Аттестация автоматизированных рабочих мест (АРМ)

Автоматизированное рабочее место (АРМ) — это набор программ и оборудования, который помогает специалистам осуществлять профессиональные обязанности. Проще говоря, это цифровая среда, где собраны все инструменты труда.

АРМ включает несколько взаимосвязанных компонентов:

• техника — ПК, серверы, устройства ввода-вывода, коммуникационное оборудование для взаимодействия с сетью, средства связи;
• программное обеспечение – операционные системы, прикладные программы, СУБД (системы управления базами данных), редакторы документов и приложений;
• информационные ресурсы: хранилища данных, справочные материалы, инструкции и регламенты, шаблоны документов, методички, учебные пособия и вспомогательные материалы.

СПРАВКА. Иногда АРМ оснащается допмодулями: системы сигнализации, защищённые каналы связи или резервные источники данных.

Аттестация АРМ — процедура подтверждения того, что рабочее место соответствует установленным нормативами требованиям по защите информации, обеспечению безопасности. Цель процедуры — минимизировать риски утечек данных, обеспечить безопасность сотрудников и соблюдать законодательные требования. 

Задачи аттестации: 

• сокращение вероятности несанкционированного проникновения и утраты ценных сведений, особенно актуально при работе с секретной информацией;
• увеличение доверия среди надзорных ведомств, деловых партнёров, клиентов;
• всесторонняя оборона — систематическая проверка каждого АРМ укрепляет общую информационную безопасность снизу-вверх, увеличивая действенность защитных мер.

Законодательная база

Аттестация АРМ по требованиям безопасности информации регулируется:

• положением об аттестации объектов информатизации по требованиям безопасности информации — регламентирует процесс аттестации и классификации этих объектов;
• Приказ ФСТЭК РФ №77 — уточняет правила аттестации систем с ограниченным доступом к информации, не относящейся к государственной тайне;
• ПП РФ № 79 и № 676;
• Приказ № 17.

При аттестации АРМ проверяется:

1. Защита от незаконного доступа.
2. Устойчивость к киберугрозам.
3. Многоуровневое тестирование.
4. Соответствие компонентов АРМ стандартам информбезопасности.
5. Уровень знаний и умений сотрудников, отвечающих за защиту информации.
6. Соответствие организационных мер требованиям информбезопасности и их достаточность.
7. Анализ эффективности систем управления доступом.
8. Эффективность защиты информации от утечки по техническим каналам (для защищаемых помещений).

Дополнительно проверяют:

• сертификаты и декларации о соответствии на оборудование;
• лицензии ФСБ на работу с государственной тайной и шифрование;
• сертификацию систем менеджмента по стандартам ISO 9001, ISO 14001, OHSAS 18001 и других.

Ситуации, когда необходима аттестация АРМ: 

• работа с материалами, доступ к которым ограничен и осуществляется с применением технических средств; 
• взаимодействие с персональными, корпоративными или служебными сведениями; 
• оформление или пролонгация разрешительных документов на осуществление деятельности, связанной с криптографическими технологиями защиты данных; 
• доступ к обособленным участкам информ. сетей, оборудованным средствами защиты информации.

Требования ФСТЭК и ФСБ к аттестации АРМ 

Условия для лицензиатов ФСТЭК установлены Постановлением Правительства №79. Некоторые из них:

• чтобы претендовать на лицензию, штат организации должен насчитывать не меньше трёх сотрудников: руководителя подразделения информационной безопасности и двух инженеров по той же специальности;
• профессиональная квалификация. Любой сотрудник обязан иметь высшее образование в сфере информационной безопасности (ИБ) либо любое высшее образование плюс диплом о профпереподготовке по специализации, связанной с ИБ, причём длительностью учебного курса от 360 академических часов;
• трудовой опыт. Продолжительность трудового стажа сотрудника разнится в зависимости от того, получил ли он профильное высшее образование или прошёл курсы профессиональной переподготовки;
• материально-техническое оснащение. Будущий лицензиат обязан располагать соответствующим помещением, оборудованием, ресурсами, позволяющими качественно выполнять лицензируемые виды деятельности согласно установленным нормативам;
• одно из условий ФСТЭК — постоянное обновление нормативной базы. Организация обязана приобретать и официально подтверждать владение нормативами, разработанными Национальным институтом стандартизации, иметь доступ к специализированным электронным справочникам по защите сведений.

Аттестация АРМ для работы с ДСП и конфиденциальной информацией 

Аттестация автоматизированных рабочих мест бывает обязательной или рекомендательной. Это зависит от структуры ИТ-инфраструктуры организации.

Обязательная требуется в следующих случаях:

• подключение к аттестованной системе. Если АРМ подключено к корпоративной, госсистеме и работает с защищаемыми данными. Речь идёт о процессах выгрузки, редактирования и хранения данных за пределами основной системы;
• наличие внутреннего регламента. Если политика информационной безопасности или стандарты СУИБ требуют проверки автоматизированных рабочих мест.

Аттестация рекомендуется в следующих ситуациях:

• обработка конфиденц. сведений (данные служебные, ограниченного доступа, коммерческая или гостайна;
• демонстрация уровня информ. защищенности. Процедура документально подтверждает надёжность и становится преимуществом при взаимодействии с партнёрами, заказчиками, надзорными инстанциями.

Порядок проведения аттестации АРМ 

1. Исследование объекта — выясняется структура автоматизированной системы, классификация обрабатываемой информации, архитектура комплекса, программное и аппаратное обеспечение, существующие уязвимости.
2. Разработка методов оценки — сотрудники готовят программу испытаний, учитывая характеристики оборудования, сценарии угроз, методы нейтрализации потенциальных происшествий.
3. Оценка защищённости компонентов — проверяются межсетевые экраны, системы разграничения доступа, антивирусные средства, криптографические компоненты, испытываются возможные пути утечки данных.
4. Проверка оргмероприятий — рассматривается документация: положения по защите информации, внутренние инструкции, распоряжения о назначении ответственных лиц, акты проведения инструктажей.

Внимание! Аттестацию могут проводить лишь аккредитованные организации, получившие лицензию от ФСТЭК России на защиту конфиденц. информации. Работы ведутся на основании подписанного контракта.

В случае удачного завершения проверочных мероприятий, АРМ приобретает аттестат. Этот официальный документ удостоверяет, что объект обработки информации обладает надежной защитой данных и полностью отвечает нормам безопасности.

Важно! Аттестат действует максимум 3 года. По окончании этого срока требуется повторно инициировать процедуру проверки.

Как провести аттестацию АРМ 

Процедура осуществляется поэтапно. Создаётся комплект документов, включающий:

• план проверки, где описаны методы оценки безопасности АРМ;
• протокол испытаний, в котором фиксируются этапы экспертизы и итоги;
• заключение по результатам испытаний — отчёт, где описывается, насколько защита соответствует стандартам;
• технический паспорт;
• модель угроз;
• комплект проектных материалов;
• документация по системе информационной защиты рабочего места.

Количество документов зависит от направления лицензируемой деятельности, масштаба, архитектуры информсистемы, готовности. Минимальный набор обычно включает около 15 документов. 

Подготовка к лицензированию – многоэтапный и сложный процесс. Рекомендуем обратиться к профессионалам. Компания «Делотест» специализируется на этом. У нас есть опыт подготовки и проведения аттестации по требованиям ФСТЭК. Мы занимаемся подготовкой и аттестацией АРМ в соответствии с требованиями ФСБ и ФСТЭК России. Предоставляем полный спектр услуг. Консультации предоставляются бесплатно.