Открытое акционерное общество «АГАТ-системы управления» – управляющая компания холдинга «Геоинформационные системы управления» пр. Независимости,117, , г. Минск, Республика Беларусь Тел.: ( ) Факс: ( )
XVII научно-практическая конференция «Комплексная защита информации» г. Суздаль, мая 2012г. Опыт проведения аттестации систем защиты государственных информационных систем Начальник отдела управления высоких технологий Бобов Михаил Никитич Начальник сектора управления высоких технологий Обухович Андрей Анатольевич
Аттестация - комплекс организационно- технических мероприятий, в результате которых подтверждается соответствие системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, и оформляется аттестатом соответствия
Проведение обследования объекта аттестации (ОА) Разработка исходных данных (приложение к ПСМ 675 от ) Разработка программы аттестации Согласование программы аттестации Проведение проверок Проведение организа- ционных мероприятий по обеспечению проверок Анализ результатов проверок Выдача аттестата соответствия Исполнитель Заявитель
Существующий порядок проведения аттестации: отражает функциональный подход к аттестации ИС; приемлем для простых по структуре и небольших по количеству пользователей ИС; порождает проблемы для распределенных, иерархических, больших по количеству пользователей и особенно межведомственных ИС
Факторы, влияющие на объем работ и достоверность результатов аттестации структура и состав информационной системы; история создания аттестуемой системы; уровень подготовки кадров по защите информации в организациях, эксплуатирующих информационные системы
Структура межведомственной распределенной иерархической системы.
Исполнитель Заявитель Разработка методических рекомендаций по разработке исходных данных по аттестуемой системе Разработка исходных данных (приложение к Постановлению Совета Министров 675 от ) Проведение обследования объекта аттестации (ОА) Разработка методических указаний по подготовке ОА к аттестации Выполнение методических указаний по подготовке ОА Разработка отчетности о выполнении методических указаний (дополнение к исходным данным) Разработка программы аттестации Согласование программы аттестации Проведение проверок Проведение организационных мероприятий по обеспечению проверок Анализ отчетности о выполнении методических указаний и результатов проверок Выдача аттестата соответствия
Преимущества предложенной схемы аттестации представление исходных данных в достаточном объеме, исключающем потребность в их уточнении и дополнении; возможность проведения выборочных проверок на однотипных объектах системы и использование отчётов заявителя о выпол- нении методических указаний в зачёт проверок, что важно для имеющих сотни однотипных распределенных объектов систем; снижение вероятности повторной аттестации в случае несоответствия объектов системы требованиям законодательства; более точное определение трудоемкости и сроков проведения работ при заключении договора, предусматривающего два этапа: - подготовка к аттестации (итог: программа аттестации); - проведение аттестационных проверок и анализ результатов
Предложения 1.Разработать новую редакцию «Положения о порядке защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено», определяющего: состав и содержание работ (с перечнем документов, утверждаемых по их окончании) по разработке и оценке подсистем защиты информации; права, обязанности и ответственность заказчика разработки (модернизации) информационной системы, владельцев используемых системой информационных ресурсов, разработчика системы и специализированных организаций (испытательных лабораторий, организаций, проводящих работы по аттестации).
2. Разработать СТБ П «Правила проведения аттестации систем защиты информации государственных информационных систем», содержащий: правила принятия решений по оценке достаточности применяемых средств и организационных мер защиты в информационных системах, относящихся к различным классам по СТБ ; особенности аттестации при использовании действующей технической инфраструктуры (комплексы средств автоматизации, ЛВС и ведомственные системы связи) для нужд внедряемой информационной системы. Предложения