Аттестация информационных систем: зачем нужна и как пройти

• Какие виды информационных систем бывают
• Автоматизированная информационная система (АИС)
• Информационная система персональных данных (ИСПДн)
• Государственные информационные системы (ГИС)
• Аттестация государственной информационной системы
• Стоимость аттестации государственной информационной системы
• Как проходит аттестация информационных систем
• Заключение

Виды информационных систем

Автоматизированная информационная система (АИС)

Объединяет технические, программные и организационные средства, которые предназначены для работы с информацией. К примеру, компании внедряют АИС для автоматизации бухгалтерских операций и оптимизации промышленных процессов. Компонентами системы будут аппаратные средства связи и вычислительной техники, ПО, базы данных, документация и специалисты.

Стандарты безопасности информации в АИС утверждены в приказе ФСТЭК № 31, согласно которому нужно:

• контролировать доступ к данным;
• применять шифрование информации;
• проводить регулярные проверки системы безопасности;
• использовать лицензированные средства предотвращения утечек.

Классы защищенности (КЗ) и соответствующие меры безопасности подробно описаны в руководящем документе ФСТЭК. Выбор класса защищенности зависит от типа данных, рисков возможных утечек, уровня угроз и доступных ресурсов для защиты. Всего классов девять, они подразделяются на три группы в зависимости от с типа данных и количества пользователей, которым они доступны.

Информационная система персональных данных (ИСПДн)

Состоит из баз данных ПДн, информационных и технических средств, которые обрабатывают персональные данные. ИСПДн работают в банках, медучреждениях, учебных заведениях, на производствах, в торговле.

Тот, кто собирает и обрабатывает информацию, называется оператором, а человек, который дает свои данные, субъектом. Например, онлайн-магазин, отдел кадров и бухгалтерия выступают в роли операторов, а клиенты и сотрудники субъектов. Оператор отвечает за сохранность и целостность информации и должен соблюдать закон № 152-ФЗ «О персональных данных». Стандарты и правила, которые касаются защиты информации, указаны в Постановлении Правительства РФ № 1119 и приказе ФСТЭК № 21.

Существует четыре класса уровней защищенности (УЗ), они зависят от категории данных, количества субъектов и типа угроз. Чтобы упростить их определение, ФСТЭК РФ создала «Методику оценки угроз безопасности информации».

Основные правила защиты на каждом уровне:

• 4-й уровень — ограничить доступ к информации, контролировать носители данных, использовать сертифицированные средства защиты;
• 3-й уровень — назначить ответственного за безопасность данных и соблюдать требования 4-го уровня;
• 2-й уровень — выполнять предыдущие меры и ограничить доступ к электронным журналам сообщений;
• 1-й уровень — автоматически фиксировать изменения полномочий сотрудников, создать отдел безопасности и выполнять все предыдущие требования.

Государственные информационные системы (ГИС)

Представляют собой сложный комплекс технических и программных компонентов, необходимых для сбора и обработки информации в госструктурах. Бывают федеральные, региональные, муниципальные и объектовые. ГИС содержат данные о населении, налоговой отчетности, земельных участках, транспорте, водных ресурсах и других областях государственного регулирования.

Операторы ГИС обязаны соблюдать приказ ФСТЭК № 17. Все государственные ИС проходят аттестацию ФСТЭК и получают сертификат, который подтверждает безопасность системы и соответствие нормам закона № 152-ФЗ.

Основные меры защиты информации:

• применять системы идентификации и авторизации для пользователей ПДн;
• регулировать права доступа к информации;
• использовать средства защиты от утечек;
• устанавливать антивирусное ПО;
• разрабатывать нормативные документы по защите и безопасности для сотрудников;
• проводить аудиты уязвимостей и вовремя исправлять ошибки;
• проходить аттестацию.

Программный комплекс Staffcop предназначен для реализации мер защиты согласно приказам ФСТЭК России № 17 и № 21 и имеет соответствующую сертификацию. Система может:

• мониторить и блокировать отправку почты, опасные сайты, загрузку приложений;
• управлять доступом к сменным носителям информации;
• выявлять утечки информации и мгновенно информировать службу безопасности;
• контролировать работу сотрудников.

Аттестация государственной информационной системы

Аттестация ФСТЭК — комплексная проверка объектов информатизации на соответствие установленным нормам безопасности. Она проводится на этапе разработки ГИС, после организационно-технических испытаний выдается соответствующий аттестационный документ. При проведении аттестации ГИС учитывают тип информации, уровень защищенности, соответствие законодательству и технические характеристики системы. В процессе выявляют уязвимости, способные привести к утечке персональных данных, взломам, вирусам и другим киберугрозам.

Аттестат соответствия бессрочный, но каждые два года нужно проходить повторный контроль уровня защиты аттестованных систем. Или раньше, если в систему были внесены изменения.

Тестирование может проводить организация с лицензией ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации. Эксперты по аттестации должны работать независимо от владельца объекта, чтобы исключить его влияние на результат проверки.

Стоимость аттестации государственной информационной системы

Средняя цена аттестации одного рабочего места в составе ГИС на рынке составляет от 30 000 до 100 000 рублей. Стоимость рассчитывается индивидуально с учетом таких аспектов, как:

• сложность архитектуры ГИС, количество компонентов и интеграция с другими системами;
• уровень конфиденциальности — чем он выше, тем строже требования к защите;
• подготовка ГИС к аттестации, наличие установленных средств защиты информации;
• объем данных, которые обрабатывает система;
• срочность.

Снизить стоимость аттестации можно, если перед началом процесса изучить требования ФСТЭК и в соответствии с ними подготовить информационную систему, разработать собственные нормативные документы и предоставить в службу по аттестации готовое техническое описание системы и инструкции по эксплуатации.

Как проходит аттестация информационных систем

Процесс аттестации ИС регламентирован Приказом ФСТЭК № 77. Рассмотрим основные моменты:

Предварительная подготовка. Специалисты органа по аттестации проводят анализ ГИС, оценивают категорию данных и технические средства, анализируют риски утечек и взломов.

Проектирование и внедрение системы защиты. Эксперты разрабатывают план аттестации, определяют ресурсы и сроки проверки, устанавливают и настраивают средства защиты данных.

Испытания и техническая экспертиза. С помощью ПО и специализированного оборудования специалисты моделируют разные атаки на систему и оценивают ее устойчивость к ним. Результаты технической экспертизы сопоставляют с установленными стандартами безопасности. В случае несоответствия разрабатывают план доработок и улучшений.

Документация результатов. На каждом этапе оформляют отчетные документы с учетом ГОСТов.

Заключение и сертификация. Если информационная система успешно прошла все этапы аттестации и соответствует установленным стандартам, выдается сертификат. Этот документ подтверждает, что ГИС имеет необходимый уровень безопасности и готова к эксплуатации.

Заключение

Большинство компаний работает с общедоступными данными: Ф. И. О., контактами, информацией о составе семьи, работе и месте жительства. Защита личной информации должна быть приоритетом для любой организации.

Staffcop доказал свою способность защищать персональные данные от утечек и угроз, упомянутых в законе 152-ФЗ «О персональных данных». Сервис сертифицирован ФСТЭК и может использоваться в составе АИС, ИСПДн и ГИС.

Staffcop Enterprise ФСТЭК — это отечественное ПО, сертифицированное Федеральной службой по техническому и экспортному контролю. Мы решаем ключевые задачи в сфере информационной безопасности:

• поиск утечек информации;
• контроль сотрудников;
• расследование инцидентов ИБ;
• контроль и блокировка съемных носителей;
• учет рабочего времени сотрудников;
• удаленное администрирование.

Мы предоставляем 15 дней на бесплатное тестирование. Оцените полный функционал Staffcop Enterprise прямо сейчас.