Аттестация ГИС


Зачем нужна аттестация ГИС

Без проведения экспертной оценки сложно объективно определить степень защищённости даже самой современной системы и выявить её уязвимые места. Государство придаёт аттестации большое значение. Согласно Приказу ФСТЭК №17, устанавливаются требования по защите информации с ограниченным доступом (которая не является государственной тайной) от технических утечек, несанкционированного доступа и других воздействий, направленных на получение, уничтожение, искажение или блокировку доступа к таким сведениям при их обработке в ГИС.

Основные шаги включают:

  • Определение требований к защите информации в системе

  • Разработка системы безопасности

  • Внедрение защитных средств

  • Проведение аттестации по установленным требованиям и ввод системы в эксплуатацию

  • Обеспечение безопасности во время работы аттестованной системы

  • Сохранение защиты при выводе системы из эксплуатации или по окончании обработки данных

Процедура и требования аттестации ГИС

Аттестация государственной информационной системы — это сложный и многоэтапный процесс, который требует не только знания законодательства и принципов защиты, но и грамотного практического применения. Приказ №77 регламентирует порядок проведения работ по оценке систем на соответствие требованиям безопасности информации с ограниченным доступом, а также оформление необходимых документов.
В ходе аттестации выполняются как организационные, так и технические мероприятия, по итогам которых выдается официальный аттестат, подтверждающий соответствие системы законодательным нормам. После классификации ГИС и её оценки формируется модель возможных угроз и разрабатывается техническое задание по созданию системы защиты.
Далее разрабатывается технический проект, готовится сопроводительная документация, закупается и устанавливается ПО и оборудование для защиты, формируя комплекс мер по обеспечению безопасности. Процесс завершается проведением испытаний и выдачей аттестата.
Аттестат не имеет срока действия, но владелец системы обязан не реже одного раза в два года предоставлять протоколы контроля защиты в территориальное подразделение ФСТЭК России. Ключевым также является согласование модели угроз и технического задания с ФСТЭК и ФСБ перед испытаниями.
Ответственность за поддержание безопасности и проведение регулярных проверок лежит на владельце системы, с обязательной документацией в техническом паспорте. Несвоевременная подача протоколов контроля может привести к приостановке действия аттестата. Выполнение аттестации разрешено только организациям, имеющим лицензию ФСТЭК.

Повторная аттестация ГИС

Повторная оценка требуется при внесении изменений в систему защиты ГИС. Это может быть замена или перенастройка программного или технического обеспечения, при которых необходимо провести повторные испытания для подтверждения безопасности, обновить технический паспорт, сохранив при этом первоначальный аттестат.
Если же происходят значительные изменения, например, улучшение уровня защиты или серьёзная реорганизация архитектуры системы, нередко необходима повторная полная аттестация. Заказчик в таких случаях обращается к организациям, имеющим лицензию ФСТЭК и ФСБ, для проведения оценки.

Как мы можем помочь

Компания “Астрант” имеет лицензии ФСТЭК и ФСБ для выполнения аттестационных работ и предлагает полный комплекс услуг:

  • Классификация информационных систем

  • Разработка методик и проведение аттестационных испытаний

  • Внедрение средств защиты ГИС

  • Обеспечение безопасности в ходе эксплуатации

  • Проведение испытаний в реальных условиях

  • Выдача актов и аттестатов соответствия

  • Рекомендации по повышению уровня защиты информации

Мы помогаем убедиться в надежности вашей системы и получить официальное подтверждение ее безопасности.

Дополнительные возможности

  • Более десяти лет опыта в сфере информационной безопасности систем любой сложности

  • Вступление в проект на любом этапе, выполнение работ «под ключ»

  • Модернизация существующих систем защиты персональных данных в соответствии с современными нормативами

  • Аудит и рекомендации по улучшению организационно-технической документации и систем безопасности

  • Наличие лицензий ФСБ и ФСТЭК, подтверждающих высокий уровень квалификации

  • Участие в программе импортозамещения с поставкой сертифицированного оборудования и программного обеспечения

  • Квалифицированная экспертная поддержка с оперативными консультациями по телефону и электронной почте


Заказать звонок
+
Жду звонка!
Мы используем Cookies-файлы, чтобы учесть Ваши предпочтения и улучшить качество работы, в том числе удобство использования веб-сайта и оказываемых нами услуг. Оставаясь на нашем сайте, вы соглашаетесь с Политикой обработки и конфиденциальности ПДн.
Принять
Отказаться
Подробнее…
Политика обработки и конфиденциальности ПДн