Цели аттестации объектов информатизации

Цели аттестации объектов информатизации

Цель: понимание необходимости проведения аттестации, получение умения грамотной формулировки целей проведения аттестации объектов информатизации.

В случаях, установленных Федеральными законами Российской Федерации, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации, а также нормативными правовыми актами уполномоченных федеральных органов исполнительной власти, для подтверждения соответствия системы защиты информации объектов информатизации в реальных условиях эксплуатации требованиям безопасности информации осуществляется аттестация объектов информатизации по требованиям безопасности информации. Аттестация объектов информатизации проводится до ввода их в эксплуатацию.

Основные принципы, организационная структура системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации, прочие вопросы аттестации объектов информатизации по требованиям безопасности информации определяются "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным председателем Гостехкомиссии России 25 ноября 1994 г.

Следует напомнить, что в соответствии с "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным председателем Гостехкомиссии России 25 ноября 1994 г., под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в "Аттестате соответствия".

Цель защиты информации в целом определена ГОСТом Р 50922-2006. "Защита информации. Основные термины и определения", утвержденным Приказом Ростехрегулирования от 27.12.2006 № 373-ст, как заранее намеченный результат защиты информации. При этом в качестве результата защиты информации может выступать предотвращение ущерба обладателю информации от ее утечки, сохранность коммерчески ценной информации от конкурентов, целостность базы данных клиентов, выполнение обязательных требований законодательства по защите информации или руководящих документов по защите информации в организации и т.д.

В соответствии с ГОСТом Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения", введенным в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст, цель информационной безопасности (организации) - это заранее намеченный результат обеспечения информационной безопасности организации в соответствии с установленными требованиями в политике информационной безопасности (организации).

Целью защиты объекта информатизации является предотвращение утечки информации по техническим каналам и защиты ее от несанкционированного доступа или непреднамеренного воздействия на нее.

В ходе проведения работ по аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, непреднамеренного воздействия, а также от утечки по техническим каналам, в том числе за счет побочных электромагнитных излучений и наводок, от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Следовательно, целью аттестации объекта информатизации по требованиям безопасности информации является подтверждение соответствия реализованной на объекте информатизации системы защиты информации уровню безопасности информации, заданному владельцем объекта информатизации, исходя из требований по защите информации, установленных законодательством Российской Федерации.