НАВИГАЦИЯ:
Бесплатное обучение по системе мониторинга и корреляции событий информационной безопасности Security Capsule SIEM
Начать обучениеАТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ И АТТЕСТАЦИЯ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ
АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ И АТТЕСТАЦИЯ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ
Компания ООО «Инновационные Технологии в Бизнесе» оказывает услуги по подготовке к аттестации и проведению аттестационных испытаний на соответствие требованиям по защите информации объектов защитыКомпания ООО «Инновационные Технологии в Бизнесе» оказывает услуги по подготовке и проведению аттестации объектов информатизации на соответствие требованиям по защите информации.
Аттестация объектов информатизации на соответствие требованиям о защите информации осуществляется в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».
Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям по защите информации в условиях его эксплуатации.
Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации.
РЕАЛИЗОВАННЫЕ ПРОЕКТЫ
ЦЕЛЬ АТТЕСТАЦИИ
Целью аттестации объекта информатизации является подтверждение соответствия его системы защиты информации в реальных условиях эксплуатации требованиям по защите информации.
В кейс компании включены следующие наиболее значимые объекты, прошедшие аттестацию:
ГИС Санкт-ПетербургаГИС Ленинградской области
ГИС Новгородской области
ИСПДн АО «Мосэнергосбыт»
ИСПДн Территориального Фонда ОМС Санкт-Петербурга
ИСПДн Территориального Фонда ОМС Ленинградской области
ИСПДн АО «ЕИРЦ-Петроэлектросбыт»
ИСПДн АО «Единый информационно-расчетный центр Ленинградской области»
И многие другие
КТО ПОДЛЕЖИТ АТТЕСТАЦИИ
Аттестации на соответствие требованиям по защите информации подлежат:
Государственные и муниципальные информационные системы (ГИС)
Требования определены в приказе ФСТЭК России № 17 от 11.02.2013
Обязательная аттестация
Государственные и муниципальные информационные системы персональных данных
Требования определены в приказе ФСТЭК России № 21 от 18.02.2013
Обязательная аттестация
Значимые объекты критической информационной инфраструктуры Российской Федерации (ОКИИ)
Требования определены в приказах ФСТЭК России № 235 от 21.12.2017 и № 239 от 25.12.2017
Обязательная аттестация в случаях, указанных в приказах
Информационные системы персональных данных (ИСПДн) (за исключением государственных, муниципальных информационных систем персональных данных)
Требования определены в приказе ФСТЭК России № 21 от 18.02.2013
Проводится оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.
Решение об аттестации принимает владелец ИСПДн
Информационные системы управления производством, используемых предприятиями оборонно-промышленного комплекса
Требования определены в приказе ФСТЭК России № 31 от 28.02.2017
Обязательная аттестация
Автоматизированные системы обработки конфиденциальной информации (АС ОКИ)
Требования определены в нормативных правовых актах и методических документах ФСТЭК России: СТР-К и РД АС ФСТЭК России
Обязательная аттестация
Автоматизированные системы управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (АСУ ТП)
Требования определены в приказе ФСТЭК России № 31 от 14.03.2014
Решение об аттестации принимает владелец АСУ ТП
Информационные системы общего пользования (ИСОП)
Требования определены в приказе ФСТЭК России № 489 от 31.08.2010
Решение об аттестации принимает владелец информационной системы
Автоматизированные банковские системы (АБС)
Требования предъявляются в положении ЦБ РФ № 382-П от 09.06.2012 и СТО БР ИББС
Решение об аттестации принимает владелец АБС.
Особенное внимание необходимо обратить на подготовку к аттестации и аттестации центров обработки данных (ЦОД). Требования к аттестации отражены в Приказе ФСТЭК РФ от 28.05.2019 N 106. "О внесении изменений в требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17". Редакция от 27.04.2020 — Действует с 24.05.2020.
ЗАДАЧИ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ
Задачей аттестационных испытаний объекта защиты является оценка соответствия системы защиты информации объекта защиты требованиям по защите информации, выполнение которых позволяет защитить информацию от утечки по техническим каналам, от несанкционированного доступа и от специальных воздействий на нее и ее носители вследствие:
несанкционированного доступа к информации, обрабатываемой на объекте защиты
специальных программных воздействий, нарушающих целостность обрабатываемой на объекте защиты информации и (или) работоспособность средств вычислительной техники или средств защиты информации
хищения технических средств с хранящейся в них информацией или отдельных носителей информации
просмотра видовой информации с экранов дисплеев и других средств отображения информации, входящих в состав основных технических средств и системы, путем непосредственного наблюдения и (или) с помощью оптических средств
ПОРЯДОК ПРОВЕДЕНИЯ АТТЕСТАЦИИ
Подготовка к аттестационным испытаниям включает в себя:
Предоставление заявителем исходных данных на объект информатизации
Заключение договора с лицензиатом ФСТЭК России
Разработка модели угроз информационной безопасности и модели нарушителя
Разработка технического задания на создание системы защиты
Приобретение, установку и настройку средств защиты
Разработку организационно-распорядительных документов (в случае, если разработка предусмотрена договором)
Ввод в действие системы защиты
Аттестационные испытания включают в себя:
Разработка программы и методики аттестационных испытаний
Аттестационные испытания
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний
СРОК ДЕЙСТВИЯ АТТЕСТАТА СООТВЕТСТВИЯ
Для государственных и муниципальных информационных систем, государственных и муниципальных информационных систем персональных данных, информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных), информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, прошедших аттестацию, – на весь срок эксплуатации информационных систем при неизменности условий эксплуатации, технологического процесса обработки информации, неизменности системы защиты информации.
Периодический контроль уровня защиты информации на аттестованном объекте информатизации проводится не реже одного раза в два года
Если для информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных) проведена оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных (без выдачи аттестата соответствия), то указанная оценка эффективности аттестации проводится не реже одного раза в 3 года.
СРОКИ И СТОИМОСТЬ
Сроки и стоимость аттестации объекта информатизации зависят от типа аттестуемой системы (например, ГИС, ИСПДн, АС), категории значимого объекта, класса защищённости, уровня защищённости персональных данных, архитектуры и состава объекта информатизации, степени готовности к аттестации.На практике стоимость аттестации автоматизированной системы в составе одного автоматизированного рабочего места составляет от 29 000 руб., включая НДС (20%).
Как правило, минимальная длительность аттестации без учета работ по подготовке к аттестации составляет 14 рабочих дней.
