Тема 6. (7 вопрос) 63. Требования к эксплуатационной документации КСИБ, аттестация по требованиям безопасности.
Эксплуатационная документация - документы, предназначенные для использования при эксплуатации, обслуживании и ремонте в процессе эксплуатации.
Эксплуатационная документация на систему защиты информации разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:
 структуры системы защиты информации;
 состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
 правил эксплуатации системы защиты информации системы
К эксплуатационной документации относится:
1. Техническое задание на создание АС.
2. Эскизный проект.
3. Технический проект.
4. Рабочая документация.
5. Паспорт-формуляр - содержит наиболее полные сведения о конкретной АС.
Для АС, обрабатывающих информацию, содержащую гостайну, паспорт-формуляр является обязательным документом и должен содержать:
- акт приемки и установления категории;
- акт спецобследования помещений, в которых расположены элементы АС на соответствие требованиям по ЗГТ;
- пояснительную записку;
- схему размещения оборудования с указанием контролируемой зоны;
- схему каблирования с указанием всех типов кабелей;
- схему электропитания с указанием всех типов кабелей и электропреобразователей;
- схему заземления;
- результаты периодического измерения сопротивления заземления (не реже 2-х раз в год).
6. Комплект документов, поставляемых предприятием-изготовителем на СЗИ:
1.1. Формуляр (технический паспорт, паспорт)
Формуляр является основным документом любой технической системы, а также технического устройства.
В формуляр заносятся следующие сведения:
- полное либо условное наименование предприятия-изготовителя;
- дата выпуска изделия или системы;
- гарантийные обязательства;
- основные тактико-технические характеристики, нормы и допуски на основные электрические параметры, подлежащие периодическому контролю при эксплуатации;
- ведомость комплекта поставки (варианты);
- ведомость комплекта эксплуатационно-технической документации; - сведения о ремонтах (средних и капитальных);
- сведения о закреплении изделия за ответственными лицами (указываются фамилия и инициалы ответственного лица, дата и номер приказа о закреплении);
- сведения о наработке (количестве проработанных часов) по месяцам;
- протоколы измерения электрических параметров.
1.2. Техническое описание
Техническое описание содержит полное описание принципов построения и функционирования системы или устройства во всех штатных режимах работы.
Как правило, к техническому описанию прилагается альбом схем.
Техническое описание не всегда поставляется вместе с изделием или системой, иногда оно поставляется по отдельной заявке.
1.3. Инструкция по эксплуатации
Инструкция по эксплуатации содержит:
- указания по мерам безопасности при эксплуатации системы или изделия;
- указания по выполнению всех операций подготовки к работе и контроля работоспособности;
- порядок проведения и периодичность всех видов технического обслуживания;
- порядок применения системы или изделия по предназначению во всех режимах работы;
- порядок транспортировки.
- технологические карты выполнения операций всех видов технического обслуживания.
Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации
Основными руководящими документами по подготовке и проведению аттестации объектов информатизации (ОИ) являются:
4. «Положение по аттестации объектов информатизации по требованиям безопасности информации», 1994 г.;
5. «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (СТР), 1997 г.;
6. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), 2001.
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
Аттестация проводится органом по аттестации в установленном порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
 анализ исходных данных по аттестуемому объекту информатизации;
 предварительное ознакомление с аттестуемым объектом информатизации;
 проведение экспертного обследования объекта информатизации;
 анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
 проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
 проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
 проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
 анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
 подачу и рассмотрение заявки на аттестацию;
 предварительное ознакомление с аттестуемым объектом;
 испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
 разработка программы и методики аттестационных испытаний;
 заключение договоров на аттестацию;
 проведение аттестационных испытаний объекта информатизации:
o анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
o определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
o проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
o проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
o проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
o оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
 оформление, регистрация и выдача "Аттестата соответствия";
 осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
рассмотрение апелляций.