной информации в АСРК на всем протяжении времени эксплуатации АСРК, и через каждые 2 года обязан подтверждать факт защищённости конфиденциальной информации в АСРК (периодический контроль АСРК), обновлять лицензии на установленные средства защиты информации, и отправлять протоколы периодического контроля АСРК в ФСТЭК России для продления действия аттестата соответствия АСРК. В случае, если протоколы периодического контроля АСРК не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия АСРК.

Делать периодический контроль АСРК собственными силами могут не все собственники АСРК, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.

В ФСТЭК ведётся реестр аттестованных АСРК, в котором отражается статус действия аттестата соответствия АСРК.

Кто является регулятором в области аттестации АСРК?

Регулятором в области аттестации АС является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75

Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»).

Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/

  • Скачать коммерческое предложение на подготовку и аттестацию автоматизированной системы радиационного контроля
Скачать PDF
  • Скачать коммерческое предложение на подготовку и аттестацию автоматизированной системы радиационного контроля
Скачать PDF

Заказать звонок