Аттестация ЗП

АТТЕСТАЦИЯ ЗАЩИЩАЕМОГО ПОМЕЩЕНИЯ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ФСТЭК РОССИИ

Что такое защищаемое помещение (ЗП)?

ЗП – помещение (служебные кабинеты, актовые, конференц-залы, переговорные и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

Что такое аттестация ЗП?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается:
«комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…»

Кому нужна аттестация ЗП?

Аттестация ЗП в обязательном порядке требуется при получении и осуществлении работ в рамках:

Лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации;
Лицензии ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации;
Лицензии ФСБ России на деятельность по разработке и производству средств защиты конфиденциальной информации.

Что включает в себя аттестация ЗП?

Аттестация ЗП включает в себя
комплексные аттестационные испытания ЗП в реальных условиях его эксплуатации, по результатам которых оформляются отчетные документы:
— программа и методики аттестационных испытаний ЗП;
— заключение по результатам аттестационных испытаний ЗП;
— протоколы аттестационных испытаний ЗП;
— аттестат соответствия ЗП.

Примечание: аттестация ЗП — это только процедура оценки соответствия (защищенности), которая не включает в себя подготовку к аттестации ЗП.

При аттестации ЗП подвергаются оценке следующие обязательные технические каналы утечки информации:

акустический (речевой);
виброакустический (возникающий посредством преобразования речевого сигнала при его воздействии на строительные конструкции и инженерно-технические системы);
прослушивания разговоров за счет скрытного подключения к различным видам связи;
акустоэлектрический (возникающий в результате преобразования речевого сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящих за пределы контролируемой зоны);
побочного электромагнитного излучения (возникающий от обрабатывающих конфиденциальную информацию технических средств, в т.ч. за счет паразитной генерации и линий передачи информации);
побочных наводок (возникающий от обрабатывающих конфиденциальную информацию технических средств и линий ее передачи за счет наводки на провода и линии, выходящих за пределы контролируемой зоны);
радиоизлучений, модулированных информативным сигналом, возникающим при работе различных генераторов, входящих в состав технических средств, установленных в ЗП, или при наличии паразитной генерации в их узлах (элементах);
радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом, от специальных электронных устройств перехвата речевой информации «закладок», внедренных в ЗП, и установленные в них технические средства.

Что нужно сделать перед началом аттестации ЗП?

Перед началом аттестации ЗП необходимо подготовить к аттестации, то есть в ЗП необходимо обеспечить защиту информации ограниченного доступа (конфиденциальная информация) от несанкционированного доступа и утечки по техническим каналам.

По каким требованиям проводится подготовка к аттестации и аттестация ЗП?

Подготовка к аттестации и аттестация ЗП проводится в соответствии с действующими нормативными документами:
— «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К, утвержден Государственной технической комиссией при Президенте Российской Федерации, № 7.2/02.03.2001 г. от 2001 г.);
— «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77);
— «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», (утвержден Государственной технической комиссией при Президенте Российской Федерации, от 2002 г.)».

В каком объеме проводится подготовка к аттестации ЗП?

В зависимости от готовности ЗП подготовка осуществляется ориентировочно в следующем объеме:

проводится обследование помещения, определяется категория ЗП, какая информация и какими способами будет обрабатываться (акустическая, визуальная, документальная), утверждается документ «Акт категорирования ЗП»;
инструментальная оценка звукоизолирующих свойств ограждающих конструкций помещения (стены, пол, потолок, двери, окна и др.) и инженерных систем (трубы отопления, вентиляция, кондиционирование, слаботочных систем и др.) без применения средств защиты;
проведение специальных исследований (СИ) и специальной проверки (СП) технических средств, установленных в ЗП;
определяются сведения, отнесенные к конфиденциальной информации, обрабатываемые в ЗП, утверждается документ «Перечень сведений конфиденциального характера»;
определяются угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования, утверждается документ «Модель угроз и вероятного нарушителя безопасности информации»;
определяются условия расположения объекта информатизации относительно границ контролируемой зоны (КЗ), утверждается документ «Приказ об определении границы КЗ»;
определяются лица, допущенные в ЗП, утверждается документ «Список лиц, работающих в защищаемом помещении…»;
определяются технические средства и системы, предполагаемые к использованию в ЗП, условия их расположения и эксплуатации, утверждается документ «Перечень ОТСС и ВТСС, размещенные в ЗП»;
определяются режимы обработки информации в ЗП в целом и в отдельных компонентах, утверждается документ «Описание технологического процесса обработки информации»;
определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
проверяется наличие и образование работников, ответственных за защиту информации в ЗП, и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации, утверждается документ «Приказ о назначении администратора безопасности ЗП»;
разрабатывается техническое задание и технический проект на создание системы защиты информации (СЗИ) ЗП, включая перечня организационно-распорядительных документов и спецификации на закупку сертифицированных средств защиты информации (СрЗИ), утверждаются документы «Техническое задание на создание СЗИ ЗП», «Технический проект на создание СЗИ ЗП»;
закупаются, устанавливаются и настраиваются СрЗИ в ЗП в соответствии с разработанными параметрами настройки, утверждается документ «Акт установки и настройки СрЗИ»;
повторная инструментальная оценка звукоизолирующих свойств ограждающих конструкций помещения (стены, пол, потолок, двери, окна и др.) и инженерных систем (трубы отопления, вентиляция, кондиционирование, слаботочных систем и др.) без применения средств защиты;
проводятся предварительные испытания подсистемы безопасности, утверждается документ «Акт предварительных испытаний подсистемы безопасности»;
на стадии ввода в действие СЗИ ЗП осуществляются:
- — опытная эксплуатация СрЗИ в целях проверки их работоспособности в составе объекта информатизации, утверждается документ «Акт опытной эксплуатации подсистемы безопасности»;
- — приемо-сдаточные испытания СрЗИ по результатам опытной эксплуатации, утверждается документ «Акт приемочных испытаний подсистемы безопасности».

Сколько стоит аттестация ЗП?

Стоимость аттестации ЗП зависит от множества критериев:

площадь помещения, количество окон, дверей, труб отопления, вентиляции, систем оповещения, наличия телефонов, компьютеров и другого различного оборудования, установленного в ЗП;
применяемые технологии и режимы обработки конфиденциальной информации;
территориальное (географическое) расположение ЗП;
ранее проводилась ли подготовка и аттестация ЗП.

Кто может проводить аттестацию ЗП?

Аттестацию ЗП может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- а1 — в средствах и системах информатизации;
- а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
- а3 — в помещениях со средствами (системами), подлежащими защите;
- а4 — в помещениях, предназначенных для ведения конфиденциальных переговоров
г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
- г2 — помещений со средствами (системами) информатизации, подлежащими защите;
- г3 — защищаемых помещений;
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
- е1 — технических средств защиты информации;
- е2 — защищенных технических средств обработки информации;
- е3 — технических средств контроля эффективности мер защиты информации;

У лицензиата ФСТЭК обязательно должно быть в собственности следующее специальное контрольно-измерительное оборудование (КИО):

генераторы шумовых сигналов
низкочастотные генераторы сигналов;
усилители мощности;
акустические излучатели;
измерители шума и вибраций (шумомеры);
селективные нановольтметры;
измерительные микрофоны;
вибродатчики (акселерометры);
полосовые октавные фильтры со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;
анализатор спектра.

Требования к оборудованию установлены ФСТЭК России следующим документом:
«Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79»

Кто может проводить подготовку к аттестации ЗП?

Подготовку к аттестации ЗП (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- а1 — в средствах и системах информатизации;
- а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
- а3 — в помещениях со средствами (системами), подлежащими защите;
- а4 — в помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения);
д) работы и услуги по проектированию в защищенном исполнении:
- д1 — средств и систем информатизации;
- д2 — помещений со средствами (системами) информатизации, подлежащими защите;
- д3 — защищаемых помещений;
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
- е1 — технических средств защиты информации;
- е2 — защищенных технических средств обработки информации;
- е3 — технических средств контроля эффективности мер защиты информации;
- е4 — программных (программно-технических) средств защиты информации;
- е5 — защищенных программных (программно-технических) средств обработки информации;
- е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Для подготовки ЗП к аттестации и установки средств вибро-акустической защиты у монтажника указанных средств должен быть допуск к электроустановкам до 1000 вольт и специальный инструмент для электромонтажных работ, а в случае проведения работ на высоте допуск на проведение высотных работ.

Кто выдает и как выглядит аттестат соответствия ЗП?

Оформляет, утверждает, выдает аттестат соответствия на ЗП собственнику ЗП лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия АС в ФСТЭК России для внесения сведений об аттестате соответствия ЗП в реестр аттестованных объектов информатизации ФСТЭК России.

Форма аттестата соответствия на ЗП установлена нормативными документами СТР-К и Приказом №77 от 29.04.2021 г.

Пример аттестата соответствия ЗП, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия ЗП?

Собственник ЗП должен поддерживать уровень защищённости конфиденциальной информации в ЗП на всем протяжении времени эксплуатации ЗП, и через каждые 2 года обязан подтверждать факт защищённости конфиденциальной информации в ЗП (периодический контроль ЗП), и отправлять протоколы периодического контроля ЗП в ФСТЭК России для продления действия аттестата соответствия ЗП. В случае, если протоколы периодического контроля ЗП не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия ЗП.

Делать периодический контроль ЗП собственными силами могут не все собственники ЗП, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.
В ФСТЭК ведётся реестр аттестованных ЗП, в котором отражается статус действия аттестата соответствия ЗП.

Кто является регулятором в области аттестации ЗП?

Регулятором в области аттестации ЗП является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75
Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»).
Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/