Исследование возможности повышения эффективности процесса аттестации объекта информатизации

DOI:

Аттестация объектов информатизации (ОИ) – важный этап внедрения системы защиты информации на предприятии, в организации, в государственном органе. По своей сути, аттестация – это комплекс мероприятий, проводимых на ОИ для проверки надежности реализованной системы защиты информации, в результате проведения которой подтверждается соответствие определенным требованиям государственного регулятора в сфере технической защиты информации (ФСТЭК России).

Процесс аттестации необходим как предшествующий началу обработки защищаемой информации этап, который предусматривает проведение комплексных (сертификационных) испытаний защищаемого ОИ с целью их оценки. Такая оценка осуществляется на предмет соответствия используемого в ОИ комплекса средств и мер безопасности выдвигаемому уровню защиты и должна проводится в реальных условиях эксплуатации системы.

Полученный по результатам аттестации «Аттестат соответствия» дает право на процессы по обработке информации с установленным уровнем конфиденциальности на период, указанный в данном сертификате.

При прохождении процедуры аттестации подтверждается факт соответствия требованиям по защите от НСД к информации, обрабатываемой автоматизированно. Такая защита, в том числе, предусматривает перекрытие угроз как от компьютерных вирусов, так и от утечки информации по техническим каналам [2; 3].

ОИ, не обрабатывающие сведения, составляющие государственную тайну, можно разделить на две категории: 1) подлежащие обязательной аттестации (к таким системам относят государственные информационные системы (ГИС), автоматизированные системы обработки конфиденциальной информации (АС ОКИ), автоматизированные банковские системы (АБС)); 2) те, которые могут быть аттестованы добровольно по решению владельца информационной системы (а именно: информационные системы персональных данных (ИСПДн), автоматизированные системы управления технологическими процессами (АСУ ТП), информационные системы общего пользования (ИСОП)). В соответствии с типами ОИ приведены документы, формирующие требования по защите информации, обрабатываемой в них, и характер аттестации (см. таблицу).

Процедура аттестации заключается не только в проведении специальных исследований, но и в выполнении работ по формированию различных организационно-распорядительных и отчетных документов [1; 4]. Поэтому для обеспечения эффективного проведения аттестации ОИ был сделан анализ и оценка трудоемкости выполнения каждого аттестационного этапа (см. рисунок).

Так как каждый этап аттестации ОИ требует выделения определенного количества временных затрат на свое выполнение, было принято решение понимать под эффективностью аттестации ОИ проведение аттестационных мероприятий с сокращением временных

Тип ОИ, источник требований по защите информации на ОИ, характер аттестации

Тип ОИ Источник требований Характер аттестации ГИС Приказ ФСТЭК России № 17 от 11.02.2013 Обязательная ИСПДн Приказ ФСТЭК России № 21 от 18.02.2013 По решению владельца ИСПДн АС ОКИ Нормативно-методические документы ФСТЭК России СТР-К и РД АС ФСТЭК России Обязательная АСУ ТП Приказ ФСТЭК России № 31 от 14.03.2014 По решению владельца АСУ ТП ИСОП Приказ ФСТЭК России № 489 По решению владельца ИС АБС Положение ЦБ РФ № 382-П от 09.06.2012 и СТО БР ИББС Обязательная затрат на достижение поставленной цели, то есть на аттестацию ОИ по требованиям безопасности информации. В данном случае временные затраты играют немаловажную роль, поскольку ОИ, нуждающийся в официальном подтверждении того, что он имеет право на обработку информации, сможет начать работу гораздо раньше.

Поскольку эффективность аттестации ОИ достигается путем сокращения временных затрат на проведение аттестационных мероприятий, то следует разобраться, какие из них и каким образом возможно сократить.

Автоматизация процессов проведения аппаратурных испытаний и проверки средств защиты информации не представляется возможной, поскольку данные процессы проводятся при обязательном присутствии сотрудника органа по аттестации, а также при помощи специальных программ и оборудования.

Процесс формирования документации, напротив, возможно автоматизировать, создав типовые шаблоны организационно-распорядительной и отчетной документации и сформировав модель автоматизации процесса их заполнения.

Соответственно, для повышения эффективности процесса аттестации ОИ необходимо реализовать подход, позволяющий автоматизировать этапы заполнения организационнораспорядительной документации и отчетной документации для сокращения временных затрат на выполнение данных этапов аттестации ОИ.