Процедура аттестации информационных систем. Секреты и требования

Процедура аттестации информационных систем. Секреты и требования Zip File, мамкины хаЦкеры. В прошлых видео мы рассмотрели основные вопросы, касающиеся нормативного регулирования. Нынче, настало время поговорить о классификации и категоризации информационных систем. Из данного выпуска вы узнаете, зачем нужна и как проходит типичная процедура по аттестации, как осуществляется защита от несанкционированного доступа, что из себя представляет ГИС, ИСПДн, ИСОП и ещё много всего душного, но полезного. Данную инфу принято продавать на супер-дорогих курсах и, как правило, её читают в престижнейших институтах страны приходящие мидлы и сеньоры из крупных IT-корпораций. Я же, даю вам это совершенно бесплатно. Просто потому, что имею такую возможность и искренне желаю популяризировать тему ИБ в ру пространстве. Так что, если вы желаете, стать действительно классным специалистом. Устраивайтесь по удобней, и приготовьтесь к мощнейшей порции душнечка и занудства. Погнали.

Если вы давно хотели попробовать свои силы в программировании и понять подходит ли вам эта тема, бесплатный практический мини-курс по Python от образовательной платформы Skillbox – это как раз то, что вам нужно.

Он предназначен для тех, кто хочет познакомиться сразу с несколькими направлениями разработки на популярном языке Python и решить, какое из них лучше и перспективнее конкретно для вас.

Сегодня Python-разработчики — одни из самых востребованных IT-специалистов на рынке труда. Они создают веб-приложения, чат-боты, и занимаются автоматизацией различных бизнес-процессов.

За 4 занятия вы изучите качественные видеоматериалы, выполните практические работы и закрепите знания посредством тестирования. И всё это, прошу заметить, не затронет ваш кошелёк.

Вы научитесь создавать полезные приложения: от Telegram-ботов, которые упрощают жизнь, до сайтов и парсеров предназначенных для извлечения нужных данных из интернета.

А в конце обучения вас ожидает прямой эфир со спикером курса, на котором вы сможете получить ответы на скопившиеся вопросы и индивидуально разобрать работы, которые станут частью портфолио.

В качестве бонуса, все участники мини-курса получат доступ к карьерной консультации. На ней вам помогут определить ваши сильные стороны и выбрать подходящее направление в программировании.

Помимо этого, вы получите тестовый доступ к понравившемуся курсу по ITшной профессии, чтобы оценить, насколько она действительно вам подходит. А всем кто посмотрит первый урок - Skillbox предоставит годовой доступ к изучению английского языка на своей платформе.

Ну и в качестве вишенки на этом, и без того вкусном торте, Skillbox дополнительно предоставит подборку полезных статей для начинающего разработчика и сертификат на скидку 10 000 рублей на любой платный курс.

Так что ни в коем случае не упускайте такую возможность. Переходите по ссылочке в описании или просто отсканьте QR-код, который видите на экране и получите доступ к практическому мини-курсу «Python для всех».

Обучись востребованному языку программирования с нуля и оставайся актуальным специалистом вне зависимости от возраста и города проживания.

Быть может, это твой крайний шанс, впрыгнуть в уходящий поезд IT. Так что поторопись. Запрыгивай в вагон c Python. Не пожалеешь.

Окей, друзья. Давайте вернёмся к основной теме выпуска. Главная цель нашего сегодняшнего урока - понять, какие документы с конкретными требованиями есть, какие из них открыты (а какие нет) и что в них освещено.

Не удивляйтесь, если не получится сразу всё понять и воткнуться. Эксперты по ИБ в РФ порою по несколько лет обсуждают то, как в действительности трактовать те или иные положения нормативно-правовых актов.

На практике чаще всего всё решается путём консультаций с взаимодействующими сторонами. В том числе органами государственной власти.

В следующих выпусках мы перейдём к обзору того, как те или иные меры, которые мы сегодня рассмотрим в официальной документации, реализуются в конкретных информационных системах.

Ну а пока, давайте вспомним основные определения, которые мы с вами уже зазубрили. Это информация, информационная безопасность и защита информации. Их определения и сокращения я выведу на экран.

Также напоминаю перечень сведений конфиденциального характера, обозначенный в 188 Указе нашего президента. О всех этих пунктах мы с вами тоже подробно уже разговаривали в предыдущих уроках.

Общая картина выглядит плюс-минус следующим образом. Причём вся эта движуха происходит не просто так. Она направлена на защиту информации, которую вы видите во главе данной схемы.

Под термином защиты инфы подразумевают любую деятельность, направленную на предотвращение утечек и непреднамеренных воздействий в отношении защищаемой информации.

Защищаемая информация в свою очередь – это сведения являющиеся предметом собственности и подлежащие защите в соответствии с требованиями правовых документов.

Также, из ГОСТА 51275 важно запомнить, что понимают под так называемыми объектами информатизации. Как правило, имеют ввиду совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной технологией.

На предприятиях вы с большой вероятностью столкнётесь с уже созданной и апробированной системой обработки инфы. Она может состоять из технических средств и программного обеспечения.

А также определённых методов обработки и регламентированных документально действий персонала, необходимых для успешного выполнения автоматизированной обработки.

Короче говоря, вся информация, которую действительно нужно защищать, обрабатывается в информационных системах, которые входят в состав объектов информатизации.

Соответственно, к информационным системам и к объектам информатизации предъявляются определённые требования, призванные обеспечить защиту этой истории.

Аттестация

Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов по безопасности.

Официальным подтверждением соответствия требованиям является "Аттестата соответствия". Прямо, как аттестат после школы. Процесс аттестации вызван необходимостью официального подтверждения эффективности используемых на конкретном объекте мер по защите.

Поэтому аттестация по требованиям безопасности информации проводится всегда ДО начала обработки информации, которую нам предстоит защищать. Это важно запомнить.

Помните в прошлых выпусках, мы уже не единожды затрагивали такую службу, как ФСТЭК? Так вот. Ранее эта контора называлась гостехкомиссией при президенте, о чём свидетельствует 1085 указ, собственно утверждающий положение ФСТЭКа.

Все документы касающиеся деятельности данной организации опубликованы на официальном сайте fstec.ru, где они достаточно хорошо систематизированы по кейвордам.

Большая часть документов открыты, но есть и те, доступ к которым кому попало не разрешён. В частности, к таковым относится положение о гос. cистеме защиты информации от иностранных технических разведок.

Из этого положения можно найти лишь некоторые выдержки касающиеся лицензирования деятельности, аттестации объектов и сертификации СЗИ. Что же касается процедуры аттестации объекта, то тут важно проверить следующие моменты.

Во-первых, соответствует ли система безопасности требованиям по защите от несанкционированного доступа. Во-вторых, возможна ли утечка за счёт электромагнитных наводок.

Ну и в третьих, есть ли вероятность воздействия специальных устройств на объект из вне. Например, могут подкинуть прослушивающие жучки или несогласованно оснастить помещение скрытыми камерами.

В качестве объекта могут выступать автоматизированные системы различного назначения, системы связи и специальные помещения для ведения переговоров.

Само собой, часть документов ФСТЭК имеют пометку «Для служебного пользования» и разумеется этих документов в свободном доступе вы не найдёте, но их можно заказать в соответствующих службах при наличии лицензий (на ТЗКИ или гостайну).

То же самое касается некоторых документов, связанных с защитой гостайны, но они уже могут быть с грифом секретно. По понятным причинам мы эти документы в рамках данного ролика не рассмотрим. Хотя, мне бы очень того хотелось.

Если лицензия у вас есть, то на сайте ФСТЭК можно найти разделы, в которых описан порядок, в соответствии с которым нужно запрашивать документы с
ДСПшной пометкой.

Ладно. Это всё лирика. И большинство из вас с этим могут вообще никогда не столкнуться. Давайте лучше разберёмся с тем, как проходит процедура аттестации.

Для этого было между прочим придумано соответствующее положение в котором прописан алгоритм действий состоящий из подачи заявки со стороны заявителя.

Рассмотрении этой заявки органом ответственным за аттестацию. Нюансами проведения испытаний несертифицированных СЗИ. На основе полученных данных уже составляется программа сертификации и заключается договор.

После этого проводятся уже аттестационные испытания с последующей выдачей заключения и сертификата соответствия тому, что всё круто и безопасно.

На словах звучит просто. Однако на деле, аттестационные испытания заточены на проверку со всех сторон. Проверяется и уровень персонала. И техническое оснащение. И софт.

Документация, СЗИ, фактическое выполнение обозначенных требований, короче и в хвост и в гриву по полной программе. Аттестация, это всегда самая большая попа-боль для ИБшника.

Аттестовать объекты информатизации могут только организации имеющие лицензию на техническую защиту конфиденциальной информации (ТЗКИ).

А на гостайну могут аттестовать вообще единицы. В домашней работе постараюсь отразить эти вопросы, чтобы вы могли попрактиковаться. Ссылку на домашку, как обычно, найдёте в описании к ролику.

Виды информационных систем подлежащих аттестации вы сейчас видите на слайде. Из них обязательной аттестации подлежат только АС и ГИС. Остальные проходят её в добровольно-принудительном порядке, т.к. как правило они смешанные.

Ну и контрагенты гораздо охотнее сотрудничают с организациями у которых есть аттестация. Возникает доверие и всё такое. Короче это очень важный момент именно с точки зрения бизнеса.

Вооот. Также важно запомнить, что согласно ГОСТу, автоматизированная система это - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Т.е. это двухкомпонентная система, состоящая из средств вычислительной техники. Тех самых железок, софта и прочего. И руководящего документа, регламентирующего всю эту историю. В документах может встречаться под аббревиатурой РД СВТ.

Защита от несанкционированного доступа

В своё время, ФСТЭК разработал ряд документов в которых подробно описывается концепция защиты от НСД и действия предпринимаемые в случае, если она не сработала.

В концепции защиты выделяется 2 направления. Автоматизированная система, куда, как я уже говорил входят СВТ и персонал. И просто программный продукт, как самостоятельная единица входящая в состав АС.

Па факта, безопасность АС - это ваше реальная безопасность, а безопасность СВТ – лишь потенциальная. Т.е. вы всегда можете закупить супер дорогие программы и железяки. Например, Cisco ASA. Но не смочь даже настроить Access-листы.

НСД - доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС.

Ну а штатные средства, как понятно из названия – это совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

Руководящий документ в автоматизированных системах

Руководящий документ в автоматизированных системах устанавливает классификацию АС. Всего в ней приводится 9 классов, разбитых на 3 группы. Многопользовательские с разными правами, с одинаковыми, и однопользовательские.

Соответственно в зависимости от класса уже определяется набор требований с комплексу средств защиты. Данная классификация позволяет установить допустимую для обработки информацию.

Применимость классификации к разным категориям информации (гостайна и конфиденциальная информация) определяется увы исключительно "закрытыми" документами. Поэтому подробно рассмотреть их в рамках ролика не получится.

Отмечу, что в интернетах вы можете встретить классификации ОВ, СС, С и КИ по классам автоматизированных систем. Я не рекомендую принимать найденные сведения за чистую монету они достаточно быстро устаревают (всё, что "старше" полугода – это уже хлам).

Соответственно большая часть этой информации уже не актуальна, поэтому будьте аккуратны.

В идеале - запрашивайте документы у соответствующих органов, либо привлекайте к работе компании, имеющие соответствующие лицензии.

В любом случае о существовании подобной классификации вы как минимум должны иметь общее представление, т.к. достаточно часто при изучении СЗИ будете встречать упоминание таковой.

А для ряда специализированных информационных систем, таких как ГИС, ИСПДн, ИСОП, АСУ ТП и объекты критической инфраструктуры вообще предъявляются специализированные требования.

Но об этом, поговорим, пожалуй, в следующем видео. И так сегодня достаточно подушнили. Так что, подпишись на канал, если ещё не сделал этого ранее, чтобы не пропустить выпуск ролика про спец. системы.

Ну и на лайкосики не скупимся. Ставим палец вверх. Оставляем комменты. Вступаем в дискуссии. В последнее время наше компьюнити сильно расширилось по причине интеллектуального роста контента и в дебаты вступают уже не школьники, а действительно толковые работяги из сферы ИБ.

Так что не упускайте возможности с ними подискутировать. С вами, как обычно, был Денчик. По традиции, всем досмотревшим ролик до этой минуты удачи, успеха и конечно, отличного настроения. До новых встреч, мои кайфные друже. Всем пока.