Аттестация объектов информатизации

Аттестация объектов информатизации: методики проведения, нюансы и лайфхаки

Постоянное совершенствование методов несанкционированного доступа к информации, а также значительный ущерб от такого рода действий привели к целенаправленному и систематическому совершенствованию технологий обеспечения информационной безопасности и механизмов реагирования. Для некоторых объектов информатизации оценка защищенности и соответствия их установленным законом требованиям происходит путем аттестации.


Зачастую термин «аттестация» истолковывается неверно: под этим определением многие подразумевают подготовку/защиту информационной системы, либо аттестационные испытания. Аттестация характеризуется рядом мероприятий, после прохождения которых выдаётся документ – «Аттестат соответствия». Он является документарным доказательством, подтверждающим, что ваша система имеет полное соответствие действующим правилам и стандартам в сфере безопасности информации. Кроме того, аттестация может быть добровольной, при выполнении которой можно руководствоваться требованиями заявителя.


Чтобы понимать принципы и порядок проведения аттестации, в первую очередь, следует рассмотреть документы, направленные на сам процесс аттестации (положения, стандарты), а также внимательно изучить требования ФСТЭК для соответствующего типа объекта информатизации.


В области проведения аттестации, касающейся объектов информатизации, действует ряд актов нормативного характера. К таким нормативным актам относится «Положение по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. и «ГОСТ РО 0043-003-2012 Аттестация объектов информатизации. Общие положения» от 17.04.2012 г.


При проведении проверки оформляется ряд документов по аттестационным испытаниям, а именно программа и методики.


Оценка соответствия подразумевает определение соответствия всех применяемых средств защиты объекта. Среди прочего, учитываются и его эксплуатационные условия.

Кому может понадобиться?

 Действующими на территории РФ нормативными актами определено, что аттестация может быть как добровольный, так и обязательной. Последняя необходима в следующих случаях:

• При проведении обработки информации муниципальных и государственных ИС (если обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну).

• При обработке информация, которая относится к информации ограниченного доступа (для коммерческой тайны – обязательных аттестационных испытаний нет).
• Если системы используются для управления объектами, представляющими экологическую опасность.

• Для лицензирующей деятельности, которая касается предоставления лицензий.


Остальные случаи не требуют обязательной аттестации: её можно провести добровольно. Для этого следует обратиться в организацию, производящий такую аттестацию, и заключить с ним соответствующий договор. Обычно основной целью добровольной аттестации выступает получение официального документа, подтверждающего полное соответствие уровня систем и средств защиты информации существующим стандартам.

 
Важно помнить, что ИС разных типов и классов должны соответствовать разным требованиям. Несоблюдение соответственных требований может повлечь за собой ответственность. Действующее законодательство подразумевает разный спектр санкций в этом вопросе. В некоторых случаях это штрафы, в других возможна и уголовная ответственность.

   
Порой случаются недоразумения, когда информационную систему по ошибке причисляют к ГИСам. Это приводит к применению излишних мер зашиты системы. Чтобы избежать такой ошибки, стоит проводить следующие действия:

• Выяснить, существует ли нормативный акт, требующий создания ИС.

• Проверить, создается ли она с целью обмена информацией или для реализации полномочий госоргана. Цель создания может быть также определена ФЗ.

• Определить, является ли информационное наполнение документированной информация, предоставляемой физлицами, организациями, госорганам или органами местного самоуправления.

Аттестация ГИС: подготовка, порядок действий, нововведения

Начать рассмотрение вопроса аттестации государственных информационных систем (ГИС) нужно с Постановления Правительства РФ № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».


Сначала оформляется приказ о необходимости защиты информации в ГИС и акт ее классификации. Также разрабатываются модель угроз и модель нарушителя, а еще техзадание на систему защиты информации (далее - СЗИ).


Следующие действия предполагают создание технического проекта и эксплуатационной документации на СЗИ, при надобности проводится макетирование и тестирование такой системы. Техпроект должен состоять из документов, определенных соответствующими ГОСТами, либо документов, определенных Заказчиком в ТЗ.


В ходе практической части работ закупаются (с последующей установкой и настройкой) средства защиты информации и проводится ряд сопутствующих мероприятий. Так, должна быть разработана документация организационно-распорядительного характера, реализованы меры защиты информации, определены уязвимости ГИС. Завершается этот этап предварительными испытаниями, опытной эксплуатацией, приемочными испытаниями СЗИ.


На завершающем этапе оценивается организационно-распорядительная, эксплуатационная документация и условия работы ГИС, анализируются ее уязвимости и испытывается СЗИ. Процесс и результаты отображаются в соответствующих документах: программе, методике и протоколе испытаний, заключении и аттестате соответствия.

Определение класса ГИС

ГИС присваивается один из трех классов защищенности, основанных на масштабе ГИС и важности информации, которая в ней обрабатывается.


Порядок определения класса можно прочитать в приложении 1 приказа ФСТЭК №17. Оператор выясняет размер ущерба, который может быть нанесен владельцу информации, чтобы определиться с уровнем значимости информации. Также выясняется масштаб ГИС (может быть федеральным, региональным, объектовым). результирующим документом является акт классификации ГИС.

Готовимся к аттестации

Остановимся подробнее на важных моментах подготовки к аттестации ГИС, придерживаясь описанной выше схемы.


Итак. Начать рассмотрение вопроса нужно с обследования ГИС, по итогу которого составляется акт. Далее определяются требования к защите информации с утверждением техзадания.


На стадии проектирования разрабатывается частный техпроект и эксплуатационная документация (как использовать средства защиты информации в зависимости от роли пользователя) на СЗИ в составе ГИС, макетируется и тестируется СЗИ (предполагается использование тестового стенда, средств защиты и моделирования реальных условий эксплуатации ГИС).


Продолжаем мероприятия согласно порядку. Закупаются (плюс установка и настройка) сертифицированные СЗИ, формируется пакет документации организационно-распорядительного характера (по защите информации и режимным мерам), осуществляются организационные мероприятия по защите информации. Также надо проанализировать уязвимости ГИС, на базе этого составляется программа, методика, протокол и заключение испытаний. Ну а дальше черед предварительных испытаний, опытной эксплуатации и приемочных испытаний СЗИ в составе ГИС.


Обращаем ваше внимание на некоторые новшества приказа ФСТЭК №17:

• Обязательная «сертифицированность» средств защиты, в т.ч. маршрутизаторы.

• Должностные лица, проектировавшие и внедрявшие СЗИ, не имеют права проводить аттестацию.

• Перечень классов защищенности СЗИ ограничиваются только тремя.

• Любой класс СЗИ требует принятия мер защиты информации.

• Необходимо использовать банк данных угроз (bdu.fstec.ru). Соответственно, отсутствие уязвимостей из названного банка необходимо подтверждать во время аттестационных испытаний ГИС.

Выбор техсредств защиты ГИС

Зная класс защищенности ГИС, можно выбрать класс СЗИ для применения. Например, если имеется 3 класс защищенности, тогда требуются средства защиты информации 6 класса, а средства вычислительной техники – не ниже 5 класса (п. 26 приказа ФСТЭК №17).


Искать средства защиты следует в реестре сертифицированных средств защиты информации. Условия поиска: схема сертификации «Серия», сертификат действующий. Выбор должен диктоваться ИТ-архитектурой ГИС и выводами из технического проекта на создание СЗИ ГИС.


Для того, чтобы найти средства защиты, сертифицированные по новым требованиям, можно ввести в строку поиска определенные сокращения:

• ИТ.МЭ. для межсетевых экранов.
• ИТ.СДЗ. для средств доверенной загрузки.
• ИТ.САВЗ. для антивирусных средств защиты.
• ИТ.ОС. для операционных систем.
• ИТ.СОВ. для систем обнаружения вторжений.
• ИТ.СКН. для средств контроля носителей информации.

Аттестация КИИ: порядок, тонкости и лайфхаки

Перво-наперво субъекту КИИ требуется классифицировать объекты КИИ, разработать систему безопасности и следить за ее работой. Среди прочего, нужно обеспечить работу спецсредств по обнаружению/предупреждению/ликвидации результатов компьютерных атак. И если такие случаи будут иметь место, то сразу сообщать о них в уполномоченный орган исполнительной власти. К слову, его представителям надо будет обеспечивать свободный доступ, оказывать помощь в ликвидации «взломов» и выявлении их причин. 

Дорожну карту по выполнению ФЗ-187 можете найти здесь! 

Что требует Закон

Закон о безопасности КИИ (187-ФЗ) не установил четкие требования относительно аттестации объектов критической информационной инфраструктуры согласно требованиям [ФСТЭК] безопасности информации. Так, в ст. 12 и 13 говорится о проведении проверок выполнения требований нормативных актов, об оценке информации с объектов КИИ, анализе компьютерных атак, прогнозе влияния на остальные объекты КИИ.


Необходимость проведения оценки защищенности объекта КИИ в формате аттестации согласно требованиям безопасности информации отображена лишь в тексте приказа ФСТЭК № 239 от 25.12.2017. Там сказано: когда объект КИИ – ГИС, то оценка его защищенности проводится в виде аттестации по нормам приказа ФСТЭК № 17 от 11.02.2013. Остальные ситуации предполагают, что аттестацию можно проводить по желанию субъекта КИИ.

 

Каким образом соответствовать требованиям?

Постараемся дать краткий, но полный ответ на этот вопрос.
Для начала нужно категорировать объект КИИ согласно ст.7 187-ФЗ, а также постановлению Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ» от 08.02.2018.


Субъект КИИ должен отправить в ФСТЭК перечень объектов КИИ, в уполномоченный федеральный орган – форму категорирования объекта КИИ (приказ ФСТЭК № 236 от 22.12.2017). Названный орган проверит полученные сведения и внесет объект КИИ в реестр (срок 30 дней).


Когда объект КИИ эксплуатируется, владельцу нужно обеспечить безопасность информации: анализировать угрозы, планировать мероприятия защиты и противодействия, реагировать на атаки, обучать персонал.

На что обратить внимание?

Направляя в ФСТЭК список объектов КИИ, желательно воспользоваться ее рекомендациями (Информационное сообщение № 240/25/3752 ФСТЭК от 24.08.2018) для быстрого принятия решения и включения в реестр.


При категорировании важно обращать внимание на положения Закона о безопасности КИИ и правила категорирования (Постановление Правительства № 127). При этом не стоит забегать вперед: только получив от уполномоченного органа подтверждение правильного категорирования и внесения объекта в реестр объектов КИИ, осуществлять меры по защите объектов КИИ.


Стоит упомянуть о возможности использования результатов предшествующей аттестации согласно приказу ФСТЭК № 17, что значительно снизит сложность подготовительных работ, а также стоимость приобретения средств защиты.


В ситуации с критической информационной инфраструктурой, моделируя угрозы, следует использовать базовую модель угроз и методику определения актуальных угроз безопасности информации в ключевых системах информинфраструктуры, утвержденные ФСТЭК 18.05.2007. С другой стороны, необходимо соблюдать приказы ФСТЭК №№ 235, 239 при условии, когда объект критической информационной инфраструктуры – автоматизированная система управления технологическими процессами.


Ну и еще один немаловажный момент – это «сертифицированность» средств защиты информации на объекте КИИ. Наивысший шанс одобрения имеют средства, имеющие сертификаты по системам ФСТЭК России и ФСБ России.

Сложности подготовки

Если объект категорирован неверно, уполномоченный федеральный орган может отказаться регистрировать его в реестре КИИ. А без подтверждения о правильности категорирования и внесения в реестр КИИ официально начинать работы по защите (подготовке) объекта КИИ нельзя. Отказ может последовать и в том случае, если будут предоставлены неполные или неточные сведения об объекте.


Кроме того, необходимо внедрить множество программных и программно-аппаратных систем защиты информации, что требует наличие соответствующей компетенции обслуживающего персонала при внедрении и дальнейшем сопровождении этих систем.


Очередности осуществления мероприятий относительно подготовки к аттестации КИИ выглядит следующим образом:

Когда техзадание на создание подсистемы безопасности уже разработано, нужна подготовка модели угроз безопасности информации, проекта подсистемы безопасности, рабочая (эксплуатационная) документация на нее.


Далее следуют практические шаги: реализация организационных и технических мер по обеспечению безопасности объекта и введению его в эксплуатацию. Субъекту КИИ предстоит закупка и установка средств защиты информации, разработка соответствующей документации, проведение испытаний подсистемы безопасности с анализом уязвимостей.


А когда подготовка объекта КИИ будет полностью завершена, к проведению аттестации привлекается лицензиат ФСТЭК.

Аттестации АСУ ТП: на что обратить внимание

В нормативно-правовых актах «аттестация» определяется как тестирование (проверка/контроль/испытания) объекта информатизации на соответствие установленным требованиям. А значит, аттестовывать АСУ ТП не обязательно, поскольку в составе этапов работ защиты информации в АСУ ТП, прописанном в п.12 приказа ФСТЭК № 31, аттестации нет. Однако она может проводиться в добровольном порядке, в этом случае для её проведения применяются национальные стандарты и методические рекомендации ФСТЭК России.


В целом порядок аттестации состоит из таких этапов:

• изучение объекта в предварительном порядке;

• создание методик и программы испытаний для него;

• непосредственно испытание объекта;

• проведения оформления, регистрации и последующая выдача документа о прохождении аттестации.


Во время испытаний проводится разработка следующих аттестационных документов:

• программы, а также методики проведения испытаний;

• создание протокола аттестации;

• заключения, которое создаётся по результатам прохождения аттестации;
• сам аттестат соответствия.


На сегодняшний день требования для АСУ ТП закреплены в приказе № 31 ФСТЭК РФ.

Насколько обоснованы устоявшиеся мнения по вопросу аттестации по принципу типовых сегментов?

Как обычно и бывает, процесс аттестации по принципу типовых сегментов воспринимается большинством людей однобоко, и общее впечатление о нем основано на устоявшихся мнениях, растиражированных во многих публикациях в интернете.


Но насколько верны умозаключения их авторов? И есть ли реальное обоснование этим мнениям? Об этом читайте дальше.


Мнение «Для аттестации всех информсистем можно по принципу типовых сегментов воспользоваться единственным аттестатом»


Это звучит реально и выполнимо, но несколько странно. Все становится на свои места после ознакомления с пунктом 17.3 Приказа Федеральной службы по техническому и экспортному контролю РФ № 17 от 11.02.2013 и ГОСТ РО 0043-003-2012


Согласно приказу, в сегментах информсистемы, на которые распространяется аттестат соответствия, (…) обеспечивается соблюдение эксплуатационной документации на систему защиты информации информсистемы и организационно-распорядительных документов по защите информации.


Таким образом, «документации» надо охватить все (то есть любые) ОИ, а это нереально. Кто и как сможет разработать документацию, охватывающую различные требования государственных регуляторов, всевозможные процессы обработки информации, да и разные типы информации, которую требуется защитить? Никто и никак.


Вопрос риторический, а озвученное мнение не выдерживает никакой критики.


Мнение «Применяться типовые сегменты могут лишь для государственных информсистем»

Хотя в названии приказа ФСТЭК России слово «государственный» использовано два раза, мнение неверно.


Чтобы в этом убедиться, достаточно ознакомиться с пунктом 7 Приказа, согласно которому требования могут применяться для защиты информации, содержащейся в негосударственных информсистемах. Кроме того, ГОСТ РО 0043-003-2012 уже в своем названии говорит про аттестацию объектов информатизации, не ограничиваясь только государственными.


Мнение «Единожды полученный аттестат, согласно принципу типовых сегментов, может быть распространен на всё»

Если бы это мнение соответствовало действительности, то жизнь была бы проще. Рассмотрим несколько теоретических ситуаций для большей наглядности.
Когда аттестат получен на серверную часть, а после возникла необходимость аттестовать автоматизированное рабочее место (РМ) или несколько, то имеющийся аттестат для этого не подходит.


Вспоминаем пункт 17.3, согласно которому «допускается аттестация информсистемы на основе результатов аттестационных испытаний выделенного набора сегментов информсистемы, реализующих полную технологию обработки информации». В описанной ситуации отсутствуют аттестованные автоматизированные РМ, зато присутствует новая технология обработки.


Следующая ситуация. Даже когда аттестат касается серверной части, каналов связи, автоматизированного РМ, нельзя распространить его, к примеру, на ноутбук. Последний, хоть и аналог аттестованного ранее компьютера, является переносным устройством с более широким ресурсом подключений, отсутствующим в автоматизированном РМ, а значит не соответствует сегменту информсистемы, по отношению к которому проводились испытания, к тому же для них не определены одинаковые классы защищенности, угрозы безопасности информации, не осуществлены одинаковые проектные решения по информсистеме.


Следующий случай. В компании создано несколько информсистем: первая посвящена работникам, вторая – клиентам, третья – еще чему-то... Так вот, имея одну аттестованную информсистему, расширить сертификат на остальные не выйдет. Причина раскрывается в Приказе: различные проектные решения по информсистеме и ее системе защиты исключают соответствие одного сегмента иному сегменту, по отношению к которому проводились аттестационные испытания.


Значит, перед аттестацией нужно сделать масштабную подготовку, чтобы заранее предусмотреть разумный максимум вариаций типовых сегментов, потом же соответствующим образом подготовить документацию.


Мнение «В проектной документации на систему защиты требуется описание типовых сегментов»

Такой подход имеет право на жизнь и реально в ней встречается. Однако... Описание типовых сегментов в проектной документации невозможно будет изменить после проведения аттестации, а потому при частичной замене (модернизации) оборудования сегменты не будут типовыми, а это влечет проведение повторного аттестационного испытания. Отсюда простой вывод – не стоит описывать типовые сегменты в проектной документации. Но вот предварительно решить в органе аттестации вопрос наличия в аттестационной документации пункта о допустимости распространения аттестата на типовые сегменты совсем не лишне.


Мнение «Аттестация по типовым сегментам не одобряется Федеральной службой»

Есть несколько вариаций этого заблуждения, но их все объединяет отсутствие примеров из практики. И обратное доказывается очень легко: ФСТЭК постоянно популяризирует аттестацию по принципу типовых сегментов, именно ее нормативные акты используются в этой процедуре.


Мнение «Аттестующий орган отвечает за распространение аттестата на типовые сегменты, полностью или частично не соответствующие требованиям»

За распространение аттестата на типовые сегменты, не отвечающие требованиям, ответственность несет... оператор информсистемы. Уровень качества самих аттестационных испытаний – сфера ответственности аттестующего органа.


Мнение «Привлечение лицензиата обязательно, поэтому типовые сегменты бесполезны»

Ну что тут сказать? Это устойчивое заблуждение, которое опровергается только множеством примеров обратного.


Если оператор информсистемы может сделать всю необходимую подготовительную работу, то лицензиат однозначно не нужен. Именно при использовании типовых сегментов оператор может сократить расходы, ведь тогда отсутствует нужда в осуществлении полномасштабного аттестационного испытания, написании проектной документации про систему защиты информации, а также не требуется разработка дополнительной модели угроз.


Мнение «Лишь одни и те же технические элементы могут использоваться в типовых сегментах»

Сторонники этого мнения утверждают, что для аттестации по принципу типовых сегментов критично полное соответствие технических средств (вплоть до совпадения серийников оборудования). Это явное заблуждение можно было бы оставить без комментариев, но все же разъясним.


Технические средства не вечны, более того, их срок службы обычно сильно ограничен, поэтому ситуация с заменой вышедшего из строя оборудования не редкость.


Нормативная база не требует от техники, используемой в типовых сегментах, полной идентичности, а лишь: одного класса защищенности, одних угроз безопасности, проектных решений по информсистеме.


Мнение «Модель угроз следует прописывать для каждого подключаемого типового сегмента»

Сегменты, согласно пункту 17.3 Приказа, оттого и являются типовыми, что имеют одни угрозы безопасности информации. Это автоматически опровергает вышеуказанное утверждение.


Мнение «Не обязательно указывать в техпаспорте на информсистему информацию о подключаемых типовых сегментах»

Правильно сформулировать эту позицию таким образом: «Информация о подключаемых типовых сегментах находит свое отображение или в техпаспорте информсистемы, или в техпаспорте типового сегмента».