"ПОЛОЖЕНИЕ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ" (Утв. председателем Гостехкомиссии 25.11.94)
Приложения
Приложение 1
Приложение 1. ЗАЯВКА НА ПРОВЕДЕНИЕ АТТЕСТАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИКому:________________________________________________
\r\n (наименование органа по аттестации и его адрес)
\r\n
\r\n
\r\n ЗАЯВКА
\r\n на проведение аттестации объекта информатизации
\r\n
\r\n1. (наименование заявителя) просит провести аттестацию
\r\n(наименование объекта информатизации) на соответствие требованиям
\r\nпо безопасности информации:_______________________________________
\r\n2. Необходимые исходные данные по аттестуемому объекту
\r\nинформатизации прилагаются.
\r\n3. Заявитель готов предоставить необходимые документы и условия
\r\nдля проведения аттестации.
\r\n4. Заявитель согласен на договорной основе оплатить расходы по
\r\nвсем видам работ и услуг по аттестации указанного в данной заявке
\r\nобъекта информатизации.
\r\n5. Дополнительные условия или сведения для договора:
\r\n5.1. Предварительное ознакомление с аттестуемым объектом предлагаю
\r\nпровести в период _____________________
\r\n5.2. Аттестационные испытания объекта информатики предлагаю
\r\nпровести в период _____________________
\r\n5.3. Испытания несертифицированных средств и систем информатизации
\r\n(наименование сpедств и систем) предусмотрено провести в
\r\nиспытательных центрах (лабораториях) (наименование испытательных
\r\nцентров) в период _____________________ (или предлагается провести
\r\nнепосредственно на аттестуемом объекте в период _________________)
\r\nДругие условия (предложения).
\r\n
\r\nпечать
\r\n Руководитель (органа заявителя)
\r\n (подпись, дата) (Фамилия, И.О.)
\r\n
\r\n
\r\n Приложение к форме "Заявки..."
\r\n
\r\n
\r\nИсходные данные по аттестуемому объекту инфоpматизации готовятся
\r\nна основе следующего перечня вопросов
\r\n1. Полное и точное наименование объекта информатизации и его
\r\nназначение.
\r\n2. Характер (научно-техническая, экономическая, производственная,
\r\nфинансовая, военная, политическая) и уровень секретности
\r\n(конфиденциальности) обрабатываемой информации определен (в
\r\nсоответствии с какими перечнями (государственным, отраслевым,
\r\nведомственным, предприятия).
\r\n3. Организационная структура объекта информатизации.
\r\n4. Перечень помещений, состав комплекса технических средств
\r\n(основных и вспомогательных), входящих в объект информатизации, в
\r\nкоторых (на которых) обрабатывается указанная информация
\r\n(расположенных в помещениях, где она циркулирует).
\r\n5. Особенности и схема расположения объекта информатизации с
\r\nуказанием границ контролируемой зоны.
\r\n6. Структура программного обеспечения (общесистемного и
\r\nприкладного), используемого на аттестуемом объекте информатизации
\r\nи предназначенного для обработки защищаемой информации,
\r\nиспользуемые протоколы обмена информацией.
\r\n7. Общая функциональная схема объекта информатизации, включая
\r\nсхему информационных потоков и режимы обработки защищаемой
\r\nинформации.
\r\n8. Наличие и характер взаимодействия с другими объектами
\r\nинформатизации.
\r\n9. Состав и структура системы защиты информации на аттестуемом
\r\nобъекте информатизации.
\r\n10. Перечень технических и программных средств в защищенном
\r\nисполнении, средств защиты и контроля, используемых на аттестуемом
\r\nобъекте информатизации и имеющих соответствующий сертификат,
\r\nпредписание на эксплуатацию.
\r\n11. Сведения о разработчиках системы защиты информации, наличие у
\r\nсторонних разработчиков (по отношению к предприятию, на котором
\r\nрасположен аттестуемый объект информатизации) лицензий на
\r\nпроведение подобных работ.
\r\n12. Наличие на объекте информатизации (на предприятии, на котором
\r\nрасположен объект информатизации) службы безопасности информации,
\r\nслужбы администратора (автоматизированной системы, сети, баз
\r\nданных).
\r\n13. Наличие и основные характеристики физической защиты объекта
\r\nинформатизации (помещений, где обрабатывается защищаемая
\r\nинформация и хранятся информационные носители).
\r\n14. Наличие и готовность проектной и эксплуатационной документации
\r\nна объект информатизации и другие исходные данные по аттестуемому
\r\nобъекту информатизации, влияющие на безопасность информации.
\r\n
\r\n
\r\n
Приложение 2
Приложение 2. АТТЕСТАТ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ"УТВЕРЖДАЮ"
\r\n (должность руководителя органа по аттестации)
\r\n м.п. Ф.И.О.
\r\n "____" _________ 19___г.
\r\n
\r\n
\r\n АТТЕСТАТ СООТВЕТСТВИЯ
\r\n (указывается полное наименование объекта инфоpматизации)
\r\n ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
\r\n
\r\n N _________
\r\n
\r\n Действителен до "____" _________ 19___г.
\r\n
\r\n1. Настоящим АТТЕСТАТОМ удостоверяется, что: (приводится полное
\r\nнаименование объекта информатизации) ________ категории __________
\r\nкласса соответствует требованиям нормативной и методической
\r\nдокументации по безопасности информации.
\r\nСостав комплекса технических средств объекта информатизации (с
\r\nуказанием заводских номеров, модели, изготовителя, номеров
\r\nсертификатов), схема размещения в помещениях и относительно границ
\r\nконтролируемой зоны, перечень используемых программных средств, а
\r\nтакже средств защиты (с указанием изготовителя и номеров
\r\nсертификатов) прилагаются.
\r\n2. Организационная структура, уровень подготовки специалистов,
\r\nнормативное, методическое обеспечение и техническая оснащенность
\r\nслужбы безопасности информации обеспечивают контроль эффективности
\r\nмер и средств защиты и поддержание уровня защищенности объекта
\r\nинформатизации в процессе эксплуатации в соответствии с
\r\nустановленными требованиями.
\r\n3. Аттестация объекта информатизации выполнена в соответствии с
\r\nпрограммой и методиками аттестационных испытаний, утвержденными
\r\n"____"__________ 19__г. N______
\r\n4. С учетом результатов аттестационных испытаний на объекте
\r\nинформатизации разрешается обработка (указывается высшая степень
\r\nсекретности, конфиденциальности) информации.
\r\n5. При эксплуатации объекта информатизации запрещается:
\r\n(указываются ограничения, которые могут повлиять на эффективность
\r\nмер и средств защиты информации)
\r\n6. Контроль за эффективностью реализованных мер и средств защиты
\r\nвозлагается на службу безопасности информации.
\r\n7. Подробные результаты аттестационных испытаний приведены в
\r\nзаключении аттестационной комиссии ( N _____ "__"________19___ г.)
\r\nи протоколах испытаний.
\r\n8. "Аттестат соответствия" выдан на ______ года, в течение которых
\r\nдолжна быть обеспечена неизменность условий функционирования
\r\nобъекта информатизации и технологии обработки защищаемой
\r\nинформации, могущих повлиять на характеристики, указанные в п.9.
\r\n9. Перечень характеристик, об изменениях которых требуется
\r\nобязательно извещать орган по аттестации
\r\n9.1__________________________________________
\r\n9.2__________________________________________
\r\n
\r\nРуководитель аттестационной комиссии
\r\n (должность с указанием наименования предприятия)
\r\n Ф.И.О.
\r\n
\r\n"____" __________19___г.
\r\n
\r\n
\r\nОтметки органа надзора: __________________________________________
\r\nПримечание. Под объектами информатизации, аттестуемыми по
\r\nтребованиям безопасности информации, понимаются автоматизированные
\r\nсистемы различного уровня и назначения, системы связи, отображения
\r\nи размножения вместе с помещениями, в которых они установлены,
\r\nпредназначенные для обработки и передачи информации, подлежащей
\r\nзащите, а также сами помещения, предназначенные для ведения
\r\nконфиденциальных переговоров.
\r\n