Аттестация автоматизированных информационных систем

ООО АНК — Инфраструктура Открытых Ключей

Developed in conjunction with Joomla extensions.

ООО «АНК» оказывает услуги заинтересованным предприятиям и организациям, в том числе и государственным, по защите информации ограниченного доступа (не содержащей сведений, отнесенных к государственной тайне), персональных данных при обработке в автоматизированных / информационных (АИС) системах.

Автоматизированные системы подлежащие аттестации

обрабатывающие информацию ограниченного доступа, содержащую сведения, составляющие государственную тайну

обрабатывающие информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну, являющуюся государственным информационным ресурсом

обрабатывающие информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну, являющуюся персональными данными

обрабатывающие информацию, к которой владелец устанавливает требования по безопасности

Аттестация ИСПДн

В первую очередь аттестация ИСПДн является обязательной процедурой для государственных информационных систем, обрабатывающих и хранящих персональные данные. Для негосударственных ИСПДн эта процедура носит добровольный характер и может понадобиться Оператору только в исключительных случаях.

Аттестация системы защиты персональных данных – это комплекс организационно-технических мероприятий, который призван оценить эффективность принимаемых мер защиты и их соответствие требованиям нормативных документов РФ в области защиты ПДн.

Аттестация защиты ПДн проводится по программе и методикам аттестационных испытаний, основанных на государственных стандартах (в частности ГОСТ РО 0043-003) и методических документах ФСБ и ФСТЭК России. Испытания проводятся в реальных условиях эксплуатации систем и технических средств. В процессе испытаний применяются проверенные средства измерения, контрольная аппаратура и сертифицированные средства контроля эффективности защиты информации.

По итогам аттестационных испытаний организации должны быть выданы следующие документы:

  • протоколы аттестационных испытаний;
  • заключение о соответствии ИСПДн требованиям о защите ПДн;
  • аттестат соответствия (при положительном результате испытаний).

Повторная аттестация ИСПДн может потребоваться только в нескольких случаях:

  • если закончился срок действия аттестата соответствия (3 года);
  • необходимо повысить уровень защищенности ПДн.

В случае роста количества угроз безопасности ПДн или изменения разработанных и внедренных ранее решений при создании системы защиты ПДн, необходимо провести дополнительные аттестационные испытания для действующего аттестата соответствия.

В арсенале компании «ИРС» есть все необходимые лицензии и опыт квалифицированных специалистов для проведения таких работ.

Состав работ

  • Разработка программы и методики проведения аттестационных испытаний на объекте информатизации.
  • Сбор и анализ исходных данных по аттестуемому объекту информатизации, проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации объекта информатизации.
  • Изучение (проверка) технологического процесса обработки и хранения информации, анализ информационных потоков.
  • Экспертное обследование объекта информатизации и анализ разработанной документации по защите информации на предмет ее соответствия требованиям нормативной и методической документации.
  • Испытания отдельных средств и систем защиты информации на аттестуемом объекте информатизации, в том числе методом тестирования на проникновение.
  • Комплексные испытания объекта информатизации на соответствие требованиям по безопасности информации.
  • Анализ уязвимостей ИСПДн, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации.
  • Анализ результатов экспертного обследования и аттестационных испытаний объекта информатизации, оформление результатов аттестации.

При аттестации ИСПДн на основе анализа проектной и эксплуатационной документации, разработанных организационно-технических мер и проектных решений на создание СЗПДн, подтверждается ее соответствие требованиям по защите информации по следующим аспектам:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся или обрабатываются ПДн;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности ПДн;
  • обеспечение целостности ИСПДн и ПДн;
  • обеспечение доступности ПДн;
  • защита среды виртуализации;
  • защита технических средств;
  • защита ИСПДн, ее средств, систем связи и передачи данных;
  • выявление инцидентов;
  • управление конфигурацией ИСПДн и системы защиты ПДн.


Оценка эффективности мер защиты информационных систем персональных данных (аттестация, декларирование соответствия ИСПДн)

В соответствии с пп.4 п. 2 статьи 19 Федерального закона «О персональных данных» обеспечение безопасности персональных данных (ПДн) достигается, в том числе, проведением «оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (ИСПДн)».

Оценка эффективности может проводиться в формах добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых оператором ПДн (например, формах приемо-сдаточных испытаний СЗПДн, совместной оценки комиссией, состоящей из представителей Разработчика и Заказчика СЗПДн, и т. д.).

При проведении оценки эффективности принимаемых мер по обеспечению безопасности ПДн необходимо осуществить оценку соответствия ИСПДн организационно-техническим требованиям по безопасности информации и провести испытания средств и систем защиты ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн.

Важным этапом в процессе проведения оценки эффективности является разработка программы и методики оценки, в которой необходимо отразить:

  • описание объекта оценки;
  • порядок проведения оценки;
  • перечень процедур оценки;
  • требования к содержанию проверок и испытаний;
  • критерии оценки, характеризующей успешное прохождение проверок и испытаний.

Оценка соответствия ИСПДн организационно-техническим требованиям по защите ПДн может осуществляться в следующем порядке:

  • анализ структуры ИСПДн и технологического процесса обработки информации;
  • оценка достаточности разработанных внутренних нормативных актов и соответствия их содержания требованиям по безопасности информации;
  • оценка правильности выбора уровней защищенности ПДн и мер защиты;
  • оценка соответствия состава и структуры программно-технических средств ИСПДн представленной документации;
  • оценка состояния организации работ и выполнения организационно-технических требований по защите информации;
  • оценка достаточности мер физической охраны технических средств информационной системы;
  • оценка уровня подготовки кадров и распределения ответственности персонала.

Испытания ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн могут проводиться в следующей последовательности (в зависимости от состава подсистем и средств защиты):

  • наличие необходимой проектной, рабочей и эксплуатационной документации;
  • оценка соответствия проектной документации состава и структуры программно-технических средств СЗПДн;
  • оценка выполнения требований формуляров СЗИ и СКЗИ, правил эксплуатации СЗИ и СКЗИ и условий действия сертификатов;
  • испытания подсистемы управления доступом;
  • испытания подсистемы регистрации и учета;
  • испытания подсистемы обеспечения целостности;
  • испытания подсистемы антивирусной защиты;
  • испытания подсистемы анализа защищенности;
  • испытания подсистемы обнаружения вторжений;
  • испытания подсистемы межсетевого экранирования;
  • испытания подсистемы защиты каналов связи;
  • испытания защищенности комплекса программно-технических средств ИСПДн в целом, в том числе с использованием сканеров безопасности.

В случае выявления несоответствия ИСПДн установленным требованиям по защите информации необходимо разработать предложения по устранению выявленных недостатков и нарушений по возможности до окончания оценки. При этом могут применяться следующие меры:

  • доработка организационно-распорядительной документации;
  • исключение отдельных средств из состава ИСПДн;
  • внесение дополнительных настроек в СЗПДн и изменение рабочей и эксплуатационной документации;
  • применение дополнительных организационно-технических мер защиты;
  • применение дополнительных сертифицированных средств защиты информации.

По результатам оценки оформляется заключение. К заключению прилагаются протоколы оценки, подтверждающие полученные при оценке результаты и обосновывающие приведенный в заключении вывод.

Протоколы испытаний подписываются экспертами – членами комиссии по оценке, проводившими испытания.

В случаях, когда нарушение безопасности персональных данных, обрабатываемых в ИСПДн, может привести к значительным негативным последствиям для субъектов персональных данных, наша Компания рекомендует проведение добровольной аттестации по требованиям безопасности информации. Проведение аттестации позволит повысить юридическую значимость проводимой оценки эффективности.

Порядок проведения аттестации ИСПДн регламентируется:

  • национальным стандартом РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

В соответствии с указанными нормативными документами организации, проводящие аттестацию объектов информатизации, несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.

В случае проведения добровольной аттестации проводится разработка дополнительных документов, необходимых для выполнения аттестационных испытаний, включающих в себя технический паспорт, матрицу доступа к ресурсам, описание технологических процессов обработки и защиты ПДн. С целью внедрения процедуры контроля за неизменностью аттестованных ИСПДн разрабатывается и утверждается регламент внесения изменений в состав технических и программных средств ИСПДн.

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector