CC BY
19
ИННОВАЦИИ В ИНФОРМАТИКЕ,
www.volsu.ru
ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКЕ И УПРАВЛЕНИИ
DOI: https://doi.org/10.15688^ВП>оки.2022ЛЛ
УДК 004.056 ББК 16.84
ИССЛЕДОВАНИЕ ВОЗМОЖНОСТИ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ПРОЦЕССА АТТЕСТАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Алина Евгеньевна Вантеева
Инженер по защите информации 2-й категории, отдел информационной безопасности, Центр информационных технологий Волгоградской области A_Vanteeva@volganet.ru
ул. Витимская, 15А, 400012 г. Волгоград, Российская Федерация
Татьяна Александровна Омельченко
Старший преподаватель, кафедра информационной безопасности,
В., Волгоградский государственный университет
<С omelchenko.tatiana@volsu.ru
« просп. Университетский, 100, 400062 г. Волгоград, Российская Федерация оши
щ Арина Валерьевна Никишова
,.А.
Н' Кандидат технических наук, доцент, кафедра информационной безопасности,
онк Волгоградский государственный университет
^ nikishova.arina@volsu.ru
ьел просп. Университетский, 100, 400062 г. Волгоград, Российская Федерация м
О
Ч Аннотация. В данной работе изучаются различные аспекты проведения аттес-
^ тации объекта информатизации: структура аттестационных испытаний, нормативно-
ё правовая база и организационные вопросы. Выделяются основные этапы проведения
с§ аттестационных испытаний и перечень необходимой отчетной документации, форми-
о руемой на различных этапах испытаний. Рассматривается понятие оценки эффектив-
ИННОВАЦИИ В ИНФОРМАТИКЕ
ности проведения аттестационных испытаний и ставится вопрос о реализации подхода к повышению эффективности проведения аттестации объекта информатизации по требованиям безопасности информации.
Ключевые слова: аттестация, объект информатизации, ОИ, автоматизация, эффективность.
Аттестация объектов информатизации (ОИ) - важный этап внедрения системы защиты информации на предприятии, в организации, в государственном органе. По своей сути, аттестация - это комплекс мероприятий, проводимых на ОИ для проверки надежности реализованной системы защиты информации, в результате проведения которой подтверждается соответствие определенным требованиям государственного регулятора в сфере технической защиты информации (ФСТЭК России).
Процесс аттестации необходим как предшествующий началу обработки защищаемой информации этап, который предусматривает проведение комплексных (сертификационных) испытаний защищаемого ОИ с целью их оценки. Такая оценка осуществляется на предмет соответствия используемого в ОИ комплекса средств и мер безопасности выдвигаемому уровню защиты и должна проводится в реальных условиях эксплуатации системы.
Полученный по результатам аттестации «Аттестат соответствия» дает право на процессы по обработке информации с установленным уровнем конфиденциальности на период, указанный в данном сертификате.
При прохождении процедуры аттестации подтверждается факт соответствия требованиям по защите от НСД к информации, обрабатываемой автоматизированно. Такая защита, в том числе, предусматривает перекрытие угроз как от компьютерных вирусов, так и от утечки информации по техническим каналам [2; 3].
ОИ, не обрабатывающие сведения, составляющие государственную тайну, можно разделить на две категории: 1) подлежащие обязательной аттестации (к таким системам относят государственные информационные системы (ГИС), автоматизированные системы обработки конфиденциальной информации (АС ОКИ), автоматизированные банковские системы (АБС)); 2) те, которые могут быть аттестованы добровольно по решению владельца информационной системы (а именно: информационные системы персональных данных (ИСПДн), автоматизированные системы управления технологическими процессами (АСУ ТП), информационные системы общего пользования (ИСОП)). В соответствии с типами ОИ приведены документы, формирующие требования по защите информации, обрабатываемой в них, и характер аттестации (см. таблицу).
Процедура аттестации заключается не только в проведении специальных исследований, но и в выполнении работ по формированию различных организационно-распорядительных и отчетных документов [1; 4]. Поэтому для обеспечения эффективного проведения аттестации ОИ был сделан анализ и оценка трудоемкости выполнения каждого аттестационного этапа (см. рисунок).
Так как каждый этап аттестации ОИ требует выделения определенного количества временных затрат на свое выполнение, было принято решение понимать под эффективностью аттестации ОИ проведение аттестационных мероприятий с сокращением временных
Тип ОИ, источник требований по защите информации на ОИ, характер аттестации
Тип ОИ Источник требований Характер аттестации
ГИС Приказ ФСТЭК России № 17 от 11.02.2013 Обязательная
ИСПДн Приказ ФСТЭК России № 21 от 18.02.2013 По решению владельца ИСПДн
АС ОКИ Нормативно-методические документы ФСТЭК России СТР-К и РД АС ФСТЭК России Обязательная
АСУ ТП Приказ ФСТЭК России № 31 от 14.03.2014 По решению владельца АСУ ТП
ИСОП Приказ ФСТЭК России № 489 По решению владельца ИС
АБС Положение ЦБ РФ № 382-П от 09.06.2012 и СТО БР ИББС Обязательная
затрат на достижение поставленной цели, то есть на аттестацию ОИ по требованиям безопасности информации. В данном случае временные затраты играют немаловажную роль, поскольку ОИ, нуждающийся в официальном подтверждении того, что он имеет право на обработку информации, сможет начать работу гораздо раньше.
Поскольку эффективность аттестации ОИ достигается путем сокращения временных затрат на проведение аттестационных мероприятий, то следует разобраться, какие из них и каким образом возможно сократить.
Автоматизация процессов проведения аппаратурных испытаний и проверки средств защиты информации не представляется возможной, поскольку данные процессы проводятся при обязательном присутствии сотрудника органа по аттестации, а также при помощи специальных программ и оборудования.
Процесс формирования документации, напротив, возможно автоматизировать, создав типовые шаблоны организационно-распорядительной и отчетной документации и сформировав модель автоматизации процесса их заполнения.
Соответственно, для повышения эффективности процесса аттестации ОИ необходимо реализовать подход, позволяющий автоматизировать этапы заполнения организационно-распорядительной документации и отчетной документации для сокращения временных затрат на выполнение данных этапов аттестации ОИ.
СПИСОК ЛИТЕРА ТУРЫ
1. Зулькарнеев, И. Р. Автоматизация процесса аттестации по требованиям безопасности информации / И. Р. Зулькарнеев, А. Е. Козлов, А. Е. Сема-кин // Безопасность информационного пространства. - 2018. - №> 43-1(172). - С. 171-174.
2. Ковшиков, В. А. Подготовка объекта информатизации, предназначенного для обработки информации, содержащей сведения, составляющие государственную тайну, к аттестации по требованиям безопасности информации / В. А. Ковшиков, А. С. Малеин, С. А. Гончар // Актуальные проблемы деятельности подразделений УИС : сборник материалов Всероссийской научно-практической конференции с международным участием, 29 мая 2014 г. - Воронеж : Научная книга, 2014. - С. 79-82.
3. Хасанов, Ш. А. Аттестация объектов информатизации по требованиям безопасности инфор-
24 часа
Аппаратурные исследования защищенности информации по техническим каналам с последующими расчетами в соответствии с методиками специальных исследований
1 час
1 час
1 час
1 час
Результаты экспертных и инструментальных проверок:
- оформление программы и методики аттестационных испытаний ОИ;
- оформление протокола по результатам аттестационных испытаний;
- оформление заключения по результатам аттестационных испытаний;
- оформление вывода о возможности выдачи «Аттестата соответствия»
Решение о выдаче аттестата
Подготовка отчетной документации
Проверка установленных средств защиты информации
Проведение специальных исследований
Анализ исходных данных
Сбор информации об объекте информации
Планирование
Определение общей схемы проведения аттестации. 6 часов
Определение критериев 6 часов
оценки защищенности.
Определение границ прове- 6 часов
дения аттестации.
Определение области повышенного внимания 6 часов
Сбор информации для разработки документов по информационной безопасности
12.5 часов
Анализ исходных данных,
проверка соответствия их
требованиям руководящих 2 часа
документов по информаци-
онной безопасности
Проверка средств защиты по
следующим показателям:
- наличие сертификатов со- 0,5 часа
ответствия и паспортов на
средства защиты;
- выполнение правил мон- 0,5 часа
тажа и эксплуатации средств
защиты;
- работоспособность средств 0,5 часа
защиты
Оценка трудоемкости выполнения этапов аттестации ОИ
ИННОВАЦИИ В ИНФОРМАТИКЕ
мации / Ш. А. Хасанов // Сборник трудов IV Международной научно-практической конференции «Актуальные проблемы и пути развития энергетики, техники и технологий», 5 апр. 2018 г - Балаково : БИТИ НИЯУ МИФИ, 2018. - С. 115-118.
4. Шамсутдинов, Р. Р. Аттестация объектов информатизации по требованиям безопасности информации в российской федерации / Р. Р. Шамсут-динов // Инновационное развитие. - 2017. - №2 1(6). -С. 36-37.
REFERENCES
1. Zulkarnaev I.R., Kozlov A.E., Semakin A.E. Avtomatizatsiya protsessa attestatsii po trebovaniyam bezopasnosti informatsii [Automation of the Certification Process for Information Security Requirements]. Bezopasnost informatsionnogo prostranstva [Security of the Information Space], 2018, no. 43-1 (172), pp. 171-174.
2. Kovshikov VA., Malein A.S., Gonchar S.A. Podgotovka objekta informatizatsii, prednaznachennogo dlja obrabotki informatsii, soderzhashhej svedeniya, sostavlyajushchie gosudarstvennuyu tajnu, k attestatsii po trebovaniyam bezopasnosti informatsii [Preparation of an Informatization Object Intended for Processing Information Containing Information
Constituting a State Secret for Certification According to InformatioSecurity Requirements]. Aktualnye problemy deyatelnosti podrazdelenii UIS : sbornik materialov Vserossiiskoi nauchno-prakticheskoi konferentsii s mezhdunarodnym uchastiem, 29 maya 2014 g. [Actual Problems of the Activities of the UIS Units. Proceedings of the All-Russian Scientific and Practical Conference with International Participation (May 29, 2014)], Voronezh, Nauchnaia kniga Publ., 2014, pp. 79-82.
3. Khasanov Sh.A. Attestatsiya objektov informatizatsii po trebovaniyam bezopasnosti informatsii [Attestation of Informatization Objects According to Information Security Requirements]. Sbornik trudov IV Mezhdunarodnoj nauchno-prakticheskoj konferentsii «Aktualnye problemy i puti razvitiya energetiki, tehniki i tehnologij», 5 apr. 2018 g. [Proceedings of the 4th International Scientific and Practical Conference "Actual Problems and Ways of Development of Energy, Engineering and Technology" (April 5, 2018)]. Balakovo, BITI NIYaU MIFI,2018, pp. 115-118.
4. Shamsutdinov R.R. Attestaciya objektov informatizatsii po trebovaniyam bezopasnosti informatsii v Rossijskoj Federatsii [Certification of Informatization Objects According to Information Security Requirements in the Russian Federation]. Innovacionnoe razvitie [Innovative Development], 2017, no. 1 (6), pp. 36-37.
STUDY OF THE POSSIBILITY OF IMPROVING THE EFFICIENCY OF THE CERTIFICATION PROCESS OF THE INFORMATION OBJECT
Alina E. Vanteeva
Information Security Engineer of the 2nd category, Department of Information Security,
Information Technology Center of Volgograd Region
A_Vanteeva@volganet.ru
Vitimskaya St, 15A, 400012 Volgograd, Russian Federation
Tatiana A. Omelchenko
Senior Lecturer, Department of Information Security, Volgograd State University omelchenko.tatiana@volsu.ru
Prosp. Universitetsky, 100, 400062 Volgograd, Russian Federation
Arina V. Nikishova
Candidate of Sciences (Engineering), Associate Professor, Department of Information Security,
Volgograd State University
nikishova.arina@volsu.ru
Prosp. Universitetsky, 100, 400062 Volgograd, Russian Federation
Abstract. Attestation of information objects (IO) is an important stage in the implementation of information protection system at enterprise, organization or state body. In essence, attestation is a set of measures carried out at the IO to check the reliability of the implemented information protection system, as a result of which compliance with certain requirements of the state regulator in the field of technical information protection (FSTEC of Russia) is confirmed. The attestation process is necessary as a stage preceding the beginning of processing of the protected information, which provides for comprehensive (certification) tests of the protected IO in order to assess them. Such assessment is carried out in terms of compliance of the set of means and security measures used in IO to the put forward level of protection and should be carried out under real operating conditions of the system. The "Certificate of Conformity" obtained as a result of attestation gives the right to processes of information processing with the established level of confidentiality for the period specified in the certificate. This work examines various aspects of attestation of information object, the structure of attestation tests, legal framework, and organizational issues. The basic stages of attestation tests, and a list of necessary reporting documentation formed at various stages of tests are allocated. The concept of evaluation of attestation tests' efficiency is considered and the question of the approach's realization to increase the efficiency of information object's attestation of information security requirements is raised.
Key words: attestation, information objects, OI, automation, efficiency.
