Лицензирование и сертификация средств защиты информации. Аттестация объектов информатизации
Лицензирование деятельности по защите информации
Лицензируемая деятельность – вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с федеральным законодательством.
ФСТЭК России организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и (или) технической защиты информации), по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации (из положения о федеральной службе по техническому и экспортному контролю, утвержденного указом президента российской федерации от 16.08.2004 №1085).
Лицензирование деятельности в области защиты информации, составляющей государственную тайну
Согласно статье 27 закона Российской Федерации от 21.07. 1993 №5485-1 «О государственной тайне», допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности.
Помимо закона №5485-1, отношения в области лицензирования регулируются Постановлением правительства Российской Федерации от 15.04.1995 №333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».
Работы и услуги, лицензируемые ФСТЭК России в области защиты государственной тайны:
- проведение работ, связанных с созданием средств защиты информации;
- осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны:
- в части технической защиты информации;
- в части противодействия иностранным техническим разведкам);
- в части проведения специальных экспертиз.
К проведению работ, связанных с созданием средств защиты информации относится разработка, производство, реализация, установка, монтаж, наладка, испытания, ремонт или сервисное обслуживание:
- технических средств защиты информации;
- защищенных технических средств обработки информации;
- технических средств контроля эффективности мер защиты информации;
- программных (программно-технических) средств защиты информации;
- защищенных программных (программно-технических) средств обработки информации;
- программных (программно-технических) средств контроля защищенности информации.
К проведению мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации) относится:
- сертификация и сертификационные испытания:
- контроль защищенности информации, составляющей государственную тайну, аттестация средств и систем на соответствие требованиям по защите информации:
- проведение специальных исследований на ПЭМИН технических средств обработки информации;
- проектирование объектов в защищенном исполнении:
- проведение специальных экспертиз организаций-соискателей лицензии ФСТЭК России на оказание услуг в области защиты государственной тайны (в части технической защиты информации);
- проведение специальных экспертиз организаций-соискателей лицензии ФСТЭК России на выполнение мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия техническим разведкам);
- проведение специальных экспертиз организаций-соискателей лицензии ФСТЭК России на выполнение работ, связанных с созданием средств защиты информации.
(технических СЗИ; защищенных ТСОИ; технических средств контроля эффективности мер ЗИ; программных (программно-технических) СЗИ; защищенных программных (программно-технических) СОИ; программных (программно-технических) средств контроля защищенности информации.
(АС различного уровня и назначения, систем связи, приема, обработки и передачи данных, систем отображения и размножения; технических средств (систем), не обрабатывающих информацию, составляющей государственную тайну, но размещенные в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров)
(автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров)
В части противодействия техническим разведкам:
Субъектами системы лицензирования деятельности по защите секретной информации являются ФСТЭК России, Управления ФСТЭК России по федеральным округам, отраслевые или региональные аттестационные центры и организации – соискатели лицензии.
Организация – соискатель лицензии на основании договора с аттестационным (лицензионным) центром предоставляет в экспертную комиссию перечень своей нормативной базы, перечень контрольного оборудования, квалификационные характеристики сотрудников, аттестаты на объекты информатизации. На основании полученной информации экспертная комиссия проводит экспертизу и выносит решение о выдаче лицензии.
Лицензии на деятельность в области защиты информации, составляющей государственную тайну, выдаются на срок не превышающий пять лет.
Лицензирование деятельности в области защиты конфиденциальной информации
Эта сфера деятельности регулируется федеральным законом от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности». В частности, в статье 1 указывается, что положения закона не применяются к отношениям, связанным с осуществлением лицензирования деятельности, связанной с защитой государственной тайны.
Перечень видов деятельности, на которые требуются лицензии, устанавливает статья 12. Это разработка и производство средств защиты конфиденциальной информации и деятельность по технической защите конфиденциальной информации.
Деятельность ФСТЭК России в области лицензирования осуществляется на основании административных регламентов:
- административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации, утвержден приказом ФСТЭК России от 12.07. 2012 №83;
- административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации, утвержден приказом ФСТЭК России от 20.07.2012 №89.
- административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по разработке и (или) производству средств защиты конфиденциальной информации, утвержден приказом ФСТЭК России от 12.07. 2012 №84;
- административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и (или) производству средств защиты конфиденциальной информации, утвержден приказом ФСТЭК России от 20.07.2012 №90.
Лицензируемые виды работ и услуг по ТКЗИ
- контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
- Средствах и системах информатизации.
- Технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается.
- Помещениях со средствами (системами), подлежащими защите.
- Помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения).
- Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
- сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
- аттестационные испытания и аттестация на соответствие требованиям по защите информации:
- Средств и систем информатизации.
- Помещений со средствами (системами) информатизации, подлежащими защите.
- Защищаемых помещений.
- проектирование в защищенном исполнении:
- Средств и систем информатизации.
- Помещений со средствами (системами) информатизации, подлежащими защите.
- Защищаемых помещений.
- установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Постановлением правительства Российской Федерации от 15 июня 2016 г. №541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности» внесены изменения в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. №79 «О лицензировании деятельности по технической защите конфиденциальной информации». Так, определены виды работ и услуг по технической защите конфиденциальной информации, подлежащие обязательному лицензированию:
"работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений".
Субъектами системы лицензирования деятельности по защите конфиденциальной информации являются ФСТЭК России и организации–соискатели лицензии.
Проведения специальных экспертиз заключается в подаче организацией – соискателю лицензии заявления, перечня нормативной базы, перечня контрольного оборудования, квалификационных характеристик сотрудников, аттестатов на объекты информатизации ФСТЭК России.
Схематично процесс лицензирования выглядит следующим образом:
Лицензионные требования, предъявляемые к соискателю лицензии
для юридического лица: - наличие в штате по основному месту работы в соответствии со штатным расписанием следующего квалифицированного персонала:
- руководитель и (или) уполномоченного руководить работами по лицензируемому виду деятельности лицо:
- инженерно-технические работники (не менее 2 человек):
имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с ОКС и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 (5)лет, или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок - свыше 360 (500) аудиторных часов), и имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или имеющие иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5(7) лет.
имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с ОКС и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или прошедшие обучение по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок - свыше 100 (250) аудиторных часов), и имеющие стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет.
для индивидуального предпринимателя:
наличие высшего профессионального образования по направлению подготовки «Информационная безопасность» в соответствии с ОКС и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или дополнительного профессионального образования по программам профессиональной переподготовки по одной из специальностей этого направления (нормативный срок обучения - не менее 360 аудиторных часов) и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет.
для лицензиатов:
Квалифицированный персонал должен повышать квалификацию по лицензируемому виду деятельности не реже одного раза в 5 лет со сроком обучения не менее 72 аудиторных часов.
Лицензии на деятельность в области защиты конфиденциальной информации являются бессрочными.
Основы сертификации средств защиты информации по требованиям безопасности информации
Средство (продукция) защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Техническое регулирование - правовое регулирование отношений в области установления, применения и исполнения обязательных требований к продукции и правовое регулирование отношений в области оценки соответствия.
Статья 5 Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» устанавливает особенности технического регулирования в отношении продукции (работ, услуг), предназначенной для защиты государственной и иной охраняемой законом тайны:
- в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну, или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации , государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами);
- особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти.
Оценка соответствия – прямое или косвенное определение соблюдения требований, предъявляемых к продукции (работам, услугам). Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.
Подтверждение соответствия – документальное удостоверение соответствия продукции требованиям технических регламентов и (или) положениям стандартов.
Формы подтверждения соответствия:
- Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
- Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
- Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии или обязательной сертификации.
- Порядок применения форм обязательного подтверждения соответствия устанавливается настоящим Федеральным законом.
Сертификация – форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Сертификат соответствия – документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Сертификат удостоверяет, что конкретный образец (экземпляр) средства защиты информации подвергался оценке соответствия установленным требованиям в форме обязательной сертификации. Подтверждением сертификации используемого экземпляра средства защиты является наличие соответствующих документов (паспорт, инструкция по эксплуатации, заверенная производителем копия сертификата), а также голографической номерной марки государственного учета.
Участники системы сертификации представлены на рисунке:
Схемы сертификации средств защиты информации на соответствие требованиям безопасности информации:
Для единичных образцов средств защиты информации – проведение испытаний образца на соответствие требованиям по безопасности информации.
Для партии средств защиты информации – проведение испытаний репрезентативной выборки образцов средств на соответствие требованиям по безопасности информации.
Для серийного производства средств защиты информации – проведение типовых испытаний образцов продукции и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции или аттестация производства по утвержденной программе.
Продление срока действия сертификата возможно двумя путями:
- продление срока действия сертификата заявителем первичной сертификации;
- продление срока действия сертификата организацией, эксплуатирующей средство защиты информации.
Продление срока действия сертификата может проводиться по упрощенной схеме, включающей проверку конструкторской, технологической, эксплуатационной документации и условий производства сертифицированных средств защиты информации.
Особенности одиночной сертификации средств защиты информации по упрощенной схеме
Продление срока действия сертификата заявителем возможно при соблюдении следующих условий:
- на средство защиты информации имеется в наличии полный комплект эксплуатационной документации;
- средство защиты информации (эксплуатационная документация) промаркировано знаком соответствия сертифицированной продукции (голографической номерной маркой);
- средство защиты информации функционирует с требуемой эффективностью (подтверждено результатами технического контроля).
В случае невыполнения указанных требований, сертификация проводится в объеме первичной сертификации.
Организация, эксплуатирующая средство защиты информации, заблаговременно, но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.
В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).
К заявке прикладывается протокол оценки эффективности средства защиты информации (для средств защиты информации от утечки по техническим каналам) или протокол оценки защищенности информации от несанкционированного доступа (для средств защиты информации от несанкционированного доступа), оформленные не ранее, чем за двенадцать месяцев до дня отправки заявки на продление срока действия сертификата соответствия.
Для средств защиты секретной информации протоколы оформляются организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий по технической защите информации, составляющей государственную тайну. Для средств защиты конфиденциальной информации - организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий по технической защите конфиденциальной информации или организацией, эксплуатирующей данное средство.
В случае принятия положительного решения по экспертизе представленных материалов сертификат соответствия выдается сроком на три года.
Особенности продления срока действия сертификата организацией, эксплуатирующей СЗИ
Сертификат соответствия выдается на серийно выпускаемую продукцию, на отдельно поставляемую партию продукции или на единичный экземпляр продукции. При продлении сроков действия нескольких экземпляров одного типа средства защиты информации к заявке прикладываются результаты оценки эффективности каждого экземпляра. Допускается оформление этих результатов в едином протоколе. За процедуру разового продления сертификата соответствия средства защиты информации плата не взимается.
Продление срока действия сертификата СЗИ регулирует информационное сообщение от 23 января 2015 г. № 240/24/233, которое определяет порядок продления сертификата соответствия на средства защиты информации, эксплуатирующими организациями и устанавливает образец заявки на продление сертификата соответствия.
Аттестация объектов информатизации на соответствие требованиям по безопасности информации
Система сертификации средств защиты информации по требованиям безопасности информации включает в себя аттестацию объектов информатизации по требованиям безопасности информации.
Основные принципы, организационная структура системы аттестации объектов информатизации по требованиям безопасности информации, правила проведения, а также другие вопросы аттестации определяются положением по аттестации объектов информатизации по требованиям безопасности информации от гостехкомиссии России.
Согласно положения, система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации. Деятельность системы аттестации организует федеральный орган по сертификации продукции, которым является Гостехкомиссия России (ФСТЭК России).
Согласно ГОСТ Р512752006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
По национальному стандарту Российской Федерации ограниченного распространения ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» аттестация объектов информатизации – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.
Аттестация объектов информатизации делится на обязательную и добровольную. Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами. Добровольная проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.
Обязательной аттестации подлежат:
- выделенные помещения;
- средства изготовления и размножения секретных документов;
- средства обработки секретной речевой и видеоинформации;
- автоматизированные системы обработки секретной информации;
- информационные системы содержащие информационный ресурс конфиденциального характера, имеющие статус государственных или муниципальных.
Добровольной аттестации подлежат все иные объекты информатизации.
В соответствии с пунктом 59 инструкции по обеспечению режима секретности в Российской Федерации, утвержденной постановлением Правительства Российской Федерации от 5 января 2004 г. № 3-1, совещания по секретным вопросам проводятся в помещениях, аттестованных в соответствии с требованиями по защите информации. Согласно пункту 198 той же инструкции, обработка секретной информации с использованием средств вычислительной техники осуществляется после проведения их аттестации на соответствие обязательным требованиям.
Если же говорить об информации, содержащейся в ГИС, то для обеспечения защиты информации, содержащейся в государственных информационных системах, проводится аттестация информационной системы по требованиям защиты информации и ввод ее в действие (Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. №17).
Таким образом, основными направлениями защиты секретной информации являются обеспечение защиты информации от хищения, утраты, утечки за счет несанкционированного доступа к ней и защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
При защите информации в ГИС - защита информации от хищения, утраты, утечки, копирования, распространения, уничтожения, искажения, подделки, блокирования и иных неправомерных действий за счетнесанкционированного доступа к ней и защита информации от утечки при ее передаче по каналам связи.
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации
- Подача и рассмотрение заявки на аттестацию объекта информатизации.
- Предварительное ознакомление с аттестуемым объектом (при необходимости).
- Разработка программы и методики аттестационных испытаний.
- Проведение аттестационных испытаний объекта информатизации.
- Оформление результатов, регистрация и выдача аттестата соответствия.
Исполнители:
- аттестуют объекты информатизации и выдают аттестаты соответствия;
- отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
- ведут реестр аттестованных ими объектов информатизации и применяемой на них сертифицированной продукции, используемой в целях защиты информации;
- предоставляют уполномоченным федеральным органам исполнительной власти в пределах их полномочий материалы по результатам аттестации объектов информатизации (по запросам), а также информируют их о выявленных новых угрозах безопасности информации;
- осуществляют взаимодействие с соответствующими уполномоченными федеральными органами исполнительной власти и ежеквартально информируют их о своей деятельности по аттестации объектов информатизации.
Заявители:
- проводят подготовку системы защиты информации объекта информатизации и самого объекта для аттестации путем реализации необходимых организационных и технических мероприятий по защите информации;
- привлекают органы по аттестации (организации) для организации и проведения аттестации объекта информатизации;
- предоставляют органам по аттестации (организациям) необходимые исходные данные, документы и условия для проведения аттестации;
- осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
- извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
- предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.
Подача и рассмотрение заявки на аттестацию объекта информатизации:
- Заявителем выбирается исполнитель работ по аттестации объекта информатизации (орган по аттестации или организация-лицензиат по технической защите конфиденциальной информации).
- Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект информатизации.
- Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.
При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.
Исходные данные по аттестуемому объекту информатизации:
- Полное и точное наименование объекта информатизации и его назначение.
- Уровень конфиденциальности (степень секретности) информации ограниченного доступа, обрабатываемой на объекте информатизации.
- Категория объекта информатизации (при обработке информации конфиденциального характера категория объекта информатизации не указывается), класс защищенности объекта информатизации (при аттестации информационных (автоматизированных) систем).
- Состав и структура объекта информатизации (перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует).
- Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны (описание смежных помещений, систем электропитания, заземления, пожарной и охранной сигнализации, линий телефонной и иной связи и передачи данных, систем отопления, вентиляции и др.).
- Состав программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.
- Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.
- Наличие и характер взаимодействия с другими объектами информатизации.
- Состав и структура системы защиты информации на аттестуемом объекте информатизации.
- Перечень сертифицированной продукции, используемой в целях защиты информации.
- Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.
- Сведения об организационно-режимных мерах защиты, принятых на объекте информатизации.
Структура и содержание программы и методики аттестационных испытаний определяется Национальным стандартом ограниченного распространения ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Типовое содержание программы аттестационных испытаний представлено на рисунке:
Повторная аттестация объектов информатизации, задействованных в обработке секретной информации, проводится по окончании срока действия аттестата соответствия, а также при изменении условий эксплуатации объекта, изменении технических и программных средств, приводящих к нарушению штатной работы объекта информатизации или к образованию новых угроз безопасности информации.
Повторная аттестация ГИС осуществляется в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы. При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.