Что произойдет с аттестатом гис если не направить протокол контроля защиты информации гис во фстэк

Обновлено: 30.06.2024

В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты информации (далее – СЗИ), в том числе включающие:

1. Проведение обследования и классификации ГИС по требованиям защиты информации;
2. Разработка частной модели актуальных угроз нарушения безопасности информации в ГИС;
3. Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности информации в ГИС;
4. Разработка технического задания и проектирование СЗИ;
5. Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок защиты информации и эксплуатации СЗИ;
6. Поставка и внедрение сертифицированных технических средств защиты информации;
7. Инструктаж и обучение персонала в авторизованных учебных центрах;
8. Оценка соответствия выполнения требований к защите информации в форме аттестации ГИС;
9. Техническое сопровождение и сервисное обслуживание СЗИ.

Основные положения законодательства в области защиты информации

На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению защиты информации в ГИС.

В соответствии с 149-ФЗ (ст.16) защита информации обеспечивается, в частности:

1) предотвращением несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременным обнаружением фактов несанкционированного доступа к информации;

3) предупреждением возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущением воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможностью незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянным контролем за обеспечением уровня защищенности информации.

Требования о защите Информации в соответствии с 149-ФЗ утверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 (далее – Требования) и обязательны для выполнения с 1 сентября 2013 г., в том числе и при обработке информации в муниципальных информационных системах.

Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание ГИС, операторов ГИС и лиц, осуществляющих обработку информации, являющейся государственным ресурсом.

В соответствии с Требованиями, защита Информации обеспечивается на всех стадиях создания и эксплуатации ГИС путем принятия организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, в рамках системы (подсистемы) защиты информации (СЗИ).

Принимаемые организационные и технические меры должны быть направлены на исключение:

• неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
• неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
• неправомерного блокирования информации (обеспечение доступности информации).

Для обеспечения защиты Информации проводятся следующие мероприятия:

• формирование требований к защите Информации;
• разработка СЗИ;
• внедрение СЗИ;
• аттестация ГИС по требованиям защиты информации (далее – аттестация) и ввод ее в действие;
• обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;
• обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.

Формирование требований к защите информации включает:

• принятие решения о необходимости защиты Информации;
• классификацию ГИС по требованиям защиты информации (далее – классификация);
• определение актуальных угроз безопасности информации и разработку на их основе модели угроз;
• определение требований к СЗИ.

Классификация ГИС по четырем установленным класса защищенности проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС (федеральный, региональный, объектовый) в соответствии с таблицей:

Проводим полный комплекс мероприятий, чтобы привести ГИС в соответствие требованиям законодательства РФ.

Проводим полный комплекс мероприятий, чтобы привести ГИС в соответствие требованиям законодательства РФ.

• Безопасность информационных систем персональных данных (ИСПДн)
• Защита государственной тайны
• Защита коммерческой тайны
• Аудит информационной безопасности
• Аттестация объектов информатизации
• Защита конфиденциальной информации

• Аттестация ГИС
• Подключение к ФИС ФРДО
• Подключение к ФИС ГИА и Приема
• Подключение к ФИС ГНА
• Подключение к АИСТ ГБД
• АС ФЗД Ростех

Тема информационной безопасности может затрагивать каждого из нас по отдельности. Однако защита информации, которая хранится и обрабатывается на государственном уровне важна в масштабах страны. Утечка или злонамеренное использование такой информации представляет угрозу не только отдельным гражданам или предприятиям, но всему государству в целом. Аттестация государственных информационных систем направлена на проверку и оценку их функциональности.

Государственные информационные системы (ГИС) — это федеральные и региональные информационные системы, созданные на основании федеральных и региональных законов.

ГИС предназначены для реализации полномочий госорганов и обеспечения обмена информации между ними.

Зачем проводить аттестацию ГИС

Как и с любой, даже самой профессиональной системой, невозможно понять реальный уровень ее защищенности и выявить в ней слабые места без экспертной оценки.

Само государство, в первую очередь, справедливо ставит вопрос аттестации в высокий приоритет. Согласно приказу ФСТЭК №17, операторы ГИС обязаны выполнять аттестацию своих систем. Аттестация государственной информационной системы нужна для недопущения утечек по техническим каналам, несанкционированного доступа к информации, а также дальнейших манипуляций с ней. Также приказ регламентирует порядок классификации ГИС и требует использовать только сертифицированные средства защиты информации.

Порядок и условия аттестации ГИС

Порядок аттестации ГИС — процесс многоуровневый, ведь важно не только правильное понимание требований закона и методов защиты ИС, но и корректная практическая реализация.

В условия аттестации государственной информационной системы входят организационные и технические мероприятия, результатом которых становится аттестат — подтверждение соответствия системы защиты информации требованиям закона.

После классификации информационной системы и ее оценки, разрабатывается модель угроз и формулируется техническое задание на систему защиты информации.

На основе техзадания происходит создание технического проекта и распорядительной документации; проводится моделирование и тестирование проекта.

Далее закупаются средства защиты информации с их последующем внедрением. Данные средства и будут представлять собой систему защиты. Таким образом реализуются меры защиты информации и определяются уязвимости. Завершается этот этап испытаниями системы и выдачей аттестата на их основании.

Аттестат является бессрочным, но при этом, объекту информатизации необходимо проводить оценку эффективности мер защиты каждые 3 года.

Повторная аттестация ГИС

Повторная аттестация государственной информационной системы, как правило, проводится из-за внесения изменений в систему защиты ИС.

1. Замена средства защиты, ее версии или настроек.
2. Увеличение количества защищаемых объектов или защищаемых ресурсов.
3. Изменения в составе обслуживающего персонала.

Для проведения повторной аттестации ГИС заказчик также обязан обращаться только к лицензиату ФСТЭК России..

“Астрал. Безопасность” проводит аттестацию ГИС

• Имеем лицензию ФСТЭК на проведение аттестационных работ.
• Проводим классификацию информационной системы.
• Разрабатываем программы и методики аттестационных испытаний.
• Внедряем систему защиты ГИС.
• Обеспечиваем защиту информации в ходе эксплуатации системы.
• Проводим аттестационные испытания в реальных условиях.
• Выдаем заключение по результатам испытаний и аттестат соответствия.
• Даем рекомендации по улучшению принятых мер по защите данных.

“Астрал. Безопасность” поможет удостовериться в надлежащем состоянии вашей ГИС и предоставить официальное подтверждение.

Системный интегратор в области ИБ

Более 15 лет обеспечиваем безопасность информационных систем различного уровня сложности.

Подключимся на любом этапе

Интеграция в систему

Доработаем вашу имеющуюся систему защиты персональных данных в соответствии с актуальными требованиями законодательства.

Аудит существующей системы

Проведем обследование вашей системы, организационно-распорядительной документации, дадим рекомендации по доработке системы.

Лицензии ФСБ и ФСТЭК России

Имеем соответствующие лицензии подтверждающие нашу квалификацию.

Импортозамещение

Участвуем в государственной программе по импортозамещению, поставляем и настраиваем сертифицированное ПО и “железо”.

Экспертная поддержка

Окажем поддержку по любому техническому вопросу. Отвечаем по телефону и почте.

Мы в социальных сетях! Подписывайтесь и будьте в курсе всех актуальных событий в области информационной безопасности вместе с нами!

Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.

Сертификат и аттестат ФСТЭК

Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.

Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.

Сертификат ФСТЭК: что это такое и для чего нужен

Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.

В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.

Способы тестирования зависят от того, какой уровень сертификата ФСТЭК России требуется подтвердить. Так, если антивирус будут использовать в системах, где хранят биометрические данные, проверки будут более строгими. А для работы в системах с общедоступными данными, например, ФИО и профессией, требования и тесты мягче.

Зачем нужна сертификация ФСТЭК

Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.

Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.

Кратко: Сертификация ФСТЭК — что это? Это проверка, которая показывает, насколько программа безопасна и соответствует требованиям закона о защите персональных данных. Если вы не разрабатываете программное обеспечение для защиты персональных данных, получать сертификат ФСТЭК вам не нужно. Но вам может быть нужен аттестат.

Кому и зачем нужна аттестация ФСТЭК

Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.

Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:

1. Не храните и не обрабатываете персональные данные. Например, у вас небольшой офлайн-магазин без сотрудников и базы клиентов.
2. Храните данные, требующие самого низкого, четвертого уровня защищенности. К ним относят общедоступные данные клиентов и сотрудников: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии. Подробнее об уровнях защищенности мы рассказывали в статье Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.

Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.

Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.

Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.

У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Технические и организационные меры по защите информации в единой информационно-коммуникационной инфраструктуре Свердловской области (далее — ИК-инфраструктура) разработаны на основании следующих Руководящих документов:

2. Назначение и состав Единой информационно-коммуникационной структуры Свердловской области.

Единая информационно-коммуникационная инфраструктура Свердловской области представляет собой совокупность информационных и коммуникационных инфраструктур, в том числе единая сеть передачи данных Правительства Свердловской области (далее — ЕСПД) и центры обработки данных Правительства Свердловской области (основной и резервный) (далее – ЦОД), предназначенные для предоставления базовых инструментов информатизации и единых информационных сервисов всем пользователям ИК-инфраструктуры.

Под средством ИК-инфраструктуры предоставляется (может предоставляться) доступ к Государственным информационным системам Свердловской области.

Элементы единой информационно-коммуникационной инфраструктуры Свердловской области (ЦОД ГБУ Свердловской области «Оператор электронного правительства, коммутационные узлы для подключения исполнительных органов государственной власти Свердловской области к ЦОДу) аттестованы по 2 классу защищенности информационных систем и 2 уровню защищенности персональных данных.

Для информационных систем 2 класса защищённости меры защиты информации обеспечивают 2, 3 и 4 уровни защищённости персональных данных.

Класс защищенности Государственных информационных систем Свердловской области, оператором которых является Министерство транспорта и связи Свердловской области, представлен в таблице 1.

3. Мероприятия по защите информации в ИК-инфраструктуре при подключении к Государственным информационным системам и системам персональных данных.

3.1 Общие требования.

При подключении к Государственным информационным системам и Информационным системам персональных данных участниками ИК-инфраструктуры должны быть реализованы следующие меры защиты информации:

идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации; регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности информации; обеспечение целостности информационной системы и информации; обеспечение доступности информации; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств и систем связи и передачи данных.

Применение беспроводных технологий связи для доступа к Государственным информационным системам и Информационным системам персональных данных возможно только при использовании средств криптографической защиты информации совместимых со средствами, использующимися в центральном сегменте ИК-инфраструктуры.

3.2 Организационные мероприятия по обеспечению безопасности информации.

Комплекс организационных мероприятий по защите информации, при подключении к Государственным информационным системам и информационным системам персональных данных в ИК-инфраструктуре Свердловской области, должен включать в себя следующие меры:

все технические средства обработки информации и носители информации должны быть размещены в пределах контролируемой зоны; все помещения, в которых происходит обработка и хранение защищаемой информации, а так же помещение с оборудованием, обеспечивающим технологический процесс обработки информации, должны быть оснащены средствами охранно-пожарной сигнализации; входные двери в помещения должны быть оснащены надежными замками; допуск в помещения вспомогательного и обслуживающего персонала (уборщиц, электромонтеров, сантехников и т.д.) должен производиться только в случае служебной необходимости в присутствии лиц, ответственных за эксплуатацию помещений; физическая охрана технических средств информационной системы должна предусматривать контроль доступа в помещения; должно проводиться резервирование технических средств, дублирование массивов и носителей информации; должен быть определен перечень лиц допущенных к обработке информации в ИС; должен быть назначен ответственный за обеспечение безопасности информации; все машинные носители информации, средства защиты информации должны быть учтены в специальных журналах.

3.3 Технические мероприятия

3.3.1 Общие требования к реализации технических мероприятий по обеспечению безопасности информации.

Применяемые технические средства защиты информации должны соответствовать требованиям к средствам защиты информации определенным в п.26 Приказа ФСТЭК России от 11 февраля 2013 г. № 17 для информационных систем 2 класса защищенности.

Выбранные для использования сертифицированные по требованиям безопасности информации средства защиты должны соответствовать:

системы обнаружения вторжений и средства антивирусной защиты — не ниже 4 класса защиты;

3.3.2 Обеспечение безопасности информации при передаче по телекоммуникационным каналам связи.

При передаче информации по телекоммуникационным каналам связи необходимо обеспечить защиту передаваемой информации от несанкционированного доступа к ней криптографическими средствами защиты информации.

Применяемые криптографические средства защиты информации должны быть полностью совместимы с уже существующими средствами защиты каналов связи Правительства Свердловской области (ViPNet сеть № 2057, в составе: ПО ViPNet Administrator, ПАК ViPNet Coordinator HW1000, ПАК ViPNet Coordinator HW100С).

Класс применяемых криптографических средств зависит от мер, реализованных в учреждении по обеспечению безопасности информации и определяется в соответствии со следующими рекомендациями:

4. Порядок проведения мероприятий по защите информации в информационных системах при подключении к Государственным информационным системам и информационным системам персональных данных в ИК–инфраструктуре Свердловской области.

5. Рекомендации к средствам защиты информации.

Применяемые технические средства защиты информации должны быть сертифицированы ФСТЭК России (ФСБ России в части средств криптографической защиты информации) и соответствовать требованиям к средствам защиты информации определенным:

Меры по защите АРМ пользователей ИК-инфраструктуры определяются пользователями ИК–инфраструктуры самостоятельно (или с привлечением организаций – лицензиатов ФСТЭК России и ФСБ России по направлениям технической и криптографической защиты информации) в зависимости от уже реализованных в учреждении мер организационного и технического характера по обеспечению безопасности информации в соответствии с требованиями федеральных законов и нормативных документов ФСТЭК России и ФСБ России, а также в соответствии с требованиями настоящего документа.

При выборе средств защиты необходимо руководствоваться следующими рекомендациями:

№	Средства защиты информации
1	Средства антивирусной защиты	Средства антивирусной защиты должны быть лицензионными и сертифицированными ФСТЭК России с ежедневно обновляемыми базами сигнатур. (Kaspersky Endpoint Security - медиапак)
2	Средства защиты информации при передаче по каналам связи	Применяемые средства должны быть полностью совместимы с уже существующими средствами защиты каналов связи Правительства Свердловской области (ViPNet сеть № 2057) (ViPNet Coordinator HW, ViPNet Client, или аналоги)
3	Средства межсетевого экранирования	Средства межсетевого экранирования должны корректно функционировать в рамках существующей ИК-Инфраструктуры Правительства Свердловской области (ViPNet Coordinator HW, ViPNet Client, или аналоги)
4	Системы обнаружения вторжений	Системы обнаружения вторжений должны корректно функционировать в рамках существующей ИК-Инфраструктуры Правительства Свердловской области В качестве средства обнаружения вторжений допустимо использование программно – аппаратного комплекса ViPNet IDS 1000, который корректно функционирует в действующей развернутой сети ViPNet Правительства СО
5	Средства защиты от несанкционированного доступа с программным модулем доверенной загрузки	Средства защиты должны быть способны корректно функционировать на рабочих стациях входящих в домен Правительства Свердловской области. Вариант № 1 Dallas Lock 8.0-С или аналоги с программным модулем доверенной загрузки Вариант № 2 Средство от НСД SecretNet или аналоги Средства ДЗ ПАК Соболь или аналоги
6	Средства доверенной загрузки

2. Для ГИС класса К2 обязательно наличие средств обнаружения вторжений, таких как ViPNet IDS 1000 или 2000.

6. Подключение к Государственным информационным системам и Информационным системам персональных данных.

Подключение к Государственным информационным системам и Информационным системам персональных данных производится по соглашению между оператором Государственной информационной системы и руководителями учреждений и организаций, планирующих осуществить подключение к информационной системе.

Подключение АРМ пользователей к Государственным информационным системам в ИК-инфраструктуре производиться только после выполнения учреждением всех требований по обеспечению безопасности информации (в том числе и персональных данных) предусмотренных федеральными законами, нормативными документами и определенными настоящим документом.

Предоставление доступа пользователей к Государственным информационным системам должно осуществляется на основании заявок, оформленных установленным порядком, проект заявки прилагается (Приложение № 1).

Ответственными за допуск учреждений и организаций к Государственным информационным системам являются операторы данных систем.

Ответственными за допуск сотрудников к Государственным информационным системам являются руководители учреждений и организаций, подключенных к ИК-инфраструктуре.

Читайте также:

  
• С каким философом связаны понятия война всех против всех общественный договор человек человеку волк
  
• Дивигель в протоколе эко для чего
  
• Май 1972 г договор об основах взаимоотношений между
  
• Как узнать номер договора ленэнерго
  
• Какой электронный протокол служит для передачи файлов в сети