Аттестация ГИС

Содержание:

1. Зачем проводить аттестацию ГИС;
2. Порядок и условия аттестации ГИС;
3. Повторная аттестация ГИС;
4. Чем мы можем помочь.

 Тема информационной безопасности может затрагивать каждого из нас по отдельности. Однако защита информации, которая хранится и обрабатывается на государственном уровне важна в масштабах страны. Утечка или злонамеренное использование такой информации представляет угрозу не только отдельным гражданам или предприятиям, но всему государству в целом.

Государственные информационные системы (ГИС) — это федеральные и региональные информационные системы, созданные на основании и в соответствии с требованиями ПП 676.

ГИС предназначены для реализации полномочий госорганов и обеспечения обмена информации между ними.

Зачем проводить аттестацию ГИС

Как и с любой, даже самой профессиональной системой, невозможно понять реальный уровень ее защищенности и выявить в ней слабые места без экспертной оценки.

Само государство, в первую очередь, справедливо ставит вопрос аттестации в высокий приоритет. Приказу ФСТЭК №17 устанавливает требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в ГИС. 

А именно:

• формирование требований к защите информации, содержащейся в информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;
• обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
• обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Порядок и условия аттестации ГИС

Порядок аттестации ГИС — процесс многоуровневый, ведь важно не только правильное понимание требований закона и методов защиты ИС, но и корректная практическая реализация.

Приказ 77 определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов.

В условия аттестации государственной информационной системы входят организационные и технические мероприятия, результатом которых становится аттестат —  подтверждение соответствия системы защиты информации требованиям закона.

После классификации информационной системы и ее оценки, разрабатывается модель угроз безопасности информации и формулируется техническое задание на систему защиты информации. 

На основе техзадания происходит создание технического проекта и распорядительной документации. 

Далее закупаются средства защиты информации с их последующем внедрением. Данные средства и будут представлять собой систему защиты. Таким образом реализуются меры защиты информации. Завершается этот этап испытаниями системы и выдачей аттестата на их основании.

Аттестат является бессрочным, но протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.

Владелец аттестованного объекта информатизации обязан поддерживать его безопасность согласно аттестату соответствия. Это означает, что он должен соблюдать требования по защите информации в процессе эксплуатации объекта и регулярно проверять уровень защиты. Результаты проверок оформляются в виде протоколов и заносятся в технический паспорт объекта.

Протоколы контроля защиты информации на аттестованном объекте информатизации не реже 1 раза в 2 года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

Непредставление протоколов контроля защиты информации в ФСТЭК России (территориальный орган ФСТЭК России) является основанием для приостановления действия аттестата соответствия в соответствии с пунктами 34-37 настоящего Порядка.

Важно заметить, что аттестацию имеет право проводить только лицензиат ФСТЭК России.

Повторная аттестация ГИС

Повторная аттестация государственной информационной системы, как правило, проводится из-за внесения изменений в систему защиты ИС.

При модернизации ГИС, если меняются настройки или компоненты системы (программное обеспечение, технические средства, средства защиты информации), добавляются или заменяются аналогичные средства, проводятся дополнительные испытания для подтверждения безопасности. Информация об изменениях и испытаниях записывается в технический паспорт, при этом аттестат соответствия остается действительным.

Если модернизация ГИС приводит к повышению уровня защиты или изменению архитектуры системы защиты (например, добавляются новые типы программного обеспечения или меняется структура системы), то проводится повторная аттестация.

Для проведения повторной аттестации ГИС заказчик также обязан обращаться только к лицензиату ФСТЭК России.

“Астрал. Безопасность” проводит аттестацию ГИС

• Имеем лицензию ФСТЭК на проведение аттестационных работ.
• Проводим классификацию информационной системы.
• Разрабатываем программы и методики аттестационных испытаний.
• Внедряем систему защиты ГИС.
• Обеспечиваем защиту информации в ходе эксплуатации системы.
• Проводим аттестационные испытания в реальных условиях.
• Выдаем заключение по результатам испытаний и аттестат соответствия.
• Даем рекомендации по улучшению принятых мер по защите данных.

“Астрал. Безопасность” поможет удостовериться в надлежащем состоянии вашей ГИС и предоставить официальное подтверждение.

Системный интегратор в области ИБ

Более 15 лет обеспечиваем безопасность информационных систем различного уровня сложности. 

Подключимся на любом этапе

Выполняем проекты по защите ИСПДн любой сложности «под ключ», либо подключимся к проекту в нужный момент.

Интеграция в систему

Доработаем вашу имеющуюся систему защиты персональных данных в соответствии с актуальными требованиями законодательства.

Аудит существующей системы 

Проведем обследование вашей системы, организационно-распорядительной документации, дадим рекомендации по доработке системы.

Лицензии ФСБ и ФСТЭК России

Имеем соответствующие лицензии подтверждающие нашу квалификацию.

Импортозамещение

Участвуем в государственной программе по импортозамещению, поставляем и настраиваем сертифицированное ПО и “железо”.

Экспертная поддержка

Окажем поддержку по любому техническому вопросу. Отвечаем по телефону и почте.