Аттестация объекта информатизации позволяет убедиться, что этот объект достаточно надёжен для хранения и обработки секретных данных. Особенно это важно для соискателей лицензии ФСБ на гостайну. Аттестация подразумевает серию тестов, по итогам которых выдаётся специальный документ — аттестат соответствия по стандартам ФСТЭК.
Когда проводится аттестация
Есть всего три случая, когда аттестация совершенно необходима. Это случаи, когда объект информатизации используется:
- для работы с данными, затрагивающими государственную тайну;
- для ведения конфиденциальных переговоров;
- для управления объектами, которые в случае несанкционированного доступа к ним могут стать причиной причинения значительного ущерба окружающей среде.
Если же ваш объект информатизации не задействован ни в одном из этих процессов, аттестация — дело сугубо добровольное. Обычно её заказывают, чтобы выполнить требования заказчика на торгах, завоевать доверие клиента или укрепить собственную уверенность в том, что не предназначенные для посторонних информация и дела компании надёжно защищены.
Подробнее: Как аттестовать помещение для работы с секретными сведениями
Для работы с гостайной аттестации подлежат следующие объекты:
- электронные средства и системы работы с секретными данными (в частности, ПК и средства связи, а также их программное обеспечение);
- помещения, укомплектованные вышеуказанными средствами и системами и предназначенные для работы с ними (режимные помещения, где ведутся переговоры или ознакомление с носителями, содержащими гостайну);
- закрытые помещения для ведения секретных переговоров.
Как проходит аттестация
Первый этап — подготовка: необходимо закупить оборудование, программное обеспечение, приборы для контроля и измерения и т. п. Это можно сделать как силами самой компании, так и обратиться к помощи специалистов со стороны. Важный нюанс: выбирая аппаратуру, средства контроля или ПО убедитесь, что они имеют сертификат ФСТЭК или прошли специальное исследование и рекомендованы к использованию в структуре данного объекта информатизации.
Второй этап: непосредственно аттестация. Её может провести любой аттестационный центр, аккредитованный ФСТЭК на осуществление проверочных мероприятий. Сотрудники Центра приедут на объект, чтобы предварительно оценить объём работ и составить график тестов. На основании графика уже разрабатывается договор на проведение аттестации, после чего начинается сам процесс. В целом на аттестацию может уйти от десяти дней до месяца, считая от дня подачи заявления и заканчивая днём выдачи аттестата.
В ходе аттестации, чтобы убедиться в надёжности выбранного объекта, над ним проводят ряд тестов — но не в лабораторных а в «полевых условиях», то есть, в обстановке, где он и должен работать. Чтобы выдержать испытание, объект должен соответствовать следующим критериям:
- защита от постороннего доступа и вредоносного ПО, проникающего в систему извне;
- невосприимчивость к радиационному, а также ЭМИ- и высокочастотному излучению (оно может использоваться для того, чтобы устроить порчу или утечку информации);
- защита от несанкционированного доступа изнутри системы.
Если все эти критерии соблюдены и тесты успешно пройдены, на объект выдается аттестат соответствия. Он действует бессрочно, однако каждые два года нужно подтверждать проведение периодического контроля (проводится ежегодно). Следует учесть, что после завершения аттестации в объект нельзя вносить никаких изменений: это может привести к появлению новых уязвимостей и потенциальных каналов утечки информации.
Подробнее: Виды каналов утечки информации: как похищают гостайну
Есть вопросы по подготовке режимных и информационных объектов к деятельности, связанной с ознакомлением с государственной тайной? Мы поможем оформить лицензию ФСБ (подготовка под ключ) или купить готовую фирму с лицензией на гостайну. Звоните!