Аттестация ГИС
Государственные информационные системы (ГИС) используются для обработки информации, необходимой для выполнения функций государственных органов и организаций. В таких системах могут обрабатываться служебные сведения, персональные данные и другая информация ограниченного доступа.
Для обеспечения безопасности таких систем законодательством установлены строгие требования по защите информации (приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»). Одним из обязательных этапов подтверждения соответствия этим требованиям является аттестация государственной информационной системы (приказ ФСТЭК России от 29.04.2021 № 77, который распространяется, в том числе, на государственные информационные системы как объекты информатизации с информацией ограниченного доступа, не составляющей государственную тайну).
Аттестация ГИС подтверждает, что система защиты информации реализована корректно и обеспечивает необходимый уровень безопасности. Без прохождения этой процедуры эксплуатация системы для обработки защищаемой информации может быть невозможна.
Команда «Гладиаторов информационной безопасности» помогает организациям подготовить систему к аттестации, провести необходимые проверки и оформить полный комплект документов в соответствии с требованиями регуляторов.
Зачем проводить аттестацию ГИС
Основная задача аттестации государственной информационной системы — подтвердить, что система соответствует требованиям безопасности и может использоваться для обработки защищаемой информации.
Аттестация позволяет решить несколько важных задач.
Подтверждение соответствия требованиям законодательства
Государственные информационные системы должны соответствовать нормативным требованиям по защите информации (17-й приказ ФСТЭК). Аттестация подтверждает выполнение этих требований.
Обеспечение защиты информации
В процессе аттестации проверяется корректность реализованных мер защиты информации, включая технические и организационные средства безопасности, соответствие их требованиям формуляров и рекомендаций по безопасности.
Снижение рисков информационных инцидентов
Процедура аттестации помогает выявить уязвимости и недостатки системы защиты, которые могут привести к утечкам информации или нарушению работы системы. Например, не весь набор рекомендованных 17-м законом требований был реализован и компенсирует угрозы объекту информатизации.
Возможность законной эксплуатации системы
Наличие аттестата соответствия подтверждает, что государственная информационная система может безопасно использоваться для обработки защищаемой информации. Также при проверках или инцидентах безопасности это может быть существенным аргументом для избежания личной ответственности со стороны руководителя службы информационной безопасности, а также смещения предмета разбирательства в отношении организации с “халатности в отношении реализации защиты” на “проявление должной осмотрительности, из-за которой меры были реализованы и нарушителю пришлось преодолевать защиту”.
Аттестация позволяет решить несколько важных задач.
Подтверждение соответствия требованиям законодательства
Государственные информационные системы должны соответствовать нормативным требованиям по защите информации (17-й приказ ФСТЭК). Аттестация подтверждает выполнение этих требований.
Обеспечение защиты информации
В процессе аттестации проверяется корректность реализованных мер защиты информации, включая технические и организационные средства безопасности, соответствие их требованиям формуляров и рекомендаций по безопасности.
Снижение рисков информационных инцидентов
Процедура аттестации помогает выявить уязвимости и недостатки системы защиты, которые могут привести к утечкам информации или нарушению работы системы. Например, не весь набор рекомендованных 17-м законом требований был реализован и компенсирует угрозы объекту информатизации.
Возможность законной эксплуатации системы
Наличие аттестата соответствия подтверждает, что государственная информационная система может безопасно использоваться для обработки защищаемой информации. Также при проверках или инцидентах безопасности это может быть существенным аргументом для избежания личной ответственности со стороны руководителя службы информационной безопасности, а также смещения предмета разбирательства в отношении организации с “халатности в отношении реализации защиты” на “проявление должной осмотрительности, из-за которой меры были реализованы и нарушителю пришлось преодолевать защиту”.
Порядок и условия аттестации
Аттестация государственной информационной системы проводится по установленной процедуре и включает несколько этапов.
1. Анализ информационной системы
На первом этапе специалисты изучают архитектуру системы и определяют:
2. Подготовка документации
Формируется комплект документов, необходимый для проведения аттестации. В него входят:
3. Проведение испытаний
На этапе испытаний проводится проверка эффективности системы защиты информации. Проверяются:
4. Оформление результатов
По итогам проведенных работ формируются:
5. Получение аттестата соответствия
Если система соответствует установленным требованиям, выдается аттестат соответствия, подтверждающий возможность эксплуатации государственной информационной системы.
1. Анализ информационной системы
На первом этапе специалисты изучают архитектуру системы и определяют:
- состав и границы системы;
- используемые информационные ресурсы;
- уровень защищаемой информации;
- реализованные меры защиты.
2. Подготовка документации
Формируется комплект документов, необходимый для проведения аттестации. В него входят:
- модель угроз и нарушителя;
- техническая документация на систему защиты информации;
- организационно-распорядительные документы;
- описание реализованных мер защиты.
3. Проведение испытаний
На этапе испытаний проводится проверка эффективности системы защиты информации. Проверяются:
- механизмы разграничения доступа;
- защита сетевого взаимодействия;
- настройка средств защиты информации;
- контроль событий безопасности.
4. Оформление результатов
По итогам проведенных работ формируются:
- программа и методика испытаний;
- протоколы испытаний;
- заключение о соответствии системы требованиям безопасности.
5. Получение аттестата соответствия
Если система соответствует установленным требованиям, выдается аттестат соответствия, подтверждающий возможность эксплуатации государственной информационной системы.
В каких случаях необходима повторная аттестация ГИС
Повторная аттестация государственной информационной системы проводится в случаях, когда изменяются характеристики системы или условия ее эксплуатации.
К таким ситуациям относятся:
Повторная аттестация необходима для того, чтобы подтвердить, что изменения в системе не повлияли на уровень ее защищенности.
Своевременное проведение повторной аттестации позволяет избежать рисков нарушения требований законодательства и обеспечить стабильную работу системы.
К таким ситуациям относятся:
- повышается класс / уровень защищённости или категория значимости ГИС (например, изменился состав/критичность обрабатываемой информации, появилось больше прав субъектов и т.п.);
- модернизация или существенное изменение архитектуры системы;
- внедрение новых программных или технических средств;
- изменение состава обрабатываемой информации;
- расширение функциональности системы;
- изменение границ объекта информатизации;
- обновление или замена средств защиты информации.
Повторная аттестация необходима для того, чтобы подтвердить, что изменения в системе не повлияли на уровень ее защищенности.
Своевременное проведение повторной аттестации позволяет избежать рисков нарушения требований законодательства и обеспечить стабильную работу системы.
Надежный и ответственный интегратор
- Если вы работаете с нами, то мы уверены, что решение вам подходит, можем даже отговорить от покупки, если это не соответствует целям и задачам
Мы экспертно подходим к задачам обеспечения безопасности
- Это не самая простая ниша, есть много продуктов, нюансов, тонкостей интеграции, поэтому с нами вы можете положиться на наш опыт и возможности с полной уверенностью!
Мы знаем боль компаний изнутри, так как сами используем те же самые подходы и проблемы роста
- Мы понимаем, как строить защиту, что нужно защищать, а на какую боль можно не обращать внимание. Мы свои.
Мы экономим нервы и время (силы / ресурсы)
даем решение для проблемы под ключ, вам не требуется тратить время на подбор, изучение, внедрение - мы это сделаем за вас. Сэкономим 3 месяца вашей жизни!
В чем помогает наша команда
Команда «Гладиаторов информационной безопасности» оказывает полный комплекс услуг по подготовке и проведению аттестации государственных информационных систем.
Мы сопровождаем клиента на всех этапах работ.
Анализ и аудит системы
Подготовка к аттестации
Проведение испытаний
Сопровождение процедуры аттестации
Мы помогаем пройти процедуру аттестации ГИС быстро, корректно и без лишних рисков для организации.
Если вашей компании необходимо подготовить государственную информационную систему к аттестации или провести повторную проверку — специалисты нашей команды готовы помочь на всех этапах работ.
Мы сопровождаем клиента на всех этапах работ.
Анализ и аудит системы
- анализ архитектуры информационной системы;
- выявление несоответствий требованиям безопасности;
- подготовка рекомендаций по доработке системы.
Подготовка к аттестации
- разработка необходимой документации;
- подготовка модели угроз;
- формирование организационно-распорядительных документов;
- внедрение и настройка средств защиты информации.
Проведение испытаний
- подготовка программы и методики испытаний;
- проверка эффективности системы защиты;
- оформление протоколов испытаний.
Сопровождение процедуры аттестации
- подготовка полного комплекта аттестационных материалов;
- взаимодействие с аттестующей организацией;
- консультации по эксплуатации системы после получения аттестата.
Мы помогаем пройти процедуру аттестации ГИС быстро, корректно и без лишних рисков для организации.
Если вашей компании необходимо подготовить государственную информационную систему к аттестации или провести повторную проверку — специалисты нашей команды готовы помочь на всех этапах работ.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Вам также могут быть интересны услуги
Вендоры, с которыми работаем
Отзывы
Читайте по теме
Связаться с нами
Заполните поля и мы свяжемся с вами любым удобным способом
Спасибо