- •Гриф по заполнении
- •Инструкция
- •6. Контроль за соблюдением режима секретности
- •7. Ответственность за нарушение режима секретности при обработке секретной информации на объектах информатизации
- •8. Заключение
- •Экз. № __
- •6.1. Методы испытаний.
- •6.2. Проведение изучения по п. 5.1. Программы испытаний.
- •6.3. Проверка объекта по требованиям п.5.2. Программы испытаний.
- •6.4. Проверка объекта по требованиям п.5.3. Программы испытаний.
- •6.5. Проверка объекта по требованиям п. 5.4. Программы испытаний.
- •6.6. Проверка объекта на соответствие требованиям по п. 5.5. Программы испытаний.
- •6.7. Испытания объекта на соответствие требованиям по п. 5.6. Программы испытаний.
- •6.7.2. Испытания подсистемы управления доступом.
- •6.7.3. Испытания подсистемы регистрации и учета.
- •6.7.4. Испытания подсистемы обеспечения целостности.
- •6.8. Проведение изучения по п.5.7. Программы испытаний.
- •Отчет по лабораторной работе №1 Порядок оформление документов на организацию работ с конфиденциальными документами
8. Заключение
Настоящая Инструкция доводится до пользователей под роспись.
Настоящая Инструкция вступает в силу с "___" _________ 2001года.
Ознакомлен:
|
|
|
|
_____________ / _______________/ |
|
|
|
|
_____________ / _______________/ |
|
|
|
|
_____________ / _______________/ |
|
|
|
|
_____________ / _______________/ |
Для служебного пользования.
Экз. № __
|
«СОГЛАСОВАНО»
|
|
«УТВЕРЖДАЮ»
Генеральный директор Центра безопасности информации «МАСКОМ» |
|
« » ___________ 2001 г. |
|
_____________ / С.В.Калинин /
« » ___________ 2001 г. |
ПРОГРАММА И МЕТОДИКА
проведения аттестационных испытаний объекта информатизации
[название]
Москва
2001 г.
1. Объекты испытаний.
Объектами испытаний является объект информатизации (ОИ) [название].
Объект информатизации предназначен для автоматизированной обработки секретной информации, информации с пометкой «Для служебного пользования» и несекретной информации.
2. Цель испытаний.
2.1.Целью аттестационных испытаний объекта информатизации по требованиям безопасности информации является оценка соответствия объекта требованиям стандартов и других нормативных документов по безопасности информации, утвержденных (согласованных) Гостехкомиссией России, ФАПСИ или ФСБ России в пределах их компетенции.
2.2.При аттестационных испытаниях объектов проводится оценка их соответствия требованиям по защите информации:
по проведению организационно-режимных мер;
от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) средств объекта;
по защите информации от утечки по цепям электропитания и заземления;
от утечки за счет электронных устройств перехвата информации;
от несанкционированного доступа (НСД) к информации, в том числе от компьютерных вирусов, а также иных разрушающих программных воздействий, нарушающих целостность информации или работоспособность технических средств автоматизированной системы (АС) объекта информатизации.
3. Состав нормативных документов, на соответствие которым проводятся испытания.
Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам (Постановление Совета Министров - Правительства РФ от 15.09.93 г. N 912-51).
Инструкция по обеспечению режима секретности в министерствах, ведомствах, на предприятиях, в учреждениях и организациях СССР (№556-126 от 12 мая 1987 года).
Нормы эффективности защиты АСУ и ЭВТ от утечки информации за счет ПЭМИН;
Модель иностранных технических разведок на период до 2010 года (Модель ИТР-2010) с внесенными изменениями согласно «Извещения №2001-1по корректировке Модели иностранных технических разведок на период до 2010 года (Модель ИТР-2010)» (вх.№023 от 27.11.2001г. ЦБИ «МАСКОМ»);
Гостехкомиссия России. Руководящий документ. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР), – далее по тексту СТР;
Методика контроля защищенности объектов ЭВТ.
Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники.
Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения.
Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
4. Условия и порядок проведения аттестационных испытаний объекта информатизации
4.1.Аттестационные испытания объекта проводятся аттестационной комиссией по согласованной с Заявителем программе испытаний.
4.2.Программа испытаний разрабатывается на основе анализа исходных данных об объекте на этапе предварительного ознакомления.
Программа испытаний может уточняться и корректироваться в процессе испытаний по согласованию с Заявителем и руководителем аттестационной комиссии.
4.3. Для проведения испытаний заявитель предоставляет аттестационной комиссии следующие исходные данные и документацию:
Технические паспорта на объекты информатизации;
Акты категорирования объектов информатизации;
Списки лиц, допущенных в помещение, где ведется обработка секретной информации с использованием автоматизированных рабочих мест (ОИ);
Списки лиц допущенных к обработке секретной информации на ОИ;
Списки сотрудников, допущенных к техническому обслуживанию средств вычислительной техники (ВТ) входящих в состав ОИ;
Акты классификации АС;
Состав программного обеспечения используемого при обработке секретной информации в АС в составе ОИ;
Перечни защищаемых ресурсов с документальным подтверждением уровней конфиденциальности каждого ресурса;
Технологические процессы обработки информации в АС;
Схемы информационных потоков АС;
Инструкции по обеспечению защиты секретной информации обрабатываемой на ОИ;
Эксплуатационная документация на применяемые средства защиты информации в составе ОИ;
Схемы размещения основных (ОТСС) и вспомогательных (ВТСС) технических средств и систем в помещениях, прокладки линий и коммуникаций выходящих из помещений за границы контролируемой зоны;
Схемы размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны;
Схемы прокладки коммуникаций, не выходящих за пределы контролируемой зоны;
Схемы электроснабжения и заземления ОТСС;
Схемы электропитания розеточной и осветительной сети;
Сведения об измерении сопротивления заземляющего устройства;
Предписания на эксплуатацию ОТСС;
Данные по уровню подготовки кадров, обеспечивающих защиту информации;
Данные о наличии и расположении постоянных представительств иностранных государств, обладающих правом экстерриториальности;
Сведения о проведении специальных проверок ОТСС объекта;
Акты установки на объекте систем защиты информации.
5. Программа испытаний.
Аттестационные испытания проводятся по следующей программе:
5.1. Изучение технологического процесса обработки и хранения конфиденциальной информации, анализ информационных потоков, определение состава использованных для обработки конфиденциальной информации технических средств;
5.2. Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации автоматизированной системы, категорирования объекта информатизации, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации на объекте;
5.3. Проверка объекта на соответствие требованиям по защите информации от утечки по каналам побочных электромагнитных излучений;
5.4. Проверка объекта на соответствие требованиям по защите информации от утечки за счет наводок на вспомогательные технические средства и системы (ВТСС);
5.5. Проверка объекта на соответствие требованиям по защите информации от утечки по цепям электропитания и заземления;
5.6. Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в автоматизированной системе (АС) объекта информатизации;
5.7. Проверка выполнения на объекте информатизации требований по защите информации от утечки за счет специальных электронных устройств съема информации.
6. Методика испытаний.